Guten Tag!
Rhein-Neckar, 27. April 2011 (red/pm). Am 17. April 2011 haben Hacker das Unternehmen Sony Network Entertainment angegriffen und sind ersten Meldungen zufolge in den Besitz von eventuell 77 Millionen Kundendatensätzen gelangt. Sehr viele Medien berichten nun, dass Playstation-Kunden einen Missbrauch ihrer Kreditkartendaten befürchten müssen. Dabei scheint die Lage mehr oder weniger undramatisch – mal abgesehen vom Image-Gau für Sony. Tatsächlich sind die Adressdaten der Kunden viel wertvoller und gut zu verkaufen.
Von Hardy Prothmann
Fest steht: Sony Network Entertainment wurde angegriffen. Von Computer-Verbrechern, die sich illegal Zugang zu den Kundendaten des japanischen Unternehmens verschafft haben. Betroffen sind Kunden, die die internetfähige Spielkonsole Playstation 3 benutzen und Käufe über Kreditkarten vorgenommen haben. Die Konsolen Playstation 1 und 2 sind, weil nicht internetfähig, nicht betroffen.
Fest steht: Das ist ein enormer Image-Verlust für das Unternehmen, weil Kundendaten absolut sensible Daten sind und offenbar kein ausreichender Schutz vorhanden war. Vor allem die Zahl überrascht. Denn die Hacker scheinen Zugriff auf eine zentrale Datenbank gehabt zu haben.
Fest steht auch: Es ist eine Schande, dass sich Sony ganze zehn Tage lang nicht geäußert hat. Gutes Krisen-Management geht anders. Aber spätestens seit Fukushima weiß man, dass von japanischen Unternehmen Transparenz nicht erwartet werden kann.
Hysterische Medienberichte
Die Medien überschlagen sich mit Berichten über den Skandal und die „möglichen“ Folgen für die Kreditkartenkunden, die nun „möglicherweise“ finanzielle Schäden zu befürchten „haben“.

Hysterische Berichterstattung: Die Chancen, dass Kreditkartenkunden betrügerische Abbuchungen fürchten müssen, sind eher gering.
Tatsache ist: Es gibt bis heute noch keine festgestellten Schäden, zumindest sagt das der Zentrale Kreditausschuss, ein Zusammenschluss aus fünf Banken- und Sparkassenverbänden.
Mit großer Wahrscheinlichkeit können die Hacker nichts mit den Kreditkartennummern anfangen, weil sie vermutlich nicht im Besitz der Prüfziffern sind: „Die Kreditinstitute sind hier sehr wachsam. Uns liegen keine Informationen vor, dass es zu Missbräuchen in diesem Zusammenhang gekommen ist“, sagt Dr. Kerstin Altendorf auf unsere Nachfrage.
Der Zentrale Kreditausschuss hat gestern folgende Meldung an die Presse gegeben:
Sony Network Entertainment hat gestern bekannt gegeben, dass bestimmte Services des PlayStation Network sowie Qriocity mittels illegalen und unberechtigten Eingreifens angegriffen wurden. Dabei konnten sich die Täter offenbar Zugriff auf persönlichen Daten von mehr als 70 Millionen Nutzern
verschaffen. Es ist unklar ob auch Kreditkartendaten ausgespäht wurden.Sony Network Entertainment erklärte, dass es dafür derzeit zwar keine Anzeichen gäbe, dass man diese Möglichkeit aber auch nicht gänzlich außer
Betracht lassen könne.Position des Zentralen Kreditausschusses:
Derzeit steht noch nicht fest, ob Kreditkartendaten abhanden gekommen sind.
Kunden der betroffenen Services sollten ihre Kreditkartenrechnungen sorgfältig prüfen und bei Unstimmigkeiten unmittelbar das kartenausgebende Institut informieren. Für etwaige Schäden aus einer möglichen Manipulation im Zusammenhang mit dem Datendiebstahl müssen die Karteninhaber nicht haften.
