Bluetooth Low Energy basierte Systeme

Anonymität

PayPal ist, als Unternehmen von eBay, das bevorzugte Zahlungssystem der gleichnamigen Auktionsplattform. Seit der Übernahme durch eBay ist PayPal jedoch immer mehr zu einem universellen System zum Bezahlen ausgebaut worden. Eine der neueren Ideen ist dabei PayPal Beacon, das PayPal zusammen mit PayPal Check-In nutzt, um auch an den POS vorzudringen, so dass PayPal in jeder Lebenssituation genutzt werden kann.

Bei Online-Einkäufen wird, neben den persönlichen Daten, der Warenkorb an PayPal übermittelt. Dies dient dazu, um dem Kunden während des Bezahlens anzeigen zu können, was Bestandteil der Rechnung ist. Wozu PayPal diese Daten noch nutzt, wird nicht verraten. Es darf jedoch davon ausgegangen werden, dass diese Informationen gespeichert und mit den restlichen Profil Informationen verknüpft werden. Außerdem übermittelt PayPal, gemäß seiner Datenschutzbestimmungen, „Ihr[en] Name[n], Ihre E-Mail-Adresse, Ihre Skype-ID (sofern vorhanden), Ihre Telefonnummer (sofern vorhanden), das Datum der Anmeldung, die Anzahl der von verifizierten PayPal-Kunden erhaltenen Zahlungen und Informationen darüber, ob Sie über einen Zugriff auf ein verifiziertes Bankkonto verfügen, anderen PayPal-Kunden, an die Sie eine Zahlung gesendet haben, oder Absendern, die über PayPal-Services eine Zahlung an Sie senden möchten oder eine Zahlung von Ihnen anfordern[.] (…) Diese und andere Informationen können darüber hinaus auch an Dritte weitergegeben werden, wenn Sie diese Dritten zum Zugriff auf PayPal-Services nutzen.“

PayPal Beacon ist eine Erweiterung, um PayPal auch an den POS zu bringen. Die App ermöglicht dabei, den Check-In in einem Geschäft zu automatisieren, indem das Smartphone die Signale des Beacons empfängt und als Auslöser nimmt. Der Kunde muss diesem bei seinem ersten Besuch immer manuell zustimmen, kann dann allerdings hinterlegen, dass der Check-In künftig automatisch stattfindet.

PayPal erfährt, im Falle einer Zustimmung, sofort den aktuellen Aufenthaltsort des Kunden, so dass die aktivierten, automatischen Check-Ins es PayPal ermöglichen, Bewegungsinformationen zu sammeln, weil bekannt ist bei welchem Händler der jeweilige Beacon steht. Diese Profile könnten selbst dann erstellt werden, wenn PayPal gar nicht zum Bezahlen genutzt wurde. Der Händler bekommt im Gegenzug Namen und Foto des Kunden angezeigt, so dass personalisierte Ansprachen ermöglicht werden und der Kunde dem Händler gegenüber nicht anonym ist.

Systemsicherheit

Die Sicherheit des PayPal-Kontos basiert auf dem Kunden kennwort. Ist dieses einem Angreifer bekannt, kann er das Konto verwenden, um Transaktionen zu initiieren. Somit ist PayPal ein beliebtes Ziel für Phishing -Angriffe. Zu diesem Schluss kommt auch eine Studie von Kaspersky. Laut dieser ist PayPal, mit 44,12% aller Attacken auf Zahlungssysteme, das attraktivste Ziel in dieser Kategorie. Aus diesem Grund bietet PayPal schon seit einigen Jahren eine Zwei-Faktor-Authentifizierung mit einem Token an, der als Hardware separat erworben und bei jeder Anmeldung verwendet werden muss. Für Zahlungen über PayPal Beacon wird zum einen die Authentifizierung mittels des Passworts benötigt, um die App zu starten, und zum anderen erfolgt die Authentifizierung gegenüber dem Händler, durch einen Abgleich des Kunden mit einem in der App hinterlegten Foto, welches dem Händler auf seiner Kasse angezeigt wird. Das Foto kann jedoch mit Kenntnis des Kennwortes geändert werden, so dass die Geheimhaltung des Kennwortes die wichtigste Sicherheitsmaßnahme ist.

Anfang 2014 bewiesen Forscher von Duo Security, dass die App von PayPal noch keine Zwei-Faktor-Authentifizierung unterstützte. War die zusätzliche Authentifizierung dennoch eingeschaltet konnte die App nicht ohne den Sicherheitsschlüssel genutzt werden – so jedenfalls die Theorie. Besagte Forscher zeigten hingegen, dass eine Nutzung aufgrund einer fehlerhaften API jedoch auch ohne Besitz des Sicherheitsschlüssels möglich war.
Da PayPal ein häufig verwendetes System ist, kommt es immer wieder zu entsprechenden Problemen, bei denen Kundenkonten gehackt werden, wie unzählige Einträge in diversen Foren und Ratgeberseiten zeigen. In diesen Fällen wurden Schwachstellen des Systems, in der Regel die alleinige Authentifizierung über ein Passwort, ausgenutzt.
Die Sicherheit des Systems PayPal ist aus den genannten Gründen nicht allzu hoch, da die Authentifizierung mit Hilfe eines Passwortes vergleichsweise leicht gehackt werden kann.

Verbreitung

PayPal Beacon ist Teil des PayPal-Universums, welches verschiedene Angebote zur Zahlungsabwicklung umfasst. Zum einen ist dies die ursprüngliche Form im Internet zu bezahlen, aber auch das Angebot, einen Rechnungskauf anzubieten (BillSAFE), PayPal Check-In für die Zahlung am POS, das QR-Code-Shopping oder eben PayPal Beacon. Letzteres ist, als eine der neueren Entwicklungen von PayPal, bisher noch nicht verfügbar und lediglich ein Pilotprojekt, welches in Amerika getestet wird.
PayPal ist dabei immer ein Dienst, der international verfügbar ist und eingesetzt werden kann. Eine Umrechnung von Währungen findet dabei gegebenenfalls automatisch statt. Durch seine zahlreichen Produkte ist PayPal sowohl im Internet als auch am POS einsetzbar, wobei letzteres relativ neu ist und deshalb noch keine hohe Verbreitung erfährt.
Außerdem ist die Anzahl der Nutzer sehr hoch. So zählte PayPal im dritten Quartal 2014 156,9 Millionen aktive PayPal-Accounts. Diese hohe Verbreitung auf Seite der Kunden hat zur Folge, dass u. a. auch Unternehmen der Otto Group, die mit Yapital einen ähnlichen Dienst anbieten, PayPal integrieren. Daneben zählte das Bundesamt für Sicherheit in der Informationstechnik 2010 rund 20.000 Onlineshops in Deutschland, die PayPal als Bezahloption anbieten. Eine Studie des E-Commerce-Centers Köln ergab zudem, dass rund 70% der Befragten Deutschen PayPal zumindest kennen oder sogar schon einmal genutzt haben. Dieselbe Studie stellte fest, dass PayPal rund 29% der Onlinezahlungen in Deutschland abwickelt.

Institut für Internet-Sicherheit – if(is)