Paypal – die einstige Tochtergesellschaft des US-Unternehmens eBay ist fast schon bekannter als der ehemalige Mutterkonzern. Bei 230 Millionen Mitgliedskonten in 193 Nationen – 15 Millionen davon in Deutschland – und 25 Währungen verwundert dies nicht. Der Bezahldienstleister wirbt fast schon aggressiv mit dem bekannten „Paypal-Kundenschutz“. Doch wie sicher ist PayPal wirklich – leere Werbeversprechen oder eine sichere Alternative zu anderen Bezahlvarianten?  

Wie funktioniert PayPal?

Die Grundlage für das kalifornische Online-Bezahlsystem bildet das sog. PayPal-Konto. Hierbei handelt es sich allerdings um ein virtuelles Konto. Es gibt keine Kontonummer oder IBAN – vielmehr wird die Identität des PayPal-Kontos durch die E-Mail-Adresse des PayPal-Mitglieds definiert. Analog zu einem herkömmlichen Bankkonto, werden auch beim PayPal-Konto Zahlungen an Dritte getätigt oder Geldanweisungen empfangen. Dabei fungiert PayPal als Dienstleister für den (Geld-) Transfer.

Der elementare Vorteil bei diesem Verfahren liegt darin, dass die über PayPal getätigten Zahlungen sofort beim Zahlungsempfänger gutgeschrieben werden. Aus diesem Grund entfällt die sonst bei Überweisungen übliche Banklaufzeit. Im Ergebnis führt die Verwendung von PayPal zu einer Verkürzung der Lieferzeit – da im Onlineshop getätigte Käufe schnell bezahlt und die Ware direkt nach der Zahlung versendet werden kann. Dadurch verkürzt sich für den Käufer die Lieferzeit und der Verkäufer erhält schneller als bei einer gewöhnlichen Banküberweisung die Kaufpreiszahlung.

Kritik – sicher oder nicht sicher?

Gerade im Vergleich mit anderen Zahlungsmöglichkeiten – wie der Sofortüberweisung – zeigt sich PayPal auf den ersten Blick als verhältnismäßig sicher. Beispielsweise wird bei jedem Bankkonto, welches zum ersten Mal bei PayPal hinterlegt wird, zunächst eine Testüberweisung mit einem speziellen Code durchgeführt. Hierdurch soll ausgeschlossen werden, dass bei PayPal fremde Bankkonten als Referenzkonto eingetragen werden.

Allerdings muss aber auch bei PayPal auf Probleme hinsichtlich der Datensicherheit hingewiesen werden.

Grundsätzlich können bei PayPal neben Bankkonten auch alle bekannten Kreditkarten (Visa, Mastercard …) hinterlegt werden. Daraus folgt nur logisch – wer Zugang zum PayPal-Konto (E-Mail-Adresse und Passwort) besitzt, dem ist ebenso der Zugriff auf alle hinterlegten Konten und Kreditkarten gewährt. In einem aktuellen Fall berichtet der Sicherheitsexperte Brian Krebs, dass sich Unbefugte Zugriff auf sein PayPal-Konto verschafften. Hierfür wandten sich die Hacker direkt an den PayPal-Support und gaben vor, Brian Krebs zu sein. Der Mitarbeiter wurde aufgefordert das Passwort zu ändern, da der vermeintliche Brian Krebs es vergessen habe. Um das Passwort ändern zu lassen, musste der Hacker nicht mehr als die letzten vier Ziffern von dessen Sozialversicherungsnummer und die letzten vier Ziffern eines älteren Kreditkartenkontos nennen. Diese Angaben fanden sich mit etwas Aufwand in den Weiten des Internets. Doch dieser Vorgang hätte sich nicht ereignet, wenn PayPal auf Authentifizierungsverfahren mit mehreren Faktoren und persönlichen Merkmalen setzen würde. Ebenso könnte auf ein ähnliches Verfahren, wie es beim Online-Banking eingesetzt wird – mobilTAN – zurückgegriffen werden, um zu verhindern, dass Dritte unbefugten Zugriff auf ein PayPal-Konto bekommen. Gerade eine Kombination aus mehreren Verfahren oder sogar mehreren Geräten, die schon einzeln als relativ sicher eingestuft werden, würde in der Summe die Sicherheit erhöhen.

Krebs fragte den Paypal-Manager beim Support, warum das Unternehmen seine Identität nicht einfach durch eine an sein Mobiltelefon gesandte Textnachricht oder ein besonderes Signal an eine mobile Paypal-App identifizieren könnte. Er erfuhr, dass der Bezahldienst über keine Technologien für mobile Authentifizierung verfüge.

Fazit und Empfehlungen – in drei Schritten zu mehr Sicherheit

Am Ende wird also auch PayPal zum Verhängnis, dass sobald ein dritter Dienstleister am digitalen Zahlungsverkehr beteiligt wird, auch eine Gefahr der Cyberkriminalität droht.

Daher sollten Sie die folgenden drei Hinweise beachten:

1. Sorgen Sie für einen gesicherten Zugang zu Ihrem PayPal-Konto. Hierfür sollten Sie zunächst ein sicheres Passwort verwenden und keine E-Mail-Adresse, die Sie im Internet mit anderen Konto in Verbindung bringt (z.B. bei Sozialen Netzwerken).
2. Wählen Sie sorgfältig und nicht inflationär Ihre Referenzkonten. Hinterlegen Sie so wenig Kreditkarten und Konten, wie möglich – nur dadurch können Sie einen Überblick behalten und nicht autorisierte Zahlungen entdecken.
3. Überwachen Sie stets Ihre Kontoaktivität. Dies können Sie am besten, wenn Sie die beim PayPal-Konto hinterlegte E-Mail-Adresse regelmäßig – beispielsweise auf Ihrem Smartphone – abrufen. Bei Unregelmäßigkeiten (wie unautorisierten Zahlungen oder fremden Passwortänderungen) können Sie auf diesem Wege direkt eingreifen und im schlimmsten Fall – wie bei Brian Krebs – Ihr Konto oder Ihre Kreditkarte sperren.

__

Lesen Sie auch meinen Artikel zu den Risiken der „Sofortüberweisung“ und „Paydirekt„.

__

Bildquelle

Pixabay (CCO Public Domain)

__