Ist PayPal sicher? Moderne Banking Sicherheit erklärt (2021)

Ist PayPal sicher - Hacking Series Steffen Lippke

Ist PayPal sicher?

Dieser Beitrag erklärt Dir, wie PayPal Deine Transaktionen schützt und …

… was PayPal besser macht als viele Banken.

Starten wir!

Was gilt als die sicherste Zahlungsmethode?

Die sicherste Zahlungsmethode ist eine Liefer-Rechnung, die Du mit PayPal zahlen kannst.

Du zahlst das Produkt nur, wenn der Händler das Produkt geliefert hat. Normalerweise hast Du zwei Wochen oder mehr Zeit die Rechnung mit PayPal zu begleichen. Die Zeit nutzt Du am besten für Deine Produkttests.

Mehr und mehr Händler scheuen sich vor der Rechnung, weil viele Kunden nicht zahlen und der Verkäufer ein Mahnverfahren einleiten muss.

PayPal Wall – Ist PayPal sicher?

Funken auf einem sicheren Kanal – HTTPS

PayPal nutzt auf ihren Webseiten das Verschlüsselungsprotokoll HTTPs (Hypertext Transport Protocol secure).

00 HTTPs -Ist PayPal sicher?  Steffen Lippke
00 HTTPs -Ist PayPal sicher? Steffen Lippke

Ein Krimineller kann die Leitung zwischen dem PayPal Server und den Kunden abhören, wenn PayPal nur das normale HTTP ohne s verwendet. HTTPs nutzt die Transport Layer Security (TLS). Dein Browser schlägt dem Server vor, welche Algorithmen der Browser versteht, um einen geschützten Kanal aufzubauen.

TLS nutzt eine hybride Verschlüsselung. Hybrid bedeutet, dass der Server das sichere und langsame RSA-Verfahren zum Schlüsseltausuch verwendet. Im Anschluss verschlüsselt der Server jegliche folgende Kommunikation mit dem neuen Schlüssel und dem Advanced Encryption Standard (AES) die Kommunikation, welche eine hohe Sicherheit aufweist.

SMS-Tan als zweiten Faktor

Wenn Du Dich neue bei PayPal anmeldest, fragt Dich PayPal nach Deiner Handy-Nummer. Damit will das Unternehmen sicherstellen, dass Du eine echte Person bist.

01 SMS Tan - Wie sicher ist PayPal Steffen Lippke
01 SMS Tan – Wie sicher ist PayPal Steffen Lippke

Bei der nächsten Anmeldung überprüft PayPal, ob ein Krimineller an Dein Passwort durch einen Phishing-Angriff oder Brute-Force Angriff gekommen ist. Das Smartphone bzw. die SIM-Karte im Smartphone dient als ein zweiter Faktor (Besitz), an welche ein Hacker nur mit höheren Hürden kommt.

Abstraktion zwischen E-Mail-Adresse und Kontonummer

Bei PayPal nutzt Du nicht eine Kontonummer, sondern Deine wohlbekannte und merkbare E-Mail-Adresse. Dir kann jeder auf Dein PayPal Konto Geld senden, wenn die E-Mail-Adresse bekannt ist.

Geheimhaltung der IBAN oder ähnlichen Nummern ist nicht mehr notwendig.Nur durch ein explizites PayPal-Abo kann Dir ein Unternehmen automatisch Geldabbuchen. Auf der anderen Seite hast Du den Überblick über Deine monatlichen Kosten.

Bist Du es auch? Cookie-Wiedererkennung

Der PayPal Server erkennt Deinen Browser wieder. Dafür nutzt der Browser Cookies.

04 Ein paar viele Cookies - Wie sicher ist PayPal Steffen Lippke
04 Ein paar viele Cookies – Wie sicher ist PayPal Steffen Lippke

Cookies sind kleine Dateien, die ein Server in Deinem Browser speichern kann. Diese sind bei Logins (Online-Banking) zwingend notwendig, damit der Nutzer nicht bei jeder Interaktion das Passwort eingeben muss. Der Grund hier für ist, dass HTTP(s) zustandslos ist – aber gut skaliert.

Der Server weiß nicht, ob Du die Seite geöffnet hast oder der Computer schon ausgeschaltet ist. Nach einer bestimmten Zeit (z. B. 5 Minuten) loggt der Server Die automatisch aus, und das Cookie erklärt PayPal als abgelaufen.

Verdacht bei Anmeldung von unbekannten Geräten/Ländern

Selbst wenn der Angreifer Deine PIN und SIM hat, dann meldet sich PayPal bei Dir mit einer E-Mail. PayPal merkt sich aus, welchen Land Du Dich anmeldest und welchen Browser Du verwendest. Falls PayPal eine neue Anmeldung als ungewöhnliche klassifiziert, dann bekommst Du eine E-Mail.

Keinen Fehler machen – Dein Passwort (Mindeststandard)

PayPal sollte das verwendete Passwort auf „Kompromentiertheit“ überprüfen. In der Vergangenheit haben Kriminelle Datenbanken mit vielen Millionen Klartext-Passwörter erbeutet, die im Internet frei zugänglich sind (komprementiert). Falls Dein gewähltes Passwort unter diesen Passwörtern sich befindet, kannst Du diese nicht nutzten bzw. PayPal fordert Dich auf dieses zu ändern.

