Die Anatomie einer Datenschutzverletzung: Das Beispiel Sony

Sogenannte „Threat Models“ basieren auf der Analyse des Benutzerverhaltens. Sie orientieren sich dabei am typischen Lebenszyklus einer Datenschutzverletzung auch als „Kill Chain“ bezeichnet. Ziel solcher weitgehend automatisiert ablaufender Modelle ist...
Carl Groves
3 minute gelesen
Letzte aktualisierung 29. Oktober 2021

Sogenannte „Threat Models“ basieren auf der Analyse des Benutzerverhaltens. Sie orientieren sich dabei am typischen Lebenszyklus einer Datenschutzverletzung auch als „Kill Chain“ bezeichnet. Ziel solcher weitgehend automatisiert ablaufender Modelle ist es, vertrauliche Daten und Informationen in möglichst allen Stadien, die eine Datenschutzverletzung durchläuft oder durchlaufen kann, so gut wie möglich abzusichern. Was das im Einzelnen bedeutet haben wir uns anhand des spektakulären Vorfalls bei Sony näher angesehen.

Wie kam es zu dem Vorfall bei Sony?

Einige Details sind bekannt und bestätigt: Eine Gruppe, die sich selbst Guardians of Peace (GoP) nennt, behauptete im Besitz von etwa 100 Terabytes an Daten zu sein. Bei diesem Diebstahl kam die Wiper Malware zum Einsatz, die immer wieder geisterhaft auftaucht, und 2012 zum ersten Mal beobachtet wurde. Mit Hilfe dieser höchst effizient arbeitenden Malware war es den Angreifern gelungen, Daten von den Servern abzuziehen. Darunter eine erschreckend hohe Zahl von unstrukturierten Daten: 47.000 Sozialversicherungsnummern, ein erstes Drehbuch von „Spectre“ und nicht zu vergessen etwa 170.000 vertrauliche E-Mails von Führungskräften mit teils höchst peinlichen Inhalten.

Ein Blick auf die Kill Chain erlaubt es nachzuvollziehen, wie sich der Angriff abgespielt haben könnte. Die einzelnen Schritte sind nicht ganz untypisch für andere Vorfälle dieser Art.

Die Erkundungs- oder Sondierungsphase

In diesem Fall benutzten die Angreifer Phishing-E-Mails, um Anmeldedaten zu stehlen. Wahrscheinlich über gefälschte Anfragen die jeweilige Apple ID zu verifizieren. So gelangten die Angreifer in den Besitz der nötigen persönlichen Informationen. Kombiniert mit Daten aus öffentlich zugänglichen Quellen wie LinkedIn und Facebook reichte das aus, um sich erfolgreich Zutritt zum Netzwerk zu verschaffen.

Wahrscheinlich sondierten die Angreifer dann erst ein Mal das Netzwerk. Mit zusätzlichen Aufklärungs- und Mapping-Tools, die sich problemlos herunterladen lassen, kein Problem. Die Mitglieder der Gruppe veröffentlichten beispielsweise präzise Netzwerkdiagramme, die sie in den entsprechenden Dokumenten gefunden hatten.

Die Phase des eigentlichen Eindringens in ein System

Die Wiper Malware wurde anschließend auf den Sony-Servern platziert, versehen mit den korrekten Anmeldedaten der Mitarbeiter, um die Dateien ausführen zu können. Die Wiper Malware hat ein besonders hohes zerstörerisches Potenzial und vernichtet Daten auf Windows-Rechnern. Sie verbreitet sich dann über Netzwerkdateien weiter, um anschließend die Windows-Server selbst zu attackieren. Jüngst veröffentlichte Analysen gehen davon aus, dass diese Phase des Eindringens bei Sony nahezu ein Jahr unentdeckt blieb.

Seitwärts im Netz

Das nächste Ziel der Angreifer: die Fileserver, auf denen die Passwortdateien gespeichert waren. Dies eröffnete den Hackern die Möglichkeit, ihren Einflussbereich weiter auszudehnen, Rechte auszuweiten und Berechtigungen zu verändern. In Folge des Hacks wurden enorme Mengen von Dateien veröffentlicht, bei nicht wenigen von ihnen fand sich der Begriff „Passwort“ sogar in der Dateibezeichnung. Veröffentlicht wurde im Anschluss so ziemlich alles. Dateien, die Benutzernamen und Passwörter enthielten, unabhängig davon, ob es sich um interne Systeme oder Twitter-Konten des Unternehmens handelte, darunter beispielsweise ein Dokument aus der Personalabteilung, das 402 Sozialversicherungsnummern enthielt, dazu interne E-Mails, Passwörter in Klarschrift und die Namen von Angestellten.

