Sony Systemfehler Daten horten
Millionen Menschen verlieren persönlichste Informationen, weil Hacker bei Sony einbrachen. Der Konzern sammelt unnötig viele Daten.
© Yoshikazu Tsuno AFP/Getty Images
Eine junge Frau präsentiert ein neues 3D-Spiel für die Playstation auf einer Messe in Tokyo
Wer sich zu weit aus dem Fenster lehnt, fällt auch mal raus. Das ist dem Elektronik-Konzern Sony gerade passiert. 77 Millionen Kunden müssen um persönliche Daten fürchten, die sie dem Unternehmen in der Annahme anvertraut hatten, dort seien sie sicher aufbewahrt: Name, E-Mail-Adresse, Geburtsdatum, Logins und Passwörter, dazu die Sicherheitsfrage für das Passwort, das eigene Profil mit Kaufhistorie und der Rechnungsanschrift, eventuell auch die Kreditkartennummer. Fehlt eigentlich nur noch die Nummer des Personalausweises und die Pin der EC-Karte.
Wie konnte das geschehen? Die technischen Sicherheitslücken, durch die sich Hacker Zugang zu diesen Informationen verschafft haben, sind noch nicht bekannt. Insofern kann noch niemand ganz genau sagen, welche Fehler Sony gemacht hat. Offenbar beherrscht der Konzern aber den Teil seiner Produkte nicht ausreichend, der mit Datenverarbeitung einhergeht.
Anzeige
Aufbauend auf der klassischen Hardware, der Spielekonsole, hat Sony im Lauf der Jahre eine umfangreiche Online-Welt entwickelt, das Playstation Network. Hier können Nutzer miteinander spielen, chatten, Filme ansehen sowie diverse Online-Komponenten und Features kaufen.
Für das Unternehmen ist das ein wichtiges Geschäftsfeld. Denn Konsolen kann man knacken (eben ist Sony wieder gegen zwei Hacker vorgegangen), Spiele auf Silberscheiben kann man raubkopieren. Das ist mit Online-Angeboten weitaus schwieriger. Dafür binden sie die Nutzer an das Produkt. Aus dem Einmalkäufer der Playstation wird ein dauerhafter Kunde.
Nur darf man fragen, ob tatsächlich so viele Daten nötig sind, um diese Kundenbindung herzustellen. Das deutsche Datenschutzgesetz enthält einen wichtigen Grundsatz, die Datensparsamkeit. Demnach dürfen nur so viele Daten gesammelt werden, wie für die Anwendung unbedingt notwendig sind. Das gilt für staatliche Verwaltungen; es könnte aber auch Orientierung für Unternehmen sein.
Muss man Name, Geburtsdatum, Adresse und E-Mail-Adresse eines Kunden kennen? Nein, zum Kauf eines technischen Geräts reicht im Laden ja auch Bargeld; die Teilnahme an vielen anderen Social-Media-Angeboten erfordert diese Informationen ebenfalls nicht. Warum sollte es bei Sony anders sein?
Muss ein Unternehmen die Kreditkartennummer eines Kunden und die dazugehörigen Authentifizierungsdaten selbst speichern? Nein, es gibt längst Dienstleister (beispielsweise Mastercard oder Visa), die diesen Part eines Online-Geschäfts etwa durch ein gesondertes Authentifizierungsverfahren mithilfe eines besonderen Sicherheitscodes übernehmen.
Die Antwort auf die Frage, was Sony falsch gemacht hat, ist also: Das Unternehmen sammelt zu viele Daten. Denn niemand, der in dieser Menge Daten hortet, kann sie zuverlässig schützen, sagen Fachleute.
Warum tun sie es dennoch? Weil sie der weit verbreiteten Annahme folgen, dass der die besten Geschäfte macht, der besonders viel über seine Kunden weiß. Weil sie den Imageschaden eines Datenklaus für geringer achten. Und weil sie damit richtig liegen. Denn nur wenige Kunden proben bislang den Aufstand gegen solches Geschäftsgebaren.
Anzeige
- Datum 27.04.2011 - 16:49 Uhr
- Quelle ZEIT ONLINE
- Kommentare 17
- Versenden E-Mail verschicken
- Empfehlen Facebook, Twitter, Google+
- Artikel Drucken Druckversion | PDF
-
Artikel-Tools präsentiert von:
Neu auf Handelsblatt.com:
das Problem ist doch wer keine Daten speichert hat einen eklatanten Wettbewerbsnachteil gegenüber den Unternehmen die es tun.
Produkte werden so an die Kundschaft angepasst, erweitert und beschränkt, je nachdem was man aus den Bewegungen der Kundenprofile zu deuten meint.
Weder Apple,noch Sony, noch Microsoft noch irgendein anderer Global Player verfahren hier anders.
Das wird sich auch nicht ändern, zu wenige kritische Geister stehen zu vielen gegenüber denen es bestenfalls egal ist.
