Ethisches Hacking wird auch als Penetration Testing für Anwendungen und Red-Teaming bezeichnet.
Es sind längst nicht mehr nur die großen Konzerne und staatlichen Einrichtungen, die von Hackern heimgesucht werden. Auch KMU und Startups haben zunehmend mit diesem Problem zu kämpfen. Das sogenannte „Ethical Hacking“ zählt zu den erfolgreichsten Gegenmaßnahmen.
Was ist ein Ethischer Hacker?
Ein Ethischer Hacker, auch „White Hat Hacker“ genannt, ist ein Experte für Informationssicherheit, der im Auftrag und mit Genehmigung der Eigentümer in ein Computersystem, ein Netzwerk, eine Anwendung oder eine andere Datenverarbeitungsressource eindringt. Unternehmen wenden sich an IT-Sicherheitsexperten, um potenzielle Sicherheitslücken aufzudecken, die kriminelle Hacker zum Schaden des Auftraggebers ausnutzen könnten.
Ethisches Hacken zielt darauf ab, die Sicherheit von Systeminfrastrukturen zu bewerten und Schwachstellen zu identifizieren, um festzustellen, ob ein unberechtigter Zugriff oder andere böswillige Aktivitäten möglich sind.
Die Ursprünge des Ethical Hacking
Der ehemalige IBM-Führungskraft John Patrick wird häufig zugeschrieben, dass er in den 1990er-Jahren den Begriff des Ethical Hacking schuf, obwohl das Konzept und die angewandte Praxis schon viel früher entstanden. Hacking tauchte erstmals in den 1960er-Jahren im Zusammenhang mit Aktivitäten am Massachusetts Institute of Technology auf und bezog sich auf die Anwendung kreativer technischer Techniken, um Maschinen zu „hacken“ und sie effizienter arbeiten zu lassen. Zu dieser Zeit galt Hacken als Kompliment für diejenigen, die über außergewöhnliche Fähigkeiten in der Computerprogrammierung verfügten.
Kriminelles Hacken wurde in späteren Jahrzehnten häufiger parallel zur Kommerzialisierung von verbraucherorientierten Computertechnologien. Hacker erkannten, dass Computerprogrammiersprachen dazu verwendet werden konnten, Telekommunikationssysteme zu manipulieren und Ferngespräche kostenlos zu führen, was als Phreaking bezeichnet wurde.
Der Film „War Games“ von 1983, in dem sich ein Student versehentlich in einen vom US-Militär betriebenen Supercomputer für Kriegsspiele einhackt, trug dazu bei, die Schwachstellen großer Computersysteme aufzuzeigen. In den 2000er-Jahren haben Compliance-Vorschriften, welche die Speicherung und Sicherheit digitalisierter Daten regeln, die Rolle von ethischen Hackern aufgewertet.
Die Kommerzialisierung von Hacking-Fähigkeiten, bekannt als Hacking-as-a-Service (HaaS), hat die Cybersicherheit noch komplexer gemacht. Positiv zu vermerken ist, dass Cybersecurity-Firmen und IT-Sicherheitsanbieter damit begonnen haben, Firmenkunden optional ethische HaaS per Vertrag anzubieten. Allerdings blüht im Dark Web ein Untergrundmarkt, der auch Online-Marktplätze für angehende Hacker umfasst, die häufig illegale Aktivitäten verfolgen.
Wie geht ein Ethischer Hacker vor?
Ein ethischer Hacker benötigt fundierte technische Kenntnisse im Bereich der Informationssicherheit, um potenzielle Angriffsvektoren zu erkennen, die Geschäfts- und Betriebsdaten bedrohen. Personen, die als Ethical Hacker tätig sind, verfügen über angewandtes Wissen, das sie durch anerkannte Branchenzertifizierungen oder ein Informatikstudium an einer Universität sowie durch praktische Erfahrung im Umgang mit Sicherheitssystemen erworben haben.
Ethische Hacker finden Sicherheitslücken in unsicheren Systemkonfigurationen, bekannte und unbekannte Hardware- oder Software-Schwachstellen sowie operative Schwachstellen in Prozessen oder technischen Gegenmaßnahmen. Zu den potenziellen Sicherheitsbedrohungen durch böswilliges Hacken gehören verteilte Denial-of-Service-Angriffe, bei denen mehrere Computersysteme kompromittiert und umgeleitet werden, um ein bestimmtes Ziel anzugreifen, das jede beliebige Ressource im Computernetz umfassen kann.
Einem ethischen Hacker wird vom betreffenden Unternehmen ein großer Spielraum eingeräumt, um legitim und wiederholt zu versuchen, in die firmeneigene Computerinfrastruktur einzudringen. Dabei werden bekannte Angriffsvektoren ausgenutzt, um die Widerstandsfähigkeit der Sicherheitsvorkehrungen zu testen. Ethische Hacker verwenden viele der gleichen Methoden und Techniken, um IT-Sicherheitsmaßnahmen auf die Probe zu stellen, wie ihre unethischen Gegenstücke, die sogenannten „Black Hat Hacker“. Anstatt jedoch Schwachstellen zum eigenen Vorteil auszunutzen, dokumentieren ethische Hacker Bedrohungsdaten, um Unternehmen dabei zu helfen, die Netzwerksicherheit durch bessere Sicherheitsrichtlinien, -verfahren und -technologien zu verbessern.
Ethisches Hacken vs. Penetrationstests
Penetrationstests und Ethical Hacking werden oft als austauschbare Begriffe verwendet. Es gibt jedoch einige Nuancen, welche die beiden Techniken voneinander unterscheiden. Viele Unternehmen setzen sowohl ethische Hacker als auch Pentester ein, um die IT-Sicherheit zu verbessern.
Ethische Hacker testen routinemäßig IT-Systeme auf Schwachstellen und halten sich über Ransomware oder neue Computerviren auf dem Laufenden. Ihre Arbeit umfasst oft Penetration Testings als Teil einer allgemeinen IT-Sicherheitsbewertung.
Pentester versuchen, viele der genannten Ziele zu erreichen, die Tätigkeit wird jedoch nach einem festgelegten Zeitplan durchgeführt. Dabei konzentrieren sie sich auch auf bestimmte Aspekte eines Netzwerks als auf die Gesamtsicherheit. So hat die Person, die den Pentest durchführt, möglicherweise nur begrenzten Zugang zu den Systemen.
Fazit
Ethisches Hacken – ein Beruf mit Zukunft! Es gibt noch keine standardisierten Ausbildungskriterien für einen Ethical Hacker, sodass ein Unternehmen seine eigenen Anforderungen für diese Position festlegen kann. Wer sich für eine Karriere als ethischer Hacker interessiert, sollte einen Bachelor- oder Master-Abschluss in Informatik, Computerwissenschaften oder sogar Mathematik als solide Grundlage in Betracht ziehen. Durch die immer stärkere Vernetzung und Digitalisierung dürfte in Zukunft stets genügend Arbeit auf die Ethischen Hacker warten.
Image by Soumil Kumar via Pexels
Artikel per E-Mail verschicken