Wissenswertes zum Thema Accountsicherheit

Auf vielfachen Wunsch unserer Kunden und Kundinnen haben wir die Passwortgültigkeit des Post & DHL Geschäftskundenportals (GKP) auf ein Jahr verlängert. Sind Ihre Portal-Zugänge durch diese Maßnahme nun weniger sicher? Nein! Denn die Sicherheit Ihres Zugangs hängt nicht von der Gültigkeitsdauer eines Passworts ab, sondern vielmehr von der Stärke und der absoluten Geheimhaltung Ihres Passworts.

Auf dieser Seite möchten wir Ihnen deshalb einige Informationen und Tipps zum Thema Sicherheit Ihres Accounts im Post & DHL Geschäftskundenportal an die Hand geben (welche Sie übrigens auch auf alle anderen von Ihnen genutzten Online-Zugänge anwenden können).

Ganz einfach gesagt: Ein Passwort ist dann sicher, wenn es nicht einfach erraten oder durch Ausprobieren herausgefunden werden kann. Auf der Webseite des Bundesamtes für Sicherheit in der Informationstechnik (BSI) finden Sie eine anschauliche Beschreibung, was als sicheres Passwort gilt. Kurzum: Je länger und kryptischer Ihr Passwort ist, desto besser - zudem sollten Sie für jeden Zugang ein individuelles Passwort verwenden.

Aber keine Sorge: Für das Post & DHL Geschäftskundenportal müssen Sie nun nicht erst viel Zeit in die Recherche investieren, was ein wirklich sicheres Passwort ist.

Wir nehmen Ihnen diese Recherche ab, indem wir für das Portal ausschließlich Passwörter zulassen, welche die folgenden Kriterien erfüllen:

  • Das Passwort muss mindestens 15 Zeichen lang sein.
  • Es muss mindestens eines der folgenden Sonderzeichen enthalten: !$/()=#*+~
  • Es müssen sowohl Groß- und Kleinbuchstaben enthalten sein.
  • Es muss mindestens eine Zahl enthalten sein.
  • Es darf keine Zeichenfolge enthalten sein, die aus einem dreifach verwendeten, identischen Zeichen besteht (also z. B. nicht "Testaaa").
  • Triviale Passwörter, wie zum Beispiel "Test123", können nicht verwendet werden.

Um es auf nun aber auf den Punkt zu bringen: Selbst das kryptischste und längste Passwort der Welt hilft nicht, wenn es in unbefugte Hände gerät

Als Konzern Deutsche Post DHL investieren wir viel in die Sicherheit unserer IT-Systeme. Unser  sog. "Information Security Target Model" setzt dabei verpflichtende Standards für die Entwicklung und den Betrieb von IT-Systemen und orientiert sich an anerkannten Normen, wie der ISO/IEC 27001. Diese Standards werden kontinuierlich überprüft und an den aktuellen Stand der Technik angepasst. Unsere IT-Systeme durchlaufen regelmäßig Revisionen und Penetrationstests, um die Einhaltung der gesetzten Standards zu belegen.

Neben dieser Anwendung und kontinuierlichen Überprüfung der geltenden Standards zur IT-Sicherheit haben wir für unserer Systeme die folgenden zusätzlichen Sicherheitsmechanismen etabliert:

  • Um das einfach "Ausprobieren" eines Passworts auszuschließen, wird jeder Zugang nach zehn fehlerhaften Anmeldeversuchen gesperrt und der gesperrte Benutzer per E-Mail informiert.
  • Jeder Benutzer erhält nach der Änderung seines Passworts eine E-Mail zur Bestätigung dieser Änderung.
  • Auch für den Fall, dass die für einen Benutzer gespeicherte E-Mail-Adresse geändert wird, erhält der Benutzer eine Bestätigung an seine alte E-Mail-Adresse.
  • Wir bieten zwei verschiedene Benutzertypen an (Systembenutzer und persönliche Benutzer), damit für Systemzugänge, wie z. B. bei Verwendung in Shop-Systemen, eigenständige Benutzer verwendet werden können.
  • Unsere Mitarbeitenden fragen Sie nie nach Ihrem Passwort.

All diese Maßnahmen zur Einhaltung der Informationssicherheit schützen vor bekannten technischen Angriffsszenarien und einer Kompromittierung der Services und Daten auf unserer Seite als Deutsche Post DHL.

Sie können jedoch nicht vor Phishing- oder Social-Engineering-Attacken schützen, bei denen sich Täter Zugriff auf die Zugangsdaten zu unseren Systemen auf Seite der Mitarbeitenden unserer Kunden verschaffen. Genau hier sind Sie gefragt.

