Anzeige
Meinung

Amazon: Paket gegen Passwort? Äh, nein?

Amazon liefert manche Pakete nur gegen OTPs - oder eben auch nicht, denn da mache ich nicht mit!

Seit geschlagenen 23 Jahren bin ich Amazon-Kunde und nie war ich so genervt wie heute. Ich wollte zwei Smartphones bestellen – und schon das nur zwangsweise, weil die verdammten Hersteller keine Updates mehr liefern und damit völlig ausreichende Hardware (hier Pixel 3a) zu einer Umweltsauerei deklarieren. Und dann sagt mir Amazon im Kassenbereich: Lieferung nur gegen One Time Password. Liebe Jungs und Mädels – nope.

Anzeige

Vor rund einem Jahr gab es Meldungen, Amazon würde ab sofort für teure Lieferungen (was auch immer das genau heißen soll) die Paketübergabe mit OTPs einführen. Heißt: Mit der Bestellung bekommt Ihr per Mail ein Einmalpasswort, das bis zum Tag der Lieferung gültig ist und dem Lieferanten mitgeteilt werden muss – vor Ort, an der Tür. Sinn der Sache: Sicherheit. Es reicht also nicht mehr, nur an der Lieferadresse zu wohnen, nein, man muss auch noch nachweisen, dass man Zugriff auf das Emailkonto hat. Das also soll es erreichen.

Was es wirklich erreicht: Ich bestelle bei Media Markt. OTPs für Paketübergaben sind unfassbarer Unfug. Es gibt eine ziemlich etablierte Möglichkeit zur Feststellung der Identität – nennt sich Ausweis. Und wenn jemand Drittes das Paket annehmen soll? Gibt es auch ’ne Lösung für, die Vollmacht, wobei ein OTP da tatsächlich seinen Reiz hat. DHL-Boten und -Filialen lassen sich den Empfang quittieren, Paket rechtssicher zugestellt. Amazon-Boten wollten von mir nie eine Unterschrift, oft genug landen Pakete bei nicht näher benannten Hausbewohnern, und eine Filiale zum Abgeben haben sie freilich nicht.

Anzeige

Wenn alles perfekt läuft, mag ein OTP zumindest funktionieren: Ich stehe eh persönlich an der Tür, ich kenne das Passwort auswendig (na logo …), der Amazon-Liefermensch versteht mich klar und deutlich und kann das Passwort umgehend verifizieren und dann kommen kleine singende Vögelchen, die mein Paket auspacken, mich in die Wohnung tragen und mir dann was kochen.

Und wenn es nicht perfekt läuft? Abgabe gegen Unterschrift beim Nachbarn? Nein. Passwort nicht auswendig parat: Moment lieber Lieferant, ich muss mal eben 10 Minuten Rechner booten, mich einloggen und das Passwort ausdrucken … Oder ist doch nur der Akku vom Smartphone leer, dann dauert’s vielleicht nur 5 Minuten. Ich bin kein Techie? Was zum Geier ist ein OTP?

Wieso denn bloß?

Was also soll der Quatsch? Nun, klar kann man da argumentieren. Vermutlich gibt der Bote das vorgelegte OTP ein und eine App wird die Übergabe dann freigeben – auch damit ist ein Nachweis erfolgt, da die erfolgreiche OTP-Eingabe protokolliert werden dürfte. Im Gegensatz zur Unterschrift ist damit keinerlei Kontakt nötig! Auch mag eine Unterschrift eines Nachbarn rechtlich ausreichend sein, aber wenn der leugnet, etwas unterschrieben zu haben, wer ruft dann den graphologischen Gutachter? Oder wenn der Nachbar tatsächlich nicht unterschrieben hat, sondern „irgendwer“? Beim OTP ist es egal – wer auch immer das korrekte OTP hat, ist berechtigter Empfänger. Für Amazon könnten sich da also durchaus Vorteile ergeben. Für Amazon!

