Wie gut werden eBay-Nutzer eigentlich vor Missbrauch beschützt? Bei falle-internet.de wurde Ende Januar berichtet, dass man die eBay-Mitgliedskonten seit November 2013 „ganz einfach kapern“ könne. Markus Schwinn schreibt, es nütze herzlich wenig, sollten die Benutzer die ausgewiesenen Experten-Tipps zur Passwortsicherheit beherzigen. Der Grund dafür ist einfach. Zur Erlangung des aktuellen Passworts reicht es seit Ende Januar aus, Zugriff auf das entsprechende E-Mail-Konto zu haben. Während man früher mindestens zwei von vier Sicherheitsfragen korrekt beantworten musste, ist dies vielfach nicht mehr nötig. eBay schaffte die obligatorische Beantwortung der Sicherheitsfragen ab. Wer sein Passwort vergessen hat, lässt sich von eBay einen Link zuschicken, mit dem er das Passwort zurücksetzen kann. Den Link erhält aber nicht nur der Eigentümer des E-Mail-Kontos. Jeder Cyberkriminelle, der den E-Mail-Account hacken konnte, kann sein Treiben nun auf das Internetauktionshaus ausdehnen. Für die Übernahme des eBay-Kontos muss der Hacker nicht einmal mehr wissen, welchen Namen sein Opfer bei eBay benutzt. Sofern die gekaperte E-Mail-Adresse bei eBay verwendet wird, klappt auch die Übernahme des eBay-Kundenkontos.

Mangelnder Datenschutz Branchenstandard?

Die lückenhafte Passwortsicherheit ist allerdings keine technisches Problem. Die Problematik ist der eBay Inc. schon länger bekannt. Gegenüber falle-internet.de teilte die deutsche Tochterfirma mit, dass man sich aus zeitlichen Gründen außerstande sehe, den Artikel bis zur Veröffentlichung zu kommentieren.

Maike Fuest, Head of Communications eBay Germany, gab gestern gegenüber Netzpiloten bekannt, man möchte den Anwendern einerseits keine unnötigen „Hürden aufstellen„, um wieder auf ihr Konto zugreifen zu können. Gleichzeitig sei es „ihr Ziel, Missbrauchsversuche zu identifizieren und zu verhindern„. Dafür würde nun ein abgestuftes Sicherheitsverfahren eingesetzt. Bei unauffälligen Konten ist die simple Passwortänderung per E-Mail möglich. „Bei Mitgliedskonten, die gemäß unserer Risikomanagement-Systeme ein höheres Missbrauchsrisiko aufweisen, setzen wir zusätzliche Sicherheitsmaßnahmen ein„. Werden Auffälligkeiten festgestellt, müssen Sicherheitsfragen beantwortet oder eine PIN telefonisch übermittelt werden.

Es hängt demnach alles von der automatischen Einschätzung der Sicherheits-Software ab. Leider wurde nicht in der Antwort ausgeführt, nach welchen Kriterien eBay die Konten untersucht. Von daher ist unklar, in welchem Fall ein Konto als harmlos oder als riskant eingestuft werden soll.

Die Sprecherin der eBay International AG teilte uns ferner mit, das Vorgehen entspreche dem „Branchenstandard„. Soll heißen, bei den E-Commerce-Anbietern Amazon, Zalando & Co. arbeitet man nach dem gleichen System. „Dabei gehen die Anbieter – wie auch wir – davon aus, dass im Normalfall kein Dritter Zugriff auf das E-Mail-Konto eines Nutzers haben sollte„.

Verantwortung abgeschoben?

Für den Penetrationstester Matthias Ungethüm klingt das Statement in etwa so, dass etwas nicht sein darf, weil es nicht sein kann. Mit diesem Vorgehen lege man einen Teil der Verantwortung in die Hände der E-Mail-Anbieter, statt sich selbst um die Absicherung der eigenen Kunden zu kümmern. „Der Hack eines eBay-Kontos hängt nicht mehr von eBay selbst oder dem Verhalten des Nutzers ab, sondern ebenso von den Sicherheitsmaßnahmen des E-Mail-Anbieters„, kritisiert Ungethüm das Vorgehen. Die Sorgfaltspflicht zur Absicherung der eigenen Kunden dürfe man nicht von sich weisen.

Komfort versus IT-Sicherheit

Wer das Vorgehen verurteilt, muss sich gleichzeitig vor Augen halten, dass E-Commerce-Plattformen nach US-amerikanischem Vorbild vor allem eines sein sollen: benutzerfreundlich! Der Versuch die Bequemlichkeit der Kunden und ihre Sicherheit in Einklang zu bringen, ist aber ganz offensichtlich misslungen. Hoffen wir, dass das BSI nicht schon bald das Auftauchen der nächsten geklauten E-Mail-Datenbank bekannt geben muss.

Image (adapted) “ebay“ by cytech (CC BY 2.0)

Lars Sobiraj schrieb von 2000 bis zum Jahr 2002 für mehrere Computerzeitschriften rund 100 Artikel. Von April 2008 bis Oktober 2012 leitete er beim IT-Portal gulli.com die Redaktion als Chefredakteur. Thematische Schwerpunkte der über 1.000 Beiträge sind Datenschutz, Urheberrecht, Netzpolitik, Internet und Technik. Seit Frühjahr 2012 läuft die Video-Interviewreihe DigitalKultur.TV, die er mit dem Kölner Buchautor und Journalisten Moritz Sauer betreut. Seit mehreren Monaten arbeitet Lars Sobiraj auf freiberuflicher Basis bei heute.de, ZDF Hyperland, iRights.info, torial, Dr. Web und vielen weiteren Internet-Portalen und Blogs. Zudem gibt er Datenschutzunterricht für Eltern, Lehrer und Schüler. Mitglied des Netzpiloten Blogger Networks.

Schlagwörter: Cyberkriminalität