Ethical Hacking hat in den letzten Jahren an­ge­sichts einer rasant zu­neh­men­den Cy­ber­kri­mi­na­li­tät stetig an Bedeutung gewonnen. Immer mehr Un­ter­neh­men, Or­ga­ni­sa­tio­nen und In­sti­tu­tio­nen suchen aus­ge­wie­se­ne Experten für Cy­ber­se­cu­ri­ty, die das eigene Si­cher­heits­kon­zept un­vor­ein­ge­nom­men auf die Probe stellen und dabei möglichst praxisnah wie „echte“ Hacker agieren.

Wir erklären Ihnen in einer Ethical-Hacking-De­fi­ni­ti­on, was diese Form des Hackens aus­zeich­net und wie sie sich von illegalem Hacking un­ter­schei­det. Außerdem be­schäf­tigt sich unser Überblick mit den Ein­satz­be­rei­chen des Ethical Hackings und den be­son­de­ren Qua­li­fi­ka­tio­nen der „guten“ Hacker.

Was ist Ethical Hacking?

Ethical Hacker sind Experten für Com­pu­ter­si­cher­heit, die nur nach einer aus­drück­li­chen Be­auf­tra­gung in IT-Systeme ein­bre­chen. Aufgrund der Zu­stim­mung des „Opfers“ wird diese Variante des Hackens als ethisch ver­tret­bar angesehen. Ziel des Ethical Hacking ist es, Schwach­stel­len in digitalen Systemen und In­fra­struk­tu­ren auf­zu­de­cken (z. B. Software-Bugs), Si­cher­heits­ri­si­ken ein­zu­schät­zen und kon­struk­tiv an der Behebung auf­ge­deck­ter Si­cher­heits­män­gel mit­zu­wir­ken. Ein Stress­test für die Sys­tem­si­cher­heit kann jederzeit (also auch nach einem illegalen Hack) statt­fin­den. Im Idealfall sollen Ethical Hacker aber Cy­ber­kri­mi­nel­len zu­vor­kom­men und dadurch größeren Schaden ver­hin­dern.

Ethical Hacking, das in Ab­gren­zung zum „normalen“ Hacking mit kri­mi­nel­len Motiven auch als White-Hat-Hacking (dt. Weißer-Hut-Hacking) be­zeich­net wird, fo­kus­siert in erster Linie Schwach­stel­len in der Pro­gram­mie­rung und Kon­zep­tio­nie­rung von Software (Bugs). Schwer­punk­te für Si­cher­heits­über­prü­fun­gen sind u. a. Web­an­wen­dun­gen und die Website-Security. Neben der Software kann auch die ver­wen­de­te Hardware in die Über­prü­fung der Sys­tem­si­cher­heit ein­be­zo­gen werden.

White Hats nutzen für ihre Si­cher­heits­über­prü­fun­gen teils frei er­hält­li­che Tools aus dem Internet (z. B. die Gra­tis­ver­si­on von Burp Suite), teils selbst­ge­schrie­be­ne Software. Letztere ga­ran­tiert, dass Si­cher­heits­lü­cken und Ma­ni­pu­la­tio­nen am Code ver­wen­de­ter Programme aus­ge­schlos­sen werden können. Nicht selten geht aus dem Ethical Hacking konkreter Schadcode (einzelne Be­fehls­se­quen­zen oder ein kleineres Programm) hervor, der Exploit genannt wird. Der spezielle Code nutzt gefundene Fehler oder Schwach­stel­len im System aus und ruft an­schlie­ßend ein be­stimm­tes Verhalten in Software, Hardware oder anderen elek­tro­ni­schen Geräten hervor.

Cha­rak­te­ris­tisch für einen Ethical Hack ist eine besondere Vor­ge­hens­wei­se: Seitens des Auf­trag­neh­mers gilt das Gebot der absoluten Trans­pa­renz und In­te­gri­tät, gerade wenn sensible Bereiche (Firmen- und Be­triebs­ge­heim­nis­se, ver­trau­li­che Kun­den­da­ten) durch Ethical Hacking ab­ge­si­chert werden sollen. Alle re­le­van­ten In­for­ma­tio­nen von Hacks müssen dem Auf­trag­ge­ber kom­mu­ni­ziert werden, Miss­brauch oder das Wei­ter­ge­ben von Be­triebs­ge­heim­nis­sen dürfen nicht statt­fin­den.

Zur Trans­pa­renz gehört in der Regel eine aus­führ­li­che und möglichst lü­cken­lo­se Do­ku­men­ta­ti­on, die das genaue Vorgehen, die Er­geb­nis­se und weitere relevante In­for­ma­tio­nen zum Ethical Hack be­inhal­tet. Die de­tail­lier­ten Berichte können auch konkrete Hand­lungs­emp­feh­lun­gen enthalten, z. B. für die Ent­fer­nung von Schad­soft­ware oder für das Aufsetzen einer Honeypot-Strategie. Ethical Hacker achten zudem darauf, keine Schwach­stel­len im System zu hin­ter­las­sen, die Cy­ber­kri­mi­nel­le später ausnutzen könnten.

Beim Ethical Hacking kann sich der Auf­trag­ge­ber rechtlich absichern. Eine schrift­li­che Ver­ein­ba­rung und eine Auf­trags­ab­wick­lung auf ver­trag­li­cher Basis werden z. B. vom Bundesamt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) in einem Praxis-Leitfaden empfohlen.

Eigene E-Mail-Adresse erstellen
E-Mail-Kom­plett­pa­ke­te vom deutschen Markt­füh­rer
  • Mit KI schneller zur perfekten E-Mail: schreiben, über­set­zen, um­for­mu­lie­ren
  • Aus Deutsch­land – DSGVO-konform & sicher
  • Nur bei IONOS: Eigene Domain inklusive

Was ist der Un­ter­schied zwischen Ethical Hacking und „normalem“ Hacking?

Die we­sent­li­chen Un­ter­schie­de zum tra­di­tio­nel­len „normalen“ Hacking sind das ethische Fundament sowie die Grund- und Rah­men­be­din­gun­gen eines Hacks. Ethisch mo­ti­vier­tes Hacking möchte digitale In­fra­struk­tu­ren und ver­trau­li­che Daten vor Angriffen von außen schützen und kon­struk­tiv zu mehr In­for­ma­ti­ons­si­cher­heit beitragen.

Bei „normalem“ Hacking stehen hingegen de­struk­ti­ve Ziel­set­zun­gen im Vor­der­grund, also die Un­ter­wan­de­rung und mög­lich­wei­se sogar die Zer­stö­rung von Si­cher­heits­sys­te­men. „Niedere“ Motive wie eine per­sön­li­che Be­rei­che­rung oder das Erbeuten und Aus­spio­nie­ren von ver­trau­li­chen Daten sind we­sent­li­che Be­weg­grün­de. Oft gehen mit einem „normalen“ Hack Straf­ta­ten wie Er­pres­sung, In­dus­trie­spio­na­ge oder das sys­te­ma­ti­sche Lahmlegen von sys­tem­kri­ti­scher In­fra­struk­tur (auch in größerem Umfang) einher. Hinter „bösen“ Hacks stehen heute vermehrt weltweit ope­rie­ren­de kri­mi­nel­le Ver­ei­ni­gun­gen, die bei­spiels­wei­se global vernetzte Botnets für DDoS-Angriffe nutzen. Außerdem ist ein Grund­an­lie­gen vieler „Bad Hacks“, un­ent­deckt und im Ver­bor­ge­nen zu bleiben.

Auf den ersten Blick ist diese Un­ter­schei­dung ein­leuch­tend und trenn­scharf. Bei genauerer Be­trach­tung gibt es al­ler­dings Grenz­fäl­le. So können politisch mo­ti­vier­te Hacks ethisch-kon­struk­ti­ve, aber auch de­struk­ti­ve Ziele verfolgen. Je nach In­ter­es­sens­la­ge und per­sön­li­chem oder po­li­ti­schem Stand­punkt kann eine un­ter­schied­li­che Ein­schät­zung erfolgen und ein Hack als „ethisch“ oder „unethisch“ angesehen werden. Kritisch dis­ku­tiert wird bei­spiels­wei­se seit einigen Jahren das verdeckte Ein­drin­gen von staat­li­chen Er­mitt­lungs­be­hör­den und Ge­heim­diens­ten in Com­pu­ter­sys­te­me von Pri­vat­per­so­nen, Behörden oder anderen Staaten.

