Dass die DHL-Packstationen nicht sicher sind, hat schon so mancher Händler leidvoll erfahren müssen – und in der Konsequenz versenden viele Händler ungern an Packstationen oder schließen diese sogar ganz aus. Jetzt hat DHL reagiert und will das Kapern von Packstationen erschweren: Ab dem 29 Oktober werden bei DHL Packstationen mPINs eingesetzt, verkündet die DHL heute in einer Pressemitteilung:
Zukünftig wird dann die mTAN zusammen mit der Sendungs-Eingangsnachricht SMS versendet. Das Auslösen des Paketes aus der Paketstation erfolgt dann mittels DHL Goldcard und Eingabe dieser mTAN – eine PIN wird nicht mehr benötigt. Die mTAN ist nur eine gewissen Zeit valide, sie gilt bei mehreren Paketen zum Abholen aller Stücke und sie erlischt automatisch nach Gebrauch (bei meheren Sendungen nach dem Auslösen des letzten Paketes).
Die Nutzung von Paketstationen wächst: Mittlerweile nutzen laut DHL bereits fast 3 Mio. Kunden die rund 2.500 DHL-Paketautomaten in Deutschland.
Das erklärte Ziel der DHL ist, einen Zustellungsgrad beim ersten Zustellversuch von 100% zu erreichen. Neben den bestehenden Lösungen wie den Paketstatonen sowie den „Garagenverträgen“, bei denen Empfänger Ablageorte definieren, an denen Sendungen bei Nichtantreffen abgelegt werden dürfen (und die DHL von der Haftung dann freistellen), sollen zukünftig auch Ablageboxen in Vorgärten entstehen: So sollen sich Vielbesteller bald abschließbare Boxen vor das Haus stellen lassen: Für diese hat sowohl der Paketzusteller als auch der Empfänger einen Schlüssel, so dass der DHL-Fahrer Sendungen in die Box legen kann und der Empfänger kann diese dann bei seiner Rückkehr nach Hause entnehmen – sozusagen ein übergroßer Briefkasten mit Schloss statt Schlitz.
Herzlich aus Hürth
Nicola Straub
Sebastian meint
3 Mrd. Kunden nutzen das also schon…? So so… Das wär dann die halbe Weltbevölkerung. 😉
Werner Brinkmann meint
Zitat: „Die Nutzung von Paketstationen wächst: Mittlerweile nutzen laut DHL bereits fast 3 Mrd. Kunden die rund 2.500 DHL-Paketautomaten in Deutschland.“
Jetzt wird mir klar warum ich zeitweise jede zweite Sendung in der Filiale abholen durfte weil die Packstation (nicht Paketstation) keine freien Kapazitäten mehr hatte.
Bei fast 3 Mrd. Nutzern verteilt auf 2.500 Packstationen kein Wunder….
Nicola Straub meint
Arg, mea culpa. Millionen sind es natürlich!
Das kommt davon, wenn man versucht, Artikel zu schreiben, während man alle 12 min von den kleinen Indianern zur Feuerstelle gerufen wird, weil der Stockbrot-Teig nicht hält, die Stöcke neu geschnitzt werden müssen, das Feuer nicht brennt, die Alufolie nicht gefunden wird…
Danke für den Hinweis!
Herzliche Grüße
Nicola Straub
Georg Gajewski meint
Ich bezweifle dass das neue Verfahren sicherer ist. Eher das Gegenteil ist der Fall. Das Problem hier ist mal wieder: Grosskonzern. Viel zu langsam.. Zum Zeitpunkt, als das Feature konzipiert wurde hat alle Welt geschrien, wie unsicher die Packstationen sein. Da hatte man aber schon die ersten Kunden auf Karte + PIN umgestellt, was hinreichend sicher ist. Die Zahl der Betrugsfälle ist seitdem massiv zurückgegangen. Mit einer reinen Phishingmail bekommt man heute keinen Zugang mehr zu einem fremden Account, man muss schon in den physischen Besitz der Karte gelangen und diese kopieren. Und das hätte man sogar mit Kryptografietechnik erheblich erschweren können, siehe EC Karten Technik..
