Kunden trauen Sony nicht mehr

Der möglicherweise grösste Datenraub der Geschichte hat das Vertrauen in das japanische Traditionsunternehmen stark erschüttert. Nur noch 16 Prozent der 20-Minuten-Online-Leser würden bei Sony mit Kreditkarte bezahlen. 70 Prozent wollen dem Playstation-Konzern keine Kreditkarten-Daten mehr anvertrauen.

Mitte April wurde das Sony Playstation-Network (PSN) gehackt. Über 100 Millionen Nutzerdaten wie Namen, Adressen und Passwörter wurden von Unbekannten gestohlen. Erst gut eine Woche später informierte der Konzern seine Kunden über den Daten-GAU. Wie viele Kreditkarten-Nummern in die Hände der Hacker gefallen sind, ist unklar. Sony spricht von 12 Millionen Kreditkarten, die betroffen sein könnten. In Hacker-Kreisen ist von 2,2 Millionen Kreditkarten-Sätzen die Rede, die in einschlägigen Foren zum Verkauf angeboten würden. In der Schweiz sind 60 000 Playstation-Nutzer betroffen, die im PSN-Store mit einer Kreditkarte bezahlt haben.

Vor einer Woche musste Sony zugeben, dass bei der Tochterfirma Sony Online Entertainment (weitere) 12 700 Kreditkarten-Nummern aus dem Jahr 2007 entwendet worden sind. Der Einbruch bei der Tochterfirma wurde von Sony erst am 2. Mai entdeckt oder erst dann kommuniziert.

Nach dem gigantischen Diebstahl von Kundendaten sind am Samstag Informationen über rund 2500 Teilnehmer eines Gewinnspiels ins Internet gelangt. Sie seien von dem japanischen Konzern entdeckt und entfernt worden, berichtete unter anderem das «Wall Street Journal».

Die Hacker sollen eine «Schwäche in einem Server für Webanwendungen» ausgenutzt haben. Dadurch gelang es ihnen, ein Programm auf dem Server auszuführen, das ihnen Zugriffe auf die Datenbanken erlaubte. Brisant: Inzwischen hat Gene Spafford, ein renommierter Uni-Professor für IT-Sicherheit, unter Eid über Gespräche in einem Internet-Forum ausgesagt, das von Sicherheitsexperten und Sony-Mitarbeitern genutzt wird. Dies schreibt das deutsche PC-Magazin «CHIP». Man habe schon vor Monaten festgestellt, dass Sony eine sehr veraltete Version der Server-Software Apache verwendete. Die Software sei ungepatcht und nicht von einer Firewall geschützt gewesen.

Spafford war bis 2005 einer der Berater des US-Präsidenten in IT-Fragen. Er sagte, die Lücken in der Sicherheit seien vor mehreren Monaten gemeldet worden. Sonys Reaktion: Keine Updates der Software, keine Bestätigung, dass das Problem überhaupt existiere.

Bei der Attacke sei eine Datei namens «Anonymous» auf einem Server hinterlassen worden, teilte Sony in einem Brief an einen US-Parlamentsausschuss mit, den es ausserdem auf seiner Website veröffentlichte. Die Datei habe den Text «We are Legion» (zu deutsch: «Wir sind eine Heerschar») enthalten. Dies sei der inoffizielle Wahlspruch des Kollektivs «Anonymous», einem losen Zusammenschluss von Internetaktivisten und Hackern. Sony war in die Schusslinie von «Anonymous» geraten, weil es einen Hacker verklagte, der die firmeneigene Spielkonsole Playstation knackte.

Anonymous gibt zu, Attacken gegen das PSN lanciert zu haben, bestreitet indes, in den Datenraub verwickelt zu sein. Nun haben sich zwei Anonymous-Veteranen in der «Financial Times» zu Wort gemeldet. «Der Hacker, der die Daten gestohlen hat, unterstützte Anonymous' Angriffe», sagen sie. In einem Anonymous-Chatroom sei zudem über die technischen Details der Attacke gesprochen worden.

Die Anonymous-Mitglieder argumentieren, dass es müssig sei, über die Beteiligung des Hacker-Kollektivs am Datenraub zu spekulieren. «Wenn du sagst, du bist Anonymous und du tust etwas als Anonymous, dann ist es Anonymous», sagt einer der Hacker und ergänzt: «Nur weil der Rest von Anonymous eventuell nicht einverstanden ist, bedeutet dies nicht, dass es nicht Anonymous war. Allerdings kann man nicht das Kollektiv für etwas beschuldigen, dass eine oder zwei Personen getan haben.»

Am 20. April fuhr Sony aus Sicherheitsgründen sämtliche Playstation-Online-Dienste runter. Seither ist es nicht mehr möglich, Spiele aus dem PSN-Store herunterzuladen oder PS3-Spiele übers Internet zu spielen. Obwohl Sony vor einer Woche den raschen Neustart des Playstation-Networks ankündigte, ist der Service weiterhin offline. Gestern wurde bekannt, dass Sony mehr Zeit braucht, um das System mit externen Sicherheitsfirmen sicherer zu machen.

Das Playstation-Netzwerk (PSN) und der Streaming-Dienst Qriocity werden auch die nächsten drei Wochen nicht zur Verfügung stehen. Dies die jüngste Hiobsbotschaft von Sony. Das Unternehmen stolpert nach Bekanntwerden des Datenklaus von einer Panne zur nächsten. Wie ein Sony-Sprecher laut Nachrichtenagentur Bloomberg sagte, ist das Unternehmen nicht sicher, wann es die Online-Dienste wieder anbieten kann. Geplant ist der 31. Mai. Damit würde der Ausfall (Downtime) der Server sechs Wochen betragen.