Ssssssnake-Oil: Automatischer Kundenservice von Logistikunternehmen

Bald ist Ihr DPD Paket da – so begrüßt mich mein Postfach vor ein paar Tagen. In der Mail gab es dann ein paar Links, einer vor allem, der mich sofort interessiert hat. Da heißt es „Sie können die Sendung nicht entgegennehmen? Ändern Sie Ort oder Tag Ihrer Zustellung oder geben Sie mir eine Abstellgenehmigung.

Das klingt toll, und könnte mir durchaus nützlich sein, aber wie ist denn das mit der Abstellgenehmigung? Wenn ich dafür einen Auftrag erteile – ebenso wie der „Wunschort“ bei DHL – übernehme ich eigentlich direkt die Verantwortung dafür, falls die Ware abhanden kommt, bevor ich sie in Besitz genommen habe. Der Zusteller kann dann ohne eine Empfangsbestätigung die Lieferung ablegen. Wenn ich sie dann nicht finde – aus welchem Grund auch immer – bin ich der Verlierer, da zahlt keine Versicherung.

Unterstellen wir mal nicht, dass der Lieferant einfach keine Lust hat, und den Kram an der nächstbesten Haltegelegenheit aus dem Wagen wirft, oder sogar für sich selbst behält. Ebenso unterstellen wir mal keine böswilligen Nachbarn, die die Lieferung selber gut gebrauchen können. Nein, einfach nur der Fall, die Ware kommt beschädigt zu mir.

Laut den üblichen AGB müssen Schäden sofort dem Zusteller gegenüber reklamiert werden – verständlich, sonst könnte der Schaden ja auch erst in meiner Obhut entstanden sein. Liegt das Paket aber schon ein paar Stunden unbeaufsichtigt, so kann ein Verursacher für mögliche Schäden nicht wirklich benannt werden.

Also alles nicht so wirklich prickelnd, schließlich versendet man gerne versichert, damit im Fall eines Transportschadens – oder eines Abhandenkommens – wenigstens kein finanzieller Schaden zurück bleibt.

Wie erteile ich denn so eine Abstellgenehmigung?

Ich klicke einfach auf den Link in der Email:
DPD-Abstellgenehmigung-Email

Und ab da wird es dann lustig, wie zumindest ich finde:DPD-Abstellgenehmigung-Webseitel

 

Diese Sicherheits-Postleitzahl ist schon automatisch eingetragen! Sie steht aber auch zur Not in der Email drin, im Link finde ich sie aber noch überzeugender, schließlich ist sie dort simpelst automatisiert auslesbar:
http://www.paketnavigator.de/redirect.aspx?action=3&parcelno=B2C0123456789ABCDEF012345&zip=01234&locale=de_DE

Ohne irgendeine weitere Prüfung kann ich dann einen Abtellort wählen, bzw. auch, meine Adresse sehen:

DPD-Abstellgenehmigung-Webseite2

Oder – wenn mir danach ist, den Empfänger komplett ändern, solange die Postleitzahl die selbe bleibt:

DPD-Abstellgenehmigung-Webseite3

Alles Dinge, die massiv in die Verantwortlichkeiten hinsichtlich Versicherungsschutz eingreifen. Diese Daten sind Passwörter, so etwas verschickt man nicht in ungesicherten Emails! Wenn wenigstens die PLZ nicht in der Email, und schon gar nicht als Teil eines Links, wäre, dann gäbe es wenigstens einen Minimal-Schutz. Auch wenn das letztlich nicht viel hilft; ich bekomme dank eines Yahoo-Hacks sehr personalisierte Trojanermails, die Adresse und sogar meine private Telefonnummer enthalten.

Fazit: dieser „Datenschutz“ bei der DPD ist Snake Oil!

Und wo ich gerade diesen Link gesucht habe, kommt diese herrlich passende Werbung:
Snake oil bei Amazon

Wie geht es denn in diesem Zusammenhang der DHL?

