Datenschutz mangelhaft
4. Mai 2011Erst am Sonntag (01.05.2011) hatte sich die Sony-Führung entschuldigend vor ihren Kunden verbeugt. Wegen des Dienstahls von 77 Millionen Kundendaten. Jetzt muss Sony eingestehen: Weitere knapp 25 Millionen persönlicher Daten von Nutzern des Spieledienstes Sony Online Entertainment SOE wurden geklaut - macht zusammen mehr als 100 Millionen Datensätze - mit Namen, Adressen, Emailadressen, Alter, Passwörtern. Ob und welche Kreditkartendaten mit gestohlen wurden, ist noch immer nicht bekannt. Einer der größten Datendiebstähle der Geschichte.
Im hessischen Darmstadt leitet Michael Waidner das Fraunhofer-Institut für Sichere Informationstechnologie SIT. Nüchtern stellt Waidner fest, solche Riesendatenmengen "laden dazu ein, dass man versucht sich einzuhacken. Und früher oder später kann dann auch irgendwas passieren.“ Um so wichtiger wäre der Schutz dieser Datenschätze. Der Tübinger IT-Sicherheitsberater Micha Borrmann sieht bei Sony deutliche Versäumnisse. Vor allem die unverschlüsselte Speicherung von Passwörtern entspreche nicht mehr dem Stand der Technik. "Das ist nicht der Schutz, den man dort erwartet hätte“, urteilt Borrmann.
"Nicht der Schutz, die man erwartet hätte"
Diesem Urteil schließt sich auch der finnische Sicherheitsexperte Mikko Hypponen an. Er weist darauf hin, der Einbruch bei Sony sei über eine bekannte Schwachstelle erfolgt. Hypponen ärgert diese Nachlässigkeit besonders, weil Sony den Schutz des eigenen geistigen Eigentums immer sehr aggressiv betrieben hat: "Es sieht so aus, als hätten sie ihr geistiges Eigentum besser geschützt, als die Informationen über ihrer Kunden.”
Diese Daten öffnen Kriminellen in der digitalen Welt Tür und Tor - selbst wenn man von den Kreditkartendaten absieht. Für besonders gefährlich hält Michael Waidner die gestohlenen Passwörter. Denn viele User melden sich auf den unterschiedlichen Plattformen mit ein - und demselben Passwort an: "Wenn ich die gestohlen hätte - ich würde die als erstes gegen alle möglichen anderen Dienste ausprobieren“, sagt der Darmstädter IT-Mann. Denn mit einer gewissen Wahrscheinlichkeit würden die gleichen Benutzernamen zu den gleichen Passwörter an vielen verschiedenen Stellen passen.
Gleiches Passwort für viele Dienste
Das kann nicht nur unangenehm werden, sondern auch teuer. Zum Beispiel dann, wenn die Hacker dank des Passwortdiebstahls Zugang zum Emailkonto bekommen. Denn von dort aus könne man die Passwörter von Dutzenden weiterer Dienste zurücksetzen, erklärt der Finne. "Man kann sich zum Beispiel beim Internetbezahldienst Paypal einloggen und dann erklären, man habe sein Passwort vergessen. Dann werden sie ein neues Passwort an die Emaildresse schicken – wo der Hacker aber schon drin ist. Und der hat dann auch Zugang zu dem Paypal-Konto. Und das Gleiche lässt sich mit facebook machen oder auch mit ebay und überall sonst.”
Über ein paar Ecken verwandelt sich die unschuldig aussehende Play-Station in einen Spion, der sich gegen seinen Besitzer wendet. Diese Erfahrung droht auch den Besitzern anderer High-Tech Geräte. Groß war die Empörung im April unter den Nutzern des Navigationsdienstleisters Tom-Tom. Anhand seiner gesammelten Daten weiß Tom-Tom, wo Autofahrer besonders schnell fahren. Und hat diese Daten an die niederländische Polizei verkauft, damit die ihre Radarfallen optieren kann.
Ortungsgerät I-Phone
Noch größer war der Ärger bei Millionen I-Phone Besitzern, als sie erfuhren, dass Apple ihre Aufenthaltsorte speichert - mehrfach täglich und in der Regel ohne ihr Wissen. Sicherheitsexperte Hypponen erläutert, man habe die User beim Installieren von I-Tunes überrumpelt. Wenn man dort den Lizenzbestimmungen zustimmt, stimmt man auch dem Senden “diagnostischer Informationen” an Apple zu. "Aber es ist keine Rede vom Übermitteln des Aufenthaltsortes an Apple“, empört sich Hypponen. "Wenn du erst einmal "okay“ geklickt hat, schickt dein I-Phone auf ewig deinen Aufenthaltsort an Apple - zweimal täglich."
Die Lizenzbedingungen bei dem Installieren von Onlinediensten liest ohnehin fast niemand. Das bestätigt auch Michael Waidner. Er berichtet von einer Veranstaltung, bei dem unlängst die Vortragende ihr Publikum gefragt hat, wer denn die Lizenzbedingungen lese. Von den 80 anwesenden IT-Fachleuten meldete sich nur einer: Der musste sie lesen - weil er darüber promoviert.
Autor: Matthias von Hein
Redaktion: Rolf Wenkel