Unternehmen fürchten sie, die Jugend feiert sie, die wenigsten kennen sie: Hacker. Tag für Tag betreiben sowohl Firmen wie auch Privatpersonen einen mehr oder weniger großen Aufwand, um sich vor Cyberangriffen durch Hacker zu schützen. Kein Wunder also, dass Ethik und Hacker auf den ersten Blick nicht wirklich zusammenzupassen scheinen. Und dennoch ist Ethical Hacking ein Begriff, den die meisten schon einmal gehört haben dürften. Unser Artikel erklärt, was dahinter steckt, warum Ethical Hacking gebraucht wird und wie die „ethischen Hacker“ vorgehen.
Autor: Thomas W. Frick, 02.05.2019, Thema: Ethical Hacking
Was genau ist Ethical Hacking?
Ethical oder auch White Hat Hacking ist ein Begriff unserer modernen digitalisierten Welt. Ein Ethical Hacker hat es nicht darauf abgesehen, mit seinen Hacks Schaden anzurichten. Vielmehr ist das genaue Gegenteil der Fall. Er spürt im Rahmen sogenannter Penetrationstests Schwachstellen im Sicherheitssystem auf, sodass diese geschlossen werden können, bevor sie sich ein Hacker mit bösen Absichten zunutze machen kann. Ein Ethical Hacker ist also ein Experte, der sein Können einsetzt, um Unternehmen, die ihn damit beauftragen, vor Cyberattacken zu schützen, indem er ihnen dabei hilft, ihr Sicherheitsnetz zu verbessern.
H
inweis: Unsere Berichte sind oft sehr ausführlich. Daher bieten wir an dieser Stelle eine Zusendung des Artikels im PDF-Format zur späteren Sichtung an. Nutzen Sie das Angebot um sich die Praxis-Impulse in Ruhe durchzulesen, Sie können hierfür auch einfach auf das PDF-Symbol klicken.
Criminal vs. Ethical Hacking vs. Hacktivism
Criminal und Ethical Hacking lassen sich sehr leicht voneinander abgrenzen. Während ein krimineller Hacker auf Datenklau oder Manipulation aus ist, wird ein Ethical Hacker von Unternehmen angeheuert, um deren Sicherheitssystem auf Schwachstellen und Lücken zu überprüfen. Etwas schwieriger wird es, wenn der Begriff Hacktivism dazukommt. Die meisten Hacktivisten hacken nämlich ebenfalls aus ethischer Motivation, obwohl sie dies ohne Erlaubnis oder einen konkreten Auftrag tun. Sie sehen sich als moderne und unsichtbare Kämpfer für die Menschheit und machen es sich so zum Beispiel zur Aufgabe, politische Korruption oder betrügerische Vorgänge innerhalb großer Unternehmen aufzudecken. Das global agierende, dezentrale Netzwerk Anonymous stellt ein gutes Beispiel für umgesetzten Hacktivismus dar. Sowohl Ethical Hacker, als auch Hacktivisten handeln, aus ihrer jeweiligen Perspektive, also ethisch. Der große Unterschied ist die Legalität. Ethical Hacker hacken auf Wunsch eines Unternehmens, mit dem Ziel, diesem zu helfen. Hacktivisten bitten nicht um Erlaubnis und verfolgen ein höheres Ziel der Gerechtigkeit.
Warum Ethical Hacking gebraucht wird
Je weiter Industrie 4.0 fortschreitet und je mehr Dinge ins IoT eingebunden werden, desto mehr Ziele bieten sich Hackern. Seit 2009 steigt die Zahl von Cyberattacken jährlich drastisch an: von 3,4 Millionen Angriffen im Jahr 2009 bis auf 59,1 Millionen im Jahr 2015. 2017 wurden allein in Deutschland 85.960 Fälle von Cyberkriminalität polizeilich erfasst. Hält man sich vor Augen, dass es sich hierbei ausdrücklich um die Zahl erfasster Angriffe handelt, wird schnell klar, wie immens die Gefahr ist, die von Hackern ausgeht. Immerhin dürfte die Dunkelziffer weit höher liegen. Kein Wunder also, dass sich längst nicht mehr nur politische und militärische Einrichtungen, Forschungszentren und Technologiekonzerne, sondern auch immer mehr Unternehmen an Ethical Hacker wenden, um das Risiko, selbst Opfer einer folgenschweren Cyberattacke zu werden, zu minimieren.
Diese Regeln liegen dem Ethical Hacking zugrunde
Ein Ethical Hacker geht grundsätzlich nach einigen Regeln vor, die nicht zwingend vorgeschrieben sind, sondern lediglich zur Orientierung dienen. Diese besagen zum einen, dass eine ausdrückliche Erlaubnis, das jeweilige Netzwerk zu prüfen, vorliegt und die Privatsphäre des Auftraggebers respektiert werden muss. Zum anderen soll jede erkannte Sicherheitslücke gemeldet und, je nach Auftragsrahmen, geschlossen und nicht etwa im Sinne eines späteren Missbrauchs offen gelassen werden. Wer nach diesen Richtlinien vorgeht, kann sich guten Gewissens als „ethischer Hacker“ bezeichnen.
H
Die Vorgehensweise der Ethical Hacker
Ethical Hacker führen, wie bereits erwähnt, Penetrationstests, kurz Pentests, durch, um Schwachstellen ausfindig zu machen. Vereinfacht dargestellt versuchen sie also das System zu hacken, um zu sehen, an welchen Stellen dies möglich ist. Dabei setzen sie die Herangehensweisen „echter“ Hacker ein. Nur so wird der Test, der immer individuell auf das zu prüfende System zugeschnitten sein muss, authentisch. Die Ethical Hacker gehen zu einem großen Teil manuell vor. Sie nutzen aber auch verbreitete und speziellere Hacking-Tools, um dem System auf die Pelle zu rücken. An dieser Stelle ist hervorzuheben, dass ein Pentest Risiken minimieren, aber niemals komplett ausschließen kann. Schließlich besteht immer eine gewisse Möglichkeit, dass ein Hacker, der es zu einem späteren Zeitpunkt auf das System abgesehen hat, über mehr Wissen, raffiniertere Skills oder brandneue Methoden verfügt.
Ethical Hacker: Ein Beruf mit Zukunft
Klingt vielleicht skurril, ist aber wahr: „Ethical Hacker“ ist mittlerweile ein angesehener und durchaus auch lukrativer Beruf. Als ethischer Hacker lässt sich durchschnittlich deutlich mehr verdienen, als mit der Arbeit als „normaler“ IT-Fachmann. Begabte Hacker, die es schaffen, sich und ihre Fähigkeiten professionell zu verkaufen, haben gute Chancen auf eine Anstellung in der Security-Abteilung eines Unternehmens. Tatsache ist nämlich, dass die Nachfrage nach versierten Hackern, die bereit sind, ihr Können auf seriöse Weise einzusetzen, stetig wächst.