DHL-Packstation-App und die Sicherheit

Wie gut sichert DHL eigentlich seine Nutzer der Packstationen gegen unbefugte Dritte ab? Ein Blog-Leser hat mich Anfang Mai 2020 auf eine Entwicklung hingewiesen, die ich mal einfach hier einstellen möchte. Es geht dabei darum, wie gut der Zugriff auf eine DHL-Packstation abgesichert ist und ob der Fokus ‘möglichst viel Komfort per App’ zu bieten, nicht auf Kosten der Sicherheit geht.


Anzeige

Der Hintergrund: Man kann sich ja online bestellte Waren an eine DHL-Packstation liefern lassen. Das ist vor allem für Menschen kommod, die tagsüber nicht zuhause sind. Einfach an der DHL-Packstation vorbei fahren, wenn es zeitlich passt, und dort die bestellte Ware abholen. Die Benachrichtigung, dass die Ware in der Packstation liegt, samt den notwendigen Zusatzdaten, schickt DHL ja seinen Kunden zu.

Natürlich möchte niemand, dass unbefugte Dritte sich dieser Ware bemächtigen. Ich selbst nutze keine DHL-Packstation, kann also mir Erfahrungen nicht dienen. Blog-Leser Lars Hendric K. schrieb mir kürzlich:

Durch die Möglichkeit, die Packstationsnummer direkt am Display einzugeben, anstatt das Einlesen der Karte zu erzwingen, hatte DHL/Deutsche Post ja defacto schon seit längerem auf die 2FA an Packstationen verzichtet. Und man setzt nur noch auf die zugemailte oder in der App angezeigte TAN als Absicherung.

Aber jetzt scheint sich der nächste Schritt abzuzeichnen, indem die Authentifizierung in der App gespeichert wird. Dazu schreibt der Blog-Leser:

Mit dem letzten Update der DHL-App wird jetzt aber auch noch die Möglichkeit geboten, die Kartendaten zur Authentifizierung direkt in der App zu hinterlegen. Damit liegt dann eine virtuelle Karte, die TAN, der Abholort (also die gefüllte Packstation) und die Paketinformationen an einem Ort im Smartphone, der nicht mal durch ein zusätzliches eigenes Passwort geschützt werden kann.

Diese Möglichkeit müsste seit ca. Mai 2020 gegeben sein. An dieser Stelle schreibt der Leser, dass er diese Entwicklung bedenklich findet und fragt, ob er vielleicht übervorsichtig ist? Wie seht ihr das so? Bei Banking-Apps geht mir genau dieser Sicherheitsaspekt seit längerem im Kopf herum.


Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

21 Antworten zu DHL-Packstation-App und die Sicherheit


  1. Anzeige
  2. FoxSayz sagt:

    Nutze jetzt auch wieder Packstationen und diese App. Sicher wäre es besser, wenn man die App per Fingerabdruck oder eigene PIN vor Fremdzugriff schützen könnte.

    Aber diese Funktion gibt es bereits per AppLock in Android:
    https://www.youtube.com/watch?v=n8GsjVogULk

    Man kann sich ja jede App selbst mit Fingerabdruck, PIN oder Muster entsperren.

    Selbst der Heise-Hack damals war keiner. Um Zugriff auf die Packstation zu bekommen braucht man sehr viel Daten: Barcode, die einmalige mTAN die einen als Besitzer der Mobilnummer ausweist, Postnummer, usw.

    Siehe:
    https://www.heise.de/security/meldung/Packstation-DHL-schaltet-mTAN-Abruf-per-App-wieder-scharf-3279500.html
    >jetzt wieder aktiv – in überarbeiteter Form

    Mein Rat:
    DHL Paketshops (Supermärkte) nutzen oder sein Smartphone stärker absichern. Da hilft es sich mit Android zu beschäftigen, denn das OS wird immer besser.

