[datensicherheit.de, 26.09.2025] „Die temporäre Störung bei ,PayPal’ Ende August wirft ein Schlaglicht auf die Abhängigkeiten im europäischen Zahlungsverkehr“, so Frank Heisel, CEO von RISK IDENT, in seinem aktuellen Kommentar. Ein fehlerhaftes System-Update legte demnach die interne Betrugserkennung lahm – mit der Folge, dass deutsche Banken Transaktionen im zweistelligen Milliardenbereich vorsorglich blockierten. Dieser Vorfall verdeutliche, „wie verwundbar unsere digitale Zahlungsinfrastruktur geworden ist“.

Foto: RISK IDENT

Frank Heisel: Investitionen in robuste Testverfahren, redundante Sicherheitssysteme und durchdachte Notfallpläne sind keine Kür, sondern Pflicht!

Technisches Problem während eines Updates soll Störung bei „PayPal“ verursacht haben

Heisel berichtet: „Nach offiziellen Angaben handelte es sich um ein technisches Problem während eines Updates, das die automatische Prüfung verdächtiger Transaktionen außer Kraft setzte.“ Die Dimension sei indes beachtlich: Allein die Bayerische Landesbank habe Zahlungen in Höhe von etwa vier Milliarden Euro blockiert.

• „Dass solche systemkritischen Komponenten ohne ausreichende Absicherung ausfallen können, sollte der Branche zu denken geben!“ Moderne Zahlungssysteme benötigten nicht nur redundante Sicherheitsmechanismen, sondern auch robuste Rollback-Prozesse für den Ernstfall.

„Bemerkenswert ist, dass letztlich die etablierten Kontrollmechanismen der traditionellen Banken griffen. Ihre Systeme erkannten die anomalen Muster und verhinderten potenzielle Schäden.“ Dies unterstreiche die Bedeutung mehrschichtiger Sicherheitsarchitekturen im Finanzwesen – kein einzelner Akteur sollte zum „Single Point of Failure“ werden können.

Zeitpunkt des „PayPal“-Vorfalls durchaus pikant

Die Informationspolitik während des Vorfalls werfe allerdings Fragen auf. Während PayPal von einer „vorübergehenden Serviceunterbrechung“ gesprochen habe, hätten betroffene Kunden automatisierte Nachrichten über vermeintlich nicht gedeckte Konten erhalten – „inklusive der Ankündigung von Gebühren“. Eine transparentere Kommunikation hätte hier Vertrauen erhalten können, statt zusätzliche Verunsicherung zu schaffen. „Gerade im Finanzsektor ist offene Krisenkommunikation essenziell!“

• Der Zeitpunkt des „PayPal“-Vorfalls sei durchaus pikant: „Parallel etabliert sich mit ,Wero’ gerade eine europäische Alternative im Markt. Die Initiative großer europäischer Banken verzeichnet bereits 43 Millionen Nutzer und wird von Instituten wie der ING als Beitrag zur ,technologischen Souveränität’ positioniert.“

„Ob solche Alternativen langfristig Marktanteile gewinnen, wird auch davon abhängen, wie verlässlich sie operieren können“, gibt Heisel zu bedenken. Eine gewisse Diversifizierung der Zahlungsdienstleister könnte durchaus im Interesse aller Marktteilnehmer liegen. „Wenn der deutsche E-Commerce zu einem erheblichen Teil von einem einzigen Anbieter abhängt, entstehen systemische Risiken, die sich – wie der aktuelle Fall zeigt – schnell materialisieren können.“

„PayPal“-Problem als erneuter Denkzettel zum Thema Abhängigkeiten

Dieser Vorfall sollte Anlass sein, grundsätzliche Fragen zu stellen: „Wie resilient sind unsere digitalen Zahlungssysteme wirklich? Welche Abhängigkeiten haben wir aufgebaut? Und wie können wir sicherstellen, dass technische Updates nicht zu tagelangen Störungen im Wirtschaftskreislauf führen?“

• Für Zahlungsdienstleister bedeutet dies laut Heisel: „Investitionen in robuste Testverfahren, redundante Sicherheitssysteme und durchdachte Notfallpläne sind keine Kür, sondern Pflicht!“

Die nächste Generation der Betrugsprävention müsse nicht nur intelligent, sondern auch ausfallsicher sein. Denn das Vertrauen der Nutzer sei schnell verspielt – und nur mühsam wiederzugewinnen.

Weitere Informationen zum Thema:

RISK IDENT
Das sind wir / Unsere Vision: Eine Welt in der es keinen Online-Betrug mehr gibt!

