Sonstiges

Nach dem Hack: Größtes anzunehmendes Datenleck und Gesichtsverlust bei Sony

Der Hack in Sonys Unterhaltungsnetzwerken Playstation Network (PSN) und Qriocity dürfte der größte Daten-GAU der vergangenen Jahre sein. Erst eine Woche nach dem Hack ging Sony gestern damit an die Öffentlicheit. Ein noch unbekannter Hacker sei in der Zeit zwischen dem 17. und dem 19. April in Sonys Datenbanken eingedrungen und habe unter anderem Namen, E-Mail-Adressen und Postanschriften, Geburtsdaten, Passwörter, Sicherheitsfragen, Kaufgeschichte und möglicherweise auch Kreditkartennummern von mehr als 75 Millionen Kunden erbeutet. Wer dahinter steckt, ist noch unklar. Die Hackergruppe Anonymous hatte das PSN am 16. April mehrfach mit DDOS-Attacken überschwemmt, also versucht, das Netzwerk durch zu viele Anfragen in die Knie zu zwingen. Die Hacktivisten wollten sich damit für die Klage gegen einen Hackers rächen und Sony eine Lektion erteilen.

Der Diebstahl von Kunden- und gar Kreditkartendaten trägt allerdings nicht die Handschrift von Anonymous. Es ist denkbar, dass ein Dritter die vorübergehende Schwäche von Sony ausgenutzt hat, um in das Netzwerk einzubrechen. Ironie der Geschichte ist, dass das Playstation Network als eins der am besten gesicherten der Welt galt. Sony nahm PSN und Qriocity am 19. April (vergangenen Dienstag) ohne Angabe von Gründen für mehrere Tage vom Netz, um sich um das Problem zu kümmern. Die Dimensionen des Hacks wurden Sony eigenen Angaben nach erst nach mehreren Tagen bewusst. Dass die Diebe wohl genug Informationen gestohlen hatten, um damit Käufe auf Kosten der PSN-Kunden zu tätigen, will Sony demnach nicht gewusst haben. Die Kunden wurden eine geschlagene Woche im Unklaren gelassen. Und noch immer sind die Netzwerke offline; Sony hat noch nicht bekannt gegeben, wann sie wieder verfügbar sein sollen.

Die Anonymous-Attacke vor dem Hack galt als Rache für den Hacker George Hotz, den Sony für das Umgehen des Sicherheitsmechanismus der Playstation 3 verklagt hatte. Dem Hacker war es allerdings darum gegangen, dass Entwickler auch selbst geschriebene Spiele auf der beliebten Konsole installieren konnten. Sony und er einigten sich schließlich außergerichtlich darauf, dass Hotz die Software, die er dafür geschrieben hatte, nicht mehr vertreiben darf. Anonymous hatte in der jüngeren Vergangenheit Websites extremer Regierungen und Gruppen gehackt. Teilweise verbreiteten die Webguerilla dort politische Botschaften, teils bestand die Botschaft darin, die Server von Unternehmen, Regierungen oder politischen Gruppen in die Knie zu zwingen.


Neue Stellenangebote

Growth Marketing Manager:in – Social Media
GOhiring GmbH in Home Office
Senior Social Media Manager:in im Corporate Strategy Office (w/d/m)
Haufe Group SE in Freiburg im Breisgau
Senior Communication Manager – Social Media (f/m/d)
E.ON Energy Markets GmbH in Essen

Alle Stellenanzeigen


Sony trägt den Schaden, IT-Security muss reagieren

Im Falle des Hacks der Bank of America und der IT-Sicherheitsfirma HBGary Federal wurden von Anonymous allerdings auch E-Mails der Unternehmen veröffentlicht. Auch bei diesen Aktionen ging es Anonymous aber darum, die jeweiligen Unternehmen bloßzustellen beziehungsweise auf Korruption aufmerksam zu machen. Wenn, dann sollte ungeliebten Unternehmen oder Gruppen geschadet werden, nicht aber Kunden. Wer im Falle von Sonys Playstation Hack verantwortlich ist, weiß man vermutlich erst, falls die gestohlenen Daten missbraucht werden. Anonymous streiten eine Schuld in diesem Falle ab: „Diesmal waren wir es nicht“, lautet die Botschaft in einem Aktivisten-Blog.

