von Julian Dasgupta,

PSN: Daten-GAU möglich *Update*

PlayStation Network (Service) von Sony
PlayStation Network (Service) von Sony - Bildquelle: Sony


Originalnews vom 26. April

Vor knapp einer Woche
hatte Sony alle zentralen PSN- und Qriocity-Dienste vom Netz genommen. Man müsse die Sicherheitsmechanismen der Plattform überarbeiten und klären, welche Bereiche betroffen seien.

Nachdem es am Montag noch hieß, man könne noch nicht sagen, ob auch auf Nutzerdaten zugegriffen wurde, muss der Hersteller jetzt auf dem PlayStation-Blog einräumen: Der größte anzunehmende Problemfall könnte eingetreten sein.

Man glaube, dass sich die verantwortliche Person beim unerlaubten Zugriff (17. bis 19. April) auch Zugang zu den PSN-/Qriocity-Nutzerdaten verschafft habe. Dies betreffe sämtliche Daten, die die Nutzer in ihrem Konto hinterlegt haben. Neben persönlichen Daten wie Namen, Adresse oder E-Mail-Adresse und dem Geburtstag könnten auch Daten wie das Login (Passwort, ID, Sicherheitsfrage) und die Einkaufsliste stibitzt worden sein. Es gebe momentan noch keinen Hinweis darauf, dass auch Kreditkartendaten entwendet wurden - ausschließen könne man das aber zum jetzigen Zeitpunkt nicht. In einem solchen Fall wäre der Hacker jetzt im Besitz der Kartennummer und des Gültigkeitsdatums, nicht aber des Sicherheitscodes.

Sony warnt vor eventuellen Betrugsversuchen, die per Telefon, Post oder E-Mail getätigt werden könnten. Sony werde niemals persönlich Nutzer kontaktieren und nach Informationen wie der Kreditkarte oder anderen privaten Daten fragen.

Es sei ratsam, seine PSN-Daten sofort zu ändern, sobald das System wieder online ist. Man könne allerdings immer noch nicht sagen, wann das der Fall sein wird - man rechne allerdings damit, dass "einige der Dienste innerhalb einer Woche" wieder ans Netz gehen.

(Anm. d. Red.: Sollte jemand sein PSN-Passwort auch bei anderen Diensten verwendet haben, die mit dem Nutzer oder seiner E-Mail-Adresse assoziiert werden können, dann sei an dieser Stelle natürlich empfohlen, auch bei jenen Anbietern das Passwort und ggf. die Sicherheitsfrage zu ändern.)

Update: Mittlerweile wurde auch das deutsche PlayStation-Blog aktualisiert. Neben der übersetzten Mitteilung findet sich auch ein Verweis auf das folgende FAQ. Der vollständige Text ist auch am Artikelende zu finden.

Update 27. April: Nach dem Eingeständnis Sonys dauerte es erwartungsgemäß nicht lange, bis die ersten kritischen Stimmen laut wurden. So hat der Umstand, dass Sony die Nutzer erst eine Woche nach dem Einbruch über den wahrscheinlichen Datenklau informiert hat, selbst dem US-Senator Richard Blumenthal zu denken gegeben, der in einem offiziellen Brief an SCEA-Präsident Jack Tretton um Aufklärung bittet.

In einer weiteren Botschaft versichert der Hersteller, man sei sich erst am Montag der Art und des vollen Umfangs des Einbruchs bewusst gewesen. Erfahren habe man dies durch eine "forensische Analyse", die externe Experten in den Tagen zuvor durchgeführt hatten. Vor einer Woche habe man lediglich gewusst, dass es jemandem gelungen war, in das System einzudringen. Daraufhin war dann beschlossen worden, die Dienste herunterzufahren, um die Situation zu untersuchen.

Aus juristischer Sicht dürfte Sony kein Interesse daran gehabt haben, Informationen über den Datenklau bewusst zurückzuhalten: Nach kalifornischer Gesetzeslage sind alle in jenem Bundestaat operierenden Unternehmen und Behörden, die Personendaten elektronisch speichern, dazu verpflichtet, alle dort wohnhaften betroffenen Personen sofort und ohne unzumutbare Verzögerung zu benachrichtigen, falls die Daten jemals in unverschlüsselter Form in falsche Hände geraten sein sollten.

