Angriff auf Playstation-Netz: Weckruf für Sonys Spielerheer

70 Millionen Nutzer des Playstation-Netzes müssen bangen: Hacker haben Daten wie Name, E-Mail, Passwort, Wohnort und Alter erbeutet, vielleicht sogar Details zu Kreditkarten. Was müssen Sony-Kunden nun wissen, gibt es besseren Schutz, wer könnte der Täter sein? Antworten auf die wichtigsten Fragen.

Sony-Konsole Playstation 3: Shop und Online-Netzwerk gehackt

Foto: Oliver Berg/ dpa

Hamburg - Eine Woche waren das Playstation-Netzwerk und der Musik- und Videodienst Qriocity des japanischen Unternehmens Sony offline, dann erst informierte Sony seine Kunden: Hacker sind in das System eingedrungen, hatten Zugriff auf die weltweit mehr als 70 Millionen Datensätze der Nutzer. Zwei Tage lang konnten sich die Angreifer offenbar austoben, bevor das Unternehmen den Einbruch überhaupt bemerkte.

Noch immer ist nicht klar, auf welche Daten die Angreifer zugreifen konnten. Fest steht, dass Namen, Adressen, Logins und Passwörter kopiert werden konnten. Ob auch die Kreditkartendaten gestohlen wurden, steht nicht fest. Bisher gebe es darauf "keine Hinweise", teilt Sony mit, ausschließen könne man es allerdings auch nicht.

Nun rät das Unternehmen seinen Kunden zu erhöhter Wachsamkeit. Die Nutzer sollten unbedingt ihre Kontoabrechnungen genau überprüfen und alle Aktivitäten überwachen. Außerdem warnt Sony seine Nutzer vor Phishing-Attacken. Dabei nutzen Kriminelle die erbeuteten persönlichen Daten, um ihren Opfern eine Falle zu stellen und Betrügereien einzuleiten.

Was Sony-Kunden jetzt wissen müssen - Antworten auf die wichtigsten Fragen.

Was für Daten wurden entwendet?

Als gesichert gilt, dass folgende Daten von Nutzern des Playstation-Networks und von Qriocity in die Hände der Einbrecher gelangen konnten:

• Name
• Adresse (Stadt, Bundesland, Postleitzahl)
• Land
• E-Mail-Adresse
• Geburtsdatum
• Playstation Network/Qriocity Passwort und Login
• PSN Online ID

"Möglich" ist laut Sony außerdem, dass Rechnungsanschrift, Sicherheitsfrage zum Passwort und Kaufhistorie kopiert werden konnten. Wegen der ungeklärten Frage, ob Kreditkartendaten entwendet wurden, ruft Sony seine Kunden zur Wachsamkeit auf. Sie sollen Abbuchungen von ihrem Konto genau kontrollieren.

Bisher keine Angaben gibt es darüber, ob auch der "Social Graph" kopiert werden konnte, also die Information, wer mit wem im Playstation-Network befreundet ist.

Wie können Kriminelle persönliche Daten missbrauchen?

Viele Nutzer verwenden dasselbe Passwort bei mehreren Internetdiensten. Da laut Sony sowohl E-Mail-Adressen als auch Passwörter entwendet wurden, sollten Kunden schnellstens ihre Logins bei Diensten wie Ebay, Facebook und Google Mail ändern. Kriminelle nutzen gekaperte Konten bei solchen Diensten für Betrügereien. So erhielten zum Beispiel eine Zeitlang Ebay-Kunden, die für teure Artikel geboten hatten, aber nicht den Zuschlag erhielten, über das Ebay-Nachrichtensystem betrügerische Angebote, den Artikel doch noch zu kaufen. Verschickt wurden diese Nachrichten über gekaperte Ebay-Konten.

Die Detailfülle der bei Sony entwendeten Daten könnten Kriminelle auch für sehr ausgeklügelte Phishing-Attacken nutzen. Wer auch immer die entwendeten Kundendaten nun besitzt, weiß nun auf jeden Fall, wie die Sony-Kunden heißen, wie ihre E-Mail-Adresse lautet, wie alt sie sind und wo sie leben. Schon mit diesen Informationen lassen sich automatisch Phishing-E-Mails konstruieren, die erheblich vertrauenswürdiger klingen als die meisten betrügerischen Nachrichten, die heute kursieren, sich potentiellen Opfern gegenüber aber mit kryptischen Anreden wie "Guten Tag Kundennr. 57332" selbst entlarven.

Eine E-Mail von DHL, die den Kunden Max Mustermann namentlich auffordert, sich auf einer gut gefälschten Packstation-Seite einzuloggen, weil alle Kunden in Hamburg von einem Datenverlust betroffen sind, wird mit Sicherheit eher zum Erfolg führen als das übliche Gestammel herkömmlicher Phishing-Nachrichten.

