Knack die Post: Hacker sollen Lücken in E-Postbrief finden

Die Mozilla Foundation und Google haben es mit ihren Fehler-gegen-Geld-Programmen erfolgreich vorgemacht; nun versucht sich die Deutsche Post in einem ähnlichen, aber zeitlich begrenzten Programm zum Aufdecken von Lücken in seinem Dienst E-Postbrief. Im Rahmen des sechswöchigen "Deutsche Post Security Cup" sollen sich mehrere Teams aus der Sicherheits-Community am Live-System mit eigenen Tools versuchen, um Fehlern auf die Spur zu kommen.

Der Fund größerer Fehler soll mit 5000 Euro, kleinere Fehler mit 1000 Euro belohnt werden. Um die Bewertung der Schwachstellen kümmert sich eine vierköpfige Jury, zu der unter anderem Professor Thorsten Holz vom Honeynet Project, Harald Welte sowie Jennifer Granick von der Electronic Frontier Foundation gehören.

Noch bis Ende September können sich Teams bewerben, der Wettbewerb startet am 26. Oktober. An die Teilnahme sind einige Bedingungen geknüpft: Daten anderer Anwender dürfen nicht manipuliert werden, gefundene Fehler dürfen nur an die Jury gemeldet werden und es ist ein Abschlussbericht anzufertigen. Die teilnehmenden Teams erhalten ein Nutzerkonto und eine Start-Prämie von 3000 Euro – die allerdings zum Teil auf die gebührenpflichtigen Dienste entfallen.

Die Deutsche Post geht damit einen anderen Weg als viele andere Anbieter und Dienstleister, die ihre Webserver und Anwendungen von Sicherheitsfirmen untersuchen und anschließend mit einem Siegel ausstatten lassen. Dort ist oftmals für die Öffentlichkeit nicht nachvollziehbar, was eigentlich getestet wurde. (dab)