Erste Lehren aus dem Sony-Zwischenfall

Die zögerliche Informationspolitik von Sony nach dem Angriff auf das Playstation-Netzwerk zeigt, dass Kunden den Sicherheitsvorkehrungen von Unternehmen nicht trauen können. Experten fordern, die Firmen bei derartigen Angriffen haftbar zu machen.

Wie groß der materielle Schaden ist, der durch den Angriff auf das Playstation-Netzwerk von Sony ist, ist noch nicht genau zu beziffern. 100 Millionen Nutzerkonten waren bei dem Vorfall offengelegt worden. Durch die Tatsache, dass der japanische IT-Konzern nur zögerlich und vollständig über den Vorgang informiert habe, sei schon für sich genommen ein großer Schaden entstanden, kritisieren nun Sicherheitsexperten.

Howard Stringer, CEO von Sony, räumte zumindest ein, dass es sich um den bislang schwersten Angriff auf die Daten eines Unternehmens gehandelt habe. Nicht nur die Playstation-Nutzer, auch Fachleute würden aber gerne Genaueres erfahren.

„Wir haben dieses Problem immer wieder bei solchen Angriffen: Wir erfahren nie, was passiert ist, wie schlimm die Sache ist, oder wie die Täter vorgingen“, bemängelt Bruce Schneier, einer der führenden Experten in Sachen IT-Sicherheit. „Alles ist undurchsichtig, und Sony ist besonders ungeschickt darin, irgendein Zeug zu erklären und anschließend wieder zurückzunehmen.“

Sony sieht sich aufgrund seiner Informationspolitik inzwischen mit mehreren Anfragen des US-Kongresses sowie Vorladungen des New Yorker Generalstaatsanwalts konfrontiert. Beide verlangen Auskunft, welche Daten gestohlen wurden und wie die Sicherheitsmaßnahmen des Unternehmens aussehen.

In einer Antwort auf eine der ersten Kongressbeschwerde hatten die Japaner wolkig erklärt, sie befänden sich in einer „außergewöhnlichen“ Situation, in der Informationen über den Dateneinbruch „weder unmittelbar noch einfach zu beschaffen“ seien. Sony hielt sich in dem Schreiben zugute, das Netzwerk prompt heruntergefahren zu haben, während seine eigene Ermittlungen anliefen.

Das war am 20. April gewesen. Die Angriffe selbst waren irgendwann zwischen dem 17. und 19. April erfolgt, doch erst am 26. April erklärte Sony, dass große Mengen vertraulicher Daten offen gelegen hätten.

In den Tagen dazwischen hatte der Konzern nur kryptische Erklärungen abgegeben, warum das Playstation-Netzwerk nicht verfügbar sei. Die lasen sich etwa so: „Wir sind uns bewusst, dass einige Netzwerkfunktionen ausgefallen sind. Wir werden weitere Informationen dazu veröffentlichen, sobald wir in der Lage dazu sind“, hieß es in einem offiziellen Sony-Blogeintrag am 20. April.

Am 21. April verlautete, die Untersuchung dauere an. Am 22. April wurde erstmals von einem „externen Einbruch in unser System gesprochen“. Am 23. April erklärte Sony, „unser System wieder aufzubauen um unsere Netzwerk-Infrastruktur weiter zu stärken“, auch, um „das System mit zusätzlicher Sicherheit auszustatten“.

Drei Tage später, am 26. April, rang sich der Konzern schließlich zu einer etwas detaillierteren Erklärung durch. Darin bestätigte Sony, dass die Namen, Adressen, Geburtsdaten, Email-Adressen und weitere Daten von registrierten Nutzern des Playstation-Netzwerks sowie des Streaming-Media-Dienstes Qriocity gestohlen worden seien. Kunden sollten sich im Falle eines Identitätsdiebstahls selbst schützen, empfahlen die Japaner.

Die Wut der Nutzer bekam das Unternehmen bald zu spüren. So kommentierte etwa „jonabbey“ die Erklärung im Playstation-Blog: „Es ist ziemlich unglaublich, dass dies die erste sinnvolle Information ist, die Sie uns geben. Viele von uns, die diesen Blog lesen, verstehen genug von der Technik, ja betreiben eigene Internetdienste. Zuviel Kommunikation dürfte da sicher kein Problem sein.“

Das sieht auch Bruce Schneier so. „Man braucht ausreichend Informationen, damit Forscher, aber auch Kunden kluge Entscheidungen treffen können. Die Unternehmen wollen jedoch nicht, dass die Kunden durchblicken. Ihnen ist es viel lieber, keine Details zu nennen, denn die Details sind peinlich.“

Den Kunden bleibe nichts anderes übrig, als Sony oder Citibank, Facebook oder Amazon oder der Mobilfunkbetreiber zu vertrauen, fügt Schneier hinzu. „Sie haben keine Transparenz und keine Kontrolle darüber, wie sicher die Firmennetze sind.“

In den USA können nach dem Computer Fraud and Abuse Act derzeit nur Finanzdienstleister oder Behörden für Datendiebstähle in Haftung genommen werden. Die vor kurzem von der Obama-Regierung vorgestellte Gesetzesinitiative zur Cybersicherheit will den Haftungsbereich auf kritische Infrastrukturen ausweiten. Melissa Hathaway, die Anfang 2009 US-Präsident Obama in IT-Sicherheitsfragen beriet, plädiert dafür, auch Angriffe wie den auf das Sony-Netzwerk unter das Gesetz fallen zu lassen.

„Das ist eigentlich eine Gelegenheit, ein Abschreckungskonzept durchzusetzen, dass dieses Gesetz für jeden Computer gilt, in den – aus welchen Gründen auch immer – eingebrochen wird“, geht Hathaway noch einen Schritt weiter. „Gesetze sollten festlegen, dass Hacking illegal ist, und dass dessen Auswirkungen das Strafmaß bestimmen.“ Es sei Zeit, dass die Regierung die Vernetztheit aller Rechnersysteme – ob von Behörden, Wirtschaft oder Bildungseinrichtungen – erkläre.

Sony hat sein Playstation-Netzwerk am 15. Mai wieder hochgefahren. Der Angriff vom April hat nach Schätzungen von Sony bislang einen Schaden in Höhe von 171 Millionen Dollar verursacht. (nbo)