George Clooney wollte nur einen Scherz machen. Anfang September schickte der Schauspieler eine E-Mail an Amy Pascal, die stellvertretende Vorsitzende von Sony Pictures Entertainment. Wegen seines Films The Monuments Men hatte er häufiger mit ihr zu tun. Dieses Mal jedoch ging es nicht um ein Filmprojekt. Clooney wollte heiraten und niemand sollte davon erfahren, der nicht eingeladen war. Denn Clooney war klar, dass die Hochzeit ein Ziel werden würde für Paparazzi und aufdringliche Fans. Also überschrieb er seine Mail mit einer kryptischen Betreffzeile: "Knowing this email is being hacked" – "Ich weiß, dass diese E-Mail gehackt wird".

Keine drei Monate später könnte Clooney als Prophet durchgehen. Allerdings ist nicht nur seine E-Mail gehackt worden, sondern das ganze Unternehmen. Einer der größten amerikanischen Filmkonzerne stürzte in die schwerste Krise seiner Existenz. Im schlimmsten Fall könnte sie den Untergang für Sony Pictures Entertainment (SPE) bedeuten.

Der Angriff auf SPE, ein Tochterunternehmen des japanischen Sony-Konzerns mit einem Jahresumsatz von mehr als acht Milliarden Dollar, ist der größte Hack eines Unternehmens, der bislang bekannt geworden ist. Es gibt nur einen Begriff, der das Ausmaß der Katastrophe beschreibt: GAU. Es ist der größte anzunehmende Unfall für einen Konzern, eine Bedrohung für seine Geschäftspartner, seine Angestellten und für seine Kunden. Und ein Beispiel dafür, was geschehen kann, wenn es ein Unternehmen im digitalen Zeitalter mit der Datensicherheit nicht so genau nimmt.

ZEIT ONLINE konnte einen großen Teil der SPE-Daten analysieren. Daraus lässt sich ablesen, wie die Hacker vorgegangen sind. Und es zeigt sich, wie erschreckend sorglos SPE-Manager mit vertraulichen Dokumenten umgingen. Wie sie Daten ungeschützt ließen, die den Kern ihres Geschäfts ausmachen. Sie verschickten unverschlüsselte E-Mails, speicherten Passwörter im Klartext, ließen Projektskizzen und ganze Filme ungesichert auf ihren Servern herumliegen. Das alles ist nun im Internet für jeden sichtbar.

Die Nummern der Stars sind nicht mehr geheim

Es begann am 21. November. Unbekannte waren in die Server von SPE eingedrungen und hatten nach unbestätigten Angaben bis zu 100 Terabyte Daten kopiert. Eine enorme Zahl. Es sind so viele Daten, wie auf 23.300 DVDs passen oder auf 4.000 Blue-ray Discs. Mehr als 150 Gigabyte davon wurden inzwischen im Netz veröffentlicht.

Die Daten enthalten privateste Informationen von Hollywood-Stars, Managern und Angestellten. Wollen Sie beispielsweise die Telefonnummern von Tom Cruise oder Quentin Tarrantino wissen? Die Handynummer von Tom Hanks? Die geheime Mailadresse von George Clooney? Die Sozialversicherungsnummer von Sylvester Stallone? Alles liegt jetzt offen zutage.

Tausende von privaten Mobilnummern und Postadressen sind zu finden, E-Mailadressen und Kreditkartenzahlen, Sozialversicherungsnummern, Gehaltslisten, Verträge, unveröffentlichte Kinofilme, das Drehbuch für den nächsten James Bond, zahllose interne E-Mails, Dokumente, Geschäftspläne, interne Passwörter und Zugangscodes für diverse Accounts von YouTube bis FedEx  – die Liste scheint endlos.

Wie konnte das geschehen? Selbstverständlich hatte Sony Pictures Entertainment wie jedes Unternehmen die eigenen Server mit einer Firewall und mit Virenscannern gesichert, um Angriffe abzuwehren. Doch offenbar gab es nur einen einzigen äußeren Verteidigungsring. Als die Angreifer diese Sicherheitssysteme einmal überwunden hatten, konnten sie die Rechner des Unternehmens vollständig kontrollieren.

ZEIT ONLINE hat Teile der bislang veröffentlichten Daten mit dem Werkzeug Proof Finder untersucht. Die Software der Firma Nuix wird auch von Polizeibehörden eingesetzt. Sie erforscht alle Datenspuren wie beispielsweise die Metadaten von Dokumenten, fahndet nach gelöschten Ordnern und analysiert Zusammenhänge zwischen Daten.

Aus den forensischen Indizien lässt sich mit hoher Sicherheit schließen, dass die Angreifer einen sogenannten Root-Zugriff auf die Daten- und Kommunikationsserver von SPE besaßen: Sie bewegten sich in ihnen wie Administratoren, konnten jedes Postfach öffnen, jede Datei sehen. Damit waren nur noch jene Dokumente vor ihnen sicher, die die Urheber selbst verschlüsselt hatten. Das aber waren die wenigsten.