Nach den aktuellen Ereignissen stellen sich viele User die Frage: Wie sicher ist #PayPal als Zahlungsmethode eigentlich und kann ich es weiterverwenden? In meiner Einschätzung für die Finanzredaktion der #Tagesschau gelange ich zum Ergebnis: Ja, man kann PayPal durchaus weiterverwenden, aber richtig umgegangen ist das Unternehmen mit der Situation trotzdem nicht.
Zwar ist PayPal grundsätzlich eine hinreichend sichere Zahlungsmethode und all die Jahre in der Nutzung bislang auch weitestgehend unauffällig gewesen, indem bei der Abwicklung von Transaktionen beispielsweise eine durchgängige Verschlüsselung und eine Zwei-Faktor-Authentisierung für den Login angeboten wird.
Problem jedoch: Sobald sich ein Cyberkrimineller einmal Zugang zu einem PayPal-Konto verschaffen konnte, eröffnen sich erhebliche Missbrauchspotenziale, da die Zahlungen zwischen PayPal und dem Kunden über ein Lastschriftmandat abgewickelt werden, wodurch sich theoretisch hohe Beträge zunächst unbemerkt abbuchen lassen, soweit die Kunden nicht regelmäßig ihre Kontostände überprüfen.
Bei dem jüngsten Vorfall, bei dem 15 Millionen Zugangsdaten für PayPal durch #Cyberkriminelle im Darknet veröffentlicht wurden, gibt es bislang keine Hinweise auf eine direkte Sicherheitslücke bei PayPal selbst. Vielmehr ist davon auszugehen, dass Daten aus vergangenen Datenlecks und Hacks neu zusammengetragen und kombiniert wurden, teilweise dürften hierbei auch die Endgeräte der Nutzer selbst kompromittiert worden sein.
Dabei kann man davon ausgehen, dass auch eine Vielzahl funktionierender Zugangsdaten vorhanden ist. Gerade bei Kunden, die somit keine mehrstufige Authentisierung für ihr Kundenkonto eingerichtet haben und deren Passwort kompromittiert wurde, ergeben sich dadurch erhebliche Sicherheitsrisiken, die hier auch ausgenutzt worden sein könnten.
Dass das Betrugserkennungssystem bei PayPal ausgefallen ist, ist als ein schwerwiegender Sicherheitsmangel des Zahlungsdienstleisters zu bewerten. Gemessen am Gesamttransaktionsvolumen dürfte ein solcher Vorfall, ohne dass entsprechend redundante Sekundärsysteme vorhanden sind, definitiv nicht dem technischen Stand der #Cybersicherheit entsprechen, der an einen Anbieter dieser Größe anzulegen ist.
Auch die #Krisenkommunikation lässt deutlich zu wünschen übrig, indem unklare Nachrichten an die Nutzer verschickt und keine Hinweise darauf gegeben werden, wie das eigene Konto effektiv geschützt werden kann und ob es von dem Vorfall betroffen ist.
https://www.tagesschau.de/wirtschaft/verbraucher/paypal-sicherheit-nutzer-ausfaelle-100.html
#denniskenjikipker #cyberresilience #cyberintelligence #cyberintelligenceinstitute #frankfurt #bremen