SECURITY INSIDER
Diese Bedrohungen machen Security-Experten zu schaffen

BR 24, Christian Sachsinger, 27.08.2025
Banken stoppen Paypal-Zahlungen: Deutsche Kunden betroffen / Dem Zahlungsdienstleister Paypal sind offenbar massiv Zahlungen an Kriminelle durchgerutscht. Deutsche Banken haben deshalb den Überweisungsverkehr mit dem US-Unternehmen zeitweise unterbrochen. Das Problem hat Nachwirkungen.

WIKIPEDIA
Wero

datensicherheit.de, 05.09.2025
PayPal-Missbrauch für Betrugsmaschen auf Web-Verkaufsplattformen / Betrüger schicken z.B. – als privater Käufer getarnt – per Chat einen Screenshot mit einem QR-Code, um angeblich den Zahlungseingang über „PayPal“ zu bestätigen

datensicherheit.de, 31.08.2025
PayPal-Zahlungsausfälle: Verbraucherzentrale NRW gibt Betroffenen Empfehlungen / „PayPal“-Kunden sollten regelmäßig das „PayPal“-Konto und das Girokonto auf unberechtigte Abbuchungen und auf den Status offener Zahlungen prüfen

datensicherheit.de, 25.08.2025
Alarm bei PayPal-Kunden: 15,8 Millionen Zugangsdaten im Darknet aufgetaucht / Offenbar massives Datenleck aufgetreten, welches Bedrohung für Millionen von „PayPal“-Nutzern weltweit sein könnte

datensicherheit.de, 25.01.2023
PayPal-Vorfall als Warnung für die Cybersecurity-Welt / Nur wenige Sicherheits-Lösungen, die PayPal tatsächlich selbst umsetzen könnte

[datensicherheit.de, 22.03.2023] Trend Micro hat nach eigenen Angaben eine neue Studie darüber veröffentlicht, wie Cyber-Kriminelle agieren und ihre Aktivitäten finanzieren. Demnach zeigen die Bedrohungsexperten darin, „dass nur zehn Prozent der von Ransomware betroffenen Unternehmen ihre Erpresser tatsächlich bezahlen“. Diese Zahlungen subventionierten jedoch zahlreiche weitere Angriffe.

Abbildung: Trend Micro

Aktuelle Studie von Trend Micro: „What Decision-Makers Need to Know About Ransomware Risk“

Daten und Kennzahlen sollen helfen, Ransomware-Gruppen zu vergleichen und Risiken abzuschätzen

Die Studie enthalte strategische, taktische, operative und technische Informationen zu Bedrohungen. Dafür seien datenwissenschaftliche Methoden verwendet worden, um verschiedene Informationen über Bedrohungsakteure zusammenzustellen. „Diese Daten und Kennzahlen helfen dabei, Ransomware-Gruppen zu vergleichen, Risiken abzuschätzen und das Verhalten von Bedrohungsakteuren zu modellieren.“

Zu den wichtigsten Ergebnissen gehörten:

• „Die zehn Prozent der Unternehmen, die ein Lösegeld zahlen, handeln in der Regel schnell. Sie sind in der Folge oft gezwungen, für jede weitere Kompromittierung auf höhere Forderungen einzugehen.“
• „Das Risikoniveau für Angriffe ist nicht homogen. Es variiert je nach Region, Branche und Unternehmensgröße.“
• „In bestimmten Branchen und Ländern zahlen die Betroffenen häufiger als in anderen. Deshalb werden Unternehmen in diesen Industrien und Ländern mit größerer Wahrscheinlichkeit zum Ziel eines Angriffs.“
• „Die Zahlung eines Lösegelds treibt oft nur die Gesamtkosten eines Vorfalls in die Höhe, ohne Vorteile zu bringen.“
• „Im Januar und im Zeitraum von Juli bis August sind die Aktivitäten von Ransomware-Angreifern am geringsten. Dies sind gute Zeiten für die Verteidiger, um ihre Infrastruktur wieder aufzubauen und sich auf zukünftige Bedrohungen vorzubereiten.“

Cyber-Sicherheitsbranche könnte dazu beitragen, die Ransomware-Rentabilität zu senken

Die Cyber-Sicherheitsbranche könne dazu beitragen, die Rentabilität von Ransomware zu senken. Dazu sollten die Beteiligten den Schutz in den frühen Phasen der „Kill Chain“ priorisieren, die Ransomware-„Ökosysteme“ gründlich analysieren und den Anteil der zahlenden Opfer verringern. Die Erkenntnisse aus dem Bericht des japanischen Cybersecurity-Anbieters könnten Entscheidungsträgern auch dabei helfen, mögliche von Ransomware ausgehende finanzielle Risiken besser einzuschätzen.

