HOME

Datenklau bei Sonys Playstation Netzwerk: Not statt Spiele

Bei dem Hackerangriff auf Sonys Playstation Network könnten neben Personen- auch Kreditkartendaten ausgespäht worden sein. Viele Nutzer sind wütend - auch über Sonys Informationspolitik.

Von Ralf Sander

Es ist einer der größten Datendiebstähle der Geschichte: Sony hat zugegeben, dass bei einem Hackerangriff auf das Playstation Network (PSN) persönliche Informationen der weltweit mehr als 77 Millionen Nutzerkonten des Netzwerks kopiert sein könnten. Sony weist darauf hin, dass es sich nicht um 77 Millionen Einzelpersonen handelt, da einige Nutzer auch mehrere Accounts besitzen.

Das Playstation Network vernetzt Nutzer von Sonys Spielkonsolen Playstation 3 und Playstation Portable. Die Spieler können kommunizieren, mit- und gegeneinander spielen, Musik hören und Videos anschauen. Außerdem erreicht man auf diesem Weg auch den Playstation Store, in dem man ganze Spiele sowie Erweiterungen kaufen und herunterladen kann. Seit Mittwoch vor Ostern ist das PSN außer Betrieb, ebenso der Sony-Dienst Qriocity, der Musik und Videos auf die PS3 sowie Fernseher und Blu-ray-Player des Unternehmens schickt. Sony hat die Onlinedienste abgeschaltet, nachdem es "externen Eingriff" gegeben hatte, wie das japanische Unternehmen zunächst formulierte, ohne weitere Details bekannt zu geben. Erst jetzt hat sich Sony in seinen offiziellen Playstation-Blogs wieder gemeldet – und besorgniserregende Erkenntnisse offenbart.

Was wurde ausgespäht?

Laut Sony sind die Hacker zwischen dem 17. und 19. April in die Kundendatenbanken eingedrungen und haben sich höchstwahrscheinlich zu folgenden Informationen Zugang verschafft:

  • Name
  • Adresse (Stadt, Bundesland, Postleitzahl)
  • Land
  • E-Mail-Adresse
  • Geburtsdatum
  • Login-Name und Passwort für PSN/Qriocity
  • PSN Online ID

Außerdem sei es möglich, dass die Nutzerprofile mit einer Liste aller getätigten Einkäufe inklusive der Rechnungsadresse ausgespäht wurden. Auch die Sicherheitsfragen zum Passwort ("Geburtsname der Mutter" etc.) samt Antworten könnten betroffen sein.

Auch Kreditkartendaten in Gefahr

So weit, so schlimm. Doch es könnte noch schlimmer kommen: Sony kann nicht ausschließen, dass die Hacker auch Kreditkartendaten erbeutet haben. "Obwohl es derzeit keine Anzeichen dafür gibt, dass auf Kreditkarteninformationen widerrechtlich zugegriffen wurden, können wir diese Möglichkeit nicht gänzlich außer Betracht lassen", schreibt Sony. Es sei möglich, dass die Kreditkartennummer und die Laufzeit der Karte ausgespäht worden seien. Der drei- oder vierstellige Sicherheitscode sei nicht betroffen.

Sony hat angekündigt, bis zum 28. Mai jeden Betroffenen per Mail zu informieren. Das Unternehmen hat außerdem eine FAQ veröffentlicht, in der viele Fragen beantwortet werden. Dort finden sich auch Telefonnummern der Kundendienste in den jeweiligen Ländern. Die Telefonnummer für Deutschland lautet 01805/766977.

Was tun?

Sony bittet alle PSN- und Qriocity-Kunden um verstärkte Aufmerksamkeit und warnt vor möglichen Betrugsversuchen per E-Mail, Telefon und Post. Das Unternehmen weist darauf hin, dass es seine Kunden niemals kontaktieren würde, um Kreditkartendaten oder anderen persönliche Informationen zu erfragen.

