DHL will Kundschaft dumm halten
Wie reagiert man besonders peinlich auf einen BigBrotherAward?
Die Reaktionen unserer BigBrotherAwards-Preisträger sind vielfältig. Manche reagieren gar nicht, andere antworten über ihren Anwalt, manche schicken ein Videostatement oder schreiben uns, dass sie den Preis annehmen, holen ihn sich dann aber doch nicht ab. Die Klugen wagen es, in unsere Gala zu kommen und nutzen die Gelegenheit, sich zu den Vorwürfen zu äußern. Manchen tragen wir die Statue sogar zu anderen Veranstaltungen hinterher und sie versuchen dann, schnell davonzulaufen. Und dann gibt es da noch die Deutsche Post DHL Group.
Der DHL hatte Rena Tangens in ihrer Laudatio vorgeworfen, die Menschen durch verschiedene freche bis perfide Taktiken zur Benutzung ihrer trackerverseuchten App zu gängeln.
Dazu gehört: Die Option einer Neuzustellung ist zwar rein theoretisch vorhanden, wurde aber so trickreich auf der DHL-Website versteckt, dass die wenigsten Menschen davon erfahren. Sie bleiben dann in dem Glauben, dass sie ihr in der Packstation eingesperrtes Paket nur in die Finger bekommen, indem sie die App installieren.
Unterstützen Sie die gute Sache: Freiheit, Grundrechte und Demokratie.
Viele Menschen engagieren sich bei uns in ihrer Freizeit, seien auch Sie dabei!
Bleiben Sie auf dem Laufenden über unsere Arbeit und unsere Themen.
Bosheit oder Unfähigkeit?
Was am Tag der Preisverleihung noch mit einer großen Portion Unfähigkeit hätte erklärt werden können, ist mittlerweile klar als Absicht entlarvt: Die Deutsche Post DHL Group führt ihre Kundinnen und Kunden absichtlich an der Nase herum.
Der DHL scheint es nämlich gar nicht recht zu sein, dass wir mit neuzustellen.de eine Website geschaffen haben, die das Finden der entsprechenden Formulare erleichtert. (Die dazu passenden Aufkleber, mit denen Kund.innen der Packstationen auf diesen Service hingewiesen werden können, gibt es bei uns im Shop.)
Ehrlich gesagt hatten wir schon damit gerechnet, dass die DHL die Links ändern würde, sobald sie auf neuzustellen.de aufmerksam wird. Wie sehr die DHL sich bemüht, ihre Kund.innen auszutricksen, hat uns dann doch überrascht.
Das ist mehr als Unfähigkeit
DHL hat nämlich nicht – wie von uns erwartet – einfach die Seiten-Adresse geändert, wodurch sie sozusagen ein Katz-und-Maus-Spiel eröffnet hätte. „Wer ist schneller im Link-Ändern?“ Nein: DHL hat das Verlinken von außerhalb – etwa durch uns von neuzustellen.de – mit einem technischen Trick unterbunden. Die Formulare, mit denen man eine Neuzustellung beantragen kann, sind jetzt nur noch erreichbar, wenn man sie von der DHL-Website aus ansurft. Wer das Formular über ein Lesezeichen aufrufen möchte oder eben von neuzustellen.de aus dorthin gelangen will, wird auf eine allgemeine Seite des sogenannten Kundenservice gelenkt.
heise online hat in der Sache schon berichtet und schreibt:
„In unseren Versuchen zeigt sich, dass dhl.de den vom Browser übertragenen Referer-Header analysiert. Der zeigt an, woher man kommt. Erfolgreich zu den Formularen gelangt man, wenn man sie über einen Link von www.dhl.de aufruft (oder das zumindest per Referer-Header vorgibt). Fehlt der Referer dagegen oder verweist er auf eine andere Domain, landet man auf der allgemeinen Hilfeseite. Von dort müsste man sich erneut zu den Formularen durchklicken, wenn man sie denn findet. Wir haben uns eine ganze Weile durch die verschiedenen Hilfebereiche geklickt und sind nicht fündig geworden, obwohl wir ja sogar die korrekte URL kannten.“
Was ist Digitalzwang?
Das ist Absicht
Und dann der nächste Akt in diesem Schmierentheater: Ein engagierter Unterstützer informiert uns über eine Seite von DHL, von der aus man das Formular mit einem Klick findet. Und er liefert auch gleich eine Erklärung dafür mit, warum weder wir in unserer Recherche noch die Presse diesen Weg vorher gefunden haben: Die Post habe ihn explizit darum gebeten, diesen Link nicht zu verbreiten, damit die Neuzustellung nicht so oft beauftragt wird.
Die Deutsche Post DHL Group zeigt hier ganz klar: Sie wissen was sie tun und wollen ihren Kund.innen das Neuzustellen schwer machen. Sowohl mit technischen Tricks als auch mit manipulativen Tricks und indem sie versuchen, ihrer Kundschaft Informationen vorzuenthalten. Der Unterstützer schrieb uns, er finde das frech. Wir finden: Die Deutsche Post DHL Group zeigt noch einmal deutlich: Sie ist eine mehr als würdige Preisträgerin der BigBrotherAwards 2023!
Dafür findet selbst DHL keine Begründung
In einer Antwort an heise schreckt DHL nicht einmal vor offensichtlichen Falschaussagen zurück. Diese Antwort wird von heise in einem Update zum oben genannten Artikel wie folgt zitiert: „Aus Sicherheitsgründen verweigern wir grundsätzlich den Zugriff Dritter auf kundensensible Websites unseres Unternehmens, insbesondere bei solchen, die – für uns unkontrollierbar – betriebliche Prozesse auslösen“. Tatsächlich gibt es auf der DHL-Website durchaus Formulare, die betriebliche Prozesse auslösen und auch Ende Juni 2023 noch über Direktlinks erreichbar sind. Eine weitere Passage der DHL-Antwort wird von heise wie folgt wiedergegeben: „Im Übrigen sei es für Kunden des Unternehmens ein Leichtes, auf der DHL-Website oder auch mit Hilfe der gängigen Suchmaschinen den Link zur Beauftragung einer Zweitzustellung zu finden. Dafür bedürfe es keiner Hilfe von außerhalb.“ Hier behauptet DHL kühn und ohne Beleg das Gegenteil dessen, was für uns Anlass war, überhaupt die Website neuzustellen.de einzurichten: Die Formulare sind eben nicht gut auffindbar (wie von heise bestätigt) – sie sind nicht in der Menüstruktur der DHL-Website enthalten, sondern nur über „geheime“ Adressen erreichbar oder über eine Suche, für die aber erst die richtigen Begriffe (wie Zweitzustellung oder Neuzustellung) gefunden werden müssen.
So beweist DHL durch ihre eigenen Aussagen: Für ihren Versuch, eine Neuzustellung zu behindern, gibt es keine haltbare Begründung. Denn sonst würde DHL sicherlich eine solche Begründung liefern und nicht nur mir Nebelkerzen werfen.
Technische Tricks können wir auch
Die DHL weiß ganz genau, was sie tut und sieht kein Problem darin, ihre Kundinnen und Kunden mit manipulativen Tricks zu gängeln, damit diese aufgeben und die App installieren. Einen solchen Test des Referrers richtet man nicht mal eben so und auch nicht aus Versehen ein. DHL beweist mit diesem Vorgehen, dass die Option einer Neuzustellung ganz bewusst in den Untiefen der Service-Seiten vergraben wurde und dort gefälligst auch bleiben soll. Es gibt keinen Grund, festlegen zu wollen, dass einzelne Seiten nur von anderen Seiten der eigenen Website aus erreicht werden dürfen – genauer gesagt ist es sogar eine Praxis, die dem „Geist“ der technischen Regeln des World Wide Web widerspricht. Der Referrer-Header wurde 1996 eingeführt, damit Website-Betreiber.innen nachvollziehen können, wie sich die Besucher.innen auf der Website bewegen.
Quelle über den Referrer: Tim Berners Lee
„This allows a server to generate lists of back-links to resources for interest, logging, optimized caching, etc. It also allows obsolete or mistyped links to be traced for maintenance.“
Übersetzung: Hierdurch kann ein Server Rückwärts-Links [Anmerkung: zu den Orten, von denen aus eine Seite erreicht wurde] erstellen für Auswertungen, Log-Dateien, Optimierungen im Caching etc. Außerdem können so veraltete oder falsch geschriebene Links zu Wartungszwecken aufgezeichnet werden.
– Tim Berners Lee, RFC 1945 (Hypertext Transfer Protocol – HTTP/1.0), Abschnitt 10.13
Technische Barrieren wecken in vielen von uns den Spieltrieb. Deshalb haben sich schon mehrere Menschen mit möglichen Umgehungen des Referrer-Tricks bei uns gemeldet. Wir wünschen uns natürlich für alle Kund.innen von DHL einen guten Service, weshalb wir in diesen Tricks nicht die Antwort sehen. Andererseits wären wir nicht Digitalcourage, wenn es uns keine diebische Freude bereiten würde, auf DHLs technische Manipulationen auch technisch zu reagieren.
DHL testet nämlich sehr nachlässig, ob das Formular von der eigenen Website aus erreicht wird. Mit einer sorgfältig präparierten Webseite, die eine Anweisung zur vollständigen Weitergabe der Seiten-Adresse im Referrer gibt (über ein sogenanntes „Meta-Tag“) und in dieser Seiten-Adresse die Zeichenfolge „dhl.de“ enthält (nicht im Domainnamen, sondern im „Pfad“), konnte CCC-Hacker Kantorkel die Seitensperre überwinden.
Danke für diesen großartigen Hack und die vielen weiteren unterstützenden Zusendungen, die uns erreicht haben.
Digitalcourage, CC-BY-SA 4.0Chronologie
- 28.04.2023: DHL erhält einen BigBrotherward; die Website neuzustellen.de geht online.
- 13.–16.05.2023: Irgendwann in diesen Tagen stellt DHL die Formulare so um, dass sie nicht mehr von außen (z. B. durch ein Bookmark oder von einer externen Website) angesurft werden können.
- 16.05.2023, 14:30: Wir passen neuzustellen.de so an, dass es eine Erklärung enthält, wie man die Formulare über das Suchfeld von dhl.de findet.
- 17.05.2023, 06:00: Wir äußern unsere Empörung in der neuesten Ausgabe unseres Newsletters.
- 17.05.2023: heise.de veröffentlicht einen Artikel, für den sie auch um ein Statement von DHL angefragt hatten, Bis zum Erscheinen dieses Blogartikels ist keine Antwort von DHL an heise.de bekannt.
- 18.05.2023: Wir werden auf die Existenz von dhl.de/nochmal-zustellen hingewiesen. Wir passen daraufhin neuzustellen.de um 16:00 erneut an.
