Hacker klauen Cyberpunk 2077-Code - Was sind jetzt die Konsequenzen

Hacker haben sensible Daten des Unternehmens gestohlen und diese im Internet zum Verkauf angeboten. Wir erklären welche Folgen das für die Täter, CD Projekt RED sowie die Spieler*innen haben könnte.

von Leon Marlon Klein,
22.02.2021 14:00 Uhr

Der Datendiebstahl bei CD Projekt ist kein Einzelfall. In jüngerer Vergangenheit hat es auch Capcom und Nintendo erwischt. Der Datendiebstahl bei CD Projekt ist kein Einzelfall. In jüngerer Vergangenheit hat es auch Capcom und Nintendo erwischt.

CD Projekt RED ist kaum noch aus den Schlagzeilen wegzudenken. Vor der Veröffentlichung von Cyberpunk 2077 waren es noch die Blicke erwartungsvoller Spieler*innen, die das Unternehmen mit jeder neuen Information über das Spiel auf sich lenkte. Nach dem Release sorgte dann u. a. der desaströse technische Zustand der Konsolenversion von Cyberpunk 2077 unfreiwillig für Aufsehen und rief sowohl Gerichtsverfahren als auch den polnischen Verbraucherschutz auf den Plan.

Während die Entwickler weiterhin unermüdlich an Updates für das Spiel arbeiten, hat die Unternehmensführung versucht die Wogen durch zahlreiche Rückerstattungen und eine öffentliche Entschuldigung zu glätten. Doch kaum ebbt die Berichterstattung über Cyberpunk 2077 ab, kommt die nächste Flut an schlechten Neuigkeiten.

Im Zuge eines Cyber-Angriffs wurden CD Projekt RED mutmaßlich interne Firmendokumente sowie die Quellcodes einer unveröffentlichten Version von The Witcher 3 und weiterer Spiele gestohlen. Neben juristischen Konsequenzen für die Täter könnte der Datendiebstahl auch mögliche wirtschaftliche Folgen für CD Projekt RED haben.

Was ist passiert?

Am 9. Februar 2021 veröffentlichte CD Projekt RED ein Statement via Twitter, in dem es hieß, dass Unbekannte "bestimmte Daten" aus dem internen Firmen-Netzwerk entwenden konnten. Nach aktuellem Kenntnisstand handle es sich hierbei aber nicht um persönliche Daten von Kund*innen oder ehemaligen Mitarbeiter*innen. Dennoch wurden insbesondere letztere zur Vorsicht aufgerufen.

Die Täter sollen darüber hinaus manche Geräte bzw. Daten im Netzwerk mittels Verschlüsselung unzugänglich gemacht und einen Erpresserbrief hinterlassen haben. Entgegen der darin gestellten Forderung ließ CD Projekt sich nach eigener Aussage nicht auf den Kontakt mit den Hackern ein.

Die ersten Kopien der gestohlenen Daten wurden wenige Zeit später von den Kollegen bei Vice gesichtet. Kurz darauf startete dann laut vx-underground die Versteigerung der restlichen Daten im Hacking-Forum Exploit mit einem Einstiegspreis von einer Millionen US-Dollar. Ein sofortiger Erwerb sei ab sieben Millionen US-Dollar möglich gewesen.

Seit dem 11. Februar gelten die Daten nun aber als verkauft. Das geht aus veröffentlichen Screenshots der Cybersecurity-Firma KELA hervor und wurde ebenfalls von vx-underground bestätigt (via The Verge). Nach Aussage der Erpresser soll sich dabei ein Käufer außerhalb des Forums gefunden haben. Für welchen Preis und ob die Daten tatsächlich in andere Hände geraten sind, ist Stand 18. Februar immer noch unklar.

Wer und wie viele Personen hinter dem Cyber-Angriff auf CD Projekt stecken, ist aktuell unbekannt. Wer und wie viele Personen hinter dem Cyber-Angriff auf CD Projekt stecken, ist aktuell unbekannt.

Was wurde gestohlen?

Da die Investigationen derzeit noch in vollem Gange sind, lässt sich aktuell noch nicht mit absoluter Sicherheit sagen, was wirklich alles entwendet wurde. Während die Täter in ihrem Erpresserbrief von den Quellcodes verschiedener Spiele sowie sensiblen Firmendokumenten sprechen, lassen die Screenshots der Auktion u. a. auch den Diebstahl der hauseigenen Redengine vermuten. Wie eingangs erwähnt, hat CD Projekt bisher nur offiziell bestätigt, dass "bestimmte Daten" gestohlen wurden.

Nach eigener Aussage sollen die Täter folgendes gestohlen haben:

  • Die Quellcodes von Cyberpunk 2077, The Witcher 3 (inklusive einer unveröffentlichten Version mit Raytracing), Gwent, Thronebreaker: The Witcher Tales und der hauseigenen Redengine
  • Firmendokumente mit Informationen über Buchhaltung, Verwaltung, Rechtliches, Mitarbeiter und Investoren

Welche juristischen Konsequenzen blühen den Tätern?

Angesichts dessen, dass die Rechtsprechung in den verschiedenen Ländern der Welt unterschiedlich ausfällt, ist auch das Spektrum möglicher Strafmaßnahmen verhältnismäßig groß. Jedoch sollten das Eindringen in ein geschütztes Netzwerk, der Diebstahl und der Verkauf von sensiblen Daten sowie die Erpressung der Geschädigten wohl kaum als Kavaliersdelikte ausgelegt werden.

