Die Woche hätte für Google Pay-Nutzer kaum dramatischer beginnen können, denn im schlimmsten Fall wurden sie darüber informiert, dass sie kürzlich eine Zahlung von teilweise über 2.000 Euro freigegeben und in die USA gesendet haben. Nach zwei Tagen war das Problem angeblich aufgeklärt, was schnell widerlegt wurde. Es bleibt also bei vielen Nutzern nun ein gesundes Misstrauen. Es zeigt auch, dass zu viele Zwischenhändler und komplizierte Konstrukte immer Risiken bergen.
Google Pay erfreut sich in Deutschland seit dem Start im vergangenen Jahr sehr großer Beliebtheit und wird von vielen Nutzern vor allem zur Zahlung von Einkäufen im stationären Handel verwendet. Die Plattform kann aber auch auf vielen Webseiten und Onlineshops zur Zahlung verwendet werden und kann in beiden Fällen in Kombination mit PayPal verwendet werden. Auch bei zahlreichen deutschen Online-Casinos wird Google Pay als Einzahlungsmethode angeboten. Diese Kombination wird vor allem deshalb nötig, weil viele Kunden in Deutschland kaum eine andere Möglichkeit haben.
Nutzer von Google Pay & PayPal mussten Anfang der Woche erst einmal schlucken, denn auf zahlreichen Konten waren Zahlungen in verschiedensten Höhen an die US-Supermarktkette Target verzeichnet. Die Bandbreite reichte von wenigen Euro bis hin zu 1.700 Euro und es konnten durchaus auch mehrere Transaktionen pro Konto sein, sodass in Summe bis zu 2.000 Euro vom Konto abgegangen sind. Da kann man als betroffener Nutzer sicher schnell ins Schwitzen kommen.
Weil sich sehr viele betroffene Nutzer gemeldet haben und das Thema wenige Stunden später durch die Medien ging, konnte man sich als Betroffener eigentlich recht sicher sein, dass das Problem schnell geklärt wird. Wie es bei einem Einzelfall wäre, will ich an dieser Stelle nicht beurteilen. Tatsächlich konnte Paypal zwei Tage später Entwarnung geben und hat angegeben, das Problem gelöst zu haben. Alle betroffenen Nutzer sollen die unberechtigt überwiesenen Beträge zurück erhalten.
Das war dann auch schon alles. Es gab keine Entschuldigung und keine weiteren Details. Zwar wurde das Problem gelöst und schlussendlich hat kein Nutzer einen Schaden davongetragen, aber mehr Details wären dann doch sehr wünschenswert gewesen wären. Immerhin geht es hier nicht um irgendeinen unwichtigen Account, sondern um Zahlungsdienstleister und (sehr viel) Geld. Und wenig später dann die Meldung, dass die Sicherheitslücke nicht gestopft ist.
Bei vielen Betroffenen dürfte nun das ungute Gefühl bleiben, dass solche und ähnliche Vorfälle immer wieder geschehen können. Insbesondere wenn man die Vorgeschichte kennt, das PayPal die Sicherheitslücke seit über einem Jahr kannte und trotz mehrmaliger Nachfrage des Entdeckers offenbar niemals gestopft hat. Das hat sich nun gerächt und der eigentlich in den letzten Jahren wieder angestiegene Ruf von PayPal hat einen Knacks erhalten. Problematisch ist auch, dass nicht bekannt ist, ob alle betroffenen Nutzer – auch wenn sie es vielleicht nicht bemerkt und dementsprechend nicht gemeldet haben – Ersatz erhalten werden.
Woher kamen die Kreditkarten-Daten?
Wie der Angriff funktioniert hat, ist mittlerweile bekannt. Unbekannt ist allerdings die Herkunft der Kreditkarten-Daten – und das ist vielleicht das größere Problem. Irgendein Angreifer hat nun möglicherweise die Kreditkarten-Daten zahlreicher Betroffener und könnte damit vielleicht auch an anderer Stelle Schaden anrichten. Ob PayPal Informationen über die Quelle hat, ist nicht bekannt und wurde vom Unternehmen nicht mitgeteilt. Auch über die Drahtzieher, und ob das Unternehmen rechtliche Schritte eingeleitet hat, hat man sich nicht geäußert.
Nach allem was bekannt ist, waren nur deutsche Nutzer betroffen. Warum? Wurden die Daten tatsächlich auf dem abenteuerlichen Weg der manipulierten Lesegeräte abgegriffen? Wurde ein deutscher Onlineshop gehackt, ohne dass es jemand bemerkt hat? Oder wurden die Zahlen tatsächlich einfach nur geraten. Wie der Entdecker der Lücke mitgeteilt hat, waren die ersten acht Zahlen aller virtuellen PayPal-Kreditkarten stets dieselben. Es mussten also „nur“ sieben Nummern und sieben verschiedene Gültigkeitsdaten geraten bzw. ausprobiert werden. Wenn ein Brute-Force möglich sein sollte, ohne dass die Systeme Alarm geschlagen haben, wäre das die denkbarste Variante.
Sind zu viele Zwischenhändler im Spiel?
Wenn man über das Konstrukt nachdenkt, dass zahlreiche Menschen zur Zahlung per Smartphone verwenden, kann einem fast schon schwindlig werden. Der Nutzer hält im stationären Handel nur das Smartphone auf das Lesegerät und hat seine Aufgabe damit erfüllt, aber im Hintergrund wird ein riesiger Rattenschwanz angehängt und es sind zahlreiche Dienstleister und Unternehmen an der Zahlung beteiligt. Das macht die Sache natürlich nicht unbedingt sicher. Je mehr Zwischenschritte, desto anfälliger wird das System.
Der Ablauf
Der Nutzer legt sein Smartphone auf das Lesegerät. Google Pay wird aktiv und verwendet die hinterlegte Kreditkarte. Die virtuelle PayPal-Kreditkarte belastet den Betrag auf dem PayPal-Konto. PayPal bucht das Geld vom Bankkonto des Nutzers ab. Aber auch auf der Seite des Händlers gibt es häufig Zwischenhändler: Das Lesegerät wird von einem Dienstleister betreiben, der die Überprüfung der Karte übernimmt. Dieser arbeitet (in einigen Fällen) mit einem weiteren Zahlungsdienstleister zusammen, der dann erst das Geld auf das Bankkonto des Händlers überweist.
Da kann einem schon fast schwindlig werden.
Das deutsche Google Pay-Problem
Einige dieser Zwischenschritte ließen sich sehr einfach umgehen, wenn die Banken in Deutschland mit Google Pay kooperieren würden, denn dann könnten die Nutzer ihre Kreditkarte direkt hinterlegen und wären nicht auf PayPal angewiesen. Aus kaum nachvollziehbaren Gründen sträuben sich aber viele Banken dagegen und möchten jeweils eigene Bezahllösungen etablieren. Das ist natürlich legitim, macht die Sache aber für die Nutzer unnötig kompliziert.
Können wir nun etwas aus der ganzen Angelegenheit lernen? Vielleicht nur, dass auch die Bezahlsysteme der globalen Unternehmen nicht unbedingt sicher sind und man im Betrugsfall als kleiner Kunde im Regen stehengelassen wird. Man kann von Glück reden, dass alles früh entdeckt wurde und somit kein echter Schaden entstanden ist – zumindest kein Bekannter. Ob PayPal das Geld ebenfalls zurückholen konnte oder nun aus eigener Tasche erstattet, ist ja aufgrund der dürftigen Informationen nicht bekannt.
Zur Verteidigung muss man aber sagen, dass auch die jahrelang etablierten „klassischen“ Zahlungsmöglichkeiten nicht frei von Problemen sind. Kartenbetrug gibt es seit Jahrzehnten und häufig ist man als Kunde der Dumme. Bargeld hingegen kann geklaut werden, man kann unbemerkt von einem Handelspartner Falschgeld bekommen oder man verliert es selbst. Hilft also nur eins: Stets wachsam sein, ganz egal welche Bezahlmethode zum Einsatz kommt.