Auf einen Blick
Wenn PayPal gehackt wirkt, steckt oft kein „Super-Hack“ dahinter, sondern Phishing: Fake-Login-Seiten, SMS/“Support“-Anrufe oder Passwort-Recycling nach Datenleaks. Entscheidend ist jetzt ein sauberer Notfall-Plan: Zugang dichtmachen, 2FA aktivieren, Zahlungsquellen ausmisten und Abbuchungen schnell zurückholen (Lastschrift/Chargeback).
Das Wichtigste
- Angreifer klauen PayPal-Logins meist über Phishing (E-Mail/SMS, Fake-Login, „Support“-Vishing) und nutzen anschließend gespeicherte Zahlungsmittel.
- PayPal empfiehlt Sicherheitsfunktionen wie 2‑Step Verification/Passkeys und warnt vor betrügerischen Nachrichten und Webseiten.
- In Deutschland kannst du unberechtigte SEPA-Lastschriften i. d. R. innerhalb von 8 Wochen zurückgeben; bei fehlendem Mandat gelten laut SEPA-Regelwerk bis zu 13 Monate – und Karten-Zahlungen lassen sich oft per Chargeback anstoßen.
Einleitung
„PayPal gehackt“ fühlt sich immer gleich an: Du siehst eine Mail über eine Zahlung, die du nie ausgelöst hast, oder du bemerkst Abbuchungen, die nicht zu dir passen. Die gute Nachricht: In sehr vielen Fällen wurde nicht PayPal als Plattform kompromittiert – sondern dein Login wurde abgefischt oder ein altes Passwort wurde wiederverwendet. Genau deshalb zählt jetzt Geschwindigkeit und ein klarer Ablauf, damit aus einem Schock kein finanzieller Dauerbrand wird.
Was neu ist
PayPal bleibt ein Lieblingsziel für Betrüger, weil sich mit einem Konto direkt Geld bewegen lässt. Verbraucherwarnungen zeigen weiterhin eine hohe Taktzahl an PayPal‑Phishing (E‑Mail und SMS). Sicherheitsberichte beschrieben 2025 zudem Angriffe, bei denen Kriminelle echte PayPal‑E‑Mails für glaubwürdige „Kaufbestätigungen“ missbrauchten. Laut Malwarebytes hat PayPal im Dezember 2025 eine dafür genutzte Schwachstelle/„Loophole“ geschlossen. Parallel betont das BSI in seinem Lagebericht, dass Phishing als Einstiegsvektor in Deutschland weiterhin massiv ist – sprich: das Problem ist Alltag, nicht Ausnahme.
Was das für dich bedeutet
So kommen Kriminelle typischerweise an PayPal-Logins – und genau dort kannst du sie stoppen:
1) Phishing-Mails & SMS („Ihr Konto wird gesperrt…“): Du landest über einen Link auf einer täuschend echten Login-Seite. Typische Warnsignale sind Zeitdruck, Drohungen („Limit überschritten“, „Konto gesperrt“), ungewöhnliche Absenderdomains und Links, die nicht klar zu paypal.com gehören. Stolperfalle: Viele tippen die Zugangsdaten ein und melden sich danach „sicherheitshalber“ noch einmal richtig an – dabei sind die Daten längst weg.
2) Fake-Login-Seiten über Werbung/SEO: Nicht nur Links aus Nachrichten sind riskant. Auch Suchanzeigen oder nachgebaute Hilfeseiten führen auf Klon-Websites. Regel: Tippe PayPal im Browser selbst ein oder nutze die App – nicht den Login aus einem Link heraus.
3) „Support“-Anrufe (Vishing): Betrüger geben sich als PayPal‑Support aus, lesen dir „Transaktionen“ vor und wollen dich dazu bringen, Codes durchzugeben oder eine Fernwartung zu installieren. PayPal (und seriöse Banken) fragen keine Einmalcodes am Telefon ab.
4) Datenleaks + Passwort-Recycling: Wenn du Passwörter wiederverwendest, reicht Kriminellen ein alter Leak von irgendwo, um dein PayPal-Passwort zu erraten („Credential Stuffing“). Wenn du dasselbe Passwort noch woanders nutzt: sofort ändern.
