Ethical Hacking – Sicherheitsmängel beheben und Cyberkriminalität vorbeugen

Ethical Hacking hat in den letzten Jahren angesichts einer rasant zunehmenden Cyberkriminalität stetig an Bedeutung gewonnen. Immer mehr Unternehmen, Organisationen und Institutionen suchen ausgewiesene Experten für Cybersecurity, die das eigene Sicherheitskonzept unvoreingenommen auf die Probe stellen und dabei möglichst praxisnah wie „echte“ Hacker agieren.

Wir erklären Ihnen in einer Ethical-Hacking-Definition, was diese Form des Hackens auszeichnet und wie sie sich von illegalem Hacking unterscheidet. Außerdem beschäftigt sich unser Überblick mit den Einsatzbereichen des Ethical Hackings und den besonderen Qualifikationen der „guten“ Hacker.

Was ist Ethical Hacking?

Ethical Hacker sind Experten für Computersicherheit, die nur nach einer ausdrücklichen Beauftragung in IT-Systeme einbrechen. Aufgrund der Zustimmung des „Opfers“ wird diese Variante des Hackens als ethisch vertretbar angesehen. Ziel des Ethical Hacking ist es, Schwachstellen in digitalen Systemen und Infrastrukturen aufzudecken (z. B. Software-Bugs), Sicherheitsrisiken einzuschätzen und konstruktiv an der Behebung aufgedeckter Sicherheitsmängel mitzuwirken. Ein Stresstest für die Systemsicherheit kann jederzeit (also auch nach einem illegalen Hack) stattfinden. Im Idealfall sollen Ethical Hacker aber Cyberkriminellen zuvorkommen und dadurch größeren Schaden verhindern.

Ethical Hacking, das in Abgrenzung zum „normalen“ Hacking mit kriminellen Motiven auch als White-Hat-Hacking (dt. Weißer-Hut-Hacking)bezeichnet wird, fokussiert in erster Linie Schwachstellen in der Programmierung und Konzeptionierung von Software (Bugs). Schwerpunkte für Sicherheitsüberprüfungen sind u. a. Webanwendungen und die Website-Security. Neben der Software kann auch die verwendete Hardware in die Überprüfung der Systemsicherheit einbezogen werden.

White Hats nutzen für ihre Sicherheitsüberprüfungen teils frei erhältliche Tools aus dem Internet (z. B. die Gratisversion von Burp Suite), teils selbstgeschriebene Software.Letztere garantiert, dass Sicherheitslücken und Manipulationen am Code verwendeter Programme ausgeschlossen werden können. Nicht selten geht aus dem Ethical Hacking konkreter Schadcode (einzelne Befehlssequenzen oder ein kleineres Programm) hervor, der Exploit genannt wird. Der spezielle Code nutzt gefundene Fehler oder Schwachstellen im System aus und ruft anschließend ein bestimmtes Verhalten in Software, Hardware oder anderen elektronischen Geräten hervor.

Charakteristisch für einen Ethical Hack ist eine besondere Vorgehensweise: Seitens des Auftragnehmers gilt das Gebot der absoluten Transparenzund Integrität, gerade wenn sensible Bereiche (Firmen- und Betriebsgeheimnisse, vertrauliche Kundendaten) durch Ethical Hacking abgesichert werden sollen. Alle relevanten Informationen von Hacks müssen dem Auftraggeber kommuniziert werden, Missbrauch oder das Weitergeben von Betriebsgeheimnissen dürfen nicht stattfinden.

Zur Transparenz gehört in der Regel eine ausführliche und möglichst lückenlose Dokumentation, die das genaue Vorgehen, die Ergebnisse und weitere relevante Informationen zum Ethical Hack beinhaltet. Die detaillierten Berichte können auch konkrete Handlungsempfehlungen enthalten,z. B. für die Entfernung von Schadsoftwareoder für das Aufsetzen einer Honeypot-Strategie. Ethical Hacker achten zudem darauf, keine Schwachstellen im System zu hinterlassen, die Cyberkriminelle später ausnutzen könnten.

Beim Ethical Hacking kann sich der Auftraggeber rechtlich absichern. Eine schriftliche Vereinbarung und eine Auftragsabwicklung auf vertraglicher Basis werden z. B. vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem Praxis-Leitfaden empfohlen.

Was ist der Unterschied zwischen Ethical Hacking und „normalem“ Hacking?

Die wesentlichen Unterschiede zum traditionellen „normalen“ Hacking sind das ethische Fundament sowie die Grund- und Rahmenbedingungen eines Hacks. Ethisch motiviertes Hacking möchte digitale Infrastrukturen und vertrauliche Daten vor Angriffen von außen schützen und konstruktiv zu mehr Informationssicherheit beitragen.