    • Nobody Private sagt:

      Dieses App-Lock Feature gibt es wohl nicht auf jedem Gerät. Habe mir zwei Geräte mit Android V10 angeschaut und konnte kein App-Lock finden

      • FoxSayz sagt:

        Einstellungen -> Apps -> App-Sperre
        Bin nicht immer deutsch auf meiner Hardware unterwegs, aber wenn sie schon Android 10 besitzen, dann haben sie auch die “App-Sperre”. Ansonsten ist es vielleicht wirklich ein Feature, das nur auf Xiaomi-Geräten verfügbar ist.

        Auf Samsung-Smartphones können Apps, aber auch Bilder und andere Dateien im “Sicheren Ordner” abgelegt werden.
        Gruß und Erfolg beim Einrichten!

  3. Herr IngoW sagt:

    Da reichen drei Worte: geht gar nicht.
    Alle Daten auf einem Gerät hat wohl nichts mit Sicherheit zu tun.

  4. Anzeige

  5. s0da sagt:

    Also ich finde er ist ein Aluhut Träger sorry. Natürlich hört man in den News immer mal wieder von Missbrauch der Packstationen, aber das hat nichts mit den Änderungen von DHL zu tun. Die Packstation Nummer steht schon IMMER in der App. Muss mich darin ja schließlich anmelden. Das da zusätzlich nun noch der passende Barcode mit angezeigt wird, ist auch nicht schlimmer als vorher. Funktionieren tut der meistens eh nicht, da die Helligkeit des Smartphones einfach zu schlecht für den Leser im Sommer ist. Ein Verlust der 2FA empfinde ich auch nicht. Ohne Nummer und/oder Tan kommt man nicht weit. Ich möchte auch nochmal betonen, daß wir hier nicht von einem Girokonto sprechen. Auch wenn die Damen sicherlich mehr und öfters bestellen, die Packstationen bleibt 6 von 7 Tagen trotzdem leer. Und da liegen auch keine Goldketten und 20 iPhones in den Paketen.
    Ich denke wenn man sein Smartphone (samt Zugangsdaten für Online Banking, Browser Logins, etc.) verloren hat, hat man meistens größere Problem, als die Zugangsdaten der Packstationen.

    • Paul sagt:

      Zum Anmelden könnte man besser die Kundennummer nehmen…
      Die steht nicht auf jedem Paket und nicht bei “jedem” Versender.

      Ich habe auch keine Sorge, das ein Dieb mir meine frischen Unterhosen von Amazon klaut. Sondern DHL hat das Problem, das Versandbetrüger die PS gerne nutzen und darum einige Versender keine PS zulassen.

  6. Chris sagt:

    Auch ich bin von der Entwicklung wenig begeistert. Das liegt aber weniger an der Sicherheit.

    1.) In der DHL App ist die Logout Option zwar schlecht gelöst aber man kann sich ausloggen. Dann muss man bei jedem Aufruf den Nutzernamen und Passwort eingeben.
    Man muss diese Sicherheit nur nutzen.

    2.) Wenn man sich ausloggt, dann muss man bei jedem Login ein Google Captcha lösen.
    Das ist vor allem für Leute nervig, die nach Möglichkeit Google und andere Tracker aussperren, ohne den Komfort zu sehr einzuschränken. Bei der DHL App geht das nicht oder nur auf Kosten der Sicherheit.

    3.) Einlesen der Karte an der Packstation und die SMS fand ich eine sehr gute und komfortable Lösung. Aber wie schon in anderen Kommentaren zu lesen, machte auch die Karte häufig Probleme und ich musste die Kartennummer manuell eingeben.

    4.) Sollte man sich beim beenden aus der DHL App nicht ausloggen, gibt es noch eine weitere Sicherheitsebene. Die Android Bildschirmsperre. Wenn man sie richtig einstellt, dann wird für einen Missbrauch ein sehr kurzes Zeitfenster von 30 sek. bis 1 min. benötigt, in der eine Person das Handy unbemerkt an sich bringen muss. Ansonsten muss das Smartphone wieder mit Muster, PIN oder Fingerabdruck freigeschaltet werden.
    Hier liegt es also am Nutzer, wo er die Grenze zwischen Sicherheit und Komfort zieht.

