Bei der jüngsten Cyber-Attacke auf Sony könnten auch Kreditkarten- und EC-Nummern in kriminelle Hände gelangt sein
Erneut muss der Elektronikkonzern Sony einen Hacker-Angriff auf eines seiner Online-Netzwerke eingestehen. Auch sensible Kreditkarten- oder EC-Nummern könnten die Cyberkriminellen diesmal erspäht haben. Datenschützer fordern nun einen besseren internationalen Rechtsrahmen, damit Unternehmen wie Sony auch hierzulande zu Bußgeldern verdonnert werden können. Verbraucherschützer raten Kunden, ihre Konten im Blick zu behalten.
Bereits am Montag hatte das Unternehmen den erneuten Datendiebstahl, diesmal auf das Netzwerk der Konzerntochter Sony Online Entertainment (SOE), eingeräumt. Persönliche Informationen – wie Name, Adresse, Emailadresse, Telefonnummer, Benutzername und Passwort – von etwa 24,6 Millionen Nutzerkonten wurden eventuell gestohlen. Hacker, so hieß es, könnten „sich möglicherweise Zugang zu persönlichen Kundendaten auf den SOE-Systemen verschafft haben“.
Schätzungsweise 12.700 Kreditkarten- oder EC-Nummern von Kunden außerhalb der Vereinigten Staaten sind vermutlich in falsche Hände geraten, sagte Sony. Allerdings handelt es sich um Daten aus einer nicht mehr aktuellen Datenbank. Außerdem sei zu befürchten, dass die Kriminellen etwa 10.700 Lastschrifteinzugsdaten von Kunden aus Deutschland, Österreich, den Niederlanden und Spanien ausgespäht haben könnten. Eine Woche zuvor hatte Sony Hacker-Attacken auf das Online-Netzwerk der Spielekonsole Playstation und den Filmdienst Qriocity bekannt gegeben.
Vorübergehend haben die Japaner alle SOE-Spiele abgeschaltet und eine Sicherheitsfirma damit beauftragt, den Vorfall zu untersuchen. Die betroffenen Verbraucher werden informiert. Der Konzern rät seinen Kunden zu „erhöhter Vorsicht vor Versuchen, per Email, Telefon oder auf dem Postweg an Ihre persönlichen Informationen zu gelangen“.
Datenschützer empfehlen potentiell Betroffenen, wachsam zu sein und Kontoauszüge und Kreditkartenrechnungen zu überprüfen. „Behalten Sie die Konten im Blick“, sagte die Sprecherin des Datenschutzbeauftragten in Nordrhein-Westfalen, Bettina Gayk.
Als „völlig inakzeptabel“ bezeichnet Verbraucherministerin Ilse Aigner die Informationspolitik von Sony. Millionen Verbraucher würden mit ihren Fragen allein gelassen. Nutzer erführen auf den Webseiten des Konzerns nicht schnell und verständlich, wie sie sich als Betroffene jetzt verhalten sollten. Dazu seien die Informationen nicht auf dem neuesten Stand. „An keiner Stelle weist das Unternehmen darauf hin, dass die Kunden ihr Sony-Passwort auch für andere Dienste keinesfalls mehr verwenden dürfen“, kritisierte Aigner und fordert Transparenz und Aufklärung von Sony.
Ob die Vorfälle Konsequenzen für die Japaner nach sich ziehen, bleibt ungewiss. Gehen einem Unternehmen Daten verloren, löst das nach hiesigem Recht Informationspflichten aus und die zuständige Datenschutzaufsicht sowie die betroffenen Kunden müssen in Kenntnis gesetzt werden. Im Fall Sony ist die Rechtslage jedoch nicht eindeutig, weil der Konzern nicht in Deutschland ansässig ist. „Ob deutsches Recht zur Anwendung kommt, hängt davon ab, wo Sony die Daten erhoben hat“, sagt die Sprecherin des Datenschutzbeauftragten. Hätten Benutzer selbst ihre Daten direkt nach Japan geschickt, würden deutsche Gesetze nicht greifen.
Würde Sony allerdings doch gegen deutsche Vorschriften verstoßen, was bislang unklar ist, hätte der Konzern ein Bußgeld von maximal 300.000 Euro zu befürchten.
„Die weltweite Ausdehnung des Internets macht den Datenschutz schwach“, erläutert Sprecherin Gayk die aktuelle Lage und fordert zumindest eine einheitliche europäische Regelung. Externe Unternehmen, die über das Internet auf dem Markt der Europäischen Union tätig sind, sollten sich auch auf geltende EU-Regeln beziehen müssen.