Angriff auf Sony-Netzwerk Kriminelle brüsten sich mit Kreditkarten-Klau

Sind die Angebote echt? In Crackerforen behaupten Unbekannte, mehr als zwei Millionen Kreditkarten-Daten von Sony-Kunden zu besitzen. Man habe sie auch Sony zum Kauf angeboten, aber keine Antwort erhalten. Sony dementiert das Verkaufsangebot.
Sony-Spielcontroller: Empörung über das Datenleck im Konsolen-Netzwerk

Sony-Spielcontroller: Empörung über das Datenleck im Konsolen-Netzwerk

Foto: Katsumi Kasahara/ AP

Hamburg - Es könnte bloße Angeberei einiger Halbstarker sein, oder ein Hinweis darauf, dass die schlimmsten Befürchtungen zu Sonys gewaltigem Datenleck sich bewahrheiten. In Crackerforen brüsten sich Unbekannte damit, Kreditkartendaten zu besitzen, die in der vergangenen Woche beim Einbruch in Sonys Playstation-Netzwerk erbeutet wurden.

Fest steht, dass bei einem Datendiebstahl von Sony-Servern vor zehn Tagen persönliche Informationen von mehr als 70 Millionen Nutzern des Playstation-Netzwerks entwendet wurden. Nun weisen zwei US-Sicherheitsberater auf anonyme Foreneinträge hin, in denen Unbekannte über die Qualität der Daten diskutieren. Der mutmaßliche Verkäufer der Daten gibt an, die Datensätze würden auch Informationen zu Kreditkartennummern, Sicherheitscodes und Ablaufdaten enthalten. Der Unbekannte behauptet, es seien 2,2 Millionen Kreditkartendaten gestohlen worden, darunter 150.000 Datensätze deutscher Kunden.

Der US-Sicherheitsberater Brian Krebs, der Screenshots dieser Diskussion veröffentlich hat, kommentiert: "Ich haben kein Vertrauen in die dort aufgestellten Behauptungen. Aber sie sind interessant." Der Sicherheitsberater Kevin Stevens , der die Diskussion ebenfalls verfolgt hat, ordnet sie so ein: "Das war eine Diskussion in einem Forum, wo sich Kriminelle tummeln. Ich habe die Datenbank nicht gesehen, ich kann also nicht bestätigten, dass diese Daten echt sind." Stevens hat eine Erklärung für die Angeberei: "Die Information über die Sicherheitscodes könnte falsch sein, das könnten diejenigen erfunden haben, die die Datenbank verkaufen."

Denn Datensätze mit Sicherheitscodes sind wertvoller als solche ohne. Vielleicht sind diese Hinweise ein Lockmittel, um Möchtegern-Kriminelle auszunehmen, die kein Unrechtsbewusstsein, hohen Geltungsdrang - und wenig Ahnung haben. Ein beliebter Trick in der Szene ist es, unbedarfte Möchtegern-Gangster zu betrügen, ihnen Geld für wertlose Daten und Anleitungen abzuknöpfen.

Auf die Behauptung in den Foren angesprochen, die Diebe hätten Sony die Daten zum Kauf angeboten, antwortete ein Sprecher des Konzerns der " New York Times ": "Meines Wissens ist es nicht wahr, dass Sony ein Angebot gemacht wurde, die Daten zurückzukaufen."

Sony hatte bereits am 19. April den Zugang zu seinem Konsolen-Netzwerk für die Playstation 3 und zu dem Download-Shop Qriocity gesperrt, seine Kunden aber erst am Mittwoch eine Woche darauf darüber informiert, dass Kriminelle die eigene Kundendatenbank geknackt hatten. Als gesichert gilt, dass folgende Daten von Nutzern des Playstation-Netzwerks und von Qriocity in die Hände der Einbrecher gelangen konnten:

  • Name
  • Adresse (Stadt, Bundesland, Postleitzahl)
  • Land
  • E-Mail-Adresse
  • Geburtsdatum
  • Playstation Network/Qriocity Passwort und Login
  • PSN Online ID

"Möglich" ist laut Sony außerdem, dass Rechnungsanschrift, Sicherheitsfrage zum Passwort und Kaufhistorie kopiert werden konnten.

