Sogenannte „Threat Models“ basieren auf der Analyse des Benutzerverhaltens. Sie orientieren sich dabei am typischen Lebenszyklus einer Datenschutzverletzung auch als „Kill Chain“ bezeichnet. Ziel solcher weitgehend automatisiert ablaufender Modelle ist es, vertrauliche Daten und Informationen in möglichst allen Stadien, die eine Datenschutzverletzung durchläuft oder durchlaufen kann, so gut wie möglich abzusichern. Was das im Einzelnen bedeutet haben wir uns anhand des spektakulären Vorfalls bei Sony näher angesehen.
Wie kam es zu dem Vorfall bei Sony?
Einige Details sind bekannt und bestätigt: Eine Gruppe, die sich selbst Guardians of Peace (GoP) nennt, behauptete im Besitz von etwa 100 Terabytes an Daten zu sein. Bei diesem Diebstahl kam die Wiper Malware zum Einsatz, die immer wieder geisterhaft auftaucht, und 2012 zum ersten Mal beobachtet wurde. Mit Hilfe dieser höchst effizient arbeitenden Malware war es den Angreifern gelungen, Daten von den Servern abzuziehen. Darunter eine erschreckend hohe Zahl von unstrukturierten Daten: 47.000 Sozialversicherungsnummern, ein erstes Drehbuch von „Spectre“ und nicht zu vergessen etwa 170.000 vertrauliche E-Mails von Führungskräften mit teils höchst peinlichen Inhalten.
Ein Blick auf die Kill Chain erlaubt es nachzuvollziehen, wie sich der Angriff abgespielt haben könnte. Die einzelnen Schritte sind nicht ganz untypisch für andere Vorfälle dieser Art.
Die Erkundungs- oder Sondierungsphase
In diesem Fall benutzten die Angreifer Phishing-E-Mails, um Anmeldedaten zu stehlen. Wahrscheinlich über gefälschte Anfragen die jeweilige Apple ID zu verifizieren. So gelangten die Angreifer in den Besitz der nötigen persönlichen Informationen. Kombiniert mit Daten aus öffentlich zugänglichen Quellen wie LinkedIn und Facebook reichte das aus, um sich erfolgreich Zutritt zum Netzwerk zu verschaffen.
Wahrscheinlich sondierten die Angreifer dann erst ein Mal das Netzwerk. Mit zusätzlichen Aufklärungs- und Mapping-Tools, die sich problemlos herunterladen lassen, kein Problem. Die Mitglieder der Gruppe veröffentlichten beispielsweise präzise Netzwerkdiagramme, die sie in den entsprechenden Dokumenten gefunden hatten.
Die Phase des eigentlichen Eindringens in ein System
Die Wiper Malware wurde anschließend auf den Sony-Servern platziert, versehen mit den korrekten Anmeldedaten der Mitarbeiter, um die Dateien ausführen zu können. Die Wiper Malware hat ein besonders hohes zerstörerisches Potenzial und vernichtet Daten auf Windows-Rechnern. Sie verbreitet sich dann über Netzwerkdateien weiter, um anschließend die Windows-Server selbst zu attackieren. Jüngst veröffentlichte Analysen gehen davon aus, dass diese Phase des Eindringens bei Sony nahezu ein Jahr unentdeckt blieb.
Seitwärts im Netz
Das nächste Ziel der Angreifer: die Fileserver, auf denen die Passwortdateien gespeichert waren. Dies eröffnete den Hackern die Möglichkeit, ihren Einflussbereich weiter auszudehnen, Rechte auszuweiten und Berechtigungen zu verändern. In Folge des Hacks wurden enorme Mengen von Dateien veröffentlicht, bei nicht wenigen von ihnen fand sich der Begriff „Passwort“ sogar in der Dateibezeichnung. Veröffentlicht wurde im Anschluss so ziemlich alles. Dateien, die Benutzernamen und Passwörter enthielten, unabhängig davon, ob es sich um interne Systeme oder Twitter-Konten des Unternehmens handelte, darunter beispielsweise ein Dokument aus der Personalabteilung, das 402 Sozialversicherungsnummern enthielt, dazu interne E-Mails, Passwörter in Klarschrift und die Namen von Angestellten.
Rechteausweitungen
Mithilfe zusätzlicher Tools und dieser Seitwärtsbewegung im Netz ist es den Angreifern gelungen einen wahren Schatz zu finden nämlich eine große Zahl von lediglich klarschriftlich abgespeicherten Passwörtern. Mit fatalen Folgen für das Unternehmen. Denn damit hatten die Angreifer Zugriff auf praktisch alles, was sie brauchten. Sie konnten sich sogar der installierten Zertifikate bemächtigen und Informationen zu RSA Tokens in ihren Besitz bringen. Nicht viel später tauchte eine Malware unter dem Namen Destover im Internet auf, die beispielsweise diese gestohlenen Sony-Zertifikate benutzte.
Daten herausschleusen
Unmengen von Daten, mehrere hundert Gigabit, wurden anschließend veröffentlicht, die meisten von ihnen unstrukturierte Daten aus PDFs, Word- und Excel-Dokumenten, Präsentationen, E-Mails und Video-Dateien. Und auch hier war wieder so ziemlich alles dabei, was ein Unternehmen ausmacht: vertrauliche Daten (PII-Daten: Personal Identifiable Information), die sich wie der Name schon sagt, eindeutig einer Person zuordnen lassen. Betroffen waren sowohl Daten von Prominenten als von derzeitigen und ehemaligen Sony-Mitarbeitern. Dazu kam eine Vielzahl unternehmenskritischer Dokumente, die Informationen zu Budgets ebenso enthielten wie zu bisher unveröffentlichten Drehbüchern, geplanten Projekten und Filmen nebst weiterer interner Kommunikation.
Und jetzt?
Auch wenn nicht alle Datenschutzverletzungen derart spektakulär ablaufen, jedes Unternehmen müsste mit prinzipiell ähnlichen Folgen zurande kommen. Jetzt, mehr als ein Jahr später, kämpft Sony immer noch mit den Folgeerscheinungen des erfolgreichen Angriffs. Und die haben es in sich. Ein ganzes Geschäftsmodell ist in Mitleidenschaft gezogen, der entstandene Imageschaden kaum zu quantifizieren. Nicht zu vergessen die Millionen von Dollars, die bereits investiert wurden, um den Schaden zu begrenzen.
„Nur“ weil es den Hackern gelungen ist ins Netzwerk vorzudringen und dort weitgehend unbeobachtet über einen langen Zeitraum hinweg unstrukturierte Daten von innen heraus zu manipulieren.
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
- Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
- Download our free report and learn the risks associated with SaaS data exposure.
- Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
-1.png)
