George Clooney wollte nur einen Scherz machen. Anfang September schickte der Schauspieler eine E-Mail an Amy Pascal, die stellvertretende Vorsitzende von Sony Pictures Entertainment. Wegen seines Films The Monuments Men hatte er häufiger mit ihr zu tun. Dieses Mal jedoch ging es nicht um ein Filmprojekt. Clooney wollte heiraten und niemand sollte davon erfahren, der nicht eingeladen war. Denn Clooney war klar, dass die Hochzeit ein Ziel werden würde für Paparazzi und aufdringliche Fans. Also überschrieb er seine Mail mit einer kryptischen Betreffzeile: "Knowing this email is being hacked" – "Ich weiß, dass diese E-Mail gehackt wird".

Keine drei Monate später könnte Clooney als Prophet durchgehen. Allerdings ist nicht nur seine E-Mail gehackt worden, sondern das ganze Unternehmen. Einer der größten amerikanischen Filmkonzerne stürzte in die schwerste Krise seiner Existenz. Im schlimmsten Fall könnte sie den Untergang für Sony Pictures Entertainment (SPE) bedeuten.

Der Angriff auf SPE, ein Tochterunternehmen des japanischen Sony-Konzerns mit einem Jahresumsatz von mehr als acht Milliarden Dollar, ist der größte Hack eines Unternehmens, der bislang bekannt geworden ist. Es gibt nur einen Begriff, der das Ausmaß der Katastrophe beschreibt: GAU. Es ist der größte anzunehmende Unfall für einen Konzern, eine Bedrohung für seine Geschäftspartner, seine Angestellten und für seine Kunden. Und ein Beispiel dafür, was geschehen kann, wenn es ein Unternehmen im digitalen Zeitalter mit der Datensicherheit nicht so genau nimmt.

ZEIT ONLINE konnte einen großen Teil der SPE-Daten analysieren. Daraus lässt sich ablesen, wie die Hacker vorgegangen sind. Und es zeigt sich, wie erschreckend sorglos SPE-Manager mit vertraulichen Dokumenten umgingen. Wie sie Daten ungeschützt ließen, die den Kern ihres Geschäfts ausmachen. Sie verschickten unverschlüsselte E-Mails, speicherten Passwörter im Klartext, ließen Projektskizzen und ganze Filme ungesichert auf ihren Servern herumliegen. Das alles ist nun im Internet für jeden sichtbar.

Die Nummern der Stars sind nicht mehr geheim

Es begann am 21. November. Unbekannte waren in die Server von SPE eingedrungen und hatten nach unbestätigten Angaben bis zu 100 Terabyte Daten kopiert. Eine enorme Zahl. Es sind so viele Daten, wie auf 23.300 DVDs passen oder auf 4.000 Blue-ray Discs. Mehr als 150 Gigabyte davon wurden inzwischen im Netz veröffentlicht.

Die Daten enthalten privateste Informationen von Hollywood-Stars, Managern und Angestellten. Wollen Sie beispielsweise die Telefonnummern von Tom Cruise oder Quentin Tarrantino wissen? Die Handynummer von Tom Hanks? Die geheime Mailadresse von George Clooney? Die Sozialversicherungsnummer von Sylvester Stallone? Alles liegt jetzt offen zutage.

Tausende von privaten Mobilnummern und Postadressen sind zu finden, E-Mailadressen und Kreditkartenzahlen, Sozialversicherungsnummern, Gehaltslisten, Verträge, unveröffentlichte Kinofilme, das Drehbuch für den nächsten James Bond, zahllose interne E-Mails, Dokumente, Geschäftspläne, interne Passwörter und Zugangscodes für diverse Accounts von YouTube bis FedEx  – die Liste scheint endlos.

Wie konnte das geschehen? Selbstverständlich hatte Sony Pictures Entertainment wie jedes Unternehmen die eigenen Server mit einer Firewall und mit Virenscannern gesichert, um Angriffe abzuwehren. Doch offenbar gab es nur einen einzigen äußeren Verteidigungsring. Als die Angreifer diese Sicherheitssysteme einmal überwunden hatten, konnten sie die Rechner des Unternehmens vollständig kontrollieren.

ZEIT ONLINE hat Teile der bislang veröffentlichten Daten mit dem Werkzeug Proof Finder untersucht. Die Software der Firma Nuix wird auch von Polizeibehörden eingesetzt. Sie erforscht alle Datenspuren wie beispielsweise die Metadaten von Dokumenten, fahndet nach gelöschten Ordnern und analysiert Zusammenhänge zwischen Daten.

