Behörden untersuchen Datenklau bei Ebay

Behörden in den USA und Europa wollen den Datenklau bei Ebay untersuchen, von dem geschätzte 145 Millionen Nutzer betroffen sind. Neben der US-Handelsaufsicht FTC kündigten die Bundesstaaten Connecticut, Florida und Illinois eine gemeinsame Untersuchung an. Die britische Datenschutzbehörde ICO (Information Commissioner’s Office) bezeichnete den Zwischenfall als „sehr ernsthaft“ und plant ebenfalls eine formelle Untersuchung.

ICO-Chef Christopher Graham bedauerte jedoch, aufgrund veralteter und komplexer Datenschutzgesetze nicht sofort handeln zu können. Seine Behörde müsse erst mit der Datenschutzbehörde in Luxemburg Verbindung aufnehmen, weil sich die europäische Zentrale von Ebay dort befindet. Zwar seien Millionen britische Bürger betroffen, aber die Ergebnisse einer Untersuchung seien letztlich wertlos, wenn rechtliche Formalitäten nicht beachtet würden. Im Gespräch mit dem Guardian sparte Graham nicht an Kritik am Online-Auktionshaus. „Diese Art von Geschichten passieren immer wieder und wieder und wieder, bis die Firmen aufwachen und erkennen, dass persönliche Informationen nicht ihre Spielsachen sind“, sagte er. „Es sind unsere Informationen, und sie müssen geschützt werden.“

„Wir haben laufende Beziehungen zu und haben von uns aus eine Anzahl von einzelstaatlichen, bundesstaatlichen und internationalen Regulierungs- sowie Ermittlungsbehörden kontaktiert“, erklärte ein Ebay-Sprecher. „Wir arbeiten in jeder Hinsicht und vorbehaltlos mit ihnen zusammen, was diesen Zwischenfall angeht.“

Sicherheitsexperten kritisieren Ebay vor allem dafür, seine Nutzer erst sehr spät informiert zu haben. Erst in der letzten Woche rief es sie zur Passwortänderung auf, obwohl sich der Hackerangriff bereits Ende Februar ereignet hatte. Durch gestohlene Mitarbeiter-Log-ins verschafften sich die Angreifer Zugang zu einer Datenbank mit Kundendaten, in der neben Benutzernamen auch E-Mail- und Postadressen der Anwender sowie deren Telefonnummern und Geburtsdaten gespeichert waren. Anders als die Passwörter waren die übrigen Informationen offenbar unverschlüsselt abgelegt. Laut Ebay kam es bisher noch zu keinem Anstieg betrügerischer Aktivitäten auf seiner Handelsplattform.

„Lange Zeit haben wir nicht geglaubt, dass jegliche Daten von Ebay-Kunden kompromittiert wurden“, beteuerte Ebay-Manager Devin Wenig gegenüber Reuters. Als das klar wurde, habe Ebay den Hackerangriff jedoch „rasch enthüllt“. Nicht äußern wollte er sich dazu, wann die Firma schließlich realisierte, dass die Angreifer auf Kundendaten zugreifen konnten. Unbeantwortet blieb auch die Frage, wie gut nach seiner Einschätzung die Sicherheitspraxis des Unternehmens vor der Attacke war. Wenig versprach aber verstärkte Sicherheitsbemühungen, um „sicherzustellen, dass es nicht wieder geschieht.“

Manche Kunden beschwerten sich über Schwierigkeiten, als sie Ebays Empfehlung folgten und ihr Passwort ändern wollten. Das Unternehmen versicherte jedoch, es gebe keine technischen Probleme mit der Zurücksetzen-Funktion, obwohl die Site manchmal stark ausgelastet sei. Das Online-Auktionshaus ist außerdem noch immer damit beschäftigt, die betroffenen Kunden per E-Mail zu informieren. „Sie können sich vorstellen, dass eine große Zahl zusammenkommt, wenn es um alle geht, die jemals mit Ebay zu tun hatten“, sagte David Wenig. „Wir werden also allen eine E-Mail schicken, aber es ist einfach nicht möglich, sie gleichzeitig zu verschicken.“

Ebay warnte in diesem Zusammenhang ausdrücklich vor Phishing-Versuchen. Seine offiziellen Mails enthielten eine Aufforderung zum Zurücksetzen des Passworts, aber keine Links. „Jede E-Mail mit Links ist ein Phishing-Versuch“, sagte ein Sprecher.

[mit Material von Matthew Broersma, TechWeekEurope.co.uk]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de