Sicherheits-GAU bei Sony: Hacker wollen Unternehmen auslöschen

[DMW007]

Vor einigen Tagen wurde Sony mal wieder gehackt: Laut einem Mitarbeiter soll ein Bild mit dem Text "Hacked by #GOP" auf allen Computern der Firma Sony Pictures in verschiedenen Niederlassungen erschienen sein. Über den Twitter-Account wurden Hackerbotschaften verbreitet. Die Gruppe Guardians of Peace (GOP) veröffentlichte letzten Montag zahlreiche Dokumente mit brisanten Informationen wie Bilanzen bis hin zu Zugangsdaten für Sony-Server, insgesamt handelt es sich um 25GB Material. Am selben Tag wurde Sonys Android-App namens Backup and Restore durch eine veränderte Version ersetzt, in deren Beschreibung der Vermerk Managed By : HeArT HaCkEr Group hinzugefügt wurde.

Offensichtlich konnten die Hacker Zugriff auf die gesamte Infrastruktur von Sony erlangen, was sicherheitstechnisch einem Super-GAU gleichkommt. Laut GOP sollen mehrere hundert Terabyte Daten erbeutet worden sein. Die Hacker fordern kein Geld, sondern lediglich, dass Sony seine Fehler einräumt. Sollte dies nicht geschehen wollen sie nicht nur das umfangreiche Datenmaterial veröffentlichen, sondern die Firma Sony komplett auslöschen. Auch Mitarbeiter sowie deren Familien seien dann in Gefahr. Entsprechende Drohungen wurden von Sony gegenüber der New York Times bestätigt.

Als möglicher Grund wurde der von Sony produzierte Film The Interview vermutet. Die GOP verneinte dies, stuft den Film aber dennoch als gefährlich ein: Sony würde Sicherheit und Frieden in Nordkorea sowie die Menschenrechte verletzten, nur um Geld zu verdienen. Ihrer Ansicht nach würde der Film einen solchen Angriff rechtfertigen, auch wenn dies nicht der Grund für ihren Angriff darstellt. Des Weiteren wurden diverse Gerüchte laut, das FBI oder Nordkorea selbst würde hinter dem Angriff stecken. Beweise gibt es bisher keine dafür, und das bisherige Verhalten der Hacker spricht eher dagegen.

Sony ist in der Vergangenheit bereits öfter durch massive Sicherheitslücken aufgefallen. Grob fahrlässiges Verhalten seitens Sony hat diese Angriffe erheblich verschlimmert und manche sogar erst ermöglicht: So wurden 2011 sämtliche Kundendaten der Firma gestohlen, inklusive Kreditkartendaten und Passwörter. Diese wurden vollkommen ungeschützt im Klartext gespeichert, was sicherheitstechnisch nicht annähernd dem damaligen Standard entsprach. Erst vor gut zwei Monaten gab es erneut eine schwere Lücke, die Zugriff auf intime Daten der Kunden ermöglichte. Auch hier wurde bei weitem nicht angemessen gehandelt: Sony unternahm Wochenlang nichts, obwohl die Lücke sogar freiwillig dem Unternehmen gemeldet wurde.

Das FBI hat sich eingeschaltet, jedoch ohne Ergebnis - Trotz massenhafter Überwachung, die solche Vorfälle angeblich viel besser aufklären soll, jedoch offensichtlich keinen Nutzen hat.

UPDATE 20.12.2014:

Das FBI behauptet, Nordorea sei für den Angriff verantwortlich. Dies soll anhand von Codezeilen, Verschlüsselungsalgorithmen und starken Ähnlichkeiten zu vergangenen Angriffen für die Nordkorea verantwortlich war bewiesen worden sein. Nähere Details wollte das FBI aus Sicherheitsgründen nicht nennen. Nordkorea bestreitet weiterhin eine Beteiligung an den Vorfällen. Sony hat derweil die Premiere des Filmes "The Interview" zurückgezogen, was US-Präsident OBama als Fehler bezeichnete. Gleichzeitig kündigte er neue Gesetze an, die eine engere Zusammenarbeit zwischen öffentlichem und privatem Sektor vorsehen. Gleichzeitig relativierte er die Schuldzuweisungen des FBI allerdings: Hackerangriffe kämen sowohl von Staaten als auch von unabhängigen Gruppen, argumentierte der Präsident.

