Filmstart von "The Interview" abgesagt Wer steckt hinter dem Sony-Hack?

Filmplakat für "The Interview": Nach Gewaltdrohungen hat Sony Pictures die Premiere abgesagt.

(Foto: AP)

Die Folgen sind kaum zu überblicken: Sensible E-Mails sind an die Öffentlichkeit gelangt, den Filmstart von "The Interview" hat Sony Pictures mittlerweile abgesagt. Die USA sehen Hinweise, dass Nordkorea verantwortlich für den Hackerangriff auf den Filmkonzern ist. Ist das realistisch?

Von Mirjam Hauck und Hakan Tanriverdi

Wer steckt hinter dem Hackerangriff auf Sony Pictures? Wer ist verantwortlich für die Datenlecks und Drohungen, die für den Filmkonzern längst nicht mehr nur fürchterlich peinlich sind, sondern Sony sogar dazu bewegt haben, den Film "The Interview" vorerst nicht in die Kinos zu bringen? Hat wirklich Nordkorea seine Finger im Spiel?

Unabhängig voneinander berichten sowohl CNN als auch die New York Times, dass Hacker im Auftrag der nordkoreanischen Regierung gehandelt haben. Beide Quellen beziehen sich auf Regierungsbeamte, die nicht namentlich genannt werden wollen. Diesen Quellen zufolge sei aktuell unklar, wie die Regierung mit dieser Erkenntnis umgehen wird, ob es also zu diplomatischen Verwerfungen kommt. Beweise in Form einer Analyse des Angriffs gibt es nicht. Das wäre auch deshalb heikel, weil damit indirekt preisgegeben werden könnte, dass die USA sich ihrerseits in die Netzwerke der Nordkoreaner gehackt haben.

Auch Dave Aitel glaubt, dass die nordkoreanische Regierung hinter dem Angriff steckt. Aitel kümmert sich um IT-Sicherheit und hat jahrelang für die NSA gearbeitet. Er begründet das mit einem Vergleich: "Wenn du ein Nuklearprogramm aufbaust, wirst du einen Sprengkopf zünden, damit andere Länder wissen, dass du es kannst." Beweise bringt aber auch Aitel nicht.

Doch mehrere Experten bezweifeln diese Darstellung. Der Angriffscode sei auf Rechnern geschrieben worden, bei denen die Sprache auf Koreanisch eingestellt war (so wie ein Rechner, der in Deutschland gekauft wird, auch die Spracheinstellung Deutsch hat). Aber das Umstellen dieser Spracheinstellungen ist technisch gesehen trivial. Auf diesen Umstand weisen mehrere IT-Experten hin. Solche Mechanismen gehören zum Standard-Repertoire für Hacker, um falsche Fährten zu legen. Darüber hinaus soll der eingesetzte Schadcode seit dem Jahr 2013 im Umlauf sein - auf ihn hätten also mehrere Menschen Zugriff; das erweitert möglicherweise den Radius der potenziellen Verdächtigen.

Schlampig programmierte Schadsoftware

Klar ist auch, dass die von ihnen benutzte Schadsoftware namens "Destover" schlampig programmiert war. So haben Sicherheits-Experten des Netzwerktechnik-Anbieters Cisco herausgefunden, dass das Programm voller Fehler und alles andere als anspruchsvoll sei. Die Malware sei das Software-Äquivalent zu einer plumpen Rohrbombe. Die Cisco-Forscher haben das Schadprogramm mit anderer Malware verglichen, die von staatlichen Stellen eingesetzt wurde und kommen zum Ergebnis, dass es hier einen "Unterschied wie Tag und Nacht gebe". Der Code sei einfach, er sehe nicht so aus, als ob da jemand dafür viel Geld investiert habe.

Aber, so schreiben die Cisco-Analysten in einem Blog-Beitrag, die Schadsoftware müsse auch nicht allzu komplex sein, um ihren Zweck zu erfüllen: "Daten sind das neue Ziel, das sollte niemanden mehr überraschen."

Kim Zetter ist eine Journalistin, die sich seit Jahren mit Staatsangriffen und Schadsoftware beschäftigt. In ihrem aktuellen Buch behandelt sie die Entstehungsgeschichte von Stuxnet, einem ausgetüfteltem Programm, mit dem die iranische Atomanlage in Natanz sabotiert wurde. Stuxnet wurde in jahrelanger Arbeit entwickelt und war darauf getrimmt, unentdeckt zu bleiben. "Angriffe von Staaten", schreibt Zetter mit Hinblick auf die vergangenen Wochen, "laufen in aller Regel nicht so laut ab." Auch seien die Staats-Hacker nicht daran interessiert, einen Mythos zu erschaffen. Unabhängige Hacker-Gruppen hingegen geben sich gerne opulente Namen wie "Guardians of Peace". Zetter argumentiert, dass die Art sehr an den Aktivismus erinnere, wie man ihn von Anonymous kenne.

Alles begann mit simplen Erpressungsversuchen

Angriffe auf Staaten zurückzuführen, ist aufwendig, wie der Fall Stuxnet beweist. Erst eine umfassende Analyse des Schadcodes hatte zutage gefördert, dass eine bestimmte Steuerungsanlage angegriffen werden sollte. Systeme, von denen klar war, dass sie vor allem in Iran eingesetzt wurden. Die Analyse des Schadcodes zeigte zum Beispiel, dass die Angreifer Kenntnis darüber hatten, wie die Anlage im Iran funktionierte. Solche Analysen sind zentral, um die Frage der Angreifer beantworten zu können. Bis dato gibt es diese nicht.

Hinzu komme, so Zetter, dass die ersten Drohbriefe simple Erpressungsversuche gewesen sind. In einem Drohbief, drei Tage vor den ersten Veröffentlichungen, gerichtet an Sony-Entertainment-Chef Michael Lynton, wurde Geld gefordert. Die Hacker schrieben von einem "großen Schaden", den Sony angerichtet habe und nun finanziell kompensieren solle. Erst nachdem mehrere Medien darüber spekuliert hätten, ob Nordkorea hinter dem Angriff stecke, sei diese Verbindung auch von den Hackern gezogen werden. Die Beweislage ist sehr dünn, resümiert Zetter.

"Wer auch immer das getan hat, wollte Rache"

Marc Rogers, ebenfalls IT-Experte, merkt darüber hinaus noch an, dass es den Angreifern ganz grundsätzlich nicht um Geld gegangen sei. "Wer auch immer das getan hat, wollte Rache", schreibt er. Die Informationen und der Zugang, den die Hacker sich verschafft haben, war immens. Von Drehbüchern bis hin zu Passwörtern; all das hätte sich zu Geld machen lassen. Stattdessen wurden die Infos veröffentlicht und damit nutzlos.

Unklar ist allerdings immer noch, wie die Malware auf die Sony-Rechner gelangte. Die Cisco-Analysten ziehen hierbei die Möglichkeit in Betracht, dass es Hilfe von "innen" gab, also von Mitarbeitern, die direkten Zugang zum internen Firmennetzwerk von Sony haben. Da Sony Pictures Anfang des Jahres Mitarbeiter entlassen habe, können es durchaus sein, dass sich hier ehemalige Mitarbeiter rächen wollten. Denn "Destover" nutzt Komponenten, die in speziellen Hackerforen gekauft werden können.

Sony wurde bereits 2011 zum Ziel eines schwerwiegenden Hackerangriffs. Damals wurden die Unternehmensserver des Playstation-Netzwerks attackiert und Zugangs- und Kreditkarten gestohlen. Zunächst wurde das damals aktive Hackerkollektiv Anonymous verdächtigt. Das stritt eine Beteiligung allerdings ab. Später war nur noch von einer anonymen Gruppe die Rede.