KRITISCHE  BETRACHTUNG DER SICHERHEIT VON ONLINE-  

AUKTIONEN  DARGESTELLT AM BEISPIEL EBAY  

INHALTSVERZEICHNIS  :  

1  ENTSTEHUNG DER AUKTIONSPLATTFORM EBAY  2

2  DAS DREISTUFIGE SICHERHEITSSYSTEM BEI EBAY.  3

2.1  VORBEUGUNG  3

2.1.1  Das „eBay-Sicherheitsportal“  3

2.1.1.1  Kritik am Sicherheitsportal.  3

2.1.1.2  Verbesserungsvorschläge.  3

2.1.2  Das „eBay-Bewertungssystem“  4

2.1.2.1  Kritik am Bewertungssystem  5

2.1.2.2  Verbesserungsvorschläge.  6

2.1.3  Der „eBay-Treuhandservice: iloxx SAFETRADE“  7

2.1.3.1  Vorteile des „eBay-Treuhandservices“  7

2.1.3.2  Kritik am „eBay-Treuhandservice“  8

2.1.4  „Die eBay-Toolbar“  8

2.1.4.1  Kritik an der Toolbar  9

2.1.4.2  Verbesserungsvorschläge.  9

2.2  FRÜHERKENNUNG  10

2.2.1  Das „eBay-Sicherheitsteam“  10

2.2.1.1  Kritik am „eBay-Sicherheitsteam“  11

2.2.1.2  Verbesserungsvorschläge.  11

2.2.2  Das „Verifizierte Rechteinhaber-Programm (VeRI)“  11

2.2.2.1  Kritik am „VeRI-Programm“  11

2.2.2.2  Verbesserungsvorschläge.  12

2.3  NACHVERFOLGUNG  12

2.3.1  „eBay-Käuferschutz“ „PayPal-Käuferschutz“  12

2.3.2  Kritik am Käuferschutz.  13

3  BEISPIELE FÜR SICHERHEITSRISIKEN BEI EBAY.  13

3.1  EBAY-SICHERHEIT BEI PASSWÖRTERN.  13

3.1.1  Kritik an der eBay-Sicherheit bei Passwörtern  14

3.1.2  eBay-Maßnahmen gegen den Passwortklau.  15

3.2  VERSCHLÜSSELUNGSTECHNIKEN.  16

3.2.1  Kritik an der Verschlüsselungstechnik.  16

3.2.2  Verbesserungsvorschläge  17

3.3  EBAY-SCHUTZ VOR SPOOFING UND PHISHING.  17

3.3.1  Kritik am Schutz vor Spoof-E-Mails und Phishing  18

3.3.2  Verbesserungsvorschläge  18

4  FAZIT AUSBLICK AUF DIE ZUKUNFT  19

ABBILDUNGEN & TABELLEN:

Abbildung 1: „Beispiel für ein Bewertungsprofil“……………………………………………………………………..5 Eigene Darstellung in Anlehnung an:

http://pages.ebay.de/services/forum/feedback.html?ssPageName=f:f:DE vom 20.11.2006

Abbildung 2: „iloxx SAFETRADE“………………………………………………………………………………………..7 Eigene Darstellung in Anlehnung an:

http://www.iloxx.de/webprodukte/safetrade/safetrade.asp?sid=34&uid=0 vom 20.11.2006

Abbildung 3: „eBay-Toolbar“……………………………………………………………………………………………...8 http://pics.ebaystatic.com/aw/pics/de/toolbar/v4/toolbar_screen_580x138.gif vom 21.11.2006

Abbildung 4: „Datenfluss bei einer eBay-Auktion“…………………………………………………………………..14 Eigene Darstellung in Anlehnung an:

Hoeren, Thomas; Müglich, Andreas; Nielen, Michael: „Online-Auktionen: Eine Einführung in die wichtigsten rechtlichen Aspekte“, hrsg. von Erich Schmidt, Berlin 2002, S. 192

Abbildung 5: „Packet-Sniffer in Aktion“………………………………………………………………………………..14 Eigene Darstellung in Anlehnung an:

Mocker, Ute; Mocker, Helmut; Ahlreep, Jens: „Handbuch E-Communication“, Datakontext-Fachverlag, Frechen-Königsdorf 2001, S. 47

Abbildung 6: „Symmetrische Verschlüsselung“……………………………………………………………………..16 Eigene Darstellung in Anlehnung an:

Fuhrberg, Kai; Häger, Dirk; Wolf, Stefan: „Internet-Sicherheit: Browser, Firewalls und Verschlüsselung“,

3. Auflage, Carl Hanser Verlag, München Wien 2001, S. 82

Abbildung 7: „eBay Logo“ ……………………………………………………………………………………………….19 http://www2.oncomputer.t-online.de/c/58/27/86/5827866,tid=d.jpg vom 20.11.2006

Tabelle 1: „eBay-Auktionszahlen, Deutschland“………………………………………………………………………2 Eigene Darstellung in Anlehnung an: http://www.auktionsmonitor.info/ vom 29.11.2006

