Fotostrecke

Website-Angriff: LulzSec verhöhnt Sony

Erneuter Datenklau Hacker lieben Sony

Schon wieder haben Hacker eine Sony-Website angegriffen. Sie kamen offenbar an Daten von einer Million Kunden. Teile davon wurden kopiert und sind nun im Netz. Für das Unternehmen ist das schon keine Krise mehr - sondern der Regelfall.

Hamburg - Er hat es ja kommen sehen. Sony-Chef Howard Stringer warnte Mitte Mai vor weiteren Hacker-Angriffen auf Netzwerke des Unternehmens. Zuvor war bekannt geworden, dass Hacker sich Zugriff auf die Daten von hundert Millionen Mitgliedern des Playstation-Netzwerks verschaffen konnten. Stringer entschuldigte sich - und warnte: Der Schutz von persönlichen Daten sei ein "endloser Prozess", hundertprozentige Sicherheit könne es womöglich gar nicht geben. Keine Garantie für Nutzerdaten in der "schlechten neuen Welt" der Internetkriminalität.

Wie recht er behalten sollte. In der Nacht von Donnerstag auf Freitag meldete die Hacker-Gruppe LulzSec einen Angriff auf SonyPictures.com. Über eine manipulierte Datenbankabfrage standen den Hackern angeblich mehr als eine Million Datensätze offen: Name, E-Mail-Adresse, Anschrift, Geburtsdatum, Passwort. Einen Teil der Daten kopierte LulzSec, sie sind nun als Datei in Internettauschbörsen Umlauf. Außerdem verlor Sony auf diese Weise Codes und Coupons für Musikdateien.

"Wir wollen hier nicht als Superhacker rüberkommen", heißt es in dem Bekennerschreiben  der anonymen Angreifer. Es sei ein simpler Hack gewesen. Eine einzige Abfrage, eine sogenannte SQL-Injection, habe das gesamte, unverschlüsselte Innenleben der Website offenbart. Man habe einfach nur zugreifen müssen, ätzt LulzSec, das sei schändlich und unsicher. "Sie haben geradezu danach gefragt." Außerdem brüstet sich LulzSec mit Einbrüchen in Datenbanken von Sony BMG in den Niederlanden und in Belgien.

Eins, zwei, viele Sicherheitslücken

Also schon wieder eine Blamage für Sony. Seitdem das Unternehmen Ende April sein Playstation-Netzwerk nach einem Hackerangriff abschalten musste, kommt der Konzern nicht mehr aus den Schlagzeilen heraus. Zunächst hagelte es Kritik. Schlamperei wurde dem Unternehmen vorgeworfen, noch dazu eine hilflose Informationspolitik, weil der Konzern den Fremdzugriff auf rund hundert Millionen Datensätze sechs Tage lang für sich behielt und erst danach seine Kunden informierte. Das Playstation-Netzwerk und der Musik- und Videodienst Qriocity wurden wochenlang vom Netz genommen.

Dann musste der Konzern eingestehen, dass bei dem Hack auch Sony Online Entertainment geknackt wurde, ein Spiele-Netzwerk für Computernutzer. 24,6 Millionen Datensätzen von Benutzern hätten die Angreifer kopieren können, teilte das Unternehmen mit. Auch eine Datenbank mit Kredit- und Debitkartendaten sei ausgespäht worden. Einziger Trost: Es handele sich dabei um einen älteren Datenbestand. Doch auch bei anderen Datensätzen seien Kontonummern in die Hände der Hacker geraten.

Die Sony-Ingenieure arbeiteten hektisch an der Aufklärung des Einbruchs, gleichzeitig machten sich Techniker daran, die Infrastruktur in einem neuen Rechenzentrum mit neuen Sicherheitsvorkehrungen wieder in Betrieb zu nehmen. Der nächste Rückschlag kam, als Sony die Nutzer des Playstation-Netzwerks dazu aufrief, ihre kompromittierten Passwörter durch neue zu ersetzen. Um ihre Identität zu verifizieren, sollten die Nutzer aber ausgerechnet Daten angeben, die bei dem Hack gestohlen wurden: eine hausgemachte Sicherheitslücke.