In Deutschland könnten sich Datendiebe beispielsweise schon allein mit dem Hacking des Firmen-Netzwerks auf sehr dünnes Eis begeben. Christian Solmecke, Rechtsanwalt für Internet- und Medienrecht, ordnet das Vergehen wie folgt ein:

"Die Täter können sich gemäß § 202a des Strafgesetzbuches strafbar [machen]. Danach wird derjenige bestraft, der unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft. Das Ausspähen von Daten ist mit einer Freiheitsstrafe von bis zu drei Jahren oder mit Geldstrafe bestraft. Mit diesem Straftatbestand soll das sog. Hacking unter Strafe gestellt werden."

Ein Präzedenzfall aus dem Jahr 2004 zeigt, wie ernst die deutsche Justiz mit einem vergleichbaren Vergehen in der Vergangenheit umgegangen ist. Damals soll ein junger deutscher Mann aus dem Schwarzwald von einem Polizeikommando mit automatischen Waffen abgeführt worden sein, weil er sieben Monate zuvor den Quellcode vom unveröffentlichten Half Life 2 gestohlen hätte (via Ars Technica).

Anders als im Fall CD Projekt soll der Täter aber keine bösen Absichten verfolgt haben. Ganz im Gegenteil, nach eigener Aussage wäre hauptsächlich seine Begeisterung für Valves neues Spiel für sein Handeln verantwortlich gewesen. Nachdem er sich im Rahmen eines vorgetäuschten Bewerbungsgesprächs Valve gegenüber zu erkennen gegeben hätte, sei es der Polizei durch einen Tipp des FBIs möglich gewesen, den jungen Mann zu stellen (via Ars Technica).

Die Gerichtsverhandlung fand drei Jahre später statt und der junge Mann wurde aufgrund mildernder Umstände zu zwei Jahren auf Bewährung verurteilt. In Anbetracht dessen, dass die Verantwortlichen des Datendiebstahls bei CD Projekt mit kriminellen Absichten und in einer organisierten Gruppe gehandelt haben, wäre eine deutlich höhere Strafe zu erwarten.

Ob die gestohlenen Daten wirklich verkauft wurden, ist momentan nicht nachzuweisen. Ob die gestohlenen Daten wirklich verkauft wurden, ist momentan nicht nachzuweisen.

Auch die Käufer der Daten machen sich strafbar

Laut Solmecke geraten nicht nur Diebe in Konflikt mit dem Gesetz. Es reiche dafür bereits der bloße Kauf der gestohlenen Daten:

"Käufer können sich gemäß § 202d Strafgesetzbuch der Datenhehlerei strafbar machen. Danach wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft, wer Daten, die nicht allgemein zugänglich sind und die ein anderer (der Hacker) durch eine rechtswidrige Tat erlangt hat, sich verschafft, um sich zu bereichern oder einen anderen zu schädigen."

Anwalt Christian Solmecke - kostenfreies Pressefoto (Foto: Tim Hufnagl)

Christian Solmecke ist Rechtsanwalt und Partner der Medienrechtskanzlei Wilde Beuger Solmecke (WBS) in Köln. Spezialisiert auf die Beratung der Internet- und IT-Branche, betreut er in diesem Rahmen zahlreiche Web 2.0-Plattformen, App-Entwickler und Medienschaffende, darunter auch GamePro.de. Darüber hinaus ist er mehrfacher Buchautor, Unternehmer und für seine YouTube-Videos auf Kanzlei WBS bekannt, in denen er über aktuelle Themen des Internetrechts informiert.

Wie könnten die wirtschaftlichen Folgen für CD Projekt aussehen?

Bis dato hat CD Projekt noch keine Zahlen zu den finanziellen Schäden des Datendiebstahls öffentlich bekannt gegeben. Ein Blick auf das Beispiel des entwendeten Quellcodes von Half Life 2 genügt aber, um zumindest eine ungefähre Vorstellung der Größenordnung zu bekommen.

Über 250 Millionen US-Dollar soll der damalige Schaden betragen haben (via Ars Technica). Zum Vergleich, laut einem Bericht vonForbes hätte Sony durch den PSN-Hack im Jahr 2011 mindestens 170 Millionen US-Dollar verloren. Inwiefern diese Zahlen die tatsächlichen Schäden wiederspiegeln, lässt sich mit einfachen Mitteln aber nur schwer belegen.

Es braucht an der Stelle jedoch auch keinen Wirtschaftsexperten, um zu erahnen, dass solche Zwischenfälle unabhängig von den Geldbeträgen nicht spurlos an Unternehmen wie CD Projekt vorbeigehen können. So wirft der Diebstahl unveröffentlichter Inhalte beispielsweise lang geplante Marketing-Kampagnen durcheinander. Verschlüsselte Daten müssen über Backups wiederhergestellt werden und Arbeitsabläufe verzögern sich.

Apropos Verzögerungen, diese wirken sich nämlich sowohl auf den Alltag der Entwickler als auch subsequent auf alle aus, die aktuell auf ein neues Update für beispielsweise Cyberpunk 2077 warten. Je mehr Stolpersteine CD Projekt RED in den Weg gelegt bekommt, desto kräftezehrender wird die Arbeit für das Personal und umso länger dauert ggf. die Zeit bis zu den nächsten Qualitätsverbesserungen oder gar neuen Inhalten. Am Ende haben somit alle verloren.

Für wie wahrscheinlich haltet ihr es, dass die Hacker enttarnt werden?

zu den Kommentaren (30)

Kommentare(30)

Nur angemeldete Benutzer können kommentieren und bewerten.

Cyberpunk 2077

Genre: Rollenspiel

Release: 10.12.2020 (PS4, Xbox One, Stadia), 2021 (PS5, Xbox Series X/S)