DüsseldorfWieder haben Hacker zahlreiche Datensätze von einer Sony-Website entwendet. Nach eigenen Angaben bedienten sie sich dabei einer bekannten und sehr einfachen Angriffsmethode. "Unser Ziel ist es nicht uns als die großen Meisterhacker zu präsentieren, deshalb sagen wir es euch: Sonypictures.com wurde Opfer einer ganz simplen SQL Injection", schreibt die Gruppe Lulz Security. Bei einer SQL Injection wird durch einen Fehler in der Datenbanktechnik einer Website Code eingeschleust. Sony Pictures Entertainment vertreibt Fernseh- und Filminhalte und ist eine US-Tochter des japanischen Unternehmens Sony. In einer offiziellen Stellungnahme teilte Sony Pictures Entertainment mit, das Unternehmen habe mehrere veröffentlichte Datensätze überprüft. Die Daten stimmten mit den tatsächlichen Adresse der Kunden überein.
Mit dieser simplen Methode stürzten sie Sony in einen Alptraum. "Wir sind gerade bei Sonypictures.com eingebrochen und an mehr als 1.000.000 persönliche Nutzerdaten gelangt, einschließlich Passwörter, E-Mail-Adressen, Postadressen und Geburtsdaten", erklärte die Hackergruppe im Internet. Aus Mangel an Ressourcen seien nicht alle Daten kopiert worden, sondern nur eine Auswahl.
Es sei eine der "primitivsten und gewöhnlichsten Schwachstellen". "Mit dieser einen Schwachstelle konnten wir auf ALLES zugreifen", stellen die Hacker empört fest. Theoretisch hätte sie sämtliche gespeicherten Daten erbeuten können, aber das hätte Wochen gedauert, teilte Lulz Security weiter mit.
Eine der gebräuchlichsten Methoden, Daten abzufangen, ist die Einschleusung sogenannter Trojanischer Pferde auf zentrale Rechner. Dabei wird eine Software meist per E-Mail oder über infizierte Webseiten auf dem attackierten Computer installiert, die dort gespeicherte Daten meist ohne Wissen des Benutzers abruft und weiterschickt. Trojanische Pferde können sich auch in Fotos, Dokumenten oder auf Speichermedien verbergen.
Beim sogenannten Phishing versuchen sich Datendiebe meist über gefälschte Webseiten Konten- oder Kreditkartennummern, TANs, PINs oder Passwörter der Opfer zu angeln. Häufig bauen sie dafür bis ins Detail den Internetauftritt von Banken, Versicherungen oder anderen Institutionen nach. Danach verschicken sie E-Mails, um Kunden per Klick auf einen enthaltenen Link auf die getürkte Seite zu führen. Dabei wird das Opfer aufgefordert, sensible Daten einzugeben, die dann zusammen mit der Identität der Opfer missbraucht werden.
Diese Art von Schadsoftware wandert über ähnliche Wege wie Trojaner in den Computer ein und zeichnet die Tastenanschläge des Benutzers auf, um sie an Datendiebe weiterzuleiten. Diese Tasten-Speichersysteme machen für die Täter Passwörter ersichtlich, selbst wenn die Übermittlung an die passwortgeschützte Webseite verschlüsselt erfolgt. An öffentlich zugänglichen Computern können Datengangster auch kleine Geräte zwischen Tastatur und Rechner schalten, die dann die Eingaben des Benutzers zeigen und so Daten und Zugänge erschließen lassen.
Dabei versuchen die Hacker über Programmierattacken in Zentralrechner oder Netzwerke einzudringen. In offenen Netzwerken wie unverschlüsselten WLANs ist dies sehr einfach, in geschützten Bereichen gestaltet sich das schwieriger. Immer wieder hatten solche Angriffe auf Behörden wie die NASA oder das US-Verteidigungsministerium für Schlagzeilen gesorgt. In den vergangenen Jahren haben diese klassischen Attacken, bei denen Systeme nach Sicherheitslücken abgeklopft und Zugangsschranken und -codes geknackt werden, eher abgenommen, da sie im Vergleich zu Trojanern verhältnismäßig aufwändig sind.
Zwischenfälle mit sensiblen Daten sind allerdings nicht nur auf professionelle Hacker-Software zurückzuführen, sondern mitunter auch den blanken Zufall oder Unaufmerksamkeit. Dazu zählen auf EC-Karten notierte Geheimzahlen, Haftnotizen mit Passwörtern am Computerbildschirm oder fehlgeleitete Informationen.
Vor einigen Jahren erregte eine Panne der Landesbank Berlin Aufsehen. Zwei Kurierfahrer hatten sich über einen von der LBB verschickten Christstollen hergemacht und dann Etiketten von Päckchen vertauscht, um ihren Mundraub zu vertuschen. Prompt landeten tausende Kreditkartendaten in der Redaktion der „Frankfurter Rundschau“, für die eigentlich die Weihnachtsleckerei gedacht war.
Der Anwalt des Publizisten Michel Friedman schickte 2003 ein Fax mit Details aus Ermittlungsberichten versehentlich an eine Pizzeria, die das Schreiben an die Medien weiterreichte.
