faq
PayPal machte zuletzt mit möglichen Datenlecks und Sicherheitsproblemen Schlagzeilen. Wie sicher ist Bezahlen über PayPal eigentlich? Welche Rechte haben Kunden? Fragen und Antworten.
Etwa 30 Millionen Menschen in Deutschland nutzen PayPal. Der US-Dienstleister hat sich längst etabliert – bei Kunden und Händlern. PayPal gilt als wichtigster Online-Zahlungsdienst auf dem deutschen Markt. Doch zuletzt machte PayPal Schlagzeilen mit einem möglichen Datenleck und Ausfällen der Sicherheitssysteme.
Was war passiert?
Am Mittwoch war bekannt geworden, dass Sicherheitssysteme bei PayPal ausgefallen sind. Deutsche Banken hatten daraufhin Transaktionen des Zahlungsabwicklers in Milliardenhöhe blockiert. Wie zuerst die Süddeutsche Zeitung berichtete, ging es um Lastschriften, bei denen PayPal das Geld vom Bankkonto der Kunden einzieht, nachdem diese zum Beispiel Waren im Internet bestellt haben. Die Blockade hatte erhebliche Auswirkungen auf den Zahlungsverkehr in ganz Europa und insbesondere auch in Deutschland.
In der Woche zuvor war ein mögliches Datenleck bei PayPal bekannt geworden. Hacker boten im Darknet angeblich gestohlene Zugangsdaten von 15,8 Millionen Paypal-Konten zum Verkauf an. Ob es wirklich einen Datendiebstahl gab, ist bislang nicht klar. IT-Experten vermuten, dass Schadsoftware dahinterstecken könnten und nicht ein Datenleck bei PayPal. PayPal selbst hat sich bislang nicht zu dem Vorfall geäußert.
Wie sicher ist PayPal?
„Grundsätzlich ist PayPal eine sichere Zahlungsmethode und all die Jahre in der Nutzung bislang auch unauffällig gewesen“, sagt Dennis Kipker, IT-Experte vom Forschungsinstitut cyberintelligence in Frankfurt zu tagesschau.de. Positiv zu bewerten sei die Abwicklung von Transaktionen durch eine durchgängige Verschlüsselung, der Käuferschutz sowie die Zwei-Faktor-Authentisierung beim Login, so Kipker.
„Ein Problem ist jedoch: Sobald sich ein Cyberkrimineller einmal Zugang zu einem PayPal-Konto verschaffen konnte, eröffnen sich erhebliche Missbrauchspotenziale“, so Kipker weiter. So lassen sich theoretisch hohe Beträge zunächst unbemerkt abbuchen, soweit die Kunden nicht regelmäßig ihre Kontostände überprüfen.
Ist PayPal für Probleme gewappnet?
Zu den bekannt gewordenen Problemen bei PayPal sagt der IT-Experte: „Dass das Betrugserkennungssystem bei PayPal ausgefallen ist, ist als ein schwerwiegender Sicherheitsmangel des Zahlungsdienstleisters zu bewerten.“ Ein solcher Vorfall dürfe bei einem Anbieter dieser Größe nicht passieren, der technische Stand der Cybersicherheit müsse entsprechend sein.
„Auch die Krisenkommunikation lässt deutlich zu wünschen übrig, indem unklare Nachrichten an die Nutzer verschickt und keine Hinweise darauf gegeben werden, wie das eigene Konto effektiv geschützt werden kann und ob es von dem Vorfall betroffen ist“, so Kipker.
Was bedeuten die Probleme für Verbraucher?
Kriminelle könnten die bei Datenlecks erbeuteten Daten für gezielte Phishing-Angriffe nutzen: Etwa, indem sie eine gefälschte E-Mail im Namen von PayPal schicken, die dazu auffordert, unter einem gefälschten Link weitere sensible Daten einzugeben. Außerdem könnten Diebe erbeutete Passwörter bei weiteren Online-Diensten eingeben und versuchen Zugang zu erlangen.
„Kriminelle nutzen die Unsicherheit gezielt aus. Bereits in den letzten Tagen kursierten Massenmails, die angeblich von PayPal stammen und mit der aktuellen Störung begründet werden“, teilte die Verbraucherzentrale mit.
Auch technische Ausfälle bei PayPal können erhebliche Folgen für Verbraucher haben. Schon kurzfristige Probleme im Sicherheitssystem könnten von Betrügern genutzt werden, sagt Guido Lenné, Anwalt für Bank- und Kapitalmarktrecht zu tagesschau.de. „Denkbar wäre die Einlösung unautorisierter – also betrügerischer – Lastschriften, wenn Sicherheitssysteme bei PayPal solche nicht erkennen.“
Wie lässt sich das Konto schützen?
