Switzerland

Dieses Post-Login lässt sich kinderleicht knacken

Bei ihrem neuen Brotlieferdienst geht die Post so sorglos mit den Passwörtern um, dass Kunden ausspioniert werden können.

Gebäck im Milchkasten: Gut gemeint, aber womöglich ein Sicherheitsrisiko. Foto: Die Schweizerische Post

Gebäck im Milchkasten: Gut gemeint, aber womöglich ein Sicherheitsrisiko. Foto: Die Schweizerische Post

Es ist ein kleines, aber durchaus bestechendes Geschäftsmodell: die Brot-Post. Weil die Briefmengen zurückgehen, sucht die Post nach Wegen, um ihre Briefträgerinnen und Briefträger besser auszulasten. Also entstand die Idee, dass der Pöstler neben Briefen auch Brote liefern soll. Doch das Angebot hat einen Makel: Das Passwort der Kunden ist derart simpel herauszufinden, dass sich bezüglich Datenschutz Fragen stellen. Denn mit den Log-in-Daten könnten Postkunden ausspioniert werden. 

Um täglich frische Brote in den Briefkasten zu liefern, arbeitet die Post mit regionalen Bäckereien zusammen. Gestartet wurde das Angebot im Raum Bern, zurzeit arbeite die Post mit neun Bäckereien zusammen, sagt ein Post-Sprecher. Demnächst würden zudem weitere Gebiete und zwei weitere Bäckereien hinzukommen. 

Potenzielle Kunden müssen sich über eine eigens eingerichtete Website registrieren. Dabei geben sie die üblichen Angaben an: vom Namen über die Adresse bis zu einer Mailadresse. Mit dieser können sich Kundinnen und Kunden im Anschluss über eine Log-in-Maske anmelden. 

Wer dies tut, bekommt von der Post ein Passwort zugeteilt. Dieses lautet immer gleich wie die Postleitzahl am Wohnort des Kunden. So weit, so gut. Doch das Passwort lässt sich im Nachhinein nicht ändern. Heisst: Wer über die Mailadresse und den Wohnort eines Kunden der Brot-Post verfügt, kann sich ohne weiteres über dessen Account einloggen. Dieser Umstand hat einen Kunden dermassen irritiert, dass er sich bei dieser Zeitung meldete.

Brot in falschem Namen bestellen

Im Log-in-Bereich sieht man tatsächlich die laufenden Bestellungen des Kunden und kann in seinem Namen Brote bestellen – bis dessen Briefkasten überquillt. Vor allem aber kann über die Bestellmaske eingesehen werden, wann ein Kunde seine wöchentlichen Bestellungen aussetzt. Wer also Zugriff auf den Account hat, weiss, wann der Kunde zum Beispiel in den Ferien weilt. 

Für die Post ist dies alles offenbar halb so wild: Datenschutz sei für das Unternehmen sehr wichtig, sagt ein Sprecher auf Anfrage. «Es befinden sich keine sensiblen Daten auf den Kunden-Accounts und auch kein Geldguthaben. Aktuell ist es bloss ein reines Bestell-Tool. Die Bezahlung erfolgt erst gegen Rechnung.» Die Rechnung allerdings könnte teuer werden, wenn jemand Unfug mit den Log-in-Daten betreibt. 

«Die Funktion einer Passwortänderung wird bei einem der nächsten Entwicklungsschritte eingeführt», sagt ein Sprecher. Die Funktionalitäten des Systems würden sukzessive und wo nötig angepasst. Wie viele Kunden das Angebot nutzen, will die Post nicht bekannt geben. Einzig: «Die Zahlen entsprechen unseren Erwartungen in der aktuellen Phase des Tests. Wir sind zufrieden mit den bisher gewonnenen Erkenntnissen», sagt ein Sprecher. Aktuell sammle die Post vor allem weitere Erkenntnisse über die Wirtschaftlichkeit bei der Brot-Post. Da müssen simple Datenschutzüberlegungen offenbar hintenanstehen. 

Artikel zum Thema

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Die Welt in Bildern

Nachtaktiv: Nach dem Start in Phoenix bietet sich den Passagieren des Nachtflugs ein spektakulärer Ausblick auf den abnehmenden Mond. (11. Februar 2020)
(Bild: Charlie Riedel/AP) Mehr...