Sechs Tage nachdem Sony sein Playstation Network (PSN) und den Video- und Musikservice Qriocity abgeschaltet hat, gab der japanische Elektronik-Konzern gestern in seinem offiziellen Playstation-Blog eine Erklärung ab. War zuvor lediglich von einem "externen Eingriff" die Rede, findet sich nun das Eingeständnis, daß zwischen dem 17. Und 19. April ein Hacker-Angriff stattfand, bei dem vermutlich ein Zugriff auf sämtliche rund 77 Millionen KundInnen-Daten erfolgte: Name, Anschrift und Geburtsdatum, eMail-Adresse sowie Log-in und Paßwort. Sony kann offenbar nicht einmal ausschließen, daß auch die Profilangaben inklusive Kaufhistorie und Rechnungsanschrift sowie die Sicherheitsfrage zum Paßwort den Hackern in die Hände fielen und daß Kreditkarten von KundInnen mißbraucht werden können.
Sony räumte ein: "Falls Sie Ihre Kreditkarteninformationen im Playstation Network oder Qriocity angegeben haben, möchten wir Sie sicherheitshalber darüber unterrichten, daß auf Ihre Kreditkartennummer (…) zugegriffen werden konnte. Um sich vor möglichem Identitätsdiebstahl oder finanziellem Verlust zu wappnen, raten wir Ihnen, Ihre Konto-Aktivitäten wachsam zu beobachten und sämtliche Kontoauszüge zu überwachen," heißt es in Sonys Blog-Eintrag. Sony kann noch keine Angaben machen, wann PSN und Qriocity wieder hochgefahren werden.
Alles deutet - entgegen den offiziellen Verlautbarungen - darauf hin, daß die Sony-Server nicht sonderlich gut geschützt waren. Spekulationen, ob es sich um einen professionellen oder einen amateurhaften Hacker-Angriff handelte, sind daher verfrüht. Gerüchte sind zudem in Umlauf, daß es sich um einen Racheakt von Hackern handelte, die sich für das rigorose Vorgehen von Sony rächen wollten.
So bedroht Sony etwa den deutschen Playstation-Hacker 'graf_chokolo' mit einer Geldbuße von 750.000 Euro, weil dieser es ermöglichte, Linux wieder auf der Playstation 3 zu nutzen. Sony hatte dies zuvor verboten. Sony erstatte Anzeige gegen 'graf_chokolo', seine Wohnung wurde von der Polizei durchsucht und sein Computer beschlagnahmt. Ebenfalls ins Visir des japanische Elektronik-Konzern war der Hacker 'GeoHot' geraten. Er hatte den Schutzmechanismus der Playstation geknackt, so daß auf ihr kopierte und selbst gemachte Spiele laufen konnten. Die Anleitung dazu veröffentlichte er im Internet. Die Hacker-Gruppe 'Anonymous', die aus Gründen der Solidarität mit 'GeoHot' einige empfindliche Angriffe auf die Sony-Server geführt hatte, distanzierte sich von dem aktuellen Angriff. 'Anonymous' hatte bereits vor über eine Woche erklärt, mit seinen Angriffen der "Gamer"-Szene, die nun durch das Abschalten von PSN beeinträchtigt ist, nicht schaden zu wollen. Sony hatte sich zudem Ärger mit DatenschützerInnen eingehandelt, nachdem verbreitet geworden war, daß der Konzern widerrechtlich den CW-Code von Kreditkarten seiner KundInnen gespeichert habe.
Wie aus einem IRC Chat Log vom 16. Februar hervorgeht, wurde der Sicherheits-Standard bei Sony aufgrund fundierter Informationen als nicht sonderlich hoch eingeschätzt. Dieser IRC Chat Log ist nachzulesen auf
http://www.thehackernews.com/2011/04/complete-irc-chat-of-playstation.html
Außerdem ist hier die Information zu finden, daß Sony noch vor nicht allzu langer Zeit alle Informationen über http - also unverschlüsselt - versendete, auch Kreditkarten-Daten seiner KundInnen.
Insider vermuten, daß eine kleine Hacker-Gruppe Tips bekam, und sich so per SQL-Injection relativ einfach Zugang zu den Sony-Servern verschaffen konnte.* Es wäre auch denkbar, daß die Eindringlinge auf der Basis der kürzlich verbreiteten firmeneigenen PSN-Software 'Rebuc' vorgingen. Diese firmeneigene Software erlaubt über jede Sony-Console einen Zugang zum internen Sony-Entwickler-Netzwerk - ein Zugang, der allerdings für einfache KundInnen verschlossen ist. Es kursieren jedoch Berichte, daß diejenigen, die diesen Zugang öffnen konnten, im Sony-Entwickler-Netzwerk etliche neue Hack-Werkzeuge vorfanden - bis hin zur Nutzung gefälschter Kredit-Karten-Angaben. Vermutet wird, daß die Sony-Sicherheitvorkehrungen schlicht keine interne Attacke aus einem "Vertrauensbereich" heraus ins Kalkül gezogen hatten.
Ein für IT-SpezialistInnen schockierendes Detail besteht darin, daß PSN-Paßwörter veröffentlicht wurden. Offenbar waren die PSN-Paßwörter bei Sony nicht einmal codiert, sondern in offenen - sprich: menschen-lesbaren - Dateien abgespeichert.
