Attacke auf Sonys Online-Netzwerk: Daten von Millionen Spielern gestohlen

Adresse, Kreditkartennummer, Passwörter: Über 70 Millionen Sony-Kunden bangen nun um ihre persönlichen Daten. Es handelt sich wohl um den größten Datenraub aller Zeiten.

Wer spielt, kann auch mal verlieren. Fragt sich nur, was... Bild: reuters

BERLIN taz | Knapp eine Woche blieb Sonys Online-Spiele-Plattform offline und niemand wusste, was los war. Nun äußerte sich der Konzern zu den Gründen: Unbekannte sind in das Netzwerk eingedrungen und haben auf die Nutzerdaten zugegriffen, gab Sony am späten Dienstag in Firmenblogs bekannt.

"Wir haben 77 Millionen Kunden. Wer von der Attacke direkt betroffen ist, wissen wir noch nicht", sagt Guido Alt Pressesprecher von Sony Computer Entertainment Deutschland. Potentiell sei jeder Online-Kunde betroffen. Das sind die Besitzer einer Playstation 3 oder einer Playstation Portable, die zugleich ein Konto für Sonys Spiele-Plattform haben.

Die Angreifer hätten Name, Adresse, Land, E-Mail-Adresse, Geburtsdatum sowie Passwörter und Login-Daten der Kunden sehen können, warnte Sony in seinem Blog. Auch Kreditkarten-Informationen könnten von den Angreifern erbeutet worden sein.

"Obwohl es derzeit keine Anzeichen dafür gibt, dass auf Kreditkarten-Informationen widerrechtlich zugegriffen wurde, können wir diese Möglichkeit nicht gänzlich außschließen", so Alt. Etwas beruhigen könne er die Nutzer jedoch. Der Sicherheitscode der Karten, der CCV-Code, der für alle Internetbestellungen nötig sei, könne nicht gestohlen worden sein.

"Das bringt aber nur scheinbare Sicherheit", meint Andreas Bogk, Pressesprecher des Chaos Computer Club, da „der CVV-Code nur dreistellig ist". Beim Raten sei also die Chance 1:1000. "Geht man davon aus, dass 50 Millionen Nummern geklaut wurden und man nur einmal raten kann, bevor es auffällt, dann kommt man auf 50.000 funktionierende Kreditkarten", so Bogk. Die Art des Angriffs deute tendenziell eher auf einen professionellen Angriff hin. Dass widerspricht dem im Internet kursierenden Gerücht, es handle sich um einen Racheakt aus der Hacker-Szene.

Der Hintergrund dieses Gerüchts ist Sonys striktes Vorgehen gegen Versuche, seine Konsolen zu manipulieren. Dem deutschen Playstation-Hacker "Graf_Chokolo" etwa drohte der Konzern mit einer Geldbuße von 750.000 Euro. "Chokolo" machte es möglich, Linux wieder auf der Playstation 3 zu nutzen. Sony hatte das zuvor verboten. Der Konzern erstatte Anzeige gegen "Chokolo". Seine Wohnung des Hackers von der Polizei durchsucht, sein Equipment beschlagnahmt.

Auch gegen den Hacker "GeoHot" ging Sony vor. Dieser knackte den Schutzmechanismus der Konsole, so dass auf ihr kopierte und selbst gemachte Spiele laufen konnten. Die Anleitung dazu veröffentlichte er im Internet. Aufgrund der Klage gegen "GeoHot" rief die Gruppe Anonymous im April zum Sturm auf den Sony-Server. Mit massenhaften Zugriffen sollte das Playstation-Netzwerk lahmgelegt werden. Der Versuch gilt allerdings als gescheitert.

Dass es eine Racheaktion gewesen sei, glaube er nicht, so Sony-Pressesprecher Alt. „Es war ein gezielter, gut geplanter Angriff, mit hoher krimineller Energie. Ein ganz anderes Niveau als die Attacke von Anonymous vor einigen Wochen.“ Dies sei auch der Grund, warum die Server so lange offline blieben. Die Hacker waren vom 17. bis zum 19. April in die Kundendatenbanken eingedrungen. Seit dem sind die Server abgeschaltet. „Wir wollten ganz sicher gehen, dass niemand auf das Netzwerk zugreifen kann“, so Alt.

Schon vor den Attacken stand Sony in der Kritik, schlecht mit Nutzerdaten umzugehen. So berichtete der Internetdienst Gulli.com Mitte April, dass ein deutscher Playstation-Besitzer Klage gegen Sony eingereicht hatte. In einem //ps3crunch.net/wp-content/uploads/2011/04/public_info_eu.pdf&embedded=true&chrome=true:siebenseitigen Schreiben warf er dem Konzern ein knappes Dutzend an Verstößen gegen geltendes EU-Recht vor. Dabei sprach er unter anderem zahlreiche Datenschutzverletzungen an. Zahlt man ein Spiel etwa mit Kreditkarte und gibt seinen CVV-Code an, so braucht man diesen bei keinem weiteren Kauf mehr einzugeben. Sony speichert den Sicherheitscode, was nach internationalen Normen verboten ist.