Bis gestern haben mich Hackerangriffe auf die Gamingindustrie, welche sich in den letzten Wochen immer mehr gehäuft hatten, recht kalt gelassen. Natürlich habe ich die Ereignisse nach dem Kick-Off-Hack vom Playstation Network und den darauf folgenden digitalen Diebstählen bei Codemasters, Sega oder Bethesda immer wieder verfolgt, aber eher aus der Sicht des passiven Zuschauers und nicht eines potenziellen Opfers. Selbst als ich vor kurzem mit Hilfe eines kleinen Tools genaue Bewegungsverläufe von meinem iPhone auslesen konnte, war mir das eigentlich ziemlich egal. Bisher hatten mich diese Vorfälle nicht direkt tangiert und ich hatte zu keinem Punkt die Furcht, dass meine Wenigkeit durch diese Angriffe geschädigt werden könnte. Da ich weder im PSN, noch sonst irgendwo im Internet mit Kreditkarte bezahle oder essenzielle Daten von mir beim Spielen preisgebe, habe ich mich immer auf der sicheren Seite gefühlt. Bis gestern…
Gegen Mittag hatte ich kurz über den üblichen Social Media-Link von dem Hack auf meinen ehemaligen Arbeitgeber Ubisoft mitbekommen. Die Hacker der “No Name Crew” haben sich den französischen Publisher rausgepickt und etliche Händlerdaten geklaut. In diesem Moment habe ich mir aber nicht viel dabei gedacht, da solche Meldungen inzwischen fast täglich Brot sind. Was mir zu dem Zeitpunkt noch nicht klar war: auch meine Daten, mit denen ich bis zur letzten Woche noch täglich unterwegs war waren für jeden zugänglich auf der Website der NN-Crew. Erst kurz danach hat mich Kristin dezent darauf aufmerksam gemacht. In diesem Moment gingen bei mir natürlich die Augenbrauen hoch und alle Alarmglocken an. Muss ich ab heute in ständiger Angst leben und kann nicht mehr ohne konstante Paranoia im Internet surfen?
Insgesamt sind über 1000 Kontaktdaten von Ubisoft-Mitarbeitern und vor allem Handelspartnern gestohlen worden, hauptsächlich aus Deutschland und Österreich. Darunter etliche E-Mail-Adressen und Handynummern von Media Markt-, Saturn-, T-Online-, Gamestop- oder Computec-Mitarbeitern, um nur ein paar zu nennen. Mitten dazwischen befinden sich auch meine Daten in authentischer Form. Unter genau diesem Nicknamen, dieser E-Mail-Adresse und diesem Passwort habe ich mich 2 Jahre lang fast tagtäglich angemeldet. Bei einem kleinen Blick weiter sehe ich auch die Daten von einigen meiner ehemaligen Kollegen, sowie von Vorgesetzten oder Geschäftsführung. All das macht es für mich relativ offensichtlich, dass dieser Hack echt ist und kein billiger Trittbett-Fake. Der Terror, den ich sonst nur vom Hörensagen kannte, ist jetzt auch an meiner Haustür angekommen.
Bei dem Tradeportal, welches hier angegriffen wurde, handelt es sich tatsächlich um einen Sharepoint, der zum Tausch von Werbematerialen wie Werbeflyern, Screenshots, Trailern oder Packshots dient. Dieser wird intensiv vom deutschen Vertrieb und Trade-Marketing benutzt. Die direkte Reaktion von Ubisoft auf den Anschlag war, dass das betroffene Portal sofort vom Netz genommen wurde. Seit dem findet man unter der URL nur noch eine kurze, knappe Nachricht, dass die Seite wegen Wartungsarbeiten vorübergehend geschlossen ist. Ob noch andere Maßnahmen getroffen wurden, kann ich leider aus meiner jetzigen Situation nicht sagen, aber man sollte damit rechnen, dass sich die Seite in dieser Form erstmal nicht so schnell wieder im World Wide Web blicken lässt.
