Im April 2011 war das PlayStation-Network Ziel eines massiven Hacker-Angriffs (wir berichteten ausführlich), in dessen Folge Millionen Daten gestohlen wurden. Nun hat die britische Datenschutzbehörde Information Commissioner Office (ICO) eine Strafe in Höhe von 250.000 britischen Pfund gegen den Betreiber Sony verhängt.
In einem Interview der BBC sprach Simon Entwistle (ICO) davon, dass Sony Computer Entertainment Europe (SCEE) mehr hätte tun können (siehe verlinktes Video). David Smith, Deputy Commissioner und Director of Data Protection bei der ICO bestätigt das: "Wenn du verantwortlich für so viele Kreditkarteninformationen und Log-Ins bist, dann muss die Aufrechterhaltung der Datensicherheit oberste Priorität haben. In diesem Fall, war das nicht der Fall."
Gegenüber MCV machte Sony deutlich, dass sie dieses Urteil nicht akzeptieren und dagegen Einspruch erheben werden. SCEE argumentiert, dass selbst die ICO anerkennt, dass Sony selbst Opfer des Angriffs war. Es gäbe keine Hinweise darauf, dass auf die verschlüsselten Karteninformationen zugegriffen wurde und es wäre unwahrscheinlich, dass die persönlichen Daten der User nach dem Angriff mißbräuchlich verwendet wurden. Des Weiteren teilt Sony mit, dass heute mehr Anwender das PSN nutzen als zum Zeitpunkt der Angriffe.
126 Kudos
Unabhängig. Meinungsstark.
hey Chef, welche Antwort sollen wir rausgeben?
- "Uns doch egal! wir haben kurz vorher noch ne Menge Sicherheitsleute entlassen und jetzt mehr Kunden! Sind selbt schuld. Abgezockte Loser melden sich eh nicht weil die wissen daß wir die besseren Anwälte haben!"
- "Was uns passiert ist war bedauerlich und wir möchten uns nochmals bei unseren Kunden entschuldigen. Wir erwägen in Zukunft die Sicherheit zu verbessern"
Kann sich Sony diese Busse leisten? ;-)
Die Buße schon, besser: da kommts auch nicht mehr darauf an.
"in dessen Folge Millionen Daten gestohlen wurden"
und
"Es gäbe keine Hinweise darauf, dass auf die verschlüsselten Karteninformationen zugegriffen wurde"
Das passt nicht zusammen. Was stimmt denn nun?
" Des Weiteren teilt Sony mit, dass heute mehr Anwender das PSN nutzen als zum Zeitpunkt der Angriffe."
Und das hat mit dem Bußgeld genau was zu tun? Diese Aussage von Sony im Hinblick auf das geforderte Bußgeld ist... "themaverfehlend"?
Nur weil der Service heute von mehr Leuten genutzt wird, darf man sich hacken lassen? ;-)
Wieso passt das nicht zusammen? Daten wurden geklaut, das stimmt. Die Karteninformationen sind wohl Kreditkartendaten, die verschlüsselt waren. Diese wurden offenbar nicht geknackt und missbraucht.
Sony windet sich da ganz schön, richtig. Deshalb finde ich die Strafe auch richtig. Das mit den Daten verstehe ich so, dass zwar die Daten geklaut wurden, aber mit verschlüsselten Daten konnten die Diebe nichts anfangen.
Doch konnten sie. So gut wie alle Personenbezogenen Daten waren unverschlüsselt (im besten Fall schlecht gehascht), Firewalls waren unzureichend wenn sie vorhanden waren. Informationspflichten wurde höchst fahrlässig ignoriert.
Die Verschlüsselung der CC-Nummern entsprach "nur teilweise den Vorgaben für PCI Compliance". Im Normalfall erstetzen betroffene Banken eBanking-Verluste durch Identitätsdiebstähle kommentarlos, da diese sich derzeit noch bei 1-2% der Betriebskosten halten. Sony kann also viel erzählen, Glaubwürdigkeit gewinnt man aber anders zurück.
Wie kommt man den von (schlecht) gehashten Daten auf die Original Daten?
Ist die Privatsphäre von Millionen an Menschen nur 250.000 Pfund wert?
Sicher, dass da keine 0 fehlt? Kommt mir ehrlich gesagt etwas wenig vor... entschuldigt.
Wenn der Datenschutz schon von so vielen Bürgern mit Füßen getreten wird, ist es kaum eine Überraschung, dass er auch 'offiziell' einen schweren Stand hat.
Unsere Datenschutzbeauftragten können davon wahrscheinlich auch das eine oder andere Lied singen.
Die Schweizer Banken werden ja noch nichteinmal angeklagt wegen den gestolenen Kundendaten.
