red padlock on black computer keyboard

Accountsicherheit bei Zalando: Setzen, sechs!

Was ist passiert?

Lange habe ich mich gewehrt, bei Zalando Kunde zu werden. Alleine schon wegen der Erinnerungen an die nervigen „Schrei vor Glück“ Spots. Dann hat es mich im Dezember 2022 aber doch einmal gejuckt, bei zalando.de vorbeizuschauen, weil ich bei meinen anderen favorisierten Retailern nicht fündig geworden bin und mir gedacht habe: Schaden kanns ja nicht, mal vorbeizuschauen. Ich hatte Glück und habe sofort das gefunden, wonach ich ewig gesucht hatte. Ich habe in kurzer Sukzession drei Bestellungen aufgegeben und war vom Shopping-Erlebnis auf jeden Fall überzeugt. Relativ sinnvolle Filter, gutes Layout und nicht zuletzt auch ein riesiges Angebot zu Preisen, bei denen für jeden was dabei sein sollte.

Retouren konnte ich bei meinen drei Bestellungen leider nicht vermeiden. Wer hätte auch gedacht, dass der gleiche Artikel in der gleichen Größe in unterschiedlichen Farben unterschiedliche Passformen hat? Ich auf jeden Fall nicht! Aber auch hier kein Drama, konnte ich doch aufgrund des bereits beigelegten Retourenlabels meine Rücksendungen einfach aufgeben und online angeben, welche Artikel ich behalte.

Aus diesem Grund habe ich mich dann entschieden, Zalando 15,00 Euro zu gönnen und Zalando Plus Abonnent zu werden. Schnellere Lieferung, teils noch am selben Tag? Genau mein Ding! Ja, leider gehöre ich zur Sorte der extra Ungeduldigen und kann es kaum aushalten, wenn Bestellungen nicht am selben oder wenigstens nächsten Tag eintreffen. Deswegen bin ich leider auch ein Sucker für die Logistik von amazon, die den Versandprozess mittlerweile offensichtlich so haarscharf durchtrainiert haben, dass früher undenkbare reguläre Versandzeiten von unter 12 Stunden möglich sind (morgens bestellt – bereits vor 19 Uhr abends erhalten).

Something’s afoot

Ich bin also Abonnent von Zalando Plus und bekomme entsprechend eine einmonatige Testphase – bisher alles in Ordnung. Am 08.01.2023 erhalte ich dann jedoch eine E-Mail, auf die ich mir erstmal nicht so richtig einen Reim machen kann. „Simon, votre essai Plus commence maintenant !“ Als alter Französischkenner (nicht wirklich!) weiß ich natürlich, dass mir diese E-Mail mitteilt, dass mein Zalando Plus Abo beginnt. Fand ich zugegebenermaßen merkwürdig, aber nicht komplett außerhalb meiner Vorstellungskraft. Gelegentlich werden ja mal E-Mails in einer falschen Sprache an Kunden rausgesendet – not unheard of.

Im Januar war es dann auch, dass ich mich in meinen (deutschen) Zalando-Account eingeloggt habe und nachgeforscht habe, ob hier irgendetwas unstimmig scheint. Es war alles in Ordnung.

Zwei-Faktor-Authentisierung? Nicht bei Zalando!

Im Sinne der Sicherung meines Accounts (mittlerweile benutze ich für jeglichen relevanten Dienst Multi-Faktor-Authentisierung) machte ich mich auch gleich auf die Suche, ob ich nicht einen Authenticator zum sichereren Einloggen hinterlegen könnte. Fündig wurde ich nicht. Kurz einmal auf 2FA Directory nachgespickt und – potzblitz! Gibts doch tatsächlich keine Zwei-Faktor-Authentisierung bei Zalando. Aber naja, was solls, dachte ich mir, schließlich war mir nichts aufgefallen und letztendlich dachte ich, dass Zalando sicherlich wie viele andere Onlineplattformen mir wenigstens Informationen (in der Regel E-Mails oder SMS, oder gleich beides) sendet, wenn auffällige Logins stattfinden und oder diese gleich verhindert.

