Passwort-Schutz auf eBay + rechtliche Konsequenzen

11.07.2004

In der aktuellen c´t (15/2004, S.214f.) berichtet Holger Heimann über den Passwort-Schutz auf eBay und einem anderen Online-Auktions-Anbieter.

Insgesamt offenbart der durchgeführte Test katastrophale Schwachstellen, insbesondere bei eBay.

Die Tester versuchten in die geschützten User-Bereiche zu gelangen. Dazu wurde einfach versucht, sich mittels bestimmter Begriffe, von denen bekannt ist, dass sie häufig als Passwörter benutzt werden, in User-Accounts von eBay einzuwählen.

Das Ergebnis überrascht und zeigt auf welchem digitalen Steinzeit-Niveau die Sicherheit bei eBay war bzw. ist. Denn der User-Account wurde auch bei mehrfacher Falscheingabe des Passwortes zu keiner Zeit gesperrt. Z.T. erschien ein Warnhinweis erst nach 25 (!) Fehlversuchen.

Der Warnhinweis bestand aus einer aus Einzelbildern zusammengesetzten Text-Folge, die der Anmelder zusätzlich eingeben musste. Aber auch diesen Sicherheits-Mechanismus konnten die Tester schnell umgeben. Denn die Tatsache, dass bei einem Account gerade eine Sicherheitsfrage lief, wurde nicht server-, sondern client-seitig (!) gespeichert.

Der Status der Sicherheitsabfrage wurde in der URL mitübergeben, so dass die Tester lediglich den Parameter von "1" auf "0" zurückzusetzen brauchten. Und schon war die Sicherheitsfrage nicht mehr aktiv (Die c´t weist darauf hin, dass all dies nun natürlich nicht mehr funktioniert).

Aus juristischer Sicht ist interessant, welche rechtlichen Konsequenzen eintreten, wenn der Passwort-Knacker unter dem fremden Account Verkäufe und Käufe bei eBay vornimmt? Haftet der eigentliche User hierfür? Ist ein wirksamer Vertrag zustande gekommen?

Die (theoretische) Antwort ist relativ einfach: Ein Vertrag ist hier keinesfalls zustande gekommen, da der Passwort-Knacker nicht mit Wissen und Wollen für den eigentlichen User gehandelt hat und ihn somit auch nicht wirksam stellvertreten hat (§ 164 BGB).

Soweit die Theorie. Nun die Praxis: Trifft den eBay-User nicht die Beweislast, wenn er behauptet, jemand Fremdes hätte sein Passwort geknackt? Wenn dies so wäre, stünde der User häufig vor einem unlösbaren Problem, denn es dürfte ihm nur sehr schwer möglich sein, gerichtsfest nachzuweisen, dass jemand anderes seinen Account missbraucht hat. Somit würde der User alleine wegen dieser Beweislast-Verteilung den Prozess verlieren.

Erstaunlicherweise ist diesmal die Rechtsprechung ihrer Zeit weit voraus. So entschied das OLG Köln (Urt. v. Urt. v. 06.09.2002 - Az.: 19 U 16/02); Vorinstanz LG Bonn, Urt. v. 07.08.2001 - Az.: 2 O 450/00) schon im Jahre 2002, dass es für eine solche Beweislast-Umkehr nicht ausreiche, dass das Gebot von jemandem abgegeben wurde, der das Passwort des Käufers kannte. Da es keinen entsprechenden Sicherheitsstandards bei den Passwörtern gebe, werde ein solcher Anscheinsbeweis nicht begründet.

Auf der gleichen Linie liegt die Entscheidung des AG Erfurt (Urt. v. 14.09.2001 - Az.: 28 C 2354/01): "Die Angabe einer E-Mail-Adresse in Verbindung mit dem Passwort ist noch kein ausreichendes Indiz dafür, dass es eine bestimmte Person gewesen ist, die an einer Internetversteigerung teilgenommen hat."

In einer weiteren Entscheidung hat das LG Bonn (Urt. v. 19.12.2003 - Az.: 2 O 472/03) diese Ansicht ebenfalls bestätigt.

Siehe zu dem ganzen auch unsere Rechts-FAQ "Online-Auktionen und rechtliche Probleme".

Konsequenz: Nach Ansicht der obigen Gerichte tritt keine Beweistlast-Umkehr ein. D.h. der eBay-User muss nicht beweisen, dass inseinen Account eingebrochen wurde. Es soll vielmehr das pauschale Behaupten eines solchen Umstandes ausreichen.

Dies hinterlässt einen faden Beigeschmack. Denn seit der grundlegenden "ricardo.de"-Entscheidung des BGH (Urt. v. 07.11.2001 - Az.: VIII ZR 13/01) ist es höchstrichterlich anerkannt, dass für Verträge, die über das Internet geschlossen werden, grundsätzlich die allgemeinen Rechtsprinzipien gelten. D.h. gibt jemand per Mail, Chat oder auf sonstige Art eine Willenserklärung ab, ist diese genauso rechtlich verbindlich wie im Offline-Leben.

Die oben zitierten Urteile führen aber in der Praxis zu einer klaren Aushebelung dieses Grundsatzes. Denn nach Ansicht des OLG Köln, LG Bonn und des AG Erfurt reicht schon das pauschale Behaupten aus, dass man nicht das Angebot abgegeben habe, sondern der Account durch einen Dritten missbraucht worden sei. Damit hat dann der Verkäufer die "Schwarze Peter"-Karte, denn er wird so gut wie nie beweisen können, dass das Angebot doch von der anderen Partei abgegeben wurde und gerade kein Account-Missbrauch vorliegt.