Mega-Klau

Hacker stehlen Millionen Sony-Kundendaten

Daten-Fiasko bei Sony: Persönliche Informationen von weltweit rund 77 Millionen Kunden des japanischen Elektronikkonzerns sind in die Hände von Cyber-Kriminellen gefallen. Betroffen sind Nutzer des PlayStation Network (PSN) und des Video- und Musikservices Qriocity. Nicht auszuschließen ist, dass auch Kreditkarten-Daten ausspioniert wurden. In Österreich wurden die Daten von 410.000 PSN-Konten gestohlen.

"Wir mussten feststellen, dass in der Zeit vom 17. April bis zum 19. April 2011 bestimmte Services des PlayStation Network sowie Qriocity mittels illegalen und unberechtigten Eingreifens in das Netzwerk angegriffen wurden", teilte Sony am Mittwoch in einem Blog-Eintrag mit.

Sämtliche Online-Dienste seien daraufhin abgeschaltet und eine externe Sicherheitsfirma mit der "vollständigen und lückenlosen" Untersuchung beauftragt worden. Außerdem, so Sony weiter, hätten Entwickler damit begonnen, das gesamte System umzubauen, "um die Struktur des Netzwerkes zu stärken". PS3-Nutzer können bis zur Wiederherstellung des Netzwerks ihre Konsolen nur noch offline nutzen.

Guido Alt, Sprecher von Sony Deutschland, rechtfertigte die vollständige Abschaltung der Dienste. "Das ist zwar ein radikaler Schritt, aber so haben wir sichergestellt, dass niemand mehr auf die Daten zugreifen kann." Zudem schließe Sony nicht nur Lücken, sondern baue "eine komplett neue Sicherheitsstruktur". Das koste Zeit. Alt bezeichnete den Diebstahl gegenüber der Nachrichtenagentur dpa als "gezielten Angriff von außen" und sprach von einer "kriminellen Dimension". Zugleich kündigte das Unternehmen an, "aggressiv" vorzugehen, "um die Verantwortlichen zu finden."

Kreditkarten-Daten betroffen?
Auch wenn derzeit noch nicht alle relevanten Details zu dem Vorfall vorliegen würden, dürften sich die Hacker Zugriff auf Name, Adresse (Stadt, Bundesland, Postleitzahl), Land, E-Mail-Adresse, Geburtsdatum sowie Passwörtern der Sony-Dienste verschafft haben.

Es könne darüber hinaus möglich sein, dass auch Profilangaben inklusive Kaufhistorie und Rechnungsanschrift sowie die Sicherheitsfragen zum Passwort der Nutzer abgerufen wurden, heißt es im Blog weiter. Obwohl es derzeit keine Anzeichen dafür gebe, dass auch Kreditinformationen geklaut wurden, "können wir diese Möglichkeit nicht gänzlich außer Betracht lassen", warnte Sony.

"Falls Sie Ihre Kreditkarteninformationen im PlayStation Network oder Qriocity angegeben haben, möchten wir Sie sicherheitshalber darüber benachrichtigen, dass auf Ihre Kreditkartennummer (exklusive Ihres Sicherheitscodes) sowie auf die Gültigkeitsdauer zugegriffen werden konnte."

Nutzer sollen "besonders wachsam" sein
Zur Sicherheit empfiehlt der Hersteller allen Kunden, "besonders wachsam vor potenziellen Gaunereien via E-Mail, Telefon und Post zu sein, in denen persönliche, private Informationen ausgehorcht werden". Sony selbst werde Nutzer in keiner Form kontaktieren - auch nicht per E-Mail -, um Kreditkarten-, Sozialversicherungs-, Steuernummern oder andere Informationen zur Person zu erfragen, versicherte das Unternehmen.

Den weltweit rund 77 Millionen Nutzern von Qriocity und PlayStation Network empfiehlt der Konzern, beim nächsten Einloggen das Passwort zu ändern sowie Kontoaktivitäten und Kontoauszüge zu überwachen und zu überprüfen. Sollten Benutzername oder Passwort auch für andere unabhängige Dienste oder Konten verwendet werden, empfiehlt Sony "eindringlich", auch diese zu ändern.

410.000 Nutzer in Österreich betroffen
Wie viele Gamer in Österreich von dem Vorfall betroffen sind, hatte Sony zunächst verschwiegen; erst am Mittwochabend rückte das Unternehmen konkrete Zahlen heraus. Demnach wurden hierzulande die Kontoinformationen von 410.000 PS3- und PSP-Besitzern geklaut, 40.000 davon beinhalteten auch sensible Kreditkarteninformationen. Laut Marlies Frey, Sprecherin von Sony Österreich, sollen User in den nächsten Tagen per Mail über die weiteren Schritte informiert werden. Aktuelle Informationen können auch über die offizielle Homepage abgerufen werden. Betroffene können sich zudem telefonisch unter der Nummer 0820-444540 an Sony wenden.

Kreditkartenanbieter geben Entwarnung
Heimische Kreditkartenanbieter geben indes Entwarnung. "Es gibt derzeit keinen dokumentierten Fall von Betrug", erklärte Thomas von der Gathen, Sicherheitsexperte bei Paylife. Das Betrugsfrühwarnsystem des Unternehmens würde einen Diebstahl in der Regel bereits vor dem Kunden erkennen und gegebenenfalls eingreifen. Falls tatsächlich ein fremder Umsatz aufscheine, solle sofort Kontakt zu Paylife aufgenommen werden. Entweder werde der Betrag gar nicht ab- oder schnell zurückgebucht. Verdächtige Transaktionen könnten 42 Tage lange schriftlich reklamiert werden, so Von der Gathen.

Ähnlich die Situation bei Card Complete: "Derzeit haben wir keine Informationen darüber, dass Kunden betroffen sind", sagte Unternehmenssprecher Georg Huemer. Die Betrugsabteilung achte allerdings vermehrt auf ungewöhnliche Transaktionen. Kunden, die nicht nachvollziehbare Abbuchungen auf ihrer Abrechnung sehen, sollten innerhalb von 30 Tagen nach Rechnungslegung schriftlich bei Card Complete reklamieren. "Kunden müssen in Österreich selbst im Falle eines entstandenen Schadens nicht haften", so Huemer.

Möglicherweise Racheakt wegen Klage gegen Sony-Hacker
Wer hinter der folgenschweren Attacke steht, ist noch unklar. Eine Vermutung ist, dass der Angriff ein Racheakt aus der Szene gewesen sein könnte: Der 21-jährige Hacker George Hotz alias "Geohot" hatte auf seiner Website einen PS3-Sicherheitsschlüssel zum Download angeboten und war daraufhin von Sony geklagt worden. Mit diesem sogenannten Root-Key ließt sich der Kopierschutz der Konsole aushebeln.

Vor wenigen Wochen einigten sich Sony und der Hacker außergerichtlich. Hotz versprach, sich nie wieder - weder als Einzelperson noch in einer Gruppe - an den Sony-Sicherheitssystemen zu schaffen zu machen (siehe Infobox). Kurz darauf kündigte er in seinem Blog an, sich einem Boykott von Sony-Produkten anzuschließen.