Die offiziellen Reaktionen auf den Sony-Hack sind „mehr als bescheuert“

​Die Nachrichten zum Sony-Hack überschlugen sich in dieser Woche: Nachdem die Hacker, die sich selbst als „Die Friedenswahrer" bezeichnen, damit gedroht haben, ​Kinos anzugreifen, in denen die anti-nordkoreanische Komödie The Interview gezeigt wird, gab Sony kurze Zeit später tatsächlich bekannt, seinen Film nicht mehr zu veröffentlichen. Schließlich ​ließen US-Ermittler verlauten, dass Nordkorea wirklich hinter dem Hack stecken könnte.

Angesichts der in der US-Öffentlichkeit schnell abgefeuerten Deutungsmuster wie Cyberkrieg oder Terrorangriff, habe ich Peter W. Singer gefragt, wie er die Sony-Saga und die jüngsten Entwicklungen einschätzt. Singer ist einer der führenden US-Experten für Cyber-Sicherheit und Autor von ​Wired for War sowie ​Cybersecurity and Cyberwar: What everyone needs to know und arbeitet außerdem als Strategieberater bei der ​New America Foundation.

Motherboard: Würdest du diese Hacker als Terroristen bezeichnen? Sind es Cyber-Terroristen?

Peter W. Singer: Die ganze Geschichte hat mindestens zwei Ebenen: Es gibt die Definition von Terrorismus und es gibt die Reaktion darauf. Die Reaktionen auf den Hack waren nicht nur dumm, sondern schreien förmlich nach ähnlichen Aktionen in der Zukunft.

Zunächst einmal zu dem, was wirklich passiert ist: Sony hat den Angriff als Cyberterrorismus bezeichnet, und verschiedene andere Medien ​verwenden den gleichen Begriff. Aber die Wirklichkeit sieht anders aus: Wenn deine Drehbücher online veröffentlicht werden, ist das noch lange kein Terrorismus. Das FBI hat das Ganze als „Handlung, die zu Gewalt führt" bezeichnet. Dass deine Drehbücher für den nächsten James Bond Film veröffentlicht werden, in denen es um Gewalt geht, ist aber nicht dasselbe wie eine gewalttätige Handlung. Was Sony passiert ist, entspricht einfach nicht dieser FBI Definition.

Es heißt auch, dies sei eine „kriegerische Handlung." Die USA werden keinen Krieg vom Zaun brechen, nur weil Angelina Jolie wütend auf den Chef von Sony ist. Kriegerische Handlungen bedeuten etwas anderes.

Die öffentliche Panik und all diese Aussagen sind wirklich mehr als bescheuert.

Und dann gibt es da noch die Drohungen physischer Angriffe.

Ja, die selbe Hacker-Gruppe hat vorgestern allen Kinos, die The Interview zeigen mit Angriffen im​ 9/11-Stil gedroht. An diesem Punkt müssen wir klar unterscheiden zwischen Drohung und Fähigkeit: Gossip-E-Mails von einem nicht besonders gut geschützten Computernetzwerk zu klauen, ist einfach nicht dasselbe, wie in der Lage zu sein, simultan Terrorangriffe gegen 18.000 Kinos durchzuführen. Ich kann wirklich nicht glauben, dass ich das überhaupt noch einmal betonen muss.

Diese Gruppe hat nie gezeigt, dass sie in der Lage ist, so etwas zu tun. Das hier ist nicht auf dem selben Level wie 9/11. Haben die großen Kinoketten sich die Realität hinter der Drohung angeschaut? Oder haben sie einfach bereitwillig klein beigegeben? Die jüngsten Ereignisse sind mehr, als sich diese Hacker je erträumt hätten.

Ich habe ​gestern mit Bruce Schneier gesprochen und er sagt, dass Sony bereitwillig die Opferrolle einnimmt.

Jetzt kommen wir zu der Ebene, wo die ganze Angelegenheit zu weit mehr wird als nur einem Witz und einer Dummheit: Die Reaktionen auf den Sony-Hack sind nicht nur ein schönes Anschauungsbeispiel, wie man seine Netzwerke schlecht schützt und wie man gerade nicht auf Cyber-Drohungen reagieren sollte, sondern sie zeigen auch, wie man allgemein nicht auf terroristische Drohungen reagieren sollte.

Jedem potentiellen Angreifer wurde signalisiert, dass die USA unter Umständen bereit sind, im Handumdrehen alles zu erfüllen, was die Angreifer erreichen wollen.

Ich finde das einfach nur verstörend. Besonders wenn du es mit den realen Ereignissen aus der Vergangenheit vergleichst. Bei einer Vorführung von Batman: The Dark Knight Rises wurden zwölf Menschen getötet und 70 verletzt. Sie ließen den Film weiter laufen.
Es wird eine anonyme Cyber-Drohung gepostet, ohne dass die Fähigkeiten vorhanden sind, die Drohung wahr zu machen? Der Film wird aus 18.000 Kinos zurückgezogen.

Die Angreifer verstehen die Psychologie Amerikas sehr genau.

​Schneier erklärte mir, dass Sony die Geschichte als Cyber-Terrorismus darstellt, damit es so aussähe als hätten sie keine Chance sich zu verteidigen. Versuchen die Chefs hier ihren Job zu retten?

Ja. Ich möchte ungern dem Opfer die Schuld in die Schuhe schieben, aber es ist schon so, dass Sony bereits zuvor Hacking-Angriffe erleben musste. Sie ​wurden bereits 2005 gehackt, aber ihre Führungskräfte schicken sich immer noch E-Mails hin und her als wären wir im Jahr 1997.

