Erst Passwort-Leak, dann Zahlungsstopp: Was ist mit PayPal passiert?
Als wäre das digitale Leben nicht schon kompliziert genug, platzte in diesem Jahr gleich ein doppelter Knall aus dem Reich des Bezahlens in den Alltag. Erst tauchten Millionen von gestohlenen PayPal-Passwörtern im Netz auf, kurz darauf brach der Zahlungsverkehr zeitweise zusammen, weil mehrere Banken die Reißleine zogen.
Zwei Ereignisse, die eigentlich nichts miteinander zu tun haben, aber für viele den Eindruck verstärken, dass PayPal plötzlich vom Fels in der Brandung zum wackeligen Floß geworden ist.
Ein Datenleack von Millionen Passwörtern
Der Mai 2025 brachte eine Nachricht, die vielen den Puls in die Höhe trieb. 15,8 Millionen PayPal-Zugangsdaten wurden im Darknet angeboten. Darunter befanden sich E-Mail-Adressen samt Passwörtern, also genau das, was für einen Fremdzugriff auf ein Konto reicht. Doch der Ursprung lag nicht in einem direkten Einbruch bei PayPal selbst. Vielmehr handelte es sich um Daten, die über Schadsoftware von den Geräten der Nutzer abgegriffen wurden.
Das klingt weniger spektakulär als ein Hollywood-tauglicher Hackerangriff auf die Firmenserver, ist in der Praxis aber genauso gefährlich. Denn wer seine Passwörter auch für andere Dienste nutzt, öffnet Angreifern ungewollt gleich mehrere Türen. Dieses Prinzip nennt sich Credential Stuffing und ist für Cyberkriminelle so attraktiv, weil viele Menschen ihre Passwörter bequem wiederverwenden. Aus einem einzigen Datensatz können so gleich mehrere Angriffe entstehen.
Besonders brisant machte die Sache der Name, unter dem die Daten veröffentlicht wurden, nämlich „Chucky_BF“. Ein Pseudonym, das aus einschlägigen Foren bekannt ist und sofort verdeutlicht, dass es hier nicht um ein harmloses Missverständnis geht, sondern um gezielte kriminelle Aktivitäten.
Gerade im Bereich Glücksspiel hat sich PayPal über Jahre hinweg eine treue Anhängerschaft aufgebaut, weil Spieler damit rasend schnell auszahlen können. Diese Geschwindigkeit gilt vielen als entscheidender Vorteil, da Gewinne ohne langes Warten verfügbar sind und die Transaktionen im Normalfall reibungslos funktionieren.
Als Banken plötzlich Zahlungen blockierten
Kaum waren die ersten Schlagzeilen über das Leck einigermaßen verdaut, folgte im August der nächste Aufreger. Diesmal ging es nicht um gestohlene Daten, es ging um eine Störung in PayPals eigenen Systemen. Genauer gesagt versagte ein wichtiges Sicherheitsmodul, das Lastschriften normalerweise überprüft, bevor sie bei den Banken eingereicht werden.
Zahlungen wurden in einer Art Blindflug weitergeleitet, was mehrere Banken alarmierte. Die Bayerische Landesbank, die Hessische Landesbank und die DZ-Bank entschieden kurzerhand, sämtliche PayPal-Transaktionen zu stoppen. Schätzungen zufolge wurden so über zehn Milliarden Euro eingefroren. Eine Summe, die verdeutlicht, welch enorme Dimension der Zahlungsverkehr über PayPal inzwischen erreicht hat.
Für Händler bedeutete das teils gravierende Verzögerungen, da Zahlungen nicht bei ihnen ankamen, während Privatkunden plötzlich irritierende Anzeigen in ihren Konten sahen. Manche PayPal-Konten wurden fälschlicherweise ins Minus gesetzt, weil die Bank die Lastschrift blockierte, PayPal aber dennoch einen offenen Betrag registrierte. Ein klassischer Fall, in dem Technik und Realität auseinanderliefen, während die Nutzer mit den Folgen leben mussten.
Zwei entscheidende Krisen
Die zeitliche Nähe der beiden Ereignisse sorgte verständlicherweise für wilde Spekulationen. Doch so verlockend die Vorstellung ist, dass ein großes Muster dahinter steckt, so klar ist inzwischen, dass es sich um zwei voneinander unabhängige Vorfälle handelt. Das Datenleck war das Resultat von Malware bei Endnutzern, der Zahlungsstopp hingegen eine Störung in den Abläufen von PayPal und den Reaktionen der Banken.
