Ursprünglich hätten einige grundlegende PSN-Dienste bereits in der vergangenen Woche wieder verfügbar sein sollen.
In der Nacht zum Samstag verkündete Sony allerdings, dass das Aufsetzen der neuen Sicherungssysteme - und damit die Rückkehr der Server - noch etwas mehr Zeit benötigt als eigentlich eingeplant. Man habe das gesamte Ausmaß des Einbruchs noch nicht gekannt, als man einen groben Zeitraum für die Wiederaufahme des PSN in Aussicht stellte. Weitere Neuigkeiten hatte der Hersteller seitdem in dieser Hinsicht nicht mehr zu vermelden.
Sony rechtfertigt Vorgehen
An anderer Stelle widersprach der Konzern allerdings
den Vorwürfen von Dr. Gene Spafford, der Sony während einer Anhörung des US-Abgeordnetenhauses mehr oder weniger Nachlässigkeit vorgeworfen hatte. So sei in speziellen Mailinglisten berichtet worden, das Unternehmen habe eine veraltete Version des Apache Webservers genutzt, dort auf eine Firewall verzichtet und außerdem entsprechende Hinweise in einem Forum ignoriert.
In Sonys Replik heißt es: "Das vorherige Netzwerk von Sony Network Entertainment International und Sony Online Entertainment verwendete Server, die vor Kurzem gepatcht und aktualisiert wurden und sich mehrere Sicherungsmaßnahmen, darunter Firewalls, zu Nutze machten." (
Was sich wohl zumindest in Teilen auch an anderer Stelle überprüfen ließ.)
Noch am Tag der Bekanntgabe des Datenklaus hatte der US-Senator Richard Blumenthal bei Sony
um Aufklärung gebeten hinsichtlich das Ablaufs und der Zeitspanne zwischen der Entdeckung des Einbruchs und dem öffentlichen Eingeständnis.
In einer offiziellen Antwort legt Kaz Hirai nun eine etwas detailliertere Timeline der Geschehnisse dar.
Das PSN sei ein extrem komplexes System, das aus ca. 130 Servern besteht. Auch seien knapp 50 Programme im Einsatz. Eine gründliche Bestandaufnahme sei deswegen recht zeitaufwändig.
Sony Network Entertainment America (SNEA) habe am 19. April bemerkt, dass sich mehrere Server unerwartet neugestartet hatten und "ungeplante und ungewöhnliche Aktivitäten" stattfanden. Man habe sofort reagiert und vier Server vom Netz genommen, um das Phänomen zu analyisieren. Am 20. April habe man das Team vergrößert und erste glaubwürdige Indizien dafür gefunden, dass jemand in das PSN eingedrungen war. Sechs weitere Server seien als potenziell kompromittiert eingestuft worden; SNEA habe daraufhin sämtliche PSN-Server vom Netz genommen, um weitere Schäden zu verhindern.
Noch am Nachmittag des 20. Aprils habe man eine auf forensische Analysen spezialisierte Firma angeheuert, um die Server zu spiegeln, damit eine Untersuchung durchgeführt werden konnte. Aufgrund der dafür zwingend vorausgesetzten Gründlichkeit habe jener Vorgang viele Stunden gedauert. Am 21. April habe Sony noch ein weiteres Team von Analyseexperten verpflichtet, um die Manpower zu erhöhen.
Am 22. April (Freitag) sei das Spiegeln der ersten neun Server endlich abgeschlossen worden. Am Samstagabend hätten die Spezialisten dann endlich bestätigen können, dass die Eindringlinge "sehr fortgeschrittene und aggressive Methoden" verwendet hatten, um sich Zugang zu den Servern zu verschaffen, gleichzeitig aber ihre Gegenwart zu verschleiern. So hätten die Hacker u.a. Log-Dateien gelöscht, um Spuren zu verwischen. Zu jenem Zeitpunkt sei SNEA dann klar gewesen, dass man es mit sehr fähigen Tätern zu tun hat. Am 24. April habe man deswegen noch ein drittes forensisches Team verpflichtet, um das Ausmaß des Zugriffs zu bestimmen. Am 25. April sei dann nachgewiesen worden, dass Kundedaten kopiert worden waren. Dass Kreditkartendaten gestohlen wurden, konnte zu jenem Zeitpunkt nicht bewiesen, aber auch nicht ausgeschlossen werden.
SNEA habe die geltenden Vorschriften hinsichtlich der Informationspflicht jederzeit gekannt und beachtet, heißt es da weiter. Dabei sei man stets gründlich und sorgfältig vorgegangen. Das Veröffentlichen verfrühter und unvollständiger Erkenntnisse hätte die Kunden unnötig verwirren und in "nicht notwendigen Handlungen" resultieren können. SNEA sei es sehr wichtig gewesen, konkrete Beweise zu haben, bevor man die Öffentlichkeit informiert. Da die Analysten nicht abschätzen konnten, ob und wann sich die Möglichkeit des Diebstahls von Kreditkartendaten widerlegen lässt, sei Sony den in den verschiedenen US-Bundesstaaten geltenden Richtlinien nachgekommen und habe die Kunden einen Tag später in Kenntnis gesetzt.
Die Untersuchungen seien unabhängig davon fortgeführt worden. Am 1. Mai sei man dann zu dem Schluss gekommen, dass auch die Server von Sony Online Entertainment geknackt worden waren. Auch hier habe man das System heruntergefahren und die Kunden einen Tag später informiert.
SOE habe seine Server schon einmal früher untersucht, dabei allerdings keine Hinweise auf einem Einbruch gefunden. Beim Zweitcheck am 1. Mai habe man sich dann das erarbeitete Wissen und die Expertise der Spezialteams zu Nutze gemacht und damit Indizien entdeckt.
Sollten PSN- und SOE-Kartendaten entwendet worden sein - die Möglichkeit könne man auch derzeit noch nicht vollständig ausschließen - dann könnten insgesamt 12,3 Mio. aktuelle oder abgelaufene Kreditkarten betroffen sein. Einmal mehr wird betont, dass es laut Angaben der größeren Kreditkartenanbieter bisher keine verdächtigen Buchungsvorgänge gab, die in Zusammenhang mit dem PSN-Leck stehen könnten.
Zukünftig werde SNEA zusätzliche Überwachungs- und Konfigurationswerkzeuge sowie mehr Firewalls verwenden und Daten stärker verschlüsseln. Der Umzug des Datencenters wird einmal mehr erwähnt. Auch hat der Konzern die Position des Chief Information Security Officers erschaffen.
Belohnung angedacht?
Auch wenn Anonymous sich von dem Einbruch distanziert hat und jede Verantwortung abstreitet, so könnten die Täter durchaus aus dem Umfeld der Gruppe stammen und eigenmächtig gehandelt haben - das zumindest will die
Financial Times von zwei alteingessenen Mitgliedern der Web-Aktivisiten erfahren haben. Eine der Quellen habe technische Details zu den Sicherheitslücken in einem der Anonymous-Chaträume erspäht. Der Einbruch sei kurze Zeit später erfolgt. Einem anderen Informanten zufolge sollen einige Sony-Administrator-Zugänge bei Anonymous in Umlauf gewesen sein, während ein weiteres Mitglied mutmaßt, dass Feinde der Gruppe eine falsche Spur legen wollen.
Laut
CNET denkt Sony derweil darüber nach, eine Belohnung auszuloben für Hinweise, die zur Ergreifung der Täter führen.
Update: Ob es sich dabei um ein Missverständnis, eine falsche Interpretation, einen Übersetzungsfehler oder wirklich ein neues Ziel handelt, ist unklar: Gegenüber
Bloomberg ließ Sonys Shigenori Yoshida verlauten, "an den Plänen, die Dienste bis zum 31. Mai komplett neu zu starten, hat sich nichts geändert."
Gegenüber
Eurogamer.net ließ ein anonymer Sony-Angestellter übrigens durchblicken, dass die Lücke, die durch die Rebug-Firmware geöffnet wird - also der Zugriff auf das DevNet und PSN-Inhalte wie Spiele und DLC - schon seit Jahren bekannt gewesen sei. Der Hersteller habe sich allerdings nie darum gekümmert, da man davon ausgegangen sei, dass die PS3 nicht geknackt werden kann. Der Rebug-Exploit stehe allerdings nicht in Zusammenhang mit dem Datendiebstahl.
Update 2: Bei
MCV hat ein Vertreter des Unternehmens den Bloomberg-Bericht kommentiert. Man müsse jene Angaben im Kontext der Äußerungen sehen, die Kaz Hirai auf der Pressekonferenz am 1. Mai getätigt hatte. Der Präsident von Sonys Consumer-Sparte hätte schon dort eine graduelle Rückkehr der einzelnen Dienste geschildert, die Ende Mai abgeschlossen sein soll. Funktionen wie Online-Multiplayer sollen demnach also schon früher wieder verfügbar sein, während der PlayStation Store (aufgrund der damit verbundenen Kundendaten) vermutlich etwas später wieder ans Netz gehen wird.
