Der Datendiebstahl im Playstation-Network macht seit gestern Abend sogar der bevorstehenden Hochzeit von Kate und William Konkurrenz, wenn es um die allgemeine Medienaufmerksamkeit geht. Immerhin könnte der PSN-Hack, bei dem vermutlich bis zu 70 Millionen Kundenkonten ausgelesen wurden, als größter Datenraub in die Geschichte der Informationstechnologie eingehen. Wir informieren euch hier aktuell über Auswirkungen und Konsequenzen aus dem PSN-Hack.

Was ist passiert? Ein kurzer Überblick

In der Zeit vom 17. zum 19.April 2011 verschaffen sich Hacker Zugriff auf die Kundendaten der knapp 75 Millionen Playstation-Network User. Sie greifen auf Daten wie Name, Anschrift und email-Adresse der Nutzer zu. Außerdem kommen sie in Besitz der Kreditkarten-Daten, sprich Kreditkartennummer, Ablaufdatum und Sicherheitsnummer. Gerade diese Daten sind ausgesprochen sensibel, können sie doch bereits von Fremden dazu genutzt werden, im Internet einkaufen zu gehen. 

Sony nimmt als ersten Schritt das PSN vom Netz, informiert allerdings erst knapp eine Woche nach dem Hacker-Angriff seine Kunden über den Datenverlust und rät ihnen, ihre Kreditkarten-Kontobewegungen zu überwachen. Das Medienecho auf diesen Datenraub nimmt daraufhin seit Montag ungeahnte Größe an. 

Besonders ärgerlich: Schon im Februar berichteten Hacker über die recht dürftige SSL-Verschlüssung der PS3, die z.B. Kreditkarteninfos als unverschlüsselt Textdatei versendet. 

Stellungnahme von Sony im Playstation Blog (26.04.2011)

Geschätzte PlayStation Network und Qriocity Kunden,

wir mussten feststellen, dass in der Zeit vom 17. April bis zum 19. April 2011 bestimmte Services des PlayStation Network sowie Qriocity mittels illegalen und unberechtigten Eingreifens in das Netzwerk angegriffen wurden. Als Folge dieser Eingriffe haben wir:

• 1. vorübergehend sämtliche PlayStation Network und Qriocity Services ausgeschaltet;
• 2. eine außenstehende, anerkannte Sicherheitsfirma damit beauftragt, eine vollständige und lückenlose Untersuchung zu den Geschehnissen durchzuführen;
• 3. zügig alle notwendigen Schritte unternommen, um die Sicherheit zu verbessern sowie um die Struktur des Netzwerkes zu stärken, indem das gesamte System umgebaut wurde, um eine optimale Sicherung Ihrer persönlichen Daten zu gewährleisten.

Wir schätzen aufs Äußerste Ihre Geduld, Ihr Verständnis sowie Ihre Kulanz, während wir alles nur mögliche tun, um diese Angelegenheit schnellst- und bestmöglich aufzuklären und zu bearbeiten.

Auch wenn wir derzeit noch bei der Untersuchung aller relevanten Details zu dem Vorfall sind, meinen wir, dass sich eine unbefugte Person Zugriff zu folgenden persönlichen Daten verschaffen konnte: Name, Adresse (Stadt, Bundesland, Postleitzahl), Land, E-Mail Adresse, Geburtsdatum, PlayStation Network/ Qriocity Passwort und Login sowie PSN Online ID. Es kann darüber hinaus möglich sein, dass auch Ihre Profilangaben inklusive Ihrer Kaufhistorie und Ihrer Rechnungsanschrift (Stadt, Bundesland, Postleitzahl) sowie die Sicherheitsfragen zu Ihrem Passwort widerrechtlich abgerufen wurden. Falls Sie einem zweiten Konto für einen Unterhaltsberechtigten zugestimmt haben, kann es sein, dass oben genannte Angaben Ihres Unterhaltsberechtigten ebenfalls angeeignet wurden. Obwohl es derzeit keine Anzeichen dafür gibt, dass auf Kreditkarteninformationen widerrechtlich zugegriffen wurden, können wir diese Möglichkeit nicht gänzlich außer Betracht lassen. Falls Sie Ihre Kreditkarteninformationen im PlayStation Network oder Qriocity angegeben haben, möchten wir Sie sicherheitshalber darüber benachrichtigen, dass auf Ihre Kreditkartennummer (exklusive Ihres Sicherheitscodes) sowie auf die Gültigkeitsdauer zugegriffen werden konnte.

Für Ihre eigene Sicherheit möchten wir Sie inständig bitten, besonders wachsam vor potenziellen Gaunereien via E-Mail, Telefon und Post zu sein, in denen persönliche, private Informationen ausgehorcht werden. Sony wird Sie in keiner Form kontaktieren – auch nicht per E-Mail -, um Kreditkarten-, Sozialversicherungs-, Steueridentifikationsnummern oder andere Informationen zur Person zu erfragen. Sollten Sie danach gefragt werden, können Sie sich sicher sein, dass Sony nicht der Adressat der Anfrage ist. Sobald das PlayStation Network und alle Qriocity Services vollständig wieder hergestellt sind, empfehlen wir Ihnen eindringlich, nach dem Einloggen Ihr Passwort zu ändern. Sollten Sie darüber hinaus den Benutzernamen oder das Passwort, welchen/-s Sie im PlayStation Network oder Qriocity nutzen, auch für andere unabhängige Dienste oder Konten verwenden, empfehlen wir Ihnen eindringlich, auch diese zu ändern.

