Analyse: Daten-Raubzug erschüttert Vertrauen in Sony
Berlin (dpa) - Schlimmer hätte es kaum kommen können. Sony, ein Gigant der Technikbranche und um ein Image als Qualitätsanbieter bemüht, ist Opfer eines massiven Hackerangriffs geworden.
Unbekannte drangen in die Systeme des Unternehmens ein - es sei möglich, dass sie die Daten von 77 Millionen Nutzerkonten beim PlayStation Network und sowie dem Musik- und Videoservice Qriocity „kompromittiert“ hätten, erklärte Sony. Während der Konzern seine Sicherheitssysteme überarbeitet, beginnt die Diskussion über den Datenschutz.
Zum genauen Ablauf sagt Sony nicht viel. Bekannt ist, dass Unbekannte schon zwischen dem 17. und 19. April die Server von außen angriffen. Daraufhin schaltete das Unternehmen die Systeme komplett ab. „Ein radikaler Schritt“ sei das gewesen, sagt Sony-Sprecher Guido Alt. Aber nur so habe man sicherstellen können, dass die Angreifer nicht weiter auf die Daten zugreifen.
Externe Sicherheitsfachleute halfen dann, den Angriffen auf die Spur zu kommen. Erst nach Tagen forensischer Analyse sei das Ausmaß deutlich geworden, erklärt das Unternehmen - am Dienstag kam das bittere Eingeständnis, dass die Eindringlinge nicht nur Profildaten wie Namen und Adressen stehlen konnten, sondern auch Logins und Passwörter.
Ein schwacher Trost: Derzeit deutet laut Sony nichts darauf hin, dass auch Kreditkartendaten gestohlen wurden. In der entsprechenden Datenbank habe man keine Zugriffspuren festgestellt, sagte Alt. Die Warnung an die Nutzer sei lediglich eine Vorsichtsmaßnahme. Auch die Prüfnummern der Karten, ohne die im Netz kaum Geschäfte möglich sind, seien nicht abhanden gekommen.
Trotzdem braucht es nicht viel Phantasie, um sich Angriffsszenarien auszumalen. Kriminelle könnten betrügerische E-Mails genau auf die Opfer zuschneidern, um sich Kontoinformationen zu erschleichen - Phishing wird diese Masche genannt. Oder sie könnten testen, ob Nutzer ihr Passwort aus Bequemlichkeit auch woanders einsetzen - ein häufiger Fehler. „Wenn ich das Passwort vom PlayStation Network auch in anderen Netzdiensten verwendet habe, sollte ich das schnellstens ändern“, warnt Nora Basting vom Bundesamt für Sicherheit in der Informationstechnik (BSI).
Wer die Angreifer sind, ist offen. Sony liegt im Clinch mit Hackern, die sich daran stören, dass der PlayStation-Hersteller einen der ihren verklagte hatte. Das Hacker-Kollektiv Anonymous rief Mitte April zum Angriff auf Sony-Websites auf, darunter das PlayStation Network. Doch nach dem Datenklau dementierten Unbekannte im Namen des lose organisierten Haufens, mit dem Diebstahl zu tun zu haben. Sony schreibt den Angriff „einer unautorisierten Person“ zu.
So oder so: Der Schaden ist immens. Der Ausfall von Einnahmen während der fortdauernden Abschaltung der Netzwerke dürfte noch ein kleines Problem sein, wenn man ihn mit dem Image-Verlust vergleicht. Der japanische Technik-Riese setzt immer mehr auf den Online-Vertrieb seiner Spiele, Songs und Videos. Wenn er nicht in der Lage ist, die Daten seiner Nutzer zu schützen, steht der Digital-Verkauf als Ganzes infrage. Kein Wunder, dass Sony verspricht, jetzt eine „komplett neue Sicherheitsstruktur“ aufzubauen.
„Es gibt bei Online-Diensten keine 100-prozentige Sicherheit“, sagt Prof. Norbert Pohlmann von der Fachhochschule Gelsenkirchen. „Aber Unternehmen müssen die Systeme so gestalten, dass zumindest der Schaden nicht so groß wird“, betont der Informatiker.
Viele Spieler reagieren vergrätzt. „Die Kommunikation seitens Sony in dieser Geschichte ist echt unter aller Sau“, schreibt einer im offiziellen PlayStation-Forum. „Einfach mal ab und zu ein halbgares Blog-Update mit dem Informationsgehalt eines Glückskekszettels reinstellen, reicht definitiv nicht.“
Auch der Hamburger Datenschützer Johannes Caspar kritisierte die zögerliche Informationspolitik. Sony hätte sofort nach Bekanntwerden des Problems informieren müssen, erklärte er im Hamburger Abendblatt (Donnerstag): „Dies ist nach dem Bundesdatenschutzgesetz so vorgesehen und müsste auch im internationalen Maßstab gelten.“
Ein Gutes könnte der Fall haben. Der Bundesdatenschutzbeauftragte Peter Schaar hofft, dass der Hacker-Angriff auf die Playstation von Sony die Bürger vorsichtiger im Umgang mit ihren eigenen Daten werden lässt. „Dieser Daten-GAU zeigt, dass es immer ein Restrisiko gibt, wenn viele Daten gespeichert werden“, sagte Schaar der Berliner Morgenpost (Donnerstag).