Nach unseren Informationen gibt es eine Reihe von Banken, die auf Wunsch der Kunden Kreditkarten kostenfrei neu ausstellen. Wir haben die Sparkasse Rhein-Neckar-Nord und die VR Bank Rhein-Neckar ebenfalls angesprochen, um von dort Informationen zu erhalten. Beide Unternehmen war aber nicht in der Lage, innerhalb von drei bis vier Stunden zurückzurufen, was schwach ist. (Siehe Protokoll des Gesprächs mit der Sparkasse Rhein-Neckar-Nord)
Immerhin. Am nächsten Tag hat der Sprecher der Sparkasse, Erich Rathgeber zurückgerufen: „Wir beobachten das. Für die Kunden gibt es keinen Grund zur Sorge.“ Missbrauchsfälle sind keine bekannt.
Kontrolle ja – Umtausch jein
Normalerweise werden dafür im Mittel 15-20 Euro fällig. Wer sich sorgt, sollte mit seiner Bank reden und eine Neuausstellung beantragen.
Vermutlich ist dies aber nicht notwendig. Und die „genaue Kontrolle der Abrechnungen“, die nun von Medien empfohlen wird, ist eine absolute Selbstverständlichkeit. Natürlich sollte man seine Bankbelege immer sorgfältig kontrollieren, weil es Fehlbuchen oder Zahlendreher undundund geben kann.
Der Zentrale Kreditausschuss verweist auf umfangreiche Prüfmechanismen: „Die Kunden müssen sich nicht sorgen, dass sie auf einer betrügerischen Abbuchung sitzenbleiben, die Kontrollsysteme funktionieren sehr gut und Kunden werden betrügerische Buchungen ersetzt, falls diese vorkommen sollten.“ Aber selbst nach der Affäre von gestohlenen Kreditkarteninformationen in Spanien Ende 2009 kam es nicht zu den angekündigten „Schäden“ bei den Kunden – vielmehr waren die Banken geschädigt, die neue Kreditkarten ausgestellt haben, um ihr Image zu waren. Und man kann davon ausgehen, dass die Banken alles tun, um solche Schäden für sich zu vermeiden. Dabei dürften sie sich näher sein als dem Kunden.
Vertrauen weg
Sorgen muss sich überwiegend Sony machen – das Vertrauen ist erstmal weg. Erstens wegen der fehlenden Sicherung und zweitens wegen der fehlenden sofortigen Information. Und je nachdem wie die Geschichte weitergeht und wie viele Kunden ihre Karten tauschen lassen wollen, ist eine Schadensersatzforderung der Banken an Sony abzuwarten.
Die illegal beschafften Daten können aber noch ganz andere Folgen haben – vor allem „nervige“. Je nach Qualität der Daten sind diese Datensätze viel eher bares Geld für den Adresshandel wert. Man weiß, welche Spiele die Kunden spielen, welche Musik sie hören und ähnliche Informationen. Dazu hat man die Adressen und vielleicht auch Umsätze? Dazu hat sich Sony nicht geäußert.
Mega-Raubzug
Jedenfalls reicht der Wert von solchen Datensätzen von wenigen Cent bis zu 100 Euro, die manche Firma bereit ist, für hochqualifizierte Kundendaten zu bezahlen. Denn dann kann man die Werbung und die Ansprache auf den Kunden verfeinern, um mit ihm „ins Geschäft“ zu kommen. Vielleicht war das das Hauptziel der Hacker.
Rechnet man zehn Euro pro Datensatz, haben die Hacker also einen Wert in Höhe von 770 Millionen Euro gestohlen. Wenn sie nur einen Bruchteil davon verkaufen können, ist das ein Mega-Raubzug. Der von Medien hysterisch angekündigte „mögliche“ Raubzug auf den Konten der Kunden wird aber „vermutlich“ ausfallen.