Übernommene PayPal-Accounts
Geändert am 15.01.2008
PayPal-Accounts sind ein beliebtes Ziel für Hackerangriffe und Phishingversuche. Bei einem erfolgreichen Eindringen in einen fremden Account durch das „Erraten“, Phishen oder Ausspähen des Passworts mithilfe eines Trojaners kann ein mutmaßlicher Betrüger sofort überall im Internet Waren einkaufen, denn einzelne Transaktionen sind bei PayPal nicht durch eine weitere Sicherheitsabfrage (wie zum Beispiel das TAN-Verfahren beim Onlinebanking) geschützt.
Die Kosten eines solchen betrügerischen Einkaufs trägt zunächst der rechtmäßige Accountinhaber. Dabei stehen dem Eindringling bei PayPal dieselben Zahlungsquellen zur Verfügung wie dem Besitzer des Accounts, so daß in der Regel dessen Bankkonto und/oder Kreditkarte belastet werden. Auch wenn dies im Einzelfall erhebliche Unannehmlichkeiten bedeuten kann, entstehen daraus keine unmittelbaren finanziellen Verluste. Unberechtigten Lastschriften oder Kreditkartenabbuchungen kann jederzeit bei der Hausbank beziehungsweise der kartenausgebenden Stelle widersprochen werden.
Sollte ein mutmaßlicher Betrüger jedoch einen PayPal-Account mit gespeichertem Guthaben unter seine Kontrolle bringen, liegt der finanzielle Nachteil sofort beim Nutzer. Zwar verspricht PayPal in den Nutzungsbedingungen: »Wir werden Sie nicht für eine unberechtigte Nutzung Ihres Kontos durch einen Dritten haftbar machen, sofern wir davon überzeugt sind, dass Sie dem betreffenden Dritten nicht vorsätzlich Zugang zu Ihrer PayPal-Kennung oder Ihrem Passwort verschafft haben.« Allerdings dauert eine Überprüfung eines verdächtigen Vorgangs in der Regel 20 Werktage. In Ausnahmefällen nimmt sich PayPal sogar bis zu 90 Tage Zeit, um einen Verdacht auf »nicht autorisierte Geschäftsvorgänge« zu überprüfen. Der Nutzer muß in solchen Fällen damit rechnen, sein E-Geld zumindest zeitweise nicht zur Verfügung zu haben.
Die Daten dieses PayPal-Accounts waren für jeden Internet-Nutzer auf einer Phishing-Seite frei zugänglich. Dieses falle-internet.de zur Verfügung gestellte Bildschirmfoto wurde komplett anonymisiert.
Zusätzlich zu kriminellen Angriffen sind PayPal-Accounts und gespeicherte Guthaben auch durch Fehler in der PayPal-Software gefährdet. So berichtete beispielsweise ein PayPal-Kunde, durch einen einfachen Bezahlvorgang bei eBay Zugang zum PayPal-Account eines unbeteiligten Dritten erlangt zu haben:
Der Bericht.
Das Bildschirmfoto aus dem Bericht als Beleg.
Solche Fehler in der Datenverwaltung von PayPal sind nicht nur aus datenschutztechnischen Gründen bedenklich. Vielmehr stellt sich die Frage, ob im Falle eines Systemfehlers überhaupt Beweise erbracht werden können, daß ein Account-Zugriff unberechtigt erfolgte.
Die Beweisführung ist ohnehin das grundsätzliche Problem bei einer unbefugten Account-Nutzung, da der betroffene Kunde selbst keinen Zugang zu den entsprechenden Informationen (Logdateien, IP-Adressen etc.) hat. PayPals Entscheidung darüber, ob eine Zahlung unberechtigt erfolgte, kann der Nutzer weder nachprüfen noch beeinflussen.
Merksätze
PayPal-Guthaben kann im Falle eines unberechtigten Account-Zugriffs sofort für betrügerische Einkäufe ausgegeben werden. Speichern Sie deshalb niemals Guthaben auf Ihrem PayPal-Account.
Querverweise:
PayPal-Nutzungsbedingungen: Irrtümer und nicht autorisierte Geschäftsvorgänge