Müssten die Hacker nicht 250.000 € Strafe zahlen? Immerhin sind die, die Verursacher. Sony ist ja ein geschädigter und kein Täter.
Ich finde es manchmal richtig hardcore wie mit geschädigten Umgegangen wird. Die Tage noch Der Ghostwriter gesehen, passt wie die Faust aufs Auge.
Und jetzt kommt mir nicht mit falscher Scheinheiligkeit von wegen Sony hätte mehr tun müssen. Gegen einen externen Angriff hat man nunmal keine Chance wenn er gut vorbereitet ist, das ist schon seit der Antike so.
Nicht nachvollziehbar was du schreibst. Es geht gerade darum dass es für so prekäre /umfassende Datensammlungen eine gesetzlich vorgeschriebene Schutzpflicht gibt.
Die Angriffe waren abwendbar. Die Sicherheit wurde dem Profit geopfert, deshalb waren Sicherheitsvorkehrungen ungenügend. Muss erst ein Film darüber gemacht werden damit manch ein Übertalent sich mit den Einzelheiten auseinandersetzt?
"Die Hacker" müssen nichtmal die ersten gewesen sein. Es können endlos viele vorher zugegriffen haben, du hättest nichts gemerkt wenn nicht genau die letzten keinen Zirkus draus gemacht hätten. Sony hätte nichts gesagt, zeigt sich an der Haltung nur zu deutlich. Schließ du mal bei einem Einbruch deine Haustür nicht ab, niemand wird dich ernst nehmen wenn du dich so rauszuwieseln versuchtest.
"Schließ du mal bei einem Einbruch deine Haustür nicht ab, niemand wird dich ernst nehmen wenn du dich so rauszuwieseln versuchtest."
Ja weil die Versicherung ja nicht blöd ist, und alles herzieht damit sie nicht zahlen muss. Das ist ein spezieller Kontext der wie ich finde bei der Sony Geschichte nicht zutrifft.
Rechtlich ist ja alles klar abgesichert, aber es geht mir um den ethischen Wert der Entscheidung.
Wieso sollte das bei Sony nicht zutreffen? Die haben ihre Tür zum Daten-Haus auch nur angelehnt gehabt, wenn man den Berichten glaubt. Da hätte quasi jeder Tagedieb reinmarschieren und lecker Daten-Braten aus dem Kühlschrank klauen können :p
Und woher hast du deine Informationen?
Wenn man mal im Internet sucht, wird man mehr dazu finden als man glaubt.
In der SZ ist die rede davon das Hacker angriffe 10Mrd jahrlich für Unternehmen kosten und das sie einmal pro Woche erfolgreich gehackt werden.
sueddeutsche.de/digital/schutz-gegen-hackerangriffe-neue-sicherheitsarchitektur-gegen-die-gefahren-des-internets-1.1510556-2
Ein andere Artikel spricht davon das bei den Dax Unternehmen alleine 30.000 bis 100.000 sicherheitslücken für angriffe bestehen.
Die Sicherheitstechnik hängt immer hinterher, erst wird gehackt dann kann erst eine Lücke geschlossen werden.
news.de/wirtschaft/855241457/jedes-grossunternehmen-durch-hacker-gefaehrdet/1/
In einem Beitrag bei der Telekom von einem verantwortlichen für sicherheits Technik wird auch davon gesprochen das schon viele kunden Daten in vielen Branchen gestolen wurden. Ein aktuell gehaltenes System soll aber auch nur zu 90% sicher vor Angriffen.
telekom.com/medien/managementzursache/138062
Es werden auch 10.000 Angriffe am Tag abgewehrt bei einigen Unternehmen wohl auch noch mehr.
Und das ist noch ein artikel von 2001, werden wohl eher mehr geworden sein.
welt.de/print-wams/article616383/Netz-mit-doppeltem-Boden.html
Verlier' du mal personenbezogene Daten von mehr Personen als Deutschland Einwohner hat. So was unreflektiert zu entschuldigen ist hardcore.
Von der rechtlichen Seite ist das klar, aber moralisch sind in meinen Augen die Täter schuld, somit die Leute, die die schlecht gesicherten Daten gestohlen haben.
Wenn mir Geld unter der Matratze gestohlen wird das nicht mir gehört, bin ich zwar mitverantwortlich da ich es leichtfertig aufbewahrt habe, doch der Hauptschuldige ist der Dieb, nicht das Opfer.
Das mag naiv und dumm wirken ist aber tatsächlich meine Meinung.
Von "hauptschuldig" spricht ja (glaube ich) auch niemand. Aber du sagst es ja selbst: Sony hatte Verantwortung den Daten gegenüber, die man nicht angemessen wahrgenommen hat. Und gemäß dieser nicht gerade kleinen Mitschuld ist es nur logisch, dass Strafe anfällt.
Quasi wie wenn dir einer hinten drauf fährt und dich auf den Vordermann aufschiebt. Im schlimmsten Fall bekommt man eine Teilschuld, weil man den Sicherheitsabstand nicht eingehalten hat.
Kannst ja mal deinen Geld Beutel im Bierzelt liegen lassen und auf Klo gehen. Was wird wohl da passieren genau so hat es Sony gemacht. Nur das ich denke die Hacker die das machten dachten einfach nicht das sie nur ansatzweise so weit kommen. Sonst hätten viele Leute Probleme bekommen mit den Kredit Karten. Profis hätten die Daten keine paar Minuten später verkauft Sony hatte da mehr Glück als verstand. Und jetzt stell dir mal vor das es Amateure waren und die es locker geschafft haben ein Welt unternehmen zu Hacken. Wer hat da jetzt Schuld die Firma die noch abwartet ob was rauskommt oder die Amateure die niemals mit dem Gerechnet haben. solche Daten werden schon vor dem Hack verkauft und sind in Minuten verteilt. Die wussten wahrscheinlich nicht mal wie sie das loswerden sollen.
Haha, der war gut. Oder meinst du das ernst?
Sony hat´s einfach richtig verbockt. Personenbezogene Daten wurden z.T. un- oder nur schwach verschlüsselt gespeichert.
Analog: Du gibst jemandem ´nen Hundert-Euro-Schein, damit dieser Jemand darauf aufpasst - die Person lagert das Geld jetzt auf der Fußmatte vor der Haustür, denn: Es ist ja egal ob das Geld im Haus, oder davor liegt. Gegen Diebstahl (Angriffe von außen) kann man ja eh nichts machen.
Dazu kommt die unsägliche Informationspolitik von Sony. Tage nach dem Hack wurden die Betroffenen/die Öffentlichkeit erst darüber informiert. Viel zu spät.
"Sony ist ein geschädigter"
Inwiefern ist Sony denn geschädigt worden? Vom Imageschaden, den sie sich eben durch mangelhafte Sicherheit- und Informationspolitik selbst zuzuschreiben haben, mal abgesehen.
Die Leute die von dem Datenklau bei Schweizer Banken betroffen waren, wurden aber wirklich geschädigt und wären fast sogar im Knast gelandet, da schreit aber kaum jemand nach strafe für die Banken. Richtig gesichert waren die Daten jawohl auch nicht.
Da schreien weniger weil Steuerhinterziehung illegal ist. Was ist los mit dir? Sony hat mehr als 100m Kundendaten verzockt weil sie ihre Aufsichtspflich vernachlässigt haben. Im Freien Markt lässt sich das nicht entschuldigen.
Sorry, aber: HÄ? Was redest du da? Was sind das für Vergleiche?
Der Vergleich ist m.E.n. ziehmlich abwegig...
Ghostwriter passt wie die Faust auf's Auge? Nur weil etwas "Britisches" behandelt wird oder was? wtf :O :D :O
dass Sony vertrauliche daten entsprechen sichern muss, ist klar, und wenn sie dies nicht tun, muss das irgendwie bestraft werden. soweit so gut.
aber welche strafe haben denn die eigentlichen schuldigen zahlen müssen? klingt für mich mehr als eine verzweiflungstat; an die hacker kommt man offenbar nicht ran, kann das aber nicht eingestehen, deswegen bestraft man halt Sony, die mehr opfer als täter waren. das ist für mich nicht in ordnung.
wenn in meine wohnung eingebrochen wird weil ich nicht ordentlich abgeschlossen habe, dann möchte ich dafür nicht auch noch gebüsst werden, während der einbrecher mit meinem fernseher davon kommt.
Jo seh ich auch so, erstmal muss ein Schuldiger gefunden werden, ist der wahre Täter nicht zu finden richtet die Empörung halt einen anderen hin.
Das mag mitunter stimmen. Will ich gar nicht bestreiten. Trotz allem müsst ihr das Beispiel auch zuende denken. Wenn es nur um Sonys Daten gehen würde, wäre das Beispiel mit der offenen Wohnungstür plausibel.
Sie waren aber für Millionen von Existenzen verantwortlich und haben die voraus gesetzte Sicherheitsstufe nicht eingehalten. Das Lied ist ja auch noch nicht zu Ende. Da wird bestimmt noch etwas kommen. Bei nem Bankraub geb ich die 2Mio€ ja auch nicht an der nächsten Tanke aus.
Hier geht es halt um Sony und ihre Pflicht den Kunden gegenüber. Der Streitfall Sony gegen Hacker steht auf einem ganz anderen Prozessblatt. Und da sind sie selbstverständlich Opfer. Heute haben sie aber fahrlässig gehandelt.