Wenn das Playstation Network und Qriocity wieder verfügbar sind, sollte jeder Nutzer sofort sein Passwort und auch die Sicherheitsfrage ändern. "Das ist ein großes Ding", sagte Graham Culley vom IT-Sicherheitsspezialisten Sophos "BBC News". "Viele Menschen benutzen dasselbe Passwort auf verschiedenen Webseiten. Wenn ich ein Hacker wäre, würde ich diese E-Mail-Adressen und Passwörter sofort ausprobieren." Das bedeutet: Wer das Passwort, das er bei Sonys Onlinediensten verwendet hat, auch woanders einsetzt, sollte es unbedingt auch an diesen Stellen ändern.

Außerdem muss jeder, der bei Sonys Onlinediensten seine Kreditkartendaten hinterlegt hat, in nächster Zeit genau auf ungewöhnliche Zahlungsvorgänge achten und gegebenenfalls sofort Kontakt mit seiner Bank oder Kreditkartenunternehmen aufnehmen. Auf jeden Fall lohnt es sich, sich über zusätzliche Sicherheitsangebote seines Kreditkartenunternehmens zu informieren. Zum Beispiel bieten Mastercard und Visa an, jeden Zahlvorgang auch per SMS zu quittieren. So bleibt man ständig auf dem Laufenden und kann merkwürdige Abbuchungen sofort erkennen.

Kritik an Informationspolitik

Der Hackerangriff liegt mehr als eine Woche zurück - doch warum informiert Sony seine Kunden erst jetzt über den entstandenen Schaden? Eine Informationspolitik, die zum Teil hart kritisiert wird: "Ihr habt eine Woche gewartet uns mitzuteilen, dass uns persönlichen Informationen gestohlen wurden? Das hättet ihr uns vor einer Woche sagen müssen!", schimpft ein User im Sony Blog. Ein anderer schreibt: "Dieses Update kommt sechs Tage zu spät. Ich glaube, es ist an der Zeit, zu einem anderen Netzwerk zu wechseln."

Nach Unternehmensangaben wurde eine "anerkannte Sicherheitsfirma" beauftragt, "eine vollständige und lückenlose Untersuchung" durchzuführen. "Die Analyse eines globalen Netzwerks mit vielen Millionen Nutzerkonten dauert leider seine Zeit", sagt Guido Alt, Sprecher von Sony Computer Entertainment Deutschland: "Als sichere Ergebnisse vorlagen, sind wir sofort an die Öffentlichkeit gegangen". Wie viel Menschen konkret betroffen sind, kann auch er nicht sagen.

Der japanische Unterhaltungsriese verspricht außerdem, zurzeit seine Onlinedienste von Grund auf zu überarbeiten, um die Datensicherheit zu verbessern. Aus diesem Grund seien PSN und Qriocity seit Tagen nicht erreichbar. Wann die Arbeiten abgeschlossen sein werden, sagt Sony offiziell nicht. US-Medien wie die "New York Times" berichten, dass der Ausfall noch eine Woche andauern wird. "Es ist sehr ungewöhnlich für Sony, ein System komplett neu aufzubauen, anstatt einfach 'die Blutung zu stillen'", sagte der Sicherheitsexperte Mark Seiden der Zeitung. "Die Tatsache, dass zwei unabhängige Netzwerke von dieser Sicherheitslücke betroffen sind, lässt darauf schließen, dass Sony ein gravierendes grundlegendes Problem entdeckt hat, das schon länger existierte."

Jagd auf die Angreifer

Über die Identität der Angreifer ist nach wie vor nichts bekannt. Sony hat angekündigt, die Verantwortlichen mit aller Macht zu verfolgen. Als der Hack bekannt wurde, geriet zunächst die Anonymous-Gruppe unter Verdacht. Der lockere Zusammenschluss von Internet-Aktivisten hatte Anfang April zum Web-Sturm auf Sony aufgerufen, um den Hacker Geohot zu rächen, der juristischen Ärger mit dem Unternehmen hatte. Der Streit gilt aber inzwischen als beigelegt. Anonymous hat bereits vor dem Bekanntwerden des Datendiebstahls jede Verantwortung für den PSN-Angriff von sich gewiesen.