Praktische Leitlinien, die Unternehmensjuristen befolgen und an IT-Mitarbeiter weitergeben sollten, die mit Datenschutzverletzungen befasst sind

Am 20. August 2020 wurde Joe Sullivan, ehemaliger Chief Security Officer von Uber, vom US-Justizministerium (DOJ) wegen Behinderung der Justiz und Verschleierung einer Straftat angeklagt. Ihm wird vorgeworfen, einen Cyberangriff aus dem Jahr 2016 vertuscht zu haben, bei dem die persönlichen Daten von 57 Millionen Nutzern und Fahrern offengelegt wurden, und die Federal Trade Commission (FTC) über den Vorfall von 2016 getäuscht zu haben. Anhand der gegen Sullivan eingereichten Strafanzeige können Einzelpersonen und Unternehmen wertvolle Lehren für den Umgang mit Cyberangriffen ziehen, indem sie sich überlegen, was Sullivan angeblich falsch gemacht hat und wie Führungskräfte von Unternehmen auf einen Cyberangriff reagieren sollten. Nachfolgend finden Sie einen Überblick über die Anklage gegen Sullivan vor einem Bundesgericht und einige wichtige Erkenntnisse, die es zu berücksichtigen gilt.

1. Sullivansmutmaßliche Behinderung der Justiz

Sullivan wird vorgeworfen, die FTC über den Vorfall von 2016 belogen zu haben, der laut DOJ eine Zahlung in Höhe von 100.000 US-Dollar beinhaltete, die er angeblich mit zwei Hackern vereinbart hatte, die laut einem Zeugen fälschlicherweise angaben, dass sie gemäß einer Geheimhaltungsvereinbarung keine Daten von Uber erhalten oder gestohlen hätten. In der Strafanzeige heißt es: „Diese Falschdarstellung verschleierte die Tatsache, dass die Hacker tatsächlich Daten gestohlen hatten, wodurch der Vorfall fälschlicherweise als typischer Bug-Bounty-Fall und nicht als Datenverletzung dargestellt wurde.“

Uber bezeichnete die Zahlung intern zunächst als Teil seines „Bug-Bounty“-Programms, das Cybersicherheitsexperten dazu anregt, Sicherheitslücken an das Unternehmen zu melden. Die Summe von 100.000 Dollar war jedoch zehnmal so hoch wie die damalige Höchstgrenze des Programms, und ein Uber-Manager gab später vor dem Kongress zu, dass die Zahlung einer Erpressung gleichkam. Die Zahlung und die mutmaßliche Vertuschung erfolgten zur gleichen Zeit, als Uber mit der FTC über eine Einigung in einem ähnlichen Vorfall aus dem Jahr 2014 verhandelte, bei dem Hacker laut Strafanzeige Benutzerdaten von einem der Cloud-Speicherorte von Uber gestohlen hatten. Sowohl bei dem Vorfall von 2014 als auch bei dem von 2016 wurde dieselbe Methode verwendet, um auf die Cloud-Speicherorte zuzugreifen: über Anmeldedaten, die im Klartext auf einer Hosting-Service-Plattform gespeichert waren.

Die Anklagepunkte beruhen auf der Tatsache, dass Sullivan angeblich beabsichtigte, die damalige Untersuchung der FTC zu dem Verstoß von 2014 zu behindern, indem er den neuen Verstoß von 2016 nicht offengelegt hat, auch nicht in ergänzenden Befragungen, die von der FTC nach dem Verstoß durchgeführt wurden und in denen ausdrücklich die Offenlegung von Informationen über etwaige Verstöße gefordert wurde. Darüber hinaus überprüfte Sullivan fünf Monate nach dem Verstoß von 2016 einen Brief, den Uber an die FTC senden wollte, um die FTC aufzufordern, ihre Untersuchung gegen Uber einzustellen. In dem Brief wurde unter anderem behauptet, dass „die fraglichen Datensicherheitsvorfälle keine falsch gesetzten Prioritäten, keine Unterschätzung der Risiken und keinen Mangel an Sicherheitswissen oder Sorgfalt widerspiegeln“ und dass Uber zusätzliche Sicherheitsmaßnahmen in Bezug auf „den Schutz und die Verwaltung von Anmeldedaten und andere Aspekte der Datensicherheit“ umgesetzt habe. Diese Anklage deutet nicht darauf hin, dass Sullivan verpflichtet gewesen wäre, die Behörden zu benachrichtigen, wenn die Untersuchung der Datenschutzverletzung von 2014 nicht bereits im Gange gewesen wäre.

