Kritische Betrachtung der Sicherheit von Online-Auktionen

INHALTSVERZEICHNIS:

1 ENTSTEHUNG DER AUKTIONSPLATTFORM EBAY

2 DAS DREISTUFIGE SICHERHEITSSYSTEM BEI EBAY
2.1 VORBEUGUNG
2.1.1 Das „ eBay-Sicherheitsportal “
2.1.1.1 Kritik am Sicherheitsportal
2.1.1.2 Verbesserungsvorschläge
2.1.2 Das „ eBay-Bewertungssystem “
2.1.2.1 Kritik am Bewertungssystem
2.1.2.2 Verbesserungsvorschläge
2.1.3 Der „ eBay-Treuhandservice: iloxx SAFETRADE “
2.1.3.1 Vorteile des „ eBay-Treuhandservices “
2.1.3.2 Kritik am „ eBay-Treuhandservice “
2.1.4 „ Die eBay-Toolbar “
2.1.4.1 Kritik an der Toolbar
2.1.4.2 Verbesserungsvorschläge
2.2 FRÜHERKENNUNG
2.2.1 Das „ eBay-Sicherheitsteam “
2.2.1.1 Kritik am „ eBay-Sicherheitsteam “
2.2.1.2 Verbesserungsvorschläge
2.2.2 Das „ Verifizierte Rechteinhaber-Programm (VeRI) “
2.2.2.1 Kritik am „ VeRI-Programm “
2.2.2.2 Verbesserungsvorschläge
2.3 NACHVERFOLGUNG
2.3.1 „ eBay-Käuferschutz “ & „ PayPal-Käuferschutz “
2.3.2 Kritik am Käuferschutz

3 BEISPIELE FÜR SICHERHEITSRISIKEN BEI EBAY
3.1 EBAY-SICHERHEIT BEI PASSWÖRTERN
3.1.1 Kritik an der eBay-Sicherheit bei Passwörtern
3.1.2 eBay-Maßnahmen gegen den Passwortklau
3.2 VERSCHLÜSSELUNGSTECHNIKEN
3.2.1 Kritik an der Verschlüsselungstechnik
3.2.2 Verbesserungsvorschläge
3.3 EBAY-SCHUTZ VOR SPOOFING UND PHISHING
3.3.1 Kritik am Schutz vor Spoof-E-Mails und Phishing
3.3.2 Verbesserungsvorschläge

4 FAZIT & AUSBLICK AUF DIE ZUKUNFT

ABBILDUNGEN & TABELLEN:

Abbildung 1: „Beispiel für ein Bewertungsprofil“
Eigene Darstellung in Anlehnung an:
http://pages.ebay.de/services/forum/feedback.html?ssPageName=f:f:DE vom 20.11.2006

Abbildung 2: „iloxx SAFETRADE“
Eigene Darstellung in Anlehnung an:
http://www.iloxx.de/webprodukte/safetrade/safetrade.asp?sid=34&uid=0 vom 20.11.2006

Abbildung 3: „eBay-Toolbar“
http://pics.ebaystatic.com/aw/pics/de/toolbar/v4/toolbar_screen_580x138.gif vom 21.11.2006

Abbildung 4: „Datenfluss bei einer eBay-Auktion“
Eigene Darstellung in Anlehnung an:
Hoeren, Thomas; Müglich, Andreas; Nielen, Michael: „Online-Auktionen: Eine Einführung in die wichtigsten rechtlichen Aspekte“, hrsg. von Erich Schmidt, Berlin 2002, S. 192

Abbildung 5: „Packet-Sniffer in Aktion“
Eigene Darstellung in Anlehnung an:
Mocker, Ute; Mocker, Helmut; Ahlreep, Jens: „Handbuch E-Communication“, Datakontext-Fachverlag, Frechen-Königsdorf 2001, S. 47

Abbildung 6: „Symmetrische Verschlüsselung“
Eigene Darstellung in Anlehnung an:
Fuhrberg, Kai; Häger, Dirk; Wolf, Stefan: „Internet-Sicherheit: Browser, Firewalls und Verschlüsselung“,
3. Auflage, Carl Hanser Verlag, München Wien 2001, S. 82

