13

Sony Playstation Network: Die Zukunft ist Vergangenheit

Kazuo Hirai

Wochenlang war Sony mit der Analyse des Einbruchs in das Sony Playstation Network (PSN), dem Internet-basierten Netzwerk, das sowohl vernetztes Spielen als auch den Kauf digitaler Produkte über Sonys Videogame-Konsole Playstation 3 ermöglicht, und seiner Wiederherstellung beschäftigt. Über 100 Millionen Kundendaten sollen bei der Attacke abhanden gekommen sein, schlampige Kommunikationspolitik und ein offenbar ebensolches System ernteten weltweite Kritik. Als der Dienst vor wenigen Tagen in Teilen wieder startete, gab es kurzfristig erneut schwerwiegende Probleme, die es dieses Mal anscheinend an der Mainstream-Presse vorbei schafften.

Noch immer fehlen öffentlich bekannte Hinweise auf Täter (das Kollektiv Anonymous bestreitet Sonys bisher einzigen und unbewiesenen Verdacht einer Mittäterschaft), und auch, ob die Kreditkartendaten der Kunden zur Beute der Angreifer gehören, bleibt bisher Sonys Geheimnis.

Als PSN-Nutzer habe ich während der gesamten Downtime des Systems, dessen Unerreichbarkeit auf der Konsole selbst als „Wartungsarbeiten“ kommuniziert wurde, zwar weiterhin Playstation-Werbung per Email erhalten, aber keinerlei Hinweise oder Informationen über den Systemausfall oder meine Daten (UPDATE andere Nutzer berichten jedoch, fünf Tage nach dem Einbruch per Mail von Sony informiert worden zu sein). Erst ein Mail-Hinweis vom 17. Mai zum Neustart des Systems erwähnte den „Cyber-Angriff“, mit keinem Wort jedoch die Tatsache, dass meine Zahlungsdaten unter Umständen in den Händen von Kriminellen sind. Ein wenig mehr Info gab es zwar während der Ausfälle auf dem offiziellen Playstation-Blog und man musste schon extrem medienabstinent gewesen sein, um die Geschichte verpasst zu haben, dennoch: Gute Informationspolitik sieht anders aus. Und mit der Veröffentlichung von erschütternd lächerlichen Grafiken zur „Erklärung“ der angeblichen Systemkonfiguration der PSN-Server und der Einbrüche, in denen das Wort „Encryption“ (Verschlüsselung) bemerkenswerter Weise nirgends auftauchte, hatte Sonys Kommunikationsstrategie einen weiteren Tiefpunkt erreicht.

Dann erschien vor einigen Tagen ein Video einer Entschuldigung und Erklärung von Sony-Präsident Kazuo Hirai. Und Betrachter erlebten einen Moment wie aus einem Science-Fiction-Film der neunziger Jahre:

Es ist später Abend, vielleicht sogar Nacht. Die Nachricht ist klar: Bei Sony wird in diesen Zeiten rund um die Uhr gearbeitet, selbst der Chef bleibt davon nicht verschont. Im Hintergrund des natürlich in einem Hochaus gelegenen Büros sind Straßen zu erkennen, auf denen Autos fahren. Kazuo Hirai hat seine Brille abgelegt, denn jetzt geht es nicht ums Lesen, er richtet sich an die Playstation-Nutzer; sein oberster Hemdknopf ist geöffnet, er trägt keine Krawatte, ein Zeichen seiner Lässigkeit, aber auch dafür, dass er hart arbeitet und Formalitäten derzeit unwichtig sind. Auf seinem Schreibtisch ist eine Computer-Maus zu erkennen, links im Anschnitt ein Bilderrahmen, die Reflexion erkennt man im Fenster hinter dem mächtigen Mann, wahrscheinlich ein Familienfoto auf dem Schreibtisch des mächtigen Mannes, der damit Menschlichkeit und Loyalität signalisiert. Ebenfalls in der Spiegelung des Fensters zu erkennen: Ein zur Seite gerichteter Flatscreen, vermutlich ein Sony-Modell, ein paar Akten oder Unterlagen. Außerdem etwas entfernt, wahrscheinlich hinter der Kamera, die hellen Lehnen einer Sitzgruppe im Büro Hirais. Rechts auf dem Schreibtisch ein schwer identifizierbares Objekt, ein Stiftehalter, denke ich, ein Flachmann wird es wohl nicht sein. Reflektierte Anzeichen des Film-und Licht-Equipments sind nicht zu erkennen.

