E-Postbrief unter der Lupe: RUB-Forscher gewinnen „Deutsche Post Security Cup“

„Verbindlich, vertraulich, verlässlich“ – so wirbt die Deutsche Post für ihren neuen E-POSTBRIEF. Er kombiniert die Vorteile von traditionellem Briefversand mit Schnelligkeit und Omnipräsenz des Internet-Zeitalters.

Ein tatsächlicher Mehrwert bietet sich allerdings nur dann, wenn das System auch wirklich sicher ist. Aus diesem Grund rief die Deutsche Post im Herbst 2010 den „Deutsche Post Security Cup“ aus. Ein Team aus Forschern und Studierenden der IT-Sicherheit der Ruhr-Universität nahm die Webapplikation ganz genau unter die Lupe und gewann den hochdotierten Wettbewerb.

Analyse unter strikten Sicherheitsvorkehrungen

Um die Teilnahme bewarben sich über 100 Hacker-Teams aus aller Welt. Insgesamt 14 zugelassene Teams analysierten die Live-Applikation unter strikten Sicherheitsvorkehrungen über einen Zeitraum von sechs Wochen. „Andere Wettbewerbe finden häufig in Testumgebungen statt“, so Mario Heiderich, Promovend am Lehrstuhl für Netz- und Datensicherheit. „Das war hier anders: Ein ungewöhnlicher Rahmen, aber unsere gewonnen Erkenntnisse sind somit einfach näher an der Realität.“ Das Bochumer Team identifizierte dabei insgesamt neun potentielle Angriffspunkte, die die Deutsche Post umgehend sicherte.

Trend: Hacken auf Bestellung

„Dass alle teilnehmenden Teams zeitgleich suchten, erhöhte den gefühlten Konkurrenzdruck immens, denn nur das schnellste Team konnte mit einer Einreichung punkten“, so Johannes Dahse, wissenschaftlicher Mitarbeiter am Horst Görtz Institut für IT-Sicherheit und Spezialist für sichere Web-Anwendungen. Eine internationale Jury aus anerkannten Sicherheitsexperten beurteilte die Relevanz der Einreichungen, die mit einer Art Kopfgeld von bis zu 5.000 Euro prämiert wurden. Dem Trend, sich Hacker zu Nutze zu machen, um die Sicherheit zu optimieren, folgt übrigens so mancher Internet-Riese. Und Mozilla, Google oder eben die Deutsche Post setzen in ihren Security-Challenges immer höhere Preisgelder an.

Entwicklung wirksamer Sicherheitsmechanismen

„Steigende Preisgelder sind sicherlich ein Indiz dafür, dass die Browser-Sicherheit zunehmend an Bedeutung gewinnt“, so Mario Heiderich. Dieser Trend zeigt auch, wie sehr die Großen im Online-Business profundes Hacker-Wissen zu schätzen wissen. Dass auch die Wissenschaftler vom Horst-Görtz-Institut für IT-Sicherheit an der Ruhr-Universität über diesen Sachverstand verfügen, ist kein Zufall: Nur wenn die Forscher neue Angriffstechniken kennen, können sie wirksame Sicherheitsmechanismen entwickeln. Wettbewerbe wie der Security Cup sind ein willkommener Anlass, die eigenen Sinne zu schärfen und sich mit der weltweiten Konkurrenz zu messen.

Weitere Informationen

Mario Heiderich, Lehrstuhl für Netz- und Datensicherheit (Prof. Dr. Jörg Schwenk), Fakultät für Elektrotechnik und Informationstechnik der RUB, Horst Görtz Institut für IT-Sicherheit (HGI), Tel. 0234/32-26728, E-Mail: mario.heiderich@rub.de