Hackeraffäre bei Sony Pictures

Start von "The Interview" nach Terrordrohung abgesagt

18.12.2014

Die beispiellose Hackerattacke auf Sony Pictures hat gravierende Folgen. Der Film "The Interview", in dem ein nordkoreanischer Diktator getötete werden soll, kommt nicht in die US-Kinos. Schauspieler sprechen von Zensur.

Nach der Hackerattacke gegen Sony Pictures und Terrordrohungen gegen Kinos wird das Filmstudio die Satire "The Interview" in den US-Kinos nicht zeigen. Da die Mehrheit der Kinobetreiber den Film nicht ins Programm nehmen wolle, "haben wir beschlossen, den für den 25. Dezember geplanten Kinostart abzusagen", zitierten US-Medien am Mittwochabend (Ortszeit) aus einer Mitteilung des Studios. In dem Film bekommen zwei US-Journalisten (Seth Rogen und James Franco) den Auftrag, Nordkoreas Machthaber Kim Jong Un bei einem Interview zu töten.

US-Behörden vermuten hinter der beispiellosen Cyberattacke Nordkorea. Dabei waren im November flächendeckend die Computersysteme von Sony Pictures angegriffen und etliche Daten gestohlen worden. Das stalinistische Nordkorea bestreitet die Vorwürfe.

"The Interview" sollte am 25. Dezember in den USA starten. In Deutschland war der Start des Films mit Produktionskosten von rund 44 Millionen Dollar (etwa 35 Millionen Euro) für Februar geplant.

Bei mehreren US-Medien gingen allerdings Terrordrohungen gegen US-Kinos ein, falls diese die Komödie zeigen. "Erinnert euch an den 11. September 2001", hieß es mit Verweis auf die Terroranschläge in New York, wie der "Hollywood Reporter" aus den Schreiben zitierte. Weitere Details wurden nicht bekannt.

Zahlreiche Kino-Ketten teilten daraufhin mit, den Film nicht zu zeigen. Auch die für Donnerstag geplante New Yorker Premiere wurde Medien zufolge abgesagt. Sony Pictures habe den Kinos selbst überlassen, ob sie den Film bringen - ein beispielloses Vorgehen für Hollywood, wie das "Wall Street Journal" berichtete.

Film ab in den Giftschrank, Stars empört

"Wir respektieren und verstehen die Entscheidung unserer Partner und teilen natürlich auch ihr vorrangiges Interesse an der Sicherheit ihrer Angestellten und Kinobesucher", begründete Sony die historische Entscheidung zum Rückzug des Films aus den Kinos. Zudem habe sich Sony auch gegen jede andere Form der Veröffentlichung des Films entschieden, sei es als Video auf privaten Kabelkanälen oder auf DVD, zitierte das Magazin "Variety" eine Sony-Sprecherin.

Schauspieler zeigten sich enttäuscht von der Absage. "Ein trauriger Tag für die Kreativität", schrieb Steve Carell bei Twitter. Sein Kollege Ben Stiller betonte: "Es ist wirklich schwer zu glauben, dass das die Antwort auf eine Bedrohung der freien Meinungsäußerung hier in Amerika ist." Talkmaster Jimmy Kimmel sprach von einem "unamerikanischen Akt der Feigheit, der terroristische Handlungen bestätigt und einen ungeheuerlichen Präzedenzfall schafft".

Washington werfe dem nordkoreanischen Nordkorea "eine zentrale Rolle" bei dem Angriff auf die Daten von Sony, berichtete die "New York Times" unter Berufung auf namentlich nicht genannte Regierungsvertreter. Die US-Regierung wäge eine Reihe von Optionen ab, sagte die Sprecherin des Nationalen Sicherheitsrats, Bernadette Meehan, der Zeitung. Nordkorea hat die Vorwürfe zurückgewiesen.

Nordkoreas Regierung als Auftraggeber vermutet

Ermittler seien sich "zu 99 Prozent sicher", dass die Hacker im Auftrag der nordkoreanischen Regierung gearbeitet hätten, berichtete auch die "Washington Post". Eine offizielle Erklärung der Behörden wurde für Donnerstag erwartet.

US-Präsident Barack Obama empfahl den Amerikanern, "ohne Angst ins Kino" zu gehen. Vorerst seien die Drohungen nicht glaubwürdig, deutete er in einem Interview von ABC News an.

