Ansichten eines Informatikers

eBay und Paypal mit Security überfordert…

Hadmut
21.8.2008 20:59

Daß an der Seriosität von eBay und deren Tochterunternehmen Paypal durchaus Zweifel bestehen und die dort mit Ziel möglichst großen Umsatzes durchaus auch in Kauf nehmen, daß Betrüger und Schwindler auf beiden Seiten mitmischen, hört man ja so an und ab mal. Nun aber scheint es so zu sein, daß eBay und Paypal mit ihren Sicherheitsmaßnahmen nicht mehr nachkommen und ihren eigenen Betrieb nicht mehr so ganz aufrechterhalten können.

Eigentlich wollte ich nur ein Objektiv für die Kamera kaufen. Ein bestimmtes Modell, was schon seit Jahren nicht mehr gebaut wird, kaum bekannt ist, deshalb preisgünstig, und trotzdem von ordentlicher Qualität. Also guck ich bei eBay rein, und tatsächlich, es wird ein solches Objektiv angeboten. Von einem Fotohändler in New York. Das Mindestgebot erträglich, Auktion läuft heute ab, gestern abend hatte noch keiner geboten. Prima. Und der Dollarkurs ist auch günstig. Wunderbar.

Also wollte ich gestern abend bieten. Doch kaum hatte ich mein Gebot eingebeben, erschien da eine Meldung. Der Verkäufer habe bestimmte Sicherheitsanforderungen gestellt, die ich nicht erfüllen würde. Es dürften nur Käufer bieten, die ein Paypal-Konto hätten. Ich habe aber eins. Nun ließ einem die Meldung zwei Möglichkeiten offen: Entweder man hat noch kein Konto und eröffnet eins, oder man hat eins und “verbindet” es mit seinem eBay-Konto. Also klicke ich auf Verbinden und komme sofort an ein Paypal-Login, wo ich das Paßwort angeben soll. Da geht doch gleich der Phishing-Alarm los, ist das vielleicht ne krumme Masche zum Abgreifen des Paßwortes? Kann aber nichts ernsthaft verdächtiges finden. Also spielen wir mit, ich will das Objektiv nämlich haben. Also habe ich das Konto “verbunden” und will erneut bieten.

Es geht nicht. Wieder dieselbe Fehlermeldung.

Das Spiel wiederholt sich fünfmal, jedesmal probiere ich an den Einstellungen herum. Denn eigentlich habe ich meinen Browser aus Sicherheitsgründen so eingestellt, daß er Javascript per Default nicht ausführt und man das für jede Domain separat freischalten muß.

Die Jungs von Paypal und eBay scheinen aber nicht so doll drauf zu sein was die Sicherheit betrifft. Denn alles in allem muß man 5 oder 6 verschiedene Domains für JavaScript (zumindest probeweise) freischalten um nach dem Fehler zu suchen. ebay.de, ebaystatic.com und noch ein paar. Eigentlich ein böser Security-Fehler, denn das erschwert es ungemein, “echte” von Phishing-Domains zu unterscheiden, und Phishing-Angriffe gegen eBay und Paypal-Accounts gibt’s ja nun genug. Warum sind die dann nicht in der Lage, das alles unter eine oder zwei leicht erkennbare Domains zu packen? Mehr als ebay.de und ebay.com dürfte da eigentlich nicht auftauchen, aber das Konzept der subdomains hat sich noch nicht zu allen Internet-Größen herumgesprochen. Warum bekommen die das nicht ordentlich hin? Oder haben die da gar kein echtes Interesse dran? Ist denen das am Ende schnurzpiepegal?

Jedenfalls tut es selbst dann nicht, wenn man alles freischaltet. Geht einfach nicht.

Nun will ich bei eBay eine Fehlermeldung anbringen. Geht auch nicht. Die für das Impressum eigentlich vorgeschriebene Adresse zur schnellen elektronischen Kontaktaufnahme fehlt. Seltsam. Da gibt es Horden von Anwälten, die eBay-Käufer und Verkäufer wegen jeder Kleinigkeit abmahnen, aber an eBay selbst scheint sich keiner heranzutrauen und die mal zu einem ordentlichen Impressum zu bewegen.