Mit der Zwei-Faktor-Authentifizierung (ZFA) machen Sie Ihren Zugang zum Post & DHL Geschäftskundenportal noch sicherer. Dabei fügen Sie zu Ihrem Passwort einen zweiten Schritt hinzu: ein Einmal-Passwort. So sind wichtige Aktionen rund um Ihren Zugang besser geschützt.

Damit die ZFA funktioniert, hinterlegen Sie mindestens ein Gerät - zum Beispiel Ihr Smartphone. Auf diesem Gerät installieren Sie eine App, die Einmal-Passwörter erzeugt, wie etwa "Microsoft Authenticator".

Alle weiteren Infos und eine Schritt-für-Schritt-Anleitung finden Sie im Bereich "Zwei-Faktor-Authentifizierung" im Portal.

Wie auch in unseren Nutzungsbedingungen für das Post & DHL Geschäftskundenportal beschrieben, investieren wir als Deutsche Post DHL einigen Aufwand, um von technischer Seite für die maximale Sicherheit Ihrer Zugänge zu sorgen. Wie auch in unseren Nutzungsbedingungen für das Post & DHL Geschäftskundenportal beschrieben, liegt die Verantwortung für die Geheimhaltung und damit Sicherheit Ihrer Benutzerdaten jedoch letztlich in Ihrer Hand. Was können Sie also tun, um für die Sicherheit Ihrer Zugänge Sorge zu tragen?

  • Nutzen Sie ausschließlich individuelle, personenbezogene Zugänge anstelle von Zugängen, die von mehreren Personen genutzt werden.
    Warum ist dies wichtig? Stellen sie sich vor, dass ein Mitarbeitender Ihr Unternehmen verlässt, welcher sich zuvor mit anderen Kolleg:innen einen Portal-Zugang geteilt hat.
    Natürlich möchten Sie nun alle von diesem ehemaligen Mitarbeitenden genutzten Zugänge sperren. Bei einem geteilten Zugang würden Sie damit jedoch auch gleichzeitig den Systemzugriff für alle anderen Mitarbeitenden sperren.

    Ein weiterer Nachteil ist, dass sich die Mitarbeitenden mit Zugriff auf einen geteilten Zugang bei Vergabe eines neuen Passworts gegenseitig "aussperren" oder durch paralleles Eingeben eines nicht mehr gültigen Passworts den Benutzer schnell komplett sperren (wegen 10 fehlerhafter Anmeldeversuche).
  • Verwenden Sie ausschließlich Systembenutzer in Webservices, Drittsoftware oder Partnerplattformen.
    Bei Nutzung der Funktionen des GKP in Webservices (sog. APIs), Drittsoftware (bspw. Warenwirtschaftssystemen) oder Partnerplattformen (bspw. Shopsystemen) ist Ihnen vielleicht nicht genau bekannt, wie und wo Ihre Portal-Zugangsdaten in diesem "Drittsystem" gespeichert werden und damit wie sicher Ihre Zugangsinformationen dort sind. Nutzen Sie deshalb nach Möglichkeit in Drittsystemen einen Systembenutzer anstelle Ihres persönlichen Benutzers. Ein Systembenutzer bietet den Vorteil, dass dieser ausschließlich in technischen Schnittstellen verwendet werden kann. Selbst, wenn die Zugangsdaten eines Systembenutzers an Unbefugte gelangen, ist mit diesen Daten keine Anmeldung in der Weboberfläche des GKP unter geschaeftskunden.dhl.de möglich.

    Zudem bietet die Verwendung eines Systembenutzers einen weiteren Vorteil: Wenn Sie Ihren persönlichen Benutzer sowohl für die Anmeldung an der Weboberfläche des GKP als auch gleichzeitig in einem Drittsystem verwenden (bspw. Warenwirtschaftssystem), hätte die Sperrung dieses persönlichen Benutzers, zum Beispiel wegen mehrfach fehlerhafter Anmeldeversuche an der Weboberfläche, unmittelbar auch die Sperrung des Users in der Drittsoftware zur Folge. Dieses Risiko besteht nicht, wenn Sie für die Nutzung in einem Drittsystem immer einen zusätzlichen Systembenutzer verwenden.
  • Schalten Sie neue Benutzer für das Portal nach einem für Ihr Unternehmen sinnvollen Berechtigungskonzept auf.
    Für Ihr Unternehmen ist mindestens ein Mitarbeitender berechtigt, weitere User für Ihr Unternehmen im Post & DHL Geschäftskundenportal anzulegen - der sogenannte "Kundenadministrator". Bei der Anlage neuer User sollte dieser Administrator stets hinterfragen, auf welche Bereiche des Portal der neue User wirklich zugreifen muss. Es bietet sich an, ein eigenes Berechtigungskonzept zu verfolgen, welches nach dem Prinzip "Zugriff auf Erforderliches" anstelle von "Pauschalzugriff auf alles" aufgebaut und angewendet werden sollte.
  • Zugang- und Zugriffskontrolle.
    Wenn Sie nicht ausschließen können, dass Unbefugte Zugriff auf Computer haben, mit denen Sie sich im Post & DHL Geschäftskundenportal anmelden, denken Sie bitte unbedingt daran, sich aus dem Portal abzumelden, sobald Sie den Computer verlassen.
  • Behalten Sie Ihr Versandaufkommen im Auge.
    Wenn Sie beispielsweise nach Auswertung Ihres Sendungsarchivs feststellen, dass es ungewöhnlich hohe Abweichungen in der Menge Ihrer beauftragen Sendungen gibt, gehen Sie dem unbedingt nach! Sollte unternehmensintern keine bestätigte Ursache für ein erhöhtes Versandvolumen bestehen, wie zum Beispiel ein saisonaler Aktionsversand, ändern Sie bitte unmittelbar die Passwörter Ihrer Zugänge, um so Unbefugten den Zugang zu sperren.

