PlayStation-Hacking: Social Engineering hebelt 2FA und Passkeys aus

Soziale Manipulation statt Hacking: Angreifer nutzen menschliche Schwachstelle im PlayStation-Support aus.

Schwerwiegende Sicherheitslücken im PlayStation Network (PSN) erschüttern die Gaming-Welt. Im Mittelpunkt steht eine alte, aber effektive Methode: Social Engineering. Angreifer umgehen modernste Schutzmechanismen wie Zwei-Faktor-Authentifizierung (2FA) und Passkeys, indem sie gezielt die Mitarbeiter des Kunden-Supports manipulieren. Branchenkenner fordern nun radikale Reformen der internen Verifikationsprozesse. Sony hat eigenen Angaben zufolge eine Untersuchung eingeleitet.

Der aktuelle Vorfall zeigt, dass herkömmliche Passwörter und selbst einfache Sicherheitsabfragen oft nicht mehr ausreichen, um Konten vor Manipulation zu schützen. Ein kostenloser PDF-Report erklärt, wie Sie mit der neuen Passkey-Technologie Ihre Logins bei Diensten wie WhatsApp oder Amazon gegen Hacker absichern. Passkey-Ratgeber jetzt kostenlos herunterladen

Wenn der Support zur Einfallstür wird

Die aktuelle Welle der Sicherheitsbedenken wurde durch Berichte vom 25. Mai 2026 ausgelöst. Demnach wurden prominente Konten der PlayStation-Community gekapert. Ein besonders prominenter Fall: Der Medienpersönlichkeit Colin Moriarty wurde sein Account durch eine Support-seitige Exploit-Technik entrissen.

Die Methode ist erschreckend simpel: Angreifer kontaktieren den Support und geben lediglich den PSN-Benutzernamen, eine zugehörige E-Mail-Adresse sowie eine Transaktionsnummer oder ein Kaufdatum preis. Diese grundlegenden Informationen reichten aus, um die Support-Mitarbeiter dazu zu bewegen, die 2FA und Passkey-Schutzmechanismen zu deaktivieren. Der rechtmäßige Besitzer wurde so ausgesperrt.

Moriarty konnte sein Konto nach rund drei Stunden wiederherstellen – allerdings nur, weil er über persönliche Kontakte innerhalb des Unternehmens verfügte. Andere Nutzer hatten weniger Glück. Der bekannte Trophäenjäger Hakoom verlor sein Konto offenbar dauerhaft oder es wurde nach einem ähnlichen Vorfall gelöscht.

„Die Einfachheit der Angriffsmethode ist alarmierend", betonen Sicherheitsforscher. „Die Rückgängigmachung eines betrügerischen Account-Diebstahls ist ungleich schwieriger als dessen Durchführung."

Systemisches Problem statt Einzelfall

Die Kontroversen haben eine hitzige Debatte unter den PlayStation-Nutzern entfacht. Kritiker argumentieren, dass der aktuelle Verifikationsprozess im Vergleich zu Branchenstandards einzigartig fehlerhaft sei. Das Problem: Support-Mitarbeiter haben zu viel Entscheidungsfreiheit, ohne ausreichende sekundäre Sicherheitsvorkehrungen.

Dokumentationen aus verschiedenen Community-Plattformen belegen, dass ein einfacher Telefonanruf oder ein Chat-Gespräch ausreicht, um die Sicherheitswerkzeuge zu umgehen, deren Nutzung Sony seinen Kunden selbst empfiehlt. Ein Paradoxon, das die Glaubwürdigkeit des gesamten Sicherheitssystems untergräbt.

KI-gestützte Angriffe: Die nächste Eskalationsstufe

Die Herausforderungen für Sony fallen in eine Zeit eskalierender Cyberangriffe auf den gesamten Technologiesektor. Ende Mai enthüllte die Google Threat Intelligence Group, dass sie den vermutlich ersten bekannten KI-gestützten Angriff auf 2FA-Konten abgewehrt habe. Anders als traditionelles Phishing nutzte dieser Angriff künstliche Intelligenz, um einen Zero-Day-Exploit für Logikfehler in Server-Management-Tools zu entwickeln.

Die Geschwindigkeit, mit der Schwachstellen identifiziert und ausgenutzt werden, nimmt rasant zu. Aktuelle Daten von Cybersicherheitsexperten zeigen: KI-Modelle können die Zeit, die zur Ausnutzung einer Schwachstelle benötigt wird, von mehreren Tagen auf wenige Minuten reduzieren.

Forschung des Cybersicherheitsunternehmens Hadrian demonstrierte dies eindrucksvoll: Ein Standard-OpenAI-Modell identifizierte Schwachstellen auf einer Regierungswebsite – zu vernachlässigbaren Kosten. Noch beunruhigender: Das Projekt Anthropic Glasswing nutzte eine Vorschauversion des Claude Mythos-Modells und identifizierte über 10.000 kritische Schwachstellen auf verschiedenen Plattformen, darunter 2.000 Bugs für Cloudflare und 271 für Mozillas Firefox 150.

Diese Beschleunigung setzt Softwareanbieter massiv unter Druck. Zwar berichten Firmen wie Microsoft und Oracle, dass die Fehlerkorrektur durch KI-gestützte Tools deutlich schneller wird, doch die schiere Menge identifizierter Schwachstellen schafft ein „Verifikations- und Patch-Problem".

