Mögliches Datenleck bei Paypal: So prüfen Sie, ob Sie betroffen sind

Hannover. Ist es bei Paypal zu einem massiven Abfluss an Nutzerdaten gekommen? Zumindest behauptet ein Krimineller in einem Untergrundforum, rund 16 Millionen Paypal-Zugangsdaten inklusive Klartext-Passwörtern abgegriffen zu haben - und bietet das Datenpaket zum Kauf an.

Dass die Daten wirklich aktuell bei Paypal abgegriffen wurden, hält Dirk Knop vom Fachdienst „Heise“ für unwahrscheinlich. Für Nutzerinnen und Nutzer kann es trotzdem sinnvoll sein, auf Nummer sicher zu gehen, einige Sicherheitsüberprüfungen vorzunehmen und gegebenenfalls Vorkehrungen zu treffen.

Verdächtige Aktivitäten umgehend melden

Knop rät Verbraucherinnen und Verbrauchern, die fürchten, dass ihre Zugangsdaten abgeflossen sein könnten, die Mail-Adresse ihres Paypal-Accounts bei Have-I-Been-Pwned einzugeben und prüfen zu lassen, ob diese tatsächlich in der Datensammlung auftaucht. Alternativ oder zusätzlich kann dafür auch der Identity Leak Checker des Hasso-Plattner-Instituts (HPI) genutzt werden.

Ergeben die Suchen einen - oder mehrere - Treffer, sollten Betroffene zunächst ihr Passwort beim jeweils betroffenen Dienst ändern. Um im Zweifel künftig schneller zu sein als potenzielle Angreifer, lohnt es sich, diese Überprüfung regelmäßig proaktiv vorzunehmen und möglicherweise kompromittierte Passwörter zu ändern.

„Eine Prüfung der Transaktionen auf Paypal durch direkten Log-in auf der Webseite kann ebenfalls sinnvoll sein“, sagt Knop. Wer in seinem Account verdächtige Aktivitäten entdeckt, sollte umgehend Paypal kontaktieren und gegebenenfalls bei der örtlichen Polizei oder der Web-Wache seines jeweiligen Bundeslandes Anzeige gegen Unbekannt stellen. „Dazu sind dann Screenshots und das Abspeichern von Kontoauszügen sinnvoll“, so Knop.

So machen Sie es Kriminellen schwerer

Grundsätzlich wichtig: Ein einmal vergebenes Passwort sollten Verbraucherinnen und Verbraucher nicht erneut für einen oder mehrere andere Dienste verwenden - sonst ist es Angreifern ein Leichtes, mit einem Handstreich gleich mehrere Konten zu übernehmen.

Weil sich niemand Dutzende komplizierte Passwörter merken kann, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Einsatz von Passwortmanagern. Alternativ dazu kann man auch mit Hilfe eines Passwortmerkblatts sicherer im Netz unterwegs sein - die Methode dahinter erläutert das BSI auf seiner Website.

Die Zukunft könnte den sogenannten Passkeys gehören: Sie ermöglichen passwortloses Anmelden über ein kryptografisches Schlüsselpaar. Passkeys können nicht einfach erbeutet, gestohlen oder erraten werden. Sie können auch nicht vergessen werden oder zu schwach sein, weil sie automatisch generiert werden.

Passkeys oft auch im Passwortmanager speicherbar

Und so funktionieren Passkeys: Der jeweilige Dienst fragt zur Anmeldung einen beim Nutzer gespeicherten Kryptoschlüssel ab. Die Abfrage muss meist noch freigegeben werden - zum Beispiel bequem per Fingerabdruck. Dann erfolgt der Abgleich mit dem Gegenstück des privaten Schlüssels: dem öffentlichen Kryptoschlüssel, der beim jeweiligen Dienst liegt.

Speichern kann man seine Passkeys auf einem Sicherheits-USB-Stick (FIDO2), in einem (mobilen) Betriebssystem wie Android, iOS/MacOS oder Windows oder in einem kompatiblen Passwortmanager, wobei letztere Variante eine universelle und unabhängige Lösung darstellt.