Rechteausweitungen

Mithilfe zusätzlicher Tools und dieser Seitwärtsbewegung im Netz ist es den Angreifern gelungen einen wahren Schatz zu finden nämlich eine große Zahl von lediglich klarschriftlich abgespeicherten Passwörtern. Mit fatalen Folgen für das Unternehmen. Denn damit hatten die Angreifer Zugriff auf praktisch alles, was sie brauchten. Sie konnten sich sogar der installierten Zertifikate bemächtigen und Informationen zu RSA Tokens in ihren Besitz bringen. Nicht viel später tauchte eine Malware unter dem Namen Destover im Internet auf, die beispielsweise diese gestohlenen Sony-Zertifikate benutzte.

Daten herausschleusen

Unmengen von Daten, mehrere hundert Gigabit, wurden anschließend veröffentlicht, die meisten von ihnen unstrukturierte Daten aus PDFs, Word- und Excel-Dokumenten, Präsentationen, E-Mails und Video-Dateien. Und auch hier war wieder so ziemlich alles dabei, was ein Unternehmen ausmacht: vertrauliche Daten (PII-Daten: Personal Identifiable Information), die sich wie der Name schon sagt, eindeutig einer Person zuordnen lassen. Betroffen waren sowohl Daten von Prominenten als von derzeitigen und ehemaligen Sony-Mitarbeitern. Dazu kam eine Vielzahl unternehmenskritischer Dokumente, die Informationen zu Budgets ebenso enthielten wie zu bisher unveröffentlichten Drehbüchern, geplanten Projekten und Filmen nebst weiterer interner Kommunikation.

Und jetzt?

Auch wenn nicht alle Datenschutzverletzungen derart spektakulär ablaufen, jedes Unternehmen müsste mit prinzipiell ähnlichen Folgen zurande kommen. Jetzt, mehr als ein Jahr später, kämpft Sony immer noch mit den Folgeerscheinungen des erfolgreichen Angriffs. Und die haben es in sich. Ein ganzes Geschäftsmodell ist in Mitleidenschaft gezogen, der entstandene Imageschaden kaum zu quantifizieren. Nicht zu vergessen die Millionen von Dollars, die bereits investiert wurden, um den Schaden zu begrenzen.

„Nur“ weil es den Hackern gelungen ist ins Netzwerk vorzudringen und dort weitgehend unbeobachtet über einen langen Zeitraum hinweg unstrukturierte Daten von innen heraus zu manipulieren.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

drei-vermeidbare-fehler-beim-management-von-dateiberechtigungen
Drei vermeidbare Fehler beim Management von Dateiberechtigungen
Es ist erschreckend, aber in den meisten Organisationen haben Mitarbeiter zu wesentlich mehr Informationen Zugang, als sie im Rahmen ihrer Tätigkeiten benötigen. Unter solchen Umständen wird das Datenmanagement schnell unübersichtlich....
wie-sie-dsgvo-daten-mit-varonis-schützen
Wie Sie DSGVO-Daten mit Varonis schützen
Im übergeordneten Datensicherheitsgeschehen sind DSGVO-Daten nicht unbedingt wichtiger als andere sensible Daten, erfordern aber ganz bestimmte Kontrollen, Richtlinien und Prozesse – wobei Compliance durch die Androhung bedeutender Bußgelder durchgesetzt wird....
dark-data-als-versteckte-vermögenswerte-in-unternehmen
DARK DATA ALS VERSTECKTE VERMÖGENSWERTE IN UNTERNEHMEN
Im letzten Jahr haben Dark Data ihren Weg ins Rampenlicht gefunden. Ich bezeichne Dark Data als eine Untergruppe der Big Data – unglaublich umfangreich, aber ohne formelle Grenzen, die durch…
ponemon-studie:-wo-unternehmenssicherheit-ihre-lücken-hat
PONEMON-STUDIE: WO UNTERNEHMENSSICHERHEIT IHRE LÜCKEN HAT
In Zusammenarbeit mit dem Ponemon-Institute haben wir kürzlich unter dem Titel „Closing Security Gaps to Protect Corporate Data“ eine gemeinsame Studie veröffentlicht. Der Fokus der Untersuchung lag dabei insbesondere auf...