Sonys Nutzungsbedingungen schließen Haftung bei Datenverlust aus

In den Nutzungsbedingungen  lässt sich Sony von seinen Kunden von der jeder Haftung bei Datenverlust freistellen. Wörtlich heißt es in dem Dokument:

"Wir schließen jede Haftung für den Verlust von Daten oder nicht autorisierten Zugang zu Ihren Daten, Ihrem "Sony Online Network"-Konto oder "Sony Online Network"-Guthaben und für Schäden an Ihrer Software oder Ihrer Hardware aus, die das Ergebnis Ihrer Nutzung von Sony Online Network sind oder durch Ihren Zugang zu Sony Online Network entstehen mögen."

Juristen halten diese Klausel für unwirksam. Der Anwalt Christian Solmecke begründet diese Einschätzung  so: "Diese Klauseln sind nicht mit dem deutschen Verbraucherschutzrecht vereinbar. Nach der Vorschrift von § 309 Nr. 7 BGB darf die Haftung für Vorsatz und grobe Fahrlässigkeit durch AGB-Bestimmungen nicht ausgeschlossen werden." Solmecke ist der Meinung, dass diese Tatsache zur Folge hat, dass die gesamte Klausel unwirksam ist und Sony voll für die entstandenen Schäden haftet. Solmecke: "Nach meiner derzeitigen Einschätzung hat hier Sony schuldhaft seine Sorgfaltspflichten verletzt, weil es die ihm anvertrauten Kundendaten nicht hinreichend geschützt hat."

Sony hat die Passwörter nicht verschlüsselt

Sony behauptet zwar in einer Erklärung, die Kundendaten seien durch ein "sehr ausgeklügeltes Sicherheitssystem geschützt" gewesen, das jedoch bei einem "böswilligen Angriff" ausgeschaltet wurde. So ganz stimmt das aber nicht, denn aus Sonys erweiterter Erklärung zum Datendiebstahl geht hervor, dass die Passwörter der Kunden nicht verschlüsselt gespeichert wurden. In der Sony-Erklärung zum Vorfall auf der US-Website des Konzerns steht wörtlich: "Die gesamte Kreditkartendatenbank war verschlüsselt und wir haben keinen Hinweis darauf, dass Kreditkartendaten entwendet worden sind." Die Datenbank mit den persönlichen Informationen hingegen war "nicht verschlüsselt", gesteht Sony ein.

Passwörter unverschlüsselt in Datenbanken zu speichern, entspricht nicht dem Stand der Technik. Standard-Webdienste wie WordPress speichern seit Jahren die Nutzer-Passwörter verschlüsselt in Datenbanken. Dabei werden die Passwörter nicht nur einfach mit einem Algorithmus verschlüsselt, sondern auch zufällige Zeichenfolgen angehängt, damit Angreifer gängige Passwörter nicht einfach anhand von Wörterbüchern per Durchprobieren erraten können. Sonys Erklärung zu dem Vorfall legt nahe, dass der Weltkonzern bei der Sicherung der Kundenpasswörter für das Playstation-Netzwerk nicht einmal dieses Standard-Verfahren genutzt hat.

Derzeit ist unklar, ob Sony-Kunden durch Kreditkarten-Betrug schon Schäden entstanden sind oder noch entstehen können. Einen deutlichen finanziellen Schaden tragen allerdings Spielehersteller davon, die ihre Titel als Download-Version im Playstation-Netzwerk verkaufen. Insbesondere kleine Studios bieten hier Titel an. Ihre Umsätze aus diesem Vertriebskanal - bei einigen Anbietern ist es der einzige - sind seit zehn Tagen völlig weggebrochen.