Datenschutz? So Nie!

Wer wissen möchte, warum man auch großen Firmen mit einer unbestrittenen Reputation nach Möglichkeit keine persönlichen Daten anvertrauen sollte: Bitte an den PSN-Hack bei Sony denken.

Viele Nutzer von PSN und Qriocity haben in den letzten Tagen eine Mail erhalten, aus der unter anderem Folgendes hervorgeht (Hervorhebungen im Zitat sind von mir):

Auch wenn wir derzeit noch bei der Untersuchung aller relevanten Details zu dem Vorfall sind, meinen wir, dass sich eine unbefugte Person Zugriff zu folgenden persönlichen Daten verschaffen konnte: Name, Adresse (Stadt, Bundesland, Postleitzahl), Land, E-Mail Adresse, Geburtsdatum, PlayStation Network / Qriocity Passwort und Login sowie PSN Online ID. Es kann darüber hinaus möglich sein, dass auch Ihre Profilangaben widerrechtlich abgerufen wurden inklusive Ihrer Kaufhistorie und Ihrer Rechnungsanschrift (Stadt, Bundesland, Postleitzahl). Falls Sie einem zweiten Konto für einen Unterhaltsberechtigten zugestimmt haben, kann es sein, dass oben genannte Angaben Ihres Unterhaltsberechtigten ebenfalls angeeignet wurden. Obwohl es derzeit keine Anzeichen dafür gibt, dass auf Kreditkarteninformationen widerrechtlich zugegriffen wurden, können wir diese Möglichkeit nicht gänzlich außer Betracht lassen […]

[Danke S., für die Weiterleitung der Mail, die übrigens wie eine Spam ohne persönliche Anrede daherkommt, obwohl auf Seiten Sonys ein Name bekannt ist.]

Betroffen von diesem kriminellen Angriff sind rund einhundert Millionen Sony-Kunden.

SoNieErmöglicht wurde das massenhafte Abgreifen von Daten durch äußerste Nachlässigkeit mit der Internet-Sicherheit. Es wurde veraltete Serversoftware mit allgemein bekannten, von Angreifern ausbeutbaren Lücken verwendet und es gab keine üblichen Absicherungen gegen solche Angriffe. Diese Probleme waren auch auf Seiten Sonys bekannt. Die gleiche Firma, die ihre Kunden so gern mit DRM (am besten als digital restrictrion management) in ihren völlig entbehrlichen Produkten knechtet und dabei vor noch gar nicht so langer Zeit nicht einmal davor zurückschreckte, Audio-CDs auf den Markt zu werfen, die mit heimlich installierter, perfide programmierter und gefährlicher Schadsoftware das Auslesen der Musikstücke verhinderten, diese Firma hat selbst keinerlei Mühe darauf verwendet, die angesammelten Kundendaten in irgendeiner Weise abzusichern.

Oder kurz gesagt: Sony sind seine Kunden scheißegal.

Sicher, die sollen kaufen und bezahlen, die sollen sich darüber freuen, dass sie ihr Geld für enteignende und entrechtende DRM-Scheiße ausgeben; die sollen sich auch ja nicht an eine Zeit erinnern, in der Computerspiele auch ohne Internetzugang möglich waren — aber dass sich das mit einer so „großen“ Wertschätzung der Kunden verbände, so dass auch nur die üblichen Investitionen in die Sicherheit der Internetanwendungen gemacht würden, um die akkumulierten Kundendaten zu sichern, das wäre doch zu viel verlangt. Und dass man ein paar kompetente Administratoren damit beschäftigte, die mit dem Internet verbundenen Datenverarbeitungsanlagen — jeder Recher mit einer Internet-Verbindung ist ein Opferrechner, und wo sich die Beute so sehr lohnt, da kommen Täter irgendwann ganz sicher — überwachten und auf einen leidlich sicheren technischen Stand hielten… ach nein, die Leute müsste man ja bezahlen, das kostete ja Geld, und das kann man doch auch einsparen. Das ist ja auch besser für den Profit. Es ist ja auch nicht in erster Linie Sonys Problem, wenn Kreditkartendaten von Kriminellen benutzt werden und durch den Missbrauch der Identitäten der Kunden teilweise große Schäden entstehen, sondern es ist das Problem der Kunden und ihrer Banken. Genau so, wie das Mailpostfach voller Spam und krimineller Attacken nicht ein Problem Sonys, sondern ein Problem der Kunden ist.

Welche „Kaufempfehlung“ für Sony-Produkte aus diesem Vorgang hervorgeht, erklärt sich hoffentlich von selbst.