Außerdem eröffneten die gewonnenen, detaillierten Erkenntnisse eine Reihe weiterer Möglichkeiten:

• „IT-Führungskräfte können höhere Budgets für die Abwehr von Ransomware rechtfertigen.“
• „Regierungen können ihre Budgets für die Unterstützung bei der Wiederherstellung nach Angriffen und die Strafverfolgung sinnvoller planen.“
• „Versicherer können die Preise für ihre Leistungen genauer kalkulieren.“
• „Internationale Unternehmen können Ransomware besser mit anderen globalen Risiken vergleichen.“

Ransomware eine große Bedrohung für Unternehmen und Behörden

„Ransomware ist eine große Bedrohung für Unternehmen und Behörden. Sie entwickelt sich stetig weiter, weshalb wir in diesem Zusammenhang genauere datengestützte Methoden zur Modellierung von Risiken benötigen“, erläutert Richard Werner, „Business Consultant“ bei Trend Micro.

Abschließend betont er: „Unsere neue Studie soll IT-Entscheidern helfen, ihr Risiko besser einzuschätzen, und politischen Entscheidungsträgern die Informationen an die Hand geben, die sie benötigen, um effektivere und wirkungsvollere Bekämpfungsstrategien gegen Cyber-Kriminalität zu entwickeln.“

Weitere Informationen zum Thema:

Trend Micro Research
What Decision-Makers Need to Know About Ransomware Risk / Data Science Applied to Ransomware Ecosystem Analysis

[datensicherheit.de, 15.08.2022] Check Point Research (CPR) hat nach eigenen Angaben Schwachstellen gefunden, „die es ermöglichen, Zahlungen zu fälschen und das Zahlungssystem direkt von einer unprivilegierten ,Android’-Anwendung aus zu deaktivieren“. CPR habe sämtliche Erkenntnisse verantwortungsbewusst mit Xiaomi geteilt – der Hersteller habe dann die Schwachstellen bestätigen und – basierend auf der resultierenden Zusammenarbeit – diese Gefahr beseitigen können.

Abbildung: cp

Tencent-Soter-Implementierung auf Xiaomi-Geräten

Angreifer könnten die von Xiaomi oder MediaTek in vertrauenswürdigen Anwendungen vorgenommenen Sicherheitsbehebungen umgehen

Laut neuester Statistiken seien 2021 zwei Drittel der weltweiten mobilen Zahlungen auf den Fernen Osten und China entfallen – dies entspreche in etwa vier Milliarden US-Dollar an Transaktionen mit mobilen Geldbörsen. Entsprechend groß sei daher das Interesse von Hackern, sich Zugang oder sogar Kontrolle über solche virtuellen Zahlungswege zu verschaffen.

Xiaomi könne seine eigenen vertrauenswürdigen Anwendungen einbetten und signieren. CPR habe festgestellt, dass Angreifer eine alte Version einer vertrauenswürdigen Applikation auf das Gerät übertragen und damit die neue App-Datei überschreiben könnten. „So kann ein Angreifer die von Xiaomi oder MediaTek in vertrauenswürdigen Anwendungen vorgenommenen Sicherheitsbehebungen umgehen, indem er sie auf nicht gepatchte Versionen herunterstuft.“

Dabei hätten die Forscher mehrere Schwachstellen in der vertrauenswürdigen App „thhadmin“ endeckt, welche für die Sicherheitsverwaltung zuständig sei. Diese Schwachstellen könnten ausgenutzt werden, um gespeicherte Schlüssel auszuspähen oder Codes im Kontext der App auszuführen, um damit böswillige Aktionen durchzuführen.

Niemand untersuchte vertrauenswürdige Anwendungen, welche von Geräteherstellern wie Xiaomi geschrieben wurden

Die sogenannte vertrauenswürdige Ausführungsumgebung oder „Trusted Execution Environment“ (TEE) sei seit vielen Jahren ein fester Bestandteil von Mobilgeräten. Ihr Hauptzweck sei die Verarbeitung und Speicherung sensibler Sicherheitsinformationen wie kryptographischer Schlüssel oder Fingerabdrücke. „Da die Signaturen für mobile Zahlungen in der TEE ausgeführt werden, ist deren Sicherheit maßgeblich für die Sicherheit von Zahlungen.“

Zuvor sei der asiatische Markt, der vor allem durch Smartphones mit MediaTek-Chips repräsentiert werde, noch nicht umfassend erforscht worden. Niemand untersuche vertrauenswürdige Anwendungen, die von Geräteherstellern wie Xiaomi geschrieben wurden, obwohl das Sicherheitsmanagement und der Kern des mobilen Zahlungsverkehrs dort implementiert seien.