Die Drohungen rund um den Film stammten vermutlich von denselben Tätern, die Ende November die Computersysteme von Sony Pictures angegriffen hätten, berichtete das "Wall Street Journal". Unter Berufung auf Quellen bei der US-Bundespolizei FBI berichtete Foxnews, dass Nordkorea hinter diesem Datendiebstahl stehe. Allerdings sei der Angriff "nicht unbedingt" aus dem Land selbst erfolgt. Eine Hackergruppe namens "Guardians of Peace" (Hüter des Friedens) hat sich zu den Angriffen bekannt und gefordert, den Film zu stoppen. (dpa/sh)

Anzeichen für einen Cyber-Angriff

Woran Sie einen Angriff erkennen
Nach Analysen von McAfee weisen vor allem acht Indikatoren darauf hin, dass ein Unternehmensnetz in die Schusslinie von Hackern geraten ist. Hans-Peter Bauer, Vice President Zentraleuropa bei McAfee, stellt sie vor.

Interne Hosts kommunizieren mit bösartigen oder unbekannten Zieladressen
In jedem Fall verdächtig ist, wenn ein Host-Rechner auf externe Systeme zugreift, deren IP-Adressen auf "Schwarzen Listen" von IT-Sicherheitsfirmen zu finden sind. Vorsicht ist auch dann geboten, wenn Rechner häufig Verbindungen zu Systemen in Ländern aufbauen, zu denen ein Unternehmen keine geschäftlichen Beziehungen unterhält. Dabei kann es sich um den Versuch handeln, Daten aus dem Unternehmen hinauszuschmuggeln.

Interne Hosts kommunizieren mit externen Hosts über ungewöhnliche Ports
Auffällig ist beispielsweise, wenn interne Rechner über Port 80 eine SSH-Verbindung (Secure Shell) zu einem System außerhalb des Firmennetzes aufbauen. SSH nutzt normalerweise Port 22 (TCP). Port 80 ist dagegen die Standardschnittstelle für HTTP-Datenverkehr, also den Zugriff auf das Internet. Wenn ein Host einen ungewöhnlichen Port verwendet, kann dies ein Indiz dafür sein, dass ein Angreifer das System unter seine Kontrolle gebracht hat. Um IT-Sicherheitssysteme zu täuschen, tarnt ein Hacker dann die Kommunikation mit seinem Command-and-Control-Server (C&C) als Anwendung, die jedoch nicht den Standard-Port verwendet.

Öffentlich zugängliche Hosts oder Hosts in entmilitarisierten Zonen (DMZ) kommunizieren mit internen Hosts
Mithilfe solcher Hosts kann es Angreifern gelingen, gewissermaßen "huckepack" in ein Unternehmensnetz einzudringen, Daten zu stehlen oder IT-Systeme zu infizieren.

Warnungen von Malware-Scannern außerhalb der Geschäftszeiten
Verdächtig ist, wenn Antiviren-Programme in der Nacht oder am Wochenende Alarm schlagen, also außerhalb der normalen Arbeitszeiten. Solche Vorkommnisse deuten auf einen Angriff auf einen Host-Rechner hin.

Verdächtige Netzwerk-Scans
Führt ein interner Host-Rechner Scans des Netzwerks durch und nimmt er anschließend Verbindung zu anderen Rechnern im Firmennetz auf, sollten bei Administratoren die Alarmglocken schrillen. Denn dieses Verhalten deutet auf einen Angreifer hin, der sich durch das Netzwerk "hangelt". Vielen Firewalls und Intrusion-Prevention-Systemen (IPS) entgehen solche Aktionen, wie sie nicht entsprechend konfiguriert sind.

Häufung identischer verdächtiger Ereignisse
Ein klassischer Hinweis auf Angriffe ist, wenn mehrere sicherheitsrelevante Events innerhalb kurzer Zeit auftreten. Das können mehrere Alarmereignisse auf einem einzelnen Host sein, aber auch Events auf mehreren Rechnern im selben Subnetz. Ein Beispiel sind Fehler beim Authentifizieren.

Schnelle Re-Infektion mit Malware
Nach dem Scannen mit einer Antiviren-Software und dem Beseitigen eventuell vorhandener Schadsoftware sollte ein IT-System eigentlich längere Zeit "sauber" bleiben. Wird ein System jedoch innerhalb weniger Minuten erneut von Malware befallen, deutet dies beispielsweise auf die Aktivitäten eines Rootkit hin.

Dubiose Log-in-Versuche eines Nutzers
Eigenartig ist, wenn derselbe User innerhalb kurzer Zeit von unterschiedlichen Orten aus Log-in-Versuche in ein Firmennetz startet oder wenn solche Aktionen von Systemen mit unterschiedlichen IP-Adressen aus erfolgen. Eine Erklärung ist, dass die Account-Daten des Nutzers in falsche Hände gefallen sind. Denkbar ist allerdings auch, dass sich ein illoyaler oder ehemaliger Mitarbeiter Zugang zu verwertbaren Daten verschaffen will.