    Mich nervt daher viel mehr, dass bei jedem Login der lange Benutzername und das Google Captcha eingegeben werden muss. Also benutze ich die App kaum mehr.

    Einen Mittelweg aus Komfort und Sicherheit würde ich bevorzugen aber das scheinen die Nutzer nicht zu wollen oder es kommt bei DHL nicht an.

    • FoxSayz sagt:

      Es gibt eine Offline-Only App für die Packstation im Playstore, der Entwickler scheint ein seriöser deutscher Programmierer zu sein, aber ich vertraue trotzdem keiner App von jemandem der den Quellcode nicht offen legt.

      F-Droid oder bust, deswegen verlinke ich den Käse auch hier nicht.

  7. Ein Packstation Nutzer der ersten Stunde sagt:

    Wenn der Aufhänger für die Aufregung wirklich das “Speichern der Kundenkarte” in der App sein soll, hat sich dadurch wenig bis nichts geändert:
    was “gespeichert” wird, ist die Post-/Kundennummer, die schon immer in den Kontoeinstellungen der App angezeigt wurde. Neu ist lediglich, das diese Nummer als Barcode angezeigbar ist und damit das manuelle eintippen der Nummer – an geeigneten Packstationen – überflüssig macht.
    Einen Sicherheitsverlust vermag ich darin nicht zu erkennen, ändert sich doch lediglich der Übertragungsweg der Daten von optisch via User zu optisch via Scanner. In beiden Fällen ist es der Anwender, der die Aktion auslöst.

    Auch dass DHL vorrangig den Komfort der Kunden im Blick hat, wage ich zu bezweifeln. An den Packstationen in meinem Umfeld funktioniert weder das Scannen einer Karte noch das Scannen des in der App angezeigten Barcodes.
    Übrigens funktioniert genau so wenig das Scannen von QR-Codes zum ausdrucken zuvor online bezahlter Frankierungen.
    Hätte man den Komfort der Kunden im Blick gehabt – die Grafik mit dem Barcode hätte ohne den Umweg über ein Stück Plastik mit den Informationen generiert werden können, die ohnehin schon immer in der App hinterlegt sind.

    Meine Packstationsnutzung ist daher seit vielen Jahren mit manuellem eintippen diverser Nummern über das Display der Packstation verbunden. Das online frankieren und an der Packstation ein zuvor schon bezahltes Etikett ausdrucken, funktioniert für mich nicht mehr, da man praktischer Weise seit einiger Zeit darauf verzichtet die Information des QR-Codes, den man nach Bezahlung per E-Mail erhält, auch in Menschenlesbarem Text unterhalb der Grafik auszugeben.

    Ich denke eher, dass DHL vermeiden möchte die ganzen noch im Umlauf befindlichen alten Kundenkarten der ersten Generation, die noch keinen Barcode, sondern einen Magnetstreifen besitzen, austauschen zu müssen.

    Fazit:
    – In Sachen Sicherheit hat sich durch die vermeintliche Speicherung der Kundenkarte nichts geändert.
    – Es ist viel Luft nach oben, wäre man wirklich daran interessiert die Nutzung nach dem aktuellen Stand der Technik abzusichern (z.B. Kundenkarte mit Smart-Card, wie man es von Banken kennt + wie schon angesprochen biometrische Absicherung der App/Abholpin, etc.)

    • JohnRipper sagt:

      Eben bzw. ich gehe davon aus, dass man ganz von den Karten weg möchte. Die Karten, ob Barcode oder Magnetstreifen hatten nämlich nie eine sicherheitsrelevante Berechtigung.

      Zeigte sich auch in der Tatsache, dass man keine Chipkarten für die Paketstation verwendet hat, was schon immer ein Problem war. Defacto war/ist die Karte also nie ein gesicherter Vector gewesen und wird es auch nicht sein, zumal öffentlich bekannt.

      Gibt auch genug im Netz dazu:
      https://www.heise.de/ct/artikel/Hintergruende-des-Packstation-Hacks-3248029.html

      • Paul sagt:

        Ja, die Karte ist der letzte “Kostenfaktor” und wirklich schon immer unnötiger Marketing-Firletanz (“Golfcard”) durch den kein Krimineller abgehalten werden konnte, aber uninformierte Kunden drangsaliert und in falsche Sicherheit gewogen wurden.

        DHL spart radikal ein.
        Früher gab es ein blickgeschützes nummerisches Pin-Pad mit einem Magnetstreifen-Leser. (Jetzt: virtuelles Keyboard)
        Früher stand die Postnummer nur im Magnetstreifen (Jetzt: im Barcode)
        Früher gab es die mTAN per SMS, jetzt nur per eMail (ja!) oder auf die App.
        Früher gab es ein Regendach, jetzt jogliert man mit Schirm und Smartphone und Paket…

  8. 1ST1 sagt:

    Sind eigentlich bei allen Packstationen die Touchscreens so ein berührungs_un_empfindlicher Mist? Bei der die ich immer benutze, ist es so. DIe reagiert eigentlich garnicht auf normale Eingaben mit dem Finger. Erst wenn man mit dem Fingerknöchel tippt, geht es. Und dann kommt noch dazu, dass die Vormittags bei gutem Wetter kaum benutzbar ist, weil die Sonneneinstrahlung auf das Display so hoch ist, dass man kaum was ablesen kann.

    • FoxSayz sagt:

      Ja das liegt am Vandalismus-Schutz. Ich persönlich würde ja ein NFC-Feld bevorzugen, dass über TOTP oder ECDHE mich als Kunden authorisiert, aber in unserer Digitalisierungswüste wird das nie was. Selbst die Bahn ist schon viel weiter. Rechtmachen wird man es manchen Kunden aber eh nie. Die einen wollen kein Smartphone, die anderen wollen keine Karte.

      Wenn wir alles auf Sicherheitsstandards wie SECCOS für Giro hochzüchten wollen, wird die Packstationskarte teuer… Barcodes sind billig aber unsicher, der Mittelweg sind leider Smartphones.

      Ich denke unser Land hat einen Denkfehler. Jeder muss den E-Perso haben, aber sinnvoll kann man ihn nirgends nutzen. Nur um mehr Alternativen zu nennen.

  9. Anzeige

  10. Paul sagt:

    Es gibt 2 Modell des Terminals.
    Die eine Touch-Version läßt sich “eigentlich” nur mit Stift bedienen (Hat sich da wer beim Bestellen des Touch-Types vertan…?)
    Diese lassen sich aber gut mit dem Fingernagel bedienen.
    (Wenn man drauf kommt…)

    Die neuen Stationen haben eine “echte” Touch Screen.

  11. mw sagt:

    Ich frage mich wozu diese unsägliche App? Kundenkarte mit Chip und TAN für jedes Paket. Für mich völlig unverständlich, warum die TAN per SMS abgeschafft wurde. Mit TAN per eMail geht die doch durch mehr Stellen als eine SMS. Und ein eMail Account ist auch schnell gekapert. Falls es küntig TANs nur noch in der App gibt, dann werde ich keine Packstation mehr nutzen, da die Postfilale nur um die Ecke ist. Lediglich die Öffnungszeiten sind eingeschränkt.

    Ich kann grundsätzlich nicht nachvollziehen wie Apps für sicherheitsrelevante Dinge verwendet werden. Das Einloggen ist Quatsch. Niemand kann sich zig sichere Passphrases merken.

    • Paul sagt:

      Die Onetime-TAN per SMS wurde aus Kostengründen abgeschafft.
      Die Karte hat keinen Chip. Da ist nur ein Barcode mit der sog. “Postnummer” drauf, ohne Marketing hätte man das “Paketfachnummer” genannt.

      Für den Kunden ist auch der Zeitaufwand riesig geworden.
      Ne SMS nachzusehen dauerte 1..2sec.
      Google Mail aufzumachen gefühlte 20sec.
      Die Paketstation geben sie auch im Betreff an. Nur leider:
      Wieder als letztes, und auf dem Smartphone ist der Betreff verkürzt, so das man auch diese eMail aufmachen muß…

      Derreit bekommen nur Alt-Kunden die Onetime-TAN per -Klartext- eMail, Neukunden “müssen” die App nutzen.
      (Das ist ja ein zusätzlicher Service den ja niemand wirklich benutzen muß. Ich muß mir ja auch kein Vanille-eis kaufen.)
      Zeitgleich eine 2. eMail mit der Angabe, in welcher Paketstation das Paket liegt.
      (Z.B. wenn die wünschte voll oder kaputt ist, oder man die Waren in den Urlaubsort hat schicken lassen)
      Diese Service wird sicherlich künftig komplett entfallen, da man so keine Informationen zum aktuellen Aufenthaltsort des Kunden gewinnen kann.

      Anyway:
      Es ist kein solches Sicherheitsrisiko wie es gerne darstellen wird.
      Warum sollte ein Krimineller “einfachso” mein Paketfach öffnen?
      Er weiß doch garnicht, ob es sich lohnt. dafür 3..4 Jahre “Bau” riskieren (ist wohl schwere Diebstahl, da das gestohlene Verschlossen war?)

      Etwas anderes ist, wenn ein Dritter im Darkent einkauft,
      die Pistole an meine PS liefern läßt.

      Dann müsste er meine eMail umlenken, da ich ja wahrscheinlich dann auch zur PS komme.
      Riskant für Leute die eine PS eingerichtet haben, diese aber nicht mehr benutzen, evtl. den eMail account gar mehr benutzen. Aber wie sollten dann Kriminelle an die Kombination eMail/Postnummer kommen, wenn das nie benutzt wird?
      Nur durch Phishing des DHL-Online-Zuganges.
      “Sie haben länger nichts mit Ihrer Paketstation gemacht. Bitte loggen Sie sich ein. Sonst löschen wir Ihren Account.”

      Einen Vorteil hat die App:
      Sie könnte DHL die Position des Handies mitteilen.

      Übrigens werden seit ein paar Jahren die Paketdaten länger als nötig “Vorratsdaten-gespeichert”. Das dient dazu den Handel im Darknet zu verfolgen.

  12. Tom sagt:

    Die Zukunft wird “Packstation Kompakt” sein ohne Display. Die App verbindet sich dann via Bluetooth mit der Packstation.

    https://www.heise.de/newsticker/meldung/DHL-testet-neue-App-gesteuerte-Packstationen-4642807.html

  13. Jan Beckmann sagt:

    Hallo,
    Update: ab sofort werden die TAN nicht mehr per E-Mail verschickt.
    Danke Ihnen für den Blog nebst Thread.
    Ich finde den App Zwang unsäglich und lehne das ab.

    Wie sonst kann man DHL zeigen, dass man sich nicht einen mittleren Datenhaufen (ich meine die App, die Andere kleine war mir zu aufwendig, weil ich die AGB nicht komplett studieren wollte bei der Beta. Also, eine App mit weiterem Datenhunger möglicherweise) aufzwängen lässt. Ich meine damit, dass die Post immerhin sensible Daten an politische Parteien verkaufte (muss mich doch sehr wundern, dass DHL hier anzunehmen scheint, dass mir (…) der Vorgang nicht erinnerlich wäre- frech). Da muss die oder der Nutzer dann wohl selbst tätig werden (so ginge aber Demokratie- und dank unseren Soldaten ist Deutschland so wirtschaftsstark).

    Mit freundlichem Gruß
    J. Beckmann
    *** kaufe Teile und lasse die bislang gerne in die Packstation liefern ***

  14. Günter Born sagt:

    Den letzten Post habe ich unter SPAM einsortiert. Unter Kommentieren im Blog hätte sich nachlesen lassen, warum Erstkommentare in der Moderation landen. Ist wohl noch ein weiter Weg von der Uni ins richtige Leben …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.