Und was macht man jetzt? mPIN?? Seit ca 6 Monaten gibt es Trojaner für Smartphones, die im Hintergrund laufen und jede eingehende SMS unbemerkt an ein Hostsystem weiterleiten.. Und das Thema Malware auf Smnartphones hat gerade erste begonnen..
Ich hoffe nur sehr (ist aus dem Artikel nicht ersichtlich) dass man weiterhin die Karte braucht um Pakete abzuholen, ansonsten gute Nacht.
Nicola Straub meint
Doch, doch, die „Goldcard“ wird weiterhin benötigt – mein Fehler, ich hatte dies vergessen zu erwähnen. Ich habe es jetzt in den Artikel eingefügt. Herzlich, Nicola Straub
Jo Root meint
Hallo,
lasst mich etwas weiter ausholen. Als ich einst von der DHL-Packstation erfuhr, dachte ich mir, tolle Sache, was kostet das? Umsonst? Nur Anmelden! Kein Problem – und das seit Jahren. Warum soll der Zusteller jedes mal mit dem Paket zu mir kommen, nur um mir dann doch wieder eine Benachrichtigung rauszuschreiben? Auch die Bedienung ist für jeden Girokontobesitzer intuitiv und schlichtweg einfach. Und ab dem 29.10.2012 wird das Ganze noch komfortabler und darüber hinaus auch sicherer. Wahnsinn!
Ich musste mich aber leider fragen, in welcher Hinsicht das alte System unsicher war, wie es jetzt besser werden soll und was daran komfortabel ist. Bis auf theoretische Szenarien, fiel mir von meiner praktischen Erfahrung her nichts ein, wo dieses neue System für mich vorteilhaft wäre. Im Gegenteil, ich betrachte das neue System eher kritisch, als äußerst nutzlos und nachteilig, weshalb die DHL-Zusteller fortan wieder mehr Auslauf bekommen werden.
* Erstens, DHL will meine Handynummer! Google und Facebook scheitern daran schon seit vielen Monaten.
* Zweitens, was für meine Girokonten gut genug sei, reicht für meine Paketsendungen allemal:
http://www.wdr.de/tv/servicezeit/sendungsbeitraege/2012/kw07/0215/01_packstation.jsp
* Drittens, die PIN kann ich mir recht einfach merken, und mit der Karte darf ich nur einen Gegenstand (Geldbeutel) nicht vergessen, um die Ware abzuholen, ab nächster Woche zwei, da ich mir die variablen mTANs vermutlich nicht merken kann.
* Viertens, komfortabler wäre es vielleicht, wenn die ein System (zwei Code-SMS‘ und/oder Handy-DRM-Chip) einführten, wo ich ohne Karte und nur dem Handy auskäme, wobei ich von der Abhängigkeit des Handys grundsätzlich nichts halte.
* Fünftens, selbst mit meiner Karte samt Klartext-PIN, wird ein „Finder“ ohne der E-Mail mit der Empfangsstationsnummer und dem Empfangszeitpunkt, nur mit viel Glück meine Sendungen erhalten, falls ich die Karte vorher noch nicht gesperrt hätte.
* Sechstens, was tatsächlich gegen Phishing helfen würde, wäre die Postnummer auf dem Online-Account nicht anzuzeigen und den Login nur mit der E-Mail-Adresse oder einem Nutzernamen zu ermöglichen. Die Postnummer kann man sich ja noch immer per Briefpost, samt Nutzernamen an die verifizierte (Postident) Hausanschrift schicken lassen, sollte das mal erforderlich werden – warum auch immer?
* Siebtens, hätte ich gestern ein Paket an eine Packstation geordert, welches aber erst nächste Woche dort ankäme, würde ich von DHL quasi zur Herausgabe meiner Mobilfunknummer genötigt, wenn es mir nicht gelänge, die Adresse noch schnell zu korrigieren – Ich erhielt die neuen AGB nämlich erst heute (26.10.2012). Zum Glück startet mein amazon-Sparabo tatsächlich erst zum Monatsende. Diese kurzfristige Änderung betrachte ich dennoch als Unverschämtheit, die mit einer Übergangsfrist von einem ganzen Wochenende dem Fass den Boden ausschlägt.
