Startseite
Sie sind hier: Home > Spiele > News >

Daten-GAU: Neue Lücke bei Sony entdeckt

...
t-online.de ist ein Angebot der Ströer Content Group

Daten-GAU: Neue Lücke bei Sony entdeckt

19.05.2011, 14:49 Uhr | vb / as / jr

Daten-GAU: Neue Lücke bei Sony entdeckt. Datendiebstahl aus Playstation Network (Bild: imago / Montage: www.t-online.de)

Sony will seine Kunden gegen Datendiebstahl versichern (Bild: imago / Montage: www.t-online.de)

Nachdem das Playstation Network (PSN) wieder stabil lief und Sony den Nutzern bereits Entschädigungen in Aussicht gestellt hatte, waren Online-Dienst und die Passwort-Vergabeseite im Internet zwischenzeitig wieder beeinträchtigt. Der Grund: Sony hatte eine neue Sicherheitslücke auf der extra eingerichteten Anmeldeseite im Playstation-Netzwerk, auf der sich die Kunden nach dem letzten Hack neue Passwörter für ihre Accounts einrichten sollen, entdeckt. Inzwischen, versichert Sony, habe man die "URL-Exploit" genannte Sicherheitslücke geschlossen, und die Anmeldeseite funktioniere wieder. Man sei weiter dabei. die Onlinedienste wieder hochzufahren. Am Dienstag, dem 24. Mai soll das Spiele-Netz von Sony Online Entertainment wieder zur Verfügung stehen. Bias Ende Mai soll auch Sonys Online-Shop live gehen.

Passwort-Problem

Der Neustart verlief nicht reibungslos. Auf der nach dem PS3-Firmware-Update und dem PSN-Relaunch extra eingerichteten Passwort-Vergabeseite konnte man ein neues Passwort beantragen, ohne dass der Kunde dabei eindeutig und zuverlässig identifiziert wurde. Sony verlangte zur Authentifizierung lediglich die Eingabe der mit dem PSN-Account verknüpften E-Mail-Adresse sowie das angegebene Geburtsdatum. Also genau die Daten, die bei dem Hacker-Angriff Mitte April entwendet wurden. Hacker im Besitz dieser Informationen hätten folglich mit Leichtigkeit fremde Accounts kapern können. Sony beteuert aber, dass die internen Passwort-Server des PSN nicht betroffen sind. Daher kann man sich via PS3 oder mit einer mobilen PSP-Spielekonsole unverändert am Playstation Network (PSN) anmelden und sein Passwort ändern. Allerdings ist diese Option auf Geräte beschränkt, die vor dem PSN-Hack bereits für den Account aktiviert waren.

Die aktuelle Anmelde-Prozedur

Die Anmelde-Vorgang von Sony sorgt zumindest dafür, dass der rechtmäßige Account-Inhaber gewarnt wird. Sobald ein Hacker das Passwort eines gekaperten PSN-Accounts modifiziert, wird der Besitzer via E-Mail darüber informiert und darauf hingewiesen, dass sein Passwort erfolgreich geändert wurde. Wenn diese Änderung nicht vom rechtmäßigen Besitzer veranlasst wurde, sollte dieser umgehend reagieren und sich beim Sony-Support melden. Denn sobald das Passwort eines Accounts erfolgreich geändert ist, hat der Angreifer den vollen Zugriff, kann alle Daten einsehen und verändern und so einen enormen finanziellen Schaden anrichten. Die Computer-Fachzeitschrift c't berichtet allerdings auch, dass das Problem auf Anwenderseite liegen könnte. Es sei möglich, dass ein Angreifer die von Sony verschickte Passwort-Reset-Mail mitlesen und so an den darin enthaltenen Authentifizierungslink gelangen könne. Um das zu vermeiden, solle man seine E-Mails nach Möglichkeit per gesicherter SSL-Verbindung abrufen und den PC mit aktuellen Virenscannern absichern.

Veraltete Protokolle und Software

Unterdessen sind schwere Vorwürfe gegen das Unternehmen laut geworden. Das Magazin "Computer Bild" berichtet, dass die Daten auf den Servern von Sony alles andere als gut geschützt waren. Auch Sony-Präsident Howard Stringer geriet durch kritische Nachfragen einiger Journalisten in Bedrängnis. Dem Bericht zufolge hat die Hacker-Gruppe Anonymous dem Magazin Informationen zugespielt, die von einer früheren DDOS-Attacke gegen Sony stammen. Den Protokollen zufolge lief auf einigen Servern stark veraltete Sicherheitssoftware. So habe Sony zur verschlüsselten Datenübertragung beispielsweise eine längst überholte Version des SSH-Protokolls. Diese und weitere Lücken hätten es den Hackern leicht gemacht, an die 100 Millionen Datensätze zu gelangen, so "Computer Bild". Der Konzern hat bislang kein offizielles Statement dazu abgegeben, Pressesprecher Guido Alt antwortete auf Anfrage des Magazins allerdings, dass er nichts von veralteter und ungepatchter Software wisse.

Datenschutz in der "schlechten neuen Welt"

Auch Sony-Chef Howard Stringer gerät in die Defensive. Auf die Frage, warum man erst eine Woche nach dem Angriff die Öffentlichkeit informiert habe, reagierte Stringer ungehalten: "Über die meisten dieser Einbrüche berichten die Firmen niemals. 43 Prozent informieren die Betroffenen innerhalb eines Monats. Wir haben das innerhalb einer Woche gemacht. Sie wollen mir erzählen, dass meine Woche nicht schnell genug war?" Auch der Vorwurf, man habe sich nicht entsprechend abgesichert, wurde zurückgewiesen. In den mehr als zehn Jahren des Bestehens der Sony-Online-Dienste sei es nie zu einem derartigen Angriff gekommen, so Stringer. "Es gab keinen Grund zu glauben, dass unsere Sicherheitsvorkehrungen nicht gut waren, und es gibt noch immer keinen Grund." Trotzdem schließt Stringer nach dem massiven Datendiebstahl eine hundertprozentige Sicherheit des Sony-Spiele-Netzwerks aus. In der "schlechten neuen Welt" der Internetkriminalität könne er die Sicherheit nicht mehr garantieren, sagte Stringer der Nachrichtenagentur Dow Jones. Der Schutz persönlicher Daten sei ein "endloser Prozess" und er wisse nicht, ob jemand "hundertprozentig sicher" sein könne, sagte Stringer.

Kostenloser Identitätsschutz demnächst verfügbar

Um den Schutz der PSN-Nutzer in Deutschland, Frankreich, Spanien, Italien und Großbritannien soll sich künftig das Unternehmen Affinion kümmern. Der Sicherheits-Dienstleister richtet auf Verlangen einen Überwachungs- und Benachrichtigungsdienst ein, der Alarm schlägt, sobald der Name des Spielers im Internet missbräuchlich verwendet wird. Neben einer speziellen Hotline gibt es auch eine Versicherung, welche die Nutzer bei einem Identitätsdiebstahl absichert. Für die Nutzung des Dienstes ist eine Anmeldung erforderlich; man muss mindestens 18 Jahre alt sein und seinen PSN-Account bis zum 20. April 2011 eingerichtet haben. Danach sind die Services von Affinion für 12 Monate lang kostenlos nutzbar. Bislang ist eine Anmeldung für den Dienst noch nicht möglich, Sony will hierzu in den nächsten Tagen Details bekannt geben. Aktuell versucht der japanische Konzern, die durch den Daten-GAU und den daraus resultierenden Ausfall der Online-Dienste entstandenen Kosten zu beziffern. Experten schätzen den Gesamtschaden auf rund zwei Milliarden US-Dollar.


Liebe Leser, bitte melden Sie sich an, um diesen Artikel kommentieren zu können. Mehr Informationen.
Neue Kommentare laden
Leserbrief schreiben

Für Kritik oder Anregungen füllen Sie bitte die nachfolgenden Felder aus. Damit wir antworten können, geben Sie bitte Ihre Adresse an.

Name
E-Mail
Betreff
Nachricht

Wählen Sie aus dem Pull-Down-Menü Ihren gewünschten Ansprechpartner aus. Vielen Dank für Ihre Mitteilung.

Artikel versenden

Empfänger

Absender

Name
Name
E-Mail
E-Mail
Anzeige
Video des Tages
Anzeige


Anzeige
shopping-portal