Google Pay & PayPal: Eine verheerende Sicherheitslücke, offene Fragen & das Google Pay-Problem in Deutschland
Die Woche hätte für Google Pay-Nutzer kaum dramatischer beginnen können, denn im schlimmsten Fall wurden sie darüber informiert, dass sie kürzlich eine Zahlung von teilweise über 2.000 Euro freigegeben und in die USA gesendet haben. Nach zwei Tagen war das Problem angeblich aufgeklärt, was schnell widerlegt wurde. Es bleibt also bei vielen Nutzern nun ein gesundes Misstrauen. Es zeigt auch, dass zu viele Zwischenhändler und komplizierte Konstrukte immer Risiken bergen.
Google Pay erfreut sich in Deutschland seit dem Start im vergangenen Jahr sehr großer Beliebtheit und wird von vielen Nutzern vor allem zur Zahlung von Einkäufen im stationären Handel verwendet. Die Plattform kann aber auch auf vielen Webseiten und Onlineshops zur Zahlung verwendet werden und kann in beiden Fällen in Kombination mit PayPal verwendet werden. Auch bei zahlreichen deutschen Online-Casinos wird Google Pay als Einzahlungsmethode angeboten. Diese Kombination wird vor allem deshalb nötig, weil viele Kunden in Deutschland kaum eine andere Möglichkeit haben.
Nutzer von Google Pay & PayPal mussten Anfang der Woche erst einmal schlucken, denn auf zahlreichen Konten waren Zahlungen in verschiedensten Höhen an die US-Supermarktkette Target verzeichnet. Die Bandbreite reichte von wenigen Euro bis hin zu 1.700 Euro und es konnten durchaus auch mehrere Transaktionen pro Konto sein, sodass in Summe bis zu 2.000 Euro vom Konto abgegangen sind. Da kann man als betroffener Nutzer sicher schnell ins Schwitzen kommen.
Weil sich sehr viele betroffene Nutzer gemeldet haben und das Thema wenige Stunden später durch die Medien ging, konnte man sich als Betroffener eigentlich recht sicher sein, dass das Problem schnell geklärt wird. Wie es bei einem Einzelfall wäre, will ich an dieser Stelle nicht beurteilen. Tatsächlich konnte Paypal zwei Tage später Entwarnung geben und hat angegeben, das Problem gelöst zu haben. Alle betroffenen Nutzer sollen die unberechtigt überwiesenen Beträge zurück erhalten.
Das war dann auch schon alles. Es gab keine Entschuldigung und keine weiteren Details. Zwar wurde das Problem gelöst und schlussendlich hat kein Nutzer einen Schaden davongetragen, aber mehr Details wären dann doch sehr wünschenswert gewesen wären. Immerhin geht es hier nicht um irgendeinen unwichtigen Account, sondern um Zahlungsdienstleister und (sehr viel) Geld. Und wenig später dann die Meldung, dass die Sicherheitslücke nicht gestopft ist.
Bei vielen Betroffenen dürfte nun das ungute Gefühl bleiben, dass solche und ähnliche Vorfälle immer wieder geschehen können. Insbesondere wenn man die Vorgeschichte kennt, das PayPal die Sicherheitslücke seit über einem Jahr kannte und trotz mehrmaliger Nachfrage des Entdeckers offenbar niemals gestopft hat. Das hat sich nun gerächt und der eigentlich in den letzten Jahren wieder angestiegene Ruf von PayPal hat einen Knacks erhalten. Problematisch ist auch, dass nicht bekannt ist, ob alle betroffenen Nutzer – auch wenn sie es vielleicht nicht bemerkt und dementsprechend nicht gemeldet haben – Ersatz erhalten werden.
Woher kamen die Kreditkarten-Daten?
Wie der Angriff funktioniert hat, ist mittlerweile bekannt. Unbekannt ist allerdings die Herkunft der Kreditkarten-Daten – und das ist vielleicht das größere Problem. Irgendein Angreifer hat nun möglicherweise die Kreditkarten-Daten zahlreicher Betroffener und könnte damit vielleicht auch an anderer Stelle Schaden anrichten. Ob PayPal Informationen über die Quelle hat, ist nicht bekannt und wurde vom Unternehmen nicht mitgeteilt. Auch über die Drahtzieher, und ob das Unternehmen rechtliche Schritte eingeleitet hat, hat man sich nicht geäußert.
Nach allem was bekannt ist, waren nur deutsche Nutzer betroffen. Warum? Wurden die Daten tatsächlich auf dem abenteuerlichen Weg der manipulierten Lesegeräte abgegriffen? Wurde ein deutscher Onlineshop gehackt, ohne dass es jemand bemerkt hat? Oder wurden die Zahlen tatsächlich einfach nur geraten. Wie der Entdecker der Lücke mitgeteilt hat, waren die ersten acht Zahlen aller virtuellen PayPal-Kreditkarten stets dieselben. Es mussten also „nur“ sieben Nummern und sieben verschiedene Gültigkeitsdaten geraten bzw. ausprobiert werden. Wenn ein Brute-Force möglich sein sollte, ohne dass die Systeme Alarm geschlagen haben, wäre das die denkbarste Variante.
Sind zu viele Zwischenhändler im Spiel?
Wenn man über das Konstrukt nachdenkt, dass zahlreiche Menschen zur Zahlung per Smartphone verwenden, kann einem fast schon schwindlig werden. Der Nutzer hält im stationären Handel nur das Smartphone auf das Lesegerät und hat seine Aufgabe damit erfüllt, aber im Hintergrund wird ein riesiger Rattenschwanz angehängt und es sind zahlreiche Dienstleister und Unternehmen an der Zahlung beteiligt. Das macht die Sache natürlich nicht unbedingt sicher. Je mehr Zwischenschritte, desto anfälliger wird das System.
