Die Post liess sich von rund 150 Hackern angreifen

An der internationalen Hacking-Konferenz «Le HACK», welche vom 25. bis 26. Juni 2022 in Paris stattfand, machte sich die Post freiwillig zur Zielscheibe. Rund 150 Hacker aus aller Welt erhielten 24 Stunden Zeit, um die 300 Webseiten der Schweizerischen Post zu hacken, wie das Unternehmen im Post-Blog schreibt. Erstmals habe die Post alle ihre Internetdienste den Hackern zum Angriff vorgelegt. Laut Post hat an der Hacking-Konferenz in Paris ein Team der Post-Informationssicherheit durchgehend dafür gesorgt, dass die Kundendaten geschützt sind.

Die ethischen Hacker fanden in der zur Verfügung gestellten Zeit 22 Schwachstellen. Bei den meisten handelte es sich laut Post um leichte Schwachstellen, eine war ernsthaft und eine kritisch. «Ich habe weit mehr erwartet», sagt Marcel Zumbühl, Chief Information Security Officer der Post im hausinternen Interview. «Sie müssen bedenken: 150 der weltweit besten Hacker greifen während 24 Stunden alle rund 300 Internetdienste der Post an. Da sind 22 Schwachstellen nicht besonders viele. Die Hacker haben denn auch zugegeben, dass sie sich an der Sicherheit der Post immer wieder die Zähne ausgebissen haben. Teilweise waren sie sogar frustriert, dass sie nicht mehr Schwachstellen finden konnten.»

Eine der ernsteren Schwachstelle betrifft das «Fundbüro für Pakete». Den Onlinedienst verwenden unter anderem die Mitarbeitenden des Kundendiensts, um verlorene Pakete wiederzufinden. Es handelt sich um einen rein internen Dienst. Trotzdem konnten die Hacker von aussen eindringen und die Paket-Daten manipulieren.

Die andere kritische Schwachstelle betrifft den «Webtransfer», so Zumbühl. Die Plattform wird verwendet, um grosse Datenmengen als Download zur Verfügung zu stellen. Die Angreifer konnten den Webtransfer hacken und hätten anschliessend z. B. die Mailadressen der Mitarbeitenden mit Phishing-E-Mails überhäufen können.

Laut Zumbühl wurde jede Sicherheitslücke, die an der Konferenz gefunden wurde, entweder bereits geschlossen oder werde gezielt überwacht, bis man sie final schliessen könne.

Die IT-Systeme haben dem Angriff während der 24 Stunden nach eigenen Angaben standgehalten. Die Post hat laut Blog-Eintrag 8700 Euro ausbezahlt. Für die beiden ernsthaften Schwachstellen, wurden 1500 Euro bzw. 3000 Euro bezahlt.

Seit rund vier Jahren lässt die Post im Rahmen eines Bug-Bounty-Programms gezielt ausgewählte Online-Dienste der Post professionell hacken.