Suchen

Penetrationstests der Deutschen Post AG LSE gewinnt „Deutsche Post Security Cup“

| Redakteur: Dr. Andreas Bergler

Das Team der LSE Leading Security Experts hat den vom 29. April bis 30. Juni 2013 ausgetragenen Security Cup der Deutschen Post gewonnen. Bei dem Wettbewerb sollte die Sicherheit des erweiterten Angebots an E-Post-Produkten getestet werden.

Firmen zum Thema

Die E-Post ist sehr sicher, bescheinigen die Gewinner des Penetrationstests LSE Leading Security Experts.
Die E-Post ist sehr sicher, bescheinigen die Gewinner des Penetrationstests LSE Leading Security Experts.
( © buchachon - Fotolia)

Zwei Monate hatten die beiden Penetrations-Tester Markus Vervier und Eric Sesterhenn von LSE Leading Security Experts darangesetzt, das umfassend gehärtete System der E-Post anzugreifen. E-Post ist die digitalisierte Form sämtlicher Kommunikationsdienste der Deutschen Post.

Weil dieses System über verschiedene Sicherheitslayer verfügt, sollte sich bald zeigen, dass gängige Angriffsmethoden kaum Aussicht auf Erfolg hatten. Die Deutsche Post hatte verschiedene Sicherheitslayer eingebaut, sodass die beiden Diplom-Informatiker neuartige und kombinierte Angriffe entwickeln mussten.

Kaum einer der bekannten Bugs ließ sich mit einem entsprechenden Exploit traktieren. „Wir mussten eben neue Bugs suchen“, fasst der LSE-Projektleiter Markus Vervier das Vorgehen zusammen. Dazu verwendeten die Security-Experten „manuelle Methoden“ und so genannte „Fuzzing Frameworks“.

Schwachstellen entdeckte das Team bei der Verarbeitung von PDF-Dateien, bei Dateiformats-Parsern und selbst bei Virenscannern. Mit insgesamt 34 Funden konnten die LSE-Tester die höchste Anzahl entdeckter Schwachstellen bei der Prüfungskommission einreichen. Allerdings gelang es weder ihnen noch einem anderen Team, innerhalb des gesteckten Rahmens das E-Post System zu kompromittieren oder gar zu übernehmen.

Sven Walther, Geschäftsführer und CTO von LSE stellt der Post deshalb ausgezeichnete Noten aus: „Die Deutsche Post AG hat mit der E-Post ein außerordentlich hohes Sicherheitsniveau bewiesen. Sie kann eine Vorreiterrolle in puncto Sicherheit im Internet und IT-Sicherheit für sich beanspruchen.“

(ID:42232874)