Um sich vor möglichem Identitätsdiebstahl oder finanziellem Verlust zu wappnen, bestärken wir Sie, Ihre Kontoaktivitäten wachsam zu überprüfen und sämtliche Kontoauszüge zu überwachen.

Wir bedanken uns für Ihre Geduld, während wir unsere Ermittlungen abschließen und bedauern die entstandenen Unannehmlichkeiten. Unsere Mitarbeiter arbeiten ununterbrochen daran, unsere Services schnellstmöglich wieder zu Verfügung zu stellen. Sony nimmt die Wahrung persönlicher Daten äußerst ernst und wird daher weiter unablässig daran arbeiten, zusätzliche Sicherheitsmaßnahmen zu ergreifen, damit die sensiblen persönlichen Daten gesichert sind. Unsere höchste Priorität ist, Ihnen als Kunden Qualität und sichere Unterhaltungsservices zu bieten. Kontaktieren Sie uns bitte unterde.playstation.com/psnoutage sollten Sie irgendwelche zusätzlichen Fragen haben.

Mit freundlichen Grüßen,

Sony Network Entertainment und die Sony Computer Entertainment Teams

Quelle: Playstation Blog

Chronologie der Ereignisse

01.04.2010: Sony führt PS3 Update 3.21 ein, das älteren PS3-Konsolen (Die Modelle vor der Slim-Ära) die Möglichkeit nimmt, Linux auf der Konsole zu installieren. Sony nennt Systemsicherheit als Grund, warum der Linux-Support gestrichen wurde. Die kleine, aber sehr aktive PS3 Homebrew-Szene zeigt sich enttäuscht. 

03.01.2011: George "Geohot" Hotz (bekannt geworden durch den Jailbreak des iPhones) veröffentlicht den Rootkey der PS3. Damit ist der Kopierschutz der Konsole gebrochen und jede Art von fremder Software und Firmware kann auf der PS3 installiert werden. 

12.01.2011: Sony verklagt George Hotz und die Hackergruppe fail0verflow und erwirkt vor Gericht eine einstweilige Verfügung. 

28.01.2011: Sony will mit Firmware 3.56 die Rootkey-Sicherheitslücken schließen. Hacker melden bereits wenige Stunden später, den Schutz erneut gecrackt zu haben. 

13.02.2011: Erste Raubkopien großer PS3-Titel sind auf Tauschbörsen verfügbar. So auch Killzone 3. 

14.02.2011: Georg Hotz wendet sich mit einem Rap-Video an die Öffentlichkeit und wirft Sony vor, zu Unrecht gerichtlich gegen ihn vorzugehen. 

17.02.2011: Sony warnt in einer offiziellen Stellungnahme seine Kunden davor, Programme oder Hardware zu nutzen, die den Kopierschutz der Konsole umgehen oder Änderungen an der Firmware vornehmen 

18.02.2011: Hacker schaffen es, fremde PSN-Konton zu sperren und gesperrte Konten wieder zu freizuschalten. 

20.02.2011: Hacker melden, dass die SSL-Verschlüsselung der PS3 große Sicherheitslücken aufweist und die Kreditkarteninformationen als unverschlüsselte Textfiles gesendet werden. 

24.02.2011: Sony ordnet Hausdurchsuchung beim deutschen Hacker "graf_chokolo" an.

05.03.2011: Sony erhält unter anderem IP-Daten für Youtube-User, die sich Videos zum Thema PS3-Jailbreak angesehen haben. 

04.04.2011: Hackergruppe Anonymous erklärt Sony wegen den laufenden Gerichtsverfahren gegen Geohot & Graf_Chokolo den Krieg und kündigt gezielte Hacking-Attacken an. 

12.04.2011: Sony und Hacker Geohot legen Rechtsstreit außergerichtlich bei. Eingung soll schon am 31.03.2011 erzielt worden sein. George Hotz verpflichtet sich in einer Unterlassungserklärung den Rootkey weiter zu verbreiten und weitere Hackingversuche zu unternehmen. Trotz Einigung ruft Hotz in seinem Blog nach Bekanntgabe der Einigung zum Boykott von Sony Geräten auf. 

14.04.2011: Anonymous kündigt Hacking-Großangriff auf Sony an.  

17.04.-19.04.2011: Unbekannte Hacker verschaffen sich Zugang zum Playstation-Network und haben Zugriff auf die kompletten Kundendaten aller 75 Millionen Playstation-Network User. Sony hält den Angriff vorerst geheim. 

20.04.2011: Sony beginnt damit, das Playstation Network und den Musik-Dienst Qriocity abzuschalten. Gründe nennt der Konzern nicht. User berichten ab Freitag weltweit in Foren, dass sie sich nicht mehr ins PSN einloggen können. 

21.04.2011: Sony lässt über den Dienst Twitter mitteilen, dass das PSN zu "Wartungsarbeiten" offline gesetzt wurde, nennt aber weder Gründe noch einen Zeitraum, wann das Netzwerk wieder seinen Betrieb aufnimmt. 

22.04.2011: Hackergruppe Anonymous streitet jede Beteiligung am Datendiebstahl ab: "Wir waren es diesmal nicht"

26.04.2011: Sony teilt in seinem Blog mit, dass Nutzerdaten der PSN-Nutzer betroffen sind und rät zur Kontrolle von Kreditkartenabrechnungen.