Auch SOE gehackt

Sony: Weitere 24 Millionen Gamer-Daten geklaut

Der gigantische Datendiebstahl bei Sony weitet sich aus: Wie der Konzern am Dienstag mitteilte, wurden nicht nur die rund 77 Millionen Kundendaten von Nutzern des Musik- und Videodienstes Qriocity sowie des PlayStation Network, sondern möglicherweise auch bis zu 24,6 Millionen Datensätze des Tochterunternehmens Sony Online Entertainment gestohlen, das für die Entwicklung von Online-Rollenspielen wie "EverQuest" oder "Star Wars Galaxies" verantwortlich zeichnet.

Unter den Datensätzen könnten laut Sony rund 12.700 Kreditkarten-Informationen und 10.700 Bankkonten-Daten von Nutzern sein. Auch Österreicher dürften dabei betroffen sein. Die Daten stammten aus einer "veralteten" Datenbank von 2007, hieß es. Der Konzern betonte, der Einbruch sei erst am Montag japanischer Zeit im Zuge der Ermittlungen zur Hacker-Attacke auf das PlayStation Network für Konsolenspieler sowie den Musik- und Videoservice Qriocity entdeckt worden.

Dienst vom Netz genommen
Bei Sony Online Entertainment (SOE) seien die Unbekannten bereits am 16. und 17. April eingedrungen, also noch vor der Attacke auf das PlayStation-Netz und Qriocity vom 17. bis 19. April. Wie zuvor schon die beiden anderen Internet-Angebote wurde auch der Dienst von Sony Online Entertainment vom Netz genommen und eine externe Sicherheitsfirma mit der Untersuchung des Vorfalls beauftragt. Zudem seien "unverzüglich Maßnahmen ergriffen" worden, "die Sicherheit unserer Netz-Infrastruktur zu erhöhen, um Ihnen die größtmögliche Sicherheit Ihrer persönlichen Daten zu gewährleisten", so Sony in einer offiziellen Mitteilung.

"Kreditkarten-Prüfnummer nicht gestohlen"
Bei den allgemeinen Kundendaten handle es sich - soweit bei der Anmeldung eingetragen - unter anderem um Namen, E-Mail-Adressen, Geburtsdatum, Login-Informationen und Telefonnummern. Darüber hinaus, so Sony, würden "Anhaltspunkte dafür vorliegen", dass die Kreditkarten- oder EC-Kartennummern mit entsprechenden Gültigkeitsdaten von schätzungsweise 12.700 "Nicht-US-Kunden" gestohlen wurden. Außerdem seien etwa 10.700 Lastschrifteinzugsdaten mit Kontonummern von Kunden aus Deutschland, Österreich, den Niederlanden und Spanien geklaut worden.

Die Kreditkarten-Sicherheitsnummern wurden nicht gestohlen, betonte Sony, da sich die Haupt-Kreditkartenbank "in einer vollständig abgetrennten und sicheren Umgebung" befinde.

Kunden sollen wachsam sein
Dennoch riet der Elektronikriese wie schon in den Tagen zuvor seinen Kunden zu erhöhter Vorsicht vor Betrügern, die per E-Mail, Telefon oder auf dem Postweg versuchen könnten, aus den gestohlenen Informationen Profit zu schlagen. Sony selbst, betonte das Unternehmen abermals, werde "in keiner Weise, auch nicht per E-Mail, nach Ihrer Kreditkartennummer, Sozialversicherungsnummer oder anderen persönlichen Informationen fragen. Wenn Sie nach solchen Informationen gefragt werden, können Sie sicher sein, dass Sie nicht von Sony danach gefragt werden".

Sobald die SOE-Dienste wieder vollständig wiederhergestellt sind, empfiehlt der Konzern den Nutzern "dringend", ihr Passwort zu ändern. Zur Vorbeugung möglicher Identitäts-Diebstähle oder finanzieller Einbußen rät Sony außerdem, wachsam zu sein sowie Kontoauszüge und Kreditkartenabrechnungen zu überprüfen.

Weitere Angriffe nicht auszuschließen
Sony-Sprecherin Sue Tanaka schloss nicht aus, dass noch mehr Daten geklaut werden könnten. "Es sind Hacker am Werk. Wir wissen nicht, wo sie als nächstes zuschlagen werden", sagte sie. Berichte, wonach die Täter dem Unternehmen angeboten haben sollen, Kreditkartendaten zurückzukaufen, wies Sony zurück. Die Passwörter der Kunden seien zwar nicht verschlüsselt gespeichert worden, aber auch nicht im Klartext entwendet worden, hieß es. Sie seien vielmehr mit einer kryptologischen Funktion (Hashfunktion) verschleiert worden.

Kritik an Krisenmanagement wird immer lauter
Experten werfen Konzernchef Howard Stringer und Sony indes mangelhaftes Krisenmanagement vor. "Wie Sony mit der ganzen Sache umging, zeigt, dass sie nicht in der Lage sind, mit Krisen umzugehen", sagte Michael On, Fondsmanager von Beyond Asset Management in Taipei. "Der derzeitige Vorstandschef sollte nach den Hacker-Problemen und dem Scheitern der Firma, wettbewerbsfähige Produkte zu liefern, zurücktreten." Stringer hat sich bis jetzt nicht zu den Vorfällen geäußert.

Verbeugung zur Entschuldigung
Sony hatte sich erst am Wochenende mit einer - für Japan typischen - tiefen Verbeugung bei den rund 77 Millionen Kunden von PlayStation Network und Qriocity entschuldigt und als Entschädigung für den Mega-Datenklau unter anderem Gratis-Downloads in Aussicht gestellt (siehe Infobox). Ob bei PlayStation Network und Qriocity auch Kreditkarten-Informationen gestohlen wurden, ist nach wie vor offen. Inzwischen wurde auch das FBI eingeschaltet, um bei der Suche nach den Tätern behilflich zu sein.