E-Post hielt beim IT Security Cup allen Hacker-Attacken stand
Der IT-Security-Cup endete mit einem für E-Post-Nutzer äußerst zufriedenstellenden Ergebnis: Auch bei der dritten Austragung gelang es nicht, in das E-Post-System einzudringen. Zuvor hatten sieben unterschiedliche Hacker-Teams im Herbst versucht, an gespeicherte Daten zu gelangen oder einen Zugriff auf Inhalte zu erlangen – vergeblich, obwohl die Deutsche Post sogar noch Vorteile gegenüber externen, unbekannten Angreifern ermöglicht hatte, da ein gesonderter Zugang das Experimentieren erleichterte. So ermöglichte der Sicherheitswettbewerb den Spezialisten aus dem akademischen Umfeld, IT-Sicherheitsfirmen und talentierten privaten Experten immerhin, Verbesserungspotenziale aufzuzeigen.
Ruhr-Uni Bochum stellt das Siegerteam
Die meisten Erkenntnisse lieferten hierbei die Attacken des Teams „Secugain“. Die Studenten der Ruhr-Uni Bochum, die bereits 2011 das Sieger-Team stellte, überzeugten die Jury aus vier externen IT-Experten, da sie eine Möglichkeit entdeckten, wie ein Passwort ausgespäht werden könnte – unter der Bedingung, dass ein Nutzer leichtfertig damit umgeht. Die gestaffelte E-Post-Sicherheitsarchitektur verhinderte jedoch, dass „Secugain“ mit den von ihnen gefundenen Angriffspunkten über die äußeren Verteidigungswälle hinauskam.
Die Entdeckung wurde von der Deutschen Post mit einem Preisgeld von 3.000 Euro belohnt. Insgesamt wurden 12.000 Euro an die Teilnehmer ausgeschüttet, wobei insbesondere die Einreichungen prämiert wurden, die sich mit so genannten „Denial-of-Service“ beschäftigten, also Angriffe, die die Verfügbarkeit für einen Teil der Benutzer beeinträchtigen können. Das maximale Preisgeld von 5.000 Euro blieb unangetastet, da es keinem Team gelang, in sicherheitsrelevante Bereiche vorzudringen.
Als ebenso sicher erwies sich der Deutsche Post Messenger SIMSme, der erstmals Gegenstand des IT Security-Cups war. Dieser arbeitet grundsätzlich mit einer Ende-zu-Ende Verschlüsselung und ist somit gegen die sonst gefährlichen Angriffe auf die Server sehr gut gewappnet.
„Wir haben unser Sicherheitsversprechen erneut gehalten!“
„Das war das für uns beste, aber aus Hacker-Sicht schlechteste Ergebnis, seit die Deutsche Post den IT Security Cup ins Leben gerufen hat“, bilanziert Ralph Wiegand, CEO Post Deutschland. „Die dritte Austragung hat erneut bewiesen, dass die Post Bits und Bytes genauso sicher und zuverlässig behandelt wie die Briefe ihrer Kunden. Unser Sicherheitsversprechen haben wir erneut gehalten, E-Post aber auch punktuell weiter verbessern können.“
„Das E-Post-System macht einen sicheren und stabilen Eindruck“, lautet das Fazit des Secugain-Abschlussberichts. „Wir waren weder in der Lage, eine kritische Schwachstelle zu finden, noch das System erheblich zu beeinträchtigen. Dies ist sicherlich darauf zurückzuführen, dass es nun zum dritten Mal im Mittelpunkt des IT-Security Cups stand, aber auch auf das Sicherheitsteam der Deutschen Post, welches auf Angriffe und Schwachstellen schnell und kompetent reagiert.“
Mit dem Ziel, über E-Post und SIMSme eine sichere Kommunikation zu ermöglichen, ergänzt der IT Security Cup die kontinuierlich durchgeführten IT-Sicherheits- und Penetrationstests, die wunde Punkte im System entdecken sollen. Der Wettbewerb ist so konzipiert, dass zu keinem Zeitpunkt Kundendaten gefährdet sind. Er betont den Anspruch der Deutschen Post, eine sichere Kommunikation zu ermöglichen. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) und der TÜV haben das hohe Sicherheitsniveau der E-Post in den vergangenen Jahren bereits mehrfach zertifiziert.
