Der Hack in Sonys Unterhaltungsnetzwerken Playstation Network (PSN) und Qriocity dürfte der größte Daten-GAU der vergangenen Jahre sein. Erst eine Woche nach dem Hack ging Sony gestern damit an die Öffentlicheit. Ein noch unbekannter Hacker sei in der Zeit zwischen dem 17. und dem 19. April in Sonys Datenbanken eingedrungen und habe unter anderem Namen, E-Mail-Adressen und Postanschriften, Geburtsdaten, Passwörter, Sicherheitsfragen, Kaufgeschichte und möglicherweise auch Kreditkartennummern von mehr als 75 Millionen Kunden erbeutet. Wer dahinter steckt, ist noch unklar. Die Hackergruppe Anonymous hatte das PSN am 16. April mehrfach mit DDOS-Attacken überschwemmt, also versucht, das Netzwerk durch zu viele Anfragen in die Knie zu zwingen. Die Hacktivisten wollten sich damit für die Klage gegen einen Hackers rächen und Sony eine Lektion erteilen.
Der Diebstahl von Kunden- und gar Kreditkartendaten trägt allerdings nicht die Handschrift von Anonymous. Es ist denkbar, dass ein Dritter die vorübergehende Schwäche von Sony ausgenutzt hat, um in das Netzwerk einzubrechen. Ironie der Geschichte ist, dass das Playstation Network als eins der am besten gesicherten der Welt galt. Sony nahm PSN und Qriocity am 19. April (vergangenen Dienstag) ohne Angabe von Gründen für mehrere Tage vom Netz, um sich um das Problem zu kümmern. Die Dimensionen des Hacks wurden Sony eigenen Angaben nach erst nach mehreren Tagen bewusst. Dass die Diebe wohl genug Informationen gestohlen hatten, um damit Käufe auf Kosten der PSN-Kunden zu tätigen, will Sony demnach nicht gewusst haben. Die Kunden wurden eine geschlagene Woche im Unklaren gelassen. Und noch immer sind die Netzwerke offline; Sony hat noch nicht bekannt gegeben, wann sie wieder verfügbar sein sollen.
Die Anonymous-Attacke vor dem Hack galt als Rache für den Hacker George Hotz, den Sony für das Umgehen des Sicherheitsmechanismus der Playstation 3 verklagt hatte. Dem Hacker war es allerdings darum gegangen, dass Entwickler auch selbst geschriebene Spiele auf der beliebten Konsole installieren konnten. Sony und er einigten sich schließlich außergerichtlich darauf, dass Hotz die Software, die er dafür geschrieben hatte, nicht mehr vertreiben darf. Anonymous hatte in der jüngeren Vergangenheit Websites extremer Regierungen und Gruppen gehackt. Teilweise verbreiteten die Webguerilla dort politische Botschaften, teils bestand die Botschaft darin, die Server von Unternehmen, Regierungen oder politischen Gruppen in die Knie zu zwingen.
Sony trägt den Schaden, IT-Security muss reagieren
Im Falle des Hacks der Bank of America und der IT-Sicherheitsfirma HBGary Federal wurden von Anonymous allerdings auch E-Mails der Unternehmen veröffentlicht. Auch bei diesen Aktionen ging es Anonymous aber darum, die jeweiligen Unternehmen bloßzustellen beziehungsweise auf Korruption aufmerksam zu machen. Wenn, dann sollte ungeliebten Unternehmen oder Gruppen geschadet werden, nicht aber Kunden. Wer im Falle von Sonys Playstation Hack verantwortlich ist, weiß man vermutlich erst, falls die gestohlenen Daten missbraucht werden. Anonymous streiten eine Schuld in diesem Falle ab: „Diesmal waren wir es nicht“, lautet die Botschaft in einem Aktivisten-Blog.
Den Schaden trägt Sony in mehrfacher Hinsicht. Dass man mit dem Daten-GAU so spät an die Öffentlichkeit ging, ist auch ein PR-Gau. Durch den langen Ausfall wird man außerdem zahlende Kunden gegen sich aufbringen und ihnen finanziell entgegen kommen müssen. Wie man sich in Zukunft vor solchen Angriffen schützen kann? Wohl gar nicht. Datenbankverschlüsselung ist deswegen ein Thema, dem sich IT-Sicherheitsfirmen und große Datensammler zügigst annehmen müssen. Besser wäre ein Weg, die Daten gar nicht bei Unternehmen speichern zu lassen, sondern in Form eines digitalen Schlüsselbunds bei sich zu behalten.
(Jürgen Vielmeier)
