Angriff auf Sony im November 2014 als Menetekel für die Cyber-Welt

Damals hatte sich der bis dato größte Datendiebstahl auf ein Unternehmen per Cyber-Angriff ereignet

[datensicherheit.de, 05.12.2023] Varonis wirf in einer aktuellen Stellungnahme einen Blick zurück in den November 2014: Demnach hatte sich damals „der bis dato größte Datendiebstahl auf ein Unternehmen“ ereignet –Cyber-Angreifer erbeuteten dabei im Grunde den gesamten Datenbestand von Sony Pictures Entertainment (SPE). Insgesamt sollen bis zu 100 Terabyte an Daten exfiltriert worden sein – von pikanten E-Mails über personenbezogene Daten etlicher Mitarbeiter und Künstler bis zu kompletten Filmen und Episoden von Erfolgsserien wie „Game of Thrones“. Es sei damit recht schnell deutlich geworden, dass es sich hierbei in erster Linie um einen politischen Akt gehandelt habe, in dessen Zentrum die Film-Komödie „The Interview“ stehe.

Sony-Mitarbeiter in einer Weise betroffen, wie es bei früheren Cyber-Vorfällen noch nicht der Fall war

„Ich koordinierte als FBI-Mitarbeiter einen Großteil der Analysen und Berichte über den Sony-Vorfall, und unsere Büros in St. Louis und Los Angeles waren eng mit Sony in Kontakt und taten alles, was sie konnten, um die Mitarbeitenden zu unterstützen“, berichtete Charles Garzoni, jetzt „Deputy CISO and Staff VP of Cyber Defense Operations“ bei Centene, im Rahmen des „Varonis Data-First-Forums“.

Die Bedrohung habe sich dabei nicht nur auf den Diebstahl und die Veröffentlichung der Daten beschränkte, sondern habe sich teilweise auch direkt gegen Angestellte und ihre Familien gerichtet. „Die Mitarbeitenden von Sony waren in einer Weise betroffen, wie es bei früheren Cyber-Vorfällen nicht der Fall war“, so Garzoni. So hätten die Angreifer etwa angegeben zu wissen, auf welche Schule die Kinder gehen, und mit Bombenanschlägen gedroht.

Erster Cyber-Angriff mit weitreichenden Auswirkungen auf die reale Welt

Dieser Angriff auf Sony sei somit der erste Fall, in dem ein Cyber-Angriff auf die reale Welt übergegriffen habe. Zudem sei es der wohl erste Angriff gewesen, „bei dem der Diebstahl nicht das Ziel war, sondern eher Mittel zum eigentlichen Zweck – den Angriff auf das politische System und die Meinungsfreiheit“. Garzoni erläuterte: „Bei ATPs denken wir vor allem an den Diebstahl Geistigen Eigentums. Die Angreifer versuchen sich dabei möglichst unauffällig zu verhalten, um möglichst viele Informationen zu entwenden.“

Der besagte Angriff auf Sony liege aber anders: „Hier gab es ein anderes Land, das uns wegen unserer Meinungsfreiheit angegriffen hat. Und das hatte gravierende Auswirkungen auf die Nationale Sicherheit: Wie sollen wir als Land darauf reagieren? Welche Konsequenzen werden wir einem Nationalstaat auferlegen, der einen Cyber-Angriff auf ein Unternehmen verübt, weil es einen Film produziert hat?“

US-Präsident klassifizierte Angriff als Cyber-Vandalismus

Der damalige US-Präsident Barack Obama habe diesen Angriff nicht als kriegerischen Akt bezeichnet, sondern als „Cyber-Vandalismus“, der allerdings Konsequenzen nach sich ziehen würde. So seien beispielsweise weitere Sanktionen gegen Nordkorea verhängt worden. „Das war insofern etwas entmutigend, als dass wir sofort eine klare Linie hätten ziehen sollen. Wir hätten deutlich machen müssen: Tut das nicht!“, meinte Garzoni.

Matt Radolac, „Vice President, Incident Response and Cloud Operations“ bei Varonis, stimmte ihm hierbei zu: „Die Bewertung als Cyber-Krieg ist sicherlich zu hoch, allerdings ist die Einstufung als Cyber-Vandalismus zu schwach. Zumal der Präsident in dieser Zeit gesagt hat, dass ein Angriff auf ein amerikanisches Unternehmen ein Angriff auf Amerika ist.“

Grundlegende Maßnahmen zur Cyber-Hygiene fehlten offenbar

„Für mich ist das Interessanteste an dem Angriff auf Sony nicht einmal die Datenschutz-Verletzung selbst, sondern eher das, was im Vorfeld passiert ist“, sagte Mario DiNatale, „CISO“ des US-amerikanischen Rückversicherers OdysseyRe, und berichtete: „Unmittelbar vor dem Einbruch wurde der Direktor für Informationssicherheit, Jason Spaltrow, einem SOX-Audit unterzogen. Und die SOX-Auditoren sagten: ,Sie haben keine komplexen Passwörter. Sie verschlüsseln Ihre Daten nicht. Sie verwenden keine MFA. Wenn Sie jetzt eine Bank wären, müssten Sie schließen.‘ Und seine Antwort lautete: ‚Ich gebe nicht zehn Millionen aus, um eine Sicherheitslücke von einer Million Dollar zu beseitigen.‘ Aus wirtschaftlicher Perspektive mag das stimmen, aber diese Aussage zeugt von mangelnder Ethik und schlechtem Urteilsvermögen.“

Wären ein paar grundlegende Maßnahmen zur Cyber-Hygiene umgesetzt worden, hätte dieser Angriff wahrscheinlich verhindert werden können. „Das Ergebnis waren geleakte Filme, geleakte interne Memos, alle Arten von wirklich marken- und geschäftsschädigenden Informationen von Sony, die allesamt hätten vermieden werden können.“ Bei den Empfehlungen aus dem Audit habe es sich um einige ziemlich grundlegende Dinge gehandelt. Spaltrow unterstrich: „Hätte der Sicherheitsverantwortliche etwas weniger arrogant und etwas ethischer gehandelt, wäre das alles nicht passiert.“

Cyber-Angriff auf Sony erregte Aufmerksamkeit – jedoch fehlen bis heute umfassende Reaktionen

Dieser Cyber-Angriff auf Sony, seine wirtschaftlichen und politischen Folgen hätten nun die Cybersecurity-Welt nachhaltig verändert. Der Wert von Daten, seien sie Geistiges Eigentum, vertrauliche Nachrichten oder persönliche Informationen, seien durch ihn in das kollektive Bewusstsein gedrungen – nicht nur bei Cybersecurity-Experten.

Allerdings habe er nicht zu umfassenden Maßnahmen geführt – sei es auf Regierungsebene oder auf Seiten der Unternehmen. Andernfalls hätte es nicht die ständige Zunahme von Attacken auf Unternehmensdaten gegeben, wie die in den Folgejahren immer weiter zunehmenden Ransomware-Angriffe.

Weitere Informationen zum Thema:

Varonis auf YouTube, 21.09.2023
Blockbuster Breaches | Varonis Data-First Forum