Eine Möglichkeit, meine aktiven Logins einzusehen (wie sie mittlerweile auch die meisten Onlineplattformen anbieten), bzw. aktive Sessions, habe ich bei Zalando auch nicht gefunden. Und wie es im Leben nunmal oft so ist, war ich auch anderweitig gut beschäftigt, sodass ich der Sache nicht noch weiter nachgegangen bin, schließlich war ich in der Annahme, ein sicheres Passwort zu verwenden und war mir sicher, dass auch Zalando ein wachendes Auge auf meinen Account hat.

Kurzer Abstecher zu meinem „sicheren Passwort“: Das von mir für Zalando verwendete Passwort wurde laut haveibeenpwned nicht in einem Breach gefunden und hat eine Entropy von über 90 Bits (also sicher). Es beinhaltete kein Wort und war natürlich mit Sonderzeichen sowie Ziffern ausgestattet.

Am 08.02.2023 habe ich dann von Zalando wieder eine E-Mail bekommen, dieses Mal „Nous n’avons pas pu renouveler votre abonnement à Plus“. Hier war die Rede davon, dass der Betrag in Höhe von 14,95 Euro nicht von meiner Zahlungsmethode abgebucht werden konnte. Dieses Mal konnte ich das nicht so einfach auf mir ruhen lassen, weil ich erstens in Erinnerung hatte, dass der Betrag 15,00 Euro sein müsste und er zweitens doch schon längst abgebucht wurde. Kurz im PayPal-Account nachgeschaut – jap, Zahlung schon im Januar erfolgreich an Zalando raus.

Ich entschloss mich, weiter zu recherchieren. Zwar sah die E-Mail absolut nach Zalando aus und die Domains hinter sämtlichen Links waren auch von Zalando, so ganz traute ich der Mail aber aufgrund des abweichenden Preises, der abweichenden Sprache sowie letztendlich des Sachverhalts (Zahlung ging nicht durch, obwohl schon im Januar erfolgt) dann doch nicht. Also tippte ich erwartungsvoll zalando.de in die Adresszeile ein und loggte mich in meinen Account ein. Nichts Auffälliges zu entdecken. Auch im Plus-Bereich wurden mir nur meine Vorteile der Plus-Mitgliedschaft sowie das nächste Abrechnungsdatum angezeigt. Kein Sterbenswörtchen darüber, dass Zalando meine Zahlung nicht erhalten hat.

Fremdzugriffe auf meinem Zalando-Account

Also gehe ich der Sache weiter nach. Ich logge mich auf zalando.fr ein und gehe einmal systematisch die Menüpunkte durch. Ich sehe zwei fremde Anschriften in Paris. Ich sehe außerdem eine Mobilfunknummer, die nicht zu mir gehört. Auf der Plus-Seite sehe ich zudem die Meldung, dass meine Zahlung nicht durchgegangen sei. Aha!

Zalando bietet keine Möglichkeit, sich die aktiven Logins/Sessions anzusehen. Ich wollte dann doch mal wissen, wie es sein kann, dass plötzlich zwei französische Anschriften (übrigens die gleichen, nur einmal auf Englisch und einmal auf Französisch) in meinem Konto hinterlegt sind. Man beachte, dass bisher jegliche Kommunikation von Zalando lediglich meine Bestellungen und mein deutsches sowie das französische Plus-Abo betroffen haben. E-Mails zu Logins, neuen Geräten oder dergleichen habe ich nicht erhalten.

