von Julian Dasgupta,

PSN: Kosten, SDK-Update & neue FAQ

PlayStation Network (Service) von Sony
PlayStation Network (Service) von Sony - Bildquelle: Sony


Originalnews vom 28. April

Am Dienstag hatte sich Sony nur per PlayStation-Blog und FAQ geäußert - seit gestern hat man dann damit begonnen, sämtliche PSN- und Qriocity-Nutzer per E-Mail über die Situation zu informieren.

Dass es nicht einmal einen ganzen Tag dauerte, bis die erste Sammelklage in den USA eingereicht wurde, dürfte kaum jemanden überraschen. In der Klageschrift wird Sony fahrlässiges, aber auch betrügerisches Verhalten vorgeworfen. Der Konzern habe es nicht geschafft, eine angemessene Sicherung der Daten zu gewährleisten. Auch seien die Nutzer viel zu spät über den Vorfall aufgeklärt worden. Das PSN sei zudem irreführend beworben worden, wird doch in der Privacy Policy zugesichert, dass man die Daten sicher verwahrt und vor unerlaubtem Zugriff schützt. Neben einem noch nicht näher bezifferten allgemeinen Schadenersatz müsse Sony auch für alle entstandenen und nachweisbaren Schäden bei den Nutzern aufkommen.

Bei Edge verweist man darauf, dass Sony laut der eigenen PSN-Nutzungsbedingungen keinerlei Haftung für den Fall übernimmt, dass die gespeicherten Daten in fremde Hände geraten. Da derartige Nutzungsbedingungen allerdings rechtlich keineswegs unanfechtbar sind, sei jene Passage kein Freibrief. Sollten z.B. einige der Daten in Großbritannien gespeichert worden sein, dann wäre der Datenklau auch ein Fall für den dort gültigen Data Protection Act und könnte mit einem Bußgeld von bis zu 500.000 Pfund geahndet werden - unabhängig von den Nutzungsbedingungen der Plattform.

Eine ganz andere Zahl kursiert bei Forbes, wo man mal bei Ponemon Institute nachgefragt hat. Schlüsselt man die 2010 durch Datenverluste bzw. Diebstahl verursachten Schäden auf, so seien pro betroffenem Datensatz/Konto Kosten von 318 Dollar entstanden. (Wer etwas sucht, sieht allerdings, dass die Datensicherheitsspezialisten die Kosten vor anderhalb Monaten noch mit 214 Dollar beziffert hatten, Anm. d. Red.) Jene Abschätzung schließe neben dem direkten Schaden auch Prozesskosten sowie den Schaden durch den potenziellen Image- und Kundenverlust mit ein. Basierend auf der Zahl der PSN-Konten könnte das Debakel laut jener vielleicht etwas wie eine Milchmädchenrechnung wirkenden Kalkulation Sony bis zu 24 Mrd. Dollar kosten.

Das Branchenmagazin Gamasutra will mittlerweile von eigenen Quellen erfahren haben, dass Sony Entwickler darum bittet, die Software auf den DevKits zu aktualisieren. Das SDK-Update soll erfolgen, bevor die PSN-Server wieder ans Netz gehen. Wann genau das aber geschehen soll, sei auch den Entwicklern nicht mitgeteilt worden. Der Patch der Entwicklungswerkzeuge ist natürlich nicht zwingend ein Beweis dafür, dass - wie von manchen vermutet - eine DevNet-Lücke im Zusammenspiel mit der Rebug-Firmware den Hackern Tür und Tor geöffnet hat; im Rahmen des Umbaus der Sicherheitsmechnismen und der Datenbanken dürfte Sony auch Änderungen an den Softwareschnittstellen eingeplant haben.

Neue Infos von Sony

Sony selbst hat mittlerweile eine neue FAQ auf dem PlayStation-Blog gepostet, die bis dato nur in einer englischsprachigen Fassung vorliegt. Dort werden einige Fragen beantwortet, zu denen sich das Unternehmen gestern noch nicht geäußert hatte.

So wird u.a. gefragt: Waren die persönlichen Daten verschlüsselt? Sämtliche Daten seien "geschützt" gewesen, heißt es da. Der Zugang sei sowohl in physischer Form, aber auch durch die Sicherheitsebene beschränkt gewesen. Der Datensatz mit den Kreditkartendaten sei verschlüsselt und es gebe bis dato kein Anzeichen dafür, dass dort Daten entwendet wurden. Wie am Dienstag heißt es auch hier: Man könne eine Datenklau aber auch nicht zu 100 Prozent ausschließen, selbst wenn es derzeit kein Indiz dafür gibt. In jedem Fall seien aber nur die Kartennummer, das Gültigkeitsdatum, nicht aber der Sicherheitscode in der Datenbank abgelegt worden.

Die allgemeinen Personendaten wären in einem separaten, aber nicht verschlüsselten Datensatz gespeichert worden. Auch dieser habe sich hinter einem "ausgeklügelten Sicherheitssystem" befunden, welches aber im Rahmen des Angriffs durchbrochen wurde.

Nochmals wird den Nutzern geraten, achtsam zu sein bezüglich Betrugsversuchen per Post, E-Mail oder Telefon. Sony selbst werde niemals persönlich Kunden kontaktieren und um persönliche Daten, Kreditkartendaten oder die Sozialversicherungsnummer bitten. Generell solle man das PSN-Passwort ändern, sobald die Server wieder online sind. Sollte man Passwörter und Zugangsnamen auch bei anderen Diensten verwendet haben, sollte man sie auch dort umstellen. Zudem sei es ratsam, sämtliche Abbuchungsvorgänge über die Kreditkarte im Auge zu behalten.

Sony habe nun mehrere Maßnahmen durchgeführt, um die Sicherheit der Daten zu erhöhen. Neben diversen Erweiterungen und Verbesserungen der Infrastruktur der Plattform  werde man das Datencenter gar zu einen neuen, noch sichereren Ort verlegen. Der Umzug sei schon im Gange.

Man sei schon eifrig dabei, mit einem "anerkannten" Sicherheitsunternehmen und in Zusammenarbeit mit den Strafvollzugsbehörden nach den Verantwortlichen für den Datenklau zu fahnden. Laut Reuters hat sich Sony deswegen u.a. mit dem FBI in Verbindung gesetzt.

Hinsichtlich der PSN-Verfügbarkeit heißt es wie schon zuvor: Man gehe davon aus, dass einige der Dienste innerhalb der nächsten sechs Tage wieder ans Netz gehen werden. Generell gehe die Sicherheit des Systems aber vor - der Hersteller werde die Server erst dann wieder ins Internet lassen, wenn man überzeugt davon ist, dass kein weiterer Schaden droht.

Wer die bisherigen Vorgänge rund um den PSN-Ausfall nachlesen will, wird hier und hier fündig.

Update: Auf Anfrage von Eurogamer.net lässt Microsoft pflichtgemäß verlauten, die Sicherheit von Xbox Live und der Nutzerdaten habe stets allerhöchste Priorität beim Hersteller. Das Situation bei der Konkurrenz will man in Redmond nicht direkt kommentieren.

Dass auch Xbox Live nicht komplett gegen Missbrauch abgeschottet werden kann, zeigte eine gestrige Mitteilung Microsofts, in der man vor potenziellen Phishing-Versuchen warnt, die einen in Form von Nachrichten erreichen können, während man Call of Duty: Modern Warfare 2 spielt. Man sei sich des Problems bewusst und arbeite an einer Lösung. Die Lücke sei aber spielspezifisch und nicht in Xbox Live verortet, heißt es. Die Kollegen verweisen auch darauf, dass Microsoft kurzzeitig den Bannstrahl für modifizierte Systeme aufgehoben hatte und mutmaßen, dass der Hersteller angesichts des PSN-Einbruchs ein paar Sicherheitstests durchgeführt hat.

Mittlerweile hat sich auch George 'geohot' Hotz zu Wort gemeldet und merkt an, er habe nichts mit dem Datenklau zu tun - er sei schließlich nicht verrückt und habe keine Lust darauf, mit dem FBI Bekanntschaft zu machen. Er finde es gut, Geräte zu knacken und Homebrew-Software laufen zu lassen - sich in einen anderen Server reinzuhacken und Nutzerdaten zu klauen, sei hingegen "nicht cool". Damit lasse man die Hacker-Community schlecht aussehen - selbst wenn "Trottel wie Sony" das Ziel sein sollten.