Vom schweren Chefledersessel aus redet Kazuo Hirai mit aufrechter, aber verkrampfter Haltung. Er fühlt sich unwohl. Mimik und Gestik wirken hilflos und einstudiert, das Lächeln, zu dem ihm geraten wurde, versucht er an nicht nachvollziehbaren Stellen seiner Ansprache, es wirkt allenfalls bemüht; seine Hände probieren Gesten, die freundlich und einladend wirken sollen, aber selten einen Sinn ergeben.

Kazuo Hirai spricht von Dank und Geduld und von Security Features, Aggressive Action, Upgraded Data Security Systems, Forensic and Security Experts, Attacks on the Network, Cyber Monitoring, vor allem aber von Identity Theft und dem neuen Identity Theft Protection Program.

Identity Theft Protection Program.

Einen modernen Science-Fiction-Autor würde man für diesen Begriff auslachen.

Und plötzlich versteht man den an Anfang und Ende des Clips eingeblendeten Sony-Claim. make.believe, ursprünglich als Sinnbild für die Faszination der vom Konzern gelieferten elektronischen Unterhaltung gedacht, steht für Vorspiegelung und Vorwand, und je öfter man das Video anschaut, desto weniger unterscheidet es sich von einer (eher langatmigen) Zwischensequenz eines Videospiels. Kazuo Hirai könnte ein Avatar sein, die 3D-Reproduktion eines Konzernleiters, obwohl sein emotionales Repertoire unter dem der meisten aktuellen Videospielfiguren liegt.

Die Einführung eines Identity Theft Protection Program mag in den Ohren mancher beeindruckend klingen, doch sie ist reine Ablenkung. Sony hat frühe Warnungen von Hackern nach deren Aussagen vor den Lücken des PSN ignoriert und das System hat Gerüchten nach Passwörter und andere sensible Daten wie zum Beispiel Kreditkarteninformationen unverschlüsselt gespeichert, was eine sträfliche Unterlassung einfachster Regeln wäre. Kein Identity Theft Protection Program der Welt hätte Sony vor dem jüngsten Desaster geschützt, sondern allein halbwegs sauberes Handwerk. Doch was tut der clevere Großkonzern, wenn wer Fehler gemacht hat? Er bietet eine Versicherung gegen die Folgen an.

Es ist richtig, wenn mit Howard Stringer ein weiter Sony-Chef darauf verweist, dass es keine hundertprozentige Sicherheit beim Schutz von persönlichen Daten in Netzwerken geben kann, doch es fehlt der korrekte Schluss. Denn wenn das System nicht sicher sein kann – dann ist es vielleicht ganz einfach das falsche System.

Sony ist nicht der erste Konzern, der von Datendiebstahl oder Einbrüchen in ein Server- und Datenbank-System betroffen ist, und er wird nicht der letzte sein. Wir werden noch einige Daten-GAUs erleben müssen, vielleicht erneut bei Sony, vielleicht bei Facebook, Apple, Google, vielleicht auch bei anderen Unternehmen, die weniger in der Nutzer-Öffentlichkeit stehen. Und es werden noch viele solcher Vor- und Unfälle passieren, bevor es ein Ende der bei jedem Anbieter neuen, zentralen Speicherung von sensiblen Nutzerdaten gibt, die nach meinem Kenntnisstand für den Betrieb eines Entertainment-Systems wie dem PSN technisch völlig unnötig ist. Wir werden dezentrale, individuelle Zugangskontrollen und Zahlungsweisen erleben, die zwar ebenfalls keine hundertprozentige individuelle Sicherheit garantieren, zumindest aber den gleichzeitigen Fremd-Zugriff auf 100 Millionen Datensätze verhindern können. Wir werden eine (relative) Kontrollhoheit über unsere Daten zurück bekommen, wenn genügend Konzerne und Organisationen versagt und gelogen haben.

