Datenschutz: Sony will gehackte Online-Plattform neu starten

Dem Elektrokonzern drohen nach dem millionenfachen Datenklau juristische Konsequenzen. Ein Software-Update soll nun das Netzwerk für seine Benutzer sicherer machen.

© David McNew/Getty Images

Ein Besucher des Los Angeles Convention Center 2010 testet einen Controller für Sonys Playstation

Der Playstation-Hersteller will die von Unbekannten gehackte Online-Plattform neu aufsetzen. In einem Blog-Beitrag kündigte Firmensprecher Patrick Seybold die rasche Bereitstellung eines Software-Updates an, das alle Nutzer zur Änderung ihres Passworts veranlasst. Es werde Tag und Nacht daran gearbeitet, um das Playstation-Network und die Qriocity-Dienste für Musik und Filme zu sichern und innerhalb einer Woche wieder in Betrieb zu nehmen.

Gemeinsam mit den Behörden und einer Sicherheitsfirma arbeite Sony daran, die Verantwortlichen für den Datendiebstahl zu ermitteln, schrieb Seybold. Die Täter hätten sich Zugang zu einer unverschlüsselten Datenbank mit Personendaten der Nutzer verschafft. Es gebe keine Hinweise, dass sie auch an die verschlüsselten Kreditkartendaten gelangt seien – allerdings könne dies auch nicht ausgeschlossen werden.

Der Einbruch in die Online-Datenbank von Sony löste eine heftige Debatte über den Umgang mit digitalen Daten aus. Experten kritisierten die Sicherheitsvorkehrungen bei der Verwaltung von Kundendaten für das Sony Playstation-Network und andere Online-Dienste des japanischen Konzerns. Politiker und Datenschützer forderten schärfere Gesetze, um weltweit tätige Firmen bei Datenpannen auch in Deutschland belangen zu können. Bei einem Gericht in den USA ist bereits die erste Klage eines Verbrauchers gegen Sony anhängig.

Der schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert sagte, es sei schwer, Datenschutzverstöße von Weltkonzernen zu verfolgen. Bei Verstößen könnten Bußgelder von maximal 300.000 Euro erlassen werden. "Dann sagen die aber, wir sitzen in den USA, vollstreckt mal. Bei einem Sitz außerhalb der EU ist praktisch nichts zu holen", sagte Weichert. Vorschläge, um an dieser Situation etwas zu ändern, habe die Bundesregierung bislang nicht aufgegriffen.

Die Fraktionschefin der Grünen im Bundestag, Renate Künast, forderte die Regierung ebenfalls zum Handeln auf: "Der Fall Sony ist auch ein Fall schwarz-gelber Untätigkeit, die jetzt Millionen Betroffene in Deutschland mit ihren Daten bezahlen." Nach dem "größten Hackerangriff aller Zeiten" sei die Bundesregierung in der Pflicht, endlich das Datenschutzrecht zu ändern.

Obwohl Sony seinen Sitz nicht in Deutschland hat, sehen Experten den Anbieter in der Haftung. Die Nutzer hätten ihre Daten in die Obhut des Unternehmens gegeben, und dieses sei nicht sorgsam damit umgegangen, sagte der Fachmann für Internetrecht, Christian Solmecke, in Köln. Die Konsequenzen daraus müsse Sony tragen. "Hier gilt ganz normales deutsches Zivilrecht, unser Bürgerliches Gesetzbuch regelt solche Haftungsfragen." Einen Missbrauch nachzuweisen, sei allerdings für Verbraucher sehr schwierig, erklärte Thomas Hoeren, Professor für Medienrecht an der Universität Münster.

Die Ministerien für Justiz und Verbraucherschutz forderten von Sony eine schnelle Aufklärung. "Es ist äußerst bedenklich, dass das Unternehmen erst nach einigen Tagen die massive Panne eingeräumt hat", sagte ein Sprecher von Justizministerin Sabine Leutheusser-Schnarrenberger (FDP).

Der IT-Sicherheitsspezialist Holger Heimann von der Firma it.sec in Ulm sagte, Sony habe die Passwörter der Nutzerkonten offenbar nicht verschlüsselt gespeichert. "Das ist ein deutlicher Hinweis auf ein mangelndes Sicherheitsmanagement – ein elementarer Lapsus." Die Passwort-Panne hätte Sony möglicherweise vermeiden können, etwa mit Penetrationstests, bei denen Fachleute einen Angriff simulieren.

Vor einem Gericht in San Francisco verklagte der Playstation-Besitzer Kristopher Johns Sony auf Schadenersatz. Dabei handelt es sich um eine Sammelklage. Bei einem Schuldspruch hätten alle 77 Millionen Inhaber von Nutzerkonten die gleichen Ansprüche gegenüber Sony, auch wenn sie selbst nicht geklagt haben sollten. Johns verlangt Schadenersatz für den Fall des Missbrauchs von Kreditkartendaten sowie für den Ausfall der Online-Dienste nach dem Hacker-Einbruch. Außerdem fordert er die Verhängung einer Geldstrafe gegen Sony.