Um solche Phishing-Versuche zu vermeiden, hilft eine einfache Grundregel: Zum Login bei Ebay, der Packstation und anderen Diensten sollte man nie Links in E-Mails anklicken, sondern immer die Adressen der Websites direkt im Browser eintippen und aufrufen. Denn Phishing-Mails enthalten in der Regel einen Link zu einer Web-Seite, die der Seite des betroffenen Unternehmens vordergründig stark ähnelt, tatsächlich aber auf einem von Kriminellen betriebenen Server liegt, der nur dem Datendiebstahl dient.

Die entwendeten Sony-Datensätze sind aber auch ein guter Rohstoff für noch präzisere, auf bestimmte Personen ausgerichtete Angriffe, sogenanntes Spear-Phishing. Der Aufwand bei solchen Angriffen ist höher, aber bei besonders interessanten Opfern könnte sich das für Kriminelle lohnen: Mit den erbeuteten E-Mail-Adressen könnte man über Dienste wie Facebook Details zum persönlichen Umfeld der Nutzer abfragen (wenn derjenige diese Informationen nicht über die Datenschutzeinstellungen schützt). Mit diesen Zusatzinformationen lassen sich dann sehr vertrauenerweckende Nachrichten konstruieren - zum Beispiel ein Hinweis von einem Bekannten per E-Mail auf einen interessanten Artikel, ein witziges Video oder sonst etwas im Netz, das man unbedingt anklicken muss.

Solche Links führen dann auf präparierte Seiten, über die ein Virus oder Trojaner eingeschleust wird. Drive-by nennt man Schadsoftware-Attacken, bei denen die Verbreitung des Schädlings durch bloßes Besuchen einer Web-Seite eingeleitet wird.

Wie können Kriminelle Kreditkarten nutzen?

Sollten tatsächlich Kreditkartendaten entwendet worden sein, werden Kriminelle versuchen, diese Informationen zu Geld zu machen. Chatprotokolle zwischen Händlern geklauter Kreditkartendaten und Kunden belegen, dass kriminelle Dienstleistungen wie Kartenfälschungen gängig sind. Da ist die Rede von Kartendruckern (dafür sollen 1400 Euro fällig sein), Blanko-Karten, Software zum Beschreiben, Visa-Hologrammstickern (abgerechnet wird in Quadratzentimetern) und Tracks mit den verschlüsselten Informationen zur Geheimzahl.

In vielen Fällen fliegen solche Betrugsversuche aber auf, bevor Kriminelle mit den geklauten Kartendaten großen Schaden anrichten können. In einem Fall im Jahr 2010 haben alle befragten Besitzer gestohlener Kreditkartendatensätze, die in Foren kursierten, SPIEGEL ONLINE bestätigt, dass ihre Karten von den Banken gesperrt wurden, bevor sie selbst einen Missbrauch bemerkt hatten. Die Kreditkartenunternehmen bemerken missbräuchliche Buchungen, indem sie Zahlungsströme in Echtzeit analysieren und mit den bisherigen Zahlungsprofilen der Karten abgleichen. Die Analysesoftware hat eine Vorstellung davon, was normales Zahlungsverhalten ist. Weicht eine Karte davon ab, gibt es einen Hinweis auf ungewöhnliche Buchungen. Gegebenenfalls empfiehlt die Kreditkartenfirma der Bank, die Karte zu sperren.

Natürlich wissen erfahrene Kriminelle auch, dass Kreditkartenunternehmen Zahlungsströme analysieren und dass eine Abbuchung von 2000 Euro bei den meisten Kreditkartenbesitzern auffällt. Sie werden also geschickter vorgehen und versuchen, die Missbrauchsalgorithmen der Kreditkartenfirmen zu überlisten.

Was tun bei Verdacht auf illegale Abbuchungen von der Kreditkarte?

Wer befürchtet, dass seine Kreditkartendaten in die Hände der Hacker geraten sind, sollte möglichst schnell handeln, sagt der Mastercard-Sprecher Thorsten Klein. Zunächst sollte jede Transaktion über das Kreditkartenkonto überprüft und nachvollzogen werden. "Bei dem geringsten Verdacht eines Missbrauchs sollten sich die Kunden unverzüglich an ihre Hausbank wenden", sagt Klein. Denn in der Regel hafte bei einem Missbrauch der Kartendaten nicht das Kreditkartenunternehmen, sondern die Bank, die dem Kunden die Kreditkarte ausgestellt hat.

