Zu den 77 Millionen bereits bekannten geschädigten Sony-Kunden kommen weitere knapp 25 Millionen Kunden. Auch Bankdaten sollen gehackt worden sein.
San Francisco. Der größten Hacker-Angriff der Geschichte nimmt noch größere Ausmaße an: 102 Millionen Nutzer statt wie bislang angenommen 77 Millionen Nutzer der Spielekonsole Playstation sind nach Angaben des japanischen Konzerns Sonys die Daten gestohlen worden. Bislang hatte Sony die Zahl der Betroffenen mit 77 Millionen Kunden angegeben, von denen teils wohl auch Bankdaten gestohlen wurden. „Wir hatten zunächst geglaubt, dass Kundendaten von Sony Online Entertainment nicht von dem Cyberangriff auf die Firma betroffen waren“, erklärte Sony. Darauf gebe es nun allerdings doch Hinweise. Neben den aktuellen Daten von 24,6 Millionen Kunden könnte demnach auch eine alte Datenbank aus dem Jahr 2007 mit Bankkarten und Buchungsdaten betroffen sein.
Nachdem das Problem bereits einige Tage untersucht worden war, hatte der Konzern am 19. April die entsprechenden Seiten im Internet gesperrt. Der Datenschutzbeauftragte in Hamburg, Johannes Caspar, kritisierte Sony scharf. "Das Unternehmen hätte sofort nach Bekanntwerden des Datenlecks informieren müssen", sagte Caspar dem Abendblatt. "Dies ist nach dem Bundesdatenschutzgesetz so vorgesehen und müsste auch im internationalen Maßstab gelten, damit die Betroffenen Vorsorge gegen einen Missbrauch ihrer Daten treffen können."
Die Kriminellen erbeuteten bei ihrem Angriff demnach – soweit die SOE-Nutzer dies angegeben hatten – Angaben zu Namen, Adressen, E-Mail-Adressen, Geschlecht, Geburtsdaten, Telefonnummern, Logindaten und Passwörtern.
Die veraltete Datenbank von 2007 enthielt demnach zudem die Nummern und Gültigkeitsdaten von ungefähr 12.700 Kredit- oder Debitkarten von Kunden außerhalb der USA sowie etwa 10.700 Buchungsauszüge mit Bankkontennummern von Kunden in Deutschland, Österreich, den Niederlanden und Spanien.
Sony hatte erst vergangene Woche bekanntgegeben, dass Hacker das Online-Netzwerk der Spielkonsole Playstation und des Musik- und Filmdienstes Qriocity geknackt und sensible Daten gestohlen hätten. Rund 77 Millionen Nutzer weltweit warnte der Konzern daraufhin per E-Mail vor möglichem Datenklau. Sony kündigte auch eine Überprüfung der Sicherheit seiner anderen Onlinespiele-Plattformen an.
Die Hinweise auf die Millionen weiteren Betroffenen hatten sich laut Sony schon am Sonntag ergeben. An die Öffentlichkeit ging der Konzern damit allerdings erst am Montagabend. Das Unternehmen war bereits zuvor kritisiert worden, weil es die Kunden erst vergleichsweise spät über die Attacke auf die Nutzerdaten informierte, die schon Mitte April erfolgt war.
Schutz vor Datenklau - Die wichtigsten Fragen und Antworten:
Wie verbreitet ist der Datendiebstahl durch Betrüger?
Das Abgreifen von Daten und der Betrug mit Kreditkarten- und Kontoinformationen ist einer der am stärksten wachsenden Kriminalitätszweige. Das Bundeskriminalamt verzeichnete 2009 einen drastischen Anstieg, neuere Angaben liegen noch nicht vor. Es gab laut Kriminalitätsstatistik 22.963 Fälle von Computerbetrug, 35 Prozent mehr als im Vorjahr.
Der Betrug mit illegal erlangten Zahlungsdaten nahm demnach um 6,1 Prozent auf 70.918 Fälle zu. Kreditkarten-Informationen seien längst eine „Handelsware im Internet", sagt Nora Basting vom Bundesamt für Sicherheit in der Informationstechnik (BSI).
Kann man sich überhaupt davor schützen, dass die eigenen Daten gestohlen werden?
„Da kann der Verbraucher nichts vorbeugend tun, außer grundsätzlich möglichst sparsam mit seinen persönlichen Daten umzugehen", sagt Basting. Wer im Internet Dinge kauft, muss darauf vertrauen, dass der Händler oder Anbieter sorgsam mit den Informationen umgeht.
Wer einen Internet-Shop dubios findet, sollte von einem Kauf besser absehen. Sony als einer der führenden Anbieter von Unterhaltungselektronik und -software bietet aber kaum einen Anhaltspunkt, dass hier besondere Vorsicht nötig wäre.
Was kann man grundsätzlich tun?
Der Datendiebstahl bei Sony zeigt, dass Informationen nirgends vollkommen sicher aufgehoben sind. BSI-Expertin Basting rät Nutzern deshalb, nur so viele Daten zu hinterlassen wie unbedingt nötig. „Wir raten nicht grundsätzlich davon ab, Kreditkartendaten anzugeben", sagt sie.
Vorsicht sei bei Passwörtern angebracht: Selbstverständlich solle man nicht ein und dasselbe Passwort überall benutzen – sonst kann sich ein Hacker viel zu schnell Zugang zu den unterschiedlichsten Internetdiensten verschaffen.
Thomas Schlüter, Sprecher des Zentralen Kreditausschusses, erklärt: „Kreditkartenabrechnungen sollte man sehr genau prüfen." Bei verdächtigen Abbuchungen sollten sich Kunden sofort mit ihrer Bank in Verbindung setzen. Sony-Kunden rät er indes zur Besonnenheit. „Eine Kartensperrung zum jetzigen Zeitpunkt ist nicht nötig, weil noch gar nicht sicher ist, dass Daten abhandengekommen sind."
Wer muss zahlen, wenn ein Betrüger mit gestohlenen Kreditkartendaten einkauft?
Der Kunde kann aufatmen. „Für Schäden aus möglichen Manipulationen muss er nicht haften", sagt Schlüter. Die Kosten übernehme die Bank.
Was tun die Unternehmen zum Schutz vor Missbrauch der Daten?
Unternehmen können den Kreditkartenfirmen melden, wenn sie wissen, dass ihnen Kundendaten abhandengekommen sind. Die Information wird dann an die Banken weitergeleitet. Die muss dann entscheiden, ob sie die Karte sperrt und austauscht oder erst einmal unter besondere Beobachtung stellt.
Generell überwachen die Kreditkartenfirmen den Zahlungsverkehr. Wer erst in Berlin und kurz darauf in Kanada etwas mit ein und derselben Karte bezahlt, könne schon mal einen Anruf vom Kundencenter bekommen, um zu klären, ob alles mit rechten Dingen zugeht, sagt Schlüter.