Bei „normalem“ Hacking stehen hingegen destruktive Zielsetzungen im Vordergrund, also die Unterwanderung und möglichweise sogar die Zerstörung von Sicherheitssystemen. „Niedere“ Motive wie eine persönliche Bereicherung oder das Erbeuten und Ausspionieren von vertraulichen Daten sind wesentliche Beweggründe. Oft gehen mit einem „normalen“ Hack Straftaten wie Erpressung, Industriespionage oder das systematische Lahmlegen von systemkritischer Infrastruktur (auch in größerem Umfang) einher. Hinter „bösen“ Hacks stehen heute vermehrt weltweit operierende kriminelle Vereinigungen, die beispielsweise global vernetzte Botnets für DDoS-Angriffe nutzen. Außerdem ist ein Grundanliegen vieler „Bad Hacks“, unentdeckt und im Verborgenen zu bleiben.

Auf den ersten Blick ist diese Unterscheidung einleuchtend und trennscharf. Bei genauerer Betrachtung gibt es allerdings Grenzfälle. So können politisch motivierte Hacks ethisch-konstruktive, aber auch destruktive Ziele verfolgen. Je nach Interessenslage und persönlichem oder politischem Standpunkt kann eine unterschiedliche Einschätzung erfolgen und ein Hack als „ethisch“ oder „unethisch“ angesehen werden. Kritisch diskutiert wird beispielsweise seit einigen Jahren das verdeckte Eindringen von staatlichen Ermittlungsbehörden und Geheimdiensten in Computersysteme von Privatpersonen, Behörden oder anderen Staaten.

Grenzgänger zwischen den Polen ist auch ein Ethical Hacking, das sich erklärtermaßen am Gemeinwohl und an einer Verbesserung der Cybersicherheit orientiert, zugleich aber unaufgefordert und ohne das Wissen des „Zielobjekts“ stattfindet. Diese Variante praktiziert etwa der Chaos Computer Club (CCC).Bei den Aktivitäten des eingetragenen Vereinsstehen weniger wirtschaftliche Gesichtspunkte im Vordergrund, als vielmehr befürchtete negative Auswirkungen auf die Gesellschaft und die Datensicherheit der Bürger.

So hat der CCC gezielt Sicherheitslücken und Gefahren von biometrischen Verfahren aufgedeckt und öffentlich das Sammeln und Weitergeben von Biometrie-Daten verurteilt, da sie auf unabsehbare Zeit einer konkreten Person zugeordnet und missbraucht werden können. Selbst wenn solche Organisationen ihre „Opfer“ nicht schädigen wollen, die Ergebnisse eines Hacks offenlegen und bei ihrer Aufklärung explizit die öffentliche Meinung adressieren – sie bewegen sich bei verdeckten Aktivitäten im Cyberraum doch immer wieder in rechtlichen Grauzonen.

Betrachtet man „normales“ und Ethical Hacking aus einer rein technischen Perspektive, fällt eine Unterscheidung noch schwerer. White Hat Hacking nutzt in der Regel das gleiche Know-how und die gleichen Techniken und Werkzeuge wie „unethisches“ Hacking, um möglichst praxisnah Schwachstellen in der Hard- und Software aufzuspüren.

Die Grenze zwischen „normalem“ und Ethical Hacking ist also eher fließend, und es ist sicherlich kein Zufall, dass junge IT-Straftäter in späteren Jahren oft zu angesehenen Sicherheitsberatern und Vordenkern der Branche werden. Es gibt daher auch Positionen, die ethische Motivationen als Unterscheidungskriterium grundsätzlich ablehnen und den Standpunkt vertreten, dass Hacken per se zu verurteilen ist. Demzufolge gibt es keine vertretbare Unterscheidung zwischen einem „guten“ (= ethischen) und einem „bösen“ (= unethischen) Hack.

Diese Position blendet allerdings die positiven Effekte und die vielfach sinnvolle und notwendigePraxis des Ethical Hackings aus. So behob die Community der international anerkannten Cybersecurity-Plattform HackerOne bis Mai 2018 mehr als 72.000 Sicherheitslücken in über 1.000 Unternehmen. 2017 stieg laut Hacker-Powered Security Report 2018 die Gesamtzahl der gemeldeten kritischen Sicherheitslücken um 26 Prozent. Die Zahlen verdeutlichen, dass White Hat Hacking heutzutage ein wichtiges und probates Mittel bei der Bekämpfung von Cyberkriminalität ist.

Wo wird Ethical Hacking eingesetzt?

Meist sind Ethical Hacker im Auftrag von Organisationen, Regierungen und Unternehmen (z. B. Technologie- und Industrieunternehmen, Banken, Versicherungen) auf der Suche nach Sicherheitslücken und Programmierfehlern (Bugs). Diese nutzen die Expertise der White Hats besonders häufig für sogenannte Penetrationstests.

Bei Pentests dringt Ethical Hacking gezielt in ein IT-System ein und zeigt Lösungsmöglichkeiten für eine Verbesserung der IT-Sicherheit auf. Man unterscheidet häufig zwischen IT-Infrastruktur- und Webanwendungs-Penetrationstests. Erstere testen und analysieren beispielsweise Server-Systeme, WLAN-Netze, VPN-Zugänge und Firewalls. Im Bereich der Webanwendungen werden u. a. Netzwerkdienste, Webseiten (z. B. Webshops), Kundenverwaltungsportale oder Systeme zum Monitoren von Servern und Diensten genauer unter die Lupe genommen. Dabei kann sich ein Penetrationstest auf die Netzwerk- und die Anwendungsebene beziehen. Das BSI stellt eine Liste zertifizierter IT-Sicherheitsdienstleister, die IS-Penetrationstests betreiben, im Internet zur Verfügung.

Zu den konkreten Routineprüfungen von Ethical Hacks gehören das Aufspüren von offenen Ports durch Portscans, die Überprüfung der Sicherheit von Bezahldaten (Kreditkartendaten), Logins und Passwörtern sowie die Simulation von Hacker-Angriffen über das Netzwerk. Da dabei meist das TCP/IP-Protokoll verwendet wird, spricht man auch von IP-basierten Penetrationstests. Bei Penetrationstests werden die Systeme oft speziell dahingehend überprüft, ob eingeschleuste Viren oder Trojaner sensible Firmendaten (Betriebsgeheimnisse, technische Patente etc.) erbeuten können. Ergänzen lassen sich solche Strategien durch Social-Engineering-Techniken, die den Risikofaktor Mensch einbeziehen und das Verhalten von Mitarbeitern in einem Sicherheitskonzept explizit untersuchen.

Für die Durchführung solcher Penetrationstests haben sich Standards etabliert. In Deutschland orientiert man sich beispielsweise am Durchführungskonzept für Penetrationstests vom BSI. International ist das Open Source Security Testing Methodology Manual (OSSTMM) ein etablierter Standard.

Wie wird man ein Ethical Hacker?

Eine anerkannte mehrjährige Berufsausbildung zum Ethical Hacker gibt es nicht. Das EC-Council, das sich auf Security-Schulungen und Cybersicherheitsdienste spezialisiert hat, hat allerdings eine Zertifizierung entwickelt. Angeboten werden die dazugehörigen IT-Schulungen weltweit von verschiedenen offiziellen Partnern und Organisationen, für die Durchführung sind zertifizierte EC-Council-Trainer zuständig.

In Deutschland bietet beispielsweise die TÜV Rheinland Akademie mehrtägige IT-Kurse für den Erwerb des Zertifikats mit der offiziellen Bezeichnung CEH 312-50 (ECC EXAM), 312-50 (VUE) an. Weitere anerkannte Qualifikationen und Zertifikate wurden vom Unternehmen Offensive Security (Offensive Security Certified Professional, OSCP) und vom SANS-Institut (Global Information Assurance Certifications, GIAC) entwickelt.

Zwar lehnen viele Profi-Hacker schulungsbasierte Zertifikate ab und stufen sie als nicht besonders praxisnah ein. Für Unternehmen bieten sie aber einen wichtigen Anhaltspunkt, da sie mit ihnen die Seriosität eines Ethical Hackers besser einschätzen können. Die Zertifikate sind zudem Ausdruck einer zunehmenden Professionalisierung in dem Bereich. Bei rasant steigendem Bedarf können ethische Hacker sich durch Zertifikate besser vermarkten, lukrativere Jobs ergattern und sich als seriöse Dienstleister etwa auf eigenen Webseiten präsentieren.

Zertifikate können für Ethical Hacker bei der Akquise hilfreich sein, eine zwingende Notwendigkeit sind sie aber derzeit (noch) nicht. Zu White Hat Hackern werden aktuell vor allem IT-Spezialisten, die üblicherweise ein umfangreiches Wissen in folgenden Bereichen mitbringen:

  • Computersicherheit
  • Netzwerke
  • verschiedene Betriebssysteme
  • Programmier- und Hardware-Kenntnisse
  • Grundlagen der Computer- und Digitaltechnik

Über diese Qualifikationen hinaus ist eine genauere Kenntnis der Hackerszene und ihrer Denk- und Vorgehensweisen hilfreich.