Die Erklärung der DHL gibt es hier. Also auf paket.de registrieren, dafür benötigen wir eine Email-Adresse:
DHL-Wunschort-Emailadresse… und welche Adresse wäre hier passender als die des Posttowers? Damit registrieren wir uns jetzt:

DHL-Wunschort-RegistrierungDHL-Wunschort-Registrierung2

Und, siehe da, ich kann den Wunschort-Service nutzen:

DHL-Wunschort-WunschortDHL-Wunschort-Wunschort2

Dann gab es noch eine Verifizierungs-Email, damit der Server auch sieht, dass die Email-Adresse existiert. Und schon war der Wunschort aktiviert:

DHL-Wunschort-Wunschort3

Na, herzlichen Glückwunsch! Auch hier:keine Verifizierung, wer eigentlich den Auftrag erteilt hat. Auch hier: versicherungs-relevante Daten können von Anonymen geändert werden. Ich frage mich nur, ob der Bote das beim Posttower mitkriegt, dass es sich offensichtlich nicht um sinnvolle Angaben handeln kann. Naja, ich lösch den Auftrag mal lieber wieder.

Und wo ich da grad schon auf diesem Paket.de-Account bin: ich kann die Anmeldung gar nicht löschen. Sollte das nicht wegen Datenschutz-Gesetzen möglich sein?

Fazit: Sicherheit wird in Deutschland groß geschrieben, aber das haben wir nur der Grammatik zu verdanken.

Bitcasa – die unendliche Festplatte

Technology Review berichtet über eine unendliche Festplatte, ein Clouddienst der für 10 Dollar im Monat unendlich viel Plattenplatz zur Verfügung stellen möchte. Alle Daten sollen somit nicht mehr (nur) auf der lokalen Festplatte gespeichert sein, sondern auch in der Cloud. Um vor Netzwerkproblemen geschützt zu sein, bzw. die Auswirkungen klein zu halten, wird das Zugriffsverhalten auf die Daten analysiert, um vermutlich bald wieder genutzte Daten nicht umständlich aus dem Internet laden zu müssen. Um die auf den Servern zu speichernde Datenmenge gering zu halten, wird komprimiert und gleiche Dateien unterschiedlicher Nutzer nur einmal vorgehalten.

Mir graust es da auf so vielen Ebenen. Dropbox macht das Speichern zwar ähnlich, allerdings wird dabei nur ein bestimmtes Verzeichnis auf Fremdserver gespiegelt. Somit ist man sich immer bewusst, dass das, was da rein kommt, automatisch auf ein System außerhalb der eigenen Kontrolle kopiert wird. Solange es sich dabei noch um eine relativ kleine Menge handelt ist die Gefahr auch für Normalsterbliche noch übersichtlich. Bei „unendlichem“ Speicher verleitet das aber leicht zu Unachtsamkeiten.

Wenn ich jetzt mal die potentiellen Probleme mit Verfügbarkeit und korrupten Daten einfach außer Acht lasse, gibt es da immer noch das Problem, dass ich damit meine Daten aus der Hand gebe und sie zur freien Verfügung auf einem Fremdsystem speichere. Darüber hinaus wird nachgehalten, wie ich meine Daten nutze, wann ich etwas geöffnet habe. Dies erlaubt ein recht klares Bild von meinen Gewohnheiten, sowohl inhaltlicher als auch zeitlicher Natur. Ich warte nur darauf, dass Kunden dieses Dienstes entsprechend persönliche Kaufangebote unterbreitet werden. Dann wissen die aber auch ganz genau, warum Ihnen abends am Rechner günstigstes Viagra angeboten wird…

Auch wenn ich volles Vertrauen in den Betreiber habe(n könnte), ist immer noch vieles fraglich, auch insbesondere der Zugriff durch die Staatsgewalt(en), unter Umständen auch verschiedenster Länder. Auch hier wieder: ein recht genaues Profil ist verfügbar, eins, bei dem selbst der Bundestrojaner grün vor Neid werden dürfte.

Positiv ist natürlich zu erwähnen, dass das Ganze auch nutzbar ist, wenn man alle Daten fein säuberlich vorher verschlüsselt und den Dienst nur zu Backupzwecken und nicht als Live-Festplatte nutzt.