Die Zukunft, wie sie mit Begriffen wie Identity Theft Protection Program suggeriert werden soll, ist schon längst Vergangenheit, es wird nur noch etwas dauern, bis diese Tatsache in der Gegenwart angekommen ist.

13 Kommentare

  1. 01

    Auch: Kontrollhoheit über Daten zurückerlangen, daran glaub ich nicht. Der institutionalisierte Datenschutz fechtet doch lieber irrelevante Scheinkämpfe aus, siehe Streevtiew.

    Aber dass wir irgendwie in einer Cyberpunk-Novelle leben, ist eigentlich schon ziemlich shiny.

  2. 02

    Ich muss @erlehmann zustimmen. Auch ich dachte unweigerlich an die Neuromancer Triologie.

  3. 03

    und so wurde der Begriff: „Ihr habt hier SONY-Niveau“ in Richtung IT-Abteilung zu einer Beleidigung. Leider gibt es viele Beispiele für FAIL-IT.

  4. 04
    Phil

    Sony hat die PSN Nutzer ca. 5 Tage nach dem Ausfall im April über die Situtation informiert, ich habe diese Mail auch bekommen. Die Mail war ja auch die Grundlage für die Presseberichte. Werbung habe ich als PSN Kunde noch nie erhalten, liegt vermutlich daran dass ich die Option ausgeschaltet hab.

    Das nur als Hinweis.

  5. 05

    @#787579: Ich habe sogar meinen Spam durchsucht, eine Meldung über den Ausfall und den Datendienstahl ist nicht zu finden. Aber ich ergänze deine Erfahrung oben gerne.

  6. 06
    Name (muss sein)

    Der Schlussfolgerung möchte ich gerne eine weniger optimistische These gegenüberstellen: In ein paar Jahren wird „Identity Theft Protection“ im Cyberspace zu haben genau so normal sein wie die Privathaftpflicht es im Meatspace ist.

    Die Versicherung bezahlt natürlich jeder selbst. Vielleicht schon als Teil des Internetanschlusses? Die Anbieter selbiger würde das Zusatzgeschäft sicher freuen.

  7. 07
    birphborph

    Also zumindest das Gerücht, dass die Passwörter nicht mal als Hashwert verschlüsselt waren, konnte widerlegt werden.

    Das ist auch das einzige Sinnvolle, was man verschlüsselt ablegen kann.

    Was aber definitiv stimmt ist die schlechte Informationspolitik. Man muss als PSN Besitzer schon extrem desinteressiert gewesen sein, um das Problem nicht mitzubekommen. Außerdem gab es relativ bald eine Mail mit Infos diesbezüglich. Sony hat am 27. April mit einer Email reagiert, zumindest hab ich hier eine im Postfach.

    Was dann aber an Spekulatius und Falschinformationen über das Internet verbeitet wurde, ist leider der unprofessionellen Kommunikation seitens Sony geschuldet. 2 Sachen sind besonders dämlich. Zum einen die fehlende Klarheit über die Verschlüsselung und dann auch die Information zum Neustart. Hier wird wurde schlecht bzw. unüberlegt informiert. Daraus entstanden dann Vermutungen, welche die Presse für Sony noch verschlechterten.

    Auch der ganze Twitter- und Blogkram, was von Playstation ja intensiv genutzt wird, hat an manchen Stellen nicht überzeugt, weil keine Einheitliche Linie zu erkennen war. Während die US Versionen immer halbwegs aktuell war, hinkten deutsche Ausgaben immer weit hinter her. Die niederländische Twitter Abteilung wusste sogar immer noch ein Stück mehr als der hochoffizelle Twitter aus den USA. Dieses ganze Gebahren, vor allem socialnetseitig, wirkte irgendwie unprofessionell und vor allem unkoordiniert.

    Leider führen solche schlechten und ungenauen Informationen immer auch zu schlechter Presse, oftmals dann auch unberechtigt.