Grenz­gän­ger zwischen den Polen ist auch ein Ethical Hacking, das sich er­klär­ter­ma­ßen am Ge­mein­wohl und an einer Ver­bes­se­rung der Cy­ber­si­cher­heit ori­en­tiert, zugleich aber un­auf­ge­for­dert und ohne das Wissen des „Ziel­ob­jekts“ statt­fin­det. Diese Variante prak­ti­ziert etwa der Chaos Computer Club (CCC). Bei den Ak­ti­vi­tä­ten des ein­ge­tra­ge­nen Vereins stehen weniger wirt­schaft­li­che Ge­sichts­punk­te im Vor­der­grund, als vielmehr be­fürch­te­te negative Aus­wir­kun­gen auf die Ge­sell­schaft und die Da­ten­si­cher­heit der Bürger.

So hat der CCC gezielt Si­cher­heits­lü­cken und Gefahren von bio­me­tri­schen Verfahren auf­ge­deckt und öf­fent­lich das Sammeln und Wei­ter­ge­ben von Biometrie-Daten ver­ur­teilt, da sie auf un­ab­seh­ba­re Zeit einer konkreten Person zu­ge­ord­net und miss­braucht werden können. Selbst wenn solche Or­ga­ni­sa­tio­nen ihre „Opfer“ nicht schädigen wollen, die Er­geb­nis­se eines Hacks of­fen­le­gen und bei ihrer Auf­klä­rung explizit die öf­fent­li­che Meinung adres­sie­ren – sie bewegen sich bei ver­deck­ten Ak­ti­vi­tä­ten im Cyberraum doch immer wieder in recht­li­chen Grauzonen.

Be­trach­tet man „normales“ und Ethical Hacking aus einer rein tech­ni­schen Per­spek­ti­ve, fällt eine Un­ter­schei­dung noch schwerer. White Hat Hacking nutzt in der Regel das gleiche Know-how und die gleichen Techniken und Werkzeuge wie „un­ethi­sches“ Hacking, um möglichst praxisnah Schwach­stel­len in der Hard- und Software auf­zu­spü­ren.

Die Grenze zwischen „normalem“ und Ethical Hacking ist also eher fließend, und es ist si­cher­lich kein Zufall, dass junge IT-Straf­tä­ter in späteren Jahren oft zu an­ge­se­he­nen Si­cher­heits­be­ra­tern und Vor­den­kern der Branche werden. Es gibt daher auch Po­si­tio­nen, die ethische Mo­ti­va­tio­nen als Un­ter­schei­dungs­kri­te­ri­um grund­sätz­lich ablehnen und den Stand­punkt vertreten, dass Hacken per se zu ver­ur­tei­len ist. Dem­zu­fol­ge gibt es keine ver­tret­ba­re Un­ter­schei­dung zwischen einem „guten“ (= ethischen) und einem „bösen“ (= un­ethi­schen) Hack.

Diese Position blendet al­ler­dings die positiven Effekte und die vielfach sinnvolle und not­wen­di­ge Praxis des Ethical Hackings aus. So behob die Community der in­ter­na­tio­nal an­er­kann­ten Cy­ber­se­cu­ri­ty-Plattform HackerOne bis Mai 2018 mehr als 72.000 Si­cher­heits­lü­cken in über 1.000 Un­ter­neh­men. 2017 stieg laut Hacker-Powered Security Report 2018 die Ge­samt­zahl der ge­mel­de­ten kri­ti­schen Si­cher­heits­lü­cken um 26 Prozent. Die Zahlen ver­deut­li­chen, dass White Hat Hacking heut­zu­ta­ge ein wichtiges und probates Mittel bei der Be­kämp­fung von Cy­ber­kri­mi­na­li­tät ist.

Wo wird Ethical Hacking ein­ge­setzt?