Das virtuelle schwebende Konto – 60 Tage Rückabwicklung

PayPal hält Kaufabwicklungen zwischen Verkäufer und Käufer in der Schwebe. Der Käufer sendet das Geld und der Verkäufer sieht es nach kurzer Zeit.

05 Käuferschutz PayPal - Wie sicher ist PayPal Steffen Lippke
05 Käuferschutz PayPal – Wie sicher ist PayPal Steffen Lippke

Das Geld steht dem Verkäufer noch nicht zur Verfügung, weil der Käufer bei Nicht-Erhalt der Ware sein Geld zurückholen kann.

Sinnvoller Sicherheitsbonus – Bug Bounty Programm

PayPal nutzt im Gegensatz zu vielen anderen Banken ein Bug Bounty Programm. Sie zahlen freiwilligen Hackern Geld dafür, wenn diese Schwachstellen finden. Diese Hacker nennen viel Ethical Hacker (, obwohl die Bezeichnung nicht passend ist). Ethical Hacker möchten keinen Schaden anrichten, sondern das Unternehmen auf Lücken hinweisen, die Kriminelle ausnutzen können.

06 Hackerone PayPal - Wie sicher ist PayPal Steffen Lippke
06 Hackerone PayPal – Wie sicher ist PayPal Steffen Lippke

Sie untersuchen die Implementierung von PayPal und versuchen sich ohne Passwort in Demo-Accounts zu hacken. Die Erkenntnisse, die ein Hacker zusammen tragen konnte, kann der Hacker mit einer Dokumentation dem Unternehmen (auf verschlüsselten Weg) melden.

PayPal zahlt dem Hacker dafür eine Prämie. Je gravierender die Lücke, desto mehr Geld gibt es. Je nach Schwachstellen-Typen gibt PayPal bestimmte Entlohnungen an, um freiwillige Hacker zu motivieren.

Die Schwachstellen bessern die Entwickler möglichst zeitnah aus, damit ein Krimineller die Lücke nicht vorher auch noch findet oder bereits ausnutzt.

Das ist für das Unternehmen nicht billig, vermeidet aber den viel teuren (Image-)Schaden bei einem Hacker durch Kriminelle entsteht.

FAQ zu Sicherheit PayPal

Ist PayPal nicht zu „unerfahren“?

Das Unternehmen gibt es seit 1998 und hat jetzt mehr als 20 Jahre Erfahrung mit der IT-Sicherheit. Außerdem besitzt PayPal eine Bankenlizenz in Deutschland.

Jeder Bank in Deutschland ist zu einem Mindeststandard an IT-Sicherheit verpflichtet, bei dem das Bundesamt für Sicherheit in der Informationstechnik ein sehr hohes Niveau verlangt.

Was ist mit den PayPal Betrugsmaschen?

PayPal bietet den Nutzer eine sichere Plattform für Transaktionen an.

Wenn ein Opfer auf einen Online-Versandhändler reinfällt, dann kann das PayPal das Geld zurückholen. Manche Buchungen laufen wegen menschlichen Fehlern falsch. Das liegt aber nicht an PayPal, sondern den Nutzern selber.

Was ist ein PayPal Phishing E-Mail?

Phishing-Angriffe mit PayPal-Schein-Emails sind inzwischen zum Standard geworden.

Kriminelle geben sich als PayPal-Support aus und fragen die Nutzer, ob der Nutzer sich bei seinem / ihrem Account anmelden können. Sie geben dazu Scheingründe an:

„Sie müssen eine Transaktion entgegennehmen.“

„Es gab eine Transaktion auf ihrem Konto“

Diese Behauptungen sind absoluter Quatsch und das echte PayPal würde nie seine Nutzer in einer Mail auffordern sich bei PayPal anzumelden.

Warum kostet PayPal oft extra?

PayPal ist in der Regel für die Kunden kostenlos und für die Käufer zahlungspflichtig.

Der Preis pro Transaktion geben die Händler oft an den Kunden weiter, damit dieser die Vorkasse mit Überweisung wählt, welche für den Händler am günstigsten ist.

Bei dubiosen und unbekannten Händlern solltest Du PayPal mit oder ohne Aufschlag immer bevorzugen, damit Du keine bösen Überraschungen erlebst.


Danke fürs Lesen! Erhalte weitere Tutorials in meinem kostenlosen Newsletter.
Jeden Monat teile ich mit Dir 4 neue praxisnahe Tutorials.
Trage Deine Mail zum kostenlosen Empfang des Newsletters* ein.




Quellenangabe Bilder: Icons und SVG-Grafiken im Titelbild von Microsoft PowerPoint 2019, frei verfügbar nach EULA
*) Mit dem Abonnement des Newsletters erklären Sie sich mit der Analyse des Newsletters durch individuelle Messung, Speicherung und Analyse von Öffnungsraten und der Klickraten in Profilen zu Zwecken der Gestaltung künftig besserer Newsletter einverstanden. Sie können die Einwilligung in den Empfang des Newsletters und die Messung mit Wirkung für die Zukunft widerrufen. Mehr in der Datenschutzerklärung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.


Jeden Monat teile ich mit 156.443 Mitgliedern
4 neue praxisnahe Tutorials.


Trage Deine Mail, damit Du
Deine Coding + Hacking Skills erweitern kannst!