Abbildung 7: „eBay Logo“
http://www2.oncomputer.t-online.de/c/58/27/86/5827866,tid=d.jpg vom 20.11.2006

Tabelle 1: „eBay-Auktionszahlen, Deutschland“
Eigene Darstellung in Anlehnung an:
http://www.auktionsmonitor.info/ vom 29.11.2006

Tabelle 2: „eBay-Starchart“
Eigene Darstellung in Anlehnung an:
http://pages.ebay.de/help/account/star-chart.html vom 09.11.2006

Tabelle 3: „Aufwand zum Durchsuchen von Schlüsselräumen”
Eigene Darstellung in Anlehnung an:
Eckert, Claudia: „IT-Sicherheit: Konzepte - Verfahren - Protokolle”,
2. Auflage, Wissenschaftsverlag-GmbH, Oldenburg 2003, S. 229

KRITISCHE BETRACHTUNG DER SICHERHEIT VON ONLINE- AUKTIONEN DARGESTELLT AM BEISPIEL EBAY

1 Entstehung der Auktionsplattform eBay

Das Online-Auktionsportal eBay wurde im September 1995 in San José gegründet. Seitdem besuchen mehr als 181 Millionen registrierte Nutzer die Portale. Die Auktionsplattform ist momentan in 33 Märkten weltweit aufzufinden¹. Seit der Übernahme des deutschen Auktionshauses alando.de im Jahre 1999 ist eBay auch in Deutschland vertreten². Mit einem Umfang von 50.000 Kategorien³ und weltweit ständig mehr als 78 Millionen Artikeln hat sich eBay den Titel „weltweit größtes Auktionshaus“ gesichert. Bis heute ist die Zahl der täglichen Auktionen auf ebay.de auf durchschnittlich ca. 8 Millionen angewachsen (s. Tabelle 1).

eBay-Auktionszahlen der letzten 7 Tage

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1: „eBay-Auktionszahlen, Deutschland“ Eigene Darstellung in Anlehnung an: http://www.auktionsmonitor.info/ vom 29.11.2006

In Deutschland ist eBay in Dreilinden bei Berlin zu finden. Der Stammsitz der eBay Inc. ist jedoch am Gründungsort, in San José, Kalifornien. Die eBay-Aktien werden an der New Yorker Technologie-Börse Nasdaq notiert. Im Jahre 2006 konnte man weiteren Umsatzzuwachs verzeichnen. Der Quartalsumsatz des vergangenen Quartals beläuft sich auf ca. 1,45 Mrd. Dollar⁴. Auktionen wie bei eBay werden als Consumer-to-Consumer-(C2C)-Auktionen, aber auch als Business-to-Customer- (B2C)-Auktionen eingestuft. B2B-Auktionen findet man im „eBay-Business“-Portal. Das bedeutet sowohl Privatpersonen, als auch Unternehmer können ihre Waren gegen Gebühr auf dem eBay Marktplatz anbieten⁵. Obwohl das Sicherheitspersonal bei eBay seit vielen Jahren immer wieder um modernste Sicherheitsvorkehrungen bemüht ist, dringen immer wieder Vorfälle bezüglich gravierender Sicherheitslücken, bzw. Betrugsfälle an die Öffentlichkeit durch. Die Sicherheitsvorkehrungen bei Online-Auktionen über die Plattform eBay werden im Folgenden nun etwas genauer betrachtet. Es wird weiterhin versucht, der Firma eBay einige Verbesserungsvorschläge aufzuzeigen.

2 Das dreistufige Sicherheitssystem bei eBay

Trotz intensiver Aufklärung seiner Nutzer über die ordnungsgemäße Anwendung kommt es bei eBay immer wieder zu Streitigkeiten. Die eBay-Experten sind ständig bemüht ein sicheres System anzubieten, welches sich in 3 verschiedene Sicherheitsstufen unterteilt⁶.

