Home / Aktuelles & Termine / it.sec blog

Laut Presse und offiziellem Sony Blog wurden rund 77 Millionen Datensätze mit personenbezogenen Daten wie Name, Adresse, Geburtstag, Passworte(!), Sicherheitsantworten zum Passwort etc. kompromittiert, welche man im Rahmen der Anmeldung am PSN erhoben hat. Man fragt sich zunächst natürlich, ob wirklich alle Daten zum Mitspielen nötig waren.

Unabhängig davon bestätigt Sony, dass auf Kreditkartendaten zugegriffen werden konnte. Nach geraumer Zeit hat man aber nachgelegt und klar gestellt, dass diese verschlüsselt gewesen wären. Man darf sich allerdings schon fragen, ob man dieser Aussage glauben schenken darf. Immerhin schreibt der PCI-DSS Standard der Kreditkartenhersteller eine Verschlüsselung von Kreditkartennummern vor - und man wird irgendwie den Eindruck nicht los, dass man bei Sony durch eine Veränderung seiner Aussage dort im Nachhinein nichts anbrennen lassen will.

Der Eindruck wird dadurch verstärkt, dass zunächst auch behauptet wurde, die sogenannten CVCs (die dreistelligen Sicherheitscodes auf der Rückseite von Kreditkarten) seien nicht betroffen, da sie andernorts gespeichert wären. Mittlerweile hat man aber wohl erkannt, dass die CVC Nummern laut PCI-DSS in keinem Falle überhaupt gespeichert werden dürfen und beeilt sich nun zu behaupten, dass dies selbstverständlich der Fall sei.

All das sieht dann doch eher nach einer Schutzbehauptung aus haftungsrechtlicher Sicht aus, als nach glaubhaften Tatsachen, zumal offenbar mittlerweile lt. N-TV 2.2 Mio Datensätze aus dem Bestand inkl. Kreditkartennummern zum Kauf angeboten werden.

Immerhin ist davon auszugehen, dass das PCI Council einen unabhängigen Forensiker hinschicken wird und man wird sehen ...

Was tun?

Nachfolgend kurz die wichtigsten Tipps für Betroffene:

  • viele Menschen benutzen dieselben Accounts mit denselben Passworten auf verschiedenen Plattformen (ebay, Amazon, ...). Daher tut jeder Betroffene gut daran seine Passworte auf allen Plattformen zu ändern (und idealerweise überall andere zu nutzen)
  • Kreditkartenkonto und Bankkonto checken und unerklärbare Buchungen dem Kreditkartenunternehmen oder der ausgebenden Bank melden!
    Sollte bekannt werden, dass wirklich Kartennummern kompromittiert sind, werden die Kartenunternehmen normalerweise neue Kreditkarten mit neuen Nummern ausgeben und die alten Karten invalidieren!
  • Es ist damit zu rechnen, dass in nächster Zeit Spam oder Phishing Mails an die eMail Adressen von Betroffenen gesendet werden. Diese werden u.U. sehr vertrauenserweckend sein, kennt man ja die Nationalität, das Alter, Kreditkartenunternehmen etc.
    Es ist daher unbedingt darauf zu achten auf Anfragen hin keine persönlichen Angaben oder Passwörter preis zu geben. Sony wird derlei nicht erfragen.

Vorbeugen

  • Bei der Registrierung auf irgendwelchen Plattformen sollten man (im Rahmen des rechtlich vertretbaren) nur die wirklich wichtigen und nötigen Daten angeben, die der Anbieter tatsächlich benötigt. Ist es nicht möglich Felder leer zu lassen, kann man sich ja sicher schon mal vertippen.
  • Werden eMail Adressen gefordert, die für den eigentlichen Ablauf nicht nötig sind, kann es auch sinnvoll sein sich eine Spam-Adresse bei einem kostenfreien Provider zu sichern, die nur dazu dient unerwünschte Mails zu empfangen.
  • Lesen Sie die AGB und die Datenschutzbestimmungen! Stimmen Sie nicht zu, wenn Ihnen nicht gefällt was Sie lesen, oder wenn Sie die eigentlichen Text auch nach fünf klicks auf weitere Links noch nicht gefunden haben!
  • Wählen Sie Optionen ab, wie "ich will weitere Informationen erhalten", oder "ich bin einverstanden, dass meine Daten an Dritte weitergegeben werden, die mir wahnsinnig interessante Angebote machen werden".

Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Angemessenheitsbeschluss Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch Backup BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu BEAST Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonitätsprüfung Brexit Browser Bundesarbeitsgericht Bußgeld Bußgelder BVG Cloud CNIL Compliance Cookie Custom Audience Cyber Dashcam Daten Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Deutsche Bahn Dienstleister Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Union Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis FlugDaG Fluggastdaten Folgenabschätzung Foto Funkmäuse Funktastaturen Geldbörse Gemeinsam Verantwortliche Gericht Gesetz gegen den Unlauteren Wettbewerb Gesundheitsdaten Google Google Analytics hacken Hacker Hash-Verfahren Home Office Immobilienmakler Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Sicherheit IT-Systeme Jin-hyok Joint Control Kanada Klagebefugnis Kontaktdaten Kontakte Konzern konzerninterner Datentransfer Kriminalität KUG Kundenbindung Kundenzufriedenheit Kunsturhebergesetz Lazarus Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Löschungsrecht Lösegeld Malware Markennamen Markenrecht Marktortprinzip MD5 Meldepflicht Meldescheine Meldung Meltdown Messenger Microsoft Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe NIST Nordkorea Nutzungsbedingungen Öffnungsklauseln One Stop Shop Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien personenbezogene Daten Personenbilder Persönlichkeitsrechte Pflichten Plattformbetreiber PNR-Daten PNR-Instrumente POODLE Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management SamSam Sanktionen Schaden Schadprogramm Seitenbetreiber SHA1 sicher Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke Spectre Standardvertragsklauseln Strafe Strafverfolgung Supercomputer Risikolage Support Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telemediendienst Telemediengesetz Telstra Security Report TKG TLS TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zugangsdaten Zugriff zulässig Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30