Hacker-Wettbewerb: Post sucht Schwachstellen im E-Postbrief

SicherheitSicherheitsmanagement

Die Deutsche Post will ihren kürzlich gestarteten E-Postbrief sicherer machen und hat daher einen Hacker-Wettbewerb gestartet. Bis zu 5000 Euro pro Bug werden ausgelobt.

Der Wettbewerb läuft vom 26. Oktober bis zum 12. Dezember, um mitzumachen muss man sich jedoch bis Ende September bei der Post bewerben und den Wunsch nach der Teilnahme begründen sowie Referenzen auflisten. Wer akzeptiert wird, wird dann mit einem Account ausgestattet und kann sich auf die Suche nach Schwachstellen begeben. Kleinere werden mit 1000 Euro honoriert, große mit 5000 Euro, wobei die Einstufung eine Jury übernimmt, die aus Jennifer Granick von der Electronic Frontier Foundation, Harald Welte von gpl-violations.org, Prof. Thorsten Holz vom German Honeynet Project und Prof. David Evans von der University of Virginia besteht. Die Teilnehmer verpflichten sich, nicht auf die Daten anderer Nutzer des E-Postbriefs zuzugreifen, alle gefundenden Bugs nur der Jury mitzuteilen und nicht ohne Genehmigung zu veröffentlichen sowie einen Abschlussbericht zu erstellen.

Die Post hatte den E-Postbrief im Juli gestartet. Da bei der Registrierung die Identität des Nutzers per PostIdent bestätigt wird, soll er eine verbindliche Kommunikation per Mail ermöglichen. Für Sicherheit soll ein TAN-Verfahren sorgen, bei dem der Anwender den Versand und Konfigurationsänderungen mit einem Code bestätigen muss, den er aufs Handy geschickt bekommt. Ein E-Postbrief kann an andere Nutzer des E-Postbrief-Dienstes geschickt, aber auch klassisch als Brief zugestellt werden – beides berechnet die Post mit 55 Cent.

Der E-Postbrief ist ein Konkurrenzangebot zum staatlich initiierten De-Mail, die Post plant jedoch nach eigenen Angaben, eine Akkreditierung für De-Mail zu beantragen. Noch ist De-Mail nicht gestartet, Anbieter wie Deutsche Telekom oder GMX und Web.de bieten allerdings schon eine Vorregistrierung an.