Sony Pictures-Hack: Tausende sensible Daten von Mitarbeitern und Schauspielern veröffentlicht
Der digitale Einbruch bei Sony Pictures, der unter anderem auch unveröffentlichte Filme in Umlauf brachte, könnte viel schlimmer sein als bisher angenommen. Das Wall Street Journal berichtet davon, dass die gestohlenen Daten auch sensible Informationen wie die Sozialversicherungsnummer von 47.000 aktuellen und früheren Mitarbeitern von Sony beinhalten. Auch freie Mitarbeiter und Schauspieler sind betroffen. Die Daten geben auch Auskunft über Gehälter und Privatadressen.
Verantwortlich für die Veröffentlichung der Daten ist die Hacker-Gruppe Guardian of Peace (GOP). Neben den persönlichen Daten wurden auch Verträge online gestellt. Leider hat Sony es versäumt, die Daten entsprechend abzusichern, sie liegen teilweise in Form von großen Excel-Tabellen vor, die noch nicht einmal mit einem Passwort versehen sind. Für ein Unternehmen dieser Größe eigentlich ein No-Go, wobei dies generell ein No-Go ist, wenn es sich um sensible Daten handelt.
Interessant ist auch, wo die Attacke herkommen soll. Nämlich aus Nordkorea. Dies wird von Sichehreitsexperten und dem FBI nahegelegt, da sich die Attacke sehr einer ähnelt, die sich letztes Jahr gegen südkoreanische Banken gerichtet hat. Außerdem sei die Malware auf einem Rechner mit koreanischer Spracheinstellung während koreanischer Geschäftszeiten erstellt worden.
Kaspersky Labs ordnet die Attacke ebenfalls Nordkorea zu, ohne allerdings zu wissen, wer genau dahinter steckt. Es wird noch angemerkt, das Attacken aus Nordkorea oftmals von ausgedachten Hacker-Gruppen stammen, von denen Sicherheitsforscher im Vorfeld noch nie etwas gehört haben. Außerdem zeigte sich die nordkoreanische Regierung nicht gerade erfreut über den Sony-Film „The Interview“, der am 25. Dezember anläuft. In dem Film wird Kim Jong-Un parodiert, das gefällt Nordkorea natürlich überhaupt nicht. Allerdings muss man auch festhalten, dass es keine Beweise dafür gibt, dass die Attacke tatsächlich von Nordkorea durchgeführt wurde.
Insgesamt zeigt der Vorfall aber auch sehr gut, wie schlecht Daten geschützt werden. Normalerweise hätten solche Daten nichts auf einem Rechner mit Internetzugang verloren, vor allem nicht unverschlüsselt. Das wurde Sony auch schon in früheren Hacks angekreidet. Man kann nach diesem Super GAU aber wohl davon ausgehen, dass Sony hier künftig besser darauf achtet. Leider muss erst immer etwas schlimmeres vorfallen, bis reagiert wird. Auch ist immer noch nicht genau klar, welche Daten noch zum Vorschein kommen werden.
Sony versucht mit seinen Anwälten bereits, entsprechende Links zu den Dateien löschen zu lassen. Das dürfte sich aber als Kampf gegen Windmühlen darstellen. Was einmal im Netz gelandet ist, verschwindet nicht wieder einfach so.
Wird geladen ...
Mitarbeiterdaten sind natürlich auch auf Rechnern mit Internetzugang zu finden. Das ist ganz normal, Personalmitarbeiter brauchen den schließlich auch zum kommunizieren. Dass aber solche riesigen excel-sheets existieren ist schon etwas seltsam, excel ist schließlich nicht gerade das beste Programm um mit großen Datensätzen umzugehen… 😀
Hättest vielleicht noch erwähnen sollen, dass es sich um 33.000 Dokumente handelt. So viel kann man gerade noch vor der WSJ-Paywall erkennen 😉
Bestes Artikelbild…
Das ist doch der Ist-Zustand in den allermeisten Fällen und das eigentliche Problem dass für solche Anpassungen einfach nicht die Notwendigkeit gesehen wird Budget bereitzustellen.
IT Sicherheit kostet Geld bringt im Gegenzug aber keines ein, so jedenfalls ist die Rechnung der Betriebswirte. Mal sehen ob das jetzt reicht das man bei Sony die Notwendigkeit sieht in Sachen Datenschutz etwas zu unternehmen.
Wenn Firmen Sicherheit von Daten nicht für notwendig erachten bin ich froh das wenigstens solche Gruppe das Öffentlich machen.
Hacken scheint sich ja wohl in allen Ländern der Welt zum Volkssport zu entwickeln. Schön. Braucht man sich wenigstens um die Sichrheit des eigenen Rechners keine Gedanken mehr zu machen, weil eh sinnlos 🙁
solche Daten sind wohl in 95% der Firmen (gross oder klein) nicht geschützt.
