Auch im World Wide Web gibt es die „Guten“ und die „Bösen“. Als Hacker werden Cyberkriminelle bezeichnet, die Websites und Server angreifen, um zum Beispiel Daten zu stehlen oder Malware zu installieren. Ihre Gegenspieler sind Sicherheitsexperten, die mögliche Sicherheitslücken suchen und schließen. Da diese IT-Experten mit den gleichen Tools arbeiten wie die Hacker, werden sie auch White-Hat-Hacker genannt, die kriminellen Hacker hingegen Black-Hat-Hacker. In der Regel beauftragen Unternehmen die Ethical Hacker, um ihre Systeme auf Sicherheitslücken abzuklopfen.
Was ist Ethical Hacking?
Ein Ethical Hacker ist ein Sicherheitsexperte, der im Kundenauftrag versucht, in IT-Systeme einzubrechen, um die Sicherheit der gespeicherten Informationen zu steigern. Da das Angriffsziel selbst die Anweisung für das Hacking gibt, wird dieses Verfahren als ethisch vertretbar angesehen und entsprechend bezeichnet. Im Rahmen der Auftragsdurchführung gilt absolute Transparenz. Gewonnene Erkenntnisse dürfen nicht weitergegeben und müssen mit dem Kunden geteilt werden.
Tipp: Das Bundesamt für Sicherheit in der Informationssicherheit (BSI) hat einen Praxis-Leitfaden für Penetrationstests herausgegeben. Unter anderem wird Auftraggebern zur rechtlichen Absicherung die vertragliche Vereinbarung der Auftragsabwicklung empfohlen.
Welche Ziele verfolgt Ethical Hacking?
Die Ethical Hacker suchen nach Schwachstellen in IT-Systemen (Hardware und Software) des Auftraggebers und versuchen, dieses zu infiltrieren. Meist handelt es sich um Bugs in der Software, auch falsche Konfigurationen kommen als Ursache infrage. Diese Sicherheitsrisiken sollen eliminiert werden, bevor Kriminelle sie entdecken und ausnutzen. Ethische Hacker führen Stresstests durch, die je nach Arbeitsauftrag über Tage, Wochen oder sogar Monate erfolgen können. Mithilfe der gesammelten Informationen können die Kunden ihre Systemsicherheit im Anschluss verbessern und so möglichen Angriffen vorbeugen.
Wer setzt Ethical Hacker ein?
Auftraggeber sind vor allem Unternehmen, Organisationen und Regierungen. Dazu gehören Start-ups und Konzerne gleichermaßen, denn die IT-Sicherheit ist eine notwendige Voraussetzung für das Überleben. Daher beauftragen besonders häufig Banken und Versicherungen die White Hats, damit diese im Rahmen von Penetrationstests auf die Suche nach Sicherheitslücken gehen.
Eine beliebte Methode sind auch sogenannte Bug-Bounty-Programme. Dabei bieten die Auftraggeber sozusagen die Zahlung eines Kopfgelds für einen gefundenen Programmfehler. Diese Programme laufen oftmals ergänzend zu den Penetrationstests. Unternehmen können die Sicherheitschecks unter anderem auf HackerOne in Auftrag geben.
Welche Regeln gelten für die White-Hat-Hacker?
Damit die Angriffe auf ein Netzwerk oder auf Computer als ethisch angesehen werden können, muss der Ethical Hacker mehrere Regeln beachten:
- Eine ausdrückliche schriftliche Erlaubnis zur Untersuchung des Netzwerks ist notwendig.
- Die Privatsphäre Einzelner und des Unternehmens muss respektiert werden.
- Beim Abschluss der Arbeit wird nichts offen gelassen, was zu einem späteren Zeitpunkt für einen Angriff ausgenutzt werden könnte.
- Die Ethical Hacker informieren die Hersteller von Hardware, Entwickler von Software und den Auftraggeber über sämtliche gefundene Sicherheitslücken.
Mit welchen Tools arbeiten Ethical Hacker?
Die gutwilligen Hacker verwenden die gleichen Werkzeuge, die die bösen Hacker nutzen. Das benötigte Know-how ist identisch. Es kommt sogar vor, dass aus jungen Hackern später angesehene Sicherheitsexperten werden. Das Betriebssystem Kali Linux wird auch als Hacker-Linux bezeichnet und von beiden Seiten eingesetzt. Es integriert zahlreiche Tools zu Aufgaben wie:
- Informationsbeschaffung
- Schwachstellenanalyse
- Datenbank-Assessment
- Passwort-Angriffe
- Wireless-Angriffe
- Reverse-Engineering
- Exploitation
- Sniffing & Spooning
Um maximale Transparenz zu gewährleisten, gehört eine ausführliche Dokumentation zur Arbeit der Ethical Hacker, die gegebenenfalls Handlungsempfehlungen enthält.
Zusammenfassung
Das Ethical Hacking ist der Gegenpol zum „normalen“ Hacking und erfolgt immer im Rahmen eines Auftrags. Die Ethical Hacker suchen in den IT-Systemen nach Schwachstellen, um diese sicherzumachen und böswillige Angriffe zu verhindern. Da die Cyberkriminalität zunimmt und die Sicherheit der Daten für Unternehmen von essenzieller Bedeutung sind, gibt es für Ethical Hacker viel zu tun.
Bildnachweis: Unsplash