Die im Zuge der Reaktion auf die Sicherheitsverletzung erstellten Geschäftsunterlagen wurden vom DOJ verwendet, um zu belegen, dass Sullivan sein Team angeblich angewiesen hatte, die Informationen über die Sicherheitsverletzung von 2016 streng geheim zu halten. Laut der Strafanzeige berichtete ein Zeuge außerdem, dass Sullivan damals in einem privaten Gespräch gesagt habe, „er könne nicht glauben, dass sie eine weitere Sicherheitsverletzung zugelassen hätten, und dass das Team dafür sorgen müsse, dass nichts davon nach außen dringe”. Darüber hinaus wurden Sullivans Bemühungen, die Angelegenheit zu vertuschen, angeblich in einem als „Preacher Central Tracker“ bekannten Problemverfolgungssystem protokolliert, das Informationen enthielt, in denen zugegeben wurde, dass die Zugangsdaten seit Jahren nicht geändert worden waren, sowie interne Mitteilungen, aus denen hervorgeht, dass Sullivan von der Sicherheitsverletzung wusste und versuchte, sie geheim zu halten.

Darüber hinaus wird in der Anklageschrift behauptet, dass Sullivan das neue Managementteam von Uber, das 2017 die Leitung übernommen hatte, irregeführt habe, indem er bestimmte Details aus einer von seinem Team erstellten Zusammenfassung entfernt habe, die den tatsächlichen Umfang des Datenlecks verdeutlicht hätten, bevor er die Zusammenfassung an das Management weitergab. Eine dieser Auslassungen betraf die Tatsache, dass die Hacker tatsächlich Daten gestohlen hatten. Uber gab das Datenleck im November 2017 bekannt und erklärte, dass Sullivan entlassen worden sei, weil er den Vorfall nicht früher gemeldet habe.

Die Anklage gegen Sullivan erfolgt, nachdem sich die Hacker wegen ihrer Beteiligung an der Datenpanne im Jahr 2016 der Verschwörung zur Erpressung schuldig bekannt hatten. In ihren Plädoyervereinbarungen gaben die Hacker zu, andere Unternehmen ins Visier genommen und erfolgreich gehackt zu haben, nachdem sie Uber um 100.000 Dollar erpresst hatten und Uber es versäumt hatte, die Datenpanne von 2016 den Strafverfolgungsbehörden zu melden. Die Vertuschung soll die Strafverfolgungsbehörden daran gehindert haben, die Hacker zu fassen, wodurch möglicherweise weitere Hackerangriffe auf Technologieunternehmen verhindert worden wären.

Sullivan drohen bis zu fünf Jahre Haft, wenn er wegen Behinderung der Justiz verurteilt wird, und bis zu drei Jahre Haft, wenn er wegen Verschleierung einer Straftat verurteilt wird.

2. Wichtige Erkenntnisse aus „ “

Die Klage des DOJ in diesem Fall gibt Aufschluss darüber, welches Maß an Transparenz und Zusammenarbeit die Regierung erwartet oder zumindest nicht tolerieren wird. Im Folgenden sind vorläufige Schlussfolgerungen und zu berücksichtigende Punkte aufgeführt.

