Als Ethical Hacking wird die erlaubte und/oder im Auftrag eines Unternehmens Suche nach Sicherheitslücken und Schwachstellen bezeichnet. Ziel von Ethical Hacking ist es immer schneller zu sein als ein Black Hat Hacker - man will Sicherheitslücken und Sicherheitsprobleme allgemeiner Natur so schnell wie möglich finden. Das Gegenteil von Ethical Hacking ist logischerweise das illegale Hacking. Hier hat der Angreifer keine Erlaubnis ein bestehendes System anzugreifen - tut es aber trotzdem.
Warum ist Ethical Hacking in 2024 so wichtig?
Proaktives Finden und Melden von Sicherheitslücken sollte ein wichtiger Bestandteil einer jeder IT-Sicherheitsstrategie in 2024 sein. Im besten Fall meldet ein Ethical Hacker Sicherheitslücken schneller als sie von einem Black Hat Hacker gefunden und ausgenutzt werden können. In Summe versetzt es Unternehmen und Organisationen in die Lage ihre IT-Sicherheit effektiver zu stärken, es ist ein adequates Mittel um Datenverluste sowie finanzielle Schäden zu vermeiden. Und damit geht höheres Vertrauen seitens der Kunden in das Unternehmen einher.
Wie unterscheidet sich Ethical Hacking von "normalem" Hacking?
Die Frage wird oft gestellt - was den Einsatz von Tools und Techniken angeht - kann man sagen: es gibt kaum Unterschiede. Die große Frage ist hier, wie der Leser "normales" Hacking definiert. Die meisten definieren es als maliziöses Hacking - also das Eindringen in ein System ohne Erlaubnis. Ethical Hacking hingegen ist das Eindringen in ein System mit Erlaubnis. Eben das, was White Hat Hacker machen. Das wird wohl der größte Unterschied sein. Hin und wieder liest man was von ethischem Kodex und Regeln - letzteres ist sicherlich der Fall, wenn es um Ethical Hacking im Kontext von Bug Bounty Programmen geht. Hier müssen die Hacker einem strengen Regelwerk folgen und sich beispielsweise an Scope und Vorgehensweise halten.
Welche Methoden und Techniken verwenden Ethical Hacker?
Wie bereits oben erwähnt nutzen Ethical Hacker die gleichen Tools und Techniken wie Black Hats. Sie simulieren echte Angriffe auf IT-Systeme, Netzwerke und Personen. Sie setzen Methoden aus dem Penetrationstesten sowie der Schwachstellenanalyse ein. Das bedeutet, dass sie natürlich automatisiert nach Sicherheitslücken suchen ("Low Hanging Fruit") aber auch mal Tools, wie Burp Suite oder Caido einsetzen, um komplexere Sicherheitslücken in Applikationen zu finden. Hacking ist im Grunde immer ein sehr kreativer Prozess, so stellen Ethical Hacker, genauso wie Red Teamer, Pentest-Anbieter und generell IT-Sicherheitspersonal, ihre eigenen Tools her, um bestimmte Probleme schneller zu finden. Als Beispiel empfehlen wir unser eigenes Github-Repository, in dem der Leser einige (von vielen) Tools finden kann, die wir selbst entwickelt haben.
Wie wird man Ethical Hacker?
Als erstes: Jeder kann (Ethischer) Hacker werden. Im Grunde gibt es keine speziellen Voraussetzungen. Wer tiefgreifende Kenntnisse der IT-Sicherheit hat, was von Netzwerktechnik oder Softwareentwicklung versteht, hat einen gewissen Vorteil. Wir kennen aber viele Personen, die keine Penetrationstester sind, aber dennoch sehr gute Ethical Hacker sind. Sie sind wahnsinnig kreativ im finden von bestimmten Problemen. Der formale Weg - IT-Studium und ein Master in der IT-Sicherheit (oder vergleichbares) - ist natürlich für jeden zu empfehlen, der eine "klassische Karriere" anstrebt. Das ist in der Regel ein guter Start, der anschließend mit Zertifizierungen, wie dem OSCP, fortgesetzt werden kann. Für letzteres ist aber kein Studium eine Voraussetzung - jeder kann beispielsweise OSCP oder ähnliches in Angriff nehmen.
Welche ethischen Grundsätze gelten für Ethical Hacker?
Die folgenden Grundsätze gelten für Ethical Hacker - aber auch für jeden in der IT bzw. IT-Sicherheit.
-
Vertraulichkeit:
Man hat es oft mit vertraulichen Informationen zu tun und sieht Dinge, die für die meisten nicht bestimmt sind. So hat man sich zu verhalten. Daten dieser Art dürfen nicht weitergegeben werden. -
Integrität:
Man sollte immer ehrlich und integer sein. Transparente Berichterstattung ist ein Muss. -
Legalität:
Man sollte sich bewusst sein, dass der Grad zwischen legalem und illegalem Hacking sehr klein sein kann. Strikte Einhaltung aller Regeln, Vorschriften, Gesetze und des Scopes ist ein Muss.
Was sind Bug Bounty Programme und wie funktionieren sie?
Bug Bounty Programme sind eine relativ neue und spezielle Variante des Ethical Hackings. Unternehmen und Organisationen setzen dabei auf eine große Masse (meist) anonymer Hacker. Das Prinzip ist einfach: Es gibt eine genaue Policy, die besagt, was "jeder" darf und was nicht. Bleibt man in diesem Rahmenwerk an Regeln, darf man das Unternehmen bzw. den Scope legal angreifen, verpflichtet sich auch die Sicherheitslücken umgehend zu melden. Das folgt einem genauen Prozess, der in der Regel mit einer "Bounty" für den Melder endet. Unternehmen setzen damit einen finanziellen Anreiz an IT-Experten Schwachstellen direkt an sie zu melden, statt diese im Darknet zu verkaufen. Erfolgsbeispiele hierzu sind Plattformen, wie HackerOne oder Unternehmen wie Microsoft, Google oder Meta, die solche Programme anbieten.
Vielen Dank für dein Feedback! Wir werden es prüfen und unseren Artikel anpassen.