Home / News&Stories /
Daten-Fiasko bei DHL: „Ihre Sendung liegt in der Packstation.“ – oder doch nicht?
DHL-Sicherheitslücke mit Folgen

Daten-Fiasko bei DHL: „Ihre Sendung liegt in der Packstation.“ – oder doch nicht?

Beitrag von exaliBeitrag von exaliexali
Beitrag von exaliBeitrag von exaliexali
Montag, 27. Juni 2016
Montag, 27. Juni 2016
Zurück zur Übersicht

Über der IT-Abteilung von DHL hat sich ein dunkles Gewitter zusammengebraut, denn das Unternehmen hat es mit einem gewaltigen Cyber-Angriff zu tun. Und die Internetbetrüger schrecken dabei vor nichts zurück. Das Opfer? Der internationale Logistik Marktführer DHL. Der Schaden? Rund acht Millionen DHL-Packstationen inklusive Kundendaten waren in Gefahr. Und die Täter? Die treiben sich wahrscheinlich immer noch unter dem anonymen Schutzmantel des World Wide Webs im Internet herum. Die Lektion? Ein Warnsignal an alle freiberuflichen und selbstständigen IT’ler, die immer besser auf Nummer sicher gehen sollten. 

Heute geht es bei exali.de um einen Fall, der mal wieder eindrucksvoll beweist, wie abgebrüht Hacker und Betrüger handeln und der gerade IT’lern zeigt, wo die Gefahren lauern und die Schwachstellen liegen.

Lieber auf Altbewährtes setzen?

Auslöser des ganzen Daten-Debakels ist die App „DHL Paket“, die enorme Sicherheitslücken aufweist und es den Online-Ganoven ermöglichte, auf sensible Daten von Millionen Paket-Bestellern zuzugreifen, mit fatalen Folgen. Doch von vorn:

Objekt der Begierde in den Warenkorb legen, Päckchen in die Packstation liefern lassen, beim Abholen die vierstellige mTAN eingeben, welche DHL bislang per SMS an seine Kunden verschickt hat, Päckchen mitnehmen – so und nicht anders lief Online-Shopping via DHL bislang ab. Doch seit Anfang Juni kann die mTAN nicht nur über die alt bewährte und vergleichsweise sichere SMS versandt, sondern auch über die neue App „DHL Paket“ angefordert werden.

Was den IT-Experten von DHL nicht auffiel: Die App weist erhebliche Sicherheitslücken auf. Theoretisch konnte jeder, der im Besitz fremder Zugangsdaten war, auf die streng vertrauliche mTAN zugreifen. Da liegt es leider auf der Hand, dass sich gerade Hacker und Betrüger dieses Datenleck zu Nutze machen, um mit viel krimineller Energie die sensiblen Kundendaten im Darknet zu vermarkten, Päckchen aus den Packstationen zu klauen und sich sogar illegale Waren, wie  Drogen, auf einen anderen Namen liefern zu lassen. Besonders gravierend: Fällt eine solche dubiose Lieferung in die Hände des Zolls oder der Polizei, muss sich der angegebene, völlig ahnungslose Empfänger erstmal aus der Situation hinaus manövrieren.  

Auch die Kundenkarte, die für das Abholen der Pakete notwendig ist, lässt Kriminelle nicht zurückschrecken. Denn diese lässt sich mit einem Magnetkartenschreiber perfekt duplizieren.

Alles halb so wild…

Und blieb DHL wirklich nichts anderes übrig, als dieses Sicherheits-Fiasko über sich ergehen zu lassen? Nicht ganz! Denn das Datenleck wurde nicht vom Unternehmen selbst, sondern von Sicherheitsexperte Hanno Heinrichs aufgedeckt, der sich mit seiner Entdeckung direkt an c’t, ein Magazin für Computertechnik, wandte, das wiederum DHL informierte. Besonders unangenehm für den Logistik Marktführer: Das Sicherheits-Problem wurde zuerst nicht anerkannt. DHL tappte also völlig im Dunkeln.

…oder doch nicht?

Grund genug für c’t, der ganzen Sache auf den Grund zu gehen und siehe da: Durch die Sicherheitslücke im System von DHL hätten tatsächlich fremde Pakete abgeholt werden können, Heinrichs hat mit seinen Annahmen also voll ins Schwarze getroffen und die Blamage für DHL ist groß:

Ganze acht Tage später hat das Logistik-Unternehmen eingelenkt und das vorhandene Datenleck bestätigt. Denn es wurde entdeckt, dass das Geschäft mit den geklauten Daten von Packstation-Nutzern auf dem Online-Schwarzmarkt regelrecht boomte. DHL musste die Übertragung der mTAN via App erstmal abschalten, um die Funktion zu optimieren und das Leck zu stopfen.

Keine Chance für Internetbetrüger

Solche Apps sind zwar praktisch für den Kunden und effizient fürs Unternehmen, doch von ihnen geht auch schnell ein enormes Sicherheitsrisiko aus. Vor allem dann, wenn es um sensible und streng vertrauliche Daten geht. Was also tun, wenn ein Programmierfehler unterläuft oder ein Datenleck im System des Auftraggebers nicht rechtzeitig erkannt wird? Dann sieht’s schlecht aus, denn Hacker und Internetkriminelle warten an jeder Ecke auf solche Situationen, um sie schamlos auszunutzen.

Doch IT’ler, aufgepasst: Kein Grund, das Programmier-Handtuch zu werfen! Die passende Versicherung kann bei solchen beruflichen Versehen Abhilfe schaffen. So schützt die IT-Haftpflicht über exali.de nicht nur bei fehlerhafter Programmierung oder Datenerfassung, sondern auch bei Beratungsfehlern und vielen mehr. 

Weiterführende Informationen:

© Sarah Kurz – exali AG

vorheriger Artikel
 
zurück
 
nächster Artikel
0 Kommentare
Schreiben Sie einen Kommentar
Bitte füllen Sie alle als * Pflichtfelder gekennzeichneten Bereiche aus.

Durch Betätigen des Buttons „Absenden“ werden die in das obige Formular eingetragenen Daten zum Zwecke der Verarbeitung Ihrer Anfrage erhoben und verarbeitet. Sämtliche Daten werden verschlüsselt übertragen und nur im Rahmen der Angaben in den Datenschutzhinweisen verarbeitet. Sie haben ein Widerspruchsrecht mit Wirkung für die Zukunft.