Die Hackergruppe GOP drohte mit einem "Weihnachtsgeschenk" und verwies auf den 11. September, was als Drohung zu Terroranschlägen aufgefasst werden kann. Außerdem warnen sie davor, sich in der Nähe von Kinos aufzuhalten oder dort zu wohnen. Trotz abgesagter Premiere überlässt Sony den Kinos selbst die Entscheidung, den Film nach der abgesagten Premiere zu zeigen. Da sich Kinos in den USA häufig in der Nähe von Shopping Malls befinden, könnte ein Anschlag viele Verletzte und Tote zur Folge haben.

Der CEO der Kinokette Look Cinemas kündigte an den Film im Falle einer Veröffentlichung zeigen zu wollen. Seiner Meinung nach haben die Leute ein Recht darauf den Film zu sehen. Zensur hält er "für eine schlimme Sache".

Nachdem Obama ankündigte, zu gegebener Zeit auf die Angriffe reagieren zu wollen, antwortete Nordkorea: Man sei auf allen Wegen kriegsbereit, auch im Cyberspace, um ebenfalls entsprechend antworten zu können.

UPDATE 23.12.2014:

Sony möchte den bislang zurückgezogenen Film The Interview nun doch auf anderem Weg veröffentlichen: Sony möchte, dass die Öffentlichkeit den Film sieht, erklärte der Chef von Sony Entertainment. Dazu werde momentan die Möglichkeit geprüft, den Film auf Youtube oder anderen Video-on-Demand Plattformen zu zeigen. Man würde den Film jederzeit wieder machen, nur mit dem heutigen Wissen würden ein paar Details verändert werden.

UPDATE 27.12.2014:

The Interview wurde nun doch veröffentlicht und in über 300 US-Kinos gezeigt, die nicht selten ausverkauft waren. In den USA ist er außerdem auf diversen Plattformen wie Youtube oder dem Google Play Store erhältlich, außerdem auf der offiziellen Internetpräsenz seetheinterview.com. US-Präsident Obama begrüßte die Veröffentlichung, Nordkorea hingegen zeigte sich empört und bezeichnete den Film als "eine unverzeihliche Verhöhnung unserer Staatshoheit und der Würde unseres obersten Führers". Gleichzeitig wurde eine Reaktion auf die Veröffentlichung ausgeschlossen sowie erneut darauf hingewiesen, dass Nordkorea mit dem Angriff auf Sony nichts zutun habe.

Quellen: golem.de, heise.de, csoonline.com, faz.net, chip.de

Zwar nicht gerade der schönste Weg für alle Betroffenen, aber wohl leider der einzige Wirkungsvolle.
Dass eine riesen Firma wie Sony so derart fahrlässig mit den Daten Ihrer Kunden umgeht, ist eine Schande. Vollkommen inakzeptabel, für solches Verhalten gibt es keine Entschuldigung.
Dementsprechend finde ich es gut, dass Sony für ihre Dreistigkeit endlich mal eins auf den Deckel bekommt - wenn schon nicht durch die Kunden, dann besser so als gar nicht.
Wenn Sony nicht bereit ist sich um 180° zu drehen sollen sie die ruhig kaputt machen. Auch wenn sie ein paar brauchbare Produkte entwickelt haben, auf so ein Skandalunternehmen das mit seinen Kunden so umgeht verzichte ich gerne. Auch wenn ich bezweifle, dass ihnen das gelingt. Sonys Ruf ist bereits im Eimer, und die Leute kaufen bzw. nutzen den Kram immer noch.

Nicht zu verachten ist natürlich auch die abschreckende Wirkung auf andere Kandidaten, die IT-Sicherheit anscheinend für unwichtig halten (Apple, WhatsApp *hust*). So was dürften die sich wohl in Zukunft 2x überlegen, wenn solches Verhalten nicht nur schlechte Presse die nach ein paar Tagen eh alle vergessen haben mit sich zieht sondern auch den Ärger einiger Hacker, die als Reaktion mal eben das gesamte Unternehmen lahmlegen. Laut Medienberichten mussten die Mitarbeiter Tagelang auf Papier und Stift umsteigen...

Nebenbei gesagt auch ein weiterer Beleg für den fehlenden Nutzen der massenhaften Überwachung: Die Tatsache, dass die Regierung das gesamte Internet überwacht aber offensichtlich keine Ahnung hat wer via Internet ein Milliardenunternehmen komplett lahmlegt, spricht ja wohl Bände. Die Totalüberwachung ist also nicht nur vollkommen unverhältnismäßig, sondern hat in der Praxis auch noch keinen Nutzen und ist somit als doppelt fragwürdig zu betrachten...

[Sky.NET]

Du hast vergessen zu erwähnen dass die ein xls file mit allen Passwörtern und Accounts ungeschützt im Netzwerk liegen hatten, zugreifbar für Jedermann...
Wer so arbeitet, gehört bestraft, eig. gehört der auch noch geschlagen, jeden Tag, bis ers verstanden hat.

peinlich...

Man sollte allerdings differenzieren, dass es sich dieses Mal um Sony Pictues handelt und nicht wie letztes Mal um Sony Entertainment, das sind praktisch 2 verschiedene Firmen unter der selben Fahne. SE wird aus dem Fail vom letzten Mal wohl gelernt haben, wies bei SP aussieht wissen wir ja jetzt xD
Ma sehn ob weiter lustig Sony-Firmen gehackt werden.

[StarWarsFan]

Du hast vergessen zu erwähnen dass die ein xls file mit allen Passwörtern und Accounts ungeschützt im Netzwerk liegen hatten, zugreifbar für Jedermann...

Schon wieder? Oder meinst du das damals in 2011? Da wurde die doch schon mal geklaut und alle Pws waren im Internet

Man sollte allerdings differenzieren, dass es sich dieses Mal um Sony Pictues handelt und nicht wie letztes Mal um Sony Entertainment, das sind praktisch 2 verschiedene Firmen unter der selben Fahne.

Die gehören doch alle zu Sony?! Über Sony hört man doch ständig was von irgendwelchen Hacks. Ich denke auch nicht dass Sony manche seiner Firmen ganz scheiße sichert und die anderen super top das wäre ja komisch.
Rechtlich sind es 2 verschiedene ja aber das wird für die Sicherheit egal sein denk ich mal.

[Sky.NET]

Es haben bei den beiden Firmen aber verschiedene Leute das Sagen, es gibt verschiedene IT-Teams, andere Chefs, Mitarbeiter, Gebäude, Ausstattung, Budgets usw usw usw...
Macht schon Sinn da zu differenzieren.

[StarWarsFan]

Ich verstehe worauf du hinaus willst, aber so richtig Sinn macht es für mich nicht.
Selbst wenn die getrennt sind muss es doch eine Art "Sony-Leitung" geben die wiederum die einzelnen Chefs der Firmen kontrolliert.
Und selbst wenn es die nicht gebe, sind alle Hacks durch sämtliche Medien gegangen.
Es kann also nicht sein, dass Sony Pictures nichts vom Hack damals bei Sony Entertainment mitbekommen hat. Wenn ich als Chef oder Sicherheitsverantwortlicher davon erfahre dass die eigene Tochterfirma so massiv gehackt wurde, überprüfe ich doch als erstes meine eigenen Systeme um festzustellen, ob diese mit den gehackten identisch sind? Und selbst wenn es sie nicht sind würde ich eine Sicherheitsüberprüfung des gesamten Systemes durchführen, bevor ich am Ende ebenfalls gehackt werde.
Ich verstehe leider nicht viel von der Struktur großer Firmen, aber ich denke das braucht man auch nicht weil es logisch sein sollte so etwas zu tun.
Wenn in meine Haustür eingebrochen wurde, ersetze ich doch auch nicht nur die Vordertür sondern prüfe ob meine Hintertür vllt auch unsicher ist und ersetze sie ebenfalls wenn ja, sonst ist das Wasser in Bach tragen wenn die Einbrecher dann einfach durch die Hintertür kommen...