2.1 Vorbeugung

Die erste Stufe des eBay-Sicherheitssystems nennt sich „Vorbeugung“. Hier werden von eBay bereits vorab Maßnahmen getroffen, um Probleme zu vermeiden.

2.1.1 Das „eBay-Sicherheitsportal“

Das „eBay-Sicherheitsportal“ ist die zentrale Anlaufstelle zum Thema Sicherheit bei eBay-Auktionen⁷. Auf diesen Seiten wird man über das „Sichere Kaufen & Verkaufen“ informiert. Zudem findet man wichtige Grundsätze und Tipps zu Auktionen. Bei Problemen kann man mit dem „eBay-Sicherheitsteam“ hier in Kontakt treten. Teil des Sicherheitsportals ist auch der persönliche Bereich „MeinEbay“, über den jeder User nach Anmeldung seine Auktionen kontrollieren kann.

2.1.1.1 Kritik am Sicherheitsportal

Emails mit Portal-Benutzerdaten und eBay-Infomails landen momentan noch direkt im privaten Email-Postfach der eBay-Nutzer. Dies sollte man möglichst vermeiden um die Sicherheitsprobleme durch z.B. Phishing zu verringern. Phishing (siehe Kapitel 3.3) steht in diesem Falle für den Benutzerdatenklau mit Hilfe von gefälschten eBay-Mails. Trotz der vielen Bemühungen seitens der Firma eBay haben ein Großteil der eBay-Mitglieder nicht das notwendige Know-How, um die wichigsten Sicherheitsvorkehrungen treffen zu können. Die betroffenen Nutzer müssten gezielt informiert und trainiert werden.

2.1.1.2 Verbesserungsvorschläge

Eine mögliche Schadensbegrenzung für das in 2.1.1.1 genannte Phishing-Problem wäre folgende Variante: Das „eBay-Sicherheitsteam“ (siehe Kapitel 2.2.1) programmiert das Sicherheitsportal so, dass alle wichtigen E-Mails nur noch intern über den „MeinEbay“-Bereich gelesen werden können. Es muss zusätzlich ausdrücklich darauf hingewiesen werden, dass eBay keine Mails mehr nach „draussen“ versendet. So könnte der Nutzer alle gefälschten eBay-Mails, die dann noch in seinem privaten Email-Postfach ankämen, getrost entfernen, beziehungsweise filtern. In vielen Bereichen ist man bei eBay aber bereits auf dem richtigen Weg. So finden zum Beispiel schon seit einigen Jahren jeweils eintägige Schulungsveranstaltungen statt. Diese Veranstaltungen laufen unter dem Begriff „ eBay-University “ und finden in vielen großen Städten in Deutschland statt. Die Handlungskompetenz der eBay-Nutzer auf dem Marktplatz soll hierdurch erhöht werden. Da die Zahl der Veranstaltungen innerhalb eines Jahres begrenzt ist und diese sofort ausgebucht sind, sollte eBay zusätzliche Sicherheits-Veranstaltungen einplanen. Auf den Portalseiten findet man auch Online-Sicherheitstrainings. Zur Verbesserung der eBay-Sicherheit könnte das eBay Sicherheitsteam ein Online- Pflichttraining in das eBay-Sicherheits-Portal einbauen. Dieses kleine Sicherheitstraining soll dann alle neuen Nutzer und diejenigen, mit nur wenigen Bewertungen, vor den aktuellen Gefahren bei Online-Auktionen warnen.

