Ein Beschäftigter, ein Wurm, die ganze Pipeline
Der Weg in Sunos Systeme führte über die Maschine einer einzelnen Person. Ein Hacker infizierte einen einzelnen Beschäftigten mit einem Wurm, der Zugangsdaten für GitHub und für die Cloud-Dienste des Unternehmens abgriff, und gelangte von dort in die Systeme, auf die es ankam. Herausgetragen wurde keine Kundendatenbank im gewöhnlichen Sinne, obwohl Hunderttausende Kundendatensätze samt E-Mail-Adressen und Telefonnummern offenlagen, dazu Zahlungsinformationen aus Stripe. Herausgetragen wurde der Quellcode aus den Jahren 2023 und 2024: die Skripte, die das Modell gebaut haben, und die Kommentare, die sich die Entwickler beim Bauen gegenseitig hinterlassen haben.
Das ist die moderne Form eines Einbruchs, und sie verdient es, als Kategorie und nicht als Einzelfall verstanden zu werden. Niemand hat Sunos Produkt angegriffen. Niemand hat einen Fehler im Modell gefunden. Jemand hat einen Entwickler kompromittiert, und die Zugangsdaten eines Entwicklers öffnen das Repository, und im Repository hält ein Unternehmen die freimütigste Schilderung dessen fest, was es tatsächlich getan hat. Ihr Sicherheitsprogramm behandelt Quellcode vermutlich als geistiges Eigentum, das vor Wettbewerbern zu schützen ist. Die teurere Lesart lautet: Quellcode ist eine zeitnahe Aufzeichnung Ihrer Entscheidungen, geschrieben von Menschen, die annahmen, die einzigen Leser wären Kollegen.
Sunos Darstellung des Zeitablaufs ist der Teil, der jeden beunruhigen sollte, der einen Incident-Prozess verantwortet. Das Unternehmen sagt, der Einbruch habe im November 2025 stattgefunden, er sei schnell eingedämmt worden und es seien keine sensiblen personenbezogenen Daten kompromittiert worden. Nehmen Sie das für bare Münze, und am Ergebnis ändert sich nichts, denn das Material tauchte im Juli 2026 auf, rund acht Monate später, auf dem Schreibtisch eines Journalisten. Eindämmung beschreibt, was Sie mit dem Angreifer gemacht haben. Über den Kalender dessen, der die Kopie hält, sagt sie nichts, und das Veröffentlichungsdatum wählt er, nicht Sie.
Die Zahlen, die der Code geführt hat
Die Detailschärfe ist es, was diesen Fall von jeder früheren Geschichte über KI-Trainingsdaten unterscheidet. Ein Kommentar in einer Datei listet die abgerufenen Quellen auf: genius_hq, youtube_music, freesound, jamendo, imp, deezer, ytm_tagged. Eine Datei namens youtube_music verzeichnet das Einlesen von 2.013.545 Musikclips. Eine weitere Reihe von Kommentaren zählt die Datensätze nach Dauer auf: 113.879 Stunden youtube_music, 152.162 Stunden ytm_tagged, 62.117 Stunden pond5_music, 19.514 Stunden Material aus dem International Music Score Library Project, 17.615 Stunden genius_hq, 12.287 Stunden deezer, 3.726 Stunden jamendo, 410 Stunden freesound und 103 Stunden musescore_lyrics. Der Code beschreibt außerdem eine Filterung, die alles aussortiert, was keine Musik war, und Podcasts wurden über RSS-Feeds gezogen.
Lesen Sie diese Zahlen wie ein Entwickler, und sie sind banal. Lesen Sie sie wie ein Anwalt, und sie sind ein Inventar. Bislang wurde der Streit darüber, was KI-Musiksysteme konsumiert haben, in Adjektiven geführt. Die Rechteinhaber sprachen von riesigen Mengen. Die Unternehmen sprachen von öffentlich zugänglichem Material. Beide Aussagen sind auf brauchbare Weise unwiderlegbar, was allen passte, denn über eine Abstraktion lässt sich jahrelang streiten. Über eine Zahl nicht. Deezer ist keine vage Ecke des offenen Internets; es ist ein benannter europäischer Dienst mit Katalog und Bedingungen, und der Code sagt 12.287 Stunden.