Im Falle eines möglichen Datenklaus rät die Verbraucherzentrale dazu, das Passwort zu ändern. Es sollte ein starkes Passwort bestehend aus mindestens zwölf Zeichen mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen sein. Die Änderung ist laut Paypal allerdings nicht in der App möglich. Sie funktioniert ausschließlich über die Webseite von PayPal.
Außerdem sei es ratsam, die Zwei-Faktor-Authentifizierung zu aktivieren, so die Verbraucherzentrale. „Dies erschwert Angreifern den Zugriff, selbst wenn sie das Passwort kennen, da der zweite Faktor fehlt.“
Man sollte zusätzlich auf unbekannte Logins achten und keine Links in E-Mails anklicken. Auch das Nutzen eines Passwort-Managers oder Passkeys sei sinnvoll. Dies erleichtere das sichere Speichern und Verwenden von starken Passwörtern.
Was kann man als Kunde sonst noch machen?
Anwalt Guido Lenné rät außerdem: Kunden sollten unbedingt ihre Konten im Blick halten und fehlerhafte Lastschriften zurückrufen. „Das geht acht Wochen lang problemlos im eigenen Onlinebanking zum Referenzkonto“, so Lenné.
Entsprechende Internet-Dienste ermöglichen Nutzern außerdem eine Überprüfung, ob ihre E-Mail-Adresse oder weitere Dateien bei einem Hacker-Angriff gestohlen wurden. Dazu eignet sich zum Beispiel der Dienst HaveIBeenPwned. Im Fall PayPal ist das zwar aktuell noch nicht möglich. Die Dienste werden jedoch regelmäßig aktualisiert.
Welche Rechte habe ich?
Verbraucher können unberechtigte Lastschriften und Abbuchungen direkt bei PayPal melden. Zum Beispiel dann, wenn kein Abbuchungsauftrag erteilt wurde. „Sobald Sie eine nicht genehmigte Transaktion gemeldet haben, untersuchen wir diese. Sie erhalten innerhalb von zehn Tagen eine E-Mail“, teilt PayPal dazu online mit.
Der Kundenservice bei PayPal sei jedoch oft schlecht, kritisiert Anwalt Lenné. In vielen Fällen erstatte der Dienstleister das Geld nicht zurück – trotz unberechtigter Abbuchungen. Deshalb seien oft rechtliche Schritte notwendig. „Für entstehende Schäden kann PayPal haftbar gemacht werden. Verbraucher können in Deutschland klagen“, so Lenné.
Welche Alternativen zu PayPal gibt es?
Ein europäischer PayPal-Konkurrent ist Wero. Auch Wero ermöglicht Zahlungen in Echtzeit an eine Handynummer oder E-Mail-Adresse. Die klassische Überweisung oder eine Kontonummer des Empfängers braucht man dazu nicht. Wero ist Anfang Juli vergangenen Jahres an den Start gegangen.
Die Verbreitung von Wero läuft bislang allerdings eher schleppend. In Deutschland können Kunden der Deutschen Bank, ING-Bank, Sparkassen sowie Volks- und Raiffeisenbanken den Dienst nutzen. Bislang gibt es etwa zwei Millionen Nutzer. Doch Händler nutzen Wero bislang kaum.
Eine weitere Alternative ist die Funktion „Sofort Bezahlen“ von Klarna. Dort muss man die eigene Bank auswählen und die Online-Banking-Daten eingeben. Anschließend wird die Überweisung über Klarna abgewickelt und der Händler erhält eine sofortige Bestätigung. Das Geld wird nach einigen Tagen vom Konto abgebucht. Auch Google Pay, Apple Pay und Samsung Pay sind mögliche Alternativen.
Wie gut sind die Alternativen?
Wero habe den Vorteil, dass sensible Finanztransaktionsdaten nicht in das außereuropäische Ausland übermittelt werden, sagt IT-Experte Kipker. Hier liege im Sinne des Datenschutzes ein großer Vorteil gegenüber PayPal.
„Lösungen wie Apple Pay und Google Pay haben den Vorteil, dass sie wie digitale Geldbörsen funktionieren und durch biometrische Identifizierungsmerkmale erst einmal eine hohe Sicherheit und Usability aufweisen“, so Kipker weiter. Problematisch sei hier aber, dass sie an bestimmte Betriebssysteme gebunden sind und nach wie vor nicht bei allen Händlern funktionieren.
„Allgemein gesprochen gibt es in der Nutzung von Technik keine garantierte hundertprozentige Sicherheit“, sagt Duc Au, Dozent für Banking and Finance an der Hochschule FOM für Oekonomie & Management in Frankfurt am Main. Technische Angriffspotenziale oder Performance-Risiken gäbe es immer, das sei kein spezifisches Problem bei PayPal. Als Nutzer von Bezahldiensten sei man daher gut beraten, die eigenen Transaktionen regelmäßig zu überwachen und zu überprüfen.
