Sicherheitslücken bei eBay - Teil II

10.03.2005

Die Fernsehsendung stern TV hat am gestrigen Abend in einem Bericht wieder einmal auf die bestehenden erheblichen Sicherheitslücken beim Online-Auktionshaus eBay hingewiesen.

Diese Problematik war schon mehrfach Gegenstand zahlreicher Berichterstattung. So titelte die Zeitschrift "Der Spiegel" Ende letzten Jahres, dass "offenbar seit 1 Jahr eine gigantische Sicherheitslücke" klaffe, vgl. die Kanzlei-Info v. 26.09.2004. Einige Monate davor berichtete das anerkannte Fachblatt c´t über damals bestehende katastrophale Schwachstellen, vgl. die Kanzlei-Info v. 11.07.2004.

eBay hatte sich in der Vergangenheit juristisch gegen eine Live-Demonstration der Sicherheitslücken im Fernsehen mittels einer einstweiligen Verfügung gewehrt. Diese wurde jedoch inzwischen aufgehoben, vgl. die Heise News v. 11.02.2005.

In dem gestrigen Bericht bei stern TV gelang es in 6 von 6 Versuchen, dass Password der jeweiligen eBay-Nutzer problemlos herauszufinden. Bei der anschließenden Live-Demonstration im Fernsehen dagegen gab es technische Probleme, so dass der Test nicht weiter durchgeführt wurde.

Inhaltlich geht es um das Problem, dass bei eBay die Möglichkeit besteht mittels individueller Scripts die Passwörter fremder eBay-Nutzer auszuhorchen.

Aus juristischer Sicht ist interessant, welche rechtlichen Konsequenzen eintreten, wenn der Passwort-Knacker unter dem fremden Account Verkäufe und Käufe bei eBay vornimmt: Haftet der eigentliche User hierfür? Ist ein wirksamer Vertrag zustande gekommen?

Die (theoretische) Antwort ist relativ einfach: Ein Vertrag ist hier keinesfalls zustande gekommen, da der Passwort-Knacker nicht mit Wissen und Wollen für den eigentlichen User gehandelt hat und ihn somit auch nicht wirksam stellvertreten hat (§ 164 BGB).

Soweit die Theorie. Nun die Praxis: Trifft den eBay-User nicht die Beweislast, wenn er behauptet, jemand Fremdes hätte sein Passwort geknackt? Wenn dies so wäre, stünde der User häufig vor einem unlösbaren Problem, denn es dürfte ihm nur sehr schwer möglich sein, gerichtsfest nachzuweisen, dass jemand anderes seinen Account missbraucht hat. Somit würde der User alleine wegen dieser Beweislast-Verteilung den Prozess verlieren.

Erstaunlicherweise ist diesmal die Rechtsprechung ihrer Zeit weit voraus. So entschied das OLG Köln (Urt. v. Urt. v. 06.09.2002 - Az.: 19 U 16/02); Vorinstanz LG Bonn, Urt. v. 07.08.2001 - Az.: 2 O 450/00) schon im Jahre 2002, dass es für eine solche Beweislast-Umkehr nicht ausreiche, dass das Gebot von jemandem abgegeben wurde, der das Passwort des Käufers kannte. Da es keinen entsprechenden Sicherheitsstandards bei den Passwörtern gebe, werde ein solcher Anscheinsbeweis nicht begründet.

Auf der gleichen Linie liegt die Entscheidung des AG Erfurt (Urt. v. 14.09.2001 - Az.: 28 C 2354/01): "Die Angabe einer E-Mail-Adresse in Verbindung mit dem Passwort ist noch kein ausreichendes Indiz dafür, dass es eine bestimmte Person gewesen ist, die an einer Internetversteigerung teilgenommen hat."

Ebenso das OLG Naumburg, Urt. v. 02.03.2004 - Az.: 9 U 145/03 = Kanzlei-Info v. 23.12.2004 und das LG Bonn (Urt. v. 19.12.2003 - Az.: 2 O 472/03).

In einer weiteren Entscheidung hat das LG Bonn (Urt. v. 19.12.2003 - Az.: 2 O 472/03) diese Ansicht ebenfalls bestätigt.

Siehe zu dem ganzen auch unsere Rechts-FAQ "Recht der Neuen Medien", Punkt 18 "Online-Auktionen und rechtliche Probleme".

Konsequenz: Nach Ansicht der obigen Gerichte tritt keine Beweistlast-Umkehr ein. D.h. der eBay-User muss nicht beweisen, dass in seinen Account eingebrochen wurde. Es soll vielmehr das pauschale Behaupten eines solchen Umstandes ausreichen.

Diese Rechtsprechung hinterlässt jedoch einen faden Beigeschmack, denn seit der grundlegenden "ricardo.de"-Entscheidung des BGH (Urt. v. 07.11.2001 - Az.: VIII ZR 13/01) ist es höchstrichterlich anerkannt, dass für Verträge, die über das Internet geschlossen werden, grundsätzlich die allgemeinen Rechtsprinzipien gelten. D.h. gibt jemand per Mail, Chat oder auf sonstige Art eine Willenserklärung ab, ist diese genauso rechtlich verbindlich wie im Offline-Leben.

Die oben zitierten Urteile führen aber in der Praxis zu einer klaren Aushebelung dieses Grundsatzes. Denn danach reicht schon das pauschale Behaupten aus, dass man nicht das Angebot abgegeben habe, sondern der Account durch einen Dritten missbraucht worden sei, um sich letzten Endes faktisch vom Vertrag zu lösen.