PayPal reagiert auf die Anschuldigung der vergangenen Tage

Wie das Computermagazin c’t berichtet, gibt es beim Online-Bezahldienst PayPal eine Sicherheitslücke. Aufgrund von Recherchen des Magazins wurde festgestellt, dass man mit gestohlenen Kreditkarten-Daten ohne jedwede Kontrolle von einem fremden Konto bis zu 1.500 Euro abheben kann. Eine PayPal-Sprecherin sagte gegenüber c’t, bis eine Verifizierung der Daten erfolgt sei, „gibt es eine Beschränkung für die Zahlung, den Empfang und die Entnahme von Geldern, die der Kunde tätigen kann“.

Nach dem Geldwäschegesetz für Kreditinstitute gibt es in der Bundesrepublik konkrete Vorschriften, so der c’t-Redakteur Axel Kossel, zu denen unter anderem zählt, dass bei einer Kontoeröffnung die Identität des Kunden mit Hilfe eines Lichtbildausweises oder einer elektronischen Unterzeichnung nachgeprüft werden müsse.

PayPal verifiziert bei einer Kontoeröffnung die angegebenen Daten über Kontrollbuchungen. Hierbei überweist der Online-Bezahldienst geringe Kontrollbeträge auf das Giro- oder Kreditkartenkonto des Kunden. Um sich auszuweisen, muss der Kunde einen Code zurückschicken oder, die auf das Bankkonto überwiesenen Beträge zurückbuchen. Bis die Daten des Kunden verifiziert sind, lässt der Online-Bezahldienst PayPal dem Bericht zufolge allerdings ungeprüft Abbuchungen zu. Geschildert wird in dem Beitrag auch der Fall eines Opfers, von dessen Kreditkarten-Konto im Jahr 2009 195 Euro vom Kriminellen abgehoben wurden. Erst nach langem Hin und Her ist der Geschädigten der Schaden erstattet worden.

Jetzt hat PayPal auf den Bericht über diese Sicherheitslücke reagiert und erklärt, dass es nicht möglich sei, mit einer gestohlenen Kreditkartennummer bei PayPal zu bezahlen. Zum Bezahlen bei PayPal müsse auch immer die Prüfungsnummer (CVC auf der Rückseite der Kreditkarte) und die Gültigkeit der Kreditkarte mit angegeben werden. Der Online-Bezahldienst ist der Ansicht, dass im vorliegenden Fall ein Dritter auf alle auf der Kreditkarte angegebenen Daten Zugriff gehabt haben muss. „Kredit-Institute machen deshalb ausdrücklich darauf aufmerksam, Karten-, Prüfnummer und Gültigkeit der Karte nicht an Unbefugte heraus zu geben“, so PayPal.

Die Verifizierung des Neukunden läuft wie oben schon beschrieben über 2 Belastung der Kreditkarte mit einer geringen Summe. Hierbei erhält er von PayPal einen Code, den er dann wiederum PayPal mitteilen muss, wodurch er sich als Eigner der Kreditkarte ausweist. Ist noch keine Verifizierung erfolgt, dann gibt es laut Angaben von PayPal eine Begrenzung für die Zahlung, den Empfang und die Entnahme von Geldern, die der Verbraucher tätigen kann. Zusätzlich prüfe ein Risikomodell ob elektronische Lastschrift möglich sei, bevor das Konto verifiziert worden ist.

Zu dem Geldwäschegesetz für Kreditinstitute merkt PayPal an: „PayPal ist kein deutsches Kredit-Institut (…) PayPal unterliegt dementsprechend nicht den Geldwäsche-Vorschriften eines deutschen Kreditinstituts, sondern ist verpflichtet, nach europäischem Geldwäsche-Gesetz für e-Geld-Institute eine Identifizierung erst bei einem Betrag von 2.500 Euro durchzuführen. Um Konsumenten und Händler stärker zu schützen überprüft PayPal allerdings freiwillig bereits ab einem Betrag von 1.500 Euro, die Identität des Kontoinhabers.“


Beitrag teilen: