Die Deutsche Post startet eine Neuauflage ihres Security Cup. Von Ende April bis Ende Juni 2013 sollen Expertenteams die verschiedenen Produkte der E-Post live auf Bugs und Schwachstellen prüfen.
Die Post hat dazu Spezialisten aus dem akademischen Umfeld, von Sicherheitsfirmen sowie talentierte Privatleute aufgerufen, sich an diesem IT-Sicherheitswettbewerb zu beteiligen. Ziel sei es, so Jürgen Pabel, Information Security Officer E-Postbrief, die Sicherheit der E-Post zu testen und weiter zu verbessern. Der Security Cup ergänze dabei die regelmäßigen Sicherheits- und Penetrationstests, mit denen die Anwendungen der E-Post bereits jetzt kontinuierlich auf Schwachstellen geprüft werden.
Eine unabhängige Jury bewertet die gewählten Angriffsformen. In der Jury sitzen: Mario Heiderich (Ruhr-Uni-Bochum und Gewinner des Security Cup 2010), Professorin Claudia Eckert (TU München), Professor Dirk Heckmann (Universität Passau) und Olaf Pursche (Computerbild, Ressort IT-Sicherheit). Den Teilnehmern winken Prämien zwischen 1.000 und 5.000 Euro.
Der 2010 durchgeführte erste Security Cup kurz nach dem Marktstart des E-Postbriefs im Juli 2010 war aus Sicht der Post „ausgesprochen erfolgreich". Knapp 100 Sicherheitsexperten hatten damals den E-Postbrief getestet. Den ersten Preis hatte vor drei Jahren ein Team der Ruhr Universität Bochum gewonnen.
Mit dem Start der E-Post als zentraler Plattform für Kommunikations- und Transaktionsaufgaben im Internet geht der Cup nun in seine zweite Runde. Nach festgelegten Spielregeln sollen die Teilnehmer mögliche Schlupflöcher und Angriffsflächen im Sicherheitsschirm der E-Post identifizieren. Die Nutzerdaten seien dabei „selbstverständlich zu jedem Zeitpunkt geschützt", versichert die Post.
Die Teilnehmer werden "anhand ihrer Anmeldeunterlagen, ihrer Motivation und ihrer Expertise im Bereich IT-Sicherheit" ausgewählt, schreibt die Post. Die Initiatoren des Wettbewerbs wollten dabei gerne auch Spezialisten aus anderen Bereichen, wie dem akademischen Umfeld, zur Teilnahme gewinnen.
Den zugelassenen Teilnehmern werden zur besseren Planung ihrer Angriffe einige nicht zur Veröffentlichung bestimmte Informationen über die Schutzmaßnahmen der Deutschen Post bereitgestellt, heißt es.
Die Bewerbungsfrist ist allerdings schon abgelaufen. Es werden keine Bewerbungen mehr angenommen. Aus organisatorischen Gründen könne nur eine begrenzte Anzahl an Teilnehmern zugelassen werden, so die Deutsche Post. CIO.de wird später über die Ergebnisse berichten.