Auch der Rest des Beitrags deutet dann an, dass die Bedingungen der außergerichtlichen Einigung mit dem Hersteller immer noch ziemlich an Hotz zu nagen scheinen. Das Unternehmen sei so "arrogant" gewesen und habe geglaubt, es besitze nicht nur die Server, sondern auch die Endgeräte und die volle Kontrolle darüber. Deswegen habe es keine vernünftige Trennung bzw. Sicherheitsebene zwischen Client (PS3) und Server (PSN) gegeben. Die Xbox 360, das iPhone und Android seien schließlich auch geknackt worden - niemand habe aber deswegen Zugriff auf Daten von Xbox Live, iTunes oder Gmail erhalten.

Bei Nowgamer wird spekuliert, ob Sony den eigenen Sicherheitsmaßnahmen vielleicht schon etwas früher nicht ganz über den Weg getraut hat. So habe des Unternehmen Anfang April - vermutlich als Reaktion auf die Drohungen von Anonymous - neue Stellen ausgeschrieben und u.a. nach einem Senior Application Security Analyst und einem Security Engineer Operations and Security Architect Ausschau gehalten. Zu dessen Aufgaben gehöre es z.B., intern die Sicherheit der Plattform zu überprüfen und potenzielle Schwachstellen aufzuzeigen und einzustufen. (Es wäre angesichts der Umstände und der Ankündigungen allerdings auch nicht ungewöhnlich für ein Unternehmen, die Sicherheitsbemühungen zu verstärken, d. Red.)

Wer Fragen oder Anmerkungen in den offiziellen PlayStation-Blogs hinterlassen will, wird bis zum Neustart der PSN-Server wohl Twitter bemühen müssen. Wie Sony verlauten lässt, läuft die Gültigkeit der Session-Cookies auf den Webseiten nach einer Woche ab. Ein erneutes Login sei dann aufgrund der Server-Auszeit natürlich nicht möglich.

Update 29. April: Gegenüber Kotaku bestätigte das FBI, dass man mittlerweile in den Fall involviert ist. Außerdem würden sich in über 20 US-Bundesstaaten bereits Staatsanwälte mit dem Einbruch auseinandersetzen und auch von Sony wissen wollen, warum man so viel Zeit benötigt hat, um zu reagieren und die Kunden zu informieren. Auch die Federal Trade Commission könnte sich noch für den Umgang des Unternehmens mit den Nutzerdaten interessieren.

Der Hersteller hat mittlerweile auch die deutsche Fassung der vorher bereits erwähnten FAQ veröffentlicht.


Arbeitet ihr mit der Exekutive in dieser Sache?
Ja wir arbeiten derzeit mit der sowohl Exekutive als auch mit einer renommierten Sicherheitsfirma und der ansässigen Kriminal-Polizei um eine vollständige Untersuchung durchzuführen. Dieser kriminelle Angriff gegen unser System und unsere Kunden ist eine kriminelle Handlung und wir gehen mit allen Mitteln dagegen vor, um die Verantwortlichen dafür ausfindig zu machen.


Waren meine persönlichen Daten verschlüsselt?
Alle Daten waren geschützt und der Zugriff sowohl physikalisch als auch durch unser System eingeschränkt. Die gesamten Kreditkarten Informationen waren verschlüsselt und es gibt keinerlei Beweise, dass auf Kreditkartendaten zugegriffen wurde. Die Persönlichen Daten waren ein separater, nicht verschlüsselter Datensatz der selbstverständlich hinter einem sehr ausgeklügeltem Sicherheitssystem, das durch den illegalen und unberechtigten Eingriff ins Netzwerk ausgehebelt wurde, gespeichert war.


