Der Sony-Hack: Wertvolle Daten sind Freiwild

Der Schock sitzt noch: Wir haben gerade erst selbst als Organisation auf traurige Weise gelernt, wie die kleinste Lücke im Schutz von Webseiten und Webapplikationen ausgenutzt wird. Während unsere Web Application Firewall in einem Wartungsintervall deaktiviert war, gelang Hackern der Zugriff auf Daten von Mitarbeitern und Partnern. Eine detaillierte Beschreibung findet sich im BarracudaLabs Blog. Jetzt erinnert uns der weitaus dramatischer Fall Sony mit 77 Millionen betroffenen Nutzern, daran, dass selbst sehr hohe technische Sicherheitsvorkehrungen keine absolute Sicherheit garantieren: Gespeicherte Daten sind immer Gefahren ausgesetzt.

Eine Studie deckte im Februar enorme Mängel sowohl beim praktischen Schutz von Web-Applikationen als auch beim Wissen darüber auf: So verlassen sich 69 Prozent der befragten IT- und Security-Profis auf Netzwerk-Firewalls, um ihre Websites zu schützen. 72 Prozent testen weniger als 10 Prozent ihrer Web-Applikationen auf Sicherheitslöcher – und das, obwohl fast drei Viertel (73 Prozent) aller Organisationen angeben, dass sie in den letzten 24 Monaten erfolgreich gehackt wurden. Eine solche Naivität im Umgang mit ihren Webressourcen will ich Sony aber nicht unterstellen: Wie das Handelsblatt darstellt, kannte Sony seit Jahren die Gefahr, die durch Hacker ausging. Das Unternehmen hatte sich den Zorn der Linux-Gemeinde zugezogen als es kostenlose Spiele von Dritten von der PlayStation verbannte. Anfang April gelang es Internet-Aktivisten von Anonymous durch einen Dos-Angriff, das PlayStation-Netzwerk kurzzeitig lahmzulegen.

Das Unternehmen gibt in seiner Erklärung zum Vorfall bislang keine Details zur Art des Angriffs preis. Wenn wir aber davon ausgehen, dass Sony die grundlegenden Regeln zum Schutz von Webseiten beachtet hat und vor allem eine Web Application Firewall im Einsatz war, liegen drei Schlüsse nah:

  • Die Sicherheitstechnologien haben nicht gegriffen: Es wurde beispielsweise ein noch unbekannter, eigens entwickelter Schadcode verwendet. Eine große Webseite nutzt unzählige Software-Komponenten und Applikationen. Denkbar ist beispielsweise ein Exploit, der Sicherheitslücken in Software-Komponenten der Website, der Datenbanken oder des Netzwerks ausnutzen, die entweder erst seit kurzem bekannt sind, oder noch gar nicht veröffentlicht wurden.
  • Die Sicherheitstechnologien waren auf andere Bedrohungen ausgerichtet: Sony hat vielleicht zu sehr auf die öffentlichen Bedrohungen der Linux-Gemeinde und Anonymous geachtet, die eher politischer Natur waren. Ein Denial-of-Service ist eine gängige Sabotage-Methode, die das Ziel verfolgt, einen Dienst unzugänglich zu machen. War das Sonys größte Sorge? Dann hätte man hat quasi nach Terroristen gefahndet – und normale Gauner durchgelassen, die einen kommerziell motivierten Datenklau begehen konnten.
  • Der Angriff enthielt Social-Engineering-Komponenten: Social Engineering nennen Hacker den Einsatz nicht-technischer Mittel. Letztlich ist es klassischer Trickbetrug. Die Cyberkriminellen geben beispielsweise am Telefon vor, ein Abteilungsleiter oder IT-Admnistrator zu sein und verlangen unter einem Vorwand das Passwort eines Nutzers. Mit Social Engineering lässt sich fast jede technische Schranke umgehen.

In jedem Fall dürften die Angreifer keine Kosten und Mühen gescheut haben.  Adresse, E-Mail-Adresse, Geburtsdatum, Passwörter und (vermutlich) Kreditkartendaten von  PlayStation-Nutzern lassen sich auf vielfältigste Weise zu Geld machen: Spam, Kreditkartenbetrug, Botnetze und vor allem der Weiterverkauf der Daten sind lukrative Geschäftsfelder. 77 Millionen Datensätze auf einmal, wenn das kein Fang ist! Und wenn das Ziel die Mittel rechtfertigt, arbeiten hochqualifizierte Teams monatelang daran, eine Lücke technischer oder organisatorischer Art zu finden. (Der extremste Fall eines hohen Mitteleinsatzes auf Seiten der Hacker ist nach wie vor Stuxnet.) Die Systeme sind von Menschen gemacht und werden von Menschen gewartet: Selbst wenn heute keine Sicherheitslücke zu finden wäre, gibt es vielleicht morgen eine.

Drei Lehren ziehe ich aus diesem vielleicht größten Datenklau: Erstens, dass wir nie genug tun können, um die Sicherheit von Daten zu gewährleisten, die man uns anvertraut. Aber zweitens auch, dass diejenigen Daten am sichersten sind, die wir gar nicht speichern. War es wirklich bei allen 77  Millionen Betroffenen notwendig, die vollen Daten zu erheben und auf Dauer vorzuhalten? Hätte man Daten löschen oder reduzieren können? Drittens lässt der Fall Sony – eines Unternehmens, das sich der Bedrohung durch Hacker bewusst sein musste – einen erneut bezweifeln, ob etwa Telefonprovider Vorratsdaten oder Staaten Patientendaten besser sichern können.