Datendiebstahl bei Sony: Viele Spekulationen, wenig Fakten

Missbräuchlicher Zugriff auf Kreditkarteninformationen der Kunden nicht ausgeschlossen

[datensicherheit.de, 27.04.2011] Schon seit etwa einer Woche soll laut Medienberichten Sony seine Dienste Playstation Network (PSN) und „Qriocity“ abgeschaltet haben, doch wurde erst am 26. April 2011 hierzu eine offizielle Erklärung auf dem „PlayStation-Blog“ gegeben:
Demnach seien „in der Zeit vom 17. April bis zum 19. April 2011 bestimmte Services des PlayStation Network sowie Qriocity mittels illegalen und unberechtigten Eingreifens in das Netzwerk angegriffen“ worden. Daher habe man „vorübergehend sämtliche PlayStation Network und Qriocity Services ausgeschaltet“, eine „außenstehende, anerkannte Sicherheitsfirma“ mit einer vollständigen und lückenlosen Untersuchung zu den Geschehnissen beauftragt und „zügig alle notwendigen Schritte unternommen, um die Sicherheit zu verbessern sowie um die Struktur des Netzwerkes zu stärken…“ Sodann wird der Geduld der Kunden, deren Verständnis sowie „Kulanz“ Wertschätzung bekundet und versprochen, derweil alles nur Mögliche zu tun, um diese Angelegenheit schnellst- und bestmöglich aufzuklären und zu bearbeiten. Eine „unbefugte Person“ habe sich wohl Zugriff zu persönlichen Daten, wie Name, Adresse (Stadt, Bundesland, Postleitzahl), Land, E-Mail-Adresse, Geburtsdatum, PlayStation-Network/Qriocity-Passwort und -Login sowie PSN-Online-ID, verschaffen können. Es könne darüber hinaus möglich sein, dass auch Profilangaben des Kunden inklusive seiner Kaufhistorie und dessen Rechnungsanschrift (Stadt, Bundesland, Postleitzahl) sowie die Sicherheitsfragen zu seinem Passwort widerrechtlich abgerufen wurden. Wer ferner Kreditkarteninformationen im PSN oder bei „Qriocity“ angegeben hat, wird „sicherheitshalber“ darüber benachrichtigt, dass ggf. auf Kreditkartennummer (exklusive des Sicherheitscodes) sowie auf die Gültigkeitsdauer zugegriffen werden konnte. Um sich vor möglichem Identitätsdiebstahl oder finanziellem Verlust zu wappnen, so der Ratschlag, sollten Kunden ihre Kontoaktivitäten „wachsam“ überprüfen und sämtliche Kontoauszüge überwachen.
Nach verschiedenen Schätzungen sollen rund 50 bis 77 Millionen Kundendatensätze betroffen sein, wobei laut Sony 77 Millionen Kunden in 59 Ländern das PSN nutzten, darunter etwa 32 Millionen Europäer. Über den oder die Täter wird derzeit noch spekuliert. In einigen Medien wird von einem der schwersten Datendiebstähle der vergangenen Jahre gesprochen – es werden gar Schadensschätzungen im zweistelligen Milliarden-Dollar-Bereich genannt. Mehrfach wird kritisch angemerkt, dass die Telefonnummer des deutschen Sony-Kundendienstes ein kostenpflichtiger 01805-Anschluss sei, während etwa in den USA betroffene Kunden eine kostenfreie 0800-Nummer nutzen könnten.
Auf „Netzpolitik.org“ merkt Linus Neumann allerdings auch mahnend an, dass ein mündiger Nutzer wissen müsse, dass „Datenschutz mehr als das Kleingedruckte“ sei – und eben „nicht nur Angelegenheit des Anbieters“. Datensparsamkeit wäre natürlich angebracht, so Neumann, aber diese sei ja im Moment „out“.

Die Redaktion von datensicherheit.de sieht in der aktuellen Informationspolitik die Gefahr eines großen Reputationsschadens für Sony – die verzögerte, nur sehr dürftige Information der Öffentlichkeit führt nun zu Spekulationen über die Täterschaft und die Schadenshöhe, die meinungsprägend sein könnten und gar am Ende die Tatsachen überlagern. Allein das Schadenspotenzial gebietet es, auf Beschwichtigungen zu verzichten – denn nach der Katastrophe im Kernkraftwerk Fukushima im März 2011 ist die Öffentlichkeit wohl noch viel kritischer geworden. Wenn nun bei diesem Vorfall quasi von einem IT-GAU auszugehen ist, muss das Lob für „Geduld“, „Verständnis“ sowie „Kulanz“ auf Kundenseite schrill klingen, wenn zugleich der Kundendienst eine kostenpflichtige 01805-Telefonnummer (14 Cent pro Minute aus dem Festnetz) anbietet. Generell muss die Frage diskutiert werden, ob eine solche Datenansammlung überhaupt notwendig ist – Daten sind Vermögenswerte; jede Ballung wird irgendwann zu einem missbräuchlichen Zugriff führen! Wenn schon nicht dem Prinzip der „Datensparsamkeit“ gefolgt wird, dann sollten doch Daten so verteilt abgelegt werden, dass nicht en bloc ein Zugriff durch Unbefugte erfolgen kann.

Weitere Informationen zum Thema:

PlayStation.Blog, 26.04.2011
PSN/Qriocity Service Update

Netzpolitik.org, Linus Neumann, 27.04.2011
Zum Playstation-Network-Hack: “Kann sein.”