Handelsblatt

MenüZurück
Wird geladen.

18.12.2014

13:36 Uhr

Nordkorea in Verdacht

Was Firmen aus dem Sony-Hack lernen können

VonChristof Kerkmann

Selbst James Bond war nicht sicher: Hacker konnten bei Sony große Mengen wertvoller Daten stehlen, darunter das Skript zum neuen 007-Film. Der Cyberangriff ist kein Einzelfall – wie Firmen sich schützen können.

Hackerangriff auf Sony

Steckt Nordkorea hinter der Cyber-Attacke?

Hackerangriff auf Sony: Steckt Nordkorea hinter der Cyber-Attacke?

Ihr Browser unterstützt leider die Anzeige dieses Videos nicht.

DüsseldorfEs klingt nach einem Drehbuch aus Hollywood. Unbekannte Hacker konnten ins Netzwerk des Filmstudios Sony Pictures eindringen – und es scheint so, als hätten sie fast alle geheimen Informationen des Filmstudios erbeutet. Bis heute haben die Angreifer mehrere Gigabyte Daten aus dem Innersten der Firma ins Netz gestellt: die E-Mails des Managements, Kosten und Erlöse von Filmen und Serien, Gehälter und Telefonnummern von Schauspielern, Daten von Mitarbeitern samt Leistungsbeurteilungen und Sozialversicherungsnummern. Selbst unveröffentlichte Filme und das Skript der neuen 007-Folge „Spectre“ sind online.

Wäre diese Geschichte zu einem Thriller verarbeitet worden, viele Kinogänger hätten sie wohl unrealistisch gefunden.

Der Schaden erreicht eine bisher ungekannte Dimension, doch der gezielte Angriff auf einen Konzern ist kein Einzelfall. „Es passiert dauernd etwas, nur geraten die wenigsten Fälle in die Presse“, sagt Professor Marko Schuba von der Fachhochschule Aachen. Denn Cyberkriminelle und Spione rüsten seit einiger Zeit mächtig auf – während viele Unternehmen und Behörden nur wenig in die IT-Sicherheit investieren. Der Fall Sony Pictures ist eine drastische Warnung, dass Cyberangriffe zum Totalschaden führen können.

Die schlechtesten Passwörter 2013

Diverse Ziffernfolgen

Das häufigste Passwort ist „123456“, auf Platz 3 steht „12345678“, auf Platz 9 „123456789“: Ziffernfolgen sind beliebt. Auch „123123“ taucht in der Liste auf.
Quelle: Splashdata. Das US-Unternehmen hat gehackte und im Internet veröffentlichte Nuzterkonten analyisert.

Eine Ziffer mal sechs

Noch einfacher machen es sich Nutzer mit Passwörtern wie „111111“ (Platz 7) und „000000“ (Platz 25). Beide dürften Cyberkriminelle auf dem Zettel haben.

Problem erkannt

Etlichen Nutzern ist das Problem offenbar klar: Auf Platz 24 steht das Passwort „trustno1“, deutsch: Vertraue niemandem. Sicher ist es indes nicht.

Liebesgrüße im Browser

Unsicher, aber zumindest romantisch sind Passwörter wie „iloveyou“ (Platz 9) und „princess“ (Platz 22) – sofern sie sich auf den Partner beziehen.

Affe im Schatten

Warum die Begriffe als Passwörter beliebt sind, ist zwar unklar. Dennoch: „shadow“, deutsch: Schatten, und „monkey“, deutsche: Affe, stehen auf den Plätzen 18 und 17.

Firmenname als Hilfe

In der diesjährigen Auswertung ergibt sich eine Besonderheit: Da 38 Millionen Passwörter von Adobe-Kunden eingeflossen sind, tauchen sowohl der Firmenname als auch Produkte des Unternehmens auf, etwa in „adobe 123“ (Platz 10) und „photoshop“ (Platz 15).

Was sollten Firmen tun, um sich zu schützen?

Mit dem Schlimmsten rechnen

Während viele Firmengeheimnisse im Netz kursieren, ist über die Attacke wenig nach außen gedrungen. Doch auch so ist klar: Es waren Profis am Werk. Sony Pictures spricht von einer „organisierten Gruppe“ und einem „beispiellosen Verbrechen“. Ähnlich sieht es die IT-Firma Mandiant, die dem Filmstudio bei der Aufklärung hilft. Die eingesetzte Angriffs-Software sei mit herkömmlichen Anti-Virus-Programmen nicht aufspürbar, erklärte Firmenchef Kevin Mandia in einem internen Memo, das dem Technologieblog Recode vorliegt. Sein Fazit: „Auf den Angriff hätte sich weder Sony noch eine andere Firma vollständig vorbereiten können.“

Wer hinter dem Angriff steckt, ist bislang unklar – in der Öffentlichkeit nennen sich die Hacker „Guardians of Peace“. Nordkorea ist in Verdacht geraten, in den geleakten E-Mails finden sich aber auch Hinweise auf eine Erpressung. Weder das eine noch das andere käme von ungefähr: Diverse Staaten haben Cyberarmeen aufgebaut, selbst das bitterarme kommunistische Land kann sich das leisten. Gleichzeitig rüstet die organisierte Cyberkriminalität auf, allein in Russland soll es mehrere Gruppen geben, die so mächtig wie staatliche Organisationen sind.

