Ratgeber: Richtiges Handeln nach dem Sony-Datenklau

Datendiebstahl bei Sony und die Folgen
Foto: dpa Nach dem Datenklau bei den Sony-Diensten für Spiele, Musik und Filme will das Unternehmen die gehackte Online-Plattform neu aufsetzen. Von den Servern des japanischen Elektronikkonzerns waren vergangene Woche Daten von mehr als 70 Millionen Nutzern entwendet worden. In einem Blog-Beitrag kündigte Firmensprecher Patrick Seybold die rasche Bereitstellung eines Software-Updates an, das alle Nutzer zur Änderung ihres Passworts veranlasst. Es werde Tag und Nacht daran gearbeitet, um das PlayStation Network und die Qriocity-Dienste zu sichern und innerhalb einer Woche wieder in Betrieb zu nehmen. Gelingt das, wäre das Netzwerk insgesamt zwei Wochen offline.

Datendiebstahl bei Sony und die Folgen
Foto: dpa Gemeinsam mit den Behörden und einer Sicherheitsfirma arbeite Sony daran, die Verantwortlichen für den Datendiebstahl zu ermitteln, schrieb Seybold. Die Täter hätten sich Zugang zu einer unverschlüsselten Datenbank mit Personendaten der Nutzer verschafft. Es gebe keine Hinweise, dass sie auch an die verschlüsselten Kreditkartendaten gelangt seien - allerdings könne dies auch nicht ausgeschlossen werden. Kunden müssen ihre Kreditkarten jedoch nicht sperren lassen oder austauschen.

60 Tage Widerspruch bei Kreditkartenabrechnung möglich

Entsteht durch Missbrauch der Kundendaten ein Schaden, bekommen Betroffene das Geld ersetzt. "In der Regel übernimmt das die Bank, die die Karte herausgegeben hat", sagt Kerstin Altendorf vom Bundesverband Deutscher Banken. Dafür müssten Verbraucher aber aufmerksam bleiben: "Die Kreditkarten-Abrechnung sollte regelmäßig überprüft werden", empfiehlt Altendorf. Dabei müsse die Frage beantwortet werden, ob jeder Posten auf dem Auszug auch wirklich zugeordnet werden könne. Bei Unstimmigkeiten hätten Kunden 60 Tage Zeit, sich mit ihrem Geldinstitut in Verbindung zu setzen. Am Besten sei es aber, sich möglichst bald an die eigene Bank zu wenden, damit der Schaden reguliert werden könne. Die Beweispflicht liege dann bei den Kreditkarteninstituten oder der Bank.

Für Einkäufe im Internet sollten aus Sicherheitsgründen keine Benutzerkonten angelegt werden. Online-Shopping funktioniere oft auch ohne das Abspeichern einer Bankkonto- oder Kreditkartennummer beim Anbieter, so Annabel Oelmann von der Verbraucherzentrale Nordrhein-Westfalen. "Überlegen sie deshalb genau, wem sie ihre Daten anvertrauen", rät die Expertin. "Und gehen sie im Zweifel lieber auf Nummer sicher." Das heißt: Entweder gar nicht bei dem Anbieter einkaufen oder die Daten bei jedem Einkauf neu eingeben - auch wenn es nervt. "Wenn selbst ein großer Anbieter wie Sony sich nicht vor Attacken schützen kann, sind Daten nirgendwo wirklich sicher", sagt Oelmann.

Konsolen-Guthaben auch ohne Kreditkarte aufladbar

Bei vielen Internet-Shops werden Kunden nicht gezwungen, ein Benutzerkonto anlegen. Und selbst, wenn sie ein Konto angelegt haben, müssen sie die dort ihre Bankdaten nicht hinterlegen. "Hier muss ich als Kunde bei jedem Anbieter zwischen Sicherheit und Bequemlichkeit abwägen", rät Oelmann. Abgesehen von spektakulären Fällen wie der Sony-Attacke würde aber die Masse der Bankdaten über Phishing-Mails und von unseriösen Kleinanbietern entwendet.

In dem angegriffenen Playstation Network und den vergleichbaren Online-Game-Shops für Microsofts Xbox und Nintendos Wii können Nutzer auch ganz ohne Kreditkarte einkaufen, wenn sie im Handel Guthabenkarten erwerben. Der auf den Karten aufgedruckte Code muss im Online-Shop eingegeben werden und dem Nutzerkonto wird das Guthaben gutgeschrieben.

Weitere Konsequenz für die betroffenen Kunden: Nutzer des PlayStation Network und des Medienservice Qriocity könnten von den Angreifern gezielt lästige oder gar schädliche E-Mails zugesendet bekommen. Sie sollten daher Post von unbekannten Absendern besonders kritisch unter die Lupe nehmen, sagt Nora Basting vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn. Das gelte nicht nur in den kommenden Tagen und Wochen: "Sollte der Datendiebstahl einen kriminellen Hintergrund haben, könnte es sein, dass die Daten eine zeitlang gelagert werden, bevor sie verwendet werden."

Ein mögliches Angriffsszenario besteht darin, dass Kriminelle sich als Sony-Mitarbeiter ausgeben und Nutzer per fingierter E-Mail auf eine präparierte Website locken. Dort könnten Passwörter oder andere sensible Daten abgefragt werden. Sony hatte nach der Attacke betont, das Unternehmen frage keine Kontodaten oder andere Informationen per E-Mail bei den Kunden ab.

Experte: Sony muss nach deutschem Recht haften

Internetrechts-Experte Christian Solmecke
Foto: dpa Aus Expertensicht muss Sony für Schäden von Nutzern in Deutschland nach hier geltendem Recht haften. Schließlich wende sich die PlayStation-Plattform klar erkennbar auch an Deutsche, sagt der Internetrechts-Experte Christian Solmecke. Solche Haftungsfragen regele das Bürgerliche Gesetzbuch, berichtet der Rechtsanwalt. Die Nutzer hätten ihre Daten in Sonys Obhut gegeben, und das Unternehmen sei nach derzeitigem Erkenntnisstand nicht sorgsam damit umgegangen.

Aber: "Auch wenn deutsches Recht gilt, können Nutzer zwar ihre Schäden vor deutschen Gerichten geltend machen, sie müssen aber trotzdem jemanden verklagen, der im Ausland sitzt - nämlich ihren Vertragspartner", erläutert der Experte. Das könne kompliziert sein, weil ein Gerichtsvollzieher im Ausland beauftragt werden müsse. "Wenn ein Verbraucher so einen Prozess anstrengt - teilweise wegen relativ geringer Summen - dann geht er ein hohes Vollstreckungsrisiko ein." In den Nutzungsbedingungen des Netzwerks stehe zwar, der Vertrag werde mit Sony in England geschlossen, sagt Solmecke. "Diese Klausel ist aber nach meiner Auffassung unwirksam, weil man deutschen Verbrauchern nicht in Allgemeinen Geschäftsbedingungen englisches Recht aufdrücken darf." Firmen, die international tätig seien, übersetzten ihre Allgemeinen Geschäftsbedingungen zwar häufig in andere Sprachen, passten sie aber nicht den nationalen Rechtssystemen an.