US-Professor wirft Sony Mitschuld am PSN-Hack vor

In einer Anhörung (Video) vor dem U.S. Public Policy Council of the Association for Computing Machinery (USACM) ging Professor Dr. Eugene Spafford, Sicherheitsexperte an der Purdue Universität, hart ins Gericht mit der bisherigen Datensicherheit in Sonys Playstation Network (PSN). Laut Spafford habe es bereits vor Monaten in öffentlichen Hacker-Foren Diskussionen über die mangelhafte Absicherung des PSN gegeben. Sony habe völlig veraltete Versionen des Apache-Web-Servers verwendet und diesen ohne zusätzliche Firewall betrieben.

Das Forum sei auch von Sony beobachtet worden, sodass die Vorwürfe der Firma bekannt waren, sagte Spafford. Trotzdem hätten die Verantwortlichen nicht reagiert. So sei es Mitte April zum Diebstahl von über 100 Millionen Kundendaten und womöglich mehr als 12 Millionen Kreditkartennummern aus dem PSN, dem Musik- und Videodienst Qriocity und von den Servern von Sony Online Entertainment gekommen.

Spaffords Vorwürfe sind nicht aus der Luft gegriffen. So musste Shinji Hasejima, Chief Information Officer bei Sony, bereits am 1. Mai in Tokyo zugeben, dass der Angreifer über ein bekanntes Sicherheitsloch des Web-Servers in das PSN eingedrungen war (Video-Stream). Dort konnte er sich mit Hilfe eines Tools weitere Zugriffsrechte verschaffen und schließlich in die Applikations- und Datenbankserver eindringen. Insgesamt seien 10 der 130 Server des PSN kompromittiert worden. Um den Einbruch zu untersuchen, zog Sony nach und nach Sicherheitsexperten von drei externen Firmen Guidance Software, Protiviti und Data Forte hinzu.

Spafford schätzt die Kosten des Einbruchs in das PSN und die Server von Sony Online Entertainment auf 21 Milliarden US-Dollar. Er habe ebenso beobachtet, dass sich inzwischen Mitglieder von Foren, in denen geklaute Kreditkarten gehandelt werden, über einen Preisverfall wegen des Überangebots beschweren. Laut Spafford seien die Schwarzmarktpreise für Kreditkartennummern auf ein Fünftel bis ein Zehntel eingebrochen. Zur Verbesserung der Datensicherheit empfiehlt der Professor, die Menge der Daten zu begrenzen, die eine Firma speichern darf und die Daten mit einem Verfallsdatum zu versehen.

In den USA hat Sony derweil angekündigt, PSN-Kunden ein einjähriges Abo bei der Sicherheitsfirma Allclear ID zu spendieren. Diese beobachtet Aktivitäten unter anderem auf kriminellen Webseiten und in Foren und benachrichtigt Nutzer, wenn dort ihre persönlichen Daten auftauchen. Im Missbrauchsfall seien Kunden dort mit 1 Million US-Dollar versichert. Der Dienst kostet normalerweise 10 US-Dollar pro Monat. Die Reparaturen des PSN seien laut Sony derweil fast abgeschlossen, und das PSN werde in wenigen Tagen wieder starten.

Sony-Chef Howard Stringer hat sich inzwischen für die Vorfälle entschuldigt und versprochen, dass sein Unternehmen die Sicherheitsvorkehrungen verbessern werde. Die Gruppe Anonymous hat Mutmaßungen zurückgewiesen, sie sei für den PSN-Hack verantwortlich. Kaz Hirai, Chef von Sony Computer Entertainment, warf Anonymous vor, mit den DDOS-Attacken auf das PSN den Einbrechern – wissentlich oder unwissentlich – Rückendeckung für den Datenklau gegeben zu haben, weil die Serveradministratoren mit der Abwehr der Angriffe beschäftigt waren und so den Datendiebstahl zu spät bemerkten.

Anonymous betonte, es sei nicht Ziel der Organisation, Kreditkartennummern zu stehlen, um sich an diesen zu bereichern. Weil die Diskussionsforen von Anonymous transparent und offen für jeden seien, könne sich auch die Presse leicht davon überzeugen, dass der Datendiebstahl nicht von Anonymous initiiert wurde. Mit der Textdatei wolle der wahre Angreifer vielmehr den Verdacht auf die Gruppe lenken. Möglich sei auch eine Verschwörung von Sonys oder offizieller Seite, um Anonymous zu diskreditieren. Beispiele für Derartiges habe es in ähnlichen Fällen in der Vergangenheit bereits mehrfach gegeben. (hag)