Aber auch in vielen anderen Punkten könnte der Hack historisch werden. Die angerichteten Schäden haben das Potential, einen Großkonzern in den Ruin treiben. Am schlimmsten waren der Verlust einiger Filme an illegale Tauschbörsen und das Zurückziehen des Films „The Interview“ durch (vollkommen unsinnige) Ängste der Kinobetreiber vor Drohungen des Hackerkollektivs „Guardians of Peace“. Aber all das das ließe sich noch auffangen. Gefährlicher sind die eher langfristigen und schleichend wirkenden Aspekte der Leaks. Peinliche Emails, strategische Firmeninformationen, Privatdaten von Stars und Kunden — das klingt nach jahrelangen Imageschäden und Rechtsproblemen für Sony, die von der Konkurrenz genüsslich ausgebeutet werden dürften.
Außerdem ist durch die Leaks herausgekommen, was das Unternehmen gegen Raubkopierer und Filesharer unternimmt. Nämlich eine ganze Menge: von Klagen gegen Google bis hin zu subversiven Hackerangriffen auf Tauschbörsen, durch die der Zugang erschwert und die Inhalte für die Konsumenten ungenießbar gemacht werden sollen. Natürlich kann man das (mehr oder weniger) als legitime Maßnahmen zum Schutz der eigenen Interessen bewerten. Dumm ist nur, dass man sich in der Medienindustrie vordergründig immer bemüht, cool und unkommerziell auszusehen. Eine Imagegrätsche, die schon immer problematisch war, und die Sony jetzt niemand mehr abkaufen wird.
Viele Elemente des Hacks passen einfach nicht zu einem staatlichen Angreifer, nicht mal zu einem halbwegs durchgeknallten Diktator.
Und wer steckt dahinter? Über das Hackerkollektiv „Guardians of Peace“ gibt es wilde Spekulationen. Unter anderem wird Nordkorea beschuldigt — wegen des Films „The Interview“ und weil das Land schon länger damit prahlt, Hackerfähigkeiten aufzubauen und diese auch bald mal zu demonstrieren. Aber Kim Jong-un dürfte unschuldig sein. Viele Elemente des Hacks passen einfach nicht zu einem staatlichen Angreifer, nicht mal zu einem halbwegs durchgeknallten Diktator. Würde eine Regierung hinter dem Hack stecken, wäre das Vorgehen deutlich geplanter und würde vermutlich vollständig hinter den Kulissen stattfinden. Die Weltöffentlichkeit einzubeziehen ist immer eine harte Eskalation, und so etwas kann und wird sich Nordkorea derzeit nicht leisten — schon gar nicht gegen die USA und Japan.
Außerdem war der Hack absoluter Standard. Ein Standardangriff mit Standardmethoden, ausgeführt auf ein miserabel gesichertes Ziel, zumindest nach Angaben von Zeit Online. Public- und Private-Key-Zertifikate lagen mehr oder weniger offen auf den Servern herum. Die Mitarbeiter öffneten anscheinend jeden E-Mail-Anhang, der in ihrem Postfach landete, und verschickten auch Passwörter auf diesem Wege. Alte Kennwörter wurden nicht geändert. Ein Kinderspiel für die Angreifer: Einfach eine Spearphishing-Mail an einen Angestellten, auf dem Server das Private-Key Zertifikat-eines Administrators aufspüren — fertig. Jeder Teenie-Hacker kann das in zwei bis drei Tagen abziehen.
Es könnten auch einfache Kleinkriminelle gewesen sein. Vielleicht die Betreiber einer Tauschbörse, die von Sony angegriffen wurde.
Das Spektrum der möglichen Verdächtigen ist also groß. Aufgrund des etwas fahrigen und unklaren Verhaltens der Angreifer zu Beginn der Leaks (Erpressungsversuche ohne Forderungen, seltsame E-Mails) und auf Basis der Prioritäten in den Veröffentlichungen (Filme, sensible persönliche Daten der Manager und über Angriffe auf Tauschbörsen) kämen auch einfache Kleinkriminelle in Frage. Vielleicht ja die Betreiber einer der vielen Tauschbörsen in Osteuropa, die von Sony Pictures angegriffen wurden. Da würde alles passen — Möglichkeiten, Mittel, Motiv, Verhalten. Die Drohung, jede Ausstrahlung des Films „The Interview“ zu bestrafen, könnte auch einfach nur ein Ablenkungsmanöver sein.
Aber auch wenn das FBI eingeschaltet wurde, sind schnelle Verhaftungen und Beweise in die eine oder andere Richtung sehr unwahrscheinlich. Wie immer in solchen Fällen. Und an den Schäden für den Konzern würde das ohnehin nicht mehr viel ändern. Die Lektion für Sony ist schmerzhaft, sie könnte sich auch für andere Großkonzerne wiederholen. Miserable Sicherheitsvorkehrungen sind auch bei der Konkurrenz keine Seltenheit. Wer nicht gerade eine Bank oder ein Rüstungsunternehmen ist, investiert nur sehr mager, punktuell und sporadisch in IT-Sicherheit. Da geht noch einiges.