Vor welchen Szenarien kann denn ein OTP überhaupt schützen? Vor diebischen Nachbarn? Theoretisch sicherlich, aber wer klaut schon an der eigenen Wohnungstür vom direkten Nachbarn und unterschreibt dafür auch noch? Vor diebischen Mitbewohnern? Auch das, aber wer in einer solchen WG oder Familie lebt, dürfte ganz andere Probleme haben … Vor gehackten Amazon-Konten? Ja, aber ein Ausweis leistet das genauso. Vor diebischen Nicht-Nachbarn? Manch ein Bote gibt Pakete auch schon mal zwei Straßen weiter ab, also nicht bei Nachbarn, sondern völlig Fremden – vielleicht ist die Hemmung dort geringer, wobei dann natürlich immer noch für den Diebstahl unterschrieben würde … Vor diebischen Boten? Durchaus, eine unleserliche Unterschrift auf dem Scanner, ein Kreuzchen bei „An einen Hausbewohner übergeben“, schnell erledigt und relativ sicher.

Den potenziellen Problemen mit Nachbarn, Mitbewohnern und gehackten Amazon-Konten ließe sich nun aber fix mit etablierten Mittelchen begegnen: Übergabe nur an der Lieferadresse und gegebenenfalls nur an den Empfänger selbst, nachzuweisen per Ausweis (wie im Paketshop ja auch …). Der Paketbote selbst könnte das natürlich fälschen – hier ist es der Mensch, der verifiziert. Was der Bote nicht fälschen könnte: Ein OTP – hier ist es Technik, die verifiziert. Vielleicht ist der letzte Satz auf der nur mit gutem Willen „Informationsquelle“ zu nennenden Webseite von Amazon der Schlüssel: „Teilen Sie dem Fahrer das Einmalpasswort nicht telefonisch mit.“ Es werden doch wohl nicht Fahrer mit Paketen verduftet sein?

Sicherheit geht immer zu Lasten des Komforts. Und ja, auch ich empfehle Nutzern, Dinge wie Zwei-Faktor-Authentifizierung und Passwort-Safes zu nutzen – mehr Sicherheit, weniger Komfort. Aber bei den Paket-OTPs sehe ich ausschließlich Sicherheitsvorteile für Amazon und Komfortverfall für Kunden. Nun, als digitale Vollmacht ist ein OTP sicherlich ein Komfortgewinn, aber darum geht es nicht, das ist eher ein netter Nebeneffekt.

Alle Rollen in mir schreien: Als Journalist sehe ich schlechte Presse und (weiteren) Image-Schaden, als gelernter Einzelhändler vermisse ich die „Der Kunde ist König“-Attitüde, als Kunde möchte ich mich gar nicht mit Dingen wie „OTP“ beschäftigen und als ehemaliger BSI-Mitarbeiter vermisse ich auch noch jegliche Transparenz – wer irgendwelchen Krypto-Kram um sich wirft, sollte auch informieren, wie die OTPs entstehen, wie sie versendet und verifiziert werden. Einzig die Rolle Informationswirt könnte dem Konzept vielleicht etwas abgewinnen, das war so ein Studium, das aktionistischen Managementideen gegenüber durchaus aufgeschlossen war …

Ich kann mir nicht helfen, aber je länger ich darüber nachdenke, desto mehr sieht dieser OTP-Übergabe-Kram so aus, als würde mich Amazon vor den eigenen Lieferdiensten schützen wollen. Auch dafür hätte ich etablierte Tipps: Fahrer statt Subunternehmer anstellen, ordentlich bezahlen und das alles von guten Personalern erledigen lassen.

Wenn Ihr OTP-Paketübergaben ganz toll findet und ich etwas übersehen habe, bemeckert mich in den Kommentaren. Wenn Ihr sie auch nicht mögt, bemeckert Amazon in den Kommentaren ;) Und frei nach dem Motto „Geld stinkt nicht:“

Beitragsbild basiert auf: Image by mohamed Hassan from Pixabay und Image by Markus Spiske from Pixabay

Mirco Lang

Freier Journalist, Exil-Sauerländer, (ziemlich alter) Skateboarder, Dipl.-Inf.-Wirt, Einzelhandelskaufmann, Open-Source-Nerd, Checkmk-Handbuchschreiber. Ex-Saturn'ler, Ex-Data-Becker'ler, Ex-BSI'ler. Computer-Erstkontakt: ca. 1982 - der C64 des großen Bruders eines Freunds. Wenn Ihr hier mehr über Open Source, Linux und Bastelkram lesen und Tutonaut unterstützen möchtet: Über Kaffeesponsoring via Paypal.freue ich mich immer. Schon mal im Voraus: Danke! Nicht verpassen: cli.help

