[datensicherheit.de, 05.12.2023] Varonis wirf in einer aktuellen Stellungnahme einen Blick zurück in den November 2014: Demnach hatte sich damals „der bis dato größte Datendiebstahl auf ein Unternehmen“ ereignet –Cyber-Angreifer erbeuteten dabei im Grunde den gesamten Datenbestand von Sony Pictures Entertainment (SPE). Insgesamt sollen bis zu 100 Terabyte an Daten exfiltriert worden sein – von pikanten E-Mails über personenbezogene Daten etlicher Mitarbeiter und Künstler bis zu kompletten Filmen und Episoden von Erfolgsserien wie „Game of Thrones“. Es sei damit recht schnell deutlich geworden, dass es sich hierbei in erster Linie um einen politischen Akt gehandelt habe, in dessen Zentrum die Film-Komödie „The Interview“ stehe.

Sony-Mitarbeiter in einer Weise betroffen, wie es bei früheren Cyber-Vorfällen noch nicht der Fall war

„Ich koordinierte als FBI-Mitarbeiter einen Großteil der Analysen und Berichte über den Sony-Vorfall, und unsere Büros in St. Louis und Los Angeles waren eng mit Sony in Kontakt und taten alles, was sie konnten, um die Mitarbeitenden zu unterstützen“, berichtete Charles Garzoni, jetzt „Deputy CISO and Staff VP of Cyber Defense Operations“ bei Centene, im Rahmen des „Varonis Data-First-Forums“.

Die Bedrohung habe sich dabei nicht nur auf den Diebstahl und die Veröffentlichung der Daten beschränkte, sondern habe sich teilweise auch direkt gegen Angestellte und ihre Familien gerichtet. „Die Mitarbeitenden von Sony waren in einer Weise betroffen, wie es bei früheren Cyber-Vorfällen nicht der Fall war“, so Garzoni. So hätten die Angreifer etwa angegeben zu wissen, auf welche Schule die Kinder gehen, und mit Bombenanschlägen gedroht.

Erster Cyber-Angriff mit weitreichenden Auswirkungen auf die reale Welt

Dieser Angriff auf Sony sei somit der erste Fall, in dem ein Cyber-Angriff auf die reale Welt übergegriffen habe. Zudem sei es der wohl erste Angriff gewesen, „bei dem der Diebstahl nicht das Ziel war, sondern eher Mittel zum eigentlichen Zweck – den Angriff auf das politische System und die Meinungsfreiheit“. Garzoni erläuterte: „Bei ATPs denken wir vor allem an den Diebstahl Geistigen Eigentums. Die Angreifer versuchen sich dabei möglichst unauffällig zu verhalten, um möglichst viele Informationen zu entwenden.“

Der besagte Angriff auf Sony liege aber anders: „Hier gab es ein anderes Land, das uns wegen unserer Meinungsfreiheit angegriffen hat. Und das hatte gravierende Auswirkungen auf die Nationale Sicherheit: Wie sollen wir als Land darauf reagieren? Welche Konsequenzen werden wir einem Nationalstaat auferlegen, der einen Cyber-Angriff auf ein Unternehmen verübt, weil es einen Film produziert hat?“

US-Präsident klassifizierte Angriff als Cyber-Vandalismus

Der damalige US-Präsident Barack Obama habe diesen Angriff nicht als kriegerischen Akt bezeichnet, sondern als „Cyber-Vandalismus“, der allerdings Konsequenzen nach sich ziehen würde. So seien beispielsweise weitere Sanktionen gegen Nordkorea verhängt worden. „Das war insofern etwas entmutigend, als dass wir sofort eine klare Linie hätten ziehen sollen. Wir hätten deutlich machen müssen: Tut das nicht!“, meinte Garzoni.