Das kenn ich von meiner Arbeit: wenn Japaner kein Excel verwenden dürfen werden die nicht glücklich!
Generell habe ich ein gewisses Vertrauen meine Daten großen Konzernen anzuvertrauen aber bei Sony oder Adobe habe ich immer Bauchschmerzen. Und dabei verwende ich Geräte und Software von den Firmen :/
Und ich musste der Firma erst mal erklären, dass man wenn man meinen Laptop stielt keine Firmendaten stielt – Truecrypt-Vollverschlüsselt – und spätestens nach der NSA-Security-Letter-Story wissen wir ja, dass Truecrypt sicher ist…
Aber letztendlich braucht man ja nur Zugriff auf nen Exchange mit eingetragenen Mitarbeitern idealerweise aus der Buchhaltung – um schon so weit zu kommen…
IT-Sicherheit ist eh die größte Lüge überhaupt. Selbst die Mitarbeiter in der IT-Abteilung, haben null Plan auf dem Gebiet und erst recht nicht der Personaler, der IE als Standardbrowser verwendet. Leider wird sich das nicht ändern:-(
IT-Sicherheit ist und bleibt benutzerunfreundlich und deshalb wird es nicht genutzt.
„Sichehreitsexperten und dem FBI“ … ach die, die ständig Lügen und alles so hinbiegen wie es ihnen gerade passt? Die Gesetze mit den Füßen treten und wenn es sein muss, ihre Kontrollinstanzen überwachen und ggf Beweise löschen? Ja den glaub ich doch gerne. Nicht.
Passt natürlich dass dann Nordkorea es war. Selbst wenn da ein Hacker aus Nordkorea involviert wäre .. wie wäre das eigentlich, wenn ein Deutscher aus Deutschland das macht? Ist dann die Schlagzeile auch „Die Bundesrepublik Deutschland hackt Sony-Server“ oder eher „Spinnerter Hacker aus Freiburg hebelt Konzern aus“?
Supergau? Künftig besser darauf achtet? Also wenn sie nach den letzten Jahren nichts gelernt haben, dann denke ich nicht, dass dies nun viel mehr bringt… 😉
Da kann ich mich Alexander nur anschliessen – und die Leute die hier erstaunt sind dass man Personaldaten in Excel-Dateien verwaltet. Aufwachen!!! Wir leben in einer überalterten Gesellschaft. Nicht mal Excel wird auch nur im Ansatz voll genutzt was den Funktionsumfang angeht und das wird sich auch in 100 Jahren nicht ändern.
Es ist sicherlich toll was alles mit Datenbanken usw möglich ist aber in der realen Wirtschaft muss am Ende des Monats mit ganz normalen Angestellten ein Gewinn erwirtschaftet werden. Bezahlen will es ja andersherum auch keiner…
@Sascha Du wohnst doch in der Nähe von Nordkorea, in Taiwan, oder? Eine Reportage über die in Nordkorea jetzt verwendeten Technologien wäre cool. 😀
@Robert
Wie man sieht, können in der Cloud bearbeitete Daten sicherer sein, sie werden mit SSL verschlüsselt zum Browser transportiert. Andererseits gibt es dann einen Sicherheitsflaschenhals, wenn die Cloud unsicher ist, ist alles unsicher.
@namerp
Das müssen dumme Betriebswirte sein.
Eigentlich interessieren die nur, aber gerade die Kosten, und wie man sieht können welche anfallen…
Mal was anderes: Bessere Publicity für den Film kann es gar nicht geben 😀 Hatte mal gelesen, das Nordkorea mit Vergeltung gedroht hat, wenn man den Film rausbringt
@Bjørn
Die sehen sich aber auch ähnlich 😀
the auditor told Spaltro, the passwords Sony employees were using did not meet best practice standards that called for combinations of random letters, numbers and symbols.
Summing up, the auditor told Spaltro, “If you were a bank, you’d be out of business.”
via http://www.cio.com/article/2439324/risk-management/your-guide-to-good-enough-compliance.html
Soviel zur Sicherheit in der IT 😀
Ob Sony schon einen Löschantrag (Recht auf vergessen) bei Google gestellt hat? 😀
Datensicherheit in Unternehmen steht immer gegen Nutzbarkeit. Die Forderungen im Artikel sind illusorisch – ein PC ohne Internetzugang??? Wie sollten dann z.B. Gehaltszahlungen oder Steuermeldungen erfolgen?
Das „Excel“ würde ich nicht wörtlich nehmen: Auch ein SQL-Export als CSV-Datei wird üblicherweise in Excel geöffnet und bei der typischen Genauigkeit der Berichte der Massenmedien…