Nordkorea in Verdacht
Was Firmen aus dem Sony-Hack lernen können

Selbst James Bond war nicht sicher: Hacker konnten bei Sony große Mengen wertvoller Daten stehlen, darunter das Skript zum neuen 007-Film. Der Cyberangriff ist kein Einzelfall – wie Firmen sich schützen können.
  • 2

DüsseldorfEs klingt nach einem Drehbuch aus Hollywood. Unbekannte Hacker konnten ins Netzwerk des Filmstudios Sony Pictures eindringen – und es scheint so, als hätten sie fast alle geheimen Informationen des Filmstudios erbeutet. Bis heute haben die Angreifer mehrere Gigabyte Daten aus dem Innersten der Firma ins Netz gestellt: die E-Mails des Managements, Kosten und Erlöse von Filmen und Serien, Gehälter und Telefonnummern von Schauspielern, Daten von Mitarbeitern samt Leistungsbeurteilungen und Sozialversicherungsnummern. Selbst unveröffentlichte Filme und das Skript der neuen 007-Folge „Spectre“ sind online.

Wäre diese Geschichte zu einem Thriller verarbeitet worden, viele Kinogänger hätten sie wohl unrealistisch gefunden.

Der Schaden erreicht eine bisher ungekannte Dimension, doch der gezielte Angriff auf einen Konzern ist kein Einzelfall. „Es passiert dauernd etwas, nur geraten die wenigsten Fälle in die Presse“, sagt Professor Marko Schuba von der Fachhochschule Aachen. Denn Cyberkriminelle und Spione rüsten seit einiger Zeit mächtig auf – während viele Unternehmen und Behörden nur wenig in die IT-Sicherheit investieren. Der Fall Sony Pictures ist eine drastische Warnung, dass Cyberangriffe zum Totalschaden führen können.

Was sollten Firmen tun, um sich zu schützen?

Mit dem Schlimmsten rechnen

Während viele Firmengeheimnisse im Netz kursieren, ist über die Attacke wenig nach außen gedrungen. Doch auch so ist klar: Es waren Profis am Werk. Sony Pictures spricht von einer „organisierten Gruppe“ und einem „beispiellosen Verbrechen“. Ähnlich sieht es die IT-Firma Mandiant, die dem Filmstudio bei der Aufklärung hilft. Die eingesetzte Angriffs-Software sei mit herkömmlichen Anti-Virus-Programmen nicht aufspürbar, erklärte Firmenchef Kevin Mandia in einem internen Memo, das dem Technologieblog Recode vorliegt. Sein Fazit: „Auf den Angriff hätte sich weder Sony noch eine andere Firma vollständig vorbereiten können.“

Wer hinter dem Angriff steckt, ist bislang unklar – in der Öffentlichkeit nennen sich die Hacker „Guardians of Peace“. Nordkorea ist in Verdacht geraten, in den geleakten E-Mails finden sich aber auch Hinweise auf eine Erpressung. Weder das eine noch das andere käme von ungefähr: Diverse Staaten haben Cyberarmeen aufgebaut, selbst das bitterarme kommunistische Land kann sich das leisten. Gleichzeitig rüstet die organisierte Cyberkriminalität auf, allein in Russland soll es mehrere Gruppen geben, die so mächtig wie staatliche Organisationen sind.

„Es gibt kaum eine Möglichkeit, professionelle Angreifer davon abzuhalten, ins Netzwerk einzudringen“, sagt Jörg Asma, IT-Sicherheitsexperte vom Bonner Beratungsunternehmen Comma Management Consulting (CMC). Er rät daher dringend, den Ernstfall von vornherein mitzudenken: dass die Einbrecher bereits im Unternehmen sind.

IT-Sicherheit als Chefsache

Sony Pictures hat es den Angreifern allerdings auch leicht gemacht. Die Probleme reichen mindestens bis ins Jahr 2011 zurück, als Cyberkriminelle ins Netzwerk des Konzerns eindringen und die Daten von Millionen Playstation-Spielern kopieren konnten. Damals habe der Konzern die Sicherheit im Playstation-Netzwerk erheblich verbessert, aber nicht an anderen Stellen, sagten nun Insider der Nachrichtenagentur Bloomberg.

Das Nachrichtenportal Zeit Online hat einen großen Teil der veröffentlichten Daten analysiert und Schlampereien festgestellt. So sind vertrauliche Informationen wie Passwörter oder eine Liste mit den Gehältern der Spitzenmanager offenbar unverschlüsselt abgespeichert worden. Zudem konnten sich die Hacker nach dem gelungenen Einbruch aller Wahrscheinlichkeit nach mit weitreichenden Zugriffsrechten durchs Netzwerk bewegen – Fachleute sprechen vom Root-Zugriff. Auch wenn sich das im komplexen Netzwerk eines Konzerns nicht vermeiden lässt, sind Fehler passiert. Das Fazit von Zeit Online: Der Hack sei „ein Beispiel dafür, was geschehen kann, wenn es ein Unternehmen im digitalen Zeitalter mit der Datensicherheit nicht so genau nimmt“.

Wie es bei Sony dazu kommen konnte, ist unklar. Um solche Pannen zu vermeiden, machen Unternehmen aber die IT-Sicherheit am besten zu einer Chefaufgabe und ernennen beispielsweise einen Chief Information Security Officer, kurz CISO. Der arbeitet Sicherheitsvorschriften aus – und sorgt im besten Fall dafür, dass sie auch eingehalten werden.

Seite 1:

Was Firmen aus dem Sony-Hack lernen können

Seite 2:

Die Kronjuwelen schützen

Kommentare zu " Nordkorea in Verdacht: Was Firmen aus dem Sony-Hack lernen können"

Alle Kommentare

Dieser Beitrag kann nicht mehr kommentiert werden. Sie können wochentags von 8 bis 18 Uhr kommentieren, wenn Sie angemeldeter Handelsblatt-Online-Leser sind. Die Inhalte sind bis zu sieben Tage nach Erscheinen kommentierbar.

  • Nur interessehalber, bei welcher Fachschaft haben Sie promoviert?

    Die Naturwissenschaften können es ja offensichtlich nicht sein...

    Glauben Sie mir, es benötigt keine geschlossene Elite zur Begründung der Methodik. Ist durch theoret. Souveräne auch schon leicht erklärbar.
    Siehe Videoüberwachungssystem in der westlichen Welt.

    Schönen Tag!

  • Geht es bei solchen Artikeln wirklich um die Sicherheit im Netz?

    Oder verfolgen die Medienmacher ein anderes Ziel?

    Das Internet ist heute die einzige Möglichkeit frei an Informationen zu kommen ohne Zensur der geheimen Eliten (Die Bilderberger).

    Wollen die geheimen Eliten das freie Internet unter dem Vorwand der Sicherheit zensieren?

    Eine Strategie der geheimen Eliten zur Gesellschafts-Manipulation:

    Erzeuge Probleme und liefere die Lösung!

    Diese Methode wird die "Problem-Reaktion-Lösung" genannt.

    Es wird ein Problem bzw. eine Situation geschaffen, um eine Reaktion bei den Empfängern auszulösen, die danach eine präventive Vorgehensweise erwarten.

    Verbreite Gewalt oder zettle blutige Angriffe an, damit die Gesellschaft eine Verschärfung der Gesetze auf Kosten der eigenen Freiheit akzeptiert.

    Quelle: Sylvain Timsit "10 Strategien zur Gesellschafts-Manipulation"

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%