Die vermeintlichen Beweise im Code des verwendeten Schadprogramms sind sehr heterogen und vor allem leicht zu fälschen. Der verwendete Angriffscode war zum Beispiel schon lange auf dem Schwarzmarkt erhältlich. Einige Analysten glauben außerdem, dass das „Konglish“, also das schlechte Englisch mit koreanischem Akzent, in dem sich die Angreifer vermeintlich unterhielten, von einem englischen Muttersprachler imitiert wurde — und zwar schlecht. Echte Koreaner, machen laut CloudFlare-Researcher Marc Rogers, ganz andere Fehler. Auch das vermeintliche Motiv, den Film „The Interview“ zensieren zu wollen, ist inzwischen fadenscheinig. Die Forderung, das Werk nicht zu zeigen, wurde erst gestellt, nachdem ein potentieller Zusammenhang zwischen Hack und Film schon breit in der Presse diskutiert wurde.
Der Angriff sieht eher nach einem typischen Racheakt aus als nach einer staatlich gesponserten Attacke.
Dagegen verhärten sich die Hinweise auf Insider. Verschiedene Stücke der verwendeten Malware deuten darauf hin, dass die Täter viel über die interne IT-Architektur von Sony Pictures wussten und wichtige Passwörter kannten. Die Anfänge des Angriffs sahen eher nach einem typischen Racheakt aus, als nach einer staatlich gesponserten Attacke. Und schließlich hat die Sicherheitsfirma Norse Security nach eigenen Angaben noch mehr Indizien für einen Inside Job gefunden. So sollen nach den massiven Entlassungen bei Sony im Frühling 2014 sechs ehemalige Angestellte besonders aggressiv reagiert und im Social Web Racheakte angedroht haben. Einen dieser Ex-Mitarbeiter hat Norse Security angeblich „weiterverfolgt“, weil er technisch besonders versiert war. Nach seiner Entlassung soll er demnach auch Kontakt zu Pro-Piracy-Hacktivisten gehabt haben.
Zusammen ergibt das folgendes Bild: Ein verärgerter Ex-Angestellter fährt gemeinsam mit den von Sony jahrelang angegriffenen Tauschbörsen eine Rachekampagne gegen die Firma — unter (falscher) nordkoreanischer Flagge.
Der Fall wird dadurch nicht weniger besorgniserregend, ganz im Gegenteil.
Sollte das tatsächlich der Fall sein, ist der Sony-Hack nicht mehr länger aufgrund der Masse der Leaks und der möglichen „Fern-Zensur“ durch Nordkorea interessant — sondern vor allem als Exempel einer extrem unschönen Eskalation. Und der Fall wird dadurch nicht weniger besorgniserregend, ganz im Gegenteil. Er weist auf eine Reihe neuer Probleme hin, drei sind dabei besonders wichtig.
1. Übereifrige, aber unterqualifizierte Analysten, ein politisch aufgeheiztes Klima und eine Prise Cyberhysterie sind eine gefährliche Mischung, die schnell in reale, physische Konflikte umschlagen kann. Barack Obamas Statements in Richtung Pjöngjang waren absolut verfrüht und auch Nordkorea hätte seinerseits leicht überreagieren können.
2. Der Vorfall beweist das enorme Potential sogenannter False Flag Operations. Wenn schon ein verbitterter Ex-Angestellter einer Filmfirma einen internationalen Konflikt heraufbeschwören kann, indem er eine Handvoll schlecht gefälschter Hinweise in einen Massenangriff streut: Was können professionelle Organisationen uns dann erst glauben machen?
3. Den Angriff auf das eigene Firmennetz einem militärischen Gegner in die Schuhe zu schieben, kann auch von Vorteil sein. Man steht weit weniger blöd da, wenn man von einer feindlichen Regierung derart massiv gehackt wurde — und nicht von einem verärgerten Ex-Mitarbeiter und ein paar Aktivisten. Außerdem ist man weit weniger erreichbar für potentielle juristische Folgen: Für die Schäden militärischer Angriffe muss Sony nicht haften, für das, was kriminelle Angriffe auf Basis schlechter IT-Sicherheit im Unternehmen anrichten, hingegen schon. Anders ausgedrückt: Firmen könnten in Zukunft einen Anreiz haben, in ihrer eigenen Argumentations- und Beweisführung eher einen internationalen Zwischenfall zu produzieren als sich die eigene, teure Unfähigkeit einzugestehen.
Damit würde der Sony-Fall insgesamt einen völlig anderen Nachgeschmack bekommen — und ganz andere Konsequenzen. Vor allem muss jetzt klar sein, dass die Zuschreibung von Hacker-Angriffen nach wie vor extrem schwierig ist und dass Anschuldigungen erst lange und sorgfältig geprüft werden müssen, von einer unabhängigen und kompetenten Instanz. Alles andere kann böse ins Auge gehen.
Zu guter Letzt ist noch eine andere Frage interessant: Wird sich Obama bei Kim entschuldigen, wenn herauskommt, dass das FBI falsch lag? Und wird der verantwortliche FBI-Beamte dann an Nordkorea ausgeliefert? Das wäre jedenfalls eine eindrückliche Lektion für alle Cyber-Analysten, die vorschnell Anschuldigungen aussprechen und harte Reaktionen fordern.
