Fassungslos konnte am Mittwoch Abend die deutsche Fernseh-Nation die totale Demontage der angeblich ach so sicheren eBay-Plattform mitverfolgen.
"Der Handel im virtuellen Auktionshaus eBay ist nicht gefährdet. Es handelt sich nur um eine theoretische Sicherheitslücke", hieß es seit Monaten von eBay. Sachliche Kritik an der eBay-Plattform hinsichtlich der Sicherheit wollte das Unternehmen nicht hören. Veröffentlichungen über Sicherheitsmängel (z.B. Computerbild ) oder Live-Demonstrationen im Internet (Heise.de ) wurden tot geschwiegen. Bei einer öffentlichen Konfrontation (Stern TV ) wollte eBay Sicherheitschef Weyergraf immer noch keine Lücken sehen und warf vereinzelten Auktionsteilnehmern vor, sich aus ihren Pflichten stehlen zu wollen. Mit einer installierten eBay-Toolbar sei die Teilnahme an den Auktionen völlig sicher.
Am Mittwoch Abend nun präsentierte Stern TV Rechercheergebnisse des Medienverlages Heise in Form einer weiteren Demonstration durch das Entwicklerteam Validome . Validome hatte bereits am vergangenen Mittwoch live bei Heise.de gezeigt, wie einfach man als Bieter zum Phishing-Opfer bei eBay werden kann und so fremde Personen in den Besitz des Passwortes gelangen können. Diese Demonstration sollte am gleichen Abend beim RTL-Sender Stern TV durch Validome wiederholt werden. Just zum Zeitpunkt der Live-Demo war ein Einwählen auf der eBay-Plattform aus dem Hause RTL nicht mehr möglich. Obwohl der Geschäftsführer der andawari GmbH A. Leporda versprach, er würde bei 30 Versuchen 30 Accounts manipulieren können, behauptete eBay Sicherheitschef Weyergraf, es läge immer nur an der fehlenden Sicherheits-Toolbar, die die User nicht installiert hätten.
Quasi noch in Hut und Mantel konnte A. Leporda Stern TV aus seinen Firmenräumen erneut zeigen, dass die so hoch gepriesene Sicherheits-Toolbar von eBay nichts weiter als eine Pappmaschee-Attrappe ist. Im Filmbeitrag von Stern TV ist eine eingeschaltete Toolbar und eine weitere Phishing Aktion zu sehen ..und niemand hats bemerkt..! . Kurz vor Ausstrahlung der heutigen Stern TV Sendung wurde dem andawari Geschäftsführer A. Leporda eine Einstweilige Verfügung von eBay zugestellt. Hierin sollte Herrn Leporda unter Androhung von 250.000 Euro Strafe ein Live-Auftritt und eine Stellungnahme in der Sendung untersagt werden. Darum bewies heute der Schweizer Sicherheitsexperte Wolfgang Krückers in 6 "Tests auf der Straße", dass willkürlich angesprochene Passanten -mit eingeschalteter eBay Sicherheits Toolbar- keineswegs vor Phishingaktionen sicher sind. In allen 6 Tests wurden die Passwörter ausgelesen. Selbst eine Live-Demo im Studio konnte eBay –dieses mal ohne Vorwarnung- nicht verhindern.
eBay Sprecher und Sicherheitschef Wolfgang Weber sah sich im Interview mehr in einer Opferrolle und sprach von "krimineller Energie, die hier am Werke waren". Erstmalig räumte er aber mögliche Schwächen seiner Toolbar ein. Erstmalig gab er auch zu, dass eBay Sicherheitsprobleme hat und das sie an einer Lösung arbeiten. Ob und wann dieses Problem von eBay gelöst werden kann, konnte er nicht sagen.
Der Versuch von eBay Sprecher Weber, Leute zu kriminalisieren, die das Sicherheitsproblem bei eBay an die Öffentlichkeit bringen, wurde von Wolfgang Krückers vehement bestritten. Krückers wörtlich: "Als ich die Sendung am letzten Mittwoch gesehen habe, habe ich meinen Programmierern den Auftrag gegeben, die Sicherheits-Toolbar von eBay zu testen. Ohne großen Aufwand konnten wir diese Toolbar umgehen. Dabei haben wir keine -großen Geschütze- aufgefahren, sondern nur eine -Wasserpistole- benutzt".
Bereits am vergangenen Mittwoch hinterließ die "gescheiterte" Live-Demo nicht nur bei Stern TV Moderator Günther Jauch einen sehr faden Beigeschmack. Es stellt sich nun tatsächlich die Frage, ob eBay die Einwahlversuche nicht doch gezielt verhindert hat. eBay kennt seit Monaten die Sicherheitslücken seiner Plattform, denn dazu wurden in der Vergangenheit zu viele Hinweise öffentlich. Jetzt immer noch zu behaupten, die User hätten selber Schuld wenn ihre Daten manipuliert oder gestohlen werden, geht wohl schon weit über die Grenze der Fahrlässigkeit hinaus. Hier geht es nicht mehr um die Trägheit oder Ignoranz eines Großkonzerns; hier geht es um hoch sensible Daten der kleinen User und deren Geld. Obwohl es mehrere technische Möglichkeiten gibt, die beschriebenen Sicherheitslücken zu schließen, ist bis heute in dieser Hinsicht noch nichts sichtbares geschehen, wodurch sich eBay auch rechtlich angreifbar macht.
Im Paragraph 9 des Bundesdatenschutzgesetzes heißt es:
"Öffentliche und nicht öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten."
In Hinblick auf den o.a. Paragraphen dürften sich so langsam einmal öffentliche Institutionen für eBay interessieren (müssen), zu denen auch die Börsenaufsicht gehört. Dieser sind Informationen, die für den Geschäftserfolg wesentlich sind, unverzüglich anzuzeigen. Kaum jemand mag sich ausmalen, was mit dem Aktienkurs passieren würde, wenn die Behörden aufgrund der immer noch vorhandenen Sicherheitslücken eine Schließung der Auktionsplattform anordnen würden.
Nachtrag:
Zum Thema Einstweilige Verfügung hieß es von andawari: "Aus unserem Haus sollte sowieso niemand in der Stern TV Sendung persönlich Stellung nehmen. Diese Verfügung hätte eBay sich schenken können. Es geht hier weder um Werbung für andawari, noch um eine persönliche Darstellung. Hier geht es um gravierende Sicherheitslücken, die eBay offensichtlich nicht geschlossen hat. Wir haben diese Lücken nur nachgewiesen und öffentlich gemacht. Die weitere Darstellung liegt nicht in unseren Händen".