Offenlegung einer Datenschutzverletzung, wenn Sie gesetzlich dazu verpflichtet sind. Die Offenlegung von Datenschutzverletzungen ist für Unternehmen, die personenbezogene Daten speichern, obligatorisch. Die einzelnen Bundesstaaten haben unterschiedliche Gesetze hinsichtlich der Schwellenwerte, Fristen und Inhalte der Meldungen. Es ist ein Fehler, solche Meldungen als optional zu betrachten. In vielen Bundesstaaten drohen erhebliche zivilrechtliche Strafen bei Nichteinhaltung.
Führungskräfte müssen sich bewusst sein, dass sie durch ihre Aussagen (oder das Unterlassen von Aktualisierungen) persönlich strafrechtlich haftbar gemacht werden können. Wenn ein Unternehmen einen Vorfall meldet, aber bestimmte Aspekte dieses Vorfalls nicht offenlegt, weil sie nicht „wesentlich” sind oder andere Meldeschwellen, wie z. B. staatliche Meldepflichten bei Datenschutzverletzungen, nicht erfüllen, besteht die reale Möglichkeit, dass eine solche selektive Offenlegung als illegale Verschleierung angesehen wird, was zu einer persönlichen strafrechtlichen Haftung führen kann.
Seien Sie vorsichtig, mit wem Sie kommunizieren. Einige der aktivsten Cyber-Bedrohungsakteure der letzten Zeit stammen aus Russland, Nordkorea oder dem Iran. Viele dieser Parteien unterliegen strengen Wirtschaftssanktionen, die vom Amt für die Kontrolle ausländischer Vermögenswerte des US-Finanzministeriums verhängt wurden, und einige von ihnen sind auch Gegenstand einer Anklage vor einem Bundesgericht. Daher kann die Erleichterung einer Zahlung an diese Cyber-Bedrohungsakteure (sei es in Form einer Ransomware-Zahlung oder einer anderen Kopfgeldzahlung) ein Unternehmen erheblichen zivil- und strafrechtlichen Sanktionen aussetzen, die von 300.000 bis 2 Millionen US-Dollar zusätzlich zu den gezahlten Gebühren und/oder bis zu 20 Jahren Gefängnis reichen können.
Seien Sie vorsichtig, wenn Sie externe Dritte für Zahlungen an Hacker einsetzen. Die Beauftragung eines externen Drittanbieters für Kopfgeldjäger-, Dark-Web- und Ransomware-/Bitcoin-Dienste entbindet ein Unternehmen, das einen solchen Anbieter für illegale Aktivitäten engagiert, nicht von seiner Haftung, und verantwortliche Mitarbeiter können strafrechtlich verfolgt werden, wenn sie diese Anbieter anweisen, Bedrohungsakteure zu bezahlen oder damit verbundene Datenverstöße zu vertuschen. Alle Verträge mit Kopfgeldjägern, Dark-Web-Anbietern und Ransomware-/Bitcoin-Anbietern sollten überprüft werden, um festzustellen, ob es illegale Dienstleistungen gibt oder ob solche Verträge überarbeitet werden sollten, um die oben genannten Probleme zu beheben.
Seien Sie bei der Kommunikation über einen Vorfall umsichtig. Jede Entscheidung, mit einem Angreifer zu kommunizieren, sollte eine gemeinsame Entscheidung des Incident-Response-Teams des Unternehmens sein und nicht nur von einem einzelnen Mitglied dieses Teams, wie z. B. dem CISO, getroffen werden, um sicherzustellen, dass die geltenden gesetzlichen Anforderungen und die ethischen Prioritäten des Unternehmens eingehalten werden.
Dokumentieren Sie den Prozess der Reaktion auf Vorfälle und stellen Sie sicher, dass diese Dokumentation durch das Anwaltsgeheimnis geschützt ist. Informationen zur Nachverfolgung der Reaktion auf Vorfälle sollten genau und sorgfältig dokumentiert werden. Solche Informationen sind möglicherweise nicht durch das Anwaltsgeheimnis geschützt und können offengelegt werden.
Zusammenarbeit mit Strafverfolgungsbehörden und staatlichen Aufsichtsbehörden. Unternehmen sollten die Strafverfolgungsbehörden benachrichtigen, wenn sie über Informationen zur Identität der Cyberangreifer verfügen. Sobald eine Behörde oder Strafverfolgungsbehörde eine Untersuchung zu einer Sicherheitsverletzung einleitet, ist es wichtig, alle für die Untersuchung relevanten Informationen bereitzustellen und jegliche expliziten Falschdarstellungen oder wesentliche Auslassungen in Aussagen zu vermeiden, selbst wenn die Behörde den Umfang der Sicherheitsverletzung nicht vollständig einschätzen kann oder wenn es mehrere miteinander verbundene Sicherheitsverletzungen gibt.

