Öffentlichkeit spät informiert - Sammelklage - Kreditkarten-Daten gesichert - Komplett neue Infrastruktur in Arbeit
Nach außen hin reichlich unbekümmert kündigte Sony am Dienstag zwei iPad-Konkurrenten für den Herbst an. Doch hinter den Kulissen herrschte bereits seit gut einer Woche Panik in dem japanischen Konzern. Der Grund: Zwischen dem 17. und 19. April hatten Cyberkriminelle sich in das Unternehmen eingehackt - der WebStandard berichtete. Was sie dort an Daten erbeuteten, gab das Unternehmen dann erst am späten Dienstagabend in Firmenblogs bekannt: Adressen, Passwörter und möglicherweise auch Kreditkarten-Nummern von rund 77 Millionen Nutzern der Sony-Spielkonsole Playstation sowie des Video- und Musikservices Qriocity. Auch hundertausende User in Österreich sind davon betroffen.
Sicherheitshalber
"Falls Sie Ihre Kreditkarteninformationen im PlayStation Network oder Qricocity angegeben haben, möchten wir Sie sicherheitshalber darüber benachrichtigen, dass auf ihre Kreditkartennummern (exklusive Ihres Sicherheitscodes) sowie auf die Gültigkeitsdauer zugegriffen werden konnte", informierte das Management höflich.
Die Höflichkeit nutzt aber wenig. Zahlreiche Kunden kritisieren nun die zögerliche Informationspolitik des Unternehmens hart: "Ihr habt eine Woche gewartet uns mitzuteilen, dass uns persönlichen Informationen gestohlen wurden? Das hättet ihr uns vor einer Woche sagen müssen!", schimpft ein User im Sony-Blog. Ein anderer schreibt: "Dieses Update kommt sechs Tage zu spät. Ich glaube, es ist an der Zeit, zu einem anderen Netzwerk zu wechseln." Nach der Attacke hatte Sony die betroffenen Netzwerke mit der Begründung "Wartungsarbeiten" abgeschaltet.
Schmach
Für Sony ist der Hacker-Angriff auch sonst eine Schmach. Obwohl der Hardware- und Softwareumsatz mit Videospielen zuletzt weltweit zurückgegangen ist, bleibt die Playstation ein wichtiger Gewinnbringer und eines der prestigeträchtigsten Produkte des Unternehmens. Der Aktienkurs von Sony fiel am Mittwoch um zwei Prozent.
Bei allem Ärger können die Kunden zumindest in einer Hinsicht beruhigt sein: Für etwaige Schäden aus einer möglichen Manipulation müssen die Karten-Inhaber nicht haften, heißt es seitens der Banken. Sie sollten aber dennoch ihre Abrechnungen genauestens prüfen.
Erste Sammelklage
In den USA wurde indes die erste Sammelklage gegen Sony eingereicht. Die in Kalifornien ansässige Anwaltskanzlei Rothken Law Firm hat im Namen von Kristopher Johns aus Alabama die Klage eingereicht, wonach Sony es verabsäumt hatte, "die privaten Daten seiner Kunden ausreichend zu schützen". Johns fordert eine noch undefinierte Summe an Schadensersatz, die Kanzlei Rothken will durch eine Sammelklage noch weitere verärgerte Kunden an Bord holen.
"Bislang keine Schäden"
Einer aktuellen Stellungnahme Sonys nach, seien bislang allerdings keine Betrugsfälle gemeldet worden. "Alle Daten waren geschützt und der Zugang wurde sowohl physisch als auch durch Sicherheitssysteme im Netzwerk geschützt", erklärt der verantworktliche PlayStation Network-Manager Patrick Seybold. Ein möglicher Missbrauch von Daten könne nie ausgeschlossen werden, allerdings sei "das komplette Verzeichnis mit den Kreditkartendaten verschlüsselt gewesen". "Wir haben keinerlei Beweis, dass die Kreditkartendaten entwendet wurden", so Seybold.
Komplett neue Sicherheitsarchitektur
Die sonstigen Kundeninformationen, wie Name, Anschrift, Geburtsdatum, seien zwar unverschlüsselt, aber zumindest bis zum Einbruch durch das Sicherheitssystem des Netzwerks geschützt gewesen. Um künftigen Angriffen besser vorbeugen zu können, werde die "Infrastruktur des Netzwerks in ein neues Daten-Center, eine sicherere Umgebung verlagert". Sobald das Netzwerk wieder online ist, werden User automatisch aufgefordert, ihr Passwort zu ändern. Nähere Informationen dazu würden in Kürze bekannt gegeben.
Zur Verfolgung des Angreifers und Aufklärung des Vorfalls arbeite Sony sowohl mit einer externen Sicherheitsfirma, als auch mit den Behörden zusammen.
Imageschaden, aber vermutlich keine Kundenverluste
Laut Branchenanalysten werde Sony hart daran arbeiten müssen, dass Vertrauen seiner Kunden wieder zu gewinnen. Allerdigns, so etwa Michael Pachter von WedbushMorgen Securities, müsse Sony keine massenhaften Abwanderungen seiner Kunden befürchten. "Das ist eine riesige Unanehmlichkeit, aber Kunden werden dadurch kein Geld verlieren", so Pachter. Sony hingegen müsse allein durch die entgangenen Online-Verkäufe in den Tagen des PSN-Ausfalls mit Gewinneinbußen von rund 6 Millionen US-Dollar rechnen. Hinzu kämen Kompensationen für zahlende PS Plus-Kunden in der Höhe von etwa 10 Millionen Dollar sowie die Kosten für den zusätzlichen PR-Aufwand und die Kosten für die Arbeiten an der Sicherheitsinfrastruktur.
Betroffene Kunden
Betroffene Kunden würden indes dazu angehalten, ihre Online-Passwörter für Webseiten zu ändern, auf denen die gleichen Login-Informationen verwendet wurden, wie bei ihren PSN-Accounts. Nachdem die Kreditkarteninformationen verschlüsselt waren und die dreistelligen Sicherheitscodes nicht gespeichert wurden, seien auch keine unauthorisierten Abbuchungen zu befürchten. Regelmäßige Updates zum Vorfall und stellt Sony auf einer offizillen Webseite bereit. (zw/Reuters/kat)