Den Schaden trägt Sony in mehrfacher Hinsicht. Dass man mit dem Daten-GAU so spät an die Öffentlichkeit ging, ist auch ein PR-Gau. Durch den langen Ausfall wird man außerdem zahlende Kunden gegen sich aufbringen und ihnen finanziell entgegen kommen müssen. Wie man sich in Zukunft vor solchen Angriffen schützen kann? Wohl gar nicht. Datenbankverschlüsselung ist deswegen ein Thema, dem sich IT-Sicherheitsfirmen und große Datensammler zügigst annehmen müssen. Besser wäre ein Weg, die Daten gar nicht bei Unternehmen speichern zu lassen, sondern in Form eines digitalen Schlüsselbunds bei sich zu behalten.

(Jürgen Vielmeier)

Über den Autor

Jürgen Vielmeier

Jürgen Vielmeier ist Journalist und Blogger seit 2001. Er lebt in Bonn, liebt das Rheinland und hat von 2010 bis 2012 über 1.500 Artikel auf BASIC thinking geschrieben.

19 Kommentare

  • wer außer dem/den hacker/n weiß, wie lange das gedauert hat und ob es nicht vielleicht zufall ist, dass snp zu diesem zeitpunkt gehackt wurde. ich finde es immer wieder erstaunlich, das es menschen gibt, die solche wege finden.

  • Ich war heute auch total erschrocken, als ich von diesen News erfahren habe… Es bleibt spannend, was die Gauner mit den geklauten Daten machen..

  • Der Begriff „Gau“ ist unpassend, nicht wegen dem Atom-Fukushimablabla, sondern weil bei einem Gau die Sicherheitssysteme noch greifen und das Schlimmste verhindern. Das war ja bei Sony anscheinend nicht der Fall. Außerdem unschöne Dopplung von „größte(r)“ in Abs. 1 bei „größte Daten-GAU“.

  • Da wollen wir mal hoffen, dass dies bald auch bei facebook passiert und wir endlich diese Pest los sind…

  • Vor allem hat Sony den GAU doch erst einen Tag nach (!) der Veröffentlichung ihres neuen Tablets publik gemacht, und während der Veranstaltung kein einziges Wort darüber verloren. Da hat die PR-Maschine ja wieder voll gegriffen. Ja nich die Publicity zerstören!

  • Da ich selbst davon betroffen bin stellt sich auch mir die Frage wer denn nun der verantwortliche ist. Also leite ich die Frage an euch, falls einer sich mit dem internationalen Recht auskennt. Was macht man denn im Schadensfall? Alleine die KK zu sperren und eine neue zu beantragen ist nicht kostenfrei. In meinen Augen ist Sony mindestens genauso Schuld wie die Hacker und es sollte eine Maßrnklage geben die wiederum leider Nach dem detschen Rechtsystem nicht möglich ist.

    In meinen Augen hat sony damit immens an Vertrauen eingebüst.

  • 2011 ist sicher nicht das Jahr der Japaner.
    Aber hier ist Sony vermutlich selber Schuld , das Hacken der PS3 war solange kein Thema , solange die Leute ihr alternatives Betriebssystem installieren konnten.

  • Meiner Meinung nach hat sich der Konzern mit der Community angelegt und nun dafür die Quittung erhalten. Die unsichtbare Hand des Marktes hat auch diese Situation reguliert. Sony wird in Zukunft anders mit potenziellen Kunden umgehen.

  • Es ist eine Frechheit, dass Sony die Kunden erst nach 10 Tagen informiert. Ich bin schon gespannt wann, wo und in welcher Form die Daten „missbraucht“ werden.

    Jetzt bleibt noch abzuwarten ob Sony den Umgang bzw. die Informationspolitik mit der Community ändert.

  • Das ist natürlich ein sehr unpassender Moment für Sony wenn sie grad ihr Tablet rausbringen. Vielleicht waren die Hacker ja einfach Konkurrenten des Tablet Marktes..

  • Sicherlich ist es nicht zu entschuldigen, dass jetzt auch evtl. noch Kreditkartendaten gestohlen worden sind, doch muss sich Sony hier in erster Linie an die eigene Nase greifen. Wären sie nicht so rigeros gegen den Hacker des PS3-OS vorgegangen, hätte Anonymous auch nicht den Angriff gestartet – selbst Schuld würde ich sagen.
    Im Übrigen das Ganze erst nach 10 Tagen zuzugeben ist ein Armutszeugnis!

  • Tatsächlich ist zehn Tage eine lange Frist, bedenkt man die Brisanz der Daten. Auf der anderen Seite arbeiten auch bei Sony nur Menschen, und Fehler passieren immer wieder. Ich hoffe allerdings schwer, dass Sony die Kosten für die zu sperrenden Kreditkarten findet und sich bei den Geschädigten in irgendeiner Form entschuldigt, das gebietet in meinen Augen der gesunde Menschenverstand.