Trotzdem verbindet beide Vorfälle ein gemeinsamer Nenner. Sie zeigen, wie fragil digitale Infrastrukturen sein können und wie schnell Vertrauen ins Wanken gerät, wenn Sicherheitsprobleme und technische Ausfälle in kurzer Abfolge auftreten.
Genau dieses Vakuum nutzen Betrüger aus. Phishing-Mails mit gefälschten PayPal-Logos kursieren in Massen, Fake-Inkasso-Unternehmen verschicken Drohbriefe und plötzlich fällt es schwer zu unterscheiden, was noch seriös ist.
Risiken und mögliche Folgen
Das Datenleck ist kein harmloser Zwischenfall. Für Betroffene besteht das Risiko, dass ihre Zugangsdaten für unerlaubte Einkäufe genutzt werden. Noch größer wird die Gefahr, wenn das gleiche Passwort auch für E-Mail-Konten oder andere Plattformen verwendet wird. Angreifer versuchen in solchen Fällen systematisch, mit den gestohlenen Kombinationen weitere Konten zu knacken.
Hinzu kommt das altbekannte Problem des Phishings. Sobald ein solcher Vorfall Schlagzeilen macht, wittern Kriminelle ihre Chance. Gefälschte E-Mails, die angeblich von PayPal stammen, warnen vor angeblichen Sicherheitsproblemen und fordern zum Klick auf Links auf. Wer darauf hereinfällt, gibt seine Daten direkt den Betrügern in die Hand.
Der Zahlungsstopp hatte wiederum ganz andere Risiken. Bei vielen wurde ein Minussaldo angezeigt, obwohl das Konto eigentlich gedeckt war. PayPal wertete die Rückmeldungen der Banken schlicht als geplatzte Lastschrift.
Für Händler entstanden Liquiditätsengpässe, wenn Zahlungen nicht durchgingen, während Verbraucher verunsichert waren, ob sie noch eine offene Forderung begleichen müssen. Genau diese Unsicherheit eröffnet auch hier Raum für Betrugsmaschen mit gefälschten Mahnungen.
Welche Schritte jetzt wirklich helfen
Wer den Kopf in den Sand steckt, macht es Angreifern leicht. Der erste Schritt nach Bekanntwerden des Leaks sollte daher immer die Änderung des Passworts sein, idealerweise ergänzt um die Aktivierung der Zwei-Faktor-Authentifizierung. Einmalige, starke Passwörter verhindern, dass Angreifer mit einem Datensatz gleich mehrere Dienste kompromittieren können. Passwortmanager erleichtern diese Praxis erheblich.
Genauso wichtig ist ein wachsames Auge auf die eigenen Kontobewegungen. Unbekannte Abbuchungen sollten umgehend reklamiert werden. Wer auf der PayPal-Oberfläche ein Minus angezeigt bekommt, das objektiv nicht existieren dürfte, sollte sich nicht unter Druck setzen lassen. Die Verbraucherzentralen betonen klar, dass technische Fehler nicht zu Lasten der Kunden gehen dürfen.
Ein Lehrstück über digitale Abhängigkeit
Die beiden Vorfälle führen vor Augen, wie sehr alltägliche Abläufe von digitalen Zahlungsdiensten abhängen. PayPal ist längst nicht mehr nur ein praktisches Tool für Online-Shopping, sondern für viele Händler ein zentrales Standbein. Wenn hier Milliardenbeträge feststecken, hat das direkte Auswirkungen auf Lieferketten und Liquidität.
Gleichzeitig offenbart sich die Verletzlichkeit solcher Systeme. Ein einziges technisches Problem reicht, um Banken dazu zu bringen, den Stecker zu ziehen, was in Sekunden Millionen Transaktionen lahmlegt und ein Malware-Angriff, der gar nicht bei PayPal selbst stattfindet, reicht aus, um Millionen Kundenkonten ins Risiko zu stürzen.
Die Lehre daraus ist klar, digitale Bequemlichkeit darf nicht zur Nachlässigkeit führen. Wer sich auf Online-Dienste verlässt, muss sich umso mehr um Sicherheit kümmern. Starke Passwörter, zusätzliche Sicherheitsfaktoren und eine gesunde Skepsis gegenüber unerwarteten Mails sind nicht optional, sondern Grundausstattung. Nur so lässt sich die eigene finanzielle Basis auch in Zeiten schützen, in denen Sicherheitslücken und Pannen nicht die Ausnahme, sondern ein wiederkehrendes Problem sind.
