Geknacktes Playstation-Netz Weltweite Wut über Sonys Datenpanne

Das Datenleck in Sonys Playstation Network sorgt in vielen Ländern für Empörung. In Deutschland fordern Datenschützer und Politiker Aufklärung und drohen mit Schadensersatzansprüchen. In den USA und Großbritannien interessieren sich Politik und Staatsanwälte für den Fall.
Sony-Spielcontroller: Empörung über Konsolen-Netzwerk-Datenleck

Sony-Spielcontroller: Empörung über Konsolen-Netzwerk-Datenleck

Foto: REUTERS

Berlin/Tokio/Washington - Sonys gewaltiges Datenleck, bei dem vermutlich persönliche Informationen von mehr als 70 Millionen Nutzern in die Hände Krimineller fielen, sorgt weltweit für Empörung. In den USA gab ein Unterausschuss des Repräsentantenhauses eine Untersuchung des Falls in Auftrag, mehrere US-Staatsanwälte haben begonnen, sich mit der Angelegenheit zu befassen, und eine US-Anwaltskanzlei hat in Kalifornien bereits eine Sammelklage gegen Sony angemeldet. Auch deutsche Politiker und Datenschützer sind empört.

Der Bundesbeauftragte für den Datenschutz, Peter Schaar, hat als Konsequenz aus dem riesigen Datenklau schärfere internationale Datenschutz-Standards gefordert. "Ich glaube, wir brauchen hier in diesem Zusammenhang keine anderen Gesetze", sagte er im ARD-Morgenmagazin am Donnerstag. "Wir brauchen aber stärkere internationale Instrumente, um den Datenschutz zu gewährleisten." Notwendig sei also ein sehr hohes internationales Datenschutzniveau.

Verstoß gegen deutsches Datenschutzrecht?

Der Leiter des Unabhängigen Datenschutzzentrums Schleswig-Holstein, Thilo Weichert, sieht das anders als sein Kollege Schaar. Der "Neuen Osnabrücker Zeitung" sagte er: "Die Bundesregierung sollte den Fall Sony zum Anlass nehmen, das deutsche Datenschutzrecht endlich auf die Höhe der Zeit zu bringen." Weltkonzerne wie Facebook, Google oder Sony seien in Deutschland faktisch nicht für Versäumnisse beim Datenschutz haftbar zu machen.

Schaar hält es für durchaus möglich, Sony in Deutschland für mögliche Schäden zur Verantwortung zu ziehen: "Der Konzern muss haften, wenn hier Schäden eingetreten sind." Abgesehen von Fällen, in denen Kunden nachweislich ein Schaden entstanden ist, könnte Sony möglicherweise auch gegen deutsches Recht verstoßen haben, indem das Unternehmen Kunden erst eine Woche nach dem Einbruch über den Datendiebstahl informierte.

Der japanische Konzern habe mit dieser verzögerten Bekanntgabe "ein extrem unseriöses und rechtswidriges Verhalten an den Tag gelegt", sagte der Fachanwalt für Informationstechnologierecht, Peter Heyers, der "Neuen Osnabrücker Zeitung". Das sei ein Rechtsverstoß. "Nach Paragraf 42a des Bundesdatenschutzgesetzes hätte Sony dies sofort veröffentlichen müssen." Deshalb müsse das Unternehmen auch für Schäden haften, die nun möglicherweise dadurch entstanden seien, dass die Nutzer nicht rechtzeitig gewarnt und informiert worden seien, so der Experte.

Die Union ließ es sich nicht nehmen, empört zu fordern, Sony müsse für mögliche finanzielle Schäden durch den Datenklau haften: "Ich sehe hier Sony klar in der Haftung", sagte der rechtspolitische Sprecher der Unions-Bundestagsfraktion, Stephan Mayer (CSU), der "Frankfurter Rundschau". Dass Sony für nachweisbare Schäden durch den Diebstahl haften muss, steht nach deutschem Recht aber gar nicht in Frage - die Union fordert, was ohnehin gilt.

"Ausgeklügeltes Sicherheitssystem"

In Großbritannien untersucht das Büro des "Information Commissioners", eine Art Datenschutzbeauftragter, den Fall. Man habe Sony kontaktiert und prüfe derzeit, ob das Verhalten des Unternehmens britische Gesetze zum Datenschutz verletzt habe.

