Sony-Hack Sony sagt sorry

Sonychef Stringer entschuldigt sich persönlich bei seinen Kunden für das Datenleck. Was genau er dabei schreibt, sollte indes ihre Skepsis wecken.

© Danish Siddiqui / Reuters

Sonychef Howard Stringer

Warum erst jetzt? Diese Frage dürfte sich all jenen aufdrängen, die die neuerliche Entschuldigung des Sony-Konzerns lesen. Teile der Konzernführung hatten sich schon einmal allgemein für das Datenleck entschuldigt, nun aber hat der Konzernchef persönlich einen offenen Brief an seine Kunden geschrieben. In dem aber stehen mindestens zwei Dinge, die seltsam wirken.

An einer Stelle erklärt Howard Stringer, warum es so lange dauerte, bis die Nutzer von Sonys Online-Diensten vom Verlust ihrer Kundendaten erfahren haben: "As soon as we discovered the potential scope of the intrusion, we shut down the PlayStation Network and Qriocity services and hired some of the best technical experts in the field to determine what happened." Wie bitte? Einer der größten Elektronikkonzerne der Welt musste Analysten einstellen, um einen Hack untersuchen zu können?

Das klingt bedenklich. Möglicherweise stimmt ja, was der Playstation-Hacker "Geohot" in einem wütenden Blogeintrag über Sony behauptet hatte: dass die Konzernführung sich viel zu sicher gefühlt habe. George Hotz schreibt, Sony habe gegen ein Grundprinzip der Datensicherheit verstoßen: "Never trust a client."

Wenn im Internet eine Verbindung aufgebaut wird, geschieht das primär zwischen dem Server eines Betreibers und dem Computer eines Nutzers (Client). Soll der eigene Server dabei nicht angegriffen werden, muss er Sicherungssysteme haben. Sony habe diese nun vernachlässigt und sich allein auf die Sicherung der Clients konzentriert – der Playstation eben, die auf die Spieleserver Sonys zugreift, schreibt Hotz. Der Konzern habe doch offensichtlich geglaubt, dass ihm der Client ja ebenfalls gehöre und dass er unknackbar sei: "But Sony believes they own the client, too, so if they just put a trust boundary between the consumer and the client (can't trust those pesky consumers), everything is good. (...) Since everyone knows the PS3 is unhackable, why waste money adding pointless security between the client and the server?"

Als Beleg dient Hotz die Tatsache, dass auch die Xbox 360 von Microsoft und das iPhone gehackt wurden. Nie jedoch seien die Täter dadurch an die Daten gelangt, die auf den Servern lagern.

Der Entschuldigungsbrief von Sonychef Stringer lässt vermuten, dass Hotz damit so falsch nicht lag. Scheint der Konzern doch nicht genug Leute gehabt zu haben, um das Problem überhaupt erst einmal zu untersuchen. Dabei sollte die Suche nach möglichen Schwachstellen in einem Computersystem selbstverständlich sein, wenn es um so große Mengen an Kundendaten geht – und daher auch entsprechende Teams vorhanden sein.

Und noch einen Punkt gibt es, der davon zeugt, wie sicher sich Sony wohl fühlte. Stringer schreibt: "We are also moving ahead with plans to help protect our customers from identity theft around the world. A program for U.S. PlayStation Network and Qriocity customers that includes a $1 million identity theft insurance policy per user was launched earlier today and announcements for other regions will be coming soon."

Man komme also, heißt es, "mit den Plänen voran", die Nutzer vor Identitätsdiebstahl zu schützen und habe dazu nun ein entsprechendes Programm aufgelegt. Die dahinter stehende Firma durchforstet Datenbanken nach Hinweisen darauf, ob sich darin Informationen von Sonynutzern finden. So etwas wie eine ständige Kontrolle, die überwacht, ob irgendwo ein Leck existiert. Dass es so etwas bei Sony bisher nicht gab, ist ebenfalls erstaunlich.