Gewinnwarnung und Kurseinbruch

Eigentlich hatte Sony das Geschäftsjahr mit einem Plus abschließen wollen. Schon die Erdbeben-Katastrophe in Japan machte diesen Plan zunichte. Fabriken wurden erheblich beschädigt, die Lieferkette war wochenlang unterbrochen. Die Schäden beziffert Sony auf 1,3 Milliarden Euro - der Datenklau und die Folgen sollen das Unternehmen mindestens weitere 1,2 Milliarden Euro kosten: Nettoverlust 2,25 Milliarden Euro, Gewinnwarnung, Kurseinbruch.

Die Pannenserie ging weiter. Erst entdeckte der Antivirensoftware-Hersteller F-Secure, dass auf einem thailändischen Sony-Server die gefälschte Website einer italienischen Kreditkartenfirma abgelegt worden war. Anwendern sollten darüber offenbar Login-Daten abgenommen werden. Im Vergleich zu dem großen Datendiebstahl nur eine Randnotiz - trotzdem ein Puzzlestück für das verheerende Image als Datenschluder-Konzern.

Mittlerweile ist es geradezu zum Hacker-Sport geworden, Sony-Server anzugreifen - und der Konzern kann sich dagegen kaum wehren. So fielen die Website von Sony Ericsson in Kanada und die griechische Seite von Sony Online Entertainment Hackern zum Opfer. Schärfer werden auch die Angriffe aus der Politik. In Japan und den USA stellen Abgeordnete und Offizielle kritische Fragen. Datenschützer prüfen, ob Sony wegen des Datenklaus belangt werden kann.

Mafia-Bande oder Spaßguerilla?

Das FBI ermittelt, doch von Fahndern offenbar vorschnell angekündigte Erfolgsmeldungen blieben bisher aus. Mit Hilfe einer externen Sicherheitsfirma hat Sony zumindest herausgefunden, wie der Einbruch ablief. Warum niemand auf angebliche Warnungen über Sicherheitslücken per E-Mail reagiert hat, die der französische Playstation-Hacker Mathieu Hervais vor dem Einbruch an das Unternehmen abgeschickt haben will, hingegen nicht.

Die Urheber der ersten Attacke sind bisher nicht gefunden, die Spekulationen reichen von professionellen Banden bis hin zu Aktivisten der Web-Guerilla Anonymous. Das lose Netzwerk distanzierte sich zwar von dem Einbruch, wollte aber nicht für einzelne Mitglieder sprechen. Womöglich handelt es sich um auch um eine Racheaktion, weil der Konzern juristisch gegen einen Programmierer mit dem Nickname GeoHot vorgegangen war, der den Kopierschutz der Playstation 3 geknackt hatte.

Der Einbruch bei SonyPictures.com hingegen kann als klassischer "Hack" bezeichnet werden, es handelt sich wohl nicht um den ausgeklügelten Raubzug einer Verbrecherbande, die Kundendaten zu Geld machen wollen. Die Gruppe LulzSec ist in den vergangenen Wochen in eine ganze Reihe Websites eingebrochen. Der Name des nach eigenen Angaben kleinen, spaßorientierten Teams ist eine Kurzform von Lulz Security und lässt sich in etwa mit "Lächerliche Sicherheit" übersetzen.

"Wir taten es für die Lulz"

Für Aufsehen sorgte die Meldung, der Rapper Tupac sei gar nicht tot, sondern würde sich in Neuseeland versteckt halten. Eingeschmuggelt hatte LulzSec den gefälschten Nachrichtenartikel auf der Website des altehrwürdigen amerikanischen Public Broadcasting Service (PBS). "Wir haben es nur zum Spaß gemacht (für die Lulz)", freuen sich die Hacker.

Sony hingegen dürfte das Lachen schon lange vergangen sein. Das Unternehmen erinnere ihn immer mehr an einen "failed state", kommentierte der Internetexperte Evgeny Morozov . "Gescheiterte Staaten" können weder die Sicherheit noch das Wohlergehen ihrer Bürger gewährleisten, außerdem verlieren sie ihre Legitimation. Der Vergleich liegt so fern nicht: Sony-Kunden haben allen Grund, um die Sicherheit ihrer Daten zu fürchten. Wochenlang funktionierte das Playstation-Network nicht.

Immerhin läuft das Spielenetzwerk mittlerweile in vielen Ländern wieder - für Sony ist das von elementarer Bedeutung.

Denn nach dem Staatsversagen kommt der Staatszerfall.

Die Wiedergabe wurde unterbrochen.