Natürlich gibt es viele Quereinsteiger, die sich das benötigte Wissen für Ethical Hacking im Selbststudium (z. B. durch Onlinerecherchen) erarbeiten. Besonders geeignet für die anspruchsvolle Tätigkeit sind zudem IT-Profis, die das Grundlagenwissen durch eine Ausbildung zum IT-Systemelektroniker oder durch ein klassisches Informatikstudium erworben haben. Im Hacker-Powered Security Report von 2018 wurden 1.698 Ethical Hacker nach ihrer Ausbildung befragt. Nahezu 50 Prozent arbeiteten zum Zeitpunkt der Untersuchung hauptberuflich in der Informationstechnologie. Schwerpunkte waren die Hardware- und insbesondere die Software-Entwicklung. Über 40 Prozent der IT-Berufler hatte sich auf die Sicherheitsforschung spezialisiert. Ein hoher Prozentsatz der Befragten (25 Prozent) studierte noch. Auch 2019 wurde hauptsächlich nebenberuflich gehackt. Laut 2020 Hacker Report von HackerOne waren in dem Jahr nur 18 Prozent der Befragten in Vollzeit mit Ethical Hacking beschäftigt.

Dabei arbeiten Ethical Hacker nicht nur als externe IT-Experten. Es gibt auch Unternehmen, die im eigenen Haus festangestellte IT-Fachleute zu White Hat Hackern ausbilden und darauf achten, dass sie kontinuierlich an Fortbildungen und Schulungenfür (Ethical) Hacking und Cybersicherheit teilnehmen.

Konkrete Aufträge finden White Hat Hacker häufig über eine besondere Ausschreibungsprozedur. Unternehmen wie Facebook, Google oder Microsoft nutzen Bug-Bounty-Programme (sinngemäße Übersetzung: Kopfgeld-Programme für Programmfehler), in denen sie die Bedingungen und Vorgaben von Cyberangriffen und Fehlersuchen präzise definieren und erfolgreichen Hackern teils beachtliche Geldprämien für gefundene Sicherheitsprobleme in Aussicht stellen. Bug-Bounty-Programme werden oft als Ergänzung zuPenetrationstests durchgeführt.

An der Auftragsvergabe sind häufig international anerkannte Vermittlungsplattformen wie HackerOne beteiligt. Deren 2020 Hacker Report gibt an, dass Hacker allein im Jahr 2019 Kopfgelder in Höhe von rund 40 Millionen US-Dollar verdienten; insgesamt wurden damit seit Bestehen der Plattform 82 Millionen US-Dollar ausgezahlt. Ethical Hacker akquirieren Aufträge zudem jenseits solcher Plattformen durch Eigeninitiative und stellen ihre Dienstleistungen ins Netz.

Fazit: Empfehlenswert, aber nur bei gründlicher Vorbereitung

In Zeiten zunehmender Cyberkriminalität ist Ethical Hacking eine empfehlenswerte Strategie zur Prävention.Gezielte Probeangriffe und praxisnahe Penetrationstests können die Sicherheit einer IT-Infrastruktur nachweislich optimieren und dadurch illegales Hacking schon frühzeitig verhindern. Dabei können Auftraggeber von Ethical Hacking der Gefahr der Betriebsblindheit aus dem Weg gehen, denn außenstehende Experten gehen anders an Hacks heran, haben ggf. auch ein anderes Spezial- und Vorwissen sowie ein anderes Verständnis für die Materie.

Gerade kleinere und mittlere Unternehmen können sich Zugang zu sicherheitstechnischem Know-how verschaffen, das ansonsten unternehmensintern nicht vorhanden ist. Allerdings sollten sich Auftraggeber immer bewusst sein, dass Ethical Hacking Risiken birgt. Selbst wenn man sich an alle Vorgaben eines „sauberen“ Hacks hält, können negative Auswirkungen nicht immer von vornherein ausgeschlossen werden. Es kommt durchaus vor, dass Systeme ungewollt beeinträchtigt werden oder gar abstürzen.

White Hat Hackern können unter Umständen auch vertrauliche und private Daten von Dritten zugänglich werden. Das Risiko steigt, wenn keine klaren Grund- und Rahmenbedingungen definiert oder Hacks nicht kompetent und umsichtig durchgeführt werden. Im Vorfeld einer Beauftragung sollten Ethical Hacker daher besonders gründlich überprüft und auf der Basis einer nachgewiesenen Expertise (z. B. eines Zertifikats) sorgfältig ausgesucht werden.


Bringen Sie Ihr Weihnachtsgeschäft
auf Erfolgskurs
Stark reduziert: Drei Business-Lösungen für Ihre vorweihnachtliche
Verkaufsoffensive. Angebote gültig bis zum 30.11.2020.