Meist sind Ethical Hacker im Auftrag von Or­ga­ni­sa­tio­nen, Re­gie­run­gen und Un­ter­neh­men (z. B. Tech­no­lo­gie- und In­dus­trie­un­ter­neh­men, Banken, Ver­si­che­run­gen) auf der Suche nach Si­cher­heits­lü­cken und Pro­gram­mier­feh­lern (Bugs). Diese nutzen die Expertise der White Hats besonders häufig für so­ge­nann­te Pe­ne­tra­ti­ons­tests.

Bei Pentests dringt Ethical Hacking gezielt in ein IT-System ein und zeigt Lö­sungs­mög­lich­kei­ten für eine Ver­bes­se­rung der IT-Si­cher­heit auf. Man un­ter­schei­det häufig zwischen IT-In­fra­struk­tur- und Web­an­wen­dungs-Pe­ne­tra­ti­ons­tests. Erstere testen und ana­ly­sie­ren bei­spiels­wei­se Server-Systeme, WLAN-Netze, VPN-Zugänge und Firewalls. Im Bereich der Web­an­wen­dun­gen werden u. a. Netz­werk­diens­te, Webseiten (z. B. Webshops), Kun­den­ver­wal­tungs­por­ta­le oder Systeme zum Monitoren von Servern und Diensten genauer unter die Lupe genommen. Dabei kann sich ein Pe­ne­tra­ti­ons­test auf die Netzwerk- und die An­wen­dungs­ebe­ne beziehen. Das BSI stellt eine Liste zer­ti­fi­zier­ter IT-Si­cher­heits­dienst­leis­ter, die IS-Pe­ne­tra­ti­ons­tests betreiben, im Internet zur Verfügung.

Zu den konkreten Rou­ti­ne­prü­fun­gen von Ethical Hacks gehören das Aufspüren von offenen Ports durch Portscans, die Über­prü­fung der Si­cher­heit von Be­zahl­da­ten (Kre­dit­kar­ten­da­ten), Logins und Pass­wör­tern sowie die Si­mu­la­ti­on von Hacker-Angriffen über das Netzwerk. Da dabei meist das TCP/IP-Protokoll verwendet wird, spricht man auch von IP-basierten Pe­ne­tra­ti­ons­tests. Bei Pe­ne­tra­ti­ons­tests werden die Systeme oft speziell da­hin­ge­hend überprüft, ob ein­ge­schleus­te Viren oder Trojaner sensible Fir­men­da­ten (Be­triebs­ge­heim­nis­se, tech­ni­sche Patente etc.) erbeuten können. Ergänzen lassen sich solche Stra­te­gien durch Social-En­gi­nee­ring-Techniken, die den Ri­si­ko­fak­tor Mensch ein­be­zie­hen und das Verhalten von Mit­ar­bei­tern in einem Si­cher­heits­kon­zept explizit un­ter­su­chen.

Für die Durch­füh­rung solcher Pe­ne­tra­ti­ons­tests haben sich Standards etabliert. In Deutsch­land ori­en­tiert man sich bei­spiels­wei­se am Durch­füh­rungs­kon­zept für Pe­ne­tra­ti­ons­tests vom BSI. In­ter­na­tio­nal ist das Open Source Security Testing Me­tho­do­lo­gy Manual (OSSTMM) ein eta­blier­ter Standard.

Wie wird man ein Ethical Hacker?

Eine an­er­kann­te mehr­jäh­ri­ge Be­rufs­aus­bil­dung zum Ethical Hacker gibt es nicht. Das EC-Council, das sich auf Security-Schu­lun­gen und Cy­ber­si­cher­heits­diens­te spe­zia­li­siert hat, hat al­ler­dings eine Zer­ti­fi­zie­rung ent­wi­ckelt. Angeboten werden die da­zu­ge­hö­ri­gen IT-Schu­lun­gen weltweit von ver­schie­de­nen of­fi­zi­el­len Partnern und Or­ga­ni­sa­tio­nen, für die Durch­füh­rung sind zer­ti­fi­zier­te EC-Council-Trainer zuständig.

