Sony-CEO Howard Stringer.
Berlin – Der Einbruch in die Online-Datenbank von Sony hat unter anderem in Deutschland eine heftige Debatte über den Umgang mit digitalen Daten ausgelöst. Experten kritisierten die Sicherheitsvorkehrungen bei der Verwaltung von Kundendaten für das Sony PlayStation Network und andere Online-Dienste des japanischen Konzerns.
Politiker und Datenschützer forderten schärfere Gesetze, um weltweit tätige Firmen bei Datenpannen auch in Deutschland belangen zu können. Bei einem Gericht in den USA ist bereits die erste Klage eines Verbrauchers gegen Sony anhängig.
«Fall Sony auch ein Fall schwarz-gelber Untätigkeit»
Der schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert sagte der Nachrichtenagentur dpa, es sei schwer, Datenschutzverstösse von Weltkonzernen zu verfolgen. Bei Verstössen könnten Bussgelder von maximal 300.000 Euro erlassen werden. «Dann sagen die aber, wir sitzen in den USA, vollstreckt mal. Bei einem Sitz ausserhalb der EU ist praktisch nichts zu holen», sagte Weichert. Vorschläge, um an dieser Situation etwas zu ändern, habe die Bundesregierung bislang nicht aufgegriffen. Die Fraktionschefin der Grünen im Bundestag, Renate Künast, forderte die Regierung ebenfalls zum Handeln auf: «Der Fall Sony ist auch ein Fall schwarz-gelber Untätigkeit, die jetzt Millionen Betroffene in Deutschland mit ihren Daten bezahlen.» Nach dem «grössten Hackerangriff aller Zeiten» sei die Bundesregierung in der Pflicht, endlich das Datenschutzrecht zu ändern.
Experten sehen Sony in der Haftung
Obwohl Sony seinen Sitz nicht in Deutschland hat, sehen Experten den Anbieter in der Haftung. Die Nutzer hätten ihre Daten in die Obhut des Unternehmens gegeben, und dieses sei nicht sorgsam damit umgegangen, sagte der Fachmann für Internetrecht, Christian Solmecke, am Donnerstag in Köln. Die Konsequenzen daraus müsse Sony tragen. «Hier gilt ganz normales deutsches Zivilrecht, unser Bürgerliches Gesetzbuch regelt solche Haftungsfragen.» Einen Missbrauch nachzuweisen, sei allerdings für Verbraucher sehr schwierig, erklärte Thomas Hoeren, Professor für Medienrecht an der Universität Münster.
«Elementarer Lapsus»
Die Ministerien für Justiz und Verbraucherschutz forderten von Sony eine schnelle Aufklärung. «Es ist äusserst bedenklich, dass das Unternehmen erst nach einigen Tagen die massive Panne eingeräumt hat», sagte ein Sprecher von Justizministerin Sabine Leutheusser-Schnarrenberger (FDP). Der IT-Sicherheitsspezialist Holger Heimann von der Firma it.sec in Ulm sagte, Sony habe die Passwörter der Nutzerkonten offenbar nicht verschlüsselt gespeichert. «Das ist ein deutlicher Hinweis auf ein mangelndes Sicherheitsmanagement – ein elementarer Lapsus.» Die Passwort-Panne hätte Sony möglicherweise vermeiden können, etwa mit Penetrationstests, bei denen Fachleute einen Angriff simulieren.
Erste Klagen
Vor einem Gericht in San Francisco verklagte der PlayStation-Besitzer Kristopher Johns Sony auf Schadenersatz. Dabei hätten bei einem Schuldspruch alle 77 Millionen Inhaber von Nutzerkonten die gleichen Ansprüche gegenüber Sony, auch wenn sie selbst nicht geklagt haben sollten. Johns verlangt Schadenersatz für den Fall des Missbrauchs von Kreditkartendaten sowie für den Ausfall der Online-Dienste nach dem Hacker-Einbruch. Ausserdem fordert er die Verhängung einer Geldstrafe gegen Sony.
Sony gelobt rasche Besserung
Der PlayStation-Hersteller will die gehackte Online-Plattform neu aufsetzen. In einem Blog-Beitrag kündigte Firmensprecher Patrick Seybold die rasche Bereitstellung eines Software-Updates an, das alle Nutzer zur Änderung ihres Passworts veranlasst. Es werde Tag und Nacht daran gearbeitet, um das PlayStation-Network und die Qriocity-Dienste für Musik und Filme zu sichern und innerhalb einer Woche wieder in Betrieb zu nehmen. Gemeinsam mit den Behörden und einer Sicherheitsfirma arbeite Sony daran, die Verantwortlichen für den Datendiebstahl zu ermitteln, schrieb Seybold. Die Täter hätten sich Zugang zu einer unverschlüsselten Datenbank mit Personendaten der Nutzer verschafft. Es gebe keine Hinweise, dass sie auch an die verschlüsselten Kreditkartendaten gelangt seien – allerdings könne dies auch nicht ausgeschlossen werden. (awp/mc/ps)
