Persönliche Daten von Nutzern des PlayStation Network waren im Klartext gespeichert. Es soll bereits erste Opfer von Kreditkartenbetrug geben. 77 Millionen Kunden sind betroffen. In den USA wird Sony schon verklagt.
Haben Sie Namen, Adresse und Telefonnummer im PlayStation Network oder Sonys Qriocity angegeben? Dann könnten Hacker diese bereits in Händen halten, genauso wie Usernamen und Passwort oder E-Mail-Adresse. Wie Sony selbst eingestehen musste, waren persönliche Nutzerdaten im Klartext in einer einfachen Datenbank gelagert, die aber gut abgeschirmt gewesen sein soll. Im Gegensatz zu Kreditkartendaten, die vom PSN-Betreiber verschlüsselt worden waren, können die Angreifer, die sich Zugriff auf die Daten der 77 Millionen Nutzer verschafft haben, sie also ohne weiteren Aufwand auslesen und nutzen.
Betrugsgefahr nach Datenklau
Wozu die Daten den Angreifern dienen könnte? Sony beschreibt selbst in einem Frage-und-Antwort-Blogeintrag die Möglichkeit, dass per Post oder Telefon Betrugsversuche gestartet werden könnten. Auch warnt Sony seine Kunden vor "potenziellen Gaunereien per E-Mail" - ausgerechnet per E-Mail. Trotz der Verschlüsselung der Kreditkartendaten warnt Sony davor, dass die Angreifer auf Kartennummer und Gültigkeitsdauer zugriff haben könnten. Die dreistelligen Sicherheitscodes auf der Rückseite der Karten wurden von Sony nie verlangt, wurden daher nicht gespeichert und konnten somit nicht abgegriffen werden.
Erste Kreditkarten-Betrugsopfer melden sich
Wie Ars Technica berichtet, sollen erste PSN-Kunden bereits Opfer von Kreditkartenbetrug geworden sein. Ein US-Bürger berichtet etwa davon, dass ohne sein Zutun 8000 Dollar von einem japanischen Online-Shop abgebucht worden sein sollen. Ein anderer berichtet davon, dass 600 Dollar für ein Ticket bei einer deutschen Fluglinie entwendet wurden. Kotaku berichtet von einem australischen Sony-Kunden, dem 2000 Dollar über seine Kreditkarte gestohlen wurden. Die Vorfälle geschahen alle, seit das PSN Probleme aufwies. Ob sie aber wirklich mit dem Hack zusammen hängen, ist noch nicht gesichert. Sony hat zwar berichtet, dass Kreditkarten-Informationen verschlüsselt worden seien. Nicht bekannt ist aber, welche Art von Verschlüsselung genutzt wurde.
So oder so sollten alle PSN-Kunden derzeit genau beobachten, was sich auf ihren Konten tut. Betrüger versuchen oft, erst durch kleine, unauffällige Beträge die Kartendaten auszutesten, bevor sie sich an größere Summen wagen. Hier bleibt noch Zeit zu reagieren und notfalls die Karte zu sperren.
Erste Klage wegen PSN-Datenklau
Mittlerweile gibt es schon eine Klage gegen Sony, berichtet Cnet. Ein US-Kunde drückt darin seine Beschwerde aus, dass der PSN-Betreiber zu langsam reagiert und seine Kunden nicht rechtzeitig über mögliche Kreditkarten-Betrügereien aufgeklärt hätte. Der 36-Jährige strengt eine Sammelklage an und will Schadenersatz und kostenlose Überwachung von Kreditkarten-Transaktionen. Er wirft Sony weiters vor, dass der Konzern nicht die notwendigen Maßnahmen ergriffen hätte, um den Angriff zu verhindern.
Suche nach Angreifern läuft
Über die Identität der Angreifer weiß Sony entweder noch nichts oder behält diese Informationen für sich. Man arbeite mit einer "anerkannten Sicherheitsfirma" und den Ermittlungsbehörden zusammen, um die Verantwortlichen zu finden, "egal wo auf der Welt sie sich befinden mögen", heißt es lediglich. Bislang gibt es weder ein "Bekennerschreiben" einer Hackergruppe noch sonstige bekannt gewordene Hinweise auf die Verursacher. Das durch seine Wikileaks-Aktionen bekannt gewordene Kollektiv "Anonymous" hatte zwar zu einem Sony-Boykott aufgerufen, bestreitet aber jegliche Verbindung zu dem Hacker-Angriff.
Server werden verlegt
Sony empfiehlt all seinen Kunden des PSN und auch des Streaming-Netzwerks Qriocity, ihre Passwörter so rasch wie möglich zu ändern, sobald die Systeme wieder hergestellt worden sind. Sony arbeite derzeit daran, "alle Aspekte der Sicherheits des PlayStation Network und persönlicher Kundendaten zu verbessern". Dazu gehört, das Datenzentrum an einen komplett neuen Ort zu verlagern, der angeblich besser vor unbefugtem Zutritt geschützt sein soll. Das dauert natürlich seine Zeit. Dennoch hofft Sony, die Umstellung und den Neustart des PSN bis Anfang Mai abgeschlossen zu haben.
Datenschützer fordert strengere Regeln
Deutsche Datenschützer toben unterdessen angesichts des Ausmaßes des PSN-Hacks. Der Leiter des Unabhängigen Datenschutzzentrums Schleswig-Holstein, Thilo Weichert, sieht Bedarf für schärfere Gesetze: Weltkonzerne wie Sony, Facebook und Google seien in Deutschland faktisch nicht für Versäumnisse beim Datenschutz haftbar zu machen, sagte er der "Neuen Osnabrücker Zeitung". "Die Unternehmen haben zwar Vertriebsgesellschaften in Deutschland gegründet, die juristisch Verantwortlichen sitzen aber in Japan oder den USA." Sie seien für die Datenschutzbehörden nicht zu greifen.
(db)
