eBay: Über 1000 Einkäufe auf fremde Rechnung

Ein Unbekannter hat unter dem Namen eines eBay-Nutzers aus Iserlohn in mehr als 1000 Auktionen das Höchstgebot abgegeben. "Der materielle Schaden ist zwar gering", sagte ein eBay-Sprecher am Donnerstag. Aber es gibt mehr als 1000 betroffene Verkäufer, deren Auktionen jetzt rückgängig gemacht werden müssen.

2003 hat es einen ähnlichen Fall in München gegeben. Dort hatte der Freund eines Gärtners auf dessen Namen 39 Artikel im Wert von rund 1,4 Million Euro ersteigert. In dem neuen Fall kommt nach einer Schätzung des betroffenen 67-Jährigen aus dem sauerländischen Iserlohn immerhin ein Warenwert von rund 400.000 Euro zusammen. Als auffiel, dass der Inhaber des Zuganges offenbar in einen wahren Kaufrausch kam, reagierte eBay und verhinderte weitere Käufe.

Viele der Auktionen wurden nach eBay-Angaben bereits rückgängig gemacht. Die Gebühren würden den Verkäufern erlassen. Lediglich einige Verkäufer, die ihre Waren oder Eintrittskarten per Nachnahme nach Iserlohn geschickt haben, bleiben auf den Portokosten sitzen. "Sie müssen sich der Anzeige des Iserlohners anschließen, um ihr Geld wieder zu bekommen", sagte der eBay-Sprecher.

Die Polizei im Sauerland ermittelt zwar gegen unbekannt. Doch ob überhaupt eine Straftat vorliegt, ist noch nicht wirklich klar. "Betrug ist es nicht, denn es wollte sich ja niemand selbst einen Vorteil verschaffen", sagte der Lüdenscheider Polizeisprecher Michael Bechatzek. Es werde wegen des "Verdachtes der Ausspähung geschützter Daten" ermittelt.

Bis man dem Unbekannten auf die Spur komme, könne es aber dauern. Zunächst müsse eBay die IP-Adresse heraussuchen, unter der der Täter die Gebote abgegeben hatte. Dann werde der Internet-Provider, der diese Adresse verwaltet, aufgefordert, den Anschluss zu nennen, dem sie zum fraglichen Zeitpunkt zugeordnet war. Die Polizei rechnet sich gute Chancen aus, fündig zu werden. Bechatzek: "Falls das nicht ein Internet-Café war."

Auch nach Einschätzung von eBay-Sicherheitsexperte Wolfgang Weber haben die Ermittler gute Chancen, dem Unbekannten auf die Spur zu kommen. Denn wirklich anonym könne man im Netz nicht bleiben: "Die Aufklärungsquote bei Internet-Kriminalität beträgt 98 Prozent."

Die Hintergründe des Passwort-Missbrauchs in Iserlohn sind noch unklar. Meist hätten solche Fälle einen privaten Rache-Hintergrund, erklärt Weber. "Da hat jemand das Passwort einer Ex-Freundin und findet es dann besonders spaßig, auf deren Namen Sachen zu ersteigern." Etwas mehr als eine Hand voll solcher Fälle habe man im Monat, allerdings nicht in den Ausmaßen des Iserlohner Falls.

Viele andere Unregelmäßigkeiten hätten Phishing zum Hintergrund. Dabei versuchen Unbekannte mit einer fingierten E-Mail die Nutzer zur Herausgabe ihrer Passwörter zu bewegen. "Das kommt immer in Wellen und betrifft nicht nur uns, sondern auch Banken", sagte Weber. Zudem gebe es leider auch Nutzer, die es Spaßvögeln und Hackern leicht machten, indem sie nur einfache Vornamen oder den Namen ihres Haustieres als Passwort nutzen, sagte der Sicherheitsexperte.

Unerwähnt ließ Weber die Möglichkeit, dass Verkäufer mit JavaScript oder CSS-Layern auf der Angebotsseite die Bieter auf eine nachgemachte Login-Seite lenken, um die dort eingegebenen Zugangsdaten abzufangen. eBay versucht zwar, solche Skripte mit Textfiltern abzufangen, lässt aber JavaScript in den Artikelbeschreibungen weiterhin zu. Außerdem unterscheidet die Online-Auktion bei der Passworteingabe nicht zwischen Groß- und Kleinschreibung, was das Erraten von fremden Passwörtern unnötig erleichtert. (Jörg Taron, dpa) / (Axel Kossel) / (ad)