Matt Radolac, „Vice President, Incident Response and Cloud Operations“ bei Varonis, stimmte ihm hierbei zu: „Die Bewertung als Cyber-Krieg ist sicherlich zu hoch, allerdings ist die Einstufung als Cyber-Vandalismus zu schwach. Zumal der Präsident in dieser Zeit gesagt hat, dass ein Angriff auf ein amerikanisches Unternehmen ein Angriff auf Amerika ist.“

Grundlegende Maßnahmen zur Cyber-Hygiene fehlten offenbar

„Für mich ist das Interessanteste an dem Angriff auf Sony nicht einmal die Datenschutz-Verletzung selbst, sondern eher das, was im Vorfeld passiert ist“, sagte Mario DiNatale, „CISO“ des US-amerikanischen Rückversicherers OdysseyRe, und berichtete: „Unmittelbar vor dem Einbruch wurde der Direktor für Informationssicherheit, Jason Spaltrow, einem SOX-Audit unterzogen. Und die SOX-Auditoren sagten: ,Sie haben keine komplexen Passwörter. Sie verschlüsseln Ihre Daten nicht. Sie verwenden keine MFA. Wenn Sie jetzt eine Bank wären, müssten Sie schließen.‘ Und seine Antwort lautete: ‚Ich gebe nicht zehn Millionen aus, um eine Sicherheitslücke von einer Million Dollar zu beseitigen.‘ Aus wirtschaftlicher Perspektive mag das stimmen, aber diese Aussage zeugt von mangelnder Ethik und schlechtem Urteilsvermögen.“

Wären ein paar grundlegende Maßnahmen zur Cyber-Hygiene umgesetzt worden, hätte dieser Angriff wahrscheinlich verhindert werden können. „Das Ergebnis waren geleakte Filme, geleakte interne Memos, alle Arten von wirklich marken- und geschäftsschädigenden Informationen von Sony, die allesamt hätten vermieden werden können.“ Bei den Empfehlungen aus dem Audit habe es sich um einige ziemlich grundlegende Dinge gehandelt. Spaltrow unterstrich: „Hätte der Sicherheitsverantwortliche etwas weniger arrogant und etwas ethischer gehandelt, wäre das alles nicht passiert.“

Cyber-Angriff auf Sony erregte Aufmerksamkeit – jedoch fehlen bis heute umfassende Reaktionen

Dieser Cyber-Angriff auf Sony, seine wirtschaftlichen und politischen Folgen hätten nun die Cybersecurity-Welt nachhaltig verändert. Der Wert von Daten, seien sie Geistiges Eigentum, vertrauliche Nachrichten oder persönliche Informationen, seien durch ihn in das kollektive Bewusstsein gedrungen – nicht nur bei Cybersecurity-Experten.

Allerdings habe er nicht zu umfassenden Maßnahmen geführt – sei es auf Regierungsebene oder auf Seiten der Unternehmen. Andernfalls hätte es nicht die ständige Zunahme von Attacken auf Unternehmensdaten gegeben, wie die in den Folgejahren immer weiter zunehmenden Ransomware-Angriffe.

Weitere Informationen zum Thema:

