Geknacktes Playstation-Netz: Sicherheitsexperten werfen Sony Schlamperei vor (Spiegel Online, 27.4.2011)

Geknacktes Playstation-Netz

Sicherheitsexperten werfen Sony Schlamperei vor

Hilflose Informationspolitik und fatale Nachlässigkeit: Experten für IT-Sicherheit erheben nach dem Diebstahl von 70 Millionen Datensätzen schwere Anschuldigungen gegen Sony. Die Täter dürften ihre Beute längst an Zwischenhändler verkauft haben – pro E-Mail-Adresse gibt es bis zu zehn Cent.

Spiegel Online, 27.4.2011

{jumi [*3]}

Mehr als 70 Millionen Datensätze haben Unbekannte aus Sonys Playstation-Netzwerk entwendet. Erst eine Woche nach dem Einbruch informiert das Unternehmen jetzt seine Kunden. Ob Kreditkartendaten geklaut wurden, weiß man bei Sony nicht. Experten kritisieren die Informationspolitik des Unternehmens: Sascha Pfeiffer, Sicherheitsberater beim Softwareanbieter Sophos, urteilt: „Sonys Kommunikationspolitik ist ein Zeichen der Hilflosigkeit. Die werden eine Woche überlegt haben, ob jemandem eine geniale Idee kommt, die Sicherheitslücke zu stopfen.“

Alan Paller, Forschungschef beim Sicherheitsunternehmen Sans Institute, sagte der Nachrichtenagentur Reuters, es könnte sich um den „bislang größten Diebstahl persönlicher Daten“ handeln.

„Ein Zeichen großer Nachlässigkeit“

Paller hält es für wahrscheinlich, dass „Sony bei der Entwicklung von Software zum Betrieb des Netzwerks nicht genügen auf Sicherheit geachtet“ hat. Ähnlich beurteilt Pfeiffer den Fall: „Dass ein Datendiebstahl in diesem Ausmaß bei Sony möglich war, ist ein Zeichen großer Nachlässigkeit. So etwas kann nur passieren, wenn jemand schlampt.“

Experten gehen von einem zielgerichteten Angriff auf ausgewählte Mitarbeiter bei Sony oder einem Dienstleister des Unternehmens aus. Mit dieser Methode dringen zum Beispiel Täter aus China seit Jahren in Regierungscomputer ein. Das Verfahren läuft so ab: Zuerst recherchieren die Angreifer, welche Mitarbeiter Zugang zu bestimmten gesicherten Bereichen in der Zielinfrastruktur haben. Dann sammeln sie zusätzliche Informationen über die Zielpersonen: Welche E-Mail-Adresse haben sie, in welchen sozialen Netzwerken sind sie aktiv, wo leben sie, in welchen Unternehmen haben sie früher gearbeitet, wo könnten sie noch Kollegen haben?

Auf Basis dieser Details entwickeln die Angreifer dann eine möglichst überzeugende Botschaft, die die Zielpersonen zum unbedachten Anklicken von Links oder Mail-Anhängen animieren soll. Mit solchen zielgerichteten Angriffen versuchen sie, Zugriff auf deren Rechner und Logins zu bekommen. Sicherheitsberater Pfeiffer: „Das kann mit einem Link in einer Facebook-Nachricht beginnen, der auf eine präparierte Seite führt, oder mit einem Dokument im E-Mail-Anhang, der unter dem Namen eines Ex-Kollegen verschickt wurde.“

Die Täter haben die Datensätze wahrscheinlich längst verkauft

Vermutlich mit dieser Spear-Fishing genannte Masche haben Angreifer in den vergangen 15 Monaten erfolgreich unter anderem beim Verschlüsselungsunternehmen RSA und einer Zertifizierungsstelle Zugriff auf geschützte Daten erlangt. Sicherheitsberater Pfeiffer: „Auf so etwas fallen auch erfahrene Administratoren rein, ich erlebe das regelmäßig bei Facebook. Einige Mitarbeiter von Unternehmen schlampen bei der Sicherheit eben genauso wie viele Privatpersonen auch.“

Es ist klar, dass die Angreifer es auf die persönlichen Daten der Sony-Kunden abgesehen hatten. Sony behauptet zwar in einer Erklärung, die Kundendaten seien durch ein „sehr ausgeklügeltes Sicherheitssystem geschützt“ gewesen, das jedoch bei einem „böswilligen Angriff“ ausgeschaltet wurde. So ganz stimmt das aber nicht, denn aus Sonys erweiterter Erklärung zum Datendiebstahl geht hervor, dass die Passwörter der Kunden nicht verschlüsselt gespeichert wurden. In der Sony-Erklärung zum Vorfall auf der US-Website des Konzerns steht wörtlich: „Die gesamte Kreditkartendatenbank war verschlüsselt und wir haben keinen Hinweis darauf, dass Kreditkartendaten entwendet worden sind.“ Die Datenbank mit den persönlichen Informationen hingegen war „nicht verschlüsselt“, gesteht Sony ein.

Passwörter unverschlüsselt in Datenbanken zu speichern, entspricht nicht dem Stand der Technik. Standard-Webdienste wie WordPress speichern seit Jahren die Nutzer-Passwörter verschlüsselt in Datenbanken. Dabei werden die Passwörter nicht nur einfach mit einem Algorithmus verschlüsselt, sondern auch zufällige Zeichenfolgen angehängt, damit Angreifer gängige Passwörter nicht einfach anhand von Wörterbüchern per Durchprobieren erraten können. Sonys Erklärung zu dem Vorfall legt nahe, dass der Weltkonzern bei der Sicherung der Kundenpasswörter für das Playstation-Netzwerk nicht einmal dieses Standard-Verfahren genutzt hat.

