eBay Sicherheitspolitik

Wieder einmal sorgt eBay für Negativ-Schlagzeilen. Wie am 8. März bekannt, oder besser veröffentlicht wurde, wies das System eine beträchtliche Sicherheitslücke auf. Die Mail-Adresse oder der Mitgliedsname genügen, um Informationen über die Bankverbindung der Person zu erhalten.

Man kann diese Gefahr selbstverständlich herunter spielen, denn "wirklich gefährlich" ist das Bekanntwerden der Bankverbindung vermutlich eher selten. Das Problem eBays liegt aber an anderer Stelle: Das Auktionhaus reagiert auf Informationen über Sicherheitsprobleme der Anwender nur dann, wenn die Medien darüber berichten, oder wenn eBay selbst geschäftliche Nachteile drohen.

Das bestätigt auch der Kölner Axel Gronen, Betreiber der Site wortfilter.de. Gronen verschickte am 8. März eine Pressemitteilung, in der er auf die Sicherheitslücke hinwies. Dies führte zu bisher zwei Berichten in der Fachpresse, woraufhin dann heute morgen am 10. März die Lücke geschlossen wurde.

Doch als "unverzüglich" kann das nicht bezeichnet werden. EBay war bereits Mitte Januar auf das Problem angesprochen worden. Ohne Presserummel bestand aber offenbar keine Notwendigkeit, das Sicherheitsleck zu schließen.

Dabei geht es auch anders, wie Gronen in einem früheren Fall feststellen konnte. Als er Informationen über einen Trick veröffentlichte, mit dem sich die Laufzeit einer Auktion über das Limit von zehn Tagen verlängern lässt, reagierte eBay umgehend. Innerhalb von einer Stunde war die Anwendung des Tricks nicht mehr möglich.

Der vermutliche Grund: Dieser Trick kostet eBay bares Geld. Anbieter, die mehrere Auktionsstücke als Festpreisangebot offerieren, sind an einer langen Laufzeit interessiert. Denn so lässt sich ein Teil der eBay-Gebühren einsparen. Auch in diesem Fall war eBay die "Sicherheitslücke" bekannt, vermutet Gronen. Doch reagiert wurde erst nach Veröffentlichung des Problems.

Wie häufig solche Vorkommnisse sind, wie viele Sicherheitslücken das eBay-System wirklich hat, ist auf Grundlage dieser Kommunikationspolitik kaum einzuschätzen. Wer weiß schon, wieviele Warnungen ebay erreichen, aber zu keinen Reaktionen führen?

Diese Einschätzung bestätigt im übrigen auch ein Leserbrief, der heute morgen hier eintraf. Darin beschreibt ein eBay-Nutzer folgendes: Er erhielt als Verkäufer am 21. Januar 2003 eine SMS auf sein Mobilfunkgerät. In dieser Meldung wurde die von ihm angebotene Auktionsware genannt und um Rückruf gebeten. Die Rufnummer: Eine kaum getarnte, teure Mehrwertnummer (01908/xxxxx).

Der Verkäufer erkannt das glücklicherweise und informierte eBay über das Problem. Ihm ging es in erster Linie darum, eBay vor einer möglichen Sicherheitslücke zu warnen, denn seine Mobilfunknummer wurde nirgendwo öffentlich angegeben. Der Absender muss das eBay-System in irgend einer Weise missbraucht haben, um an diese Informationen zu kommen. Vielleicht geschieht dies heute noch in großem Maßstab.

Die Reaktion eBays auf diese Mitteilung folgte allerdings bekannten Mustern. Tage, nachdem er per Mail über seine Erfahrungen berichtet hat, erhielt er eine unpersönliche Mail mit dem Textbaustein "Datenschutzrichtlinien" des Auktionshauses. Nochmals Tage später wurde er per Mail darauf hingewiesen, dass er wohl eine falsche Mail-Adresse verwendet habe, um das Problem zu melden. Der richtige Ansprechpartner wurde natürlich nicht erwähnt.

Das war die bisher letzte Reaktion eBays auf den doch eigentlich begrüßenswerten Versuch eines Anwenders, die Sicherheit des Auktionshauses zu erhöhen.