Einbruch bei Sony: IT-Experten vermuten Schlamperei
Berlin (dpa) - Viele PlayStation-Spieler sind empört: Wie kann der Technikriese Sony es zulassen, dass Cyber-Kriminelle in seine Systeme eindringen und Daten von Millionen Kunden kopieren? Bislang ist zu wenig bekannt, um die Frage endgültig zu beantworten.
Schon jetzt gehen Experten aber davon aus, dass der japanische Konzern elementare Sicherheitsregeln missachtet hat. Und damit ist er in schlechter Gesellschaft.
Für Software-Entwickler ist es eine Binsenweisheit, der Vorfall beim Technikriesen Sony erinnert aber noch mal daran: „Es gibt in der Informationstechnik keine 100prozentige Sicherheit“, sagt Prof. Hartmut Pohl. Software, oft Tausende von Programmzeilen lang, könne nie fehlerfrei geschrieben werden, selbst wenn es hervorragende Programmierrichtlinien gebe, erläutert der Informatiker von der Hochschule Bonn-Rhein-Sieg. Programmierer sind Menschen - und Menschen machen Fehler.
Daher hat Software oft Sicherheitslücken, von denen der Hersteller nicht weiß und die er deswegen auch nicht mit einem Update stopfen kann. Kennen Angreifer diese Schwachstellen, haben sie leichtes Spiel. Solches Wissen bekommt man auf dem Schwarzmarkt.
Das menschliche Versagen muss daher bei der Konstruktion von IT-Systemen von vornherein mitgedacht werden. „Man kann nur vorbeugend tätig werden, indem man verschiedene Sicherheitsstufen einbaut, um den Zugriff auf Daten von außen zu erschweren“, sagt der IT-Forensiker Immo Bornhagen in Erding - beispielsweise Firewalls oder Programme, die Einbruchsversuche protokollieren.
Wie konnte es trotz aller Standards zum Daten-GAU bei Sony kommen? „Die bisher verfügbaren Infos werfen weitere Fragen auf“, sagt der IT-Sicherheitsspezialist Holger Heimann, der mit seiner Firma it.sec in Ulm Konzepte für Computer- und Netzwerksicherheit entwickelt und Sicherheitstests durchführt.
So habe Sony die Passwörter der Nutzerkonten offenbar nicht verschlüsselt gespeichert. „Das ist ein deutlicher Hinweis auf ein mangelndes Sicherheitsmanagement - ein elementarer Lapsus, kein Detail“, betont Heimann. Er bewertet eine solche Speicherung als „grob fahrlässig“.
Die Passwort-Panne hätte Sony möglicherweise vermeiden können, meint Heimann: etwa mit Penetrationstests, bei denen Fachleute einen Angriff simulieren, und regelmäßigen Prüfungen wie den sogenannten Audits. „All diese Verfahren sind längst bekannt und lassen sich im Wesentlichen unter Qualitätssicherung einordnen.“ Möglicherweise hätte man den Schaden so nicht nur verringern, sondern sogar ganz verhindern können.
Der Technikriese ist kein Einzelfall. „Einigen Unternehmen mangelt es an der Bereitschaft, von vornherein Sicherheit einzubauen“, weiß Hartmut Pohl aus Gesprächen mit Software-Häusern. In den vergangenen Jahren habe das Bewusstsein um die Gefahren im Internet zwar zugenommen. Doch die Bewusstseinslücken seien noch nicht überall geschlossen - und damit auch nicht die Sicherheitslücken.
Vielleicht hilft der Fall Sony, das Thema ganz oben auf die Agenda zu setzen, zumal so viele Privatnutzer betroffen sind. „Jetzt muss vom Anwender Druck ausgehen“, sagt der Informatiker Pohl. Etwa indem sich Nutzer von den Sony-Plattformen verabschieden, oder indem Verbraucherorganisationen die Interessen bündeln.
Es wäre an der Zeit: Die Zahl der Hackerangriffe auf IT-Systeme nimmt zu. Der Einbruch bei Sony könnte nicht der letzte gewesen sein.