Und worauf stützt DHL diese Überheblichkeit? Dass ich in Zukunft wieder das Risiko eingehen muss, meine Pakete an der Haustüre entgegenzunehmen, beim Nachbarn abzuholen oder von der Filiale, wo ich jeden Werktag vorbeifahre?
Aber sicherlich steckt bei einem sochen Großunternehmen ein Plan dahinter. Vermutlich kommen Sie mit dem Ausbau der Packstationen nicht mehr hinterher, die Filiallager stehen leer und die Angestellten am Schalter drehen Däumchen. Unterm‘ Strich muss sich das Risiko doch rentieren, dass die Paketzusteller zukünftig wieder mehr Arbeit haben könnten. Aber soweit ich höre, sind das eh nur billige Servicepartner, die vermutlich, wie angeblich echte DHL-Angestellte auch, gern auf bezahlte Überstunden verzichten.
Mir kann das aber tatsächlich egal sein, da ich in der Stadt locker ohne Packstation auskomme, wie schon zuvor, und um die Ecke ist auch gleich ein Hermes-Paketshop, der zwar keine 24/7-Verfügbarkeit hat, aber zeitlich noch im Rahmen liegt. Sicher, ich hatte Probleme mit Hermes, aber mit DHL ebenso, also was soll’s?
Allerdings sollte man vielleicht noch das neue DHL Produkt „Postfiliale Direkt“ in Erwägung ziehen. Da bleibt einem dann der Umstand erspart, das Paket eventuell persönlich entgegennehmen zu müssen oder beim Nachbarn abzuholen. Man geht guten Gewissens direkt in die Filiale, darf sich mit den anderen gemeinsam anstellen und gegen Vorlage eines Lichtbildausweises und der exklusiven Goldcard, kann man sein Paket dann nach Hause tragen.
Ich weiß gar nicht mehr, was diese Schnapsidee mit den seelenlosen Packstationen sollte. Keine Warteschlagen für soziale Kontakte, keine Öffnungszeiten für tägliche Struktur und auch keine qualitativ hochwertigen Premium-Büroartikel im Angebot.
Ein Sache ist mir aber jetzt schon klar, egal wie viele Leute sich beschweren, bei der Post wird anhand von Zahlen stets beweisen können, dass die Umstellung zur mTAN eine gute Idee war und deshalb alles so bleiben muss, wie ist. Noch bessere Ideen werden auch in Zukunft verteidigt.
MFG
Jo Root
PS: Sehr geehrte DHL-Mitarbeiter, Sie erreichen mich nicht per Telefon! Unter 01805 / 345 22 55* steht Ihnen Ihr Kundenservice rund um die Uhr zur Verfügung. 14 Cent je angefangene Minute aus den deutschen Festnetzen, ggf. abweichende Mobilfunktarife; höchstens 42 Cent pro angefangene Minute aus den deutschen Mobilfunknetzen
Nicola Straub meint
Lieber Herr Jo Root,
das Packstationen-System war (zeitweise) SEHR unsicher, reihenweise sind (per Phishingmails) den Nutzern die Zugangsdaten entwendet worden und die so „entführten“ Stationen wurden organisiert zum Warenkredit-Betrug genutzt. Ein erhebliches Problem für Onlinehändler, entsprechend haben manche eine Zeit lang gar nicht mehr an Packstationen geliefert. So groß war das Problem!
Die eingeführte physisch vorhandene Karte hat das dann verbessert, dennoch kursieren teilweise immer noch Phishipgmails, die Packstationen-Daten abfragen – gottseidank nur noch selten.
Dass Sie so gut klarkamen bzw. noch besser mit einem Filialdienst klarkommen, ist prima. Zudem lese ich aus Ihrem Kommentar, dass sie viel bestellen und somit ein erfahrener Onlinekunde sind. Das Problem im E-Commerce sind natürlich solche Kunden wie Sie weniger, eher Kunden, die eben nicht in der Nähe einer Filiale mit langen Öffnungszeiten sind und ggf. sogar insgesamt mit einer schlechten Infrastruktur in der Umgebung leben: Gerade für diese sollte ja der Onlinekauf auch besonders interessant sein – aber nur, wenn die Lieferungen auch schnell und zuverlässig ankommen.
Dieses Interesse eint beide Seiten: Kunden udn Händler.