Dann ist da noch die Frage, auf welchem Weg das Material erreicht wurde. Die Berichterstattung deutet darauf hin, dass Suno Proxy-Dienste genutzt haben könnte, um Musik von YouTube zu ziehen, darunter Acapella-Versionen von Songs, also die isolierten Gesangsspuren, die ein Modell haben möchte und die ein Hörer nicht beiläufig findet. Der Einsatz von Proxys ist eine gewöhnliche technische Antwort auf Ratenbegrenzungen und Sperren. Er ist eine erheblich weniger gewöhnliche Tatsache, wenn vor Gericht die Frage steht, ob der Zugriff autorisiert war, denn ein Proxy existiert, damit eine Anfrage so aussieht, als käme sie von einem Ort, von dem sie nicht kam.
Suno wurde nicht beim Lügen ertappt, und das ist schlimmer
Die Stellungnahme des Unternehmens nach dem Einbruch ist kein Widerruf. Suno erklärte, seine Modelle seien, wie bereits in öffentlichen Einreichungen und Offenlegungen dargelegt, mit öffentlich zugänglichen Musikdateien und zugehörigen Metadaten trainiert worden, die auf Websites Dritter im offenen Internet zugänglich sind. Halten Sie diesen Satz neben den Code, und es gibt keinen Widerspruch. YouTube Music liegt im offenen Internet. Deezer auch, Genius auch, Jamendo auch. Das Unternehmen hat früher gesagt, es habe im Grunde mit allen Musikdateien von angemessener Qualität trainiert, die im offenen Internet zugänglich sind, und hat argumentiert, dies sei Fair Use. Alles, was der Code zeigt, deckt sich mit allem, was das Unternehmen gesagt hat.
Genau diese Deckungsgleichheit ist das Problem und nicht die Verteidigung. Der öffentliche Satz und der private Kommentar beschreiben dieselbe Handlung in zwei verschiedenen Auflösungen, und nur einer von beiden lässt sich ins Kreuzverhör nehmen. Mit öffentlich zugänglichen Musikdateien kann ein Richter wenig anfangen. Mit 2.013.545 Clips und einem quellenweisen Stundenregister kann ein Richter sehr viel anfangen, denn das verwandelt eine Frage der Einordnung in eine Frage des Umfangs, und aus dem Umfang wird der Schadensersatz berechnet. Sunos rechtliche Position mag durchaus halten. Seine Verhandlungsposition hat sich gerade verändert, denn die Gegenseite muss die Größe der Sache nicht mehr beweisen.
Die kommerzielle Vorgeschichte des Verfahrens zeigt genau, was auf dem Spiel steht. Plattenlabels verklagten Suno wegen Urheberrechtsverletzung, und Warner Music Group zog sich anschließend aus dem Verfahren zurück und bekam dafür einen Lizenzvertrag. Das ist das verräterische Zeichen. Dieser Streit steuerte nie auf ein grundsätzliches Urteil zu maschinellem Lernen und Urheberrecht zu; er steuerte auf ein Bündel von Lizenzen zu einem Preis zu. Jede Tatsache, die festnagelt, wie viel wem entnommen wurde, ist eine Tatsache, die diesen Preis bewegt, und eine Inventarliste mit Stundenzahlen ist das preiswirksamste Dokument in der gesamten Angelegenheit.
Ihr Repository ist ein Zeuge
Verallgemeinern Sie über die Musikbranche hinaus, denn der Mechanismus hat mit Musik nichts zu tun. Jede Organisation, die ein Modell trainiert oder feinabstimmt, hat eine Pipeline, und diese Pipeline hat Quellen, und irgendwo hat ein kompetenter Entwickler aufgeschrieben, welche Quellen das sind und wie viel aus jeder einzelnen kam, weil kompetente Entwickler genau das tun. Es kann ein Kommentar sein, der Name eines Datensatzes, eine Konfigurationsdatei, eine Zeile in einem Manifest. Unter normalen Bedingungen ist diese Dokumentation ein Beleg für ein gut geführtes System. Im Verfahren oder nach einem Einbruch ist sie die klarste verfügbare Aussage darüber, was die Organisation eingelesen hat, verfasst von der Organisation selbst, in einem Ton, den nie eine Kommunikationsabteilung geprüft hat.