[Sky.NET]

Du alleine, als Person vielleicht.
Die Firmen wie Sony sind dann aber Häuser mit um die 100000 Türen, wo du als Vorstand dank autonomer Unterfirmen, interner und externer Dienstleister, immer wieder neuen, intern gegründeten Gruppen usw. schon gar nicht mehr weißt wie viele Türen es genau gibt und wo die überhaupt sind.

Daher macht es Sinn, sich ab ner bestimmten Größe nach ISO zertifizieren zu lassen, da kommt dann jedes Jahr ein Prüfer in jede Dienststelle und guckt ob alles so läuft wie es soll, oder macht halt ne Liste was ausgebessert werden muss.
Aber Sony isn Japaner, denen ist ausser Gewinnmaximierung sowieso alles egal, und wenne intern den Mund auf machst, wirst eben gekündigt (Traditionsunternehmen...).

Also liebe Sony, wenn ihr das hier lest (xD Weltforum U-Labs haha):
http://de.wikipedia.org/wiki/ISO/IEC_27001

Die internationale Norm ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements spezifiziert die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung der IT-Risiken innerhalb der gesamten Organisation.

[redzed]

Sicher Sony ist von der Software und vom SEN nicht so das wahre aber gleich immer auf Sony losgehen ist in meinen Augen bescheuert. Mal schauen ob auch Anonymous gegen die vorgehen wollen sowie bei bei diesen DDOS Kinder mit ihren Scripts diese Lizard Squad Typen da.

[Sky.NET]

@Redzed
Sony ist auf sich selbst los gegangen... solche IT-Zustände kann man nur als geplanten Selbstmord bezeichnen.
Btw. ist für den Hack wahrscheinlich Nord-Korea verantwortlich, und nicht irgendeine Kiddie-Hacker-Gruppe.

[DMW007]

Sony geht mit der Sicherheit ihrer Kunden grob fahrlässig um und missachtet grundlegende Sicherheitsstandards, nebenbei gesagt geht es dabei auch um sehr intime Daten wie Passwörter oder gar private Daten der Mitarbeiter.
Solche absolut nicht akzeptablen Misstände anzuprangern ist in deinen Augen also bescheuert? Dann will ich lieber nicht wissen was du als angemessen findest, totale Anarchie wo jeder tun und lassen kann was er will?
An diesem fatalen geschehen ist alleine Sony schuld, wer im Winter mit abgefahrenen Sommerreifen unterwegs ist braucht sich nicht wundern, wenn er gegen einen Baum fährt.
Das hat auch nichts mit Sony im speziellen zutun, ich prangere Misstände von ALLEN Firmen an. Vollkommen egal ob Apple, Sony oder sonst jemand Mist baut. Wenn es sein muss auch Firmen die mag, wobei ich äußerst enttäuscht wäre wenn die sich jemals so dämlich verhalten würden...

[Weedstar]

Ich habe alle Hacks der letzten Zeit verfolgt, auch die von ebay etc. In vielen Fällen stellt sich hinterher raus, dass die gehackten Systeme einfach schlecht gesichert waren und die gehackten Firmen es viel sicherer machen könnten. Seit ein paar Monaten stelle ich mir daher die Frage, ob die Firmen alle zu Knausern verkommen sind, denen alles am Arsch vorbei geht ausser der Profit?
Natürlich hat eine Firma das Ziel Geld zu verdienen. Ich gehe auch nicht nur zum Spaß jeden Tag arbeiten. Aber man kann doch nicht aus reiner Profitgier die Sicherheit vernachlässigen? Das finde ich nicht in Ordnung. Es sieht mir aber so aus, als ob immer mehr Firmen in letzter Zeit denken es wäre klug an der Sicherheit ihrer Technik Geld zu sparen. Ich finde das beängstigend weil es bald keine Firmen mehr gibt bei denen man unbesorgt Kunde sein kann!
Ich meine sogar Apple schlampt stark bei der Sicherheit, und Apple war ja eine Firma mit sehr gutem Ruf die zwar teuer ist aber dafür gute Leistungen liefert was ja noch ok ist.
Werden die Firmen wirklich immer unsicher oder kommt es mir nur so vor?
Ich kann leider keinen Vergleich ziehen ob es z.B. vor 10 Jahren besser oder schlechter war weil ich noch nicht so alt bin :x