PlayStation Network – Schlamperei und die Strategie der Diebe

Lesezeit: 2 MinutenDie Affäre um das PlayStation Network nimmt ungeahnte Dimensionen an. Über 70 Millionen gestohlene Datensätze machen den Angriff auf die Online-Dienste der PS3 zum wahrscheinlich größten Datendiebstahl der Geschichte. Sicherheitsexperten sprechen von “Schlamperei” und “Hilflosigkeit” seitens Sony, angesichts der Sicherheitslücken und der Kommunikationspolitik. Derweil dürften die Datendiebe inzwischen ihre Beute zu Geld gemacht haben.

Sicherheitsexperten laufen Sturm

Sascha Pfeiffer, Sicherheitsberater beim Softwareanbieter Sophos und Alan Paller, Forschungschef beim Sicherheitsunternehmen Sans Institute haben sich über die Sicherheits- und Informationspolitik von Sony Computer Entertainment geäußert.
Pfeiffer sagte:
“Sonys Kommunikationspolitik ist ein Zeichen der Hilflosigkeit. Die werden eine Woche überlegt haben, ob jemandem eine geniale Idee kommt, die Sicherheitslücke zu stopfen.
[…]
Dass ein Datendiebstahl in diesem Ausmaß bei Sony möglich war, ist ein Zeichen großer Nachlässigkeit. So etwas kann nur passieren, wenn jemand schlampt.”

Alan Paller sagte gegenüber der Nachrichtenagentur Reuters, dass es sich um den “bislang größten Diebstahl persönlicher Daten” handeln könnte.

Allem Anschein nach handelt es sich bei dem Hackerangriff, der ursächlich für die Abschaltung von PlayStation Network und Qriocity war, nicht um eine Attacke einer Hacker-Gruppe wie beispielsweise Anonymus, sondern um eine gezielte und vor allem profit-orientierte Tat. Allein die erbeuteten Email-Adressen von über 70 Millionen PSN-Nutzern sind nach Ansicht von Sicherheitsexperten ein Vermögen wert, da es sich mit großer Wahrscheinlichkeit um aktive und oft abgerufene Email-Konten handelt. Zwischenhändler würden zwischen fünf und zehn Cent je Adresse zahlen. Das entspricht im Idealfall für die Diebe einer Summe von bis zu sieben Millionen Euro.

Aber die Beute dürfte noch deutlich größer ausfallen. Denn die Kreditkarteninformationen dürften in Verbindung mit den kompletten Datensätzen noch einmal mehrere Millionen Euro wert sein. Auch wenn Sony beteuert, dass diese Daten verschlüsselt worden seien. Da sich die Kreditkarten-Informationen allerdings wahrscheinlich schon in den Händen von Profis befinden, ist mit einer akuten Welle von geplünderten Konten nicht zu rechnen.

Sicherheitsexperte Pfeiffer weist darauf hin, dass echte Profis abwarten würden, bis das Thema in den Nachrichten an Brisanz verloren hat oder sogar ganz verschwunden ist.

“Es dauert vielleicht drei Wochen, dann ist das aus dem Bewusstsein der Nutzer verschwunden, dann kontrollieren sie nicht mehr regelmäßig die Kreditkartenabbuchungen – solange dürften die Profis abwarten.”

Und auch dann dürften keine riesigen Einzelsummen zu erwarten sein, die von heute auf morgen widerrechtlicht den Besitzer wechseln. Die Kreditkartenunternehmen haben längst mit intelligenten Überwachungsalgorithmen gegen Kreditkartenbetrug aufgerüstet. Diese Programme erstellen aus dem Kontoverhalten der Besitzer ein Geld-Bewegungs-Profil, wissen also wieviel Geld normaler Weise ausgegeben wird. Weichen Zahlungen von diesem erstellten Muster ab, warnt das Kreditkartenunternehmen die zuständige Bank und hält im Zweifelsfall die Zahlung zurück. Daher ist zu erwarten, dass kleinere Beträge von 20, 50 oder 70 Euro entwendet werden, sollten die Kreditkarteninfos tatsächlich gestohlen worden sein.

Der Schaden

Die Webseite Heise.de hat bereits gestern die Schäden des Angriffs versucht zu beziffern. Unter Berufung auf nicht näher genannte Experten kommt die Technik-Seite auf eine Summe von bis zu 24 Millarden US-Dollar. Unklar ist, welche Kosten darin genau enthalten sind. Sony wird sich mit Entschädigungen für Kunden, Publisher, Entwickler, den Kosten für den Umbau des PlayStation Networks, eine gewaltige Klagewelle und etwaige Regressansprüche von Usern, Banken und Kreditkartenunternehmen herumschlagen müssen.