Der Daten-Super-GAU bei Sony ("Super" deswegen, weil er über den GAU, den größsten anzunehmenden Unfall im Sicherheitssystem, gegen den technische Vorsorge getroffen wurde, hinausging) erhebt erneut die Frage nach dem "Restrisiko" bei komplexen Technologien. Er zeigt ebenso wie die Reaktor-Katastrophe von Fukushima auf, daß dieses "Restrisiko" nicht als "vernachlässigbar" beiseite geschoben werden darf. Bei der Atomenergie handelt es sich wegen der Gefährlichkeit der radioaktiven Strahlung für alles Leben um ein enormes Gefahren-Potential. Im Gegensatz hierzu ist das Gefahren-Potential bei der Speicherung von Daten nicht systembedingt, sondern kann weitgehend ausgeschlossen werden. Denn im Bereich der Daten wächst das Risiko mit der Menge der gespeicherten Daten - und außer Profit-Gründen spricht alles gegen die zentrale Sammlung riesiger Datenmengen. Dies ist auch das Hauptargument der Volkszählungs-GegnerInnen.
Es sollte in (zukünftigen) Demokratien möglich sein, daß die Mehrheit entscheidet, welche Risiken akzeptabel sind und welche nicht. Solche Entscheidungen sollten nicht einer Minderheit überlassen bleiben, die allein am Profit orientiert ist.
Anmerkungen
* [2.05.11] Wie heute publik wurde, deutet alles darauf hin,
daß der Angriff der Hacker mit simpler SQL-Injection ausgeführt wurde. Schätzungsweise jeder zehnte Teenager verfügt heute über das hierzu nötige Basiswissen. Die Zugriffs-Variante per SQL-Injection ist für Sony die weitaus peinlichere, denn dies wirft ein bezeichnendes Licht auf die "Sicherheitskultur" des japanischen Elektronik-Konzerns. Die Datenbank auf dem Server war offenbar überhaupt nicht gesichert.
Siehe auch unsere Artikel:
Daten-Skandal
Schnüffel-Software in Apples iPhone (21.04.11)
Zweiter Anlauf
zur Internet-Zensur (11.04.11)
Erfolg gegen Internet-Zensur
Das Gesetz zur Sperrung von Internet-Seiten fällt (5.04.11)
Big Brother Award 2011 für
Facebook, Apple und Daimler (1.04.11)
Paßwort-Dienst greift zu Holzhammer
c't-Redaktion ausgesperrt (24.03.11)
Die virtuelle Diskussions-Armee
ist im Anmarsch (22.02.11)
EU-Kommissarin Malmström
kämpft weiter für Internet-Zensur (17.02.11)
EU mit Appetit auf Passagier-Daten
Speicherung angeblich zum Zweck der Terrorabwehr (3.02.11)
Luxenburger Piratenpartei
gegen Volkszählung (28.01.11)
Neo-Nazis wollen bundesweit schnüffeln
"Zensus 2011" bietet Einfallstor (23.01.11)
Datenspeicher Küchentisch
"Zensus 2011" wenig durchdacht (21.01.11)
Internationale Liga für Menschenrechte
unterstützt Volkszählungs-Boykott (8.01.11)
Volkszählung "Zensus 2011"
Die NPD will helfen (6.01.11)
Volkszählungs-GegnerInnen
legen Verfassungsbeschwerde ein (16.07.10)
Daten-Krake ELENA eingefroren
Moratorium für elektronischen Einkommensnachweis (6.07.10)
google und Zensur
Deutschland weit vorne (21.04.10)
Internet-Sperren und Cecilia Malmström
Unfähig zur Diskussion (15.04.10)
Internet-Zensur nun aus Brüssel?
Vorwand Kinderpornographie und erschreckende
Ignoranz gegenüber Sachargumenten (29.03.10)
Internet-Sperren-Gesetz von der Leyens
soll gestoppt werden (27.12.09)
Vorwurf gegen Postbank
Waren Daten von KundInnen nicht geschützt? (26.10.09)
Mielke geistert weiter durch deutsche Telefone
Zahl der Abhör-Aktionen steigt dynamisch (23.09.09)
Demo "Freiheit statt Angst" in Berlin
20.000 gegen Überwachungswahn (13.09.09)
'aspekte'-Sendung mit Kritik an Internet-Sperren-Gesetz
Ex-Bundesverfassungsrichter Hoffmann-Riem
äußert schwerwiegende Bedenken (1.08.09)
Internet - Kinderpornographie - Vorwand für politische Zensur
Anhörung im Bundestag (4.06.09)
Internet - Kinderpornographie - Vorwand für politische Zensur
Regierung spricht von Gremium zur Kontrolle des BKA (26.05.09)
Gegen politische Zensur des Internets
Online-Petition gegen Internetsperre
am ersten Tag mehr als 16.000 UnterzeichnerInnen (5.05.09)
Datenschutz-Affaire bei Drogeriekette Müller?
Systematische "Krankenrückkehrgespräche" (18.04.09)
Mit Stop-Schild gegen Kinderpornos?
Arbeitskreis gegen Internetsperren und Zensur gegründet (17.04.09)
Aufstehn für ein freies Internet
CCC will "Zensursula" besuchen (16.04.09)
wikileaks.de gesperrt
Beginn der Internet-Zensur in Deutschland? (11.04.09)
Hausdurchsuchung bei Inhaber der Domain wikileaks.de
Aktionismus gegen Kinderpornographie
als Vorwand für politische Zensur (25.03.09)
Bahn-Datenaffäre: "Brandbeschleuniger"
Mehdorn sorgt mit Briefwechsel für Eskalation (11.03.09)
Bundesverfassungsgericht stoppt Wahl-Computer
Die Manipulierbarkeit von elektronischen Speichersystemen,
'Wikipedia' und Internet-Umfragen (3.03.2009)
Aktionismus gegen Kinderpornographie
zielt auf Zensur des Internets
Im Visier ist das letzte Kommunikationsfeld
für freie linke Nachrichten (1.02.09)