Paypal ist sicherererer - sagt Paypal. Doch so ganz scheint das nicht zu stimmen. Über eine Sicherheitslücke können Betrüger ganz einfach bis zu 1500 Euro abräumen. Die Karteninhaber selbst müssen noch nicht einmal beim Bezahldienst angemeldet sein.

Eigentlich soll PayPal das Bezahlen im Netz sicherer machen. Durch eine Sicherheitslücke sind jedoch Betrügern Tür und Tor geöffnet. Nach Recherchen des Computermagazins "c't" lassen sich mit gestohlenen Kreditkarten-Daten ohne jegliche Überprüfung von einem fremden Konto bis zu 1500 Euro abheben. Soviel dürfen Paypal-Neukunden umsetzen, bis ihre Daten verifiziert sind. Wer sich unter falschem Namen und mit fremden Karteninformationen bei registriert, hat also etwas Zeit, bis die falsche Identität auffliegt.

"c't"-Redakteur Axel Kossel wundert sich über die laxen Regeln bei der Registrierung: "Das ist schon erstaunlich." Nach dem Geldwäschegesetz gebe es für Kreditinstitute in Deutschland konkrete Auflagen. So müsse bei einer Kontoeröffnung die Identität des Kunden mit Hilfe eines Lichtbildausweises oder einer elektronischen Signatur überprüft werden. PayPal verifiziert bei einer Kontoeröffnung die angegebenen Daten über Kontrollbuchungen. Dafür überweist die Ebay-Tochter geringe Kontroll-Beträge auf das Giro- oder Kreditkartenkonto des Kunden. Um sich auszuweisen, muss der Kunde einen Code zurückschicken oder die überwiesenen Beträge zurückbuchen.

Bis die Daten verifiziert sind, lässt PayPal aber innerhalb des 1500 Euro-Rahmens ungeprüft Abbuchungen zu. Falls dabei etwas passiert, sollte der rechtmäßige Karteninhaber eigentlich im Handumdrehen sein Geld zurückbekommen. Doch das scheint nicht immer zu klappen. Die "c't" berichtet von dem Fall einer Frau, die über Monate hingehalten wurde, nachdem Betrüger mit der geklauten Kreditkartennummer eingekauft hatten. Die Geschädigte selbst hatte sich nie bei PayPal angemeldet. Erst nach einer Odyssee zur Hausbank, der Kreditkartenfirma und PayPal erhielt die Bestohlene ihr Geld zurück. "Die Hauptschuld liegt klar bei PayPal", erläutert c't-Redakteur Axel Kossel. Das Unternehmen habe sich inzwischen aber entschuldigt.