Der Ablauf
Der Nutzer legt sein Smartphone auf das Lesegerät. Google Pay wird aktiv und verwendet die hinterlegte Kreditkarte. Die virtuelle PayPal-Kreditkarte belastet den Betrag auf dem PayPal-Konto. PayPal bucht das Geld vom Bankkonto des Nutzers ab. Aber auch auf der Seite des Händlers gibt es häufig Zwischenhändler: Das Lesegerät wird von einem Dienstleister betreiben, der die Überprüfung der Karte übernimmt. Dieser arbeitet (in einigen Fällen) mit einem weiteren Zahlungsdienstleister zusammen, der dann erst das Geld auf das Bankkonto des Händlers überweist.
Da kann einem schon fast schwindlig werden.
Das deutsche Google Pay-Problem
Einige dieser Zwischenschritte ließen sich sehr einfach umgehen, wenn die Banken in Deutschland mit Google Pay kooperieren würden, denn dann könnten die Nutzer ihre Kreditkarte direkt hinterlegen und wären nicht auf PayPal angewiesen. Aus kaum nachvollziehbaren Gründen sträuben sich aber viele Banken dagegen und möchten jeweils eigene Bezahllösungen etablieren. Das ist natürlich legitim, macht die Sache aber für die Nutzer unnötig kompliziert.
Können wir nun etwas aus der ganzen Angelegenheit lernen? Vielleicht nur, dass auch die Bezahlsysteme der globalen Unternehmen nicht unbedingt sicher sind und man im Betrugsfall als kleiner Kunde im Regen stehengelassen wird. Man kann von Glück reden, dass alles früh entdeckt wurde und somit kein echter Schaden entstanden ist – zumindest kein Bekannter. Ob PayPal das Geld ebenfalls zurückholen konnte oder nun aus eigener Tasche erstattet, ist ja aufgrund der dürftigen Informationen nicht bekannt.
Zur Verteidigung muss man aber sagen, dass auch die jahrelang etablierten „klassischen“ Zahlungsmöglichkeiten nicht frei von Problemen sind. Kartenbetrug gibt es seit Jahrzehnten und häufig ist man als Kunde der Dumme. Bargeld hingegen kann geklaut werden, man kann unbemerkt von einem Handelspartner Falschgeld bekommen oder man verliert es selbst. Hilft also nur eins: Stets wachsam sein, ganz egal welche Bezahlmethode zum Einsatz kommt.
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Ich war auch von dem Betrug betroffen, knapp 1000€ wurden mir abgebucht und angeblich an Target gezahlt.
Ich habe das Geld von PayPal zurück erhalten, hatte bis dahin aber eine Menge Arbeit. Über 4 Stunden!! Telefonate mit PayPal und Google bis die Sache geklärt war. Zeit, die man als Arbeitnehmer ja während der normalen Geschäftszeiten nicht hat. Glücklicherweise hatte ich zufällig an dem Tag sowieso Urlaub und konnte mir die Zeit nehmen.
Das erste was mir unangenehm aufgefallen ist, dass weder Google noch PayPal am Wochenende oder Abends telefonisch erreichbar sind. Nicht Mal eine Hotline für Notfälle wie solche gibt es. Das war mir bis dato nicht bekannt und finde ich für Konzerne solcher Größe, die weltweit agieren einfach nur arm.
Zahldienste wie Google pay und PayPal waren mir im Grunde nie angenehm und ich habe sie nur selten benutzt und nur dann wenn es keine andere Zahlungsmöglichkeit für mich gab.
Das es seitens PayPal keine Entschuldigung und keine ausreichende Erklärung für diesen ganzen Vorfall gab und wohl auch nicht geben wird finde ich ebenfalls sehr arm.
Und das die genutzte Sicherheitslücke seit 1 Jahr bekannt war und trotzdem nicht geschlossen wurde und möglicherweise immer noch offensteht macht mich sprachlos.
Welche Schlüsse habe ich für mich daraus gezogen? Ich habe mich bei Google pay und PayPal abgemeldet und werde die Dienste nicht mehr nutzen. Dann muss ich eben Mal auf ein Produkt verzichten wenn es dafür keine andere für mich mögliche Zahlungsmethode gibt.
Und lokal zahle ich ohnehin stets nur mit Bargeld und nie digital mit dem Smartphone und nur im Notfall mit EC-Karte.
3 Gründe warum:
1. um Betrug wie diesem hier Geschehenen vorzubeugen
2. weil Banken, Regierung und weiß wer noch das Bargeld am liebsten abschaffen würden, dem muss man entgegenwirken
3. Damit die Bank nicht weiß wofür man sein Geld ausgibt (wer schon einmal einen Kredit für ein Haus, ein Auto oder für irgendetwas anderes benötigt hat weiß was ich meine)
Dieser Schritt mag jetzt sehr altmodisch erscheinen, aber ich gehe die Entwicklung der Handys/Smartphones und des Internets seit über 20 Jahren mit und bin technisch sehr interessiert und versiert. Allerdings wenn es um mein Geld geht dann geht Sicherheit vor.
Im schlimmsten Falle hätte mich PayPal auch im Regen stehen lassen können und dann wären die 1000€ futsch gewesen und ich hätte den Schaden gehabt.
So etwas möchte ich schlichtweg nicht riskieren.