Ethisches Hacking

Was ist ethisches Hacking?

Ein ethischer Hacker, auch als White Hat Hacker bezeichnet, ist ein Experte für Informationssicherheit, der im Auftrag und mit Genehmigung der Eigentümer in ein Computersystem, ein Netzwerk, eine Anwendung oder eine andere Computerressource eindringt. Dies geschieht im Rahmen der gesetzlichen Möglichkeiten. Organisationen setzen ethische Hacker ein, um potenzielle Sicherheitslücken aufzudecken, die von böswilligen Hackern ausgenutzt werden könnten.

Der Zweck des ethischen Hackings besteht darin, die Sicherheit von Zielsystemen, Netzwerken oder Systeminfrastrukturen zu bewerten und Schwachstellen zu identifizieren. Der Prozess umfasst das Auffinden und anschließende Ausnutzen von Schwachstellen, um festzustellen, ob ein unbefugter Zugriff oder andere böswillige Aktivitäten möglich sind.

Die Ursprünge des ethischen Hackings

Dem ehemaligen IBM-Manager John Patrick wird oft zugeschrieben, den Begriff „Ethical Hacking“ in den 1990er Jahren geprägt zu haben, obwohl das Konzept und seine angewandte Praxis schon viel früher auftraten.

Der Begriff „Hacking“ tauchte erstmals in den 1960er Jahren im Zusammenhang mit Aktivitäten am Massachusetts Institute of Technology (MIT) auf und bezog sich auf die Anwendung kreativer Ingenieurstechniken, um Maschinen zu „hacken“ und sie effizienter zu machen. Zu dieser Zeit galt „Hacking“ als Kompliment für diejenigen, die über außergewöhnliche Fähigkeiten in der Computerprogrammierung verfügten.

Böswillige Hackerangriffe nahmen in den folgenden Jahrzehnten parallel zur Kommerzialisierung verbraucherorientierter Computertechnologien zu. Hacker erkannten, dass sich Computerprogrammiersprachen zur Manipulation von Telekommunikationssystemen und zum kostenlosen Tätigen von Ferngesprächen nutzen ließen, eine Praxis, die als Phreaking bezeichnet wurde.

Der Film „War Games“ (deutscher Titel: „War Games – Kriegsspiele“) aus dem Jahr 1983, in dem ein Student versehentlich in einen vom US-Militär betriebenen Supercomputer für Kriegsspiele eindringt, trug dazu bei, die Schwachstellen großer Computersysteme aufzuzeigen.

Die Kommerzialisierung von Hacking-Fähigkeiten, bekannt als Hacking as a Service (HaaS), hat die Cybersicherheit komplexer gemacht. Positiv zu vermerken ist, dass Cybersicherheitsfirmen und Anbieter von IT-Sicherheit damit begonnen haben, optionale ethische HaaS-Dienste per Vertrag für Firmenkunden anzubieten. Im Dark Web floriert jedoch ein Untergrundmarkt, einschließlich Online-Marktplätzen für angehende Hacker, die oft illegale Aktivitäten verfolgen.

Wofür steht ethisches Hacking?

Ein ethischer Hacker benötigt tiefgreifende technische Fachkenntnisse im Bereich Informationssicherheit, um potenzielle Angriffsvektoren zu erkennen, die Geschäfts- und Betriebsdaten bedrohen. Personen, die als ethische Hacker tätig sind, verfügen in der Regel über angewandte Kenntