Es ist ein Drama. Vor sechs Tagen wurde in die Server ‘eingebrochen’, die das Playstation-Network (PSN) hosten. Über das PSN werden Updates und Spiele-Demos verteilt, Spielstände verwaltet und Nachrichten ausgetauscht. Ausserdem beherbergt das PSN den Playstation-Store, in dem man Spiele, Musik und Filme kaufen kann. Seitdem ist das PSN offline und Sony geht davon aus, dass “in einer Woche” (!) der Betrieb wieder aufgenommen werden kann. Heute meldete sich Sony mit einem Update.
Valued PlayStation Network/Qriocity Customer: We have discovered that between April 17 and April 19, 2011, certain PlayStation Network and Qriocity service user account information was compromised in connection with an illegal and unauthorized intrusion into our network.
Eine Woche nachdem die Sony-Experten den Einbruch festgestellt haben, informieren sie nun die über 75 Millionen Nutzer des PSN, dass manglaube, dass sämtliche Daten geklaut wurden:
[…] we believe that an unauthorized person has obtained the following information that you provided: name, address (city, state, zip), country, email address, birthdate, PlayStation Network/Qriocity password and login, and handle/PSN online ID. It is also possible that your profile data, including purchase history and billing address (city, state, zip), and your PlayStation Network/Qriocity password security answers […]
Nahezu niedlich ist die Umschreibung unauthorized person – klingt hier irgendwie nach Strauchdieb oder Tunichtgut, der eine Cola-Dose in die falsche Recyclingtonne geworfen hat. Es geht aber um den Verlust von Passwörtern, Online-Identitäten, Mail-Adressen, Kauf-Historien… Damit nicht genug; weiter unten kommt dann noch eine nicht unwesentliche Ergänzung:
If you have provided your credit card data through PlayStation Network or Qriocity, out of an abundance of caution we are advising you that your credit card number (excluding security code) and expiration date may have been obtained.
Das ist der Super-GAU. Einer der größten Diebstähle überhaupt – es geht um Millionen, wahrscheinlich zig Millionen Kreditkartendaten. Katastrophal ist, dass Sony erst eine Woche nach der Attacke mit dieser Information rausrückt und damit selbst zu verantworten hat, wenn diese Daten nun missbraucht werden.
Sony takes information protection very seriously and [blafasel]
Eine Aussage, die PR-mäßig natürlich nicht fehlen darf, aber angesichts der Tragweite und des inkompetenten Verhaltens von Sony nichts als blanker Hohn.
Allein die Tatsache, dass Sony schon am Tag nach dem Vorfall verkündet hat, das bisherige System komplett stillzulegen und durch ein neues zu ersetzen, spricht Bände. Offensichtlich war den Betreibern bewusst, dass das PSN nicht sicher war:
[…] strengthen our network infrastructure by re-building our system to provide you with greater protection of your personal information […]
Damit dürfte ‘leichte Fahrlässigkeit’ aus’m Spiel sein; bin gespannt, mit welchen Klagen Sony jetzt überzogen wird. Bleibt zu hoffen, dass Sony die ganze Angelegenheit genau so ernst nimmt, wie sie noch vor wenigen Wochen alles unternommen haben, um George Hotz (aka GeoHot) zur Strecke zu bringen. Da hatte der Elektronik-Gigant gerichtlich die Herausgabe der IP-Adressen von Website-Besuchern und Youtube-Nutzern erwirkt.
Eines macht der Fall zudem noch mal klar: Kundendaten sind ein sehr wertvolles Gut – Firmen ermöglichen sie ‘nur’ die Geschäfte, aber für die Kunden sind sie Teil der Existenz, die sie vertrauensvoll in fremde Hände legen. Dieses Vertrauen nicht zu enttäuschen ist sicherlich eine der obersten Aufgaben. Ob es nun der wichtige OS-Patch, das geeignete Passwort oder die nochmal geprüfte Verarbeitung von Formular-Daten ist – täglich und überall gilt es, Kundendaten zu schützen.