Mega-Datenraub bei Sony

SICHERHEIT Adresse, Kreditkartennummer, Passwörter: Über 70 Millionen Playstation-Besitzer müssen um persönliche Informationen bangen. Ein Racheakt der Hacker-Szene?

VON RASMUS CLOES

BERLIN taz | Knapp eine Woche blieb Sonys Onlinespiele-Plattform offline, und niemand wusste, was los war. Am späten Dienstagabend gab der Konzern in Firmenblogs bekannt: Unbekannte sind in das Netzwerk eingedrungen und haben auf die Nutzerdaten zugegriffen.

„Wir haben 77 Millionen Kunden. Wer von der Attacke direkt betroffen ist, wissen wir noch nicht“, sagt Guido Alt, Pressesprecher von Sony Computer Entertainment Deutschland. Potenziell könne es jeder Onlinekunde sein – also die Besitzer einer Playstation 3 oder einer Playstation Portable, die ein Konto für Sonys Spiele-Plattform haben.

Die Angreifer hätten Name, Adresse, Land, E-Mail-Adresse, Geburtsdatum sowie Passwörter und Login-Daten der Kunden sehen können, warnte Sony. Auch Kreditkarten-Informationen könnten von den Angreifern erbeutet worden sein. „Obwohl es derzeit keine Anzeichen dafür gibt, dass auf Kreditkarten-Informationen widerrechtlich zugegriffen wurde, können wir diese Möglichkeit nicht gänzlich ausschließen“, so Alt. Etwas beruhigen könne er die Nutzer jedoch. Der Sicherheitscode der Karten, der CCV-Code, der für alle Internetbestellungen nötig sei, könne nicht gestohlen worden sein.

„Das bringt aber nur scheinbare Sicherheit“, meint Andreas Bogk, Pressesprecher des Chaos Computer Club, da „der CVV-Code nur dreistellig ist“. Beim Raten sei also die Chance 1 zu 1.000. „Geht man davon aus, dass 50 Millionen Nummern geklaut wurden und man nur einmal raten kann, bevor es auffällt, dann kommt man auf 50.000 funktionierende Kreditkarten“, so Bogk. Die Vorgehensweise deute eher auf einen professionellen Angriff hin. Das widerspricht dem im Internet kursierenden Gerücht, es handle sich um einen Racheakt aus der Hacker-Szene.

Der Hintergrund dieses Gerüchts ist Sonys striktes Vorgehen gegen Versuche, seine Konsolen zu manipulieren. Dem deutschen Playstation-Hacker „Graf_Chokolo“ etwa drohte der Konzern mit einer Geldbuße von 750.000 Euro. „Chokolo“ machte es möglich, Linux wieder auf der Playstation 3 zu nutzen, was Sony verboten hatte. Der Konzern erstattete Anzeige gegen „Chokolo“. Die Wohnung des Hackers wurde von der Polizei durchsucht, sein Equipment beschlagnahmt.

Auch gegen den Hacker „GeoHot“ ging Sony vor. Dieser knackte den Schutzmechanismus der Konsole, so dass kopierte und selbst gemachte Spiele auf ihr liefen. Die Anleitung dazu veröffentlichte er im Internet. Aufgrund der Klage gegen „GeoHot“ rief die Gruppe Anonymous im April dazu auf, das Playstation-Netzwerk mit massenhaften Zugriffen lahmzulegen. Der Versuch gilt als gescheitert.

Dass es eine Racheaktion gewesen sei, glaube er nicht, so Sony-Pressesprecher Alt. „Es war ein gezielter, gut geplanter Angriff, mit hoher krimineller Energie. Ein ganz anderes Niveau als die Attacke von Anonymous vor einigen Wochen.“ Die Hacker waren vom 17. bis zum 19. April in die Datenbanken eingedrungen. Seitdem sind die Server abgeschaltet. „Wir wollten sichergehen, dass niemand auf das Netzwerk zugreifen kann“, so Alt.

Schon vor den Attacken stand Sony in der Kritik, schlecht mit Nutzerdaten umzugehen. So berichtete der Internetdienst Gulli.com Mitte April, dass ein deutscher Playstation-Besitzer Klage eingereicht hatte. Er warf dem Konzern ein knappes Dutzend an Verstößen gegen geltendes EU-Recht vor, darunter zahlreiche Datenschutzverletzungen. Zahlt man ein Spiel etwa mit Kreditkarte und gibt seinen CVV-Code an, so braucht man diesen bei keinem weiteren Kauf mehr anzugeben. Sony speichert den Sicherheitscode, was nach internationalen Normen verboten ist.