Wurden meine Kreditkarten Daten entwendet?
Während alle Kreditkarten Informationen, die in unseren Systemen gespeichert sind, verschlüsselt sind und es zur Zeit keinerlei Beweise gibt, dass diese Daten entwendet wurden, können wir diese Möglichkeit nicht zur Gänze ausschließen. Wenn Sie ihre Kreditkarten Daten im PlayStation Network oder Qriocity hinterlegt haben, möchten wir Sie der Vorsicht halber darauf hinweisen, dass Ihre Kreditkarten Nummer (exklusive Ihres Sicherheitscodes) und das Ablaufdatum eventuell entnommen wurden. Vergessen Sie allerdings nicht, dass ihr Kreditkarten-Sicherheitscode (manchmal auch CSC oder CSC Nummer genannt) nicht entnommen wurde, da dieser Code nie bei der Anmeldung zum PlayStation Network oder Qriocity abgefragt wurde und daher auch nicht in unserem System gespeichert wurde.


Was kann ich selbst tun um meine persönlichen Daten zu schützen?
Der Vorsicht halber weisen wir Sie darauf hin, auf Betrügereien über E-Mail, Telefon oder Post zu achten die nach ihren persönlichen und vertraulichen Informationen fragen. Sony wird Sie in keiner Form kontaktieren - auch nicht per E-Mail -, um Kreditkarten-, Sozialversicherungs-, Steueridentifikationsnummern oder andere Informationen zur Person zu erfragen. Sollten Sie danach gefragt werden, können Sie sich sicher sein, dass Sony nicht der Adressat der Anfrage ist. Sobald das PlayStation Network und alle Qriocity Services vollständig wieder hergestellt sind, empfehlen wir Ihnen eindringlich, nach dem Einloggen Ihr Passwort zu ändern. Sollten Sie darüber hinaus den Benutzernamen oder das Passwort, welchen/-s Sie im PlayStation Network oder Qriocity nutzen, auch für andere unabhängige Dienste oder Konten verwenden, empfehlen wir Ihnen eindringlich, auch diese zu ändern.


Was, wenn ich nicht weiß, welche Kreditkarte ich in meinem PlayStation Network Konto angegeben habe?
Wenn Sie in der Vergangenheit ein Guthaben auf Ihre PlayStation Network Wallet gebucht haben, sollten Sie eine E-Mail von DoNotReply@ac.playstation.net auf Ihre im PlayStation Network angegebene E-Mail Adresse geschickt bekommen haben. Diese Email wurde ihnen sofort nach der Aufladung geschickt und enthält die ersten vier Zahlen und die letzten vier Zahlen Ihrer Kreditkarte. Sie können außerdem vergangene Kreditkartenabrechnungen kontrollieren um zu sehen, welche Kreditkarte bei Ihrem PlayStation Network oder Qriocity Konto angegeben wurde.


Wie kann ich mein PlayStation Network Passwort ändern?
Wir arbeiten derzeit an einem System-Software Update, das alle Benutzer dazu auffordern wird Ihr Passwort zu ändern sobald das PlayStation Network wieder funktioniert. Wir werden mehr Details zu diesem Update in Kürze bekanntgeben.


Wurden alle PlayStation Network und Qriocity Kunden über die Situation informiert?
Zusätzlich zu unserer Kommunikation über die Medien und der Veröffentlichung der Information auf diesem Blog haben wir E-Mails an alle 77 Millionen registrierten Konten versandt. Es dauert eine Weile bis solch eine Menge an E-Mails versandt sind und es werden auch nicht alle Empfänger-Adressen gültigt sein aber diese Maßnahmen laufen seit gestern. Zu diesem Zeitpunkt wurde die Mehrheit der E-Mails versandt und wir rechnen damit, dass alle registrierten Konten die Hinweise bis zum 28. April erhalten haben. Konsumenten könnten außerdem 
de.playstation.com/psnoutage und www.qriocity.com für weitere Informationen zu diesem Falle besuchen. Zusätzlich haben wir weitere Schritte unternommen, um die Verbreitung dieser Informationen über Medien und Geschäfte zu gewährleisten.

Welche Schritte wird Sony unternehmen um meine persönlichen Daten in der Zukunft zu schützen?
Wir haben sofort zusätzlicher Sicherheitsmechanismen zum Schutze Ihrer Daten unternommen. Zuerst haben wir die PlayStation Network und Qriocity Dienste vorübergehend abgeschalten. Es wird außerdem mit Hochdruck daran gearbeitet, die Sicherheit zu erhöhen und unsere Netzwerk Infrastruktur zu stärken. Auf dem Weg zur Behebung des Problems arbeiten wir an weiteren Mechanismen um die Sicherheit des PlayStation Networks drastisch zu erhöhen um Ihre Persönlichen Daten besser zu schützen. Unter anderem wird gerade unsere gesamte Netzwerk-Infrastruktur in ein neues und sichereres Datenzentrum verlagert. Mehr Informationen darüber werden wir in Kürze veröffentlichen.


Hat Sony den oder die unberechtigten Eindringlinge die für den Hack am PlayStation Network und der Entwendung persönlicher Daten verantwortlich sind, bereits identifiziert?
Wir führen derzeit eine vollständige und lückenlose Untersuchung der Geschehnisse durch und arbeiten mit einer außenstehenden und anerkannten Sicherheitsfirma zusammen um die illegalen und unberechtigten Angreifer ausfindig zu machen - ganz egal wo auf der Welt sie sich befinden mögen.


Wann wird das PlayStation Network und Qriocity wieder zur Verfügung stehen?
Unsere Mitarbeiter arbeiten Tag und Nacht daran, unsere Dienste schnellstmöglich wieder zu Verfügung zu stellen und wir erwarten eine Herstellung einiger Dienste innerhalb der nächsten 6 Tage. Wir möchten allerdings darauf hinweisen, dass wir erst dann die Dienste wieder zur Verfügung stellen, wenn fest steht, dass das Netzwerk sicher ist.




Kommentare

Billie? schrieb am
Alking hat geschrieben: Der Trabi Fahrer hat sich auch nie beschwert, bis er dann mal in einem BMW gesessen ist ;-)
Also ich war dieses Jahr für 4 Wochen ebenfalls MultiKonsolero und habe mir das PSN zu Genüge angeschaut. Dieser Service ist der größte Witz aller Zeiten wenn man XboxLive kennt. Da steht nichtmals Trabi einer S Klasse gegenüber sondern Klappfahrad einem Lambo.
Wie gesagt, jedem das Seine, aber wer Online spielen will, Online viel unterwegs ist, der kriegt für 3-6? im Monat bei XboxLive den besseren Service geboten. Und das hat nix mit Fanboygelaber zu tun, das sagt JEDER Multikonsolero den ich kenne und das kann ich selber ebenfalls bestätigen, weil ich mir beide Plattformen angeschaut habe.

Das glaube ich dir gerne, aber was hat das für eine Relevanz? Ihr zahlt Geld für den service während wir unseren völlig kostenlos nutzen. Soll euer schlechter sein, oder was?
pcj600 schrieb am
naja, ganz ehrlich: seitenweise juristisches kauderwelsch blabla in den AGBs nachzulesen, ist zwar vielleicht nich uncool - aber auf jeden fall todesnervig :wink:
Odyn schrieb am
War klar das der Hotz mal wieder nicht die klappe halten konnte.
Das er damit nichts zu tun hat glaub ich ihm.
Aber davon zu reden was "cool" ist und was nicht, da sollte gerade er sich mal zurückhalten.
Ich persönlich fänds ja lustig wenn er zum Verdächtigenkreis gehört, damit ihm mal jemand seine große Klappe stopft.
Naja, zum Glück hab ich nie mit Kreditkarte da gezahlt, daher kratzt es mich nicht.
Ist man denk ich zum Teil auch selbst schuld wenn man irgendwo Online seine Kreditkartendaten eingibt. Das würde ich eigentlich nirgendwo machen (OK, vielleicht mit der einen oder anderen Ausnahme).
Aber vor allem bei Firmen die in den AGB's schon drinne haben das sie nicht haften falls sowas wie jetzt passiert wär ich da drei mal so vorsichtig.
Aber naja, AGB's lesen ist wahrscheinlich auch "uncool", um Hotz zu zitieren ;)
als auch andere, die eine gute und sinnvolle Arbeit leisten, wie Hotz (auch wenn mir so manche PS-Fanboys letztere Aussage um die Ohren hauen werden, egal).
Wo soll Hotz denn "gute und sinnvolle Arbeit" geleistet haben? Er hat ne Straftat begangen. Das ganze war für ihn zwar nur ein Kavaliersdelikt, aber wegen leuten wie ihm müssen sich der Rest der Welt mit ständig, noch dämlicheren Sicherungssystemen rumschlagen.
Nicht das ihr mich falsch versteht, ich finde es schlimm wie die Preise für Spiele in die Höhe schiessen, und ich finde es immer gut wenn da jemand kommt und den Firmen ihren eigenen Dreck um die Ohren haut. Aber das Problem was ich mit dem Fall Hotz hab ist der Mensch der dahinter sitzt. Der Kerl lebt in "Hotzhausen" auf dem "Planet of Hotz", er ist ein selbstzentriertes und egoistisches A...Aquarium. Und ich finde es schade das Sony seine Klage zurück gezogen hat, ich hätte gern mal seine Überheblichkeit und sein dummes Gesicht gesehen wenn er sein Leben lang Kohle abdrücken müsste.
(und nein ich bin kein "Sony-Fanboy", sondern lediglich ein "Hotz-Hater"!)
Aurellian schrieb am
Exedus hat geschrieben:Auch wenn ich mir viele Feinde machen werde ich finde Leute wie Geohotz nicht schlecht aber was nun mal gar nicht geht ist Kundendaten zu klauen.
Mann muss auch sehen das es nicht nur die bösen Hacker gibt die KK klauen oder was weis ich nicht sonst alles tun, den schließlich gibt es auch Hacker die aufzeigen wo man Sicherheitslücken findet und was man dagegen tun kann.
Und auch wenn ich die Firma Sony nicht wirklich mag muss ich sagen das diese Aktion nun doch zu weit geht. obwohl ich persönlich davon gar nicht betroffen bin.
Volle Zustimmung meinerseits. Aber wo hat man das auch nicht? Es gibt doch fast überall sowohl Kriminelle, wie jetzt die PSN-Hacker, als auch andere, die eine gute und sinnvolle Arbeit leisten, wie Hotz (auch wenn mir so manche PS-Fanboys letztere Aussage um die Ohren hauen werden, egal).
Arkune schrieb am
Flextastic hat geschrieben:das weiß keiner, selbst anon nicht, da sie nicht organisiert sind. es gab sehr wohl ein gruppierung innerhalb, die weiterhin sony attackieren wollte, obwohl eine andere meinte, sie belassen es.
Na ja im Grunde stimmt das so nicht ganz. Es gibt keine festen Strukturen aber organisiert sind sie eigentlich schon und zwar über ein gemeinsames Ziel.
Und das Ziel war es hier doch Sony zu schaden, nicht aber den Kunden. Deshalb wurde ja auch der Angriff auf das PSN im Vorfeld eingestellt. Diese Aktion stellte sich als eher Nachteilig heraus da hier unter anderem eine Basis in Mitleidenschaft gezogen wurde aus der Anonymous selbst eigentlich in der Regel relativ viel Unterstützung erhält: Videospieler.
Das Problem an der Geschichte ist doch das egal welchen Schaden Sony hier nehmen wird der Täter wird der noch viel größere Buhmann sein wird sollte er den entlarvt werden. Das Kollektiv, also im Grunde die Mehrheit der sich selbst zugehörig erklärenden Individuen, wird das sicher nicht riskieren. Es würde dem Ansehen der Gruppe und damit der Aussagekraft und Schlagkraft enorm schaden.
Wenn also eine Splittergruppe diesen Angriff vorgenommen hat ist sie im Grunde nicht mehr Teil des Kollektivs da sich gegen die Entscheidung der Gruppe, die Angriffe einzustellen, gestellt hat.
Anonymous definiert sich ja auch dadurch das viele auf ein gemeinsames Ziel hinarbeiten. Können ein paar Individuen hier noch als Wille des Kollektivs gelten? - Ich denke nicht.
Die Gruppe hat sich davon distanziert und ich glaube auch ein paar Individuen die in der Regel die Initiative ergreifen und zu einer Aktion aufrufen haben bestritten das hier etwas organisiert wurde.
Ich halte es durch das fehlende Motiv bzw. die einhergehenden Nachteile und das Dementi der Gruppe für glaubwürdig das Anon hier als Gruppe nicht im Spiel war.
Mein Tipp ist hier weiterhin, wie schon seit dem Wochenende, das hier schlicht um nicht weiter politisch motivierten Datendiebstahl handelt. Sony ist...
schrieb am