Nach dem Hackerangriff Was Ebay-Kunden jetzt wissen müssen

145 Millionen Ebay-Nutzer müssen ihre Passwörter ändern, weil unbekannte Angreifer persönliche Daten erbeutet haben. Wie schwerwiegend der digitale Einbruch ist, was dem Online-Auktionshaus vorzuwerfen ist und wie Kunden betroffen sind. Die wichtigsten Fragen und Antworten.

Von Johannes Kuhn, San Francisco

Drei, zwei, eins - weg sind die Daten. Ebay hat nach einem Hackerangriff seine Nutzer dazu aufgerufen, ihre Passwörter zu ändern. 145 Millionen Menschen sind weltweit bei Ebay angemeldet. Was Kunden des Dienstes nun wissen müssen.

Was ist passiert?

Zwischen Februar und Anfang März ergatterten Unbekannte die Passwörter mehrerer Ebay-Mitarbeiter. Damit konnten sie sich ins Firmennetzwerk und auch in eine Datenbank mit Kundeninformationen einloggen. Details zum Passwort-Klau verrät das Unternehmen nicht, es scheint aber so, als ob die Mitarbeiter über eine Phishing-Attacke ihre Passwörter preisgaben.

Was wurde geklaut?

Die schlechte Nachricht: eine Menge. Die Datenbank enthielt Kundennamen, E-Mail-Adresse, Wohnadresse, Telefonnummer und Geburtsdatum. Auch die Passwörter wurden gestohlen - allerdings verschlüsselte Ebay diese. Das ist die gute Nachricht, das Unternehmen verwendet eine als relativ sicher geltende Verschlüsselungstechnik (Salt & Hash). "Wir haben keine Indizien gefunden, dass die Passwörter geknackt wurden", sagte ein Sprecher zu Süddeutsche.de

Wofür können die Daten verwendet werden?

Wer Angst hat, nun bald gegen seinen Willen das Papst-Auto vor der Tür stehen zu haben, kann beruhigt sein. Die Daten können nach heutigem Stand nicht für Bezahlungen oder zum Missbrauch der Kreditkarte benutzt werden; die Zahlungsinformationen speicherte Ebay ebenso auf anderen Servern wie PayPal-Kundendaten, die Passwörter waren verschlüsselt. Allerdings ist vor allem das Geburtsdatum eine sensible Information, die in Einzelfällen für Sicherheitsfragen bei anderen Diensten verwendet wird.

Wer genau ist betroffen?

Das sagt die Firma nicht. Ebay schickt die Aufforderung zur Änderung des Passworts an alle Kunden, laut eines Sprechers als "Vorsichtsmaßnahme". Man habe keine Auffälligkeiten bemerkt, die auf einen Missbrauch der Daten hindeuteten. Dies sagt allerdings überhaupt nichts darüber aus, wie viele Kunden in der Datenbank gespeichert waren, auf die die Hacker zugreifen konnten.

Was hat Ebay falsch gemacht?

Das Unternehmen muss sich einige Fragen gefallen lassen: Wieso vergingen mehr als zwei Monate, bis das Datenleck von den Sicherheitsexperten der Firma erkannt wurde? Wieso verschlüsselte das Unternehmen die persönlichen Informationen nicht genauso wie die Zahlungsdaten? Auch die Tatsache, dass der Einbruch Anfang Mai entdeckt, aber erst am 21. Mai bekanntgegeben wurde, sorgt für Kritik - allerdings sind interne Untersuchungen solcher Fälle häufig aufwändig.

Was hat Ebay richtig gemacht?

Die Kundenpasswörter wurden verschlüsselt, die Finanzdaten auf einem anderen Server gespeichert. Das ist bereits mehr, als beispielsweise der US-Einzelhändler Target tat, bevor er im Winter Opfer eines digitalen Großeinbruchs wurde, bei dem zig Millionen Kreditkartendaten erbeutet wurden.

Was können Kunden tun?

Neben der Änderung des Ebay-Passworts ist es auch angebracht, alle Konten zu ändern, für deren Absicherung die identische Zeichenfolge verwendet wurde. Experten halten es für die sicherste Methode, kein Passwort zweimal zu benutzen und für die Verwaltung einen Passwort-Schlüsselbund zu verwenden.