Angriffe auf Kundendaten nehmen kein Ende. Jetzt ist eine Hackergruppe an Nutzerdaten von mehr als einer Million Kunden gelangt.

New York/Berlin. Amerikanische Hacker sind erneut in Computer des japanischen Sony-Konzerns eingedrungen und haben sich nach eigenen Angaben den Zugang zu Datensätzen von mehr als einer Million Kunden verschafft. Betroffen sind Dienste der Filmtochter Sony Pictures Entertainment. Ein Sony-Sprecher in den USA teilte mit, die Sache werde noch geprüft.

„Wir sind gerade bei SonyPictures.com eingebrochen und an mehr als 1.000.000 persönliche Nutzerdaten gelangt, einschließlich Passwörter, E-Mail-Adressen, Postadressen und Geburtsdaten“, erklärte die Hackergruppe Lulz Security (LulzSec) am Donnerstag in einer schriftlichen Mitteilung. Aus Mangel an Ressourcen seien nicht alle Daten kopiert worden, sondern nur eine Auswahl. Etwa 50 000 Datensätze wurden nach einem Bericht des Magazins „Wired“ im Internet veröffentlicht. Dabei soll es sich um Daten von Personen handeln, die sich an Werbeaktionen von Sony beteiligt haben.

Lulz Security erklärte, die Server von Sony Pictures seien einfach zu knacken gewesen, mit einem als „SQL Injection“ bezeichneten Verfahren, bei dem Datenbankabfragen manipuliert werden. Moderne Server- und Datenbanksoftware verfügt in der Regel über Schutzvorkehrungen, die solche Art von Angriffen von vornherein ausschließen.

Die Passwörter seien unverschlüsselt aufbewahrt worden, erklärten die Hacker. Zu ihren Beweggründen gaben sie an, sie hätten demonstrieren wollen, wie unsicher die Server von Sony seien. Neben Sony Pictures seien auch Datenbanken für das Musikgeschäft von Sony in Belgien und den Niederlanden betroffen.

Die Hackergruppe Lulz Security ist erst in diesem Jahr öffentlich hervorgetreten. Bisherige Aktionen waren ein Angriff auf die Website des konservativen Fernsehsenders Fox und eine Attacke auf den öffentlich-rechtlichen Rundfunksender PBS aus Protest gegen eine Dokumentation über die Enthüllungsplattform Wikileaks.

Im Internet gab es unterschiedliche Reaktionen auf das Vorgehen der Hacker. Die einen Stimmen im Kurzmitteilungsdienst Twitter begrüßten es, dass auf diese Weise Sicherheitslücken offen gelegt worden seien. Andere, darunter auch Kunden der Filmangebote von Sony, protestierten scharf gegen den Angriff auf ihre Daten.

Erst im April hatten Unbekannte die Sony-Netzwerke für Konsolen- und Computerspiele sowie den Film- und Musikdienst Qriocity geknackt. Dadurch bekamen sie Zugang zu mehr als 100 Millionen Kundendatensätzen. Sony ist gerade dabei, die wochenlang abgeschalteten Netze wieder vollständig hochzufahren. Das Management beteuerte wiederholt, nach dem riesigen Datendiebstahl alles Erdenkliche für mehr Sicherheit getan zu haben.

Schutz vor Datenklau - Die wichtigsten Fragen und Antworten:

Wie verbreitet ist der Datendiebstahl durch Betrüger?

Das Abgreifen von Daten und der Betrug mit Kreditkarten- und Kontoinformationen ist einer der am stärksten wachsenden Kriminalitätszweige. Das Bundeskriminalamt verzeichnete 2009 einen drastischen Anstieg, neuere Angaben liegen noch nicht vor. Es gab laut Kriminalitätsstatistik 22.963 Fälle von Computerbetrug, 35 Prozent mehr als im Vorjahr.

Der Betrug mit illegal erlangten Zahlungsdaten nahm demnach um 6,1 Prozent auf 70.918 Fälle zu. Kreditkarten-Informationen seien längst eine „Handelsware im Internet", sagt Nora Basting vom Bundesamt für Sicherheit in der Informationstechnik (BSI).

Kann man sich überhaupt davor schützen, dass die eigenen Daten gestohlen werden?

„Da kann der Verbraucher nichts vorbeugend tun, außer grundsätzlich möglichst sparsam mit seinen persönlichen Daten umzugehen", sagt Basting. Wer im Internet Dinge kauft, muss darauf vertrauen, dass der Händler oder Anbieter sorgsam mit den Informationen umgeht.

Wer einen Internet-Shop dubios findet, sollte von einem Kauf besser absehen. Sony als einer der führenden Anbieter von Unterhaltungselektronik und -software bietet aber kaum einen Anhaltspunkt, dass hier besondere Vorsicht nötig wäre.

Was kann man grundsätzlich tun?

Der Datendiebstahl bei Sony zeigt, dass Informationen nirgends vollkommen sicher aufgehoben sind. BSI-Expertin Basting rät Nutzern deshalb, nur so viele Daten zu hinterlassen wie unbedingt nötig. „Wir raten nicht grundsätzlich davon ab, Kreditkartendaten anzugeben", sagt sie.

Vorsicht sei bei Passwörtern angebracht: Selbstverständlich solle man nicht ein und dasselbe Passwort überall benutzen – sonst kann sich ein Hacker viel zu schnell Zugang zu den unterschiedlichsten Internetdiensten verschaffen.

Thomas Schlüter, Sprecher des Zentralen Kreditausschusses, erklärt: „Kreditkartenabrechnungen sollte man sehr genau prüfen." Bei verdächtigen Abbuchungen sollten sich Kunden sofort mit ihrer Bank in Verbindung setzen. Sony-Kunden rät er indes zur Besonnenheit. „Eine Kartensperrung zum jetzigen Zeitpunkt ist nicht nötig, weil noch gar nicht sicher ist, dass Daten abhandengekommen sind."

Wer muss zahlen, wenn ein Betrüger mit gestohlenen Kreditkartendaten einkauft?

Der Kunde kann aufatmen. „Für Schäden aus möglichen Manipulationen muss er nicht haften", sagt Schlüter. Die Kosten übernehme die Bank.

Was tun die Unternehmen zum Schutz vor Missbrauch der Daten?

Unternehmen können den Kreditkartenfirmen melden, wenn sie wissen, dass ihnen Kundendaten abhandengekommen sind. Die Information wird dann an die Banken weitergeleitet. Die muss dann entscheiden, ob sie die Karte sperrt und austauscht oder erst einmal unter besondere Beobachtung stellt.

Generell überwachen die Kreditkartenfirmen den Zahlungsverkehr. Wer erst in Berlin und kurz darauf in Kanada etwas mit ein und derselben Karte bezahlt, könne schon mal einen Anruf vom Kundencenter bekommen, um zu klären, ob alles mit rechten Dingen zugeht, sagt Schlüter.