Aus den forensischen Indizien lässt sich mit hoher Sicherheit schließen, dass die Angreifer einen sogenannten Root-Zugriff auf die Daten- und Kommunikationsserver von SPE besaßen: Sie bewegten sich in ihnen wie Administratoren, konnten jedes Postfach öffnen, jede Datei sehen. Damit waren nur noch jene Dokumente vor ihnen sicher, die die Urheber selbst verschlüsselt hatten. Das aber waren die wenigsten.

Kaum etwas war verschlüsselt

Von den 16.000 Word-Dokumenten, die ZEIT ONLINE einsehen konnte, war kein einziges verschlüsselt. Von den mehr als 10.000 Excel-Tabellen, die teilweise brisante Firmendaten wie Bilanzen, Gehaltslisten, Kalkulationen für die Etats von Filmen, aber auch persönliche Informationen von Angestellten wie Beurteilungen oder medizinische Befunde enthielten, wurden lediglich 35 durch ein Passwort geschützt.

Sonys Topmanager wähnten sich ebenfalls sicher. Nicht eine einzige Mail von Pascal oder von Stephen Mosko, dem Präsidenten von Sony Pictures Television, war verschlüsselt. Keines von den 210.000 Datenelementen in den beiden geleakten E-Mail-Postfächern hielten sie für brisant genug, um sie wegzuschließen.

Gefährlicher Leichtsinn. Denn nun lassen sich beispielsweise alle privat geglaubten Unterhaltungen zwischen den Managern und Regisseur Sam Mendes über das Ende des noch nicht gedrehten James-Bond-Films im Netz nachlesen. Schlimmer noch: Eine Fassung des Drehbuchs, versehen mit der Nummer 44 und dem Namen von Jon Glickman, einem Produzenten, wurde entgegen der eindeutigen Anweisung "do not copy" digitalisiert und mehrfach versendet.

Passwörter im Klartext gespeichert

Offensichtlich hatte man bei Sony Pictures Entertainment nicht einmal begriffen, dass Passwörter einen Sinn haben. So gibt es in den Daten einen Ordner mit der Bezeichnung Password. Er enthält 139 Word-Dateien, Excel-Tabellen und PDFs, in denen Tausende Passwörter aus allen Abteilungen des Unternehmens gespeichert sind. Dort finden sich Zugangscodes zu internen Computern, zu diversen Social-Media-Accounts bei Facebook, Twitter und YouTube, zu kostenpflichtigen Wirtschaftsnachrichtendiensten wie Bloomberg, zu internen Servern, zu Firmenaccounts bei Amazon oder FedEx.

Wie fahrlässig bei Sony Pictures Entertainment mit brisanten Daten umgegangen wurde, zeigt auch das Beispiel einer Gehaltsliste der Top-Manager. In der Excel-Tabelle sind die 49 Spitzenverdiener von SPE verzeichnet. 900.000 Dollar bekommen sie mindestens im Jahr. Die Datei wurde am 3. Mai 2014 angelegt und mit einem Passwort geschützt. Diese Sicherung war einem anderen Mitarbeiter aber wohl zu mühsam. Nur einen Tag später kopierte jemand die Datei und legte sie abermals an – dieses Mal ohne Passwortschutz.

Jede neue Technik birgt Gefahren, jede neue Technik erlebt ihre Katastrophen. Im besten Fall verändern sie, wie Menschen mit der Technik umgehen. Bei Atomkraftwerken wird wohl immer der 26. April 1986 in Erinnerung bleiben, als Block vier des Kernkraftwerks Tschernobyl schmolz und ganze Landstriche radioaktiv verseuchte. Geht es um die Sicherheit digitaler Daten, ist die Chance hoch, dass der Name Sony im Gedächtnis bleibt. Seit es das Internet gibt, werden die Computer von Unternehmen angegriffen, ständig erbeuten Geheimdienste, kriminelle oder politisch motivierte Hacker Daten. Aber noch nie wurden bei einer Attacke so viele Informationen kopiert und anschließend veröffentlicht.

"Indiz, dass Hacker Firmen zerstören können"

Karsten Nohl ist Sicherheitsforscher und berät große Unternehmen darin, wie sie ihre IT-Sicherheit verbessern können. Er ist sich nicht sicher, welches Ziel die Hacker wirklich verfolgten. Aber für ihn ist der Hack "ein Indiz dafür, dass Firmen durch Hacking zerstört werden können". Er glaubt, dass es Angriffe dieser Größe künftig häufiger geben wird und dass die Wirtschaft sich darauf einstellen sollte. Und das schnell. Das Marktforschungsunternehmen IDC schätzt, dass 40 Prozent aller Daten, die digital gespeichert sind, geschützt werden müssten, weil sie vertraulich oder wirtschaftlich relevant sind. Aber nur ungefähr 20 Prozent aller Daten würden derzeit gesichert.

