[datensicherheit.de, 17.12.2024] Die Verbraucherzentrale Nordrhein-Westfalen (vz NRW) geht in einer aktuellen Stellungnahme auf Vorfälle bei „PayPal“ zum Schaden von Verbrauchern ein, bei denen Cyber-Kriminelle demnach mit fremden Kontodaten im Internet einkaufen und gibt Tipps, wie sich Verbraucher schützen können.

Betrüger missbrauchte alte IBAN beim Online-Shopping über Funktion „Zahlen ohne PayPal-Konto“

Ein Verbraucher aus dem nördlichen Nordrhein-Westfalen sei fassungslos: „Der Zahlungsdienstleister „PayPal“ möchte 56,75 Euro von ihm haben – für einen Einkauf, von dem er nichts weiß.“ Er habe sodann bei „PayPal“ nachgefragt und erfahren, dass das Geld von seinem Bankkonto nicht habe abgebucht werden können. „Das Konto existiert ja auch seit 2018 nicht mehr“, so seine Erklärung gegenüber der vz NRW. Er habe zwar ein „PayPal“-Account, aber seine alte IBAN daraus längst gelöscht.

Dieser Verbraucher habe dann herausgefunden, dass irgendjemand offensichtlich diese alte IBAN beim Online-Shopping über die Funktion „Zahlen ohne PayPal-Konto“ eingegeben habe. Wie die unbekannte Person an diese Daten gekommen sei, wisse er nicht. Bei dieser Methode, auch „Gast-Konto“ oder „Gastzahlung“ genannt, erlaube „PayPal“ das Bezahlen per Lastschrift, ohne dass ein „PayPal“-Konto angelegt werde. „,PayPal’ hat dabei die Rolle eines Zahlungsabwicklers, der dafür zuständig ist, dass die per Lastschrift oder Kreditkarte geleistete Zahlung des Käufers dem ,PayPal’-Konto des Händlers gutgeschrieben wird“, so eine „Paypal“-Sprecherin auf Anfrage der vz NRW.

Auf die Frage „Wird dabei geprüft, ob die angegebene IBAN auch der Person gehört, die gerade die Bestellung tätigt?“ habe „PayPal“ nur allgemein geantwortet: „,PayPal’ führt im Rahmen der Maßnahmen zu Risikomanagement und Betrugsprävention Sicherheitsprüfungen bei der Abwicklung von Zahlungen durch.“

vz NRW gibt generelle Tipps für Verbraucher – „PayPal“ nur ein Beispiel

Wie sich Verbraucher laut vz NRW schützen könnten und was Betroffene tun sollten:

Forderung des Unternehmens widersprechen!
Wer eine unberechtigte Forderung von einem Zahlungsdienstleister oder Online-Shop erhält, sollte nicht einfach zahlen, aber auch nicht untätig bleiben. Betroffene sollten gegenüber dem Unternehmen schriftlich widersprechen, zum Beispiel mithilfe des Musterbriefs der Verbraucherzentrale NRW. Wer bei einer solchen Forderung mit Mahnungen und Schreiben von Inkassobüros oder Rechtsanwälten überhäuft wird, sollte sich auf keinen Fall einschüchtern lassen. Ernst zu nehmen sei vor allem der „echte“, das heißt gerichtliche Mahnbescheid. Dies sei ein amtliches Formular und komme ausschließlich per Postzustellung von einem Gericht. Zu jedem echten gerichtlichen Mahnbescheid werde auch ein Widerspruchsformular mitgeschickt. „Mit diesem Formular können Betroffene innerhalb der 14-tägigen Widerspruchsfrist der Geldforderung widersprechen. Ein echter Mahnbescheid kommt aber nach den Erfahrungen der Verbraucherzentrale NRW nur sehr selten.“ Sollte dies doch geschehen, könnten Betroffene sich an eine örtliche Verbraucherzentrale wenden.

Rückbuchung bei der Bank beantragen!
Jede Abbuchung auf ihrem Konto könnten Verbraucher acht Wochen lang rückgängig machen. „Handelt es sich um eine unberechtigte Abbuchung ohne Einzugsermächtigung, gilt sogar eine Frist von 13 Monaten.“ Die Rückbuchung könne häufig im Online-Banking oder direkt in der Filiale oder per Telefon beantragt werden.

