pcAnywhere-Code nun auf Pirate Bay

Kriminelle Hacker wollten 50.000 Dollar von Symantec

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Neue Entwicklungen im Fall "Codeklau bei Symantec": Die Datendiebe haben versucht, Geld zu erpressen. Das klappte nicht - nun steht neuer Code im Web.

Anfang Januar hatte ein "Anonymous"-Hacker mit dem Pseudonym "YamaTough" Teile der Quellcodes der Enterprise-Lösungen Norton Antivirus 10.2 und Endpoint Protection 11 auf seinem Blog veröffentlicht. Zunächst stritt Symantec ab, dass die Codes aus einer erfolgreichen Hackerattacke auf sein Unternehmensnetz stammten und vermutete als Quelle die Systeme des indischen Militärs, die mit diesen Produkten ihre IT-Infrastruktur absicherten.

Zwei Wochen später musste das Unternehmen dann aber doch zugeben, dass es im Jahr 2006 eine erfolgreiche Attacke auf sein Unternehmensnetz gegeben hatte und Quellcode mehrerer (Norton-)Produkte abhanden gekommen war. Da der gestohlene Quellcode mittlerweile aber veraltet sei, bestehe für Anwender keine Gefahr mehr - lediglich Nutzer der Remote-Software pcAnywhere sollten erhöhte Vorsicht walten lassen. In Internet-Foren kündigten einige Symantec-Kunden dennoch bereits an, ihre Produktlizenzen nicht verlängern zu wollen.

Symantec selbst wiegelte ab: "Wir hatten mit vielen Kunden Gespräche und haben den pcAnywhere-Nutzern Verhaltenstipps gegeben", so Vice President Andreas Zeitler auf COMPUTERWOCHE-Anfrage. Im Allgemeinen seien alle Security-Hersteller regelmäßig das Ziel von Cyberangriffen.

Erpressung auf Raten

In dieser Woche nahm der Vorgang eine neue kriminelle Dimension an: Es wurde bekannt, dass es kurz nach der Code-Veröffentlichung Anfang Januar einen Erpressungsversuch seitens einer Hackergruppe gegeben hat, nach dem Symantec nur nach Zahlung von 50.000 Dollar sicher gehen dürfe, dass der pcAnywhere-Quellcode nicht publiziert werde. Das Unternehmen übergab den Fall der Aussage des deutschen PR-Managers Enterprise Michael Piontek gegenüber der COMPUTERWOCHE nach sofort an die US-Ermittlungsbehörden. Diese traten in einen regen Mailwechsel mit den Erpressern und täuschten die tatsächliche Zahlungsabsicht seitens Symantec vor. Demnach wolle das Unternehmen zunächst drei Monate lang jeweils 2500 Dollar überweisen und den Restbetrag anschließend vollständig begleichen - vorausgesetzt, die Erpresser erbrächten den Beweis, dass sie den gestohlenen Code zerstört hätten. Nach langer Diskussion über die genauen Zahlungsmodalitäten wurden die "Verhandlungen" nun jedoch ergebnislos abgebrochen.

Auf dem Twitter-Kanal @AnonymousIRC fand sich daraufhin der Eintrag "Symantec-Quellcode wird bald veröffentlicht. Dranbleiben!" Die Erpresser scheinen ihre gestern nun wahrgemacht zu haben - auf der Tauschplattform "The Pirate Bay" tauchte eine 1,2 Gigabyte große Datei mit dem Namen "Symantec‘s pcAnywhere Leaked Source Code" auf, deren Echtheit bisher von Symantec aber nicht bestätigt wurde. Generell reagierte das Unternehmen auf alle Anfragen nach den Vorgängen sehr schmallippig: Auf die Frage, warum erst jetzt sechs Jahre zurückliegende Unregelmäßigkeiten aufgefallen seien, antworteten Zeitler und Piontek unisono: "Dazu machen wir keine Angaben."