Meine erste Handlung war natürlich ein gründlicher Check meiner Daten auf der Seite und ein Abgleich mit meinen privaten Accounts. Zum Glück benutze ich diesen direkten Log-In nicht mehr und auch meine sonstigen Passwörter sind nicht mit diesem identisch. Außerdem benutze ich auch meine @ubisoft-Adresse nicht mehr, sodass ich keinen hässlichen Viagra-Spam befürchten muss. Der erste Schreck ist also erstmal gebannt, dennoch habe ich mich danach direkt in einer kurzen Mail an meine ehemalige Chefin gewandt. Eigentlich nur um sicher zu gehen, dass auch in Zukunft mein Konto bei Ubisoft deaktiviert bleibt, damit niemand irgendeinen Schabernack damit treiben kann. Das Feedback dazu steht noch aus.
Auch offiziell hat Ubisoft bisher keine Stellungnahme gegeben, aber man muss bestimmt nicht lange darauf warten. Immerhin ist die Ansage auf der Website der Hackergruppe eine sehr schwere Anschuldigung:
Doch leider mussten wir in der Vergangenheit immer wieder feststellen, dass dieses Vertrauen vergebens ist, denn ihr missbraucht unser Vertrauen und das immer wieder. Nach all diesen großen Pannen und Fehltritten kommt heute der nächste, Ubisoft. Ihr habt es wohl nicht als notwendig angesehen eure Netzwerke ausreichend zu sichern. Diese Verhaltensweise kann nicht länger toleriert werden. Ihr habt euch zahlreicher Verbrechen gegen die Persönlichkeitsrechte und Datenschutzbestimmungen schuldig gemacht … Wir wollen wieder Privatsphäre und einen verantwortungsvollen Umgang mit Kundendaten, sofort, sonst müsst Ihr mit weiteren Konsequenzen rechnen.
Wenn man das so liest, könnte man meinen, dass sich die Verantwortlichen hier persönlich durch diese Sicherheitslücke geschädigt fühlen. Doch keineswegs! Wenn es sich bei den Hackern nicht um direkte Handelspartner von Ubisoft Deutschland handelt, ist der Zusammenhang zwischen der Aussage der NN-Crew und dem veröffentlichten Material gleich Null. In diesem Fall handelt es sich nämlich nur um die digitalen Visitenkarten von Business-Kontakten und nicht die von Endkonsumenten. Zum Glück geht es demnach also nicht um eigentliche Ubisoft-Kunden, die Spieler, sondern um Vertriebspartner. Für diese Kontakte ist die ganze Aktion natürlich trotzdem mehr als ärgerlich.
Der Fakt, dass die Hacker ihr Diebesgut öffentlich auf einer Website ausstellen und so offensichtlich keine finanziellen Hintergedanken äußern, zeigt, dass es den Tätern wohl nur ums Prinzip geht, ist aber auch ein Indiz dafür, dass es sich um keinen sonderlich wertvollen Schatz handeln kann. Alles was man mit diesen Daten letztlich erreicht, ist der Zugang zu ein paar Ubisoft-Assets. Für Ubisoft ist das bestimmt keine schöne Situation, aber der Schaden ist relativ überschaubar, da keine Kreditkarten-Informationen öffentlich gemacht wurden. Neben einer großen Entschuldigung besteht der größte Aufwand wahrscheinlich in der Überarbeitung des Trading-Portals. Ich sehe da eher eine prominente Handlung, welche sich die noch unbekannte Hacker-Formierung in den Trophäenschrank stellen möchte.
Ich persönlich fühle mich von dem Angriff nicht groß geschädigt oder muss um meine Internet-Identitäten fürchten. Eine großspurige Klage darf man von mir also nicht erwarten. Mich könnte jetzt stören, dass ich in Zukunft bei jeder Google-Suche zu meinem Namen mit dieser Liste in Verbindung gebracht werden kann. Eigentlich beweist das aber nur, dass ich tatsächlich mal dabei war. Man wird mich jedoch nicht mehr unter dieser Adresse finden und auch mein Zugang auf das Portal wird nicht mehr funktionieren, geschweige denn großen Schaden anrichten. Was wirklich schlimm ist, sind die Telefonnummern und E-Mail Adressen von vielen Firmenpartnern und Ubisoft-Mitarbeitern, welche nun free for all im Netz liegen. Diese Kontakte müssen sich jetzt überlegen, ob sie Nummern und E-Mail-Adressen austauschen lassen. Das kann eventuell einen monetären Schaden verursachen, der aber – wie schon vorher gesagt – überschaubar bleiben sollte. Ich selbst werde also nachts wohl nicht von Albträumen geplagt werden, auf ein offizielles Statement bin ich trotzdem gespannt!