Anzeige erstatten!
Betroffene sollten den Betrug und den Missbrauch ihrer Daten bei der Polizei zur Anzeige bringen. „Falls sie Inkassoforderungen erhalten, können sie diese mit Vorlage der Anzeige bestreiten.“

Vorsichtig mit Kontodaten umgehen!
Grundsätzlich sollten Verbraucher sensible Daten wie die IBAN so selten wie möglich angeben und schon gar nicht irgendwo öffentlich lesbar hinterlassen. „Wenn Daten durch Hacker-Angriffe oder Datenlecks gestohlen werden oder durch erfolgreiches Phishing in fremde Hände gelangen, bleiben nur die oben genannten Empfehlungen.“

Weitere Informationen zum Thema:

verbraucherzentrale Nordrhein-Westfalen, 16.12.2024
Wie Kriminelle das „Bezahlen ohne PayPal-Konto“ missbrauchen / Mit dem Begriff „Gastkonto-Masche“ wird im Internet über einen Betrug via PayPal diskutiert, bei dem Kriminelle fremde IBAN für Einkäufe missbrauchen. Schutz für Betroffene gibt es kaum.

verbraucherzentrale Nordrhein-Westfalen, 05.12.2024
Abzocke online: Rechnung bekommen, aber nichts bestellt – was tun? / Wer eine unberechtigte Forderung eines Onlineshops erhält, sollte nicht einfach zahlen – aber auch nicht untätig bleiben.

[datensicherheit.de, 28.08.2024] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) hat nach eigenen Angaben im August 2024 eine Informationskampagne für rheinland-pfälzische Online-Shops gestartet: „Mehr als 100 Unternehmen wurden zuvor im Rahmen einer Stichprobe auf das Vorhandensein von Gastzugängen in ihren Online-Shops hin überprüft. 13 Unternehmen, bei denen der Landesbeauftragte Mängel feststellte, wurden mit Informationsschreiben auf die Notwendigkeit der Bereitstellung von Gastzugängen für den Bestellprozess hingewiesen.“ Ziel sei die Sensibilisierung der Verantwortlichen und die Verringerung datenschutzrechtlicher Verstöße in diesem Bereich.

Abbildung: DSK

DSK: Auch im Online-Handel gilt der Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c) DS-GVO)!

Kunden sollen frei entscheiden können, ob sie ihre Daten beim Online-Shop hinterlegen!

In vielen Online-Shops ist es gängige Praxis, für Bestellungen ein Kundenkonto anzulegen, welches dann über den einzelnen Kauf hinaus bestehen bleibt. Diese Erstellung eines Kundenkontos kann durchaus mit Vorteilen für den Kunden einhergehen – so ist beispielsweise das weitere Bestellen ohne nochmalige Eingabe aller Daten möglich, bisherige Bestellungen können eingesehen, Bestell- und Lieferstatus können bequem überprüft und favorisierte Artikel abgespeichert werden. Nicht immer möchten Kunden jedoch eine derartige dauerhafte Geschäftsbeziehung eingehen.

„Kundinnen und Kunden müssen frei entscheiden können, ob sie ihre Daten beim Online-Shop hinterlegen möchten oder nicht. Die Möglichkeit der sogenannten Gastbestellung muss beim Einkauf im Internet deshalb immer eine gleichwertige Alternative sein“, betont daher Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz.

Gastzugänge: Pflicht zum Angebot in Datenschutz-Grundverordnung verankert

Er berichtet: „Erfreulich ist, dass nur rund jeder zehnte der in unserer Stichprobe überprüften Online-Shops hier Mängel aufwies. Es zeigt, dass die Unternehmen in Rheinland-Pfalz das Prinzip der Datensparsamkeit grundsätzlich befolgen.“ Mit seiner Kampagne möchte der LfDI RLP demnach nun das Erfordernis der Einrichtung von Gastzugängen auch für die weiteren Anbieter von Online-Shops in Rheinland-Pfalz klarstellen. Professor Kugelmann kommentiert: „Im Kern geht es um die Sicherung der Entscheidungsfreiheit in der digitalen Welt!“

Die Pflicht zum Angebot von Gastzugängen für Online-Bestellungen ergibt sich laut LfDI RLP „aus den Artikeln 5 und 6 der Datenschutz-Grundverordnung“ (DSGVO). Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit könne Verstöße ahnden, Anordnungen treffen und in schwerwiegenden Fällen Geldbußen gegen die Verantwortlichen verhängen.

Weitere Informationen zum Thema:

DSK DATENSCHUTZKONFERENZ
Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder / Hinweise der DSK – Datenschutzkonformer Online-Handel mittels Gastzugang (Stand 24. März 2022)

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Gastbestellungen in Online-Shops

[datensicherheit.de, 01.03.2022] „Eine Umfrage unter 193 deutschen Internetnutzern hat ergeben, dass in deutschen Firmen eine große Sicherheitslücke klafft: Das öffentlich zugängliche WLAN vieler Unternehmen erlaubt es Mitarbeitern und Gästen, mit ihren Privatgeräten auf sensible Firmendaten zuzugreifen“, warnt Tanium in einer aktuellen Stellungnahme. Man bedenke man, dass viele dieser Gäste-WLANs nur mit schwachen oder gar keinen Passwörtern gesichert seien – daher bestehe hierbei eine nicht zu unterschätzende Gefahr für die Datensicherheit.

