Sicherheit
Packstation: Sicherheitsmängel bei DHL
von
Thorsten
Eggeling - 09.02.2012
Wie die ARD-Sendung Plusminus berichtet, werden Nutzer von DHL-Packstationen immer wieder Opfer von Kriminellen. Die Kundenkarte („Goldcard“) der Packstation bietet kaum Schutz, da sie sich relativ leicht fälschen lässt.
Packstationen sind vor allem für Berufstätige eine praktische Einrichtung. Eine Sendung lässt sich einfach an die Packstation adressieren und man kann sie dann rund um die Uhr abholen. Sobald ein Paket eintrifft, wird der Kunde von DHL per SMS und/oder E-Mail benachrichtigt. Allerdings sollten bei Packstations-Kunden sofort die Alarmglocken schrillen, wenn sie über ein Paket informiert werden, das sie nicht bestellt haben. Ist dann auch noch eine andere als die übliche Packstation der Abholort oder die Packstation befindet sich sogar in einer anderen Stadt, liegt wahrscheinlich ein Betrugsfall vor.
Im Plusminus-Bericht war es ein Fotograf aus Gelsenkirchen, der zwar etliche Benachrichtigungen von DHL per SMS erhielt, diese aber offenbar ignorierte. Erst als Zahlungsermahnungen über vermeintlich an ihn gelieferte aber nie bestellte Waren eintrafen, fragte er bei DHL nach. Hier erfuhr er, dass sein Packstationszugang offensichtlich gestohlen wurde. Der Packstations-Kunde war wohl auf eine DHL-Phishing-E-Mail hereingefallen und hatte seine Packstations-Zugangsdaten und die PIN-Nummer an Kriminelle übermittelt.
Sicherheitsrisiko GoldCardMit den Zugangsdaten alleine ist es allerdings nicht möglich, ein Paket bei einer Packstation abzuholen. Dazu benötigt der Kunde noch eine Kundenkarte, die bei DHL GoldCard heißt. Wie konnten die Betrüger also die Sendung an der Packstation entgegennehmen? Ganz einfach. Eine zweite GoldCard lässt sich problemlos mit einem Karten-Rohling erstellen, wenn man im Besitz der Kontodaten ist. Das hatten Hacker bereits im Juni 2011 in der Hackstation:Gulaschprogrammiernacht 11 des Entropia e.V. in Karlsruhe demonstriert. Das geht natürlich nur, weil die GoldCard einen Magnetstreifen nutzt und keine weiteren Sicherheitsmerkmale hat. Obwohl das Sicherheitsproblem der GoldCard also schon länger bekannt ist, meint der DHL-Sprecher Joerg Koens laut Plusminus, dass „DHL-GoldCards so sicher sind, wie beispielsweise EC-Karten von Banken.“ Dabei sollte Koens wissen, dass EC-Karten, die nur mit Magnetstreifen ausgestattet sind, eher als besonders unsicher gelten. Deshalb geben die meisten deutschen Banken inzwischen Smart-Cards an ihre Kunden aus, auf denen ein fälschungssicherer Chip für die Authentifizierung am Geldautomaten sorgt.
Versandhändler müssen sorgfältiger prüfen
Neben Phishing und GoldCard-Fälschung gibt es aber auch noch einen dritten Problembereich, den der Plusminus-Bericht nicht erwähnt. Wie konnten die Kriminellen so einfach Waren ohne weitere Prüfung bei Versandhändlern bestellen? Die meisten Händler kontrollieren zwar die Rechnungsanschrift nicht, aber Erstbestellungen sind nur bei Zahlung per Lastschrift, Kreditkarte oder Nachnahme möglich. Wenn ein Händler unbekannten Kunden Waren gegen Rechnung liefert, muss er sich über Zahlungsausfälle nicht wundern. Den Ärger hat trotzdem das Packstations-Opfer, denn es muss sich erst einmal gegen die Flut der Forderungen von Inkasso-Büros wehren.
Neben Phishing und GoldCard-Fälschung gibt es aber auch noch einen dritten Problembereich, den der Plusminus-Bericht nicht erwähnt. Wie konnten die Kriminellen so einfach Waren ohne weitere Prüfung bei Versandhändlern bestellen? Die meisten Händler kontrollieren zwar die Rechnungsanschrift nicht, aber Erstbestellungen sind nur bei Zahlung per Lastschrift, Kreditkarte oder Nachnahme möglich. Wenn ein Händler unbekannten Kunden Waren gegen Rechnung liefert, muss er sich über Zahlungsausfälle nicht wundern. Den Ärger hat trotzdem das Packstations-Opfer, denn es muss sich erst einmal gegen die Flut der Forderungen von Inkasso-Büros wehren.
Noch schlimmer kann es kommen, wenn die Kriminellen die Packstation für Waffen, Drogen oder illegale Medikamente nutzen. Da die Abholung bei Nacht und Nebel erfolgen kann, bleibt der Bote völlig anonym. Sollte die Tat dennoch auffliegen, hat es der Geschädigte nicht nur mit Inkassobüros sondern gleich mit dem Zoll oder der Staatsanwaltschaft zu tun.
