eBay-Sicherheitsloch Wie ein Träumer das Bewertungssystem aushebelte

Im Bewertungssystem von eBay klafft eine Sicherheitslücke. Obwohl sie mehrfach darauf hingewiesen wurde, blieb die Online-Börse monatelang tatenlos. Derweil verhökern jecke Hacker Selbstgemaltes für zehn Millionen Euro an einen gewissen Gerhard Schröder. Nichts ist unmöglich.

Karneval auf dem Internet-Flohmarkt eBay: Ein gewisser Gerhard Schröder aus Berlin, wohnhaft im Kanzleramt, leistet sich auf dem globalen Internetflohmarkt namens eBay ein erbittertes Bietergefecht mit vier anderen Teilnehmern. Der eine bietet sieben Millionen Euro, der andere kontert mit neun Millionen. Schließlich geht der Zuschlag an Herrn Schröder. Für 10 Millionen Euro bekommt er einen "echten Napierski" - ein kleines Digitalbildchen im Briefmarkenformat.

Die Versteigerung mit der Nummer 3309672566, die Anfang des Monats abgeschlossen wurde, dürfte eine der teuersten Transaktionen sein, die je über eBay abgewickelt worden ist. Wenn die Bieter denn reale Personen wären.

Die Versteigerung fand zwar wirklich statt, doch Bieter und Anbieter waren nur trügerische Scheinidentitäten, ihre Wohnorte erstunken, ihre Kontoverbindungen erlogen. Die Mitglieder mit Namen wie bk-g-schroeder, yabe-hacker, tgroeber123 oder peter18001 sind digitale Karnevalsmasken, hinter denen ein einziger Scherzbold steckt.

Ähnliches geschah auch vor einem Jahr, als in der "Käsebrötchen-Affäre" eine vertrocknete Semmel für ebenfalls zehn Millionen Euro auf eBay versteigert wurde. Doch die damalige Spaß-Auktion wurde auch von eBay selbst als werbewirksame Aktion verstanden und behandelt. Damals waren die Bieter und Versteigerer namentlich bekannt - alles hatte formal also seine Ordnung. Diesmal dagegen blieb der Maskierte anonym - bis er sich bei SPIEGEL ONLINE meldete.

Die eBay-Währung: Vertrauen

Sein gespenstischer Zehn-Millionen-Deal dürfte viele der über 50 Millionen eBay-Marktteilnehmer weltweit verunsichern. Denn die Modem-Maskerade droht, das Fundament der Tauschbörse zu erschüttern: das gegenseitige Vertrauen.

"Wir glauben, dass die Menschen gut sind", heißt der erste Glaubenssatz der Tauschbörse - und ohne ihn würde das System zusammenbrechen. Denn die eBay-Kunden leben weltweit verstreut und kennen zunächst weder den wahren Namen noch die Stimme noch den Wohnort ihrer zukünftigen Geschäftspartner.

Diese Anonymität lockt Betrüger an. Um die schwarzen Schafe leichter zu erkennen und auszusortieren, gibt es das "Bewertungssystem": der Höchstbietende und der Anbieter bewerten sich nach erfolgtem Geschäft gegenseitig. Wer über hundert positive Bewertungen hat, gilt als vertrauenswürdig.

"Gute Bewertungen sind bares Geld wert", sagt Marion von Kuczkowski, Autorin des Buches "Powerseller mit eBay". Weltweit gibt es über 150.000 eBay-Profis, die vom Verkauf ihrer Waren im Internet leben. Ein gutes Bewertungsprofil ist für sie die Existenzgrundlage.

Und es ist tatsächlich bares Geld wert, wie der Soziologe Andreas Diekmann von der Universität Bern anhand der Onlinebörse Ricardo nachgewiesen hat: "Im Schnitt ist eine gute Bewertung rund 70 Cent wert, denn die Käufer sind bereit, höher zu bieten, wenn sie Vertrauen haben", sagt Diekmann. Wenn allerdings diese Glaubwürdigkeitswährung nachhaltig unterhöhlt werde, könne ein Online-Marktplatz kollabieren, warnt der Forscher.

Der Cracker: eBay, frei manipuliert

"Ich könnte mir durch Fantasie-Versteigerungen in wenigen Tagen ein Traumprofil mit tausend positiven Bewertungen selber zusammenbasteln", sagt Ralph Napierski, während er seine Digitalpuppen tanzen lässt: Er bietet, meldet sich ab, meldet sich mit einem anderen Namen an, überbietet sich selbst und so weiter. Und am Ende bewertet er seine zwei Strohmänner gegenseitig, natürlich positiv.