Varonis auf YouTube, 21.09.2023
Blockbuster Breaches | Varonis Data-First Forum

[datensicherheit.de, 27.04.2011] Schon seit etwa einer Woche soll laut Medienberichten Sony seine Dienste Playstation Network (PSN) und „Qriocity“ abgeschaltet haben, doch wurde erst am 26. April 2011 hierzu eine offizielle Erklärung auf dem „PlayStation-Blog“ gegeben:
Demnach seien „in der Zeit vom 17. April bis zum 19. April 2011 bestimmte Services des PlayStation Network sowie Qriocity mittels illegalen und unberechtigten Eingreifens in das Netzwerk angegriffen“ worden. Daher habe man „vorübergehend sämtliche PlayStation Network und Qriocity Services ausgeschaltet“, eine „außenstehende, anerkannte Sicherheitsfirma“ mit einer vollständigen und lückenlosen Untersuchung zu den Geschehnissen beauftragt und „zügig alle notwendigen Schritte unternommen, um die Sicherheit zu verbessern sowie um die Struktur des Netzwerkes zu stärken…“ Sodann wird der Geduld der Kunden, deren Verständnis sowie „Kulanz“ Wertschätzung bekundet und versprochen, derweil alles nur Mögliche zu tun, um diese Angelegenheit schnellst- und bestmöglich aufzuklären und zu bearbeiten. Eine „unbefugte Person“ habe sich wohl Zugriff zu persönlichen Daten, wie Name, Adresse (Stadt, Bundesland, Postleitzahl), Land, E-Mail-Adresse, Geburtsdatum, PlayStation-Network/Qriocity-Passwort und -Login sowie PSN-Online-ID, verschaffen können. Es könne darüber hinaus möglich sein, dass auch Profilangaben des Kunden inklusive seiner Kaufhistorie und dessen Rechnungsanschrift (Stadt, Bundesland, Postleitzahl) sowie die Sicherheitsfragen zu seinem Passwort widerrechtlich abgerufen wurden. Wer ferner Kreditkarteninformationen im PSN oder bei „Qriocity“ angegeben hat, wird „sicherheitshalber“ darüber benachrichtigt, dass ggf. auf Kreditkartennummer (exklusive des Sicherheitscodes) sowie auf die Gültigkeitsdauer zugegriffen werden konnte. Um sich vor möglichem Identitätsdiebstahl oder finanziellem Verlust zu wappnen, so der Ratschlag, sollten Kunden ihre Kontoaktivitäten „wachsam“ überprüfen und sämtliche Kontoauszüge überwachen.
Nach verschiedenen Schätzungen sollen rund 50 bis 77 Millionen Kundendatensätze betroffen sein, wobei laut Sony 77 Millionen Kunden in 59 Ländern das PSN nutzten, darunter etwa 32 Millionen Europäer. Über den oder die Täter wird derzeit noch spekuliert. In einigen Medien wird von einem der schwersten Datendiebstähle der vergangenen Jahre gesprochen – es werden gar Schadensschätzungen im zweistelligen Milliarden-Dollar-Bereich genannt. Mehrfach wird kritisch angemerkt, dass die Telefonnummer des deutschen Sony-Kundendienstes ein kostenpflichtiger 01805-Anschluss sei, während etwa in den USA betroffene Kunden eine kostenfreie 0800-Nummer nutzen könnten.
Auf „Netzpolitik.org“ merkt Linus Neumann allerdings auch mahnend an, dass ein mündiger Nutzer wissen müsse, dass „Datenschutz mehr als das Kleingedruckte“ sei – und eben „nicht nur Angelegenheit des Anbieters“. Datensparsamkeit wäre natürlich angebracht, so Neumann, aber diese sei ja im Moment „out“.

Die Redaktion von datensicherheit.de sieht in der aktuellen Informationspolitik die Gefahr eines großen Reputationsschadens für Sony – die verzögerte, nur sehr dürftige Information der Öffentlichkeit führt nun zu Spekulationen über die Täterschaft und die Schadenshöhe, die meinungsprägend sein könnten und gar am Ende die Tatsachen überlagern. Allein das Schadenspotenzial gebietet es, auf Beschwichtigungen zu verzichten – denn nach der Katastrophe im Kernkraftwerk Fukushima im März 2011 ist die Öffentlichkeit wohl noch viel kritischer geworden. Wenn nun bei diesem Vorfall quasi von einem IT-GAU auszugehen ist, muss das Lob für „Geduld“, „Verständnis“ sowie „Kulanz“ auf Kundenseite schrill klingen, wenn zugleich der Kundendienst eine kostenpflichtige 01805-Telefonnummer (14 Cent pro Minute aus dem Festnetz) anbietet. Generell muss die Frage diskutiert werden, ob eine solche Datenansammlung überhaupt notwendig ist – Daten sind Vermögenswerte; jede Ballung wird irgendwann zu einem missbräuchlichen Zugriff führen! Wenn schon nicht dem Prinzip der „Datensparsamkeit“ gefolgt wird, dann sollten doch Daten so verteilt abgelegt werden, dass nicht en bloc ein Zugriff durch Unbefugte erfolgen kann.

Weitere Informationen zum Thema:

PlayStation.Blog, 26.04.2011
PSN/Qriocity Service Update

Netzpolitik.org, Linus Neumann, 27.04.2011
Zum Playstation-Network-Hack: “Kann sein.”