Achtung: Sicherheitslücke bei DHL!

Durch einen neuen Übertragungsweg der mTAN hat sich bei DHL eine erhebliche Sicherheitslücke aufgetan. Durch Abfangen der mTAN und eine gefälschte Kundenkarte konnten Kriminelle ihre illegalen Bestellungen über einen anderen Namen vornehmen und bei einer Packstation abholen. Ist dieses Sicherheitsleck nun geschlossen?

Aufregung rund um den Versanddienstleister DHL. Wochenlang gab es dort aufgrund neuer Technik eine Sicherheitslücke. Vor der Umstellung zur neuen Übertragungstechnik wurde beim Eintreffen der Pakete bei DHL dem Kunden per SMS eine mTAN mitgeteilt, mit welcher er mit seiner Kundenkarte an den unzähligen Packstationen sein Paket abholen konnte. Diese Technik war relativ sicher, da Kriminelle erst einmal Zugriff auf die hinterlegte Handynummer bekommen mussten, damit sie die mTAN abfangen konnten, was mit einem erheblichen Arbeitsaufwand verbunden wäre. Seit wenigen Wochen konnten DHL-Kunden nun ihre mTAN auch per App erhalten. Dieses Verfahren bringt jedoch ein großes Sicherheitsrisiko mit sich, da Kriminelle, welche fremde Zugangsdaten besitzen, auf die mTAN zugreifen können. Ein Zugriff auf die Handynummer ist hierbei nicht mehr nötig. Somit konnten Verbrecher mit der mTAN und der passenden DHL-Kundenkarte, welche sie mit Magnetkartenschreibern auf einfachsten Wegen fälschen konnten, fremde Zugänge für kriminelle Aktivitäten nutzen. Diese wurden jedoch nicht, wie vermutet, dazu benutzt, Pakete aus den Stationen zu klauen, sondern Kriminelle bestellten auf fremden Namen Drogen und andere illegale Dinge über das Internet und ließen sie an die Paketstationen liefern. Dadurch entgeht den Verbrechern ein großes Risiko und wenn eine dieser Sendungen auffliegt, wird erst einmal der Besitzer des Zugang verdächtigt.

Sicherheitslücke durch Hanno Heinrich aufgedeckt

Aufgedeckt wurde diese Sicherheitslücke durch den Experten auf dem Gebiet für Internet-Sicherheit Hanno Heinrich. Seine Entdeckungen sendete er an die Computerfachzeitschrift “c’t”. Laut “Heise” wendete sich “c’t” deshalb an DHL, um diese auf das Sicherheitsleck aufmerksam zu machen. Von Seiten der DHL kam dabei aber als Antwort nur zurück, dass durch das neue Verfahren mit der App kein erhöhtes Sicherheitsrisiko besteht. Erst als im Darknet ein Tool verkauft wurde, mit welchem Kriminelle auf die Zugangsdaten von normalen DHL-Kunden zugreifen konnten, um sich Pakete auf der Namen an die Packstation liefern zu lassen, reagierte DHL. Sie gaben bekannt, dass bereits Maßnahmen ergriffen wurden, welche das Risiko minimieren sollen. Jetzt teilte der Versanddienstleister mit, dass die Übertragung der mTAN per App vorübergehend außer Betrieb genommen wird, damit diese so optimiert werden kann, dass kein Risiko mehr besteht. Es ist also erhöhte Vorsicht geboten.