Froschs Blog

Computer und was das Leben sonst noch so zu bieten hat

Zur Website | Impressum

DHL-Packstation: Bald bequem unsicher

16. September 2021 um 19:47 Uhr von Atari-Frosch

Gerade erfahren: Pakete an der Packstation mit der Post & DHL App abholen.

Kurz: Die App soll auf Abruf einen 120 Sekunden gültigen QR-Code ausspucken, mit dem man das Paket aus der Station holen kann. Die Kundenkarte wird dann nicht mehr benötigt.

Etwas länger: Leute, das könnte in die Hose gehen …

DHL schreibt in der FAQ:

Ein Teil dieser Strategie sind die anstehenden Änderungen bei der Bedienung der Packstation. Diese erhöhen sowohl die Sicherheit als auch den Komfort beim Paketempfang für Sie.

und:

Diese sogenannte Geräteaktivierung ist einmalig je Endgerät (Smartphone oder Tablet) notwendig und stellt sicher, dass nur der berechtigte Empfänger mit der Post & DHL App seine Sendung aus der Packstation entnehmen kann.

Nein, die Sicherheit wird damit nicht erhöht, im Gegenteil: Dadurch, daß der 2. Faktor, nämlich die Kundenkarte, wegfällt, wird die Sache unsicherer. Wer das Smartphone besitzt, kann dann die Pakete abholen, denn eine zusätzliche Authentifizierung durch die Kundenkarte soll ja nicht mehr nötig sein. Das heißt: Nicht (nur) berechtigte Empfänger können das Paket abholen, sondern auch jeder Mensch, der in den Besitz des betreffenden Smartphones gekommen ist, wie auch immer. Leute verlieren ja nie Smartphones, und geklaut werden die auch nie, nicht wahr? 🤦‍♀️

Als Packstations-Bestandskunde können Sie noch bis Ende Januar 2022 Ihre Sendungen mit Ihrer Kundenkarte und dem vierstelligen Abholcode an der Packstation abholen, wenn Sie das möchten.

Wie nett. Also: Ab Februar 2022 darf man als Packstations-Kunde nicht mehr das Smartphone verlieren. OK, möchte man auch so nicht, aber wenn, dann sollte ja dafür gesorgt sein, daß man nur die Hardware verliert und keine persönlichen Daten oder Zugänge, nicht wahr? Zumindest keine, die man nicht sperren kann. Von einer solchen Möglichkeit steht da nämlich nichts.

Für motorisch eingeschränkte Menschen könnten 120 Sekunden bzw. zwei Minuten übrigens durchaus knapp werden, vor allem, wenn das Scannen einfach nicht funktionieren will und man den Code händisch eingeben muß.

Schlechter Mobilfunk-Empfang (hey, wir sind in Deutschland!) macht die Abholung dann vermutlich ebenfalls zu einem Abenteuer. Ich glaube ja nicht, daß DHL dann an jede Packstation einen Freifunk-Router installiert, damit der Internet-Zugang garantiert wird. Ich glaube nicht einmal, daß DHL überprüft, ob an jeder Packstation jeder Mobilfunk-Anbieter gut genug empfangbar ist. Das ist ja nicht nur einer.

Und was passiert, wenn jemand Kratzer oder gar Sprünge im Display hat, möchte ich glaub ich auch nicht so genau wissen. Gesehen habe ich das jedenfalls schon recht häufig; meine eigenen blieben bislang zum Glück verschont.

Vielleicht sollte DHL sich das nochmal überlegen. Spätestens, wenn sich die Beschwerden häufen, weil Sendungen zurückgehen, nur weil der 120-Sekunden-Code abgelaufen ist oder an der Packstation der Empfang nicht funktionierte, könnte das ungemütlich für DHL werden.

(Danke an @Lachgas für den Hinweis.)


History

Ein Kommentar zu “DHL-Packstation: Bald bequem unsicher”

  1. Chris quakte:

    Man sagt mir immer nach, dass ich bei Datenschutz und Sicherheit übertreibe, aber ich glaube, hier hörst du das Gras wachsen. Gehen wir es mal zusammen durch?

    Welche Szenarien wären denn denkbar? Mir fallen zwei ein. Man will mein Paket klauen und man will Waren anonym über mich empfangen.

    Das erste Szenario halte ich für nicht unmöglich, aber doch sehr unwahrscheinlich. Man müsste ja wissen, dass ich jetzt genau auf ein Paket an Packstation xy warte und mir rechtzeitig das Handy klauen, hoffen, dass das entsperrt ist usw. Das wäre zwar alles möglich, aber mit einem Aufwand verbunden, der größer ist, als das Paket von meinem Postboten zu klauen, oder mir an der Packstation aufzulauern.

    Bleibt also nur Szenario zwei. Auch hier halte ich den Aufwand für verhältnismäßig hoch.

    Mein Handy muss entsperrt sein, nicht verschlüsselt, oder muss eine Sicherheitslücke besitzen, die der Angreifer in der Lage ist auszunutzen.
    Es darf kein iPhone sein. Apple User können über ihre AppleID das Gerät aus der Ferne sperren und löschen (ich weiß grade nicht, wie zwingend das bei android ist).
    Man muss mir mein Handy erstmal klauen und hoffen, dass ich Packstation überhaupt nutze.

    Ich halte den Aufwand im Verhältnis zum Nutzen – vielleicht ein Paket empfangen zu können, bevor das Handy aus der Ferne gelöscht wurde – für zu groß. Jedenfalls im Moment noch.

    Dein Einwand, es könnte für Menschen schwerer zu bedienen sein, könnte dagegen zutreffen. Es könnte aber auch einfacher sein, einen QR Code einzuscannen, als eine TAN einzugeben.


Kommentieren

Bitte beachte die Kommentarregeln!

XHTML: Du kannst diese Tags verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>