DSGVO-Auskunft zeigt: Enorm viele Fremdzugriffe

Also fordere ich mir meine Daten an. Zalando bestätigt meine Anforderung und beteuert, dass es nicht länger als 30 Tage dauern wird, bis ich meinen Export bekomme. Ich mache mich schon darauf gefasst, auch wirklich so lange zu warten. Aber ich scheine Glück zu haben. Schon am nächsten Tag (in diesem Fall weniger als 16 Stunden nach meiner Anfrage) habe ich eine E-Mail, die mir den Download der Daten als HTML-Datei und als gepackte CSVs anbietet. Von diesen Optionen mache ich natürlich Gebrauch.

Bild mit Ausschnitt aus den von Zalando zur Verfügung gestellten Logindaten und erfolgreichen Loginversuchen.
Logindaten laut Zalando

Zur Erklärung: Die grau hinterlegten erfolgreichen Logins sind von mir. Diese kann ich mir anhand der IP sowie Uhrzeit eindeutig selbst zuweisen. Die restlichen Logins stammen nicht von mir. Die Daten zu Anbieter und Ort habe ich mir aus den üblichen GeoIP Datenbanken geholt, diese waren nicht von Zalando angegeben.

Nun wissen wir alle, dass die IP oft nur einen wirklich beschränkten Aufschluss darüber gibt, wo sich der Mensch/Bot hinter dem Login befindet, aber das Land und die Region sind zumeist nicht völlig falsch, insbesondere, wenn es sich um IP-Adressen von klassischen Endkundenprovidern handelt.

Ich bin Kunde der Telefonica (Mobilfunk und Festnetz), der Telekom (Mobilfunk) sowie Vodafone (ehemals Unitymedia, also Festnetz). Da ich ständig mit Internettechnik in Berührung bin (u. a. hoste ich einige Services), bin ich mir in der Regel ziemlich bewusst darüber, welche IP ich gerade nutze. Zudem sind die Anbieter natürlich auch aussagekräftig.

Lass uns mal kurz zählen. Von den 26 gesamten erfolgreichen Logins, die Zalando bis zum 09.02.2023 angibt, sind 17 nicht von mir, d. h. über 65 %. IPs von 15 Providern wurden genutzt. Ich bin mir sicher, dass dieses Bild selbst jeder Laie auffällig finden würde. Der erste Fremdzugriff ist bereits im Dezember passiert. Wild, oder?

Mein Passwort für Zalando habe ich natürlich umgehend aktualisiert, generiert von meinem Passwortmanager.

Ich kontaktiere Zalando

Über meine Erkenntnisse stark überrascht, zum Teil auch enttäuscht aber nicht verärgert, habe ich mich entschlossen, eine E-Mail an Zalando zu schreiben. Dafür habe ich die E-Mail-Adresse im Impressum genutzt. Ich war mir sicher, dass diese im Service landet.

***Betreff: Accountsicherheit/Fremdzugriff***

Hallo zusammen,

ich wollte mich mal erkundigen, ob und inwiefern Zalando Accounts vor Fremdzugriffen schützt. Mir ist bei meinem Account vor Kurzem aufgefallen, dass ich französische E-Mails zu Zalando Plus bekomme. Zuerst habe ich mir nichts weiter dabei gedacht, bin dem aber auf den Grund gegangen, als ich in den letzten Tagen eine E-Mail zur nicht erfolgreichen Abbuchung von Zalando Plus auf Französisch erhalten habe. Ich habe mich dann mal auf zalando.fr eingeloggt und siehe da - scheinbar bin ich auch Nutzer von Zalando Frankreich ^^ Es war eine mir nicht zugehörige Nummer hinterlegt sowie aktuell noch zwei nicht mit mir assoziierte Anschriften in Frankreich.

