
Was im August passiert ist – und was nicht
Im Spätsommer machte die Meldung die Runde, im Untergrund seien Datensätze zu rund 15,8 Millionen PayPal-Zugängen aufgetaucht – E-Mail-Adressen, Passwörter im Klartext und paypalspezifische URLs, angeboten für einen Spottpreis. Das ließ viele Nutzende an einen gigantischen PayPal-Hack denken. Bei näherem Hinsehen ergibt sich jedoch ein anderes Bild: Sicherheitsexperten weisen darauf hin, dass die Passwortformate und die unstrukturierte Zusammenstellung eher auf “Info-Stealer” hindeuten – also Schadsoftware, die Zugangsdaten direkt von infizierten Endgeräten absaugt und dabei alte, bereits anderswo geleakte Logins zu Paketen zusammenwürfelt. Kurz: Sehr wahrscheinlich kein Einbruch bei PayPal, sondern Beute von kompromittierten Rechnern.
Zweiter Vorfall: gestörte Betrugsprävention und teure Folgen
Nahezu zeitgleich kam es bei PayPal zu Störungen in Systemen, die eigentlich betrügerische Zahlungen erkennen und ausfiltern. Banken reagierten, limitierten oder blockierten Lastschriften in großer Höhe – Händler warteten auf Auszahlungen oder bekamen sie verspätet. PayPal kündigte an, berechtigte Transaktionen vollständig zu regulieren. Auch wenn hier kein Datendiebstahl vorlag, zeigt der Vorfall, wie empfindlich Zahlungsflüsse auf Störungen reagieren – und wie schnell Verunsicherung um sich greift.
Wie Kriminelle die Verunsicherung ausnutzen
Phasen erhöhter Aufmerksamkeit rund um einen großen Dienst sind für Täter ein ideales Sprungbrett.
Phishing mit aktuellem Vorwand. Gefälschte Mails im Look von PayPal behaupten eine vorsorgliche Sperre nach einem „Sicherheitsvorfall“ und drängen zu einer „Identitätsbestätigung“. Die verlinkten Seiten sind täuschend echt gestaltet, inkl. Schlösschen-Symbolen und gefakter SSL-Anmutung.
Telefon-Social-Engineering. Anrufe angeblicher Bank- oder PayPal-Mitarbeitender zielen auf TANs, Einmalcodes oder die Installation von Fernwartungssoftware. Weil Angreifer aus Datensammlungen bereits Namen und E-Mail kennen, wirken sie glaubwürdig.
Credential-Stuffing. Wiederverwendete Passwörter sind der Joker der Angreifer: Ein einmal erbeuteter Login wird automatisiert gegen viele Dienste getestet – von Shops bis Streaming. Wer dasselbe Passwort mehrfach nutzt, fällt schnell in Kettenangriffe.
Sofortmaßnahmen: das Wichtigste in kurzer Folge
Passwort neu setzen. Erstellen Sie ein starkes, einzigartiges PayPal-Kennwort – unabhängig davon, ob Sie betroffen sind. So entziehen Sie alten Leaks automatisch die Grundlage.
Zwei-Faktor-Authentifizierung aktivieren. 2FA blockiert Logins selbst dann, wenn ein Passwort bekannt ist. In den PayPal-Einstellungen ist sie in wenigen Schritten eingeschaltet.
Kontobewegungen prüfen. Werfen Sie einen Blick auf die letzten Wochen: unbekannte Zahlungen sofort über PayPal melden und – falls nötig – Zahlungsquellen (Karten, Bankkonto) temporär trennen.
Langfristige Sicherheitsroutine statt Einmal-Aktion
Ein Passwort pro Dienst. Nutzen Sie für jede Plattform ein eigenes Kennwort. Passwort-Manager wie KeePass, Bitwarden oder LastPass nehmen Ihnen die Merk-Arbeit ab und generieren starke Kombinationen.
Schützen Sie das Master-Konto: Ihre E-Mail. Wer die zu PayPal verknüpfte Mailadresse übernimmt, setzt Passwortrücksetzungen durch. Also auch dort: starkes Passwort, 2FA, Wiederherstellungsoptionen prüfen.
Updates konsequent einspielen. Betriebssystem, Browser und Apps aktuell halten; ein seriöser Virenschutz kann Info-Stealer früh stoppen.
Regelmäßige Schnell-Checks. Einmal im Monat die wichtigsten Konten durchgehen: ungewöhnliche Transaktionen, Änderungen an Adressen/Telefonnummern, neue Geräte oder Sitzungen.
Wachsam im Alltag: typische Fallen erkennen
Keine Daten am Telefon. Bei Sicherheitsanrufen auflegen und selbst die offizielle Nummer wählen. Echte Support-Mitarbeitende verlangen keine TANs oder Remote-Zugriff.
Links misstrauen. Nicht aus Mails/SMS klicken, sondern Adresse manuell eintippen oder die App öffnen. Absenderadresse genau prüfen – minimale Schreibfehler sind ein Warnsignal.
Gerätehygiene bei Verdacht. Wenn Sie den Eindruck haben, dass PC oder Smartphone kompromittiert sind, trennen Sie Zahlungsquellen, ändern Sie Passwörter auf einem sauberen Gerät und lassen Sie das betroffene System professionell prüfen.
Fazit: Sicherheit ist ein Prozess, kein Produkt
Der Lärm um angeblich „gehackte“ PayPal-Konten zeigt vor allem eines: Das schwächste Glied sind oft nicht die Rechenzentren, sondern unsere eigenen Geräte und Gewohnheiten. Wer einzigartige Passwörter nutzt, 2FA einschaltet, Updates pflegt und bei unerwarteten Aufforderungen Ruhe bewahrt, reduziert sein Risiko drastisch – bei PayPal und überall sonst.

