PSN-Hack: Wütende Politiker, russische Hacker und entspannte Banken
Das Playstation Network (PSN) ist noch offline , weil es komplett erneuert und sicherer werden soll, bestätigte ein Sprecher von Sony Computer Entertainment Golem.de. Das Unternehmen hat inzwischen genauer erläutert, in welcher Form die bei dem Servereinbruch kompromittierten Daten vorlagen - die persönlichen Daten wie Name, Geburtsdatum, Adresse, E-Mail-Adresse und Telefonnummer waren unverschlüsselt, anders als die Kreditkartendaten(öffnet im neuen Fenster) . Die zugehörigen Sicherheitscodes der Kreditkarten waren zudem nicht auf den PSN-Servern gespeichert.
Gewissheit darüber, dass die persönlichen Daten tatsächlich kopiert wurden, hatte Sony nach Unternehmensangaben erst am 26. April 2011. Bei den Nachforschungen hatten externe Sicherheitsexperten geholfen. Am 20. April war das PSN abgeschaltet worden, nachdem der zwischen dem 17. und 19. April erfolgte Servereinbruch festgestellt worden war. Bisher gibt es laut Sony keine Indizien dafür, dass die Kreditkartendaten ebenfalls illegal kopiert wurden. Offen bleibt die Frage, ob und wie die Kundenpasswörter verschlüsselt waren, die laut Sony ebenfalls kompromittiert wurden.
Alarmierte Politiker
Das PSN hat rund 77 Millionen Nutzer in aller Welt, Sony informierte sie erst rund eine Woche nach dem Zwischenfall offiziell. Der Vorfall ist deshalb längst auch zum Politikum geworden. So verlangt beispielsweise der US-Senator Richard Blumenthal(öffnet im neuen Fenster) , dass Sony die Verantwortung und Kosten für etwaige Schäden durch Identitätsdiebstahl übernimmt.
In Deutschland ist Ähnliches vom CSU-Bundestagsabgeordneten und rechtspolitischen Sprecher der Unionsfraktion Stephan Mayer zu hören. Auch er sieht "Sony klar in der Haftung" . In der Frankfurter Rundschau(öffnet im neuen Fenster) bezeichnete er es als "starkes Stück" , dass der Konzern Tage gebraucht habe, um den Datenklau überhaupt zu bemerken.
Der Bundesbeauftragte für den Datenschutz, Peter Schaar, sprach von einem "Daten-GAU" . Es gebe immer ein Restrisiko, wenn viele Daten gespeichert würden. "Datensparsamkeit und Datensicherheit sind zentrale Grundvoraussetzungen, um solch einen Daten-Gau zu verhindern" , sagte Schaar der Frankfurter Rundschau.
Banken sehen keinen Handlungsbedarf
Entspannter geben sich die Banken. Sie sehen bisher keinen Grund, Kreditkarten auszutauschen. Daher muss der Kunde selbst die Kosten tragen, wenn er dennoch seine Karte austauschen will. Bankberater begründen das damit, dass zum einen nicht klar sei, ob die Kreditkartendaten überhaupt ausgespäht worden seien, zum anderen sei Ähnliches schon öfter passiert und selten hätten sich daraus Konsequenzen für Kunden ergeben.
Sony sagte Golem.de, dass sich allerdings bereits besorgte Kunden gemeldet haben, die ihre Kreditkarte getauscht haben und um Erstattung der Kosten bitten. Der Hersteller weist das aber zurück. Banken raten ihren Kunden, zur eigenen Sicherheit ihre Kreditkartenumsätze regelmäßig zu überprüfen und Unstimmigkeiten sofort der Bank mitzuteilen. Für betrügerische Umsätze durch Dritte hafteten Kunden selbstverständlich nicht, sagte ein Bankberater Golem.de.
Warnung vor Leichtsinn
Sony selbst warnt vor allem davor, dass Kriminelle die ergatterten Daten dazu benutzen könnten, PSN-Nutzer mittels E-Mail, Briefen und Telefonanrufen zu betrügen. Sony warnt seine Kunden davor, auf solche Anfragen zu antworten; das Unternehmen selbst kontaktiere Kunden nicht, um nach Kreditkarteninformationen, Sozialversicherungsnummern oder anderen persönlichen Daten zu fragen.
Auch das Sicherheitsunternehmen Kaspersky Labs rät PSN-Nutzern: "Ignorieren Sie E-Mails, in denen Sie zu einer Herausgabe Ihrer persönlichen Daten aufgefordert werden – auch, wenn Ihnen der Absender auf den ersten Blick vertrauenerweckend erscheint. Seriöse Anbieter wie Sony fragen niemals nach vertraulichen Informationen." Zudem sollte grundsätzlich für jede genutzte Onlineplattform ein gesondertes, sicheres Passwort angelegt werden.
Wer war es?
Was die Hacker mit den Daten anstellen wollen, ist noch ungewiss. Auch ist noch unbekannt, wer die Hacker sind. Bei Golem.de ging zwar ein anonymer Hinweis ein, dass es sich um zwei Russen handeln soll, doch fehlt bisher ein Beleg für die Behauptung. Laut der anonymen Quelle wollten die Hacker Sony die ausgespähten Daten anbieten, scheiterten aber bei der Kontaktaufnahme und überlegen nun weitere Schritte. Derweil sollen die Hacker dabei sein, die ausgelesenen Daten zu entschlüsseln - das soll bereits teilweise gelungen sein. Allerdings passt das nicht zu Sonys Angabe, dass die persönlichen Daten eben nicht verschlüsselt waren.
Sony Computer Entertainment ist nach Angaben eines Unternehmenssprechers von dem Vorfall nichts bekannt. Das FBI ermittelt bereits seit vergangener Woche.