Priorisierter Notfall-Plan für Betroffene in Deutschland (in dieser Reihenfolge):
1) Sofort Passwort ändern & überall abmelden: Ändere dein PayPal‑Passwort (einzigartig, lang, Passwortmanager). Melde alle Geräte/Sessions ab und prüfe, ob E‑Mail-Adresse, Telefonnummer, Lieferadressen oder Weiterleitungen verändert wurden. Wichtig: Ändere auch das Passwort deines E‑Mail‑Postfachs – wer deine Mail kontrolliert, kontrolliert meist auch die Konto‑Recovery.
2) Zwei-Faktor-Login aktivieren (besser als nur SMS): Aktiviere 2‑Step Verification. Wenn verfügbar, nutze Passkeys oder eine Authenticator‑App statt SMS. Das reduziert das Risiko, dass ein abgefischtes Passwort allein reicht.
3) Verknüpfte Bankkonten/Karten prüfen und aufräumen: Entferne alles, was du nicht brauchst. Prüfe außerdem automatische Zahlungen/Abos und hinterlegte Händlerberechtigungen. Je weniger „Zapfhähne“, desto kleiner der Schaden.
4) Abbuchungen dokumentieren und im PayPal-Konfliktcenter melden: Sichere Screenshots, Transaktions‑IDs, Zeitpunkte und E‑Mails (idealerweise inklusive Mail‑Header). Melde die Vorgänge in PayPal so früh wie möglich, damit Fristen nicht unnötig verstreichen.
5) Geld zurückholen: Lastschrift-Rückgabe & Chargeback richtig nutzen:
• SEPA-Lastschrift (vom Bankkonto): In Deutschland kannst du eine autorisierte Lastschrift i. d. R. innerhalb von 8 Wochen zurückgeben. Wenn du kein Mandat erteilt hast (also „nicht autorisiert“), sieht das SEPA-Regelwerk eine längere Frist von bis zu 13 Monaten vor. Sprich sofort mit deiner Bank und nenne klar: „unautorisierte Lastschrift / kein Mandat“.
• Kredit-/Debitkarte: Bitte deine kartenausgebende Bank um ein Chargeback. Die konkreten Fristen hängen vom Fall und den Kartenregeln ab; in der Praxis kursieren oft rund 120 Tage als Richtwert – warte nicht, sondern starte den Prozess direkt.
6) Anzeige erstatten, wenn Identitätsmissbrauch vorliegt: Wenn jemand unter deinem Namen Kontodaten geändert, Zahlungen ausgelöst oder neue Finanzdaten hinterlegt hat, ist das mehr als „nur Ärger“. Erstatte Anzeige bei der Polizei und sammle dafür deine Dokumentation. Das hilft auch gegenüber Bank/PayPal, wenn du nachweisen musst, dass du schnell reagiert hast.
Typische Stolperfallen, die Geld kosten:
• „Freunde & Familie“: Scammer drängen gern auf diese Zahlungsart („ist schneller“). Sie ist für echte Käufe meist die falsche Wahl, weil Schutzmechanismen eingeschränkt sein können.
• Login über Links: Selbst wenn die Mail „echt“ wirkt – der Link ist der Angriffspunkt.
• Codes weitergeben: Einmalcodes gehören nur in dein Gerät, nicht in Telefonate oder Chats.
Wie es weitergeht
Die Betrugsmasche wird nicht verschwinden – sie wird nur glaubwürdiger. Angreifer kombinieren inzwischen „echte“ Systemmails, Fake-Support und kurzfristige Klon-Domains. Für dich heißt das: Stelle dein Konto so ein, dass ein geleaktes Passwort nicht reicht (2FA/Passkey), halte deine verknüpften Zahlungsmittel schlank und behandle jede Zahlungsaufforderung als Incident, bis du sie verifiziert hast. Wenn du häufiger online zahlst, lohnt sich ein fester Wochenrhythmus: Transaktionsliste prüfen, automatische Zahlungen checken, Passwörter nicht recyceln.
Fazit
„PayPal gehackt“ ist in der Praxis sehr oft „PayPal-Login abgefischt“. Das ist unerquicklich, aber du hast in Deutschland gute Hebel: Konto absichern, 2FA/Passkeys aktivieren, Zahlungsquellen reduzieren – und bei unberechtigten Abbuchungen schnell über PayPal, Bank (SEPA-Rückgabe) und Karte (Chargeback) gehen. Entscheidend ist, dass du nicht in Panik klickst, sondern strukturiert handelst und Beweise sauber sicherst.
