Nordkorea war es. Ganz bestimmt!

Die öffentliche Einstufung des Sony-Hacks als Cyberterrorismus aus Nordkorea ist nicht zu rechtfertigen.

„Der Sony-Hack ist das 9/11 der US-Filmbranche“ kommentiert Ulrich Clauß in der Welt am Sonntag und führt weiter aus: „Schließlich kann man Sony Pictures durchaus als Opfer eines cyberterroristischen Angriffs einer feindlichen Nation sehen – und das auf amerikanischem Boden.“

Ein hochdramatischer Vorgang, so scheint es! Und tatsächlich der Beginn eines erneuten Säbelrasselns zwischen den USA und dem Regime in Pjöngjang: Eine Verwicklung in den Hack weist die nordkoreanische Regierung erneut zurück und teilt stattdessen mit, dass die 1,2 Millionen Mann starke Armee Nordkoreas „mutig zu unserem härtesten Gegenschlag gegen das Weiße Haus, das Pentagon und das gesamte amerikanische Festland“ ausholen werde, wenn die Vereinigten Staaten die Eskalation vorantreiben.

Die USA sehen es als erwiesen an, dass Nordkorea die Cyber-Attacken gegen das Filmstudio zu verantworten hat. Es wird aktuell Druck auf China ausgeübt, gemeinsam gegen Nordkorea vorzugehen. Da die Internetanbindung Nordkoreas fast ausschließlich über südchinesische Netzstrukturen erfolgt und die Serversysteme von dort ansässigen Anbietern gehostet werden, kommt China hier eine besondere Rolle zu: Nordkorea könnte mit chinesischer Hilfe wirksam und dauerhaft vom Datennetz getrennt werden.

Einige öffentlich zugängliche Informationen lassen jedoch die Bewertung seitens der US-Regierung zweifelhaft erscheinen. Es lohnt sich, einmal genauer hinzusehen, was passiert ist.

Zur IT-Sicherheitslage bei Sony

Die informationstechnische Sicherheit bei Sony ist bereits seit einigen Jahren in Verruf geraten: Das Unternehmen hatte sich das Image erworben, die Dartscheibe krimineller Hacker zu sein. Es fällt schwer, ein weiteres Unternehmen dieser Bekanntheit zu finden, das so oft erfolgreich penetriert wurde. Kostprobe?

• Zwischen 1999 und 2011 wurden in mehreren Dutzend Fällen Webseiten von Tochterunternehmen der Sony Corporation von Hackern verunstaltet.
• 2011 wurden Kundendaten von 77 Mio. PlayStation-Network-Nutzerkonten entwendet.
• Im Februar 2014 wurden Zugangsdaten eines Servers von Sony Pictures Entertainment gestohlen und dazu genutzt Schadsoftware über den Server zu verbreiten.

Insgesamt wurden mehr als 50 Fälle (!) in 15 Jahren öffentlich bekannt, in denen Sony Opfer von Hacks wurde.

Beim aktuellen Sony-Hack fällt zudem auf, dass politische oder cyberterroristische Motive kaum im Vordergrund standen. Zur Chronologie:

• In einer E-Mail vom 21. November (wenige Tage vor der öffentlichen Wahrnehmung des Hacks) wurde den Sony-Verantwortlichen mitgeteilt: „[M]onetary compensation we want“. Bei Nichterfüllung wurde mit einem Bombardement gedroht. Die Absender zeichneten dabei als „God’sApstls“; eine Zeichenkette, die später in einer beim Hack verwendeten Schadsoftware tatsächlich wiedergefunden wurde.
• Am 1. Dezember übernahm eine Gruppe „Guardians of Peace“ die Verantwortung für den zwischenzeitlich erfolgten Hack, betonte aber, dass die „Gier von Sony Pictures“ der Grund für den Angriff sei.
• Erst am 8. Dezember, nachdem es einige Spekulationen in den Medien über einen Zusammenhang zwischen dem angekündigten Film und Hackern aus Nordkorea gab, wurde der Film in einer Verlautbarung von „Guardians of Peace“ erwähnt. Man bestritt aber, im  Auftrag Nordkoreas zu handeln.

Die Chronologie deutet hierbei weniger auf einen mit hohem Ressourceneinsatz vorgenommenen cyberterroristischen Angriff hin. Vielmehr sieht es nach zwei Gruppen krimineller Hacker aus, von denen die eine Geld erpressen wollte und die andere sich in der Aufmerksamkeit sonnt.

Der Begriff Cyberterrorismus ist ohnehin im Kontext Sony eher unpassend, da Filmstudios kaum zu dem Teil der Infrastruktur zählen, deren Versagen eine Gefahr für Leib und Leben der Bevölkerung konstituiert oder einen Zusammenbruch des öffentlichen Lebens bewirkt. Die US-Bürger würden es unbeschadet ihrer Gesundheit überstehen, wenn eine weitere Fortsetzung von „Men in Black“ wegen eines Hacks verschoben würde oder ein James-Bond-Drehbuch zu früh bekannt würde. Zudem sei der geopolitische Hinweis gegeben, dass Sony ein japanisches Unternehmen ist: Eine Auseinandersetzung koreanischer Hacker mit einem japanischen Konzern könnte man trotz Hollywood-Bezug auch als Cyber-Scharmützel im fernen Osten einordnen und das militärische Säbelrasseln einstellen.

Welche Beweise gibt es?