Es gibt nur so ne dämliche Kontaktfunktion, die schlimmer zugenagelt ist als der Harem eines Großwesirs aus 1001 Nacht. Man kann eigentlich gar kein Problem angeben, sondern muß aus den von eBay angebotenen Problemlisten auswählen. Und keine paßt. Und selbst dann bekommt man nur automatisierte Antworten vorgegeben. Irgendwie gibt es dann am hintersten Ende doch eine Möglichkeit, so eine winzige Fehlermeldung einzugeben, bei der unerbittlich der Zeichenzähler unten mitzählt. Also losgeschickt.

Aber nein, kein Mensch antwortet. Der nächste Robot schickt mir eine Liste bekloppter Lösungsversuche, die nicht entfernt was mit meinem Problem zu tun haben. Wenn ich darunter nichts finde, möge ich doch bitte mit meiner bei eBay registrierten E-Mail-Adresse antworten und zum 97. Mal bestätigen, daß ich immer noch eine Frage habe. Das ist nicht ganz so einfach, denn aus Sicherheitsgründen verwende ich nicht meine normale E-Mail-Adresse, sondern einen Alias. Das Mailsystem so zu ändern, daß er dafür die andere Absenderadresse einsetzt, ist mir jetzt aber auch zuviel Aufwand. Die Kerle wollen einfach nicht erreichbar sein. Es interessiert die nicht, welche Probleme es gibt. Hauptsache der Umsatz stimmt.

Ach ja, man kann noch anrufen, 01805 irgendwas. Aber erst nach 9.00 morgens. Da bin ich schon bei der Arbeit. Und vom meinem Bürotelefon werd ich ganz sicher keine privat-teuren Gespräche führen. Handy wäre eine Alternative, aber da steht dann, daß es aus den Mobilnetzen mehr kosten würde. Was’n Scheiß.

Also gucken wir mal bei Paypal, ob man bei denen was erreicht. Nein, die sind auch nicht erreichbar. Die Kontaktfunktion ist auf Kategorien beschränkt, die nicht passen. Außerdem muß man die Frage in einen einzelnen Satz packen und das Eingabefeld ist so kurz, daß ich den Vorgang unmöglich darin beschreiben kann. Auch Paypal ist de facto elektronisch nicht erreichbar. Eigentlich müßte man eBay und Paypal den Betrieb in Deutschland untersagen, bis sie ihrer Impressums- und damit Kontaktpflicht nachkommen.

Ich will das Objektiv aber haben.

Auch Paypal hat so ne 01805-Nummer. Immerhin sind die morgens schon ab 8.30 erreichbar. Reicht gerade. Also rufe ich da an.

Gedudel. Für x Cent pro Minute.

Dann meldet sich ein Sprachcomputer. Der will von mir wissen, welches Problem ich habe und gibt mir ein paar Kategorien vor. Paßt wieder keine. Er will aber eine wissen. Also nenne ich die nächstliegende. Die digitale Nervensäge fängt an, mir ellenlange Tipps und Hinweise runterzubeten, wie man mit seinem Paßwort umgehen sollte usw., die aber alle nichts mit meinem Problem zu tun haben. Das Ding quatscht und quatscht für x Cent pro Minute.

Irgendwann hab ich dann doch mal einen echten Menschen an der Strippe. (Oder kam mir jedenfalls so vor. Vielleicht wars auch nur die teurere neuere Version des Sprachroboters, falls die jetzt den Turing-Test schaffen…) Eine sehr freundliche junge Frau. (Oder deren täuschend echte Simulation.) Ich erläutere ihr das Problem. Für x Cent pro Minute.

Sie hört sich das an und bestätigt, daß es so ein Problem gab, daß das aber längst behoben sei. Nöh, sag ich, ich habe es eben probiert, es geht nicht. Moment, sie muß da Rückfrage nehmen. Gedudel. Für x Cent pro Minute. Gedudel. “Danke Herr Danisch, daß Sie gewartet haben.” Ähm, ja, die Rückfrage bei der Technik habe ergeben, daß das mit der Bindung der Konten nicht funktioniert, sie bekommen es nicht hin. Warum, will ich wissen, verlangt man dann diese Bindung vom Kunden, wenn man es doch nicht hinbekommt? Das, so die Antwort, sei eine sehr gute Frage, auf die man aber keine Antwort habe. (Sowas hör ich öfter.)

Ja, wie kann ich denn nun auf dieses Objektiv bieten? Ähm, ja, nun, *drucks herum* — es geht nicht. Ich kann, so werde ich beschieden, derzeit und auf absehbare Zeit nicht auf dieses Objektiv bieten. Daran könne man auch nichts machen. Man sei halt derzeit einfach nicht in der Lage, das hinzubekommen.

Das Objektiv habe ich nicht bekommen.

Ich habe die Leute bei eBay und Paypal nicht mal elektronisch erreicht. Nur per 01805-Anruf.

Klar, wenn man seinen eigenen Laden nicht in Betrieb halten kann, muß man natürlich mit vielen Kundenbeschwerden rechnen und irgendwie damit umgehen. Am besten, indem man nicht erreichbar ist.

Irgendwie scheint das eBay-Modell gerade zu kippen, die kommen mit den Sicherheitsmaßnahmen gegen die übergroße Kriminalität nicht mehr hinterher. Und das scheint sie auch nicht zu stören.

Aber warum werden die nicht mal extra saftig abgemahnt, bis die endlich auf normalem Wege erreichbar sind?
Warum setzt nicht mal jemand durch, daß man eBay und Paypal in Deutschland dicht macht bis die richtig erreichbar sind?

Kürzlich hatte ich mal einen Streitfall. Ich hab mir Fotozubehör bestellt. So Kleinkrams eben. Aus Hongkong. Da gibt es jede Menge Fotohändler, die Zubehör von Fremdherstellern günstig anbieten. Beispielsweise ist ein Fernauslöserkabel von den Kameraherstellern schweineteuer, vom Fremdhersteller kostet es nur einen Bruchteil. Und ist dabei mitunter sogar von besserer Qualität. Diesmal gab’s dann den ersten Hong-Kong-Ärger. Ich habe einen Haufen Kleinkram bestellt, der umgerechnet jeweils so zwischen 1 und 5 Euro, auch mal bis 10 Euro kostet. Als Versandkosten stand da was von ca. 15 Euro, aber bei meinen bisherigen Bestellungen wurde das immer zu einer Kiste zusammengefaßt, und war dann im Endeffekt immer noch günstig, weil sich die Versandkosten auf viele kleine Sachen verteilten.

Nicht so beim letzten Mal. Da kostete die Bestellung im Ergebnis ungefähr dreimal so viel wie die Summe der Einzelposten, weil der Verkäufer zu allen Teilen die volle Versandpauschale draufschlug. Und das betrug ein Vielfaches dessen, was ein Päckchen aus HongKong nach Deutschland kostet. Das ist nämlich nicht teuer.

Also hab ich gemeckert. Keine Antwort zur Sache, dafür ne Beschwerde vom Händler über mich, weil ich nicht zahlte. Behauptete dann gegeüber eBay, wir hätten uns darauf geeinigt, daß ich die Sachen nicht mehr haben will, und wir den Streit beigelegt hätten, was nicht stimmte. Also hab ich weiter gemeckert und gefordert, er soll mal einen ordentlichen Versandpreis machen, das könne nicht angehen, daß er falsche Preise angibt und in Wirklichkeit die Preise in den mehr als doppelt so hohen Versandkosten versteckt werden. Sogar eBay verbietet das in seinen Bestimmungen. Es kam eine kleinlaute Antwort aus HongKong, daß er das nicht machen könnte, so weit mit den Preisen herunterzugehen, bis er auf seinen eigenen eBay-Shop-Preisen und regulärem Versand sei. Also von vornherein ein Schwindel.

eBay interessierte das nicht. Da gab es nur einen Schlichtungsroboter, den überhaupt nicht interessierte, was man reinschreibt, sondern nur, ob man innerhalb gewisser Zeit irgendetwas antwortet. Primitiver Automat.

Insofern ist eBay selbst eigentlich nicht mehr als brauchbar anzusehen. Das Problem sind nicht mehr die (gar nicht wenigen) schwarzen Schafe auf Käufer- und Verkäuferseite. Das Problem ist zunehmend eBay selbst.