Daten gestohlen

Neuer Hacker-Angriff auf Sony

Sony ist erneut Opfer eines Cyber-Angriffs geworden. Die Hacker-Gruppe Lulzsec verkündete triumphierend, sie habe die Sicherheitskontrollen der Sony-Tochterfirma Sony Pictures Entertainment geknackt und aus deren Datenbank die Namen, E-Mail-Adressen und Passwörter, teils auch postalische Adressen von 50 000 Film-Fans kopiert.

Die hatten sich bei der Sony-Firma registriert, um per Mail über neue Kino-Projekte informiert zu werden. Teile der kopierten Informationen wurden auf der Filesharing-Seite Mediafire verlinkt, zeitweise beteiligten sich Hunderte Nutzer am Verteilen der illegalen Daten.

Der Angriff ist Teil einer Serie von Netz-Angriffen, die in den vergangenen Wochen vor allem Konzerne aus den USA und Japan getroffen haben. Die Attacken sind der öffentlichste und neueste Ausdruck eines Cyberkriegs im Netz. Der wird zusehends verbitterter geführt, seine Auswirkungen reichen bis in den Alltag der normalen Nutzer. Die Fronten verlaufen nicht nur zwischen Kriminellen und Konzernen, auch Geheimdienste und Militärs mischen mit.

Besonders Sony ist ins Kreuzfeuer geraten: Erst vergangene Woche wurden Online-Datenbanken von Sony in Kanada und Griechenland geknackt, jedes Mal gingen Kundendaten verloren. Die schwarze Serie begann mit dem wohl größten Datenleck in der Unternehmensgeschichte, als Hacker Mitte April eine Lücke von Sonys Playstation Network mit rund 77 Millionen registrierten Nutzern fanden und nutzten. Sie kopierten Namen, Adressen und Kreditkarteninformationen von über einer Million Spielern - danach war Sonys Spielkonsolennetz fast einen Monat offline. Einen potenziellen Schaden von über 300 Dollar pro gestohlenen Datensatz diagnostizierten die US-Security-Experten der Firma Ponemon allein für diesen Hack. Datensätze von Kunden sind eine begehrte Beute von Trickbetrügern und Kreditkartenfälschern.

Das Motiv der Hackergruppe Lulzsec für die Angriffe auf Sonys Server ist zumindest vordergründig klar: Der Konzern hat sich die US-Hackerszene zum Feind gemacht, als er juristisch gegen den IT-Experten George Hotz vorging. Der hatte den Kopierschutz von Sonys Spielekonsole Playstation 3 umgangen und eine Anleitung dazu im Netz veröffentlicht. Noch vor zwei Wochen hatte Sony-Manager Kazuo Hirai verkündet: "Wir haben alles Mögliche und Vernünftige getan, um sicherzugehen, dass das System vor einem Angriff geschützt ist." Selbst wenn Angreifer die erste Firewall überwänden, gebe es weitere Schutzmechanismen. Das quittierte "Lulzsec" prompt mit dem neuen Angriff und den Worten "Sie haben drum gebettelt". Laut der Gruppe hatte Sony seine Kundendaten unvorsichtigerweise unverschlüsselt in der Datenbank abgelegt.

Der Name der Gruppe verdeutlicht, was die Hacker von Sonys verzweifelten Versuchen halten, die Netzwerke abzusichern: "Lachen über Eure Sicherheit seit 2011", lautet das Motto, die Gruppe kündigte weitere Angriffe an. Sie zeigen, wie angreifbar Großkonzerne wie Sony durch Attacken aus dem Netz geworden sind - wo auch immer Kundendaten im Spiel sind, ist der potenzielle Schaden immens hoch.

Wer wie Sony Dutzende verschiedene Internetseiten betreibt, hat es allerdings enorm schwer, gemeinsame hohe Sicherheitsstandards über alle Server hinweg aufrechtzuerhalten. Lulzsec hatte für den Angriff eine relativ simple Lücke in Sonys SQL-Datenbank genutzt, um dem Server fremden Programmcode einzuflößen. Die Sicherheitslücke war bereits seit Monaten bekannt, doch Sony hatte versäumt, die Software auf wirklich jedem Server aktuell zu halten.