Lieferketten-Angriffe und Spiele-Leaks

Parallel dazu bleiben Supply-Chain-Angriffe eine massive Bedrohung. Eine als „TrapDoor" identifizierte Kampagne verbreitet derzeit Malware zum Diebstahl von Anmeldedaten über beliebte Paketmanager wie npm, PyPI und CratesIO. Selbst die grundlegenden Bausteine moderner Software sind ständig gefährdet.

Die Sicherheitsüberprüfungen treffen Sony zu einem denkbar ungünstigen Zeitpunkt. Interne Finanzdaten deuten darauf hin, dass das Unternehmen mit den Folgen der 3,6 Milliarden US-Dollar schweren Übernahme von Bungie kämpft. Die Tochtergesellschaft soll Verluste von fast 766 Millionen US-Dollar verursacht haben, was zur Einstellung von Projekten wie „Destiny 3" führte. Auch die schwache Performance anderer Titel wie Housemarques Projekt „Soros" und die jüngsten Preiserhöhungen für PlayStation Plus setzen die Marke unter Druck.

Die Sicherheitsprobleme beschränken sich nicht auf Account-Zugänge, sondern betreffen auch den Schutz geistigen Eigentums. Rockstar Games sieht sich derzeit mit Erpressungsforderungen der Gruppe ShinyHunters konfrontiert, die angeblich über ein Cloud-Monitoring-Tool namens Anodot auf Daten zugegriffen hat. Die Gruppe fordert ein Lösegeld, um die Veröffentlichung sensibler Materialien zu verhindern – möglicherweise mit Bezug zu kommenden Titeln wie GTA VI.

Angesichts von Millionen gehackter Konten pro Quartal wird deutlich, dass Passwörter allein kein Hindernis mehr für Kriminelle darstellen. Erfahren Sie in diesem kostenlosen Report, wie Sie die Technologie der Passkeys nutzen, um den Zugriff auf Ihre persönlichen Daten sicher und ohne Passwort-Stress zu gestalten. Hier kostenlose Anleitung für Passkeys sichern

Auch andere Entwickler sind betroffen. Rund 13 Minuten Gameplay aus einem James-Bond-Titel mit dem Arbeitstitel „007: The Silent Protocol" tauchten kürzlich online auf, nachdem ein Erpressungsversuch gegen eine Qualitätssicherungsfirma gescheitert war. Selbst familienorientierte Titel bleiben nicht verschont: „LEGO Batman: Legacy of the Dark Knight" wurde noch vor seiner für Ende Mai geplanten Veröffentlichung geleakt.

Das menschliche Element als Schwachstelle

Die Situation rund um das PlayStation-Netzwerk verdeutlicht einen grundlegenden Wandel in der Cybersicherheit: weg von der technischen Härtung, hin zur sogenannten „menschlichen Firewall". Sony hat moderne technische Sicherheitsvorkehrungen wie Passkeys und 2FA implementiert. Doch die jüngsten Social-Engineering-Erfolge zeigen: Das sicherste System kann durch eine einzige menschliche Interaktion ausgehebelt werden.

Die Fähigkeit von Angreifern, „sequentielle" oder leicht beschaffbare Daten zu nutzen, bleibt ein primärer Einfallsvektor. Ein ähnlicher Vorfall bei Trump Mobile, bei dem Ende Mai die Daten von 27.000 Kunden durch eine Website-Schwachstelle offengelegt wurden, unterstreicht dies. Obwohl keine Finanzdaten gestohlen wurden, liefern die offengelegten Namen, Telefonnummern und Adressen genau das „Social-Engineering-Futter", das bei den PSN-Angriffen verwendet wurde.

Hinzu kommt die Zunahme von Scareware-Kampagnen, wie sie etwa das CypherLoc-Kit nutzt. Seit Jahresbeginn wurden rund 2,8 Millionen Angriffe registriert, bei denen Opfer auf betrügerische Support-Zentren weitergeleitet werden. Diese Operationen imitieren die legitimen Support-Prozesse, die derzeit bei Sony in der Kritik stehen – ein verwirrendes Szenario für den Durchschnittsverbraucher.

Ausblick: Reformen und neue Hardware

Für Sony stellt sich die doppelte Herausforderung, die veraltete Infrastruktur zu modernisieren und gleichzeitig das Vertrauen in die Sicherheitsprozesse wiederherzustellen. Die unmittelbare Priorität wird die Umstrukturierung der Kunden-Support-Verifikation sein.

Branchenexperten fordern, dass die von der Community geforderten Änderungen die Möglichkeit für Support-Mitarbeiter, 2FA ohne mehrstufige Autorisierung durch den Kontoinhaber zu deaktivieren, vollständig abschaffen müssen. Da Angreifer zunehmend KI-gestützte Tools einsetzen, die Logikfehler in Sekundenschnelle identifizieren und ausnutzen können – eine Sorge, die kürzlich von Google Clouds COO Francis de Souza geäußert wurde –, schrumpft das Zeitfenster für menschliche Sicherheitsreaktionen rapide.

Die kommenden Monate werden für Sony vermutlich einen Übergang zu stärker automatisierten „Zero-Trust"-Support-Systemen bringen. Das Ziel: den menschlichen Faktor zunehmend aus dem Authentifizierungsprozess zu entfernen, um die Art von Social-Engineering-Erfolgen zu verhindern, die im Mai 2026 für Aufsehen sorgten.

de | wissenschaft | 69418654 |