Digital Life
11.12.2017

Österreicher durch Uber-Datenleck geschädigt

Angebliche Uber-Fahrten in Kanada, China und sonstwo wurden einem jungen Österreicher von der Kreditkarte abgebucht, obwohl er diese nie in Anspruch genommen hat.

Zum zweiten Mal innerhalb eines Jahres wurden einem Österreicher Uber-Fahrten auf der Kreditkarte verrechnet, die dieser so nie getätigt hat. Da der junge Mann diese Karte ausschließlich für Uber-Fahrten verwendete und ein hochsicheres Passwort für seinen Account benutzte, liegt der Verdacht nahe, dass er ein Opfer des riesigen Datenlecks bei Uber wurde, bei dem vor einem Jahr rund 50 Millionen Fahrgast- und Fahrerdaten gestohlen wurden.

Geisterfahrten in China

"Vor etwa einem Jahr soll ich Hunderte Kilometer in Kanada und China unterwegs gewesen sein. Da diese Fahrten in meiner App angezeigt wurden, fiel mir das sofort auf. Das Geld bekam ich nach meiner Beschwerde von Uber rücküberwiesen", erzählt Lukas Käferle im Gespräch mit der futurezone. Umso ärgerlicher sei es, dass er jetzt erneut betroffen sei. "Dieses Mal wurden mehrere kürzere Uber-Fahrten im Wert von etwa 80 Euro abgebucht, ohne dass mir das in der App angezeigt wurde. Ich habe das bei der Kreditkartenabrechnung entdeckt." Der futurezone liegen die Abrechnungsdaten vor.

Uber, das den Verlust der Millionen Daten ein Jahr lang vertuschte, hat bisher stets beteuert, dass keine Kreditkartendaten abhandengekommen bzw. keine missbräuchlichen Fälle bekannt sind. Nach wie vor ist unklar, inwiefern persönliche Daten und Passwortdaten gestohlen wurden. Im Fall von Käferle deutet jedenfalls vieles darauf hin, dass der oder die Täter Zugriff auf Uber-interne Daten hatten. Auch beim Passwort ging Käferle nämlich auf Nummer sicher und setzte auf ein von einem Passwort-Manager erzeugtes, das in der Regel sicherer als ein selbst gewähltes ist.

Schlechte Kundenkommunikation

Besonders verärgert ist Käferle über die Intransparenz von Uber und die schlechte Kommunikation. So reagierte der Fahrdienstleister auf diverse E-Mails und auch für solche Vorfälle vorgesehene Meldungen über ein Online-Formular nicht. Erst, als der Betroffene seinen Unmut auf Twitter sowie jetzt auf Facebook öffentlich machte, bekam er eine Rückmeldung. In beiden Fällen zeigte sich Uber schnell einsichtig und überwies die getätigten Abbuchungen wieder zurück - ebenfalls ein Indiz, dass Uber die Schuld bei sich sieht.

"Ich finde es inakzeptabel, dass Uber das Datenleck ein Jahr lang verschwiegen hat und auch nur aktiv wird, wenn geschädigte Kunden von sich aus auf die missbräuchliche Verwendung hinweisen. Da ich innerhalb eines Jahres jetzt schon zwei Mal betroffen war, deutet das wohl darauf hin, dass sie ihre Systeme nicht wirklich im Griff haben", sagt Käferle zur futurezone. Auf Anfragen nach den genaueren Umständen der Vorfälle reagiert Uber nach Zusage der Rücküberweisung nicht mehr.

"Keine Details"

Auch gegenüber der futurezone zeigt sich Uber zum Datenleck wenig auskunftsfreudig. "Wir sind dabei, verschiedene Regulierungs- und Regierungsbehörden zu benachrichtigen und gehen davon aus, dass wir mit ihnen in einem anhaltenden Austausch stehen werden. Solange wir diesen Prozess nicht abgeschlossen haben, sind wir nicht in der Lage, auf weitere Details einzugehen", teilt Uber in einer schriftlichen Stellungnahme mit.

Dass Uber für das Vertuschen des Datendiebstahls in Österreich belangt wird, ist unwahrscheinlich. Eine Verpflichtung ein "Datenleck" den Behörden zu melden, sei nach derzeitiger Rechtslage, außer für Rechtsträger, die dem Telekommunikationsgesetz unterliegen, nicht vorgesehen, heißt es aus der Datenschutzbehörde. Betroffene hätten zwar "unverzüglich" informiert werden müssen, allerdings gebe es bei der Informationspflicht zahlreiche Ausnahmen. Generell ist die Strafandrohung bei einem solchen Versäumnis mit einer Verwaltungsstrafe von maximal 10.000 Euro eher bescheiden. Ab Mai 2018, wenn die neuen europäischen Datenschutzregeln durchgesetzt werden, drohen Unternehmen allerdings empfindliche Strafen bis zu 20 Millionen Euro bzw. vier Prozent des weltweiten Jahresumsatzes.

Ein Kunde weniger

Käferle, der den Dienst bisher recht häufig in Anspruch nahm, zieht seine eigenen Konsequenzen aus dem Datendiebstahl und der intransparenten Kommunikation. "Ich werde Uber auf gar keinen Fall mehr verwenden", sagt Käferle zur futurezone. Nach seinem Posting auf Facebook sollen sich zudem weitere Uber-Nutzer aus Österreich bei ihm gemeldet haben, die von ähnlichen Problemen berichten. Ob diese Fälle ursächlich mit dem großen Datenbank-Leck oder anderen Sicherheitsproblemen zusammenhängen, ist derzeit noch unklar.