Häufig sind große Hacks Inside Jobs. Jemand mit Zugang zum Firmennetzwerk nutzt die geringen internen Sicherungen, um an die Daten zu gelangen. Edward Snowden hat es so gemacht. Der Fall SPE aber scheint anders zu liegen. Am 25. November tauchte auf dem Portal Reddit ein Screenshot auf. Dort schrieb jemand anonym, die Rechner bei SPE stünden still und würden nur noch ein bestimmtes Bild zeigen. "Hacked by #GOP", stehe darauf. Bis zum 24. November 11 Uhr mitteleuropäischer Zeit solle das Unternehmen die Forderungen der Angreifer erfüllen, sonst werde weiter veröffentlicht.

Erpresser forderten Geld

GOP steht für "Guardians of Peace". Die Gruppe war bislang unbekannt. Manche Medien glauben, hinter ihr stünden Personen, die Sony Pictures Entertainment für die Produktion des Films The Interview bestrafen wollten. In der Komödie wird der nordkoreanische Diktator Kim Jong-un von zwei Journalisten besucht und schließlich getötet. Schon während der Produktion des Films wurden SPE und die Darsteller bedroht. Sie sollten den obersten Führer Nordkoreas nicht verunglimpfen und den Film stoppen. Ob das aber wirklich der Hintergrund des Hacks ist?

Ein so großes Unternehmen wie Sony Pictures Entertainment könnte auch das Ziel vieler anderer Gegner geworden sein: Konkurrenten, staatliche Hacker mit dem Auftrag zur Industriespionage, Kriminelle. Fachleute tendieren dazu, die Tat Verbrechern zuzuschreiben. Nohl beispielsweise geht davon aus, dass es um einen Erpressungsversuch ging. "Hacks in dieser Größenordnung macht niemand ohne Grund." Dazu sei das Risiko viel zu groß, erwischt zu werden.

Auf eine kriminelle Tat deuten auch die Warnungen hin, die kurz vor der ersten Veröffentlichung bei SPE eingegangen sind. Die nun veröffentlichten internen Mails belegen, dass fünf Spitzenmanager schon am 21. November jeweils eine E-Mail von einem "David Frank" bekommen hatten. Darin fordert ein Erpresser oder eine Gruppe von Erpressern in schlechtem Englisch Geld.

SPE schweigt zu den Zielen der Hacker

Bislang hat SPE kein Wort darüber verloren, was die Angreifer wollten. Das Unternehmen nahm nicht einmal dazu Stellung, ob es überhaupt erpresst worden sei. Offenbar wurden die Forderungen aber nicht erfüllt. Denn in den folgenden Tagen erschienen immer mehr Daten, gestückelt in verschiedene Tranchen. Wollten die Erpresser den Druck auf SPE erhöhen, über ein Lösegeld zu verhandeln?

Sollte es so gewesen sein, war dieser Versuch wohl vergeblich. "Offensichtlich haben die Angreifer die Hoffnung aufgegeben, Lösegeld zu bekommen", sagt Nohl. "Also verbrennen sie jetzt die ganzen Gemälde, die sie in der Galerie geklaut haben." Sie veröffentlichen Sonys Daten im Internet, wodurch sie für die Kriminellen wertlos werden, aber SPE wehtun. "Es ist nicht klar, was mit dem Hack erreicht werden sollte, aber zumindest finanziell hat sich das Ganze sicher nicht gelohnt."

Der angerichtete Schaden ist hingegen enorm. Wer möchte, kann nun beispielsweise höchst persönliche Daten von vielen SPE-Mitarbeitern bis hinauf in die Chefetage einsammeln und missbrauchen: Adressen, E-Mail-Adressen, Geburtsdaten, Handynummern, Pass- und Kreditkartennummern, auch die Namen und Kontaktdaten von Angehörigen. Es hilft auch nicht, wenn man dem Unternehmen schon vor Jahren den Rücken kehrte. Die nun zugänglichen Informationen reichen teilweise zehn Jahre und mehr zurück. Es finden sich beispielsweise Reisekostenabrechnungen von Mitarbeitern, die SPE schon vor langer Zeit verlassen haben. Niemand scheint je daran gedacht zu haben, dass man Daten auch vernichten kann, wenn man sie nicht mehr braucht.

Kriminelle können mit diesen Informationen nun das Leben dieser Mitarbeiter übernehmen, um in ihrem Namen Betrügereien zu begehen. Gefährlich ist vor allem, dass auch die Sozialversicherungsnummern der Mitarbeiter öffentlich geworden sind. In den Vereinigten Staaten, die keine Ausweispflicht kennen, ist diese Nummer eines der wenigen eindeutigen Merkmale, die jeder Bürger vorweisen kann. Banken, Kreditkartenfirmen oder Regierungsbehörden nutzen sie, um Menschen zu identifizieren. Weil die Sozialversicherungsnummer so fest verbunden ist mit der eigenen Person, verwenden viele Amerikaner sie zudem als Passwort.

