Es war der bis dato größte Datendiebstahl auf ein Unternehmen: Im November 2014 erbeuteten Angreifer im Grunde den gesamten Datenbestand von Sony Pictures Entertainment (SPE). Insgesamt bis zu 100 Terabyte an Daten wurden dabei exfiltriert, von pikanten E-Mails über personenbezogene Daten etlicher Mitarbeitender und Künstler bis zu kompletten Filmen und Folgen von Erfolgsserien wie „Game of Thrones“. Es wurde recht schnell deutlich, dass es sich hierbei in erster Linie um einen politischen Akt gehandelt hat, in deren Zentrum die Komödie „The Interview“ steht. Somit hat ein letztlich recht harmloser Film über einen geplanten Mordanschlag auf Nordkoreas Staatsoberhaupt Kim Jong-un zu weitreichenden und lange nachwirkenden Folgen geführt.
Die Mitarbeitenden von Sony waren in einer Weise betroffen, wie es bei früheren Cybervorfällen nicht der Fall war.
„Ich koordinierte als FBI-Mitarbeiter einen Großteil der Analysen und Berichte über den Sony-Vorfall, und unsere Büros in St. Louis und Los Angeles waren eng mit Sony in Kontakt und taten alles, was sie konnten, um die Mitarbeitenden zu unterstützen“, erklärt Charles Garzoni, jetzt Deputy CISO and Staff VP of Cyber Defense Operations von Centene, im Rahmen des Varonis Data-First-Forums. Die Bedrohung beschränkte sich dabei nicht nur auf den Diebstahl und die Veröffentlichung der Daten, sondern richtete sich teilweise auch direkt gegen Angestellte und ihre Familien. „Die Mitarbeitenden von Sony waren in einer Weise betroffen, wie es bei früheren Cybervorfällen nicht der Fall war“, so Garzoni. So gaben die Angreifer etwa an zu wissen, auf welche Schule die Kinder gehen, und drohten mit Bombenanschlägen. Der Angriff auf Sony war somit der erste Fall, in dem ein Cyberangriff auf die reale Welt übergegriffen ist. Zudem war es der wohl erste Angriff, bei dem der Diebstahl nicht das Ziel war, sondern eher Mittel zum eigentlichen Zweck – den Angriff auf das politische System und die Meinungsfreiheit. „Bei ATPs denken wir vor allem an den Diebstahl geistigen Eigentums. Die Angreifer versuchen sich dabei möglichst unauffällig zu verhalten, um möglichst viele Informationen zu entwenden“, so Charles Garzoni. Der Angriff auf Sony liegt aber anders: „Hier gab es ein anderes Land, das uns wegen unserer Meinungsfreiheit angegriffen hat. Und das hatte gravierende Auswirkungen auf die nationale Sicherheit: Wie sollen wir als Land darauf reagieren? Welche Konsequenzen werden wir einem Nationalstaat auferlegen, der einen Cyberangriff auf ein Unternehmen verübt, weil es einen Film produziert hat?“
Ein Angriff auf ein amerikanisches Unternehmen ist ein Angriff auf Amerika.
Der damalige US-Präsident Barack Obama bezeichnete den Angriff nicht als kriegerischen Akt, sondern als „Cyber-Vandalismus“, der allerdings Konsequenzen nach sich ziehen würde. So wurden beispielsweise weitere Sanktionen gegen Nord-Korea verhängt. „Das war insofern etwas entmutigend, als dass wir sofort eine klare Linie hätten ziehen sollen. Wir hätten deutlich machen müssen: Tut das nicht!“ so Garzoni. Matt Radolac, Vice President, Incident Response and Cloud Operations von Varonis, stimmt ihm hierbei zu: „Die Bewertung als Cyber-Krieg ist sicherlich zu hoch, allerdings ist die Einstufung als Cyber-Vandalismus zu schwach. Zumal der Präsident in dieser Zeit gesagt hat, dass ein Angriff auf ein amerikanisches Unternehmen ein Angriff auf Amerika ist.“
Wenn Sie eine Bank wären, müssten Sie schließen.
„Für mich ist das Interessanteste an dem Angriff auf Sony nicht einmal die Datenschutzverletzung selbst, sondern eher das, was im Vorfeld passiert ist“, sagt Mario DiNatale, CISO des US-amerikanischen Rückversicherers OdysseyRe. „Unmittelbar vor dem Einbruch wurde der Direktor für Informationssicherheit, Jason Spaltrow, einem SOX-Audit unterzogen. Und die SOX-Auditoren sagten: Sie haben keine komplexen Passwörter. Sie verschlüsseln Ihre Daten nicht. Sie verwenden keine MFA. Wenn Sie jetzt eine Bank wären, müssten Sie schließen. Und seine Antwort lautete: ‚Ich gebe nicht zehn Millionen aus, um eine Sicherheitslücke von einer Million Dollar zu beseitigen.‘ Aus wirtschaftlicher Perspektive mag das stimmen, aber diese Aussage zeugt von mangelnder Ethik und schlechtem Urteilsvermögen.“ Wären ein paar grundlegende Maßnahmen zur Cyber-Hygiene umgesetzt worden, hätte der Angriff wahrscheinlich verhindert werden können. „Das Ergebnis waren geleakte Filme, geleakte interne Memos, alle Arten von wirklich marken- und geschäftsschädigenden Informationen von Sony, die allesamt hätten vermieden werden können. Bei den Empfehlungen aus dem Audit handelt es sich um einige ziemlich grundlegende Dinge. Hätte der Sicherheitsverantwortliche etwas weniger arrogant und etwas ethischer gehandelt, wäre das alles nicht passiert.“
Der Cyberangriff auf Sony, seine wirtschaftlichen und politischen Folgen haben die Cybersecurity-Welt nachhaltig verändert. Der Wert von Daten, seien sie geistiges Eigentum, vertrauliche Nachrichten oder persönliche Informationen, drangen durch ihn in das kollektive Bewusstsein, nicht nur von Cybersecurity-Experten. Allerdings führte er nicht zu umfassenden Maßnahmen, sei es auf Regierungsebene oder auf Seiten der Unternehmen. Andernfalls hätte es nicht die ständige Zunahme von Attacken auf Unternehmensdaten gegeben, wie die in den Folgejahren immer weiter steigenden Ransomware-Angriffe.
