Der mit mehreren Tausend Euro Preisgeld dotierte Security Cup der Deutschen Post AG war erstmals 2010 durchgeführt worden, um das Sicherheitsniveau des damals neu eingeführten E-POSTBRIEFS unter Beweis zu stellen. Über den E-POSTBRIEF verschickt und empfängt der Postkunde digitale Briefe, Einschreiben online und sogar Faxe - alles über ein Portal. Die nun abgeschlossene Neuauflage des Wettbewerbs sollte Aufschluss über die Sicherheit der verbesserten E-POST Infrastruktur sowie der neuen E-POST Produkte geben. Insgesamt hatten sich wieder zahlreiche Teams aus aller Welt beworben, von denen die Jury elf zum Wettbewerb zuließ.
Zwei Monate hatten die beiden Penetrations-Tester Markus Vervier und Eric Sesterhenn von der LSE neben den anderen Teams Zeit, das umfassend gehärtete System der E-POST anzugreifen. Hierbei zeigte sich, dass gängige Angriffsmethoden kaum Aussicht auf Erfolg hatten. Das System verfügt über verschiedene Sicherheitslayer, so dass die beiden Diplom-Informatiker neuartige und kombinierte Angriffe entwickeln mussten. "Da wir kaum einen der bekannten Bugs exploitieren konnten, haben wir uns auf die Suche nach neuen gemacht", fasst der LSE Projektleiter Vervier das Vorgehen der Tester zusammen. Unter Einsatz manueller Methoden und Fuzzing Frameworks gelang es schließlich, weitere Bugs und Schwachstellen zu identifizieren.
Post-Cup fördert Transparenz und Sicherheit für die Verbraucher
Insgesamt konnten die LSE-Tester mit 34 Funden die höchste Anzahl entdeckter Schwachstellen bei der Prüfungskommission einreichen. Es ist allerdings weder ihnen noch einem anderen Team gelungen, innerhalb des gesteckten Rahmens und Zeitbudgets das E-POST System nachhaltig zu kompromittieren oder gar unter Kontrolle zu bringen. Sven Walther, Geschäftsführer und CTO der LSE zieht ein positives Fazit: "Wir freuen uns sehr, dank dieses professionell organisierten Wettbewerbs mit unserer langjährigen Expertise an die Öffentlichkeit treten und uns mit anderen Teams messen zu können. Positiv zu bewerten ist auch, dass wir neu identifizierte Sicherheitslücken von allgemeiner Relevanz im Rahmen des Wettbewerbs nicht strikt geheim halten müssen - unsere Erkenntnisse tragen somit zur Verbesserung der allgemeinen Sicherheit bei. Die Deutsche Post AG hat mit der E-POST jedenfalls ein außerordentlich hohes Sicherheitsniveau bewiesen, zu dem wir mit unseren Ergebnissen in diesem Cup einen weiteren Beitrag leisten konnten. Die Deutsche Post AG kann eine Vorreiterrolle in punkto Sicherheit im Internet und IT-Sicherheit für sich beanspruchen."