150 Hacker blasen zum Grossangriff auf die Post
Rund 150 Hacker aus aller Welt hatten 24 Stunden Zeit, um die 300 Webservices der Schweizerischen Post zu hacken und in die Systeme der Post zu gelangen. So das Setting der internationalen Hacking-Konferenz "Le HACK" vom 25./26. Juni in Paris. Mittendrin die Post als Zielscheibe. Erstmals legte die Post alle ihre Internetdienste Hackern zum Angriff vor. Das Ziel der Post: Sicherheitslücken finden und beheben. Das Ziel der Hacker: Sicherheitslücken finden und Geld kassieren. Wieviele Schwachstellen die Hacker aufgedeckt haben und wie sicher die Webservices der Post sind, verrät der Chef der Informations-Sicherheit Marcel Zumbühl im Interview.
Das Spannendste vorweg: Ist es den Hackern gelungen, in die Systeme der Post einzudringen und wenn ja, wieviele Sicherheitslücken haben sie gefunden?
Marcel Zumbühl: Die Hacker haben in den 24 Stunden 22 Schwachstellen gefunden. Die meisten Schwachstellen waren leichte oder mittlere Schwachstellen, eine war ernsthaft und eine kritisch.
22 Sicherheitslücken bei der Post?! Das sind ganz schön viele…
Ich habe weit mehr erwartet. Sie müssen bedenken: 150 der weltweit besten Hacker greifen während 24 Stunden alle rund 300 Internetdienste der Post an. Da sind 22 Schwachstellen nicht besonders viele. Die Hacker haben denn auch zugegeben, dass sie sich an der Sicherheit der Post immer wieder die Zähne ausgebissen haben. Teilweise waren sie sogar frustriert, dass sie nicht mehr Schwachstellen finden konnten.

Marcel Zumbühl, Chief Information Security Officer der Post
Und trotzdem gab es sogar kritische Schwachpunkte. Welches sind die beiden ernsthaften Schwachstellen, die Sie angesprochen haben?
Die erste Schwachstelle betrifft das sogenannte «Fundbüro für Pakete». Das ist ein online-Dienst, den etwa die Mitarbeitenden vom Kundendienst nutzen, um verloren gemeldete Pakete wieder zu finden. Obwohl das ein rein postinterner Dienst ist, haben die Hacker es geschafft, von aussen einzudringen und die Paket-Daten zu manipulieren.
Die zweite Schwachstelle betrifft unseren «Webtransfer». Das ist eine Plattform, um jemandem grosse Datenmengen, wie zum Beispiel Bilder, als Download zur Verfügung zu stellen. Die Hacker konnten den Webtransfer hacken, so dass sie beispielsweise die Mailadressen unserer Mitarbeitenden mit Phishing-Mails hätten bombardieren können.
Das heisst, dass auch Kriminelle in diese beiden Dienste der Post eindringen und Schaden anrichten können?
Wie bei allen Schwachstellen stellen wir sicher, dass wir sie entweder sofort beheben können, oder mit gezielter Überwachung verhindern können, dass sie ausgenutzt werden können, bis wir sie behoben haben. Das ist, wie wenn jemand ein Loch in einem Drahtzaun entdeckt. Entweder kann man das Loch sofort schliessen, oder es steht eine Person dorthin und stellt sicher, dass niemand hindurchschlüpft, bis das Loch endgültig geschlossen ist.
Die Systeme der Post wurden also gehackt. Waren die Daten unserer Kundinnen und Kunden also greifbar?
Solange Schwachstellen unerkannt bleiben, kann man nie ausschliessen, dass Daten von Kundinnen und Kunden gefährdet sind. Deshalb setzt die Post mit einer Vielzahl von permanent laufenden Sicherheitstests und Schutzmechanismen alles daran, Schwachstellen frühzeitig zu erkennen, so dass sie nicht ausgenutzt werden können. An der Hacking-Konferenz hat ein Team der Informationssicherheit der Post vor Ort in Paris durchgehend dafür gesorgt, dass die Kundendaten geschützt sind
Sind die Webservices der Post denn überhaupt sicher?
Ja, die Webservices der Post sind sicher. Wir wissen es alle: wenn es um Sicherheit geht, dürfen wir nie ruhen, sonst können sich Fehler einschleichen. Das ist in der digitalen Welt genau gleich, wie in der physischen, wie etwa im Verkehr oder in der Fliegerei. Sicherheit ist ein Prozess – und wir investieren enorm viel in die Sicherheit der Produkte Systeme der Post. Genau darum suchen wir gezielt und permanent nach Schwachstellen. Wir wollen sie finden und beheben. Da gehört es eben dazu, dass man sich den besten Hackern stellt. So werden wir noch sicherer und besser.
Was sind das für Hacker, die dies tun? Was sind deren Beweggründe?
