bedeckt München 20°

Deutsche Post:Kriminelle hatten Zugriff auf DHL-Packstationen

DHL-Packstation

In Deutschland gibt es etwa 2 750 Packstationen. Zwischenzeitlich waren sie offenbar leichte Beute für Hacker.

(Foto: Tobias Felber/dpa)
  • Eine Schwachstelle in der App "DHL Paket" ermöglichte es Hackern, die Paketfächer von Packstation-Kunden zu öffnen.
  • Dafür benötigten sie die Zugangsdaten zum DHL-Account und eine Kundenkarte - diese lässt sich jedoch mit vergleichsweise geringem Aufwand duplizieren.
  • DHL hat die Funktion in der App inzwischen deaktiviert, momentan sind die Packstationen sicher.

Kriminelle konnten offenbar unnötig leicht auf die Paketfächer der etwa acht Millionen Packstation-Nutzer zugreifen. Die Sicherheitslücke bestand seit Anfang Juni und wurde mittlerweile geschlossen, wie das Computermagazin c't in seiner kommenden Ausgabe berichtet. Dabei ging es jedoch nicht vorrangig darum, die Bestellungen der Kunden zu stehlen. Die Kriminellen ließen sich vielmehr illegale Waren wie etwa Drogen an fremde Paketfächer liefern, um den Handel zu verschleiern.

Das Problem lag offenbar in der App "DHL Paket". Um eine Lieferung an einer Packstation abzuholen, ist eine mTAN nötig. Früher verschickte DHL diese Sicherheitscodes nur per SMS - Hacker benötigten also Zugriff auf das Handy, wenn sie die Packstation öffnen wollten. Im Juni schaltete das Unternehmen jedoch eine Funktion für die App frei, mit der sich Kunden den vierstelligen Code auf dem Smartphone anzeigen lassen konnten. Das ermöglichte es Fremden, das Paketfach zu leeren, wenn sie die Zugangsdaten der Kunden kannten.

Zusätzlich brauchten die Kriminellen eine DHL-Kundenkarte. Wie die c't schreibt, lassen sich diese Karten mit Magnetkartenschreibern perfekt duplizieren, die Packstation habe den Missbrauch nicht erkannt.

Zunächst spielte DHL das Problem herunter

Nachdem der Sicherheitsexperte Hanno Heinrichs die Lücke entdeckt und sich an c't gewandt hatte, konfrontierte die Zeitschrift DHL am 8. Juni mit dem Problem. Man habe empfohlen, "die betroffene Funktion umgehend abzuschalten". DHL sah jedoch keinen Handlungsbedarf, da "durch dieses zusätzliche Angebot kein erhöhtes Sicherheitsrisiko" bestehe.

Das war offensichtlich eine Fehleinschätzung: Gut eine Woche später gab DHL zu, dass die Lücke offenbar doch schwerwiegender war als gedacht. Anscheinend wurde im sogenannten Darknet ein Tool angeboten, die es den Käufern ermöglichte, die Schwachstelle ohne Schwierigkeiten auszunutzen, um sich Pakete im Namen echter Packstation-Kunden liefern zu lassen. DHL habe erklärt, bereits "risikomindernde Maßnahmen" ergriffen zu haben, "die eine missbräuchliche Nutzung technisch erkennen und präventiv abwehren."

Am Montag sagte DHL der c't, dass die Funktion der App aus Sicherheitsgründen abgeschaltet werden solle. Bevor sich Kunden wieder mTANs per "DHL Paket" zuschicken lassen können, solle die Übertragung "technisch weiter optimiert" werden. Wenn man derzeit als registrierter Nutzer in der App die mTAN-Funktion aktivieren will, erhält man eine Fehlermeldung und wird vertröstet: "Bitte versuchen Sie es später erneut."

Oberhaching Lieferstatus: Genervte Empfängerin
DHL-Paket

Lieferstatus: Genervte Empfängerin

Zwei Wochen lang versucht eine Frau, in Oberhaching ein Paket abzuholen. Doch die angegebene Packstation ist defekt - und selbst die DHL-Mitarbeiter verlieren den Überblick.   Von Iris Hilberth