39% der Befragten können über das öffentliche WLAN ihrer Firma auf sensible Unternehmensdaten zugreifen

Den Untersuchungsergebnissen zufolge betrieben 75 Prozent der deutschen Unternehmen einen separaten WLAN-Zugang für Gäste sowie für die Privatgeräte ihrer Mitarbeiter. „Soweit so gut. Denn in der heutigen Zeit gehört es zum guten Ton, Geschäftspartner und Kunden mit einem Internetzugang zu versorgen, wenn diese zu Besuch sind. Auch die eigenen Mitarbeiter schätzen die Möglichkeit, ihr mobiles Datenvolumen am Arbeitsplatz schonen zu können.“

Problematisch werde es, wenn dieser quasi öffentliche Zugang zum Firmennetz den Zugriff auf unternehmensrelevante Arbeitsdaten ermöglicht. Erstaunliche 39 Prozent der Befragten hätten angegeben, dass sie über das öffentliche WLAN ihrer Firma auf sensible Unternehmensdaten zugreifen könnten. Jeder Server, jedes Netzlaufwerk oder sonstiges mit dem Firmennetz verbundenes Speichermedium könne – ohne dedizierte Sicherheitsmaßnahmen – von unberechtigten Dritten eingesehen werden. 35 Prozent nutzten diese Gelegenheit, navigierten mit ihren privaten Endgeräten in den firmeneigenen Systemen und griffen regelmäßig auf Arbeitsdateien zu.

75% der Befragten über private Smartphones via Firmen-WLAN mit Unternehmensnetz verbunden

Mit 75 Prozent am häufigsten seien private Smartphones über das Firmen-WLAN mit dem Unternehmensnetz verbunden. Auf Platz 2 befänden sich mit 54 Prozent private Laptops, dicht gefolgt von Tablets mit 49 Prozent. Erstaunliche elf Prozent der Befragten hätten darüber hinaus angegeben, dass sich auch Videospielkonsolen im Firmennetz befänden.

„Was gut gemeint ist, kann ohne wasserdichte IT-Sicherheitsmaßnahmen schnell zu einem schweren Datenleck führen, oder das gesamte Firmennetz durch unentdeckte und unwissentlich eingeschleuste Malware kompromittieren. Denn eines der vorrangigen Probleme, mit dem viele Unternehmen in Deutschland kämpfen, ist fehlende Sichtbarkeit aller mit dem Firmennetz verbundenen Endgeräte“, kommentiert Zac Warren, „Senior Director Cybersecurity Advisory EMEA“ bei Tanium.

Ohne umfassenden Überblick auf unregistrierte WLAN-Passanten kann Abfluss von Firmengeheimnissen kaum ausgeschlossen werden

Ohne einen umfassenden Überblick der unregistrierten „Passanten“ könne ein Abfluss von Firmengeheimnissen kaum ausgeschlossen werden. Ebenso verheerend sei es, wenn sich kriminelle Hacker gezielt über Sicherheitslücken in selten oder gar nicht gepatchten Konsolen oder anderen IoT-fähigen Geräten („Smartwatches“etc.) Zugang zum Firmennetz verschafften.

Warren: „Bedenkt man, dass 34 Prozent der Befragten derzeit hybrid arbeiten – 27 Prozent sind wieder ins Büro zurückgekehrt – und sogar 45 Prozent davon ausgehen, in einem halben Jahr hybrid zu arbeiten, müssen Arbeitgeber und IT-Sicherheitsverantwortliche diesen Missstand so bald wie möglich adressieren und ihre IT-Sicherheitsmechanismen eingehend überprüfen.“

Nur wer drei Grundsatzfragen positiv beantworten kann, sollte öffentliches WLAN weiterbetreiben

1. Sehe ich alle Endgeräte im Firmennetz?
2. Sind diese Geräte mit den aktuellen Sicherheitspatches versorgt?
3. Weiß ich, wer sich hinter Anfragen auf Firmendaten verbirgt und kann ich unrechtmäßigen Zugriff verhindern?

Warren unterstreicht abschließend: „Nur wer diese Fragen mit ,ja‘ beantworten kann, sollte sein öffentliches WLAN weiterbetreiben.“ Alle anderen sollten dieses vorerst deaktivieren und ihre IT-Sicherheitsstrategie auf den Prüfstand stellen.