Es handelt sich um sogenannte «ethische Hacker», also Hacker ohne kriminelle Absichten. Da sind spezialisierte IT-Sicherheitsexpertinnen und -experten, die versuchen, im Auftrag eines Eigentümers gezielt dessen Produkte und Dienstleistungen zu hacken. Mit dem Ziel, gemeinsam mit dem Auftraggeber – also beispielsweise mit der Post – Schwachstellen zu finden. Im Gegensatz zu den kriminellen Hackern sind sie alle bei uns registriert und wir kennen sie persönlich. Und unsere IT-Entwicklerinnen und –Entwickler arbeiten Hand in Hand mit den ethischen Hackern zusammen.
150 Hackerinnen und Hacker, die die Post gleichzeitig angreifen: Kam es zu IT-Problemen oder waren einzelne Dienste in dieser Zeit lahmgelegt?
Nein. Unsere IT-Systeme und Netze haben diesem geballten Angriff unbeschadet standgehalten. Zu keinem Zeitpunkt in diesen 24 Stunden war irgendein Web-Dienst der Post beeinträchtigt.
Was natürlich auch brennend interessiert: Wieviel Geld musste die Post den Hackern in Paris bezahlen?
Wir haben 8’700 Euro ausbezahlt. Beispielsweise für die beiden ernsthaften resp. kritischen Schwachstellen, die die Hacker gefunden haben, haben wir ihnen 1500 Euro, resp. 3000 Euro bezahlt.
Warum hat sich die Post überhaupt an dieser Hacker-Konferenz als Zielscheibe präsentiert?
Eines der wichtigsten Ziele unserer Informations-Sicherheit: Wir suchen ständig und aktiv nach Sicherheitslücken und schliessen diese. Das tun wir Tag für Tag. Seit rund 4 Jahren lassen wir im Rahmen eines Bug-Bounty-Programms (siehe Kasten) gezielt ausgewählte Online-Dienste der Post professionell hacken. In diesen vier Jahren konnten wir so bereits 437 Schwachstellen finden und beheben. Jetzt waren wir bereit, erstmals alle Internetdienste der Post gleichzeitig und minutiös auf Herz und Nieren zu prüfen. Dafür ist eine internationale Hacker-Konferenz der ideale Weg und ein echter Belastungstest.
Hand aufs Herz: Ein bisschen nervös waren Sie vor der Hacking-Konferenz schon, oder?!
Nein, ich war zuversichtlich. Ich weiss, dass meine Mitarbeitenden Tag für Tag hervorragende Arbeit leisten. Und: Wir wollten schliesslich Schwachstellen finden.
Man muss es so sehen: Kriminelle Hacker hacken Tag und Nacht. Ungefragt und unangemeldet. Für die Konferenz waren wir gewappnet: 10 Sicherheitspezialistinnen und –spezialisten von der Post waren vor Ort und im ständigen Dialog mit den ethischen Hackern. Und auch in der Schweiz standen Teams rund um die Uhr im Einsatz, um sicherzustellen, dass der Anlass keine Auswirkung auf die Produkte und Dienstleistungen der Post hatte. Und jede einzelne Sicherheitslücke, die an der Konferenz gefunden wurde, ist entweder bereits geschlossen oder wird gezielt überwacht, bis wir sie final schliessen können. Die findet kein krimineller Hacker mehr. Die digitalen Dienste der Post sind also noch sicherer geworden.
Das Bug-Bounty-Programm der Post
Seit 4 Jahren hat die Post als eines der ersten Schweizer Unternehmen ein Bug-Bounty-Programm. Ein Programm, bei dem ethische Hacker gezielt ausgewählte Produkte auf Sicherheitslücken zu überprüfen. Die wohlgesinnten Profi-Hacker suchen nach Sicherheitslücken – nach «Bugs». Für jede gefundene Schwachstelle erhalten sie eine Entschädigung – eine «Bounty». Die Höhe der Bounties, also der Prämien für bestätigte Sicherheitslücken, hängt von der Kritikalität der gefundenen Lücke ab. Die ethischen Hacker des Programms arbeiten sehr eng mit den IT-Entwicklerinnen und –Entwicklern der Post zusammen. Immer mit demselben Ziel: die gefundenen Sicherheitslücken gemeinsam möglichst rasch und sicher zu schliessen.
Zwischenbilanz Bug-Bounty-Programm (Stand Mitte Juni 2022):
Gemeldete Schwachstellen: 1159
Bestätigte Schwachstellen: 437 (davon 19 kritische Schwachstellen und 61 ernsthaft)
Behobene Schwachstellen: 437
Ausbezahlte Bounties (Prämien): 380’000 Euro
Höchste bisher ausbezahle Prämie: 40’000 Euro.
Informations-Sicherheit bei der Post
- rund 1700 MA, davon rund 400 externe 1250 Mitarbeitende bei der Informatik Post
- 70 Mitarbeitende in der Information Security
- 10 Millionen abgefangene Phishing- und Spam-Mails pro Monat
- 100 Hackerangriffe auf das IT-Netz der Post pro Monat
- 10’000 abgefangene Viren pro Monat
Kategorisiert in: