Sony führt Zwei-Faktor-Authentifizierung für Playstation Network ein

Fünf Jahre, nachdem Hacker mehr als 77 Millionen Kundenkonten kompromittiert haben, will Sony eine Zwei-Faktor-Authentifizierung für seinen Onlinedienst Playstation Network (PSN) einführen. Gegenüber Polygon bestätigte das japanische Unternehmen die Pläne, ohne jedoch Einzelheiten zu nennen. Es teilte lediglich mit, das Feature befinde sich noch in der Entwicklung und solle demnächst eingeführt werden. Microsofts Xbox Live setzt schon seit 2014 ein solches Sicherheitsverfahren ein.

Typische Zwei-Faktor-Authentifizierungsverfahren ergänzen ein Passwort um eine zweite Sicherheitskennung, die normalerweise in Form eines mehrstelligen Einmalcodes per SMS oder E-Mail an den Kontobesitzer geschickt wird. Bei der Anmeldung muss er dann beide Sicherheitsabfragen beantworten, um Zugang zu seinem Account zu erhalten. Einige Onlinedienste wie Google experimentieren auch mit Authentifizierungsverfahren, die auf Public-Key-Verschlüsselung basieren.

Sonys Playstation Network hat rund 110 Millionen Anwender, von denen etwa 65 Millionen monatlich aktiv sind. Die PSN-Konten lassen sich auf zahlreichen Sony-Plattformen nutzen, darunter Playstation 3 und 4 sowie die Mobilkonsolen Vita und Portable. Außerdem sind sie mit der Playstation-Mobilanwendung und -Website verknüpft.

Ende April 2011 hatte Sony nach einen Angriff auf seine Server einen massiven Datenverlust einräumen müssen. Die Hacker hatten Zugriff auf Informationen wie Namen, Anschriften, E-Mail-Adressen, Geburtstage sowie Nutzernamen und Passwörter für das Playstation Network und den Streaming-Dienst Qriocity. Kreditkartendaten wurden nach Unternehmensangaben nicht entwendet. In der Folge war das Netzwerk mehrere Wochen offline.

Sony vermutete das Hackerkollektiv Anonymous hinter den Angriffen. Dieses stritt seine Beteiligung jedoch vehement ab.

Im Januar 2013 verhängte die britische Datenschutzbehörde ein Bußgeld von 250.000 Pfund (damals rund 295.000 Euro) gegen Sony, weil sie seine Sicherheitsvorkehrungen für das Playstation Network als zu schwach erachtete. Indem es zwar die Kreditkarten-, aber nicht die Nutzerdaten verschlüsselte, habe das Unternehmen gegen das 1998 erlassene Gesetz Data Protection Act verstoßen, das die Verarbeitung personenbezogener Daten in Großbritannien regelt und dem Schutz der Privatsphäre dienen soll.

Kritisiert wurde Sony in Folge des Angriffs auch wegen seiner mangelhaften Informationspolitik. Es benachrichtigte die Betroffenen erst einige Tage nach dem Einbruch in sein System. Danach waren die Dienste für fast einen Monat offline, während Sony versuchte, das Netzwerk neu aufzubauen, die Sicherheit zu verbessern und die Hintergründe zu untersuchen.

Im Juli 2014 einigte sich Sony mit von dem PSN-Hack betroffenen Sammelklägern darauf, sie mit Spielen und Diensten im Wert von 15 Millionen Dollar zu entschädigen. Die Kompensationsmöglichkeiten reichten von Playstation-3-Spielen bis zum Abo des Streamingdiensts Music Unlimited.

[mit Material von John Fontana, ZDNet.com]