Web

Bezahlverfahren im Web

Wie sicher sind Paypal & Co?

23.04.2011
Von 
Uli Ries ist freier Journalist in München.

Wie sicher ist Paypal?

Insbesondere der Platzhirsch ist immer wieder Ziel von Angriffen. Wobei hier gar nicht die Serverinfrastruktur aufs Korn genommen werden muss, so wie es die Wikileaks-Sympathisanten getan haben. Denn Paypal-Konten sind klassisch nur mit Benutzernamen und Kennwort gesichert. Michael Barrett, der CISO (Chief Information Security Officer) von Paypal, sagte im Rahmen einer Podiumsdiskussion, dass sein Unternehmen den Kunden zwar Sicherheitstipps wie den Einsatz von schwer zu knackenden Passworten an die Hand gibt. Gleichzeitig ist Barrett aber auch klar, dass damit schon das Ende der Fahnenstange erreicht ist. Denn ein komplexeres Login-Verfahren oder durchgehende Zwei-Faktor-Authentisierung würden wahrscheinlich zu viele Kunden verschrecken.

Also setzt Paypal auf die Analyse von Transaktionen. Das Unternehmen versucht, auffällige Muster im Verhalten seiner Kunden zu erkennen: Ein Paypal-Nutzer überweist monatelang zumeist am Abend vom heimischen PC kleinere Beträge und loggt sich dann sofort wieder aus. Plötzlich soll eine Transaktion über eine größere Summe unter Tags von einem anderen Ort ausgeführt werden - das System schlägt Alarm. Laut Barrett sind solche Analysen aufwändig und teuer, gleichzeitig aber das einzige Mittel, das Unternehmen wie Paypal bleibt. An Verfahren wie Device-ID oder Sicherheitstokens glaubt Barrett nicht, da sie früher oder später auch umgangen würden. Paypal bietet jedoch ein Token von Verisign gegen Zahlung von 4,95 Euro.

Skeptisch ist der CISO auch, was die Sicherheit von Smartphones angeht: "Die Frage ist nicht, ob diese Geräte attackiert werden. Es geht nur noch um das Wann", so Barrett während der RSA Conference 2011.