Fest steht, dass gut 70 Millionen Datensätze mit Namen, Anschriften, E-Mail-Adressen, Logins und Passwörter kopiert werden konnten. Das ist für Pfeiffer ein Hinweis auf die Täter: „Das war ein profitorientierter Angriff. Ich glaube nicht, dass dafür eine Gruppe wie Anonymous verantwortlich ist, die arbeiten anders und sind nicht an Gewinnmaximierung interessiert.“

 

Die Täter haben die entwendeten Daten mit hoher Wahrscheinlichkeit bereits an Zwischenhändler weiterverkauft. Allein die E-Mail-Adressen könnten Millionen einbringen – fünf bis zehn Cent könnten Kriminelle für jede Adresse zahlen, schätzt Pfeiffer. Die Sony-Daten sind wertvoll, weil die Adressen mit sehr hoher Wahrscheinlichkeit echt sind und genutzt werden.

Da die Mehrheit der Nutzer dieselben Logins für mehrere Dienste verwendet, könnte hier die erste Betrugswelle laufen, sobald Zwischenhändler die Adressen an Phishing-Banden weiterverkauft haben. Wahrscheinlich werden automatisierte Angriffe auf alle Freunde von Playstation-Nutzern laufen, mit der Masche: Klick auf diesen Link, den dir dein Kollege XY empfohlen hat.

Kreditkarten-Betrüger warten ab, bis das Thema verschwindet

Sollten die Unbekannten auch Kreditkarten-Daten entwendet haben, wird es etwas dauern, bis jemand diese zu Geld macht. Spezialisierte Banden haben Netzwerke von Kleinkriminellen für die Drecksarbeit. Diese Mitarbeiter bezahlen mit sogenannten Paycards, die über gestohlene Kreditkartendaten aufgeladen wurden. Oder bestellen – unter Verwendung per Phishing geklauter Login-Daten – Waren an Tarnadressen.

Erfahrene Kreditkartenbetrüger dürften abwarten, bis der Sony-Vorfall nicht mehr in den Medien ist, bis das Playstation-Netzwerk wieder läuft und die Menschen nicht mehr besorgt ihre Kreditkarten kontrollieren. Sicherheitsexperte Pfeiffer: „Es dauert vielleicht drei Wochen, dann ist das aus dem Bewusstsein der Nutzer verschwunden, dann kontrollieren sie nicht mehr regelmäßig die Kreditkartenabbuchungen – solange dürften die Profis abwarten.“

Die Täter wissen inzwischen auch, wie die Überwachungsalgorithmen der Kreditkartenunternehmen funktionieren. Die Firmen bemerken missbräuchliche Buchungen, indem sie Zahlungsströme in Echtzeit analysieren und mit den bisherigen Zahlungsprofilen der Karten abgleichen. Die Analysesoftware hat eine Vorstellung davon, was normales Zahlungsverhalten ist. Weicht eine Karte davon ab, gibt es einen Hinweis auf ungewöhnliche Buchungen. Gegebenenfalls empfiehlt die Kreditkartenfirma der Bank, die Karte zu sperren.

Wenn Kreditkartendaten von Sony-Kunden entwendet worden sein sollten und die Käufer der Daten sich schlau anstellen, werden nicht gleich riesige Summen verschwinden. Sicherheitsberater Pfeiffer: „Die Leute, die mit so etwas Geld verdienen, wissen, wie die Überwachungsalgorithmen der Kreditkartenunternehmen funktionieren. Die werden jetzt nicht vierstellige Beträge in Hongkong abbuchen, das werden Summen von 50, 70 Euro sein, und auch das nicht sofort.“

Eine Visa-Sprecherin rät Kunden, ihre Kreditkartenabrechnungen auf Ungereimtheiten zu untersuchen und „Verdachtsmomente direkt bei der kartenausgebenden Bank melden“. Sie versichert: „Karteninhaber, die unschuldig Opfer von Betrugsfällen werden, erhalten ihr Geld zurück – abhängig von den Bestimmungen der kartenausgebenden Bank.“

In den Nutzungsbedingungen lässt sich Sony von seinen Kunden von der jeder Haftung bei Datenverlust freistellen. Wörtlich heißt es in dem Dokument:

„Wir schließen jede Haftung für den Verlust von Daten oder nicht autorisierten Zugang zu Ihren Daten, Ihrem „Sony Online Network“-Konto oder „Sony Online Network“-Guthaben und für Schäden an Ihrer Software oder Ihrer Hardware aus, die das Ergebnis Ihrer Nutzung von Sony Online Network sind oder durch Ihren Zugang zu Sony Online Network entstehen mögen.“

Juristen halten diese Klausel für unwirksam. Der Anwalt Christian Solmecke begründet diese Einschätzung so: „Diese Klauseln sind nicht mit dem deutschen Verbraucherschutzrecht vereinbar. Nach der Vorschrift von § 309 Nr. 7 BGB darf die Haftung für Vorsatz und grobe Fahrlässigkeit durch AGB-Bestimmungen nicht ausgeschlossen werden.“ Solmecke ist der Meinung, dass diese Tatsache zur Folge hat, dass die gesamte Klausel unwirksam ist und Sony voll für die entstandenen Schäden haftet. Solmecke: „Nach meiner derzeitigen Einschätzung hat hier Sony schuldhaft seine Sorgfaltspflichten verletzt, weil es die ihm anvertrauten Kundendaten nicht hinreichend geschützt hat.“