„Es gibt kaum eine Möglichkeit, professionelle Angreifer davon abzuhalten, ins Netzwerk einzudringen“, sagt Jörg Asma, IT-Sicherheitsexperte vom Bonner Beratungsunternehmen Comma Management Consulting (CMC). Er rät daher dringend, den Ernstfall von vornherein mitzudenken: dass die Einbrecher bereits im Unternehmen sind.

Bundeskriminalamt alarmiert

Cyberkriminalität hat zugenommen

Bundeskriminalamt alarmiert: Cyberkriminalität hat zugenommen

Ihr Browser unterstützt leider die Anzeige dieses Videos nicht.

IT-Sicherheit als Chefsache

Sony Pictures hat es den Angreifern allerdings auch leicht gemacht. Die Probleme reichen mindestens bis ins Jahr 2011 zurück, als Cyberkriminelle ins Netzwerk des Konzerns eindringen und die Daten von Millionen Playstation-Spielern kopieren konnten. Damals habe der Konzern die Sicherheit im Playstation-Netzwerk erheblich verbessert, aber nicht an anderen Stellen, sagten nun Insider der Nachrichtenagentur Bloomberg.

Das Nachrichtenportal Zeit Online hat einen großen Teil der veröffentlichten Daten analysiert und Schlampereien festgestellt. So sind vertrauliche Informationen wie Passwörter oder eine Liste mit den Gehältern der Spitzenmanager offenbar unverschlüsselt abgespeichert worden. Zudem konnten sich die Hacker nach dem gelungenen Einbruch aller Wahrscheinlichkeit nach mit weitreichenden Zugriffsrechten durchs Netzwerk bewegen – Fachleute sprechen vom Root-Zugriff. Auch wenn sich das im komplexen Netzwerk eines Konzerns nicht vermeiden lässt, sind Fehler passiert. Das Fazit von Zeit Online: Der Hack sei „ein Beispiel dafür, was geschehen kann, wenn es ein Unternehmen im digitalen Zeitalter mit der Datensicherheit nicht so genau nimmt“.

Wie es bei Sony dazu kommen konnte, ist unklar. Um solche Pannen zu vermeiden, machen Unternehmen aber die IT-Sicherheit am besten zu einer Chefaufgabe und ernennen beispielsweise einen Chief Information Security Officer, kurz CISO. Der arbeitet Sicherheitsvorschriften aus – und sorgt im besten Fall dafür, dass sie auch eingehalten werden.

Kommentare (2)

Selber kommentieren? Hier zur klassischen Webseite wechseln.  Selber kommentieren? Hier zur klassischen Webseite wechseln.

Herr Dr. Michael Klein

18.12.2014, 13:56 Uhr

Geht es bei solchen Artikeln wirklich um die Sicherheit im Netz?

Oder verfolgen die Medienmacher ein anderes Ziel?

Das Internet ist heute die einzige Möglichkeit frei an Informationen zu kommen ohne Zensur der geheimen Eliten (Die Bilderberger).

Wollen die geheimen Eliten das freie Internet unter dem Vorwand der Sicherheit zensieren?

Eine Strategie der geheimen Eliten zur Gesellschafts-Manipulation:

Erzeuge Probleme und liefere die Lösung!

Diese Methode wird die "Problem-Reaktion-Lösung" genannt.

Es wird ein Problem bzw. eine Situation geschaffen, um eine Reaktion bei den Empfängern auszulösen, die danach eine präventive Vorgehensweise erwarten.

Verbreite Gewalt oder zettle blutige Angriffe an, damit die Gesellschaft eine Verschärfung der Gesetze auf Kosten der eigenen Freiheit akzeptiert.

Quelle: Sylvain Timsit "10 Strategien zur Gesellschafts-Manipulation"

Herr Hedge Fonds

18.12.2014, 14:21 Uhr

Nur interessehalber, bei welcher Fachschaft haben Sie promoviert?

Die Naturwissenschaften können es ja offensichtlich nicht sein...

Glauben Sie mir, es benötigt keine geschlossene Elite zur Begründung der Methodik. Ist durch theoret. Souveräne auch schon leicht erklärbar.
Siehe Videoüberwachungssystem in der westlichen Welt.

Schönen Tag!

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×