Mein Passwort habe ich natürlich umgehend aktualisiert, bin nun aber doch verwundert, dass eine Accountübernahme so leicht war und ich so wenig davon mitbekommen habe. Ich habe keine Info von Zalando bekommen, dass ich mich von einer IP in Schottland, England, Occitania, Grand Est, Antwerp (d. h. UK, Belgien, Frankreich mit einer entsprechenden Vielzahl an Providern) aus einlogge (Was doch für einen deutschen Nutzer eher ungewöhnlich sein müsste?), so wie das bei anderen Services eigentlich üblich ist. Habe ich hier was verpasst, oder bietet Zalando so etwas nicht an? Oder, schlimmer, Zalando analysiert Accountzugriffsmuster erst gar nicht und kann dementsprechend gar nicht reagieren?

Anhand des Verlaufs der IPs muss ich davon ausgehen, dass in meinem Zalando Account bereits seit Mitte Dezember (!) Fremdzugriffe stattgefunden haben, und das nicht gerade wenig. Was tut Zalando, um das zu verhindern?

Zudem habe ich auch keine Option gefunden, meinen Account mit einer Zwei-Faktor-Authentisierung zu schützen - auch hier ist die Frage, ob so etwas angeboten wird.

Ein Schaden ist mir, abseits des offensichtlichen Fremdzugriffs und der damit einhergehenden Offenbarung meiner persönlichen Daten, nicht entstanden, trotzdem bin ich aber milde gesagt schon enttäuscht über den laxen Umgang mit Accounts bei Zalando und deren Zugriffen.

Ich bitte darum, meinen Account NICHT zu sperren, das wäre jetzt nach der Passwortänderung auch sinnfrei, aber das Löschen jeglicher aktiver (Browser-)Sitzungen mit meinem Account wäre angebracht.

Beste Grüße

Simon

***(E-Mail an impressum@zalando.de vom 10.02.2023, 19:30 Uhr)***

In der E-Mail habe ich Zalando den Sachverhalt geschildert und darum gebeten, mir ein Statement zu Sicherungsmaßnahmen, die Zalando für seine Accounts und den daher bei ihnen gelagerten Daten durchführt, zu geben.

Zudem habe ich explizit darum gebeten, meinen Account nicht unbrauchbar zu machen, da ich schließlich bereits ein neues, ebenfalls sehr sicheres, Passwort eingerichtet habe.

Nichtsahnend gehe ich ins Bett und schlafe bei meinen geliebten Golden Girls ein.

Zalando „antwortet“ mir

Am nächsten Tag erhalte ich auch schon eine E-Mail von Zalando. Meine sehnlichst erwartete Antwort?

***Betreff: Informationen zu deinem Kundenkonto***

Hallo Simon Claussen,
 
wir haben Hinweise darauf, dass Dritte versucht haben, sich Zugang zu deinem Zalando-Konto zu verschaffen. Zu deiner eigenen Sicherheit haben wir dein Konto sofort gesperrt. 

Wir haben die PLUS-Mitgliedschaft mit sofortiger Wirkung beendet. Wenn wir den Mitgliedsbeitrag bereits von deinem Konto erhalten haben, werden wir ihn auf das entsprechende Konto erstatten.

Leider können wir dein Konto nicht wiederherstellen. Wir bitten dich, ein neues Zalando-Konto mit einer anderen E-Mail-Adresse einzurichten – das geht ganz schnell.

Bitte beachte dabei folgende Tipps für sichere Passwörter:

Je länger und komplexer dein Passwort ist, desto schwieriger ist es zu erraten. Ein sicheres Passwort sollte aus mindestens acht Zeichen bestehen. Achte darauf, dass dein Passwort sowohl Buchstaben (Groß- und Kleinschreibung) als auch Zahlen und Sonderzeichen enthält.

Nicht geeignet als Passwörter sind Namen von Familienmitgliedern, des Haustiers, des besten Freundes, Geburtsdaten usw. Das vollständige Passwort sollte nach Möglichkeit nicht in Wörterbüchern zu finden sein. Es sollte auch nicht aus gängigen Varianten und Wiederholungen oder Tastaturmustern wie "asdfgh" oder "1234abcd" bestehen. Die Verwendung einer einfachen Ziffer oder eines der üblichen Sonderzeichen ($ ! ? #) am Anfang oder Ende eines, ansonsten einfachen Passworts, wird nicht empfohlen. Außerdem sollte dasselbe Passwort nicht für mehrere Konten verwendet werden – egal wie sicher es ist.