Tabelle 2: „eBay-Starchart“………………………………………………………………………………………………..5 Eigene Darstellung in Anlehnung an:

http://pages.ebay.de/help/account/star-chart.html vom 09.11.2006

Tabelle 3: „Aufwand zum Durchsuchen von Schlüsselräumen”………………………………………………….17 Eigene Darstellung in Anlehnung an:

Eckert, Claudia: „IT-Sicherheit: Konzepte - Verfahren - Protokolle”,

2. Auflage, Wissenschaftsverlag-GmbH, Oldenburg 2003, S. 229

KRITISCHE BETRACHTUNG DER SICHERHEIT VON ONLINE-AUKTIONEN DARGESTELLT AM BEISPIEL EBAY

1 Entstehung der Auktionsplattform eBay

Das Online-Auktionsportal eBay wurde im September 1995 in San José gegründet. Seitdem besuchen mehr als 181 Millionen registrierte Nutzer die Portale. Die Auktionsplattform ist momentan in 33 Märkten weltweit aufzufinden ¹ . Seit der Übernahme des deutschen Auktionshauses alando.de im Jahre 1999 ist eBay auch in Deutschland vertreten ² . Mit einem Umfang von 50.000 Kategorien ³ und weltweit ständig mehr als 78 Millionen Artikeln hat sich eBay den Titel „weltweit größtes Auktionshaus“ gesichert. Bis heute ist die Zahl der täglichen Auktionen auf ebay.de auf durchschnittlich ca. 8 Millionen angewachsen (s. Tabelle 1).

Tabelle 1: „eBay-Auktionszahlen, Deutschland“ Eigene Darstellung in Anlehnung an:

http://www.auktionsmonitor.info/ vom 29.11.2006

In Deutschland ist eBay in Dreilinden bei Berlin zu finden. Der Stammsitz der eBay Inc. ist jedoch am Gründungsort, in San José, Kalifornien. Die eBay-Aktien werden an der New Yorker Technologie-Börse Nasdaq notiert. Im Jahre 2006 konnte man weiteren Umsatzzuwachs verzeichnen. Der Quartalsumsatz des vergangenen Quartals beläuft sich auf ca. 1,45 Mrd. Dollar ⁴ . Auktionen wie bei eBay werden als Consumer-to-Consumer-(C2C)-Auktionen, aber auch als Business-to-Customer-(B2C)-Auktionen eingestuft. B2B-Auktionen findet man im „eBay-Business“-Portal. Das bedeutet sowohl Privatpersonen, als auch Unternehmer können ihre Waren gegen Gebühr auf dem eBay Marktplatz anbieten ⁵ . Obwohl das Sicherheitspersonal bei eBay seit vielen Jahren immer wieder um modernste Sicherheitsvorkehrungen bemüht ist, dringen immer wieder Vorfälle bezüglich gravierender Sicherheitslücken, bzw. Betrugsfälle an die Öffentlichkeit durch. Die Sicherheitsvorkehrungen bei Online-Auktionen über die Plattform eBay werden im Folgenden nun etwas genauer betrachtet. Es wird weiterhin versucht, der Firma eBay einige Verbesserungsvorschläge aufzuzeigen.

¹ Vgl.: http://pages.ebay.de/pdf/ebay_verkaeuferhandbuch.pdf S. 6, vom 21.11..2006

² Vgl.: http://onlinemarktplatz.de/tipp103.html vom 06.11.2006

³ Vgl.: http://www.finanzen.net/news/news_detail.asp?NewsNr=391306 vom 29.10.2006

⁴ Vgl.: http://www.finanzen.net/news/news_detail.asp?NewsNr=438831 vom 29.10.2006

⁵ Vgl.: Vulkan, Nir: „Elektronische Märkte - Strategien, Funktionsweisen und Erfolgsprinzipien”, Übersetzung der Originalausgabe von 2003: “The

Economics of E-Commerce - A Strategic Guide to Understanding and Designing the Online-Marketplace”, 1. Auflage, hrsg. Princeton University

Press, MITP-Verlag, Bonn 2005, S. 169

2

2 Das dreistufige Sicherheitssystem bei eBay

Trotz intensiver Aufklärung seiner Nutzer über die ordnungsgemäße Anwendung kommt es bei eBay immer wieder zu Streitigkeiten. Die eBay-Experten sind ständig bemüht ein sicheres System anzubieten, welches sich in 3 verschiedene Sicherheitsstufen unterteilt ⁶ .

2.1 Vorbeugung

Die erste Stufe des eBay-Sicherheitssystems nennt sich „Vorbeugung“. Hier werden von eBay bereits vorab Maßnahmen getroffen, um Probleme zu vermeiden.

2.1.1 Das „eBay-Sicherheitsportal“

Das „eBay-Sicherheitsportal“ ist die zentrale Anlaufstelle zum Thema Sicherheit bei eBay-Auktionen ⁷ . Auf diesen Seiten wird man über das „Sichere Kaufen & Verkaufen“ informiert. Zudem findet man wichtige Grundsätze und Tipps zu Auktionen. Bei Problemen kann man mit dem „eBay-Sicherheitsteam“ hier in Kontakt treten. Teil des Sicherheitsportals ist auch der persönliche Bereich „MeinEbay“, über den jeder User nach Anmeldung seine Auktionen kontrollieren kann.