Sony hatte bereits am 19. April den Zugang zu seinem Konsolen-Netzwerk für die Playstation 3 und zu dem Download-Shop Qriocity gesperrt, seine Kunden aber erst am Mittwoch darüber informiert, dass Kriminelle die eigene Kundendatenbank geknackt hatten. Ein Sony-Sprecher erklärte die Informationspolitik damit, dass "mehrere Tage forensischer Untersuchungen" nötig gewesen seien, um herauszufinden, dass Nutzerdaten durch den Hackerangriff auf das eigene Netzwerk kompromittiert worden seien. Als gesichert gilt, dass folgende Daten von Nutzern des Playstation-Netzwerks und von Qriocity in die Hände der Einbrecher gelangen konnten:

  • Name
  • Adresse (Stadt, Bundesland, Postleitzahl)
  • Land
  • E-Mail-Adresse
  • Geburtsdatum
  • Playstation Network/Qriocity Passwort und Login
  • PSN Online ID

"Möglich" ist laut Sony außerdem, dass Rechnungsanschrift, Sicherheitsfrage zum Passwort und Kaufhistorie kopiert werden konnten. Sony behauptet , die Kundendaten seien durch ein "sehr ausgeklügeltes Sicherheitssystem geschützt" gewesen, das jedoch bei einem "böswilligen Angriff" ausgeschaltet wurde. So ganz stimmt das nicht, denn aus Sonys erweiterter Erklärung  zum Datendiebstahl geht hervor, dass die Passwörter der Kunden nicht verschlüsselt gespeichert wurden.

In der Sony-Erklärung zum Vorfall auf der US-Website des Konzerns steht wörtlich: "Die gesamte Kreditkartendatenbank war verschlüsselt und wir haben keinen Hinweis darauf, dass Kreditkartendaten entwendet worden sind." Die Datenbank mit den persönlichen Informationen hingegen war "nicht verschlüsselt", gesteht Sony ein. Da viele Nutzer dasselbe Passwort bei mehreren Internetdiensten verwenden, sollten Kunden schnellstens ihre Logins bei Diensten wie Ebay, Facebook und Google Mail ändern. Kriminelle nutzen gekaperte Konten bei solchen Diensten für Betrügereien.

Passwörter unverschlüsselt in Datenbanken zu speichern, entspricht nicht dem Stand der Technik. Standard-Webdienste wie WordPress speichern seit Jahren die Nutzer-Passwörter verschlüsselt in Datenbanken. Dabei werden die Passwörter nicht nur einfach mit einem Algorithmus verschlüsselt, sondern auch zufällige Zeichenfolgen angehängt, damit Angreifer gängige Passwörter nicht einfach anhand von Wörterbüchern per Durchprobieren erraten können. Sonys Erklärung zu dem Vorfall legt nahe, dass der Weltkonzern bei der Sicherung der Kundenpasswörter für das Playstation-Netzwerk nicht einmal diese Standard-Verfahren genutzt hat.

Aktien verlieren in Tokio über vier Prozent

Sony-Aktien verloren am Mittwoch an der US-Technologiebörse Nasdaq etwa zweieinhalb Prozent an Wert, im japanischen Nikkei-Index fielen Sony-Anteile um über vier Prozent.

Am Mittwochabend erklärte die US-Kanzlei Rothken, sie werde im Auftrag zunächst eines einzelnen Playstation-Nutzers eine Klage gegen Sony anstrengen. Rothken hat beantragt, die Klage als Sammelklage zuzulassen, und es dürften sich schnell weitere Sony-Kunden finden, die bereit sind, sich anzuschließen. Weitere Klagen sind offenbar in Vorbereitung. "Dies ist ein gewaltiges Datenleck und die Klienten, die sich bei uns gemeldet haben, sind sehr wütend, nicht nur wegen des Lecks selbst sondern weil Sony offenbar volle fünf Tage auf den Informationen saß", erklärte Jay Edelson von der Kanzlei Edelson McGuire, die auf Sammelklagen im Zusammenhang mit Datenverlusten spezialisiert ist. Seine Kanzlei werde in den kommenden 24 Stunden entscheiden, ob eine eigene Klage angestrengt werde.

Die kalifornische US-Abgeordnete Mary Bono Mack wies das Personal des Unterausschusses für Wirtschaft, produzierendes Gewerbe und Handel an, den Fall zu untersuchen, um zu erkunden, ob dazu eine Anhörung nötig sei. Der Abgeordnete Bobby Rush aus Illinois erklärte, er werde einen Gesetzentwurf erneut vorlegen, der Firmen zu schärferen Sicherheitsvorkehrungen zwingen soll. Senator Tom Carper aus Delaware hofft auf ein umfassendes Cyber-Sicherheitsgesetz noch in diesem Jahr.

Sony hatte den Vorfall dem FBI gemeldet, dessen Cybercrime-Abteilung eine Untersuchung eingeleitet hat.

cis/lis/dpa/Reuters/dapd

Mehr lesen über

Sony Playstation Datenschutz Hacker
Die Wiedergabe wurde unterbrochen.
Merkliste
Speichern Sie Ihre Lieblingsartikel in der persönlichen Merkliste, um sie später zu lesen und einfach wiederzufinden.
Jetzt anmelden
Sie haben noch kein SPIEGEL-Konto? Jetzt registrieren