Der amerikanische Bezahldienst PayPal, der zu eBay gehört, wird weltweit von mehr als 220 Millionen Kunden genutzt . Er wirbt damit, dass bei den Transaktionen " Sicherheit groß geschrieben" werde . Doch gilt das nicht in jedem Fall. Wer mit gestohlener Kreditkarte unter falschem Namen ein Konto anlegt, kann damit ohne gestoppt zu werden für bis zu 1500 Euro einkaufen. Das berichtet das Computermagazin c't in seiner aktuellen Ausgabe.

Die Lücke besteht in der Überprüfung durch PayPal. Zwar checkt man dort die Karte, doch bis das Ergebnis vorliegt, ist sie schon einsetzbar. Das Magazin schildert den Fall einer Frau, der so 195 Euro abgebucht wurden, obwohl sie selbst nie mit PayPal zu tun hatte. Ihre Kartendaten waren von Fremden benutzt worden, um dort ein Konto anzulegen und einzukaufen.

Wie die Staatsanwaltschaft später ermittelte, war der Computer, von dem aus die Einkäufe getätigt wurden, von einem rumänischen Botnet infiziert . Die Täter fand man nicht. Erst nach einer langen Odyssee zwischen Hausbank, Kreditkarten-Anbieter und PayPal wurde der Betroffenen der Schaden erstattet.

Der Bezahldienst prüft Kreditkarten bei der Anmeldung, indem diese mit einem Centbetrag belastet werden. Dabei wird ein Code übermittelt, den der Karteninhaber anschließend zurückmelden muss. Erst dann gilt er als verifizierter Kunde. Das bestätigte auch PayPal dem Magazin: Eine PayPal-Sprecherin sagte, bis eine Verifizierung der Daten erfolgt sei, "gibt es eine Beschränkung für die Zahlung, den Empfang und die Entnahme von Geldern, die der Kunde tätigen kann".

Solange aber kann er mit der Karte schon einkaufen. Die c't schreibt: "Nach unseren Recherchen liegt die Beschränkung für Zahlungen bei 1500 Euro." Ein "solch laxer Umgang" sei erstaunlich, da es nach dem Geldwäschegesetz für Kreditinstitute in Deutschland konkrete Auflagen gebe, sagte c't -Redakteur Axel Kossel. So müsse bei einer Kontoeröffnung in einer Bank die Identität des Kunden mithilfe eines Lichtbildausweises oder einer elektronischen Signatur überprüft werden.

PayPal hat zwei verschiedene Wege der Überprüfung. Bei Angabe eines Girokontos überweist der Dienst Geld an das Konto, das anschließend zurücküberwiesen werden muss. Dazu braucht es tatsächlichen Zugriff auf das Konto. Genau wie bei der Kreditkarte, denn den notwendigen Code gibt es mit der Abrechnung. Das System ist vergleichsweise sicher, nur die Kulanzlücke nicht – die wohl existiert, damit Neukunden PayPal sofort nutzen können und nicht wieder abspringen, bis der Prozess durchlaufen ist.

Update: PayPal erklärte in einer Mitteilung, es genüge nicht, nur eine Kreditkartennummer zu haben. Es brauche zur Anmeldung auch das Ablaufdatum der Karte und den hinten aufgedruckten Prüfcode. Zusätzlich prüfe "ein Risikomodell ob elektronische Lastschrift möglich ist". Im Übrigen sei man kein deutsches Kreditinstitut und damit nicht verpflichtet, sich an die deutschen Geldwäschevorschriften zu halten. Man unterläge dem "europäischem Geldwäsche-Gesetz für e-Geld-Institute" und müsse daher erst ab einem Betrag von 2500 Euro eine Identifizierung vornehmen. Freiwillig habe man diesen Betrag bereits auf 1500 Euro gesenkt.