Angriff auf das Playstation Network: Worauf Kunden jetzt achten sollten

Nach dem Einbruch in das Playstation Network (PSN) fragen sich 77 Millionen Nutzer, welche Gefahr ihnen durch den Datenklau droht und ob sie jetzt noch etwas tun können, um den Schaden zu begrenzen. Nach Angaben von Sony hatte der Eindringling vom 17. bis 19. April Zugriff auf die Nutzerdaten, darunter Adresse, Geburtsdatum, die PSN-Online-ID und das PSN-Passwort. Nicht ausschließen kann der Konzern, dass auch die Daten der Kreditkartennummern, Gültigkeitsdauer und Rechnungsadressen abgerufen wurden, wenn auch dafür bislang keine Spuren zu finden seien, sagte ein Konzernsprecher. Einzig ein Zugriff auf den dreistelligen Sicherheitscode auf der Kreditkartenrückseite blieb den Angreifern offenbar verwehrt, weil diese laut Sony andernorts gespeichert würden.

Der nicht geklaute Sicherheitscode ist allerdings nur ein kleiner Trost, da dieser beispielsweise bei Offline-Geschäften überhaupt nicht überprüft wird. Das Kreditkartensystem ist trotz offensichtlicher Sicherheitsmängel überhaupt so populär, weil die Kreditinstitute die Haftung übernehmen. Deshalb sollte man unbedingt seine Kreditkarten-Abrechnungen ab Mitte April überprüfen und Unregelmäßigkeiten sofort bei der Bank melden. Die Beweislast, ob die Abbuchung rechtmäßig war oder nicht, liegt bei der Bank. Im Zweifel müssen sie das Geld also erstatten.

Ist man also aus dem Schneider? Nicht ganz, denn wenn ein Dieb das Konto leer räumt, hat man zumindest erstmal Anrufe und Papierkram zu erledigen, um die Abbuchungen wieder rückgängig zu machen. Bis die geklauten Kreditkartennummern tatsächlich zum Einsatz kommen und monetarisiert werden, kann es jedoch noch Wochen dauern. Die zig Millionen Nummern (nur ein Teil der 77 Millionen Kunden hat seine Kreditkartennummern im PSN hinterlegt) werden wahrscheinlich auf dem Schwarzmarkt angeboten und dann "in kleinen Häppchen" weiterverkauft. Sie werden durch viele Hände gehen, bevor sie tatsächlich eingesetzt werden. Manche werden gar auf gefälschte Plastikkarten gedruckt. Das kann auch noch in einem Jahr passieren.

Wer seine Karte sicherheitshalber jetzt sperren lassen will, wird von den Kreditinstituten dafür zur Kasse gebeten. Bei der Sparkasse koste eine neue Karte 20 Euro, rechnete uns ein Bankberater vor. Die Kosten solle man sich von Sony erstatten lassen. Dazu müsste man Sony jedoch nachweisen, dass die Kreditkartennummern bei ihnen tatsächlich abhanden gekommen sind. Das Kreditinstitut Valovis wollte auf Nachfrage eines Kollegen von sich aus dessen Kreditkarte gegen seinen Willen und auf seine Kosten sperren. Als er dies verneinte, wies man ihn darauf hin, dass er nun das Missbrauchsrisiko selbst tragen müsse – nicht gerade eine vertrauensbildende Maßnahme.

Der zweite Angriffspunkt ist das PSN-Passwort: Viele Anwender nutzen für verschiedene Dienste das gleiche Passwort, also auch bei Amazon, eBay oder PayPal. Selbst wenn Sony die Passwörter als verschlüsselte Hashwerte speichert, können Angreifer nun per Brute-Force versuchen, das Ursprungs-Passwort zu ermitteln. Die Rechenzeit für ein sechsstelliges Passwort liegt mit modernen Grafikkarten gerade einmal bei neun Minuten. Bei acht Stellen verlängert sich die Rechenzeit bereits auf 300 Tage. Verkürzen lässt sich die Zeit wiederum, wenn man zum Knacken Cloud-Server anmietet. So würde es knapp 600 Euro kosten, ein achtstelliges Passwort mit Hilfe Amazons Elastic Computing Cloud (EC2) per Brute Force zu knacken. Bei zwölf Zeichen beträgt der Einsatz schon über 15 Milliarden Euro. Ab einer Länge von elf Zeichen kann man derzeit ein Passwort also als hinreichend sicher betrachten, da der Aufwand zum Knacken für einen Betrüger größer wäre als der mögliche Gewinn.

Je nachdem, wie lang das eigene PSN-Passwort war, hat man nun also mehr oder weniger Zeit, sich für seine Konten neue Passwörter auszudenken. Ändern sollte man sie in jedem Fall. Tipps dazu gibt der c't-Artikel Sesam öffne dich nicht in c't 2/11, S. 150.

Aufpassen sollte man in nächster Zeit vor Spam-Mails, die die Eingabe von persönlichen Daten und Passwörtern etwa zur Rekonstruktion des PSN auffordern. Sie kommen mit Sicherheit nicht von Sony, sondern von Datendieben. Sony stellte klar, dass es keine Kundendaten per Mail, Telefon oder Brief abfragen werde.

Dem japanischen Konzern ist sicherlich vorzuwerfen, dass er seine Kundendaten offensichtlich alle zentral gespeichert und zu wenig abgesichert hat. Dass man nach der Abschaltung zunächst den Fall genau untersuchen wollte, bevor man mit einer so weitreichenden Warnmeldung an die Öffentlichkeit tritt, ist verständlich. Derzeit würden alle 77 Millionen Nutzer per E-Mail angeschrieben, deren Versendung noch bis zum 28. April dauern soll. Der Schaden, den Sony durch den Vertrauensverlust erleidet, lässt sich derzeit noch gar nicht abschätzen. Immerhin ist das Playstation Network die digitale Vertriebsplattform des Konzerns, mit der er seine Spiele, Filme und Musik online vertreibt

Sony lässt derzeit noch eine externe Sicherheitsfirma den Fall untersuchen und restrukturiert das komplette PSN, um die aktuellen Sicherheitsmängel zu beseitigen. Der Ausfall des Netzwerks kann sich also noch auf unbestimmte Zeit hinziehen. (hag)