Update: Ob/wann sich der hiesige Bundesbeauftragte für den Datenschutz mit dem Vorfall beschäftigen wird, ist noch nicht bekannt. In Großbritannien hat der offizielle Information Commissioner laut Eurogamer.net schon mal verlauten lassen, dass Sony ein paar Fragen beantworten muss hinsichtlich der genauen Umstände des Diebstahls und der Art und Weise, wie die Daten überhaupt gesichert wurden.

Was ist eigentlich mit den Kundendaten von Sony Online Entertainment? Sony's MMO-Sparte hatte die eigenen Server in der vergangenen Woche ebenfalls sicherheitshalber vom Netz genommen. Es handelt sich dabei allerdings um ein separates System, das nicht direkt mit dem PSN zusammenhängt. Laut einer gestrigen Verlautbarung gibt es bis dato keinerlei Hinweis darauf, dass auch dort Daten entwendet wurden. Man behalte die Situation natürlich weiter im Auge.

Update: Die Kollegen von Spiegel Online haben sich heute auch schon mehrfach mit dem Vorfall auseinandergesetzt. Für den jüngsten Bericht hat man bei einigen Sicherheitsexperten nachgehakt. So mutmaßt Alan Paller von Sans Institure gegenüber Reuters, dass es sich angesichts des Umfangs - laut Sony gibt es 75 Mio. PSN-Konten - um den bis dato größten Diebstahl von Personendaten handeln dürfte. Ein Datenklau mit jenem Ausmaß sei nur möglich, "wenn jemand schlampt", merkt Sascha Pfeiffer von Sophos an.

Vermutlich hätten die Täter versucht, über gezielte Fishing-Versuche an Zugangsdaten von Sony-Mitarbeitern zu gelangen, die eine Zugriffsberechtigung für die Kundendaten haben. Ein politisches Motiv hält Pfeiffer für unwahrscheinlich - er geht davon aus, dass die Daten bereits an einen Zwischenhändler verkauft wurden. Manche Anbieter würden 5 bis 10 Cent pro Adresse zahlen. Die PSN-Daten seien durchaus wertvoll, da viele der dort registrierten Emailadressen auch tatsächlich genutzt würden. Auch bei Phishing-Banden könnte man sich aufgrund der Login-Daten für das Paket interessieren, da viele Nutzer Passwörter oder Sicherheitsfragen auch bei anderen Diensten verwenden.

Sollten Kreditkartendaten entwendet worden sein - das kann Sony zumindest derzeit nicht vollständig ausschließen -, so würden Gauner jene Daten vermutlich nicht sofort nutzen, sondern abwarten, bis das Thema medial wieder abgeklungen ist und die Leute die Abbuchungsvorgänge weniger aufmerksam verfolgen. Da man die Sicherheitsmechanismen der Kreditkartenanbieter kennt, sei es eher wahrscheinlich, dass dann kleinere, statt große und auffällige Geldbeträge abgebucht werden.

Update: Knapp einen Tag nach der Veröffentlichung der Mitteilung auf dem PlayStation-Blog hat Sony jetzt wohl damit begonnen, PSN- und Qriocity-Nutzer auch per Email zu informieren.

Update: So überraschend wie die Dunkelheit bei Nacht: Nicht einmal 24 Stunden nach Sonys Eingeständnis wurde bereits die erste Sammelklage gegen den Hersteller eingereicht. Wie zu erwarten wird dem Unternehmen vorgeworfen, man habe es nicht geschafft, mit Hilfsmitteln wie Firewalls oder Verschlüsselung eine angemessene Sicherheit der gespeicherten Personen- und Finanzdaten zu gewährleisten. Auch wird Sony mit Verweis auf die PSN-Privacy Policy vorgeworfen, die eigene Plattform irreführend beworben (false advertising) zu haben, hätte man doch den Eindruck vermittelt, man sei in der Lage, sensible Daten sicher zu verwahren. Der Hersteller sei sich des Umfangs des Schadens schon früher bewusst gewesen, habe die Kunden aber nicht umgehend in Kenntnis gesetzt, wird da auch behauptet. Dabei bezieht man sich u.a. auch auf die oben bereits geschilderte Gesetzeslage, da nicht wenige der PSN-Nutzer schließlich auch in Kaliforniern wohnhaft seien.

Wie üblich wird Ersatz für alle tatsächlich entstandenen und nachweisbaren Schäden/Kosten sowie weitere, nicht genauer bezifferte Ausgleichszahlungen gefordert. Auch müsse das Gericht Sony verbieten, weiterhin irreführende Werbung zu verbreiten und "gesetzeswidrige und unfaire Geschäftspraktiken" zu verwenden.

Die 22-seitige Klageschrift kann hier (PDF) eingesehen werden. Der Natur der Sammelklage ermöglicht es anderen US-Bürgern, sich dem Verfahren anzuschließen.

***************

Geschätzte PlayStation Network und Qriocity Kunden,

wir mussten feststellen, dass in der Zeit vom 17. April bis zum 19. April 2011 bestimmte Services des PlayStation Network sowie Qriocity mittels illegalen und unberechtigten Eingreifens in das Netzwerk angegriffen wurden. Als Folge dieser Eingriffe haben wir:

1. vorübergehend sämtliche PlayStation Network und Qriocity Services ausgeschaltet;
2. eine außenstehende, anerkannte Sicherheitsfirma damit beauftragt, eine vollständige und lückenlose Untersuchung zu den Geschehnissen durchzuführen;
3. zügig alle notwendigen Schritte unternommen, um die Sicherheit zu verbessern sowie um die Struktur des Netzwerkes zu stärken, indem das gesamte System umgebaut wurde, um eine optimale Sicherung Ihrer persönlichen Daten zu gewährleisten.


Wir schätzen aufs Äußerste Ihre Geduld, Ihr Verständnis sowie Ihre Kulanz, während wir alles nur mögliche tun, um diese Angelegenheit schnellst- und bestmöglich aufzuklären und zu bearbeiten.

Auch wenn wir derzeit noch bei der Untersuchung aller relevanten Details zu dem Vorfall sind, meinen wir, dass sich eine unbefugte Person Zugriff zu folgenden persönlichen Daten verschaffen konnte: Name, Adresse (Stadt, Bundesland, Postleitzahl), Land, E-Mail Adresse, Geburtsdatum, PlayStation Network/ Qriocity Passwort und Login sowie PSN Online ID. Es kann darüber hinaus möglich sein, dass auch Ihre Profilangaben inklusive Ihrer Kaufhistorie und Ihrer Rechnungsanschrift (Stadt, Bundesland, Postleitzahl) sowie die Sicherheitsfragen zu Ihrem Passwort widerrechtlich abgerufen wurden. Falls Sie einem zweiten Konto für einen Unterhaltsberechtigten zugestimmt haben, kann es sein, dass oben genannte Angaben Ihres Unterhaltsberechtigten ebenfalls angeeignet wurden. Obwohl es derzeit keine Anzeichen dafür gibt, dass auf Kreditkarteninformationen widerrechtlich zugegriffen wurden, können wir diese Möglichkeit nicht gänzlich außer Betracht lassen. Falls Sie Ihre Kreditkarteninformationen im PlayStation Network oder Qriocity angegeben haben, möchten wir Sie sicherheitshalber darüber benachrichtigen, dass auf Ihre Kreditkartennummer (exklusive Ihres Sicherheitscodes) sowie auf die Gültigkeitsdauer zugegriffen werden konnte.

