Ethical Hacking

Dass Hacker einem nichts Gutes wollen, ist mittlerweile bekannt. Aber gilt das auch für Ethical Hacking? Worum geht es dabei und was bedeuten White Hats und Black Hats in diesem Zusammenhang?

Wir klären die Begrifflichkeiten und zeigen die Unterschiede zwischen gutem und schlechten Hacking.

Was ist Ethical Hacking?

Dass längst nicht nur große Unternehmen zum Ziel von Cyberangriffen werden, ist kein Geheimnis. Ganz im Gegenteil: Kleine Unternehmen, Einzelkämpfer oder Startups stehen mittlerweile ganz oben auf der Liste der möglichen Opfer. Warum? Weil viele Firmen nach wie vor nicht auf Cyberattacken vorbereitet sind – auch nicht auf CaaS.

Eine wirksame Gegenmaßnahme bietet das sogenannte Ethical Hacking. Die sogenannten ethischen Hacker, auch White Hats oder White Hat Hacker genannt, sind Experten für Cybersecurity und stellen das Sicherheitskonzept der Auftrag erteilenden Firma unvoreingenommen auf die Probe. Dabei agieren sie wie echte, bösartige Cyberkriminelle, die auch Black Hats oder Black Hat Hacker genannt werden.

Ethisches Hacken hat das Aufspüren von Schwachstellen in digitalen Systemen, Programmen und Infrastrukturen zum Ziel – um den bösartigen Hackern zuvor zu kommen. Dafür nutzen die White Hat Hacker frei erhältliche Tools aus dem Internet oder teils selbstgeschriebene Software. Zusätzlich kann auch die verwendete Hardware in die Überprüfung der Systemsicherheit einbezogen werden – das entscheidet der Auftraggeber.

Ethische Hacker i dringen in Systeme ein, um Schwachstellen aufzudecken. Bild: Pexels/@tima-miroshnichenko

Charakteristik des Ethical Hacking

Ethische Hacker brechen in IT-Systeme ein, wenn sie dazu beauftragt wurden. Die Zustimmung des „Opfer“ ist der Grund dafür, dass Ethical Hacking als gutes Hacking, das ethisch vertretbar ist, bezeichnet wird. Aber die White Hat Hacker decken mit dem erlaubten Angriff auf die IT nicht nur Schwachstellen auf. Weitere Ziele sind das Einschätzen von Sicherheitsrisiken sowie das Beheben der aufgedeckten Mängel – und zwar im Idealfall ehe echte böse Buben einen Angriff ausführen und größeren Schaden anrichten können.

Ethisches Hacken folgt einer besonderen Charakteristik in der Vorgehensweise: Im Gegensatz zu Black Hat Hackern, die im Geheimen ihren Machenschaften nachgehen, gilt für White Hat Hacker Folgendes: das Gebot der absoluten Tranzparenz und Integrität. Das bedeutet, dass alle relevanten Informationen, die durch den Hack zu Tage treten, dem Auftraggeber kommuniziert werden müssen. Dagegen dürfen Missbrauch oder das Weitergeben von Betriebsgeheimnissen selbstverständlich nicht stattfinden.

Transparenz und Integrität absichern

Wenn Sie darüber nachdenken, ein Ethical Hacking durchführen zu lassen, dann sollten Sie unbedingt eine schriftliche Vereinbarung, also einen Vertrag nutzen, um das Tun und Handeln des White Hats zu bestimmen. Wichtig: Lassen Sie sich die Transparenz des Handelns und die Integrität des Hackers schriftlich geben, damit Sie rechtlich abgesichert sind. Einen geeigneten Leitfaden finden Sie beim Bundesamt für Sicherheit in der Informationstechnik (BSI).

Was gehört beim Ethical Hacking zur Transparenz? Unter anderem eine ausführliche und möglichst lückenlose Dokumentation. Sie sollte das genaue Vorgehen, die Ergebnisse und weitere wichtige Informationen zum Ethical Hack enthalten. Die notwendige Dokumentation kann auch konkrete Handlungsempfehlungen enthalten, beispielsweise für die Entfernung von Schadsoftware oder für das Aufsetzen einer Honeypot-Strategie.

Zudem ist es wichtig, dass White Hats keine Betriebsgeheimnisse weitergeben. Zudem dürfen sie keine Schwachstellen im System hinterlassen. Sie könnten sonst später von Cyberkriminellen ausgenutzt werden.

White Hats oder Black Hats – Gut oder Böse? Nicht immer ist die Abgrenzung eindeutig. Bild: Pexels/@cottonbro

Unterschied White Hats – Black Hats

Grundsätzlich gilt, dass White Hats die Guten sind, Black Hats die Bösen. Denn: Ethical Hacking möchte digitale Infrastrukturen und vertrauliche Daten vor Angriffen von außen schützen und zu mehr Sicherheit beitragen.

