Vor zwei Wochen wurde der Diebstahl von 16 Millionen E-Mail-Accounts bekannt, trotzdem fährt jetzt die Betreibergesellschaft des Internetauktionshauses eBay ihre Sicherheitsvorkehrungen herunter. // von Lars Sobiraj

Wie gut werden eBay-Nutzer eigentlich vor Missbrauch beschützt? Bei falle-internet.de wurde Ende Januar berichtet, dass man die eBay-Mitgliedskonten seit November 2013 " ganz einfach kapern" könne. Markus Schwinn schreibt, es nütze herzlich wenig, sollten die Benutzer die ausgewiesenen Experten-Tipps zur Passwortsicherheit beherzigen. Der Grund dafür ist einfach. Zur Erlangung des aktuellen Passworts reicht es seit Ende Januar aus, Zugriff auf das entsprechende E-Mail-Konto zu haben. Während man früher mindestens zwei von vier Sicherheitsfragen korrekt beantworten musste, ist dies vielfach nicht mehr nötig. eBay schaffte die obligatorische Beantwortung der Sicherheitsfragen ab. Wer sein Passwort vergessen hat, lässt sich von eBay einen Link zuschicken, mit dem er das Passwort zurücksetzen kann. Den Link erhält aber nicht nur der Eigentümer des E-Mail-Kontos. Jeder Cyberkriminelle, der den E-Mail-Account hacken konnte, kann sein Treiben nun auf das Internetauktionshaus ausdehnen. Für die Übernahme des eBay-Kontos muss der Hacker nicht einmal mehr wissen, welchen Namen sein Opfer bei eBay benutzt. Sofern die gekaperte E-Mail-Adresse bei eBay verwendet wird, klappt auch die Übernahme des eBay-Kundenkontos.

Mangelnder Datenschutz Branchenstandard?

Die lückenhafte Passwortsicherheit ist allerdings keine technisches Problem. Die Problematik ist der eBay Inc. schon länger bekannt. Gegenüber falle-internet.de teilte die deutsche Tochterfirma mit, dass man sich aus zeitlichen Gründen außerstande sehe, den Artikel bis zur Veröffentlichung zu kommentieren.

Maike Fuest, Head of Communications eBay Germany, gab gestern gegenüber Netzpiloten bekannt, man möchte den Anwendern einerseits keine unnötigen " Hürden aufstellen", um wieder auf ihr Konto zugreifen zu können. Gleichzeitig sei es " ihr Ziel, Missbrauchsversuche zu identifizieren und zu verhindern". Dafür würde nun ein abgestuftes Sicherheitsverfahren eingesetzt. Bei unauffälligen Konten ist die simple Passwortänderung per E-Mail möglich. " Bei Mitgliedskonten, die gemäß unserer Risikomanagement-Systeme ein höheres Missbrauchsrisiko aufweisen, setzen wir zusätzliche Sicherheitsmaßnahmen ein". Werden Auffälligkeiten festgestellt, müssen Sicherheitsfragen beantwortet oder eine PIN telefonisch übermittelt werden.

Es hängt demnach alles von der automatischen Einschätzung der Sicherheits-Software ab. Leider wurde nicht in der Antwort ausgeführt, nach welchen Kriterien eBay die Konten untersucht. Von daher ist unklar, in welchem Fall ein Konto als harmlos oder als riskant eingestuft werden soll.

Die Sprecherin der eBay International AG teilte uns ferner mit, das Vorgehen entspreche dem " Branchenstandard". Soll heißen, bei den E-Commerce-Anbietern Amazon, Zalando & Co. arbeitet man nach dem gleichen System. " Dabei gehen die Anbieter - wie auch wir - davon aus, dass im Normalfall kein Dritter Zugriff auf das E-Mail-Konto eines Nutzers haben sollte".

 
Verantwortung abgeschoben?

Für den Penetrationstester Matthias Ungethüm http://unnex.de/index.php klingt das Statement in etwa so, dass etwas nicht sein darf, weil es nicht sein kann. Mit diesem Vorgehen lege man einen Teil der Verantwortung in die Hände der E-Mail-Anbieter, statt sich selbst um die Absicherung der eigenen Kunden zu kümmern. " Der Hack eines eBay-Kontos hängt nicht mehr von eBay selbst oder dem Verhalten des Nutzers ab, sondern ebenso von den Sicherheitsmaßnahmen des E-Mail-Anbieters", kritisiert Ungethüm das Vorgehen. Die Sorgfaltspflicht zur Absicherung der eigenen Kunden dürfe man nicht von sich weisen.

 
Komfort versus IT-Sicherheit

Wer das Vorgehen verurteilt, muss sich gleichzeitig vor Augen halten, dass E-Commerce-Plattformen nach US-amerikanischem Vorbild vor allem eines sein sollen: benutzerfreundlich! Der Versuch die Bequemlichkeit der Kunden und ihre Sicherheit in Einklang zu bringen, ist aber ganz offensichtlich misslungen. Hoffen wir, dass das BSI nicht schon bald das Auftauchen der nächsten geklauten E-Mail-Datenbank bekannt geben muss.