Angriff auf Playstation-Netzwerk: Sony beschuldigt Web-Guerilla Anonymous

Es klingt so gut: Die lose organisierte Web-Guerilla Anonymous hat immer wieder die Websites von Film- und Musikverbänden abgeschossen. Warum sollten die Aktivisten nicht auch für den Datendiebstahl bei Sony mitverantwortlich sein?

Diesen Eindruck erweckt Sony-Manager Kazuo Hirai in einem in der Nacht zum Donnerstag veröffentlichten Brief an US-Abgeordnete. Er gibt der Web-Guerilla eine Mitschuld an dem Datenklau. Anonymous hatte dazu aufgerufen, das Playstation-Network am 16. April mit Anfragen zu überfluten und lahmzulegen. Anonymous wollte damit gegen Sonys Vorgehen gegen den Playstation-Hacker GeoHot protestieren.

Sony-Manager Hirai erklärt, während dieser Angriffe seien jene Kriminellen in die Systeme eingedrungen, die Datensätze zu mehr als 100 Millionen Kundenkonten kopierten. Hirai wirft Anonymous vor, wegen ihrer Proteste hätten Sony-Mitarbeiter die Eindringlinge nicht so schnell entdeckt: "Unsere Sicherheitsteams waren sehr damit beschäftigt, das System gegen Denial-of-Service-Angriffe zu verteidigen, das könnte es erschwert haben, die Eindringlinge schnell zu bemerken - vielleicht war das auch der Plan."

Sony beschuldigt die Web-Guerilla der Mittäterschaft

Wörtlich heißt es dazu in dem Schreiben: "Ob diejenigen, die bei den Denial-of-Service-Angriffen mitwirkten auch Täter bei dem Datendiebstahl waren oder einfach von einem sehr cleveren Dieb überlistet und als Deckung missbraucht wurden - das werden wir vielleicht nie erfahren."

Das klingt dann doch sehr vage. Das räumt Sony-Manager Hirai selbst ein - fünf Seiten weiter hinten in dem Schreiben. Da beantwortet er die Frage, ob Sony die Verantwortlichen identifiziert habe, so: "Nein."

Die Sony-Vorwürfe kommentiert ein Anonymous-Sprecher über den Twitter-Account OperationLeakS so: "Anonymous rechnet sich den PSN-Hack nicht als Verdienst an. Sony ist in Panik und nun suchen sie einen Sündenbock. So einfach ist das." Ein Anonymous-Sprecher hatte schon vor Tagen eine Beteiligung an dem Einbruch zurückgewiesen.

In der Tat würde jeder halbwegs intelligente Kriminelle auf die Idee kommen, bei einem Einbruch auf einem Server ein Dokument namens Anonymous zu hinterlassen, um etwas Verwirrung zu stiften. Sicherheitsexperten schätzen den Datendiebstahl eher als Coup profitorientierter Krimineller denn als vermeintlichen Protest von Web-Aktivisten ein. Sascha Pfeiffer, Sicherheitsberater beim Softwareanbieter Sophos, bewertete die Attacke so: "Das war ein profitorientierter Angriff. Ich glaube nicht, dass dafür eine Gruppe wie Anonymous verantwortlich ist, die arbeiten anders und sind nicht an Gewinnmaximierung interessiert."

Sony verständigte das FBI erst nach zwei Tagen

Interessant wird das Schreiben des Sony-Managers Hirai an dem Punkt, wo er detailliert auflistet, was Sony nach Entdeckung des Einbruchs getan hat. Hirai zufolge hat es ganze zwei Tage gedauert, bis Sony die US-Bundespolizei FBI verständigte und Sicherheitsexperten hinzuzog. Hier ein Auszug des Protokolls:

• 19. April, 16:15 Uhr (kalifornischer Zeit): Mitarbeiter von Sony Entertainment America bemerken ungewöhnliche Vorgänge im Sony-Netzwerk, "bestimmte Systeme starten neu, obwohl sie nicht rebooten sollten." Die Mitarbeiter untersuchen das System.
• 20. April: Sony beauftragt ein "größeres Team damit, bei der Untersuchung der vier betroffenen Server zu helfen."
• 20. April, früher Nachmittag: Die Mitarbeiter entdecken, dass Daten von den Servern des Playstation Netzwerks ohne Erlaubnis übertragen wurden, dass ein Eindringling im System war, und dass insgesamt zehn Server betroffen waren. Hirai: "Zu diesem Zeitpunkt konnte das Netzwerk-Team nicht feststellen, welche Daten übertragen worden sind, deshalb schalteten sie das Playstation-Netzwerk ab." Sony beauftragt ein "anerkanntes" Sicherheitsunternehmen" mit der Untersuchung.
• 21. April: Sony beauftragt ein zweites Sicherheitsunternehmen, bei der Untersuchung der betroffenen Server zu helfen.
• 22. April: Der Leiter der Sony-Rechtsabteilung informiert das FBI über das Eindringen. Ein erstes Treffen wurde für den 27. April vereinbart, "um den Strafverfolgungsbehörden detaillierte Informationen zu übergeben".
• 23. April: Die Computerforensiker stellen unter anderem fest, dass die Angreifer Logs gelöscht haben, um ihre Spuren zu verwischen. Sony beauftragt ein drittes externes Computerforensik-Unternehmen mit der Untersuchung, in welchem Umfang Daten gestohlen worden sind.
• 25. April: Die Computerforensiker geben eine Einschätzung ab, welche Datensätze entwendet wurden, sie können "nicht ausschließen, dass Kreditkarteninformationen betroffen sind".
• 26. April: Sony entscheidet, die Kunden über den Datendiebstahl zu informieren. Sony-Manager Hirai begründet den Zeitpunkt so: "Sony Network Entertainment America war sehr besorgt, dass eine Veröffentlichung unvollständiger und provisorischer Informationen Verwirrung unter den Kunden auslösen und sie zu unnötigen Handlungen veranlassen könnte." Sony informiert am 26. April auch Regulierungsbehörden in den US-Bundesstaaten New Jersey, Maryland und New Hampshire.
• 27. April: Sony benachrichtigt Regulierungsbehörden in zehn weiteren US-Bundesstaaten über den Datenklau.
• 2. Mai: Sony informiert Kunden, dass Unbekannte auch in das Netzwerk der Konzerntochter Sony Online Entertainment (SOE) eingedrungen sind. Dabei wurden möglicherweise persönliche Informationen von etwa 24,6 Millionen Nutzerkonten gestohlen.

Sonys Protokoll lässt sich knapp so zusammenfassen: Man hat einen Tag gebraucht, um zusätzliche Mitarbeiter für die Analyse des Sicherheitslecks abzustellen. Zwei Tage vergingen, bis die Polizei überhaupt benachrichtigt wurde, die Kunden erfuhren erst nach einer Woche von den Problemen. Sonys Begründung, man habe die Kunden nicht "verunsichern" wollen, wirkt etwas bemüht. Schließlich hat die Abschaltung des gesamten Netzwerks am 19. April wohl genügend Verwirrung gestiftet.

Sicherheitsexperten kritisierten schon damals die Informationspolitik des Konzerns. Sascha Pfeiffer, Sicherheitsberater beim Softwareanbieter Sophos, nannte Sonys Kommunikationspolitik "ein Zeichen der Hilflosigkeit"

Sony bleibt dieser Kommunikationspolitik treu. Zu Hinweisen auf Sicherheitslücken des Netzwerks befragt, die Playstation-Hacker dem Konzern schon vor Wochen übermittelt haben wollen, erklärte ein Firmensprecher: "Mir sind keine Hinweise auf Sicherheitslücken bekannt." Darüber hinaus gelte: "Zu Fragen der Systemsicherheit erteilen wir keine Auskünfte."