In Deutsch­land bietet bei­spiels­wei­se die TÜV Rheinland Akademie mehr­tä­gi­ge IT-Kurse für den Erwerb des Zer­ti­fi­kats mit der of­fi­zi­el­len Be­zeich­nung CEH 312-50 (ECC EXAM), 312-50 (VUE) an. Weitere an­er­kann­te Qua­li­fi­ka­tio­nen und Zer­ti­fi­ka­te wurden vom Un­ter­neh­men Offensive Security (Offensive Security Certified Pro­fes­sio­nal, OSCP) und vom SANS-Institut (Global In­for­ma­ti­on Assurance Cer­ti­fi­ca­ti­ons, GIAC) ent­wi­ckelt.

Zwar lehnen viele Profi-Hacker schu­lungs­ba­sier­te Zer­ti­fi­ka­te ab und stufen sie als nicht besonders praxisnah ein. Für Un­ter­neh­men bieten sie aber einen wichtigen An­halts­punkt, da sie mit ihnen die Se­rio­si­tät eines Ethical Hackers besser ein­schät­zen können. Die Zer­ti­fi­ka­te sind zudem Ausdruck einer zu­neh­men­den Pro­fes­sio­na­li­sie­rung in dem Bereich. Bei rasant stei­gen­dem Bedarf können ethische Hacker sich durch Zer­ti­fi­ka­te besser ver­mark­ten, lu­kra­ti­ve­re Jobs ergattern und sich als seriöse Dienst­leis­ter etwa auf eigenen Webseiten prä­sen­tie­ren.

Zer­ti­fi­ka­te können für Ethical Hacker bei der Akquise hilfreich sein, eine zwingende Not­wen­dig­keit sind sie aber derzeit (noch) nicht. Zu White Hat Hackern werden aktuell vor allem IT-Spe­zia­lis­ten, die üb­li­cher­wei­se ein um­fang­rei­ches Wissen in folgenden Bereichen mit­brin­gen:

  • Com­pu­ter­si­cher­heit
  • Netzwerke
  • ver­schie­de­ne Be­triebs­sys­te­me
  • Pro­gram­mier- und Hardware-Kennt­nis­se
  • Grund­la­gen der Computer- und Di­gi­tal­tech­nik

Über diese Qua­li­fi­ka­tio­nen hinaus ist eine genauere Kenntnis der Ha­cker­sze­ne und ihrer Denk- und Vor­ge­hens­wei­sen hilfreich.

Natürlich gibt es viele Quer­ein­stei­ger, die sich das benötigte Wissen für Ethical Hacking im Selbst­stu­di­um (z. B. durch On­line­re­cher­chen) er­ar­bei­ten. Besonders geeignet für die an­spruchs­vol­le Tätigkeit sind zudem IT-Profis, die das Grund­la­gen­wis­sen durch eine Aus­bil­dung zum IT-Sys­tem­elek­tro­ni­ker oder durch ein klas­si­sches In­for­ma­tik­stu­di­um erworben haben. Im Hacker-Powered Security Report von 2018 wurden 1.698 Ethical Hacker nach ihrer Aus­bil­dung befragt. Nahezu 50 Prozent ar­bei­te­ten zum Zeitpunkt der Un­ter­su­chung haupt­be­ruf­lich in der In­for­ma­ti­ons­tech­no­lo­gie. Schwer­punk­te waren die Hardware- und ins­be­son­de­re die Software-Ent­wick­lung. Über 40 Prozent der IT-Berufler hatte sich auf die Si­cher­heits­for­schung spe­zia­li­siert. Ein hoher Pro­zent­satz der Befragten (25 Prozent) studierte noch. Auch 2019 wurde haupt­säch­lich ne­ben­be­ruf­lich gehackt. Laut 2020 Hacker Report von HackerOne waren in dem Jahr nur 18 Prozent der Befragten in Vollzeit mit Ethical Hacking be­schäf­tigt.

Dabei arbeiten Ethical Hacker nicht nur als externe IT-Experten. Es gibt auch Un­ter­neh­men, die im eigenen Haus fest­an­ge­stell­te IT-Fachleute zu White Hat Hackern ausbilden und darauf achten, dass sie kon­ti­nu­ier­lich an Fort­bil­dun­gen und Schu­lun­gen für (Ethical) Hacking und Cy­ber­si­cher­heit teil­neh­men.