Empfohlene Beiträge

3 Kommentare

  1. Also ich finde OTP eine gute Sache. Wenn man wissen will was Amazon unter teuer versteht – einfach Amazon mal Fragen. Geht ganz einfach und tut garantiert nicht weh.
    Wenn wie in dem Beispiel angeführt, Dich der Paket Bote nicht versteht, solltest Du Dir Gedanken um Deine Aussprache machen.
    Wenn Du etwas mit OTP Option bestellt, dann ist dich klar, das Du ein PWD bekommst. Ausdrucken, Zettel neben die Tür legen und gut ist.
    Und bei allem gebotenen Respekt, OTP kann letztlich genau 0 dafür, wenn im entscheidenden Moment der Akku leer ist.
    Also mal schön den Ball flach halten. Ausserdem – niemand zwingt Dich meines Wissens nach bei Amazon einzukaufen oder?

    1. Danke fürs Feedback!

      Stimmt, erfreulicherweise zwingt mich niemand, daher war die Lösung nun auch Media Markt :)

      Was den technischen Aspekt angeht: Ja, ich käme mit OTP an der Tür zurecht, keine Frage, aber ich halte es nach wie vor für lästiger als einen Ausweis zu zeigen. Für den leeren Akku kann OTP in der Tat nichts, aber dafür, dass das ein Problem sein könnte. Und für Menschen, die nicht so selbstverständlich mit Technik umgehen, ist das ganze Konzept ein Problemchen – angefangen mit der Frage, was denn ein Einmalpasswort überhaupt ist. So lange ich persönlich das Paket annehme, gibt es exakt gar keinen Vorteil, mich per Passwort statt per Ausweis zu legitimieren – im Gegenteil, Passwörter sind nicht mit einem Lichtbild von mir versehen.

      Was die Aussprache angeht: Tja, als Sauerländer nuschelt man oft ein wenig … Ich erinnere mich noch an telefonische Pizza-Bestellungen in den 90ern, die in wunderbarer Regelmäßigkeit missverstanden wurden. Und zwar auch, wenn andere bestellt haben. Sprache ist nicht sonderlich gut für die zeichengenaue Kommunikation geeignet. Ausdrucken? Mein Drucker steht verstaubt im Schrank, die Zeiten sind vorbei – Digitalisierung ftw! Aufschreiben wäre eine Möglichkeit, meine Handschrift kann aber niemand lesen, weil ich seit Jahren fast gar nichts mehr per Hand schreibe – Digitalisierung ftw! Und wenn schon Passwort-Abgleich, warum dann nicht technisch gelöst, per NFC beispielsweise? Ich bestelle elektronisch, bekomme ein Passwort elektronisch, drucke es analog aus, lese es einem Boten vor, der digitalisiert es in einer App … Das ist einfach alles unrund.

      Das mit dem Preis ist leider nicht so einfach – ich habe schon teurere Dinge bestellt, ohne dass ein OTP vorgegeben wurde (Verkauf und Versand jeweils Amazon). Wenn ich raten sollte, würde ich annehmen, dass es hier eher an der Produktkategorie Smartphone lag. Aber warum sollte ich überhaupt fragen, wenn es doch Alternativen gibt? Und warum macht Amazon das nicht gleich transparent? Welche Produkte? Wie werden die OTPs umgesetzt?

      Und das mit dem Ball, nun, wenn ich nur noch kritisieren würde, wozu man mich zwingt, könnte ich nicht mehr über Technik schreiben. Verdammt, ich dürfte nicht mal mehr Windows kritisieren, zwingt mich auch niemand zu – das wäre doch kein Leben … ;) Und logo, ich mag das OTP-Problemchen zu einem OTP-Problem aufgeblasen haben, sonst macht das auch keinen Spaß.

      Dass man meine technischen Bedenken nicht teilt – einverstanden, soooo tragisch ist das sicherlich auch alles nicht. Aber inwiefern OTP eine gute Sache ist, ist mir noch nicht klar – inwiefern hilft mir das sicherheitstechnisch?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Schaltfläche "Zurück zum Anfang"
Tutonaut.de
WordPress Cookie Hinweis von Real Cookie Banner