"Ich könnte mit meinen Accounts jede beliebige Auktion stören und den Handel zum Erliegen bringen", sagt Napierski und nippt genüsslich an einem Pappbecher mit heißer Schokolade, "ich könnte Leute, die ich nicht mag, mit schlechten Bewertungen bombardieren." Sein Gesicht wirkt jugendlich, viel jünger als seine 31 Jahre. Gemäß der derzeitigen Jugendmode trägt er sein Haar nach hinten gegelt, sein Handy lässig an die Außenseite seiner Hosentasche gehängt.

eBay-Routine: Warnungen verpuffen

"Sehr geehrtes eBay", schrieb Napierski schon am 14. Oktober 2002 an die Sicherheitsabteilung des Unternehmens, "ich habe eBay gehackt."

Er wurde mit einer automatischen Standardmail abgefertigt.

Napierski erlebt, was viele beklagen: Seine Briefe verpuffen ohne Echo. Vier Monate lang tut eBay augenscheinlich gar nichts. Erst auf Anfrage von SPIEGEL ONLINE kommt Bewegung in die Sache: Die Sicherheitsabteilung äußert schon mal "Zuversicht". Weiter...

Fünf Male wiederholte Napierski seine Warnung. Bis auf nichts sagende Schreiben kam von eBay keine Reaktion. "eBay nimmt sowohl den Datenschutz als auch die Seriosität seiner Mitglieder sehr ernst", heißt es auf der Unternehmens-Page. Doch genau das darf angezweifelt werden.

Napierski wurde ungeduldig und nahm sich Mitte Januar einen Anwalt, der sein skurriles Angebot an eBay übermittelte: Sein Klient wolle einen Beratungsvertrag, um die Sicherheitslücke zu schließen, heißt es in dem Fax. Das Schreiben endet mit dem dreisten Hinweis: "Wir legen großen Wert darauf, dass sie (sic) zur Kenntnis nehmen, dass es sich bei unserem Mandanten um einen seriösen jungen erfolgreichen Mann handelt, der versucht, sein herausragendes Wissen zu einem guten Zweck in Geld umzusetzen."

Schillernde Figur

Es ist nicht leicht, aus dem "seriösen, jungen erfolgreichen Mann" schlau zu werden. Auf seiner Homepage schmückt er sich mit einem Doktortitel. Auf Nachfrage sagt er, dass er an der Harrington University studiert habe - einer weltweit bekannten Briefkastenfirma, die wertlose akademische Grade an Aufschneider vertickt. Er nennt sich Computerfachmann, tippt aber mühsam mit zwei Fingern.

"Computersicherheit ist nur so ein Hobby, mit dem ich Geld verdiene", schwadroniert Napierski beiläufig, während er sich abwechselnd mit unterschiedlichen Namen bei eBay anmeldet. Hauptberuflich dagegen sei er in der Erforschung des "virtuellen Realismus" tätig. Seine "Dimensionstheorie" erlaube es, "durch neue Technik eine telepathische Kommunikation" zu ermöglichen: "Ich träume, also bin ich."

Der Puppenspieler, so scheint es, verhakelt sich auch selbst bisweilen selbst im Gestrüpp seiner eigenen Fantasie. Zum Glück.

Denn würde er nicht dem Selbstbild vom telepathischen Computergenie anhängen, das seine Einsichten "für einen guten Zweck zu Geld macht", dann hätte er möglicherweise seine Kenntnisse längst mit ein paar unauffälligen Gaunereien zum eigenen Vorteil ausgespielt.

"Zuversicht" statt Taten?

Egal, was für eine schillernde Figur Napierski ist - die Sicherheitslücke ist real und dokumentiert. Sie zu stopfen dürfte fast so kinderleicht sein wie der Einbruch. Dennoch war dies bis zum Wochenende immer noch nicht geschehen, vier Monate nach Napierskis erster Warnung. "Wir sind zuversichtlich, dass wir das Problem in den nächsten Tagen gelöst haben", heißt es auf Anfrage bei eBay.

Bislang jedoch wurde lediglich die Fantasie-Auktion des Zehn-Millionen-Kunstwerks annulliert. Eine recht hilflose Geste, so lange weiterhin Hobbyhacker ungestört ihren Mummenschanz mit Scheinidentitäten und Fantasieauktionen treiben können. Solange sie vorsichtig sind und unauffällig einzelne Anbieter mit schlechten Bewertungen ärgern, dürfte es fast unmöglich sein, ihnen auf die Schliche zu kommen.

Vor allem aber dürfte der zweifelhafte Karnevals-Scherz nicht der letzte gewesen sein. Solange eBay der Sicherheit nicht oberste Priorität einräumt, sondern hilflos Schadensfällen hinterherstorniert, sind weiterhin die Jecken los im Bewertungssystem.

Für die Zukunft könnte eBay noch eine Menge vom Traumtänzer Napierski lernen. Die Einsicht zum Beispiel, dass auch ein börsennotiertes Unternehmen mit einem Jahresumsatz im letzten Jahr von einer Milliarde Dollar großenteils von einer immateriellen, geheimnisvollen Kraft abhängt: Dem Vertrauen seiner Kunden.