Hacker-Attacke – Sony warnte viel zu spät
Publiziert

Hacker-AttackeSony warnte viel zu spät

Erst eine Woche nach dem Diebstahl von Kreditkarten-Daten warnte Sony seine Kunden per E-Mail. Nun drohen dem Konzern Sammelklagen in Milliardenhöhe. Die Spur der Täter führt nach Russland.

SDony informierte erst spät und dann unvollständig.

SDony informierte erst spät und dann unvollständig.

20 Minuten

Persönliche Informationen, Passwörter und Kreditkarten-Daten von Playstation-Network-Nutzern wurden vor über einer Woche von den Sony-Servern gestohlen. Unbefugte hatten sich während dem 17. und 19. April Zugriff verschafft. Am 20. April fuhr Sony aus Sicherheitsgründen sämtliche Playstation-Online-Dienste runter. Seither ist es nicht mehr möglich, Spiele aus dem PSN-Store herunterzuladen oder PS3-Spiele übers Internet zu spielen.

Sony lässt Kunden eine Woche im Dunkeln

Am Mittwochabend, geschlagene sieben Tage nachdem das Playstation-Network (PSN) vom Netz getrennt worden ist, hat Sony seine Kunden per E-Mail über den Grund der Abschaltung und den Datenklau informiert.

Es stellt sich die Frage, warum ein Konzern mit 77 Millionen PSN-Konten eine Woche braucht, um seine Kunden zu warnen, dass ihre Kreditkarten-Daten von Hackern abgezügelt worden sind. Im deutschen Playstation-Blog nimmt Sony wie folgt Stellung: «Es gab einen zeitlichen Unterschied zwischen dem Zeitpunkt, als wir herausfanden, dass es einen Angriff gab und dem Zeitpunkt, als wir bemerkten, dass Konsumenten-Daten gestohlen wurden. Wir haben ein externes Experten-Team zu Rate gezogen und eine Untersuchung durchgeführt, um die Ursache und den Umfang dieses Vorfalls zu eruieren. Es waren mehrere Tage der forensischen Analyse notwendig.»

Im Klartext heisst das: Man liess die Nutzer über die potenzielle Gefahr im Dunkeln, bis zu 100 Prozent klar war, dass sensible Daten in den falschen Händen sind. Die zögerliche Unternehmenskommunikation hat offenbar auch die Anleger verunsichert. Am Mittwoch schloss der Kurs der Sony-Aktie auf einem Acht-Monats-Tief. Heute konnte Sony zumindest teilweise Entwarnung geben. «Sämtliche Kreditkarten-Daten waren verschlüsselt gespeichert und wir haben keine Beweise gefunden, dass Kreditkarten-Daten gestohlen wurden. Trotzdem können wir diese Möglichkeit nicht ausschliessen.» Zu denken gibt auch, dass Sony die Nutzerdaten inklusive Passwörter anscheinend unverschlüsselt speichert.

Schadenersatzforderungen in Milliardenhöhe denkbar

In den USA wurde bereits die erste Sammelklage gegen Sony eingereicht. Laut «Forbes Magazin» könnte der Daten-GAU für Sony Kosten in der Höhe von über 24 Milliarden Franken nach sich ziehen. Bei dieser Schätzung wird von der offiziellen Zahl von 77 Millionen PSN-Konten ausgegangen.

Der deutsche Datenschutzbeauftragte Peter Schaar hält es für denkbar, dass nach dem Datendiebstahl Schadenersatzforderungen auf Sony zukommen. Wenn durch das Versagen des Unternehmens Kreditkartennummern bekannt geworden und missbraucht worden seien, dann könne das eine Schadenersatzpflicht auslösen. Schaar räumte zugleich ein, für die Verbraucher sei es eine schwierige Angelegenheit, finanzielle Schäden geltend zu machen. «Das grosse Problem wird darin liegen, nachzuweisen, dass zum Beispiel eine unrechtmässige Abbuchung darauf zurückzuführen ist, dass bei Sony die Kreditkarteninformationen abgeflossen sind.»

Wer steckt hinter dem Datenraub?

Anfänglich ganz oben auf der Verdachtsliste standen die Internet-Rebellen von Anonymous. Das Hacker-Kollektiv hatte Mitte April zum Sony-Boykott aufgerufen und Attacken gegen das Playstation-Network angekündigt. Die Internet-Aktivisten hatten Sony ins Visier genommen, nachdem der Konzern den PS3-Hacker GeoHot juristisch belangt hat. Mittels sogenannter DDoS-Attacke sollte der Online-Dienst der PS3 in die Knie gezwungen werden. Zu mehr als sporadischen Ausfällen kam es indes nicht. Anonymous hat inzwischen verkündet, nicht hinter der neusten Attacke zu stecken. Da Datendiebstahl nicht ins Bild der Freiheitskämpfer passt, dürfte zumindest der Kern von Anonymous nicht involviert sein.

Stets zum Kreis der Verdächtigen zählen bei Cyber-Attacken Hacker aus Fernost. Chinesische Industriespione sind für ihre raffinierten Angriffe seit Jahren berüchtigt. Grosskonzerne wie Google oder Renault bekamen dies schon zu spüren. Ob Nutzerdaten von PS3-Gamern für chinesische Hacker von grosser Bedeutung sind, darf indes bezweifelt werden. Auch ist nicht anzunehmen, dass ihre professionellen Angriffe so rasch bemerkt worden wären.

Laut dem renommierten US-Techmagazin «Wired» dürften die Hacker finanzielle Ziele verfolgen. Das Magazin vermutet russische Kriminelle hinter dem Angriff, die routinemässig Kreditkarten-Daten klauen und sie auf einschlägigen Internet-Foren anbieten. Im Sony-Fall dürften die Kreditkarten-Daten allerdings wenig wertvoll sein, da der Sicherheitscode auf der Rückseite der Kreditkarte laut Sony nicht gestohlen worden ist. Dennoch könnten sich die geklauten PSN-Passwörter in Kombination mit der E-Mail-Adresse und den persönlichen Nutzerdaten als wahrer Schatz erweisen. Da viele Menschen aus Bequemlichkeit ein Standard-Passwort haben von Facebook, über das E-Mail-Konto bis zum E-Banking, können die Hacker jede Menge Schaden anrichten.

L'essentiel Online /

(owi/dapd)

Deine Meinung