Ich frage mich umgekehrt aber auch, warum so viele Menschen diese ganzen Daten überhaupt preisgeben.
Ich fülle bei Online-Formularen genau die Pflichtfelder aus. Falls dies auch schon mehr als nötig ist, bin ich im Zweifelsfall eben mal ein Herr Hinz von Kunz oder so.
Lieber GrafAtomar,
Ich bin mir nicht sicher, ob es einfach nur Pech ist, was Sony passierte. Das Interesse, Produkte an die Kundschaft anzupassen, kann ich nachvollziehen. Aber was unterscheidet beispielsweise einen Account mit Nicknamen, dessen Profil ich verfolgen und zur Produktverbesserung auslesen kann, von einem mit Klarnamen, Adresse und Geburtsdatum?
Mein Argument ist nicht, dass Unternehmen gar keine Daten ihrer Kunden erheben dürfen - manchmal mag das sogar gut sein, etwa wenn meine Bank merkt, dass eine Kreditkartenbuchung aus Lagos nicht meinem sonstigen Kaufverhalten entspricht und nachfragt. Wichtiger finde ich, dass Daten nicht einfach gehortet werden nach dem Motto: Mal sehen, was wir irgendwann noch damit anfangen können.
Viele Grüße
Karsten Polke-Majewski
Hier ist enormer Handlungsbedarf zu verzeichnen. Das Problem ist allerdings, dass das nur international regelbar ist.
Wenn in einem Konzern mit Firmensitz in Deutschland z. B. ein Ticket-Tool für die Wartung von Software eingeführt werden soll und ein Teil des Service-Teams, das für die Abwicklung der Tickets zuständig ist, dann gibt es regelmäßig einen enormen Aufstand, was die Mitarbeiter der ausländischen Service-Teams an Daten aus den eingestellten Tickets denn eigentlich sehen dürfen.
Das führt zu aufwändigem Gebastel an Berechtigungs-Profilen für bestimmte Daten - aber es ist genau richtig so. Es gibt eben rechtliche Regelungen, wer was sehen darf. Da ich mich beruflich mit solchen Dingen beschäftige, kenne ich das Geschäft aus dem Alltag.
Und ich staune immer wieder, was bestimmte Konzerne - Apple, Sony und Microsoft sind da abschreckende Beispiele, es gibt aber noch viel mehr einschlägige Kandidaten - ungefragt (gut man muss im Extremfall irgendwo ein Häkchen setzen, aber niemand liest das wirklich genau) an Daten abgreifen und auf Verdacht einfach abspeichern. Man könnte ja irgendwann mal etwas damit anfangen können.
Das ist so ziemlich das falscheste Konzept, das vorstellbar ist, sobald es um personenbezogene Daten geht. Da sollte eigentlich er Grundsatz gelten "Weniger ist mehr". Das gilt im Übrigen auch für die Sammelwut, die einige Politiker in Form von Plänen zur Vorratsdatenspeicherung an den Tag legen. DAs ist auch höchst bedenklich.
....genannten Informationen sind nicht recht sinnvoll für die Firma sich zu merken?
Es ist klar, dass die Firma hier neben Pech auch zu wenig vorsichtig war, in dem sie die Aufbewahrung der Daten auch hätte anders bewerkstelligen können. Es scheinen mir bisher wenige Argumente gegen die Speicherung in irgend einer Weise valide. Lediglich der Umgang mit ihnen ist weitaus schwieriger, als man sich oftmals vorstellt. Daher wird darüber zu wenig nachgedacht und vermutlich zu wenig darin investiert.
Hier ist enormer Handlungsbedarf zu verzeichnen. Das Problem ist allerdings, dass das nur international regelbar ist.
Wenn in einem Konzern mit Firmensitz in Deutschland z. B. ein Ticket-Tool für die Wartung von Software eingeführt werden soll und ein Teil des Service-Teams, das für die Abwicklung der Tickets zuständig ist, dann gibt es regelmäßig einen enormen Aufstand, was die Mitarbeiter der ausländischen Service-Teams an Daten aus den eingestellten Tickets denn eigentlich sehen dürfen.
Das führt zu aufwändigem Gebastel an Berechtigungs-Profilen für bestimmte Daten - aber es ist genau richtig so. Es gibt eben rechtliche Regelungen, wer was sehen darf. Da ich mich beruflich mit solchen Dingen beschäftige, kenne ich das Geschäft aus dem Alltag.
Und ich staune immer wieder, was bestimmte Konzerne - Apple, Sony und Microsoft sind da abschreckende Beispiele, es gibt aber noch viel mehr einschlägige Kandidaten - ungefragt (gut man muss im Extremfall irgendwo ein Häkchen setzen, aber niemand liest das wirklich genau) an Daten abgreifen und auf Verdacht einfach abspeichern. Man könnte ja irgendwann mal etwas damit anfangen können.
Das ist so ziemlich das falscheste Konzept, das vorstellbar ist, sobald es um personenbezogene Daten geht. Da sollte eigentlich er Grundsatz gelten "Weniger ist mehr". Das gilt im Übrigen auch für die Sammelwut, die einige Politiker in Form von Plänen zur Vorratsdatenspeicherung an den Tag legen. DAs ist auch höchst bedenklich.
....genannten Informationen sind nicht recht sinnvoll für die Firma sich zu merken?
Es ist klar, dass die Firma hier neben Pech auch zu wenig vorsichtig war, in dem sie die Aufbewahrung der Daten auch hätte anders bewerkstelligen können. Es scheinen mir bisher wenige Argumente gegen die Speicherung in irgend einer Weise valide. Lediglich der Umgang mit ihnen ist weitaus schwieriger, als man sich oftmals vorstellt. Daher wird darüber zu wenig nachgedacht und vermutlich zu wenig darin investiert.
Das Problem bei Sony ist doch nicht, dass Nutzer des PSN nicht wüssten was für Daten über sie erhoben werden, denn das tun sie im Gegensatz zu Iphone Nutzern. Das Problem von Sony ist schwerwiegender: die Sicherheit der bezogenen Daten interessiert Sony entweder nicht, oder sie sind nicht fähig genug sie adäquat zu sichern! Wer diese Daten hortet sollte dazu verpflichtet sein, sie SICHER zu horten, und er sollte Schadensersatzpflichtig sein! Was zahlt mir Sony dafür, dass sie meine Daten an Verbrecher weitergegeben haben?
Hier ist enormer Handlungsbedarf zu verzeichnen. Das Problem ist allerdings, dass das nur international regelbar ist.
Wenn in einem Konzern mit Firmensitz in Deutschland z. B. ein Ticket-Tool für die Wartung von Software eingeführt werden soll und ein Teil des Service-Teams, das für die Abwicklung der Tickets zuständig ist, dann gibt es regelmäßig einen enormen Aufstand, was die Mitarbeiter der ausländischen Service-Teams an Daten aus den eingestellten Tickets denn eigentlich sehen dürfen.
Das führt zu aufwändigem Gebastel an Berechtigungs-Profilen für bestimmte Daten - aber es ist genau richtig so. Es gibt eben rechtliche Regelungen, wer was sehen darf. Da ich mich beruflich mit solchen Dingen beschäftige, kenne ich das Geschäft aus dem Alltag.
Und ich staune immer wieder, was bestimmte Konzerne - Apple, Sony und Microsoft sind da abschreckende Beispiele, es gibt aber noch viel mehr einschlägige Kandidaten - ungefragt (gut man muss im Extremfall irgendwo ein Häkchen setzen, aber niemand liest das wirklich genau) an Daten abgreifen und auf Verdacht einfach abspeichern. Man könnte ja irgendwann mal etwas damit anfangen können.
Das ist so ziemlich das falscheste Konzept, das vorstellbar ist, sobald es um personenbezogene Daten geht. Da sollte eigentlich er Grundsatz gelten "Weniger ist mehr". Das gilt im Übrigen auch für die Sammelwut, die einige Politiker in Form von Plänen zur Vorratsdatenspeicherung an den Tag legen. DAs ist auch höchst bedenklich.
Sorry.
und ein Teil des Service-Teams, das für die Abwicklung der Tickets zuständig ist,
sollte natürlich heißen:
und ein Teil des Service-Teams, das für die Abwicklung der Tickets zuständig ist, sitzt im Ausland
Sorry.
und ein Teil des Service-Teams, das für die Abwicklung der Tickets zuständig ist,
sollte natürlich heißen:
und ein Teil des Service-Teams, das für die Abwicklung der Tickets zuständig ist, sitzt im Ausland
Sorry.
und ein Teil des Service-Teams, das für die Abwicklung der Tickets zuständig ist,
sollte natürlich heißen:
und ein Teil des Service-Teams, das für die Abwicklung der Tickets zuständig ist, sitzt im Ausland
daß sie es immerhin gemeldet haben. Ich möchte nicht wissen, wieviele Firmen so was nicht melden würden, bzw. es nicht mal wissen, daß jemand Zugriff auf die Daten hat(te).
....genannten Informationen sind nicht recht sinnvoll für die Firma sich zu merken?
Es ist klar, dass die Firma hier neben Pech auch zu wenig vorsichtig war, in dem sie die Aufbewahrung der Daten auch hätte anders bewerkstelligen können. Es scheinen mir bisher wenige Argumente gegen die Speicherung in irgend einer Weise valide. Lediglich der Umgang mit ihnen ist weitaus schwieriger, als man sich oftmals vorstellt. Daher wird darüber zu wenig nachgedacht und vermutlich zu wenig darin investiert.
Bitte melden Sie sich an, um zu kommentieren