Für Ihre eigene Sicherheit möchten wir Sie inständig bitten, besonders wachsam vor potenziellen Gaunereien via E-Mail, Telefon und Post zu sein, in denen persönliche, private Informationen ausgehorcht werden. Sony wird Sie in keiner Form kontaktieren – auch nicht per E-Mail -, um Kreditkarten-, Sozialversicherungs-, Steueridentifikationsnummern oder andere Informationen zur Person zu erfragen. Sollten Sie danach gefragt werden, können Sie sich sicher sein, dass Sony nicht der Adressat der Anfrage ist. Sobald das PlayStation Network und alle Qriocity Services vollständig wieder hergestellt sind, empfehlen wir Ihnen eindringlich, nach dem Einloggen Ihr Passwort zu ändern. Sollten Sie darüber hinaus den Benutzernamen oder das Passwort, welchen/-s Sie im PlayStation Network oder Qriocity nutzen, auch für andere unabhängige Dienste oder Konten verwenden, empfehlen wir Ihnen eindringlich, auch diese zu ändern.

Um sich vor möglichem Identitätsdiebstahl oder finanziellem Verlust zu wappnen, bestärken wir Sie, Ihre Kontoaktivitäten wachsam zu überprüfen und sämtliche Kontoauszüge zu überwachen.

Wir bedanken uns für Ihre Geduld, während wir unsere Ermittlungen abschließen und bedauern die entstandenen Unannehmlichkeiten. Unsere Mitarbeiter arbeiten ununterbrochen daran, unsere Services schnellstmöglich wieder zu Verfügung zu stellen. Sony nimmt die Wahrung persönlicher Daten äußerst ernst und wird daher weiter unablässig daran arbeiten, zusätzliche Sicherheitsmaßnahmen zu ergreifen, damit die sensiblen persönlichen Daten gesichert sind. Unsere höchste Priorität ist, Ihnen als Kunden Qualität und sichere Unterhaltungsservices zu bieten. Kontaktieren Sie uns bitte unter de.playstation.com/psnoutage sollten Sie irgendwelche zusätzlichen Fragen haben.

Mit freundlichen Grüßen,

Sony Network Entertainment und die Sony Computer Entertainment Teams



Kommentare

SENSENMANN71 schrieb am
Gott sei Dank hatte ich mir damals nur eine Prepaid-KK zugelegt,da mir seit jeher diese Zahlungsmethode im Internet zu heikel war.
Nach ner Weile ging die dann im PSN nicht mehr.Beim Versuch die Daten erneut einzugegen kam immer eine Fehlermeldung,daß die Angaben nicht richtig seien.Dementsprechend sollten da keine Daten mehr abgreifbar sein,denke ich.Und falls doch,dann kann man eh nix damit anfangen,weil die Karte leer ist.äääätsch - ihr scheiß Hacker/Cracker
Willmehr schrieb am
Genau....in beiden Fällen ist die alte Karte wertlos...etwas anderes habe ich nie behauptet....Danke.
Deszaras schrieb am
abdi5 hat geschrieben:Zum glück ist mir so was nicht passiert 8)
Hui, toller Kommentar. Das er von einem "Cell go to Hell" und "Masterchief Rulez" Benutzer kommt hat nichts zu sagen, oder?
Im Nachhinein ist man immer schlauer, aber davon abgesehen erwarte ich von "seriösen" Betreibern wie Live, PSN und Steam das meine Daten sicher sind.
Ich habe keine Ps3, ich habe nicht einmal eine Kreditkarte, aber jetzt auf allen Betroffen rumzuhacken und "Boah ich bin so toll, mir ist das nicht passiert" zum gefühlten 100 mal zu posten hilft ja ungemein weiter :roll:
Mindflare schrieb am
Willmehr hat geschrieben:@chilli....wo bitte soll denn dann der Unterschied zwischen "Sperren" und "neu Beantragen" bestehen. Du solltest in diesem Fall vieleicht dein Halbwissen ein wenig aufpolieren.
Sperren verhindert den zugriff auf die alte Karte
Neu beantragen verschafft dir eben neue Daten.
Dazwischen existiert dann noch die Ersatzkarte mit gleicher Nummer, aber anderer Gültigkeit/Sicherheitsnummer.
schrieb am