Keyfacts
- entdeckt: 24.11.2014 oder 1.12.2014 (unklare Quellenlage)
- sicher aktiv seit: September 2014
- letzte Aktualisierung: November 2014
- Verbreitung: Arbeitsplatzrechner und Server des internen Netzwerks von Sony-Pictures-Entertainment
- Infektion und Replikation: Kompromitierter einzelner Server innerhalb des Netzwerks, bis dato unklare Verbreitung im Intranet
- Hauptziel: Datendiebstahl
- Vermutliche Herkunft: Nordkorea, aber Attribution zweifelhaft
Relevante Dokumente
- Sony Corp. Computers Said Hacked in Possible Blackmail (Quelle offline, Originallink war http://www.bloomberg.com/news/2014-11-24/sony-corp-computers-said-hacked-in-possible-blackmail.html)
- FBI: Update on Sony Investigation (Q: FBI.gov)
- More Sanctions on North Korea After Sony Case (Q: NY Times)
- Treasury Imposes Sanctions Against the Government of The Democratic People’s Republic Of Korea (Q: treasury.gov)
- Sony-Hack: NSA hat angeblich Beweise für Nordkoreas Schuld (Q: heise.de)
- FAUXTRIBUTION? (Q: Krypt3ia)
- Did North Korea Really Attack Sony? (Q: schneier.com)
- Reacting to the Sony Hack (Q: schneier.com)
Anfang September 2014 wurde das Unternehmen Sony Pictures Entertainment Opfer einer groß angelegten Hackerkampagne, bei der Daten von Angestellten und Kooperationspartnern, wie Namen, Adress- und Versicherungsangaben sowie Finanzinformationen und private Krypto-Schlüssel entwendet und viele Arbeitsplatzrechner des SPE-Netzwerkes durch eine aktuell nicht näher bekannte Schadsoftware infiziert wurden. Mit der Attacke, die Ende November 2014 erst entdeckt worden ist, sollte Aussagen hochrangiger Sony-Mitarbeiter zufolge Sony ursprünglich um Geld erpresst werden. Durch eine, für Dezember 2014 geplante Veröffentlichung der von Sony produzierten Komödie “The Interview”, die sich satirisch mit der Situation in Nordkorea auseinandersetzt, wurde der Hack medial rasch mit Nordkorea in Verbindung gebracht. Tatsächlich trat Mitte Dezember eine Hackergruppe “Guardians of Peace” mit Forderungen gegen die Ausstrahlung des Films öffentlich als Urheber der Hacking-Attacke auf und drohte mit der Veröffentlichung der entwendeten Sony-Daten. Am 19. Dezember veröffentlichte das FBI eine Stellungnahme, in der staatliche Einrichtung Nordkoreas als Urheber der Angriffe beschuldigt wurden, wobei sich die Ermittler auf Erkenntnisse und Ähnlichkeiten zu früheren Vorkommnissen in den sowie den geografischen Standorten zu den IP-Adressen einiger der aufgefundenen, für den Angriff benutzen Computer bezogen. Für tatsächliche Schäden gibt es aktuell keine öffentlichen Belege, gleichwohl spricht das FBI von einem Angriff zerstörerischer („destructive“) Natur und die Vorfälle wurden durch die US-Regierung explizit als Cyber-Attacken gewertet und Anfang 2015 Strafmaßnahmen wie Handels- und Reisebeschränkungen gegen staatliche Einrichtungen, Unternehmen und Einzelpersonen Nordkoreas verhängt. Auch wenn das FBI mit Verweis auf Erkentnisse der NSA (die eigenen Aussagen zufolge bereits seit 2010 bereits Nordkoreanische IT-Netze infiltriert und Anzeichen für eine solche Attacke bereits vermutet haben wollen) auf ihrer Einschätzung und Schuldzuweisung beharren, werden die öffentlich vorgebrachten Argumente, wie die Aussagekraft von IP-Adressen oder aufgefundene Codebestandteil der eingesetzten Schadsoftware von IT-Sicherheitskreisen stark angezweifelt und kritisiert:
In general, it’s a situation that rapidly devolves into storytelling, where analysts pick bits and pieces of the „evidence“ to suit the narrative they already have worked out in their heads. (Bruce Schneier)
Angesichts der bisherigen internationalen Debatten über die Schwierigkeiten der Ortung von Attacken im Cyberspace und die daraus resultierenden Grenzen für die Anwendung etablierter völkerrechtlicher Normen auf den Cyberspace überrascht der Sony-Hack durch seinen Verlauf, die ungewohnt rasche und klare Schuldzuweisung und (vermutlich) dahinter stehenden politischen Interessen der USA. Damit könnte der vorliegende Fall Hinweise darauf liefern, wie der Cyberspace zukünftig Gegenstand oder Austragungsort zwischen-staatlicher Konflikte sein kann oder wie Staaten sicherheits- und außenpolitische Interessen und Ziele auch durch Aktivitäten im Cyberspace umzusetzen versuchen.
Allan Friedman, a research scientist at George Washington University’s Cyber Security Policy Research Institute, told me that from a diplomatic perspective, it’s a smart strategy for the U.S. to be overconfident in assigning blame for the cyberattacks. Beyond the politics of this particular attack, the long-term U.S. interest is to discourage other nations from engaging in similar behavior. If the North Korean government continues denying its involvement no matter what the truth is, and the real attackers have gone underground, then the U.S. decision to claim omnipotent powers of attribution serves as a warning to others that they will get caught if they try something like this. (Q: schneier.com)
Damit würde sich das politische Alltagsgeschäft faktisch an den bisher eher akademisch geführten Debatten, wie den Fragen was Cyberwaffen eigentlich genau sind oder wann ein Cyberangriff als Attacke im Sinne des Völkerrechts gelten kann vorbeiziehen und mit der normativen Kraft des Faktischen die Zukunft der militärischen Nutzung dieser weltweiten Domäne bestimmen. In diesem Sinne ist der Sony-Hack ein herausragendes und möglicherweise richtungweisendes Ereignis.