    So gab es vor 2 Tagen ein Problem mit der Webseite um das PSN Passwort zu ändern. Darauf hin nahm man die Webseite offline, so dass User, die erst jetzt ihren PSN Account reaktivieren wollen, leider im Moment in die Röhre gucken, wenn sie nicht gleich sofort ein neues Passwort auf der Konsole vergeben können (was nur funktioniert, wenn über den PSN Account bereits was gekauft wurde).
    Dennoch behauptete Spiegel, dass Sony aufgrund einer neuen Sicherheitslücke wieder das ganze PSN abgeschaltet habe.

    Schöne neue vernetzte Welt.
    Sony werden SICHER nicht die einzigen bleiben.

    Eine heilsame Erkenntnis aber hatte dieser Hack auch für viele PSN User. Man sollte sich mehr um seine Passwörter kümmern, denn wenn für die Leute das Drama um ein evtl. unverschlüsseltes Passwort schlimmer ist, als z.B. die geklauten Kreditkarten Daten, dann wäre es vielleicht sinnvoll einen VHS Tageskurs in „Wie verwende ich sichere Passwörter im Internet“ zu besuchen. Wer immer noch nur ein Passwort (am besten den Namen seines Hundes mit Geburtsjahr) für alle seine Internet Dienste nutzt, der sollte sich diese Gewohnheit schnellstmöglich abgewöhnen. Ein gutes Passwort ist 12stellig hat Buchstaben, Sonderzeichen und Zahlen. Das klingt für viele vielleicht nerdig oder umständlich, letzteres ist es aber definitiv nicht. Mit solchen Passwörtern ist man auf der sicheren Seite und muss im Falle eines Hacks nicht die Angst haben, dass der Hacker sich mit dem Passwort über Email, FB oder Twitter hermacht.

  8. 08
    Christian K.

    Es ist korrekt, dass die Benutzerkennwörter in den Datenbanken vom PSN nicht verschlüsselt sind. Zum Glück! Denn eine Verschlüsselung kann relativ einfach entschlüsselt werden. Sony hat das echt dumm formuliert, jedoch später näher erklärt.
    Und zwar werden die Kennwörter gehasht. Das ist ein großer Unterschied zu einer simplen Verschlüsselung. Selbst wenn man den Algorithmus der Hashfunktion kennt und auch die Salt-Werte, kann man nicht auf einfachem Wege aus den Hashes für alle Datensätze wieder das Kennwort generieren.

    Lange Rede, kurzer Sinn: Sony hat im Bezug auf die Kennwörter nichts falsch gemacht.

    Hier noch zwei Links zum Erklärung:
    http://blog.de.playstation.com/2011/05/02/playstation-network-sicherheits-update/
    http://www.giga.de/top-themen/00152619-datenklau-bei-sony-kolumne-das-playstation-network-wird-derzeit/comments/?b%5B1605%5D%5Bthreadid%5D=2885253&b%5B1605%5D%5Bpage%5D=1#commentid_2885253

  9. 09

    Ich habe eine E-Mail bezüglich des Vorfalls am 28.04. erhalten. Unschön fand ich allerdings eher das Folge-Unglück, dass ausgerechnet die gestohlenen Daten mit einem kleinen Hack ausreichend sein sollen, um ein neues Passwort einzurichten.

    Mal schauen wie es weitergeht…

  10. 10

    Da muss ich an den Tweet von Dan Marshall (@danthat) denken, der das Video kommentierte: „That Kaz Hirai PSN video feels like it should be being broadcast on massive floating monitors above some Dystopian cityscape.“

    Der Himmel über dem Hafen hatte die Farbe eines Bravia-Fernsehers, der auf ein totes PSN geschaltet war.

  11. 11
    Anton

    Vielleicht war es doch keine so gute Idee von Sony, mit einem Schlag (Stichwort: Geohot) alle Hacker dieses Planeten gegen sich aufzubringen.

    Stand zur Halbzeit (?): Sony: 1, Hacker: 8

    Für Sony sieht’s schlecht aus für den Klassenerhalt :-)

    A~O