Die Deutsche Post hatte zum Hacken ihrer E-Post eingeladen. Doch keines der elf teilnehmenden Hacker-Teams konnte die E-Post letztlich knacken. Das ist das laut Deutscher Post wichtigste Ergebnis des 2. Security Cups, einem Sicherheitswettbewerb, in dem Expertenteams der IT-Community, die E-Post auf mögliche Schwachstellen testen sollten.
„Dennoch", so die Deutsche Post weiter, „haben die Angriffsversuche der IT-Spezialisten wichtige Erkenntnisse geliefert", die man im Rahmen der kontinuierlichen Verbesserung der E-Post Sicherheitssysteme berücksichtigen wolle.
Foto: Deutsche Post
Gewinner des Wettbewerbs ist das hessische Team „LSE Leading Security Experts", das sich über Preisgelder von über 11.000 Euro freute. Auf dem zweiten Platz landete das Team Secugain, unter anderem mit Studenten der Ruhr-Universität Bochum, die beim ersten Security Cup das Siegerteam stellte. Den dritten Platz sicherte sich das Team der Context Information Security aus Düsseldorf.
„Obwohl die Teilnehmer sogar noch Vorteile gegenüber echten Angreifern außerhalb des Wettbewerbs hatten - da beispielsweise Angriffe nicht blockiert wurden -, haben sich alle Expertenteams die Zähne am E-Post-System ausgebissen. Das freut uns natürlich sehr", sagte Ralph Wiegand, CEO der E-Post.
Von Ende April bis Ende Juni hatten elf IT-Expertenteams im Rahmen des Sicherheitswettbewerbs den E-Postbrief und weitere E-Post-Produkte auf Bugs und Schwachstellen getestet. Gegenüber dem ersten Security Cup, der 2010 stattgefunden hatte, freute sich die Deutsche Post in diesem Jahr über ein gesteigertes Interesse. Gab es 2010 insgesamt 39 Team-Einreichungen, so waren es in diesem Jahr schon 105 Bewerber-Teams.
22.000 Euro für die Sieger des E-Post-Security-Cups
Foto: Deutsche Post
Diese wurden von einer unabhängigen Jury bewertet. Für die Teilnehmer standen Prämien zwischen 1000 und 5000 Euro zur Verfügung, wobei die mit 5000 Euro höchstdotierte Preisgeldstufe von der Jury nur einmal für eine potenzielle Computerschwachstelle („Cross-Site-Scripting") zugestanden wurde. Insgesamt wurden 22.000 Euro ausgezahlt.
Die Deutsche Post will nach eigenen Angaben mit dem Abschluss des zweiten Security Cups ihren Anspruch unterstreichen, dass die E-Post eine sichere Kommunikation im Internet ermöglicht. Gegenüber anderen Medien biete die E-Post „ein deutlich höheres und außerdem mehrfach durch BSI und TÜV zertifiziertes Sicherheitsniveau", so die Deutsche Post.
Mit dem Security Cup wolle man auch weiterhin die regelmäßigen Sicherheits- und Penetrationstests ergänzen, mit denen alle E-Post-Anwendungen kontinuierlich auf Schwachstellen geprüft werden, teilte die Deutsche Post weiter mit.