Sobald der Kunde seinen Verdacht bei der Bank anmeldet, können dort alle Einkäufe mit der Kreditkarte zusätzlich zu den standardmäßigen Kontrollen überwacht werden. Auffällige Transaktionen werden dem Karteninhaber dann gemeldet, und bei Bedarf wird die Zahlung abgebrochen. Im äußersten Fall bleibt die Kartensperrung. "Verunsicherten Kunden empfehlen wir, die Karte sofort sperren zu lassen", sagt Constanze Stempel, Sprecherin der Berliner Sparkasse. Die alten Kartendaten sind dann ungültig, niemand kann fortan mit der Kreditkartennummer im Netz einkaufen, die im Playstation-Netzwerk hinterlegt ist. Drei bis vier Tage dauere es, bis eine neue Karte zur Verfügung stehe. "Für den Kunden ist das kostenlos", sagt Constanze Stempel. Möglich ist, dass die betroffenen Banken die Kosten für den Umtausch bei Sony einfordern. Wie sich einzelne Banken aber konkret verhalten werden, ist derzeit noch unklar - immerhin hat Sony noch nicht zugegeben, dass die Kartendaten gestohlen wurden. Bislang handelt es sich also um einen reinen Verdacht.

Als der Ticketanbieter Kartenhaus im Jahr 2007 einem Hack zum Opfer fiel und massenweise Kreditkartendaten entwendet wurden, bot Kartenhaus seinen Kunden an, die Kosten für die Kartensperrung zu übernehmen.

Hat Sony seine Kunden rechtzeitig informiert?

Nach eigenen Angaben war Sony der Datendiebstahl zunächst nicht bekannt. Demnach wurde der Einbruch in das Netzwerk am 19. April festgestellt. Da hatten die Einbrecher bereits zwei Tage Zugang zu dem System. Als erste Reaktion schaltete das Unternehmen das Playstation- und Qriocity-Netzwerk ab, als Grund wurde lediglich ein "Einbruch" angegeben. Erst eine Woche später, in der Nacht von Dienstag auf Mittwoch in der Woche nach Ostern, informierte Sony die mehr als 70 Millionen Nutzer über den Datendiebstahl.

Sony habe sich offensichtlich Zeit gelassen, seinen Kunden den Datendiebstahl mitzuteilen, sagte der australische Sicherheitsexperte Mark Gregory ABCNews . Das Unternehmen habe nicht nur das Netzwerk heruntergefahren und untersucht, sondern gleichzeitig mit seinen PR-Beratern nach einer Strategie gesucht, die Auswirkungen herunterzuspielen.

Gregory forderte klare gesetzliche Regeln. Unternehmen müssten verpflichtet werden, einen Datendiebstahl sowohl öffentlich zu machen als auch die Betroffenen individuell zu informieren. Außerdem rief er dazu auf, verbindliche Richtlinien für den Betrieb von Netzwerken zu schaffen. "Wir haben Richtlinien für Energiesparhäuser und für die Sicherheit von Autos, für alle diese Dinge. Aber wo sind die Richtlinien für digitale Netzwerke?"

Sony entschuldigt die verspätete Information der Kunden damit, dass erst in Zusammenarbeit mit einer externen Firma das Ausmaß des Einbruchs und des Datendiebstahls festgestellt werden konnten. Die forensische Analyse habe bis Montag angedauert - gleich am Dienstag (Ortszeit) habe man die Kunden informiert.

Sony plant, Teile des Playstation-Netzwerks noch diese Woche wieder zu öffnen. Nutzer der Konsole können bis zur Wiederherstellung des Netzwerks ihre PS3 nur noch offline nutzen, nicht mehr online spielen oder Filme herunterladen.

Gibt es Hinweise auf die Täter?

Bisher sind keine belastbaren Hinweise auf die Einbrecher öffentlich geworden. Eine Vermutung ist, dass der Angriff ein Racheakt von Hackern gewesen sein könnte, nachdem Sony den Playstation-Hacker GeoHot verklagte. Der 21-Jährige, der schon Apples iPhone geknackt hatte, manipulierte auch den Schutzmechanismus der Konsole. Mit seinem Jailbreak war es möglich, Software auf der Konsole zu installieren, welche die Prüfinstanzen von Sony nicht durchlaufen hat. Die Anleitung dazu veröffentlichte er im Internet.

Nach der Klage einigten sich der Konzern und der Hacker außergerichtlich. Er musste versprechen, die Software nicht mehr zu vertreiben und schrieb daraufhin in einem Blog, er schließe sich einem Boykott von Sony-Produkten an. Sonys Hightech-Konsole galt bis dahin als relativ sicher.