Die Lücke, auf die es ankommt, liegt zwischen dem, was Ihre Anwälte glauben, dass Sie getan haben, und dem, was Ihr Repository darüber aufzeichnet, was Sie getan haben. Diese beiden Schilderungen werden von verschiedenen Menschen zu verschiedenen Zeiten für verschiedene Adressaten geschrieben, und nur eine von beiden wird vor dem Versand geprüft. Der Entwickler, der einen Bucket nach der Website benennt, von der gescrapt wurde, ist nicht leichtsinnig. Er ist präzise, in einem Moment, in dem ihm niemand gesagt hat, dass Präzision einmal vorgelesen wird. Falls diese Schilderungen in Ihrem eigenen Unternehmen auseinandergedriftet sind, ist ein Einbruch einer von mehreren Wegen, das herauszufinden, und es ist der Weg, auf dem Sie es zur selben Zeit erfahren wie alle anderen.
Nichts davon spricht dafür, schlechtere Kommentare zu schreiben. Eine Entwicklungskultur, die vor dem eigenen Repository verbirgt, was sie tut, produziert Systeme, die niemand prüfen kann, und dieses Versagen kostet mehr als jede Klage. Das Argument lautet, die Lücke von der anderen Seite her zu schließen: Wissen Sie, was Ihre Pipeline konsumiert hat, seien Sie in der Lage, es in denselben Begriffen zu benennen, in denen Ihr Code es benennt, und sorgen Sie dafür, dass der öffentliche Satz und der private Kommentar dieselbe Handlung in derselben Auflösung beschreiben. Wenn sie das tun, ist ein Einbruch ein Sicherheitsvorfall. Wenn nicht, ist er eine Offenlegung.
Was Sie damit noch vor Quartalsende tun sollten
Schreiben Sie die Herkunft Ihres Modells auf, solange es noch Ihr Dokument ist. Halten Sie für jedes Modell, das Sie trainieren, feinabstimmen oder in Auftrag geben, fest, aus welchen Quellen die Daten stammen, auf welcher Grundlage und ungefähr wie viel aus jeder einzelnen. Wenn es schwierig ist, diese Liste zu erstellen, dann ist diese Schwierigkeit der Befund, und es ist besser, ihm jetzt zu begegnen, zu Ihren eigenen Bedingungen, als im Discovery-Verfahren oder im Postfach eines Journalisten. Die Organisationen, die die nächsten paar Jahre gut bewältigen, sind die, deren Antwort auf die Frage, womit sie trainiert haben, ein Dokument ist und kein Adjektiv.
Behandeln Sie Entwickler-Endpunkte als Kronjuwelen, denn das sind sie. Suno verlor seine Pipeline über die GitHub- und Cloud-Zugangsdaten eines einzigen Beschäftigten. Die Kontrolle, auf die es ankommt, ist kein größerer Perimeter, sondern der Schadensradius eines einzelnen kompromittierten Entwicklers: phishing-resistente Authentifizierung auf der Code-Plattform, kurzlebige statt dauerhafter Cloud-Zugangsdaten und genug Trennung, dass eine einzelne Maschine nicht die gesamte Systemlandschaft aufschließt. Das ist unspektakuläre Arbeit, für die es kein Produkt zu kaufen gibt, und sie ist der Unterschied zwischen einem Vorfall und einem Inventar.
Und schließlich: Hören Sie auf, Eindämmung für einen Abschluss zu halten. Suno dämmte im November 2025 einen Einbruch ein und las im Juli 2026 über den eigenen Quellcode. Wenn Daten abfließen, stoppt die Uhr der Gefährdung nicht, sobald der Eindringling hinausgeworfen ist; sie stoppt, wenn die Kopie wertlos ist, und die Kopie ist erst wertlos, wenn die Tatsachen darin keine Rolle mehr spielen. Wenn Sie einen Vorfall hatten, der eingedämmt wurde, bei dem aber Daten abgeflossen sind, lautet der ehrliche Status nicht abgeschlossen. Er lautet offen, und das Veröffentlichungsdatum hält jemand anders in der Hand.
Weiterlesen: TfL zahlte kein Lösegeld und verlor trotzdem 29 Millionen | Ein Commit ist noch kein Audit-Trail