Black Hats haben dagegen destruktive Ziele wie die Unterwanderung und die Zerstörung von Sicherheitssystemen, eine persönliche Bereicherung oder das Erbeuten und Ausspionieren von vertraulichen Daten. Zudem stehen hinter kriminellen Hackern immer öfter weltweit operierende Vereinigungen. Sie nutzen global vernetzte Botnetze für DDoS-Angriffe nutzen und wollen natürlich unerkannt im Verborgenen bleiben.

Aber es gibt auch Grenzfälle, in denen die eindeutige Abgrenzung von Gut und Böse nicht so einfach ist: Politisch motivierte Hacks können sowohl ethisch-konstruktive als auch destruktive Ziele verfolgen. Ob ein Hack als etisch oder unethisch angesehen wird, hängt von den jeweiligen Interessen, dem politischen oder persönlichen Standpunkt ab. Ein Thema sind hierbei immer wieder Staatstrojaner – wobei der Staat seine Trojaner sicherlich als ethische Hacks sieht, während der Bürger, der mithilfe des Trojaners überwacht wird, eine andere Einstellung haben dürfte.

Wer nutzt Ethical Hacking?

Da die Auswirkungen, wenn man gehackt wurde, oft schwerwiegend sind und für Firmen existenzielle Auswirkungen haben können, ist es für jeden IT-Security-Mitarbeiter ein Anliegen, dass Firmendaten gut geschützt sind. Hier helfen Konzepte wie Zero-Trust oder Continuous Adaptive Trust. Denn: Die IT-Sicherheit darf niemals zu kurz kommen. Ein Hilfsmittel kann ethisches Hacking sein.

Doch wer engagiert die White Hats eigentlich? Organisationen, Regierungen und Unternehmen (z. B. Technologie- und Industrieunternehmen, Banken, Versicherungen) sind diejenigen, in deren Auftrag die guten Hacker unterwegs sind, um Sicherheitslücken und Programmierfehlern (Bugs) zu finden.

Dabei folgen Ethical Hacker Routinen: Sie versuchen gezielt offene Ports durch Portscans aufzuspüren. Sie überprüfen die Sicherheit von Bezahldaten (Kreditkartendaten), Logins und Passwörtern und simulieren Hacker-Angriffe über das Netzwerk.

Ethische Hacker werden von dne vcerschiedensten Organisationen und UNternehmen engagiert, um Schwachstellen aufzustöbern. Bild: Pexels/@shkrabaanthony

Kann man ethisches Hacken lernen?

Einen Ausbildungsberuf zum Ethical Hacker gibt es zwar nicht, aber immerhin eine Zertifizierung durch das EU-Council, das nach dem Besuch mehrtägiger IT-Schulungen verliehen wird, beispielsweise von der TÜV Rheinland Akademie.

Während Profi-Hacker dieser Art von Zertifizierungen ablehnen, sind Sie für Unternehmen wichtig, um die Seriosität eines Ethical Hackers besser einschätzen zu können. Zudem sind Schulungen und Zertifikate Ausdruck einer zunehmenden Professionalisierung im Bereich Ethical Hacking. Denn: Der Bedarf an White Hats steigt rasant und durch Zertifikate können sich die Guten Hacker als seriöse Dienstleister auf eigenen Webseiten präsentieren.

Wer ein White Hat Hacker werden möchte, sollte als Grundlage ein ausgemachter IT-Spezialist sein. Zum umfangreiches Wissen sollte: Computersicherheit, Netzwerke, verschiedene Betriebssysteme, Programmier- und Hardware-Kenntnisse sowie Grundlagen der Computer- und Digitaltechnik gehören. Außerdem muss man natürlich eine genaue Kenntnis der Hackerszene  sowie ihre Denk- und Vorgehensweise haben. Kein Wunder also, dass bösartige Hacker oft zu White Hat Hackern werden. Wer, wenn nicht sie, kennt sich aus – was allerdings auch ein Kritikpunkt am ethischen Hacken ist.

Ethical Hacking: eine Zeitreise des Hackings

Zugeschrieben wir die Schaffung des Begriffs Ethical Hacking in den 1990er Jahren der ehemaligen IBM-Führungskraft John Patrick. Allerdings sind sowohl das Konzept als auch die Anwendung in der Praxis deutlich früher entstanden:

• Der Begriff Hacking tauchte erstmals in den 1960er Jahren am Massachusetts Institute of Technology auf. Dort wurde das erste Betriebssystem entwickelt, das es mehreren Benutzern gleichzeitig ermöglichte, auf denselben Computer zuzugreifen. Diese Technologie legt den Grundstein für das Hacken, was zu der Zeit als Kompliment galt. Wer hacken konnte, besaß ganz besonderen Fähigkeiten in der Computerprogrammierung.
• Der Homebrew Computer Club wird in den 1970er Jahren gegründet. Der Club trifft sich regelmäßig, um ihre Computerkenntnisse und -fähigkeiten auszutauschen. Dieser Club gilt als Geburtsort des modernen Hackings.
• Der Film „War Games“ von 1983, in dem sich ein Student versehentlich in einen vom US-Militär betriebenen Supercomputer für Kriegsspiele einhackt, trug dazu bei, die Schwachstellen großer Computersysteme aufzuzeigen.
• Der Robert Tappan Morris entwickelt 1988 den ersten Computerwurm namens „Morris Worm“. Es ist der erste Virus, der sich schnell auf Computern auf der ganzen Welt ausbreitet und als einer der schädlichsten Viren in der Geschichte des Internets gilt.
• Das erste Hacker-Kollektiv namens „L0pht“ ist  ab 1992 aktiv. Die Mitglieder des Kollektivs sind bekannt für ihre Fähigkeiten, in Computer-Systeme einzudringen und Schwachstellen aufzudecken.
• Der Computer-Sicherheitsexperte Dan Kaminsky entdeckt 2003 einen schwerwiegenden Fehler im Domain Name System (DNS), der es Hackern ermöglicht, Internet-Verkehr umzuleiten und zu kontrollieren.
• Die Enthüllung von WikiLeaks bringt 2010 das Hacken in die Öffentlichkeit. Die Organisation veröffentlicht geheime Dokumente und Informationen, die von Regierungsbehörden und anderen Organisationen gestohlen wurden.
• Die US-Präsidentschaftswahl wird im Jahr 2016 von russischen Hackern beeinflusst. Mit gestohlenen E-Mail beeinflussen sie die Wahl und untergraben das Vertrauen in das demokratische System.

Heute macht die Kommerzialisierung von Hacking-Fähigkeiten, bekannt als Hacking-as-a-Service (HaaS), die Cybersicherheit noch komplexer. Im Gegenzug bieten Cybersecurity-Firmen und IT-Sicherheitsanbieter ihren Firmenkunden optional ethische HaaS per Vertrag an.

Ob ethisches Hacken oder Penetrationstest – gerade Firmen sollten Ihre IT-Sicherheit im Blick haben oder das Thema einem Experten von PC-SPEZIALIST übergeben. Bild: Pexels/@fauxels

Ethisches Hacken vs. Penetrationstests

Penetrationstests und Ethical Hacking werden oft synonym, also gleichbedeutend verwendet. Es gibt jedoch Unterschiede, wenn auch nur kleine. Das ist der Grund, warum viele Unternehmen sowohl ethische Hacker als auch Pentester einsetzen, um die IT-Sicherheit zu verbessern.

Ethische Hacker testen routinemäßig IT-Systeme auf Schwachstellen. Besonders wichtig ist für sie, dass sie sich über Ransomware oder neue Computerviren auf dem Laufenden halten. Ihre Arbeit umfasst den Pentest als Teil einer allgemeinen IT-Sicherheitsbewertung.

Pentester versuchen dagegen, viele der genannten Ziele zu erreichen. Dabei führen Sie ihre Tätigkeit nach einem vorher festgelegten Zeitplan durch. Pentester konzentrieren sich zudem auf bestimmte Aspekte eines Netzwerks. Die Gesamtsicherheit steht nicht unbedingt im Fokus. Deshalb hat die Person, die den Pentest durchführt, möglicherweise nur begrenzten Zugang zu den Systemen – im Gegensatz zum ethischen Hacker.

Ethical Hacking – sinnvoller Schutz

In Zeiten, in denen Cyberkriminalität immer weiter zunimmt auch immer öfter kleine Firmen ins Visier Krimineller geraten, gehört eine umfassende IT-Sicherheitsstrategie zu den Grundmaßnahmen, um Datensicherheit zu gewährleisten. Die DSGVO setzt dafür Richtlinien. Einen Pentest durchführen zu lassen oder Ethical Hacking zu beauftragen, ist eine sinnvolle Ergänzung. Allerdings: Ethical Hacking birgt auch Risiken, es kommt durchaus vor, dass Systeme durch White Hats ungewollt beeinträchtigt werden oder sogar abstürzen.

Grundvoraussetzung für jede Art der IT-Sicherheit ist aber zweifelsohne eine moderne Hardware-Ausstattung sowie Software, die immer auf dem neuesten Stand ist. Beides bekommen Sie garantiert von PC-SPEZIALIST in Ihrer Nähe.

Außerdem bieten wir Ihnen mit IT-Basisschutz für Firmen eine Rundum-Betreuung, die dafür sorgt, dass Sie Ihrer Arbeit nachgehen können, ohne dass Sie Ihre Gedanken daran verschwenden müssen, dass die Software upgedatet wird oder der Virenschutz vernünftig arbeitet. Darum kümmern wir uns – zu einem monatlichen Fixpreis. Nehmen Sie gern Kontakt zu uns auf uns lassen Sie sich beraten.

_______________________________________________

Quellen: it-business, computerweekly, digitaleweltmagazin, crashtest-security, netzpiloten, ionos