Mit der Studie würden erstmalig vertrauenswürdige Anwendungen von Xiaomi auf Sicherheitsprobleme überprüft. Die Untersuchung befasse sich mit den vertrauenswürdigen Anwendungen von Geräten mit MediaTek-Betriebssystem. Das verwendete Testgerät sei das „Xiaomi Redmi Note 9T 5G“ mit „MIUI Global 12.5.6.0 OS“.

Tencent Soter: Xiaomi-Geräte verfügen über integriertes Framework für mobile Zahlungen

Xiaomi-Geräte verfügten über ein integriertes Framework für mobile Zahlungen namens „Tencent Soter“, das eine API (Application Programming Interface) für „Android“-Anwendungen von Drittanbietern bereitstelle, um die Zahlungsfunktionen zu integrieren. Seine Hauptfunktion bestehe darin, die Verifizierung von Zahlungspakete zu ermöglichen, welche zwischen einer mobilen Anwendung und einem entfernten Backend-Server übertragen würden. Darin bestehe im Wesentlichen die Sicherheit, auf die wir alle zählten, wenn wir mobile Zahlungen durchführen.

Nach Angaben von Tencent unterstützten Hunderte von Millionen „Android“-Geräte „Tencent Soter“. „WeChat Pay“ und „Alipay“ seien die beiden größten Akteure in der chinesischen digitalen Zahlungsbranche. Zusammen machten sie etwa 95 Prozent des chinesischen Marktes für mobile Zahlungen aus. Jede dieser Plattformen habe über eine Milliarde Nutzer. „WeChat Pay“ basiere auf dem „Soter“ von Tencent.

Wenn ein App-Anbieter sein eigenes Zahlungssystem implementieren möchte, einschließlich des Backends, in dem die Kreditkarten und Bankkonten der Nutzer gespeichert sind, ohne an die „WeChat“-App gebunden zu sein, könne er direkt den „Tencent-Soter“ verwenden. Diese Vorgehensweise ermögliche es ihm, Transaktionen in Echtzeit auf seinem Backend-Server zu überprüfen und sicherzustellen, „dass ein Zahlungspaket von seiner App, die auf einem bestimmten Gerät installiert ist, gesendet und vom Nutzer genehmigt wurde“.

Xiaomis Schwachstelle CVE-2020-14125 kompromittiert Tencent-Soter-Plattform vollständig

Die von CPR entdeckte Schwachstelle, von Xiaomi mit „CVE-2020-14125“ bezeichnet, kompromittiere die „Tencent-Soter“-Plattform vollständig und ermögliche es einem nicht autorisierten Benutzer, gefälschte Zahlungspakete zu signieren.

„Im Rahmen der Untersuchungen fand CPR eine Möglichkeit, die in Xiaomi-Smartphones integrierte Plattform anzugreifen, die von Millionen von Nutzern in China für mobile Zahlungen verwendet wird. Eine nicht privilegierte ,Android’-Anwendung könnte die Sicherheitslücke ,CVE-2020-14125‘ ausnutzen, um Codes in der vertrauenswürdigen ,Wechat’-App auszuführen und Zahlungspakete zu fälschen.“

Die Schwachstelle sei nach der Offenlegung noch im Juni 2022 von Xiaomi gepatcht worden. Darüber hinaus hätten die Forscher feststellen können, „wie die Downgrade-Schwachstelle in Xiaomis TEE es der alten Version der ,Wechat’-App ermöglichen kann, private Schlüssel zu stehlen“. Diese vorgestellte Leseschwachstelle sei ebenfalls von Xiaomi nach der Offenlegung und Zusammenarbeit gepatcht worden. „Das Downgrade-Problem, das von Xiaomi bestätigt wurde und zu einem Drittanbieter gehört, wird in Kürze behoben.“

Weitere Informationen zum Thema:

cp <r>, Slava Makkaveev, 12.08.2022
Researching Xiaomi’s TEE to get to Chinese money

[datensicherheit.de, 01.07.2021] Ramsomware, also Schadsoftware, welche zuweilen ganze Rechenzentren lahmlegt, um von der betroffenen Organisation Lösegeld zu erpressen, wird offenbar immer mehr zum Mittel der Wahl für Cyber-Kriminelle. Das Bundeskriminalamt (BKA) hat Ransomware bereits in seinem „Bundeslagebild Cybercrime 2020“ als „die Bedrohung für öffentliche Einrichtungen und Wirtschaftsunternehmen“ ausgemacht, und in einem Gespräch mit dem „WALL STREET JOURNAL“ sieht FBI-Direktor Christopher Wray in Ransomware-Attacken ein den Anschlägen vom 11. September 2001 ähnliches Bedrohungspotenzial.

Plädoyers für mehr staatliche Maßnahmen gegen Ransomware in Europa und den USA

In einem aktuellen Artikel zum Thema auf „ZEIT ONLINE“ wird berichtet, dass „mindestens 100 deutsche Ämter, Regierungsstellen, landeseigene Kliniken, Stadtverwaltungen und Gerichte […] in den vergangenen sechs Jahren von Ransomware-Banden attackiert worden“ sind.
Mit seinem Plädoyer für mehr staatliche Maßnahmen gegen Ransomware steht dieser Artikel offensichtlich nicht allein: Selbst jenseits des Atlantiks fordern Politiker staatliches Vorgehen gegen diese Form der Cyber-Kriminalität. So lägen in vier US-Staaten Gesetzesvorschläge vor, welche Lösegeldzahlungen bei erfolgreichen Ransomware-Attacken verbieten sollen, um Cyber-Kriminellen den Anreiz zu nehmen.

Zahlung des Lösegelds nicht der teuerste Aspekt eines Ransomware-Angriffs

Entsprechend werde diese Herangehensweise nach der Devise „Kein Entgegenkommen für Erpresser“ in den USA bereits kontrovers diskutiert. „Und auch bei uns wird dieses Thema sicher über kurz oder lang auf die Tagesordnung gelangen. Auch den ,Law- & Order‘-Hardlinern hierzulande wird dieses Vorgehen sicher nicht unsympathisch erscheinen.“
Dem stünden allerdings Überlegungen gegenüber, welche einen besseren Schutz gegen Attacken und eine Verfolgung der Kriminellen, nicht der Opfer, in den Mittelpunkt rückten. „Die Entscheidung, Lösegeld zu bezahlen oder nicht, ist extrem schwierig für ein Unternehmen. Im Gegensatz zu dem, was viele glauben mögen, ist die Zahlung des Lösegelds nicht der teuerste Aspekt eines Angriffs und sicherlich nicht das Ende der Attacke für angegriffene Unternehmen“, kommentiert Adam Kujawa, Direktor des Malwarebytes Labs. Es gebe hierbei viele größere Probleme, die berücksichtigt werden müssten, einschließlich der Frage, „wie man diese Angriffe von vornherein verhindern und wie man gegen die Akteure selbst vorgehen kann“.

Effektivere Strategie gegen Ransomware: Jeder teils seine Angriffsdaten mit

Kujawa gibt zu bedenken: „Ein völliges Verbot von Lösegeldzahlungen würde bedeuten, dass viele Unternehmen, die versucht sind, das Lösegeld zu zahlen, mit geringerer Wahrscheinlichkeit den Angriff offenlegen, was sowohl unser Verständnis der neuesten Ransomware-Bedrohungen beeinträchtigen als auch die Kunden der betroffenen Unternehmen im Dunkeln lassen würde.“
Eine bessere Alternative sei es, Unternehmen zu verpflichten, Ransomware-Angriffe an eine zentrale Behörde zu melden. Kujawa betont abschließend: „Wir haben deutlich gesehen, dass eine effektivere Strategie gegen Ransomware darin besteht, dass jeder seine Angriffsdaten teilt und diese Informationen nutzt, um Ermittlungsdienste in die Lage zu versetzen, die Kriminellen zu verfolgen, nicht die Opfer.“

Weitere Informationen zum Thema:

THE WALL STREET JOURNAL, Aruna Viswanatha / Dustin Volz, 04.06.2021
FBI Director Compares Ransomware Challenge to 9/11 / Christopher Wray points to Russian hackers, calls for coordinated fight across U.S. society

Bundeskriminalamt, 10.05.2021
Bundeslagebild Cybercrime 2020

datensicherheit.de, 15.06.2021
Sol Oriens: Ransomware-Hacker attackierten Nuklear-Firma in den USA / Hacker-Gruppe „Revil“ soll auch für Ransomware-Angriff auf den Fleischkonzern JBS verantwortlich sein

datensicherheit.de, 12.06.2021
Ransomware-Angriffe: Nicht nachher zahlen, sondern rechtzeitig vorbereiten! / Edgard Capdevielle kommentiert Ransomware-Vorfall beim Fleischhersteller JBS

datensicherheit.de, 20.02.2018
datto-Report: Ransomware entzog KMU viele Millionen Euro Lösegeld / Zwischen 2016 und 2017 europäischen Mittelstandsunternehmen 80 Millionen Euro Lösegeld abgepresst