Nach der Bekanntgabe eines Hackerangriffs bittet Ebay seine Nutzer bei der Anmeldung, ihr Passwort zu ändern. Eigentlich sei das ja nicht nötig, weil es verschlüsselt sei, aber man wolle kein Risiko eingehen. Was den Gangstern tatsächlich in die Hände gefallen ist, erfahren die Kunden nicht.

Gestern teilte Ebay per Pressemitteilung mit, dass Unbekannte mit erbeuteten Mitarbeiter-Logins in die Datenbanken des Unternehmens eindringen konnten und Zugriff auf mindestens 145 Millionen Kundendaten hatten. Es werde weltweit alle Nutzer benachrichtigen und auffordern, ihr Passwort zu ändern, teilte das Unternehmen mit. Nachlesen konnte man dies nur auf der englischsprachigen Webseite, die deutsche Presseseite feierte noch fast zwei Tage die Eröffnung eines Markenshops, bevor sie die Übersetzung veröffentlichte. Zeit, die früher hinzubekommen, wäre genug gewesen - Ebay wusste nach eigenen Angaben schon Anfang Mai Bescheid.

Mit den Benachrichtigungen lässt sich Ebay aber viel Zeit, bisher haben zumindest deutsche Nutzer noch keine E-Mail bekommen. Lediglich bei der Anmeldung bittet sie Ebay, das Passwort zu ändern, "um die Sicherheit und den Schutz der persönlichen Daten zu gewährleisten". Wer mehr erfahren möchte, bekommt nach einem Klick eine knappe Erklärung. Dort schreibt Ebay, Hacker hätten in der Kundendatenbank Passwörter erbeutet, fügt aber hinzu: "Da Ihr Passwort verschlüsselt ist (sogar wir kennen Ihr Passwort nicht), gehen wir davon aus, dass Ihr eBay Konto sicher ist." Nur um sicher zu gehen, sei es nötig, das Passwort zu ändern. Mehr erfahren deutsche Nutzer nicht. Und die, die nur gelegentlich den Dienst nutzen, vielleicht ganz lange nicht.

Hacker im Spammer-Glück

Auf der englischen Webseite sind die Infos wesentlich ausführlicher - und beunruhigender. Dort listet Ebay nämlich auf, was den Hackern neben dem verschlüsselten Passwort möglicherweise alles in die Hände gefallen ist: Name, E-Mail-Adresse, Wohnanschrift, Telefonnummer, Geburtstag. Warum lässt Ebay deutsche Nutzer darüber im Ungewissen? Denn es ist zwar schön, dass die Passwörter verschlüsselt sind und angeblich keine Daten beim Bezahldienst Paypal abgegriffen wurden. Aber harmlos ist der Diebstahl absolut nicht.

Hacker können mit den Kundendaten beispielsweise perfekte Spam-Mails inklusive korrekter Signatur versenden oder direkt bei den Opfern anrufen. Sie können sich auf Webseiten anmelden, Bestellungen im Namen des Opfers machen oder Waren, Werbung und Rechnungen an die Postanschrift verschicken. Die geklauten Daten bieten Kriminellen viele Möglichkeiten. Vor allem die Telefonnummern und Geburtsdaten sind für sie wertvoll, da sie oft für Sicherheitsabfragen genutzt werden.

Ebay wird auch noch erklären müssen, wie die Hacker an die Mitarbeiter-Logins gekommen sind, mit denen sie in die Datenbank eingedrungen sind. Wie gut sind die Sicherheitsmaßnahmen? Sind die Mitarbeiter des Unternehmens leichtsinnig und schlecht ausgebildet oder schützt Ebay deren Daten ungenügend? Beteuerungen, man nehme das Thema Sicherheit sehr ernst, genügen nicht.