Herzlich, Nicola Straub
Jo Root meint
Hallo,
ich hab‘ mal eine meiner abgelaufenen Handynummern dort registriert und festgestellt, dass diese zumindest mittels einer Bestätigungs-Email verifiziert werden muss.
Dann muss man als Phisher zumindest eine zweite Fake-Email an das Opfer schicken, in der jenes aufgefordert wird, die erhaltene Bestätigungs-Email anzuklicken oder an dhl@betrüger.net weiterzuleiten, da man einen Cyberangriff registriert hat und diesen sofort (kriminalpolizeilich) ahnden muss. Dem Opfer mit der ersten Email gleich noch einen Trojaner unterzujubeln, wäre sicherlich komfortabler und auch ertragreicher. Oder, einem mit der zweiten Email, die sehr wahrscheinlich vorletzte Email per Link schicken lassen, welcher aus irgendeinem Grund unbedingt angeklickt werden muss.
Dadurch hat DHL das Verfahren zumindest so sicher gemacht, dass es nicht von irgendwelchen Script-Kiddies umgangen werden kann, solange es diesbezüglich nichts zum Download gibt. Ob das professionelle Kriminelle mehr hindern wird, als die Bankstandard-Goldcard, wird sich zeigen. Ob ein Krimineller professionell arbeitet, hat übrigens nichts damit zu tun, wieviel dieser erbeutet.
Ich bin aber nach wie vor der Meinung, dass die Postnummer schlicht nur auf der Goldcard stehen sollte, oder die Kunden-ID auf dem Magnetstreifen eine andere, dem Kunden unbekannte Kennung sein müsste. Somit ließe sich diese nicht über das Kundenportal auslesen, und könnte auch nicht vom Kunden per FakeMail erfragt werden, da sie diesem ja unbekannt ist. Das Schreiben einer Zweitkarte mittels Rohling erforderte dann zumindest gefälschte Terminals an den Packstationen, wie es bei Bankautomaten üblich ist.
Dazu kann ich nur empfehlen, das Terminal auf eine Ebene mit der gesamten Packstation zu legen. Der Sichtschutz besteht aus parallelen Platten, seitlich so montiert, dass man noch immer sofort erkennen kann, wenn das Terminal plötzlich von der Gesamtfläche hervorragt. Natürlich bietet auch das keine 100% Sicherheit, aber der Hinderungsfaktor wäre deutlich erhöht, bis hauchdünne und transparente Touchscreen-Aufkleber mit Bluetooth auf den Markt kommen.
Die Packstation mit Graffiti und/oder Verschmutzung zu tarnen, damit der Kunde angewidert möglichst schnell sein Paket abholen will und nicht auf Veränderungen achtet, wäre sicherlich auch ganz effektiv. Dann muss man seine Benutzer eben dahingehend erziehen, Packstationen nur dann zu nutzen, wenn diese als utopisch durchgehende Fläche in einer Farbe erscheinen, samt der goldenen, angebissenen Birne über dem Posthorn.
MfG
Jo Root
PS: Sehr geehrte DHL-Mitarbeiter, Sie erreichen mich nicht per Telefon! Unter 01805 / 345 22 55* steht Ihnen Ihr Kundenservice rund um die Uhr zur Verfügung. 14 Cent je angefangene Minute aus den deutschen Festnetzen, ggf. abweichende Mobilfunktarife; höchstens 42 Cent pro angefangene Minute aus den deutschen Mobilfunknetzen
Nicola Straub meint
Kleiner Hinweis: Mit einem entsprechenden Hack auf einem Handy/Smartphone kann ein Betrüger den E-Mailverkehr völlig ignorieren. Der Hack muss nur warten, bis der Postservice eine SMS mit der TAN schickt und diese im Hintergrund weiterleiten.
Jo Root meint
Zum Schluss muss man sich noch die Frage stellen, ob man Deutsche Post/DHL, seine Handynummer überlassen will:
http://www.br.de/fernsehen/bayerisches-fernsehen/sendungen/quer/120322-quer-postboten104.html
Jo Root meint
Vielleicht wäre es für den einen oder anderen interessant zu wissen, dass man bei Problemen den DHL-Kundenservice auch unter der kostenlosen (Festnetz !!!) Hotline 0800-4159159 erreichen kann.