Aber unabhängig davon muss man auch sagen, dass sogar Firmen mit der besten Cyber-Verteidigung geknackt werden können. Das ist auch schon Banken wie JP Morgan, dem US-Militär oder dem Weißen Haus passiert. Es gibt zwei Möglichkeiten: Entweder entscheiden wir uns dafür, durchzudrehen oder wir passen uns an die Realität an und stärken unsere Widerstandsfähigkeiten.

Wir müssen akzeptieren, dass schlimme Dinge passieren können, aber auch, dass wir uns dadurch kämpfen und die Probleme lösen können. Es geht darum, schnell wieder aufzustehen, wenn du umgehauen wurdest. So nehmen wir den Angreifern den Ansporn für weitere Attacken.

Du kannst entweder sagen: Ok, ich gebe auf, oder: Nein, wir zeigen diesen Film.

Was hälst du von dem Vorschlag den Film jetzt einfach online zu veröffentlichen?

Ich glaube das wäre keine Lösung. Aber angesichts von Sonys Vorgehen gegen Piraterie, die sie ​mit der MPAA verfolgen, wäre das dennoch eine ziemlich interessante Situation gewesen: „Ok wir haben das all die Jahre bekämpft, aber naja, hier ist der Film."

Der Film sollte aber auf jeden Fall veröffentlicht werden, oder?

Nun ja, all die Ereignisse sind zumindest kostenlose PR für einen Film, der, nach allem was wir wissen, gar nicht besonders gut ist. Ohne den Film zu veröffentlichen, kannst du außerdem deine Investitionen nicht in einen Gewinn ummünzen. Sie glauben vielleicht mit ihrer aktuellen Strategie ihre Verluste im Rahmen halten zu können, aber sie schaffen einen absolut bescheuerten Präzedenzfall. Auch für alle anderen Unternehmen ist die Zukunft weniger sicher.

Es gibt hier eine Parallele zu dem Attentat auf den Boston Marathon. Natürlich nur in einem gewissen Maße, und ich werde vorsichtig sein mit diesem Vergleich. Der Angriff auf den Boston Marathon war real, tragisch und es sind dabei Menschen umgekommen. Der Sony-Hack spielt also in einer anderen Kategorie. Aber viele Terrorismusexperten haben auch darauf hingewiesen, dass in der Reaktion auf das Attentat damals auch eine falsche Botschaft steckte: In dem man die ganze Stadt lahm gelegt hat, zeigte man auch, was zwei nicht besonders gut trainierte Typen mit einer Schnellkochtopfbombe erreichen können. Wie stark könnten dann erst Terroristen die Normalität einer amerikanischen Stadt zerstören, wenn sie besser vorbereitet sind?

Wir wissen immer noch nicht sicher, ob Nordkorea hinter den Angriffen steckt. Glaubst du sie waren es? Spielt es überhaupt eine Rolle?

Das ist eine Sache der Attribution. Das Opfer will immer wissen, wer der Täter ist. Bei Cyberangriffen ist es allerdings aus technischen Gründen besonders schwierig zu ermitteln, wer verantwortlich ist.

Die Frage ist aber auch, wie groß überhaupt die Beweislast sein muss, nach der wir hier urteilen. Müssen sie juristischen Standards genügen? Reicht es, die öffentliche Meinung zu überzeugen? Oder die Analysten im Situation Room im Weißen Haus?

Nach den vorliegenden Informationen lässt sich zumindest mit dem Finger auf Gruppen zeigen, die im Namen von Nordkorea handeln. Aber diese Indizien speisen sich nur aus dem Kontext. Vor Gericht würde das keinen Bestand haben. Die Indizien ergeben sich daraus, dass die Hacker wütend über The Interview sind und, dass bestimmte Techniken vergleichbar sind mit anderen Angriffen, für die Nordkorea verantwortlich gewesen sein könnte. Für die meisten reicht das schon, um die Sache mit Nordkorea in Verbindung zu bringen.

Aber spielt es überhaupt eine Rolle?

Nein, diese Frage ist in vielerlei Hinsicht nebensächlich. Selbst wenn Nordkorea jetzt stolz verkünden würde, „ja, wir waren es"; wie sollte Sony reagieren? Viel können sie nicht tun. Sie könnten Nordkorea ja verklagen.

Die US-Regierung sollte diesem Unternehmen helfen, sich zu verteidigen und weitere Hacks zu vermeiden. Aber wie sollte eine wirkliche Bestrafung gegen Nordkorea denn überhaupt aussehen? Alles, was gerade passiert, ist zwar ziemlich nervig für Sony, aber es ist keine Kriegserklärung.

Die USA haben Nordkorea nicht den Krieg erklärt, nachdem sie ​Amerikaner in den 1970ern mit Äxten getötet hatten. Sie haben keinen Krieg begonnen, nachdem ​Nordkorea Raketen auf unsere Verbündeten abgefeuert hat. Sie haben keinen Krieg angefangen, nachdem ein nordkoreanisches Schiff ​mehrere Marinesoldaten eines US-Verbündeten durch einen Torpedoschuss getötet hat. Und jetzt heißt es immer wieder, der Hack sei eine kriegerische Handlung? Soll das heißen, dass die USA in den Krieg ziehen werden, weil der CEO von Sony Angelina Jolie als Diva bezeichnet hat? Das wird nicht passieren.