Haftungsausschluss

Dieser Blog wird von Foley & Lardner LLP ("Foley" oder "die Kanzlei") ausschließlich zu Informationszwecken zur Verfügung gestellt. Er soll weder die Rechtsposition der Kanzlei im Namen eines Mandanten wiedergeben, noch soll er eine spezifische Rechtsberatung vermitteln. Die in diesem Artikel geäußerten Meinungen spiegeln nicht notwendigerweise die Ansichten von Foley & Lardner LLP, ihrer Partner oder ihrer Mandanten wider. Handeln Sie daher nicht aufgrund dieser Informationen, ohne sich von einem zugelassenen Anwalt beraten zu lassen. Dieser Blog ist nicht dazu gedacht, ein Anwalts-Mandanten-Verhältnis zu begründen, und der Erhalt dieses Blogs stellt kein solches dar. Die Kommunikation mit Foley über diese Website per E-Mail, Blogpost oder auf andere Weise begründet kein Anwalts-Mandanten-Verhältnis in einer rechtlichen Angelegenheit. Daher wird jegliche Kommunikation oder jegliches Material, das Sie über diesen Blog an Foley übermitteln, sei es per E-Mail, Blogpost oder auf andere Weise, nicht als vertraulich oder urheberrechtlich geschützt behandelt. Die Informationen in diesem Blog werden ohne Gewähr veröffentlicht und es wird nicht garantiert, dass sie vollständig, richtig oder aktuell sind. Foley gibt keinerlei ausdrückliche oder stillschweigende Zusicherungen oder Gewährleistungen in Bezug auf den Betrieb oder den Inhalt der Website. Foley lehnt ausdrücklich alle anderen ausdrücklichen oder stillschweigenden Garantien, Gewährleistungen, Bedingungen und Zusicherungen jeglicher Art ab, unabhängig davon, ob sie sich aus einem Gesetz, einer Rechtsvorschrift, der kommerziellen Nutzung oder anderweitig ergeben, einschließlich der stillschweigenden Gewährleistungen der Marktgängigkeit, der Eignung für einen bestimmten Zweck, des Eigentumsrechts und der Nichtverletzung von Rechten Dritter. In keinem Fall sind Foley oder seine Partner, leitenden Angestellten, Mitarbeiter, Vertreter oder verbundenen Unternehmen direkt oder indirekt unter irgendeiner Rechtstheorie (Vertrag, unerlaubte Handlung, Fahrlässigkeit oder anderweitig) Ihnen oder anderen gegenüber haftbar für Ansprüche, Verluste oder Schäden, direkte, indirekte, besondere, zufällige, strafende oder Folgeschäden, die sich aus der Erstellung, der Nutzung oder dem Vertrauen auf diese Website (einschließlich Informationen und anderer Inhalte) oder Websites Dritter oder den Informationen, Ressourcen oder Materialien, auf die über solche Websites zugegriffen wird, ergeben oder dadurch verursacht werden. In einigen Rechtsordnungen kann der Inhalt dieses Blogs als Anwaltswerbung angesehen werden. Falls zutreffend, beachten Sie bitte, dass frühere Ergebnisse keine Garantie für ein ähnliches Ergebnis sind. Die Fotos dienen nur zur Veranschaulichung und können Modelle enthalten. Die Abbildungen implizieren nicht notwendigerweise einen aktuellen Mandanten-, Partner- oder Mitarbeiterstatus.

Eine Frau mit langen blonden Haaren, die einen schwarzen Blazer, ein schwarzes Oberteil und eine mehrreihige Perlenkette trägt, lächelt in einem professionellen Innenraum - ein Zeichen für das ausgeprägte Selbstvertrauen, das man oft bei Anwälten aus Chicago und solchen, die sich auf das Recht des geistigen Eigentums spezialisiert haben, findet.

[email protected]

Milwaukee 414.297.5864

[email protected]

San Diego 858.847.6737

Ein Mann im dunklen Anzug und mit orangefarbener Krawatte, der auf die Unterstützung bei Rechtsstreitigkeiten spezialisiert ist, lächelt in die Kamera vor einem unscharfen Innenhintergrund.

[email protected]

Chicago 312.832.4915

Praktische Leitlinien, die Unternehmensjuristen befolgen und an IT-Mitarbeiter weitergeben sollten, die mit Datenschutzverletzungen befasst sind

1. Sullivansmutmaßliche Behinderung der Justiz

2. Wichtige Erkenntnisse aus „ “

Autor(en)

Jennifer L. Urban

Steven M. Millendorf

Samuel D. Goldstick

Verwandte Einblicke

‘Tis the Season

Guyana: Eine Einführung in einen strategischen Verbündeten der USA in der Karibik und in Südamerika

Gender-Affirming Care for Minors: CMS and HHS Propose Limits on “Sex Rejection Procedures” and Expanded Enforcement Pathways