2.1.2 Das „eBay-Bewertungssystem“

„Geschäfte bei eBay basieren auf dem Vertrauen, welches ein Käufer dem Verkäufer entgegenbringt.⁸ “ Ein Käufer sollte immer zuerst das Bewertungsprofil eines Verkäufers überprüfen, bevor er auf dessen Artikel bietet. Die Anzahl der Bewertungspunkte eines Verkäufers, sowie der Anteil der positiven Bewertungen werden dort angezeigt. Ein Anteil an positiven Bewertungen nahe 100 Prozent zeichnet besonders vertrauenswürdige Verkäufer aus. Diese Nutzerprofile zeigen alle bisherigen Erfahrungen der Vertragspartner des Teilnehmers. Eine Erfahrung wird meist durch eine einfache “Bewertung“ dokumentiert. „Sie ist immer nur dann öffentlich zugänglich, wenn der bewertete Teilnehmer im Rahmen einer Auktion entweder als Bieter oder als Anbieter aktiv wird⁹.“ Nach Auktionsende bewerten sich beide Auktionspartner gegenseitig bezüglich Lieferung des Verkäufers und Zahlung des Käufers. Neben den Bewertungen selbst, gibt es noch andere Möglichkeiten, um sich ein Bild über den Verkäufer zu machen. So verwendet eBay zusätzlich verschiedenfarbige “Stern-Symbole“ um den aktuellen Stand der verkauften Artikel der Verkäufer anzuzeigen. Stern-Symbole werden an eBay-Mitglieder vergeben, die zehn oder mehr Bewertungspunkte erreicht haben.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 2: „eBay-Starchart“ Eigene Darstellung in Anlehnung an: http://pages.ebay.de/help/account/star-chart.html vom 09.11.2006

Jeder Stern steht für ein anderes Intervall (siehe Tab. 2). Ein Mitglied kann jedoch den Punktestand eines anderen Mitglieds nur um jeweils einen Punkt verändern - unabhängig davon, wie viele Transaktionen die beiden Handelspartner miteinander durchgeführt haben¹⁰. Weitere Möglichkeiten, um die Seriosität eines Verkäufers zu prüfen sind die Angaben: “Geprüftes eBay-Mitglied“ und “eBay-Powerseller“. Ersteres wird man durch die Überprüfung der Identität des Nutzers per PostIdentVerfahren durch die Deutsche Post AG. Um ein Powerseller zu werden, muss man unter anderem mindestens 100 Bewertungen haben, von denen mehr als 98 Prozent positiv sind¹¹. Des Weiteren ist man als Powerseller nur zugelassen, wenn man ein Gewerbe angemeldet hat und bereits geprüftes Mitglied ist.

2.1.2.1 Kritik am Bewertungssystem

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: „Beispiel für ein Bewertungsprofil“ Eigene Darstellung in Anlehnung an: http://pages.ebay.de/services/forum/feedback.html?ssPageName=f:f:DE vom 20.11.2006

Bewertungen gibt es bei eBay seit Februar 1996. Sie sollen zum Beispiel den Käufern helfen, sich ein Bild über den Verkäufer machen zu können. Doch diese Bewertungen sind nicht immer echt. Sowohl positive, neutrale, als auch negative Bewertungen können gefälscht sein. Eine Manipulation des Bewertungsprofils kann zum Beispiel erfolgen, wenn kleinere günstige Artikel von den Verkäufern selbst über Zweit- oder Drittaccounts (Fake-Accounts), oder durch deren Freunde ersteigert werden. Durch die positiven Bewertungen im Anschluss wird das Profil des Verkäufers unerlaubt beschönigt¹². EBay ist zwar bemüht, solchen Trickbetrügern den Garaus zu machen, dies ist allerdings nicht so leicht machbar. Viele eBay-Nutzer geben zum Beispiel auch nach dem Kauf gefälschter Ware eine positive Bewertung ab, nur um sich späteren Ärger wie zum Beispiel Rachebewertungen der Verkäufer zu ersparen¹³.

2.1.2.2 Verbesserungsvorschläge

Um sich als Käufer größeren Ärger zu ersparen, sollte man sich das Profil des Anbieters vor dem Kauf noch gezielter betrachten. Das heißt die Zahl der positiven Bewertungen sollte über 90% sein, bestenfalls immer bei 100%. Die negativen beziehungsweise auch die zurückgenommenen Bewertungen müssen auf jeden Fall beachtet werden. Damit eine Auktionsplattform wie eBay ordentlich funktionieren kann, sollte man seine Bewertung auch sinnvoll formulieren und vor einer negativen Bewertung des Verkäufers erst mit diesem in Kontakt treten¹⁴.

