Gegenstand des IT-Sicherheitswettbewerbs der Deutschen Post ist das neue Online-Produkt der Deutschen Post, der E-Postbrief. Er ist seit dem 14. Juli auf dem Markt und soll eine verbindliche, vertrauliche und verlässliche Schriftkommunikation für den Massenmarkt im Internet ermöglichen.
Die Deutsche Post will mit dem Hacker-Wettbewerb nach eigenen Angaben auf die Sicherheits-Community zugehen und damit die Sicherheit des Systems weiter verbessern. Mit den bestellten Hackerangriffen solle das Portal auf Herz und Nieren geprüft werden.
Im Interview mit unserer Schwesterpublikation CIO.de hatte der Projektleiter des E-Postbriefs Georg Rau vor kurzem noch gesagt: „Ein wesentlicher Aspekt unseres Sicherheitskonzeptes ist: Wir reden in der Öffentlichkeit nicht darüber. Das ist Teil des Sicherheitskonzeptes.“ Nun heißt es bei der Deutschen Post weiterhin geheimnisvoll: „Mehrere Schichten an technischen Sicherheitsmaßnahmen sorgen dafür, dass die Nutzerdaten im Portal geschützt sind.“
Zum „Security Cup“ aufgerufen fühlen dürfen sich der Deutschen Post zufolge vor allem Spezialisten aus dem Bereich Computersicherheit - universitäre Teams genauso wie Unternehmen und die Hacker-Community.
International besetzte Jury vergibt die Preise - pro Bug zwischen 1000 und 5000 Euro
So soll das Ganze vonstatten gehen: Die Teilnehmer durchlaufen ein Anmeldeverfahren und müssen über Expertisen im Bereich der IT-Sicherheit verfügen. Die Teilnehmer des Security-Cups erhalten Zugang zum E-Postbrief Portal und können somit das live-geschaltete Internetportal auf Schwachstellen untersuchen.
Eine international besetzte Jury wertet die identifizierten Bugs aus – Mitglieder der Jury sind unter anderem Harald Welte vom Chaos Computer Club und Thorsten Holz, Professor an der Universität Bochum. Für bestätigte Bugs erhalten die Teams Prämien zwischen 1000 und 5000 Euro pro gefundener Schwachstelle, die dann auch noch auf einer internationalen Konferenz Ende des Jahres diskutiert werden sollen.
„Wir wollen die bestmögliche Technik bieten. Deshalb wollen wir die professionellen regelmäßigen Test durch das hoch spezialisierte Know-how der Community ergänzen“, sagte Johannes Helbig, CIO und Mitglied des Bereichsvorstands Brief der Deutschen Post. Und weiter heißt es: „Die Deutsche Post arbeitet nicht gegen sondern pro-aktiv mit der Community“.
Alle Teams können sich ab sofort für den „E-Postbrief-Security-Cup“ unter der Mailadresse securitycup@deutschepost.de bewerben. Die teilnehmenden Teams müssen sich allerdings vertraglich verpflichten, identifizierte Bugs der Deutschen Post zu melden und den Datenschutz einzuhalten.
Der eigentliche Wettbewerb beginnt am 26. Oktober und läuft über einen Zeitraum von sechs Wochen.