Datenklau: 25 Millionen weitere Sony-Kunden betroffen

Sony Corp's Executive Deputy President Kazuo Hirai speaks at a news conference to apologise for a massive security breach of its PlayStation Network in Tokyo May 1, 2011. Kazuo Hirai, the frontrunner to take over the top job at Sony Corp , apologised on Sunday for a security breach that allowed hackers to gain access to personal information on 77 million accounts for its PlayStation Network service. REUTERS/Kim Kyung-Hoon (JAPAN - Tags: CRIME LAW SCI TECH BUSINESS) © REUTERS | REUTERS

Zu den 77 Millionen bereits bekannten Geschädigten kommen weitere knapp 25 Millionen Kunden. Auch Bankdaten sollen gehackt worden sein.

San Francisco. Der Umfang des Diebstahls von Kundendaten beim Unterhaltungskonzern Sony ist offenbar noch größer als ursprünglich angenommen. Betroffen seien womöglich auch 24,6 Millionen Kunden des Onlinespiele-Netzwerks Sony Online Entertainment (SOE), wie der japanische Konzern mitteilte. Bislang hatte Sony die Zahl der Betroffenen mit 77 Millionen Kunden angegeben, von denen teils wohl auch Bankdaten gestohlen wurden.

Auf dem SOE-Netzwerk können Nutzer von Spielkonsolen ebenso wie Nutzer normaler Computer über das Internet mit anderen Spielern zusammen spielen. Zu den bekanntesten Angeboten zählen Spiele wie „Star Wars Galaxy“ und „Everquest“. Zudem bietet SOE auch Spiele im sozialen Netzwerk Facebook an. Nach Bekanntwerden des Angriffs schloss Sony das SOE-Netzwerk vorübergehend.

„Wir hatten zunächst geglaubt, dass Kundendaten von Sony Online Entertainment nicht von dem Cyberangriff auf die Firma betroffen waren“, erklärte Sony. Darauf gebe es nun allerdings doch Hinweise. Neben den aktuellen Daten von 24,6 Millionen Kunden könnte demnach auch eine alte Datenbank aus dem Jahr 2007 mit Bankkarten und Buchungsdaten betroffen sein.

Die Kriminellen erbeuteten bei ihrem Angriff demnach – soweit die SOE-Nutzer dies angegeben hatten – Angaben zu Namen, Adressen, E-Mail-Adressen, Geschlecht, Geburtsdaten, Telefonnummern, Logindaten und Passwörtern.

Die veraltete Datenbank von 2007 enthielt demnach zudem die Nummern und Gültigkeitsdaten von ungefähr 12.700 Kredit- oder Debitkarten von Kunden außerhalb der USA sowie etwa 10.700 Buchungsauszüge mit Bankkontennummern von Kunden in Deutschland, Österreich, den Niederlanden und Spanien.

Sony hatte erst vergangene Woche bekanntgegeben, dass Hacker das Online-Netzwerk der Spielkonsole Playstation und des Musik- und Filmdienstes Qriocity geknackt und sensible Daten gestohlen hätten. Rund 77 Millionen Nutzer weltweit warnte der Konzern daraufhin per E-Mail vor möglichem Datenklau. Sony kündigte auch eine Überprüfung der Sicherheit seiner anderen Onlinespiele-Plattformen an.

Die Hinweise auf die Millionen weiteren Betroffenen hatten sich laut Sony schon am Sonntag ergeben. An die Öffentlichkeit ging der Konzern damit allerdings erst am Montagabend. Das Unternehmen war bereits zuvor kritisiert worden, weil es die Kunden erst vergleichsweise spät über die Attacke auf die Nutzerdaten informierte, die schon Mitte April erfolgt war.

Schutz vor Datenklau - Die wichtigsten Fragen und Antworten:

Wie verbreitet ist der Datendiebstahl durch Betrüger?

Das Abgreifen von Daten und der Betrug mit Kreditkarten- und Kontoinformationen ist einer der am stärksten wachsenden Kriminalitätszweige. Das Bundeskriminalamt verzeichnete 2009 einen drastischen Anstieg, neuere Angaben liegen noch nicht vor. Es gab laut Kriminalitätsstatistik 22.963 Fälle von Computerbetrug, 35 Prozent mehr als im Vorjahr.

Der Betrug mit illegal erlangten Zahlungsdaten nahm demnach um 6,1 Prozent auf 70.918 Fälle zu. Kreditkarten-Informationen seien längst eine „Handelsware im Internet", sagt Nora Basting vom Bundesamt für Sicherheit in der Informationstechnik (BSI).

Kann man sich überhaupt davor schützen, dass die eigenen Daten gestohlen werden?

„Da kann der Verbraucher nichts vorbeugend tun, außer grundsätzlich möglichst sparsam mit seinen persönlichen Daten umzugehen", sagt Basting. Wer im Internet Dinge kauft, muss darauf vertrauen, dass der Händler oder Anbieter sorgsam mit den Informationen umgeht.

Wer einen Internet-Shop dubios findet, sollte von einem Kauf besser absehen. Sony als einer der führenden Anbieter von Unterhaltungselektronik und -software bietet aber kaum einen Anhaltspunkt, dass hier besondere Vorsicht nötig wäre.

Was kann man grundsätzlich tun?

Der Datendiebstahl bei Sony zeigt, dass Informationen nirgends vollkommen sicher aufgehoben sind. BSI-Expertin Basting rät Nutzern deshalb, nur so viele Daten zu hinterlassen wie unbedingt nötig. „Wir raten nicht grundsätzlich davon ab, Kreditkartendaten anzugeben", sagt sie.

Vorsicht sei bei Passwörtern angebracht: Selbstverständlich solle man nicht ein und dasselbe Passwort überall benutzen – sonst kann sich ein Hacker viel zu schnell Zugang zu den unterschiedlichsten Internetdiensten verschaffen.

Thomas Schlüter, Sprecher des Zentralen Kreditausschusses, erklärt: „Kreditkartenabrechnungen sollte man sehr genau prüfen." Bei verdächtigen Abbuchungen sollten sich Kunden sofort mit ihrer Bank in Verbindung setzen. Sony-Kunden rät er indes zur Besonnenheit. „Eine Kartensperrung zum jetzigen Zeitpunkt ist nicht nötig, weil noch gar nicht sicher ist, dass Daten abhandengekommen sind."

Wer muss zahlen, wenn ein Betrüger mit gestohlenen Kreditkartendaten einkauft?

Der Kunde kann aufatmen. „Für Schäden aus möglichen Manipulationen muss er nicht haften", sagt Schlüter. Die Kosten übernehme die Bank.

Was tun die Unternehmen zum Schutz vor Missbrauch der Daten?

Unternehmen können den Kreditkartenfirmen melden, wenn sie wissen, dass ihnen Kundendaten abhandengekommen sind. Die Information wird dann an die Banken weitergeleitet. Die muss dann entscheiden, ob sie die Karte sperrt und austauscht oder erst einmal unter besondere Beobachtung stellt.

Generell überwachen die Kreditkartenfirmen den Zahlungsverkehr. Wer erst in Berlin und kurz darauf in Kanada etwas mit ein und derselben Karte bezahlt, könne schon mal einen Anruf vom Kundencenter bekommen, um zu klären, ob alles mit rechten Dingen zugeht, sagt Schlüter.