Welche viel allgemeinere Empfehlung für den Umgang mit persönlichen Daten aus diesem Vorgang hervorgeht, sollte aber genau so klar sein. Auch große wirtschaftliche Unternehmen sind nicht vertrauenswürdig. Ihr Agieren ist darauf gerichtet, Gewinn zu erwirtschaften, und dabei können berechtigte und vernünftige Ansprüche ihrer Kunden — in diesem Fall: der berechtigte und vernünftige Anspruch auf die Sicherheit persönlicher Daten — schon einmal auf der Strecke bleiben.

Hier nur ein kleines Zahlenspiel, um das Volumen der von Kriminellen bei Sony abgegriffenen Daten etwas fassbarer zu machen.

Es soll sich um ungefähr 100 Millionen Datensätze mit folgenden Merkmalen pro Datensatz handeln:

  • Name
  • Anschrift
  • Wohnort
  • PLZ
  • Staat
  • Geburtstag
  • Passwort
  • Login
  • eine ominöse ID
  • vielleicht noch Kreditkartendaten
  • vielleicht eine Rechnungsanschrift

Wenn man für diese Felder „mal eben schnell“ eine durchschnittliche Feldlänge schätzt, kommt man pro Datensatz auf folgende Datenmengen:

  • 16 Zeichen für Vor- und Nachnamen
  • 16 Zeichen für die Anschrift
  • 10 Zeichen für den Wohnort
  • 5 Zeichen für die Postleitzahl
  • 3 Zeichen ISO-Code für den Staat
  • 8 Zeichen für den Geburtstag
  • 64 Zeichen für das (hoffentlich gehashte) Passwort
  • 10 Zeichen für die Login-Kennung
  • 8 Zeichen für die ID

Das macht beim sicher eingeräumten Volumen der mitgenommenen Daten, wenn man einmal ein Byte pro Zeichen annimmt und eher technische Zusatzinformationen (Feldtrennung, Trennung zwischen den Datensätzen) ignoriert, 140 Bytes pro Datensatz. Bei 100 Millionen Datensätzen ergibt sich so, dass rund 13 Gigabyte Daten von Sonys Servern abgegriffen wurden. Wird die Rechnungsanschrift mitberücksichtigt, wurden rund 17 Gigabyte Daten abgegriffen, und nimmt man für die Kreditkartendaten einmal 20 Byte an, so handelt es sich, falls diese auch in die Hände der Verbrecher gelangt sind, was übrigens wahrscheinlich ist, um satte 20 Gigabyte Daten. Da in dieser Betrachtung technische Elemente in den abgegriffenen Datensätzen ignoriert wurden, ist das wirkliche Volumen um einen unbekannten Betrag höher.

Selbst über schnelle Internetanbindungen lässt sich eine derartige Datenmenge nicht „mal eben in ein paar Minuten“ übertragen, das Abgreifen der Daten muss also bei üblichen Downloadraten mehrere Stunden gedauert haben.

Und in dieser ganzen Zeit ist es bei Sony keinem technischen Administrator aufgefallen, dass plötzlich in der Größenordnung von mindestens 13 Gigabyte Daten aus den Kundendatenbanken möglicherweise in einer Transaktion an eine einzige IP-Adresse gesendet werden. Aber selbst, wenn das Abgreifen der Daten über ein Botnetz erfolgte, wäre ein solcher Vorgang auffällig.

Es gibt dafür nur eine Erklärung: So etwas wie ein Monitoring der betroffenen Server durch dafür bezahlte Administratoren hat nicht stattgefunden — denn bei einer derartigen Transaktion sollten schnell alle Alarmglocken klingeln. Das Geld, das für eine technische Überwachung und Betreuung der Sony-Rechenzentren ausgegeben werden müsste, wurde von Sony einfach eingespart, weil Sicherheit „zu viel Geld kostet“ — eventuelle Schäden haben ja andere. Eben die Kunden. Und die sind Sony ja scheißegal, solange sie sich am Geldbeutel melken lassen.

Dass ein derartiges Monitoring nicht stattgefunden hat, passt übrigens prächtig dazu, dass nicht einmal die verwendete Serversoftware auf einen aktuellen und gegen Angriffe sicheren Stand gebracht wurde — für die Durchführung solcher elementarer Tätigkeiten für die IT-Sicherheit hätte man ja bei Sony jemanden beschäftigen und bezahlen müssen. Wie schon gesagt, bei der gleichen Firma Sony, die ihre Kunden mit DRM an allen Ecken und Enden gängelt.

Alle Ächtung!