Bei weiteren Fragen sind wir gerne für dich da.
 
Ich wünsche dir einen schönen Tag.
 
Viele Grüße aus Berlin

***(E-Mail von service@zalando.de vom 11.02.2023, 07:21 Uhr)***

Resümee: Accountsicherheit bei Zalando anscheinend für die Tonne

Beim Lesen der E-Mail denke ich mir natürlich gleich: Den Hinweis auf Fremdzugriff habt ihr durch mich erhalten. Zalando selbst hat vorher keine Anstalten gemacht, den Fremdzugriff auch nur irgendwie zu verhindern. Heck, eine kurze Nachfrage per E-Mail bei mir hätte gereicht und ich hätte Zalando darauf hinweisen können, dass die Logins aus Niederlande, der UK oder gar Belgien definitiv nicht von mir stammen.

Zalando hat mein Konto also „zu meiner Sicherheit“ unbrauchbar gemacht – gegen meinen explizit geäußerten Willen. Ich könne mich mit einer anderen E-Mail-Adresse registrieren.

Ich denke, man kann es schon erahnen: Noch einmal werde ich mich bei Zalando freiwillig sicher nicht registrieren. Zumindest nicht nach dieser E-Mail.

Besonders ärgert mich an ihr, dass sie in keinem Punkt auf meine Fragen eingeht, man kann aus dem Betreff nur erahnen, dass es eine standardisierte Mail ist, mit der jeder mit Fremdzugriff „abgespeist“ wird.

Und, don’t get me wrong, Textbausteine und standardisierte E-Mails sind ein wirklich tolles und auch notwendiges Tool im Umgang mit Kunden, aber man sollte sie schon sinnbringend einsetzen. Mir nicht eine Frage in meiner ursprünglichen E-Mail zu beantworten und mir dann auch noch Tipps für sichere Passwörter zu geben… Just doesn’t sit right with me.

Mir ist bewusst, wie wichtig sichere Passwörter sind und ich kann stolz behaupten, seit 2009 Internetnutzer mit sicheren Passwörtern zu sein. Das hat aber bedauerlicherweise nicht verhindert, dass meine Accounts schon in einigen Breaches („Hacks“) bei vermeintlich großen und seriösen Unternehmen wie Adobe oder Wattpad dabei waren.

Leider müssen eben auch die Konzerne, denen ich meine Passwörter und jegliche andere Daten anvertraue, Sicherheit in ihrem Tagesgeschäft üben. Und dazu gehören nun einmal Vorkehrungen, dass sich nicht Nutzer einfach so larifari von irgendwelchen komplett unbekannten und unplausiblen Standorten (und Geräten!) ohne Rückfrage oder wenigstens Info an den Kunden einloggen können. Zudem ist das Angebot einer Multi-Faktor-Authentisierung wichtig. Denn egal, wie sicher und lang mein Passwort ist, sobald es in die Hände einer unbefugten Person kommt, kann diese sich einloggen. Und das ein Konzern wie Zalando es bisher nicht schafft, Zwei-Faktor-Authentisierung anzubieten, finde ich persönlich schwach.

Schrei vor Glück? I don’t think so.

Sollte ich noch eine richtige Rückmeldung von Zalando bekommen, werde ich diesen Post natürlich entsprechend updaten.

Wie findest du das Ganze? Hast du schon einmal einen Fremdzugriff in deinen Account erlebt? Wenn ja, für welchen Service? Wie hat der Anbieter das dann gehandhabt? Ich freue mich schon auf deinen Input. Beachte bitte, dass Kommentare manuell freigeschaltet werden.