Sony hat die amerikanische Bundespolizei FBI eingeschaltet. Das Unternehmen habe sich an das Büro in San Diego gewandt, das auf Computerkriminalität spezialisiert ist, sagten Ermittler der "New York Times" . Eine Sprecherin des FBI in San Francisco wollte sich gegenüber dem "Wall Street Journal"  nicht weiter zu dem Fall äußern. Womöglich gebe es aber später diese Woche weitere Informationen, sagte sie der Zeitung.

Die Internet-Guerilla Anonymous, die Sony wegen des juristischen Vorgehens gegen den Playstation-Hacker GeoHot ins Visier genommen hatte, wies eine Beteiligung zurück. Anonymous hatte dazu aufgerufen, das Playstation-Network am 16. April mit Anfragen zu überfluten und lahmzulegen. Die Aktion gilt allerdings als gescheitert. "Diesmal waren wir es nicht" , heißt es nun in einem Blogeintrag, in dem Sony als "inkompetent" beschimpft wird. Allerdings könne man nicht ausschließen, dass einzelne Anonymous-Anhänger auf eigene Faust gehandelt hätten.

Wie oft kommt es zu solchen Einbrüchen?

Der Einbruch in das Playstation-Netzwerk ist spektakulär - selten sind solche Datendiebstähle allerdings nicht. "Das passiert häufig, und man kann nichts dagegen machen", sagte der renommierte Sicherheitsexperte Bruce Schneier der "LA Times" . Dauerhafte Schäden entstünden Einzelpersonen durch solche Datendiebstähle in der Regel aber nicht.

Diesen Monat musste die Online-Marketingfirma Epsilon einen riesigen Datendiebstahl vermelden: Das Unternehmen versendete im Auftrag von Kunden wie der Großbank JP Morgan Chase, der Supermarktkette Kroger oder des Elektronikmarktes Best Buy E-Mails mit Werbung. Hacker konnten sich Zugriff auf E-Mail-Adressen und Hausanschriften verschaffen. Damals wurden mehrere Millionen Datensätze entwendet.

Datenklau im großen Stil

Banken in verschiedenen Ländern tauschen Kreditkarten aus, weil Kundendaten gestohlen wurden - vermutlich bei einem spanischen Abrechnungsdienstleister. Neben Deutschland, wo bereits hunderttausende Karten aus Sicherheitsgründen ausgetauscht wurden, sind auch Banken in Österreich, Finnland und Schweden betroffen.

Ein junger Mann soll persönliche Daten von mehr als einer Million Nutzern des Online-Netzwerks SchülerVZ kopiert haben, um damit 80.000 Euro von den Betreibern zu erpressen. Er wird am 19. Oktober festgenommen. In der Untersuchungshaft begeht er Selbstmord.

Mehr als zehntausend europäische Konten des E- Mail-Anbieters Hotmail sind offenbar gehackt und ins Internet gestellt worden. Am 7. Oktober berichtet die britische BBC, dass auch Nutzer von Yahoo, AOL und Google betroffen sind - rund 30.000 Datensätze seien veröffentlicht worden.

In den USA beginnt ein Prozess um den bis dahin größten Fall von Datendiebstahl im Internet. Drei Männer sollen die Daten von 130 Millionen Kreditkarten geknackt haben - rund zehn Prozent aller in den USA ausgegebenen Kreditkarten. Im März 2010 wird der Computer-Hacker Albert Gonzalez zu 20 Jahren Gefängnis verurteilt.

Auf dem Schwarzmarkt sind nach Recherchen der "Wirtschaftswoche" Bankverbindungen von 21 Millionen Bundesbürgern illegal im Umlauf. Dem Magazin wurden die Daten zum Preis von knapp zwölf Millionen Euro angeboten.

Bei der Deutschen Telekom sind 17 Millionen Handy-Nummern und Kundendaten in falsche Hände gelangt. Sie wurden der Mobilfunksparte T-Mobile bereits im Jahr 2006 entwendet, wie der Konzern mitteilt. Darunter sollen geheime Nummern und Privatadressen von Politikern, Wirtschaftsführern und Milliardären sein.

Dem Bundesverband der Verbraucherzentralen wurden sechs Millionen Datensätze angeboten, davon vier Millionen mit Kontonummern. Außerdem taucht in Kiel eine neue CD mit mehr als 130.000 illegalen Datensätzen aus Call-Centern auf.

Der Verbraucherzentrale Schleswig-Holstein wurde eine CD mit Daten von 17.000 Bundesbürgern zugespielt. Sie enthält Angaben über Name, Geburtsdatum, Adresse, Kontoverbindungen und Telefonnummern. Bei allen soll es sich um Kunden der Süddeutschen Klassenlotterie (SKL) handeln.