Häufig gestellte Fragen

Ein Passwort allein ist wie ein Haustürschlüssel - praktisch, aber in den falschen Händen ein Risiko. Mit der Zwei-Faktor-Authentifizierung (ZFA) fügen Sie eine zweite Sicherheitsebene hinzu. Neben Ihrem Passwort benötigen Sie einen Code, den Sie auf Ihrem Smartphone über spezielle Apps, wie z. B. "Microsoft Authenticator", generieren.

Das bedeutet: Selbst wenn jemand Ihr Passwort kennt, kann er sich ohne diesen zusätzlichen Code nicht in Ihren Account im Post & DHL Geschäftskundenportal anmelden.

Um ganz sicher zu gehen, dass sich kein Unbefugter Zugriff zu Ihrem Zugang verschaffen kann, ändern Sie umgehend Ihr Passwort. Nutzen Sie hierfür die "Passwort oder Benutzername vergessen" Funktion auf der Anmeldeseite des Post & DHL Geschäftskundenportals.

Melden Sie sich im Post & DHL Geschäftskundenportal an. Über den Bereich "Persönliche Daten" Ihres persönlichen Menüs (oben rechts neben Ihrem Benutzerdaten) können Sie die E-Mail-Adresse wieder abändern.

Ändern Sie sicherheitshalber auch Ihr Passwort über den Bereich "Passwort ändern" Ihres persönlichen Menüs.

Wenn Sie Ihr Passwort ändern möchten, stehen Ihnen hierfür verschiedene Möglichkeiten zur Verfügung: Nutzen Sie entweder die "Passwort oder Benutzername vergessen" Funktion auf der Anmeldeseite des Post & DHL Geschäftskundenportals oder rufen Sie nach Anmeldung im Portal den Bereich "Passwort ändern" in Ihrem persönlichen Menü auf (oben rechts neben Ihrem Benutzernamen).

Verfügen Sie über die Berechtigung, für Ihr Unternehmen weitere Benutzer anzulegen? Dann wechseln Sie über Ihr persönliches Menü (oben rechts neben Ihrem Benutzernamen) in den Bereich "Benutzer verwalten". Klicken Sie unten rechts auf den Button "Neuen Benutzer anlegen". Geben Sie alle erforderlichen Daten für den neuen Benutzer ein und wählen im Feld Benutzertyp den Eintrag "Systembenutzer" aus. Weisen Sie dem Benutzer alle gewünschten Berechtigungen zu und speichern Sie abschließend die Benutzeranlage durch Klick auf "Benutzer anlegen" unten rechts.

Sie sind nicht selber dazu berechtigt, weitere Benutzer anzulegen? Dann wenden Sie sich an den für Ihr Unternehmen festgelegten Kundenadministrator. Sie wissen nicht, wer Ihr Kundenadministrator ist? Kein Problem. Öffnen Sie den Bereich "Persönliche Daten" Ihres persönlichen Menüs. Oben auf der Seite finden Sie eine gelbe Hinweise-Box. Nach Klick auf "Kundenadministrator" in dieser Box öffnet sich eine Übersicht aller für Ihr Unternehmen angelegten Administrator:innen.

Unser Tipp: Verwenden Sie sogenannte Passwort-Manager, also Programme, mit denen Sie Ihre Benutzername-Passwort-Kombinationen für unterschiedliche Systeme verwalten können. Viele hilfreiche Informationen zum Thema Passwort-Manager finden Sie auf der Webseite des BSI.

Dann ändern Sie bitte sofort Ihr Passwort, um den Zugriff zu stoppen.

Wenn Ihnen verdächtige Aktivitäten oder Sendungen auffallen, melden Sie uns diese gerne über das über das Kontaktformular im GKP.