Es stellt eine generelle Herausforderung der Ermittler dar, eine Cyberattacke einem Täter zuzuordnen. Zwar hat die digitale Forensik einige Entwicklungen hinter sich; die Natur der Internetkommunikation macht es aber oft unmöglich, gerichtsfeste Beweise bei netzwerkbasierten Angriffen zu sammeln:

• Die Kommunikation im Internet findet über Router statt. Diese leiten Datenpakete protokollbedingt auch dann weiter, wenn der Absender gefälscht ist. Angriffe, die keinen Rückkanal benötigen (dazu gehören eine Vielzahl von Verfügbarkeitsangriffen), sind daher durchführbar, ohne dass der Täter in Erscheinung treten muss.
• Wenn eine Identifizierung der IP-Adresse des angreifenden Systems gelingt, ist keineswegs der Täter identifiziert sondern bestenfalls ein beteiligter Rechner. Dieser Rechner kann aber stellvertretend agieren (Proxy) oder seinerseits ein Opfer eines vorherigen vorbereitenden Angriffs sein, was bei gut geplanten Angriffen eher der Regelfall als die Ausnahme ist. Eine netzwerkbasierte Identifizierung des Täters ist dann nicht mehr gegeben.
• Bei von den Tätern selbst erstellter Schadsoftware sind meist Spuren auswertbar, die eine Zuordnung insoweit ermöglichen, dass festgestellt wird, dass verschiedene Tools von überlappenden Personengruppen entwickelt wurden. Es wird dabei also die „Handschrift“ einzelner Softwareentwickler erkannt, oder die Täter hinterlassen sogar vorsätzlich kleine Botschaften, die die Ermittler provozieren sollen. Die festgestellte Identität stellt hierbei aber lediglich ein Pseudonym dar, das bei weiteren Angriffen wiedererkannt, jedoch nicht zweifelsfrei einer einzelnen natürlichen Person zugeschrieben werden kann. Beim Sony-Hack wurde beispielsweise festgestellt, dass die Software auf einem Rechner kompiliert wurde, bei dem Koreanisch als Systemsprache konfiguriert war, was auf wenige Täterländer hindeutet. Zudem wurde Komponenten wiedergefunden, die bei Angriffen auf Unternehmen in Südkorea und Saudi-Arabien genutzt wurden, was auf Nordkorea weist. Ob hier aber dieselben Entwickler gewirkt haben oder genutzte Komponenten zuvor verbreitet wurden, lässt sich anhand dieser Spuren nicht feststellen.

Der FBI-Report legt nahe, dass eine südchinesische Infrastruktur beim Angriff genutzt wurde, die in der Vergangenheit bei Angriffen, die seinerzeit Nordkorea zugeschrieben wurden, ebenfalls beteiligt war. Diese Ermittlungsergebnisse stellen ein weiteres Indiz dar, dass Nordkorea beim Sony-Hack beteiligt war, von erdrückenden Beweisen kann man aber nicht ausgehen: Es wäre nicht schwierig, einen Angriff von irgendeinem System auf der Welt aus so vorzunehmen, dass es sich auf dem verschlungene Weg zum Zielsystem derselben Infrastruktur bedient. Anders gesagt: Digitale Spuren lassen sich künstlich erzeugen, so dass der Angriff einem vermeintlichen Täter in die Schuhe geschoben wird. Die Selbstsicherheit des FBIs erscheint hier auch unter einem weiteren Aspekt überzogen: Wie kann die Ermittlungsbehörde so feinsäuberlich unterscheiden, ob der Angriff von gewöhnlichen Kriminellen oder Hacktivisten aus dem Süden Chinas erfolgte oder ob die Gruppe im Auftrag nordkoreanischer Dienste oder einfach aus Sympathie zu Nordkorea handelte? Vielleicht trainierten hier chinesische Hacker den Nachwuchs. Sony war dann aufgrund seiner in der Vergangenheit gezeigten Schwächen ein naheliegendes Ziel für ein Gesellenstück, und wer konnte vorher ahnen, dass die Veröffentlichung einiger Mails und das Lästern der Hacker über die neue Filmproduktion internationale Verstimmungen erzeugten?!

Das FBI benennt ein pikantes Detail: „[T]he FBI discovered that several Internet protocol (IP) addresses associated with known North Korean infrastructure communicated with IP addresses that were hardcoded into the data deletion malware used in this attack.“ Es wurde also eine verräterische Rechnerkommunikation beobachtet. Wohlgemerkt: Nicht die in der Schadsoftware gefundenen IP-Adressen gehörten zur Nordkorea zugeschriebenen Infrastruktur, sondern die Kommunikationspartner dieser IP-Adressen. Haben die US-Ermittler also beobachtet, wie Rechner im Süden Chinas miteinander kommunizierten? Ganz trivial ist eine solche Beobachtung nicht, schließlich dürften chinesische Netzwerkbetreiber nicht ganz so kooperativ bei der amerikanischen Überwachung ihrer Netzknoten sein wie europäische. Falls amerikanische Dienste aber in der Lage sind, innerchinesischen Datenverkehr mitzulauschen, wäre das FBI kaum befugt, dies öffentlich einzuräumen. Der Report geht auf diesen Punkt nicht genauer ein; die fraglichen IP-Adressen werden nicht aufgeführt.

Cyberkrieger

Es wird möglicherweise nie geklärt werden, wer alles am aktuellen Sony-Hack aktiv oder unterstützend beteiligt war. Aber selbst wenn eine zweifelsfreie Identifizierung der Täter gelingt: Von Cyberterrorismus sollte niemand leichtfertig sprechen. Hollywood ist keine kritische Infrastruktur und die Veröffentlichung eines Drehbuches vor Produktionsbeginn ist kein kriegerischer Akt.