2.1.1.1 Kritik am Sicherheitsportal

Emails mit Portal-Benutzerdaten und eBay-Infomails landen momentan noch direkt im privaten Email-Postfach der eBay-Nutzer. Dies sollte man möglichst vermeiden um die Sicherheitsprobleme durch z.B. Phishing zu verringern. Phishing (siehe Kapitel 3.3) steht in diesem Falle für den Benutzerdatenklau mit Hilfe von gefälschten eBay-Mails. Trotz der vielen Bemühungen seitens der Firma eBay haben ein Großteil der eBay-Mitglieder nicht das notwendige Know-How, um die wichigsten Sicherheitsvorkehrungen treffen zu können. Die betroffenen Nutzer müssten gezielt informiert und trainiert werden.

2.1.1.2 Verbesserungsvorschläge

Eine mögliche Schadensbegrenzung für das in 2.1.1.1 genannte Phishing-Problem wäre folgende Variante: Das „eBay-Sicherheitsteam“ (siehe Kapitel 2.2.1) programmiert das Sicherheitsportal so, dass alle wichtigen E-Mails nur noch intern über den „MeinEbay“-Bereich gelesen werden können. Es muss zusätzlich

⁶ Vgl.: http://www.mich-tipps.de/Sections-sop-viewarticle-artid-72.html vom 29.10.2006

⁷ Vgl.: http://pages.ebay.de/sicherheitsportal/?ssPageName=f:f:DE vom 20.11.2006

3

ausdrücklich darauf hingewiesen werden, dass eBay keine Mails mehr nach „draussen“ versendet. So könnte der Nutzer alle gefälschten eBay-Mails, die dann noch in seinem privaten Email-Postfach ankämen, getrost entfernen, beziehungsweise filtern. In vielen Bereichen ist man bei eBay aber bereits auf dem richtigen Weg. So finden zum Beispiel schon seit einigen Jahren jeweils eintägige Schulungsveranstaltungen statt. Diese Veranstaltungen laufen unter dem Begriff „eBay-University“ und finden in vielen großen Städten in Deutschland statt. Die Handlungskompetenz der eBay-Nutzer auf dem Marktplatz soll hierdurch erhöht werden. Da die Zahl der Veranstaltungen innerhalb eines Jahres begrenzt ist und diese sofort ausgebucht sind, sollte eBay zusätzliche Sicherheits-Veranstaltungen einplanen. Auf den Portalseiten findet man auch Online-Sicherheitstrainings. Zur Verbesserung der eBay-Sicherheit könnte das eBay Sicherheitsteam ein Online-Pflichttraining in das eBay-Sicherheits-Portal einbauen. Dieses kleine Sicherheitstraining soll dann alle neuen Nutzer und diejenigen, mit nur wenigen Bewertungen, vor den aktuellen Gefahren bei Online-Auktionen warnen.

2.1.2 Das „eBay-Bewertungssystem“

„Geschäfte bei eBay basieren auf dem Vertrauen, welches ein Käufer dem Verkäufer entgegenbringt. ⁸ “ Ein Käufer sollte immer zuerst das Bewertungsprofil eines Verkäufers überprüfen, bevor er auf dessen Artikel bietet. Die Anzahl der Bewertungspunkte eines Verkäufers, sowie der Anteil der positiven Bewertungen werden dort angezeigt. Ein Anteil an positiven Bewertungen nahe 100 Prozent zeichnet besonders vertrauenswürdige Verkäufer aus. Diese Nutzerprofile zeigen alle bisherigen Erfahrungen der Vertragspartner des Teilnehmers. Eine Erfahrung wird meist durch eine einfache “Bewertung“ dokumentiert. „Sie ist immer nur dann öffentlich zugänglich, wenn der bewertete Teilnehmer im Rahmen einer Auktion entweder als Bieter oder als Anbieter aktiv wird ⁹ .“ Nach Auktionsende bewerten sich beide Auktionspartner gegenseitig bezüglich Lieferung des Verkäufers und Zahlung des Käufers. Neben den Bewertungen selbst, gibt es noch andere Möglichkeiten, um sich ein Bild über den Verkäufer zu machen. So verwendet eBay zusätzlich verschiedenfarbige “Stern-Symbole“ um den aktuellen Stand der verkauften Artikel der Verkäufer anzuzeigen. Stern-Symbole werden an eBay-Mitglieder vergeben, die zehn oder mehr Bewertungspunkte erreicht haben.

⁸ http://onlinemarktplatz.de/tipp88.html vom 06.11.2006

⁹ Hoeren, Thomas; Müglich, Andreas; Nielen, Michael: „Online-Auktionen: Eine Einführung in die wichtigsten rechtlichen Aspekte“, hrsg. von

Erich Schmidt, Berlin 2002, S. 33

4