Fahrlässiger Umgang mit Daten

SPE hat versprochen, jedem Betroffenen ein Jahr lang einen Service zu finanzieren, der Betrugsversuche verfolgt und solche Daten zu löschen versucht. Anwälte des Unternehmens haben schon vielen Medien, die über den Hack berichten, mit Schadensersatzklagen gedroht. Sie gehen auch gegen die Betreiber von Websites vor, auf denen die Daten hochgeladen wurden.

Doch es ist fast unmöglich, die bislang veröffentlichten Daten zu löschen. Überall werden sich Neugierige, Konkurrenten und Kriminelle die Informationen längst aus dem Netz gefischt haben und sie nun ihrerseits weiterverbreiten. So war es auch bei den Models und Schauspielerinnen, deren intime Handyfotos gehackt und kopiert wurden. Sie kursieren ebenfalls weiter im Internet, obwohl viele Anwälte damit beschäftigt sind, das zu unterbinden.

Ein Filmschaffender, der anonym bleiben möchte, sagt zum Sony-Hack lapidar: "Ich kann mein Mail-Postfach schützen wie ich will: Alle meine Mails, die ich gesendet habe, liegen in den Postfächern anderer Menschen." Selbst wenn ein Manager die Mails verschlüsselt haben sollte – in den Postfächern der anderen haben sie ungeschützt gelegen, jahrelang.

SPE selbst leidet vor allem unter dem massiven Imageverlust, den der Hack mit sich bringt. Dagegen finden sich in den bislang öffentlich gewordenen Dokumenten keine Belege für kriminelle Handlungen oder unethisches Verhalten. Eigentlich also müssten diese Daten als Firmeneigentum behandelt werden, das niemanden etwas angeht. Doch das schützt SPE nicht davor, an den Pranger gestellt zu werden. Rund um die Welt werden die Daten ausgeweidet, wird daraus zitiert, SPE steht nackt da. Die Art, wie das Unternehmen dachte und Geschäfte machte, ist für jeden zu erkennen. Genauso wie die Tatsache, dass SPE verantwortungslos mit Daten anderer Menschen umging.

Nachtrag 18. Dezember: Über den anonymen Briefkasten hat sich ein früherer Mitarbeiter aus dem mittleren Management einer Tochtergesellschaft von Sony gemeldet. Er bestätigte, dass IT-Sicherheit bei dem Konzern keinen hohen Stellenwert hatte.

Zitat aus der Mail: "Der Hack [war] erst in diesem Ausmaß möglich weil auf einem der ersten Server, die gehackt wurden, nicht nur die Public-Key Zertifikate für die SSH-Verbindungen, sondern eben auch die Private-Key Zertifikate herumlagen. Ein Großteil dieser Zertifikate war zudem nicht mit einem Passwort verschlüsselt. Die Hacker mussten jetzt nur noch die Zertifikate so lange der Reihe nach durchprobieren, bis sie eines gefunden [hatten] dessen Benutzer über ausreichend Berechtigungen verfügte. Mit diesen Informationen war es ein Leichtes sich auf weitere Server zu verbinden."

Und weiter: "Auch für Social Hacking ist Sony überaus anfällig, da von der konzerneigenen IT-Abteilung die Mitarbeiter am Telefon regelmäßig nach dem Passwort gefragt werden, wenn etwas gemacht werden muss, weil man sich die Arbeit zum Zurücksetzen des Passworts sparen muss. So kommt es, dass Passwörter regelmäßig über E-Mail oder Telefon mitgeteilt werden. Wenn Geräte zur IT gebracht werden, klebt überdies meist noch ein Post-It mit dem Passwort drauf."

Er berichtete auch von weiteren "gravierenden Sicherheitslücken", verursacht durch Personalkürzungen, fehlende Hardware, Verständigungsprobleme über die Kontinente hinweg.

"Ich bin schon über sechs Monate nicht mehr bei Sony beschäftigt und trotzdem wurden weder die Passwörter für die Amazon AWS Accounts, noch die unverschlüsselten Public/Private-Keys für den Root Login auf den AWS Servern geändert – ich könnte mich also noch immer auf Produktionsserver verbinden."

Haben Sie Informationen zu diesem Thema? Oder zu anderen Vorgängen in Politik und Wirtschaft, von denen Sie finden, dass die Öffentlichkeit sie erfahren sollte? Wir sind dankbar für jeden Hinweis. Dokumente, Daten oder Fotos können Sie hier in unserem anonymen Briefkasten deponieren.