Daten-Fiasko bei DHL: „Ihre Sendung liegt in der Packstation.“ – oder doch nicht?
Über der IT-Abteilung von DHL hat sich ein dunkles Gewitter zusammengebraut, denn das Unternehmen hat es mit einem gewaltigen Cyber-Angriff zu tun. Und die Internetbetrüger schrecken dabei vor nichts zurück. Das Opfer? Der internationale Logistik Marktführer DHL. Der Schaden? Rund acht Millionen DHL-Packstationen inklusive Kundendaten waren in Gefahr. Und die Täter? Die treiben sich wahrscheinlich immer noch unter dem anonymen Schutzmantel des World Wide Webs im Internet herum. Die Lektion? Ein Warnsignal an alle freiberuflichen und selbstständigen IT’ler, die immer besser auf Nummer sicher gehen sollten.
Heute geht es bei exali.de um einen Fall, der mal wieder eindrucksvoll beweist, wie abgebrüht Hacker und Betrüger handeln und der gerade IT’lern zeigt, wo die Gefahren lauern und die Schwachstellen liegen.
Lieber auf Altbewährtes setzen?
Auslöser des ganzen Daten-Debakels ist die App „DHL Paket“, die enorme Sicherheitslücken aufweist und es den Online-Ganoven ermöglichte, auf sensible Daten von Millionen Paket-Bestellern zuzugreifen, mit fatalen Folgen. Doch von vorn:
Objekt der Begierde in den Warenkorb legen, Päckchen in die Packstation liefern lassen, beim Abholen die vierstellige mTAN eingeben, welche DHL bislang per SMS an seine Kunden verschickt hat, Päckchen mitnehmen – so und nicht anders lief Online-Shopping via DHL bislang ab. Doch seit Anfang Juni kann die mTAN nicht nur über die alt bewährte und vergleichsweise sichere SMS versandt, sondern auch über die neue App „DHL Paket“ angefordert werden.
Was den IT-Experten von DHL nicht auffiel: Die App weist erhebliche Sicherheitslücken auf. Theoretisch konnte jeder, der im Besitz fremder Zugangsdaten war, auf die streng vertrauliche mTAN zugreifen. Da liegt es leider auf der Hand, dass sich gerade Hacker und Betrüger dieses Datenleck zu Nutze machen, um mit viel krimineller Energie die sensiblen Kundendaten im Darknet zu vermarkten, Päckchen aus den Packstationen zu klauen und sich sogar illegale Waren, wie Drogen, auf einen anderen Namen liefern zu lassen. Besonders gravierend: Fällt eine solche dubiose Lieferung in die Hände des Zolls oder der Polizei, muss sich der angegebene, völlig ahnungslose Empfänger erstmal aus der Situation hinaus manövrieren.
Auch die Kundenkarte, die für das Abholen der Pakete notwendig ist, lässt Kriminelle nicht zurückschrecken. Denn diese lässt sich mit einem Magnetkartenschreiber perfekt duplizieren.
Alles halb so wild…
Und blieb DHL wirklich nichts anderes übrig, als dieses Sicherheits-Fiasko über sich ergehen zu lassen? Nicht ganz! Denn das Datenleck wurde nicht vom Unternehmen selbst, sondern von Sicherheitsexperte Hanno Heinrichs aufgedeckt, der sich mit seiner Entdeckung direkt an c’t, ein Magazin für Computertechnik, wandte, das wiederum DHL informierte. Besonders unangenehm für den Logistik Marktführer: Das Sicherheits-Problem wurde zuerst nicht anerkannt. DHL tappte also völlig im Dunkeln.
…oder doch nicht?
Grund genug für c’t, der ganzen Sache auf den Grund zu gehen und siehe da: Durch die Sicherheitslücke im System von DHL hätten tatsächlich fremde Pakete abgeholt werden können, Heinrichs hat mit seinen Annahmen also voll ins Schwarze getroffen und die Blamage für DHL ist groß:
Ganze acht Tage später hat das Logistik-Unternehmen eingelenkt und das vorhandene Datenleck bestätigt. Denn es wurde entdeckt, dass das Geschäft mit den geklauten Daten von Packstation-Nutzern auf dem Online-Schwarzmarkt regelrecht boomte. DHL musste die Übertragung der mTAN via App erstmal abschalten, um die Funktion zu optimieren und das Leck zu stopfen.
Keine Chance für Internetbetrüger
Solche Apps sind zwar praktisch für den Kunden und effizient fürs Unternehmen, doch von ihnen geht auch schnell ein enormes Sicherheitsrisiko aus. Vor allem dann, wenn es um sensible und streng vertrauliche Daten geht. Was also tun, wenn ein Programmierfehler unterläuft oder ein Datenleck im System des Auftraggebers nicht rechtzeitig erkannt wird? Dann sieht’s schlecht aus, denn Hacker und Internetkriminelle warten an jeder Ecke auf solche Situationen, um sie schamlos auszunutzen.
Doch IT’ler, aufgepasst: Kein Grund, das Programmier-Handtuch zu werfen! Die passende Versicherung kann bei solchen beruflichen Versehen Abhilfe schaffen. So schützt die IT-Haftpflicht über exali.de nicht nur bei fehlerhafter Programmierung oder Datenerfassung, sondern auch bei Beratungsfehlern und vielen mehr.
Weiterführende Informationen:
- IT‘ler, so schnell kann es gehen: Versehentlich gelöschte Datenbank treibt Startup fast in den Ruin
- Was das Daten-Debakel bei SAP für Freelancer und Startups bedeutet…
- Social Engineering: Wenn Mails vom Geschäftspartner zur gefährlichen Falle werden
© Sarah Kurz – exali AG