Ein Verbesserungskonzept für die Firma eBay wäre, dass man ein paar Bewertungsmöglichkeiten vorgibt, aus welchen man zwingend aussuchen muss. Falls diese dem Nutzer nicht genügen, könnte er dann in einem Zusatz eigene Worte hinzufügen. Die zahlreichen vorgegebenen Formulierungen könnten folgendermaßen lauten: „Ware ist angekommen“, „1A-Qualität“, „Schneller Versand“, als Beispiel für positive Bewertungen. Negative Bewertungen wären dann zum Beispiel: „Ware ist gefälscht!“, „Defekte Ware!“, „Keine Ware erhalten“. Das gleiche Prinzip würde dann auch für die neutralen Bewertungen gelten. Dieses Konzept würde den Vorteil beinhalten, dass die Profile aussagekräftige Bewertungen beinhalten würden. Es wäre sogar denkbar, dass mehr eBay-Nutzer preisgeben würden, dass sie gerade gefälschte Ware gekauft haben. Vielleicht könnte man so auch die Zahl der Rachebewertungen verringern. Momentan läuft bei eBay bereits die erste freiwillige Testphase eines vergleichbaren Konzeptes, bei dem die normalen Bewertungen mit einer Art Fragebogen erweitert werden¹⁵. Dieses Konzept könnte ab 2007 starten, jedoch hat der Käufer hier nur 4 Fragen (zur Genauigkeit der Artikelbeschreibung, Kommunikation mit dem Verkäufer, Versandschnelligkeit & Höhe der Gebühren), zu denen er Stellung nehmen kann. Ob dieses eBay-Update Zukunft hat, wird man im nächsten Jahr sehen.

[...]

¹ Vgl.: http://pages.ebay.de/pdf/ebay_verkaeuferhandbuch.pdf S. 6, vom 21.11..2006

² Vgl.: http://onlinemarktplatz.de/tipp103.html vom 06.11.2006

³ Vgl.: http://www.finanzen.net/news/news_detail.asp?NewsNr=391306 vom 29.10.2006

⁴ Vgl.: http://www.finanzen.net/news/news_detail.asp?NewsNr=438831 vom 29.10.2006

⁵ Vgl.: Vulkan, Nir: „Elektronische Märkte - Strategien, Funktionsweisen und Erfolgsprinzipien”, Übersetzung der Originalausgabe von 2003: “The Economics of E-Commerce - A Strategic Guide to Understanding and Designing the Online-Marketplace”, 1. Auflage, hrsg. Princeton University Press, MITP-Verlag, Bonn 2005, S. 169

⁶ Vgl.: http://www.mich-tipps.de/Sections-sop-viewarticle-artid-72.html vom 29.10.2006

⁷ Vgl.: http://pages.ebay.de/sicherheitsportal/?ssPageName=f:f:DE vom 20.11.2006

⁸ http://onlinemarktplatz.de/tipp88.html vom 06.11.2006

⁹ Hoeren, Thomas; Müglich, Andreas; Nielen, Michael: „Online-Auktionen: Eine Einführung in die wichtigsten rechtlichen Aspekte“, hrsg. von Erich Schmidt, Berlin 2002, S. 33

¹⁰ Vgl.: http://pages.ebay.de/help/feedback/reputation-stars.html vom 07.11.2006

¹¹ Vgl.: Schulz, Sabine Maria: „Clever kaufen & verkaufen mit eBay“, Franzis Verlag GmbH, Poing 2003, S. 157

¹² Vgl.: Schulz, Sabine Maria: „Clever kaufen & verkaufen mit eBay“, Franzis Verlag GmbH, Poing 2003, S. 37

¹³ Vgl.: http://www.tecchannel.de/news/themen/client/448766/index.html vom 06.11.2006

¹⁴ Vgl.: http://www.tecchannel.de/news/themen/client/448766/index4.html vom 06.11.2006

¹⁵ Vgl.: http://www.winsoftware.de/news-5636.htm vom 21.11.2006