Konkrete Aufträge finden White Hat Hacker häufig über eine besondere Aus­schrei­bungs­pro­ze­dur. Un­ter­neh­men wie Facebook, Google oder Microsoft nutzen Bug-Bounty-Programme (sinn­ge­mä­ße Über­set­zung: Kopfgeld-Programme für Pro­gramm­feh­ler), in denen sie die Be­din­gun­gen und Vorgaben von Cy­ber­an­grif­fen und Feh­ler­su­chen präzise de­fi­nie­ren und er­folg­rei­chen Hackern teils be­acht­li­che Geld­prä­mi­en für gefundene Si­cher­heits­pro­ble­me in Aussicht stellen. Bug-Bounty-Programme werden oft als Ergänzung zu Pe­ne­tra­ti­ons­tests durch­ge­führt.

An der Auf­trags­ver­ga­be sind häufig in­ter­na­tio­nal an­er­kann­te Ver­mitt­lungs­platt­for­men wie HackerOne beteiligt. Deren 2020 Hacker Report gibt an, dass Hacker allein im Jahr 2019 Kopf­gel­der in Höhe von rund 40 Millionen US-Dollar ver­dien­ten; insgesamt wurden damit seit Bestehen der Plattform 82 Millionen US-Dollar aus­ge­zahlt. Ethical Hacker ak­qui­rie­ren Aufträge zudem jenseits solcher Platt­for­men durch Ei­gen­in­itia­ti­ve und stellen ihre Dienst­leis­tun­gen ins Netz.

Fazit: Emp­feh­lens­wert, aber nur bei gründ­li­cher Vor­be­rei­tung

In Zeiten zu­neh­men­der Cy­ber­kri­mi­na­li­tät ist Ethical Hacking eine emp­feh­lens­wer­te Strategie zur Prä­ven­ti­on. Gezielte Pro­be­an­grif­fe und pra­xis­na­he Pe­ne­tra­ti­ons­tests können die Si­cher­heit einer IT-In­fra­struk­tur nach­weis­lich op­ti­mie­ren und dadurch illegales Hacking schon früh­zei­tig ver­hin­dern. Dabei können Auf­trag­ge­ber von Ethical Hacking der Gefahr der Be­triebs­blind­heit aus dem Weg gehen, denn au­ßen­ste­hen­de Experten gehen anders an Hacks heran, haben ggf. auch ein anderes Spezial- und Vorwissen sowie ein anderes Ver­ständ­nis für die Materie.

Gerade kleinere und mittlere Un­ter­neh­men können sich Zugang zu si­cher­heits­tech­ni­schem Know-how ver­schaf­fen, das ansonsten un­ter­neh­mens­in­tern nicht vorhanden ist. Al­ler­dings sollten sich Auf­trag­ge­ber immer bewusst sein, dass Ethical Hacking Risiken birgt. Selbst wenn man sich an alle Vorgaben eines „sauberen“ Hacks hält, können negative Aus­wir­kun­gen nicht immer von vorn­her­ein aus­ge­schlos­sen werden. Es kommt durchaus vor, dass Systeme ungewollt be­ein­träch­tigt werden oder gar abstürzen.

White Hat Hackern können unter Umständen auch ver­trau­li­che und private Daten von Dritten zu­gäng­lich werden. Das Risiko steigt, wenn keine klaren Grund- und Rah­men­be­din­gun­gen definiert oder Hacks nicht kompetent und umsichtig durch­ge­führt werden. Im Vorfeld einer Be­auf­tra­gung sollten Ethical Hacker daher besonders gründlich überprüft und auf der Basis einer nach­ge­wie­se­nen Expertise (z. B. eines Zer­ti­fi­kats) sorg­fäl­tig aus­ge­sucht werden.

HiDrive Cloud-Speicher
Ihr sicherer Online-Speicher
  • Daten zentral speichern, teilen und be­ar­bei­ten
  • Ser­ver­stand­ort Deutsch­land (ISO 27001-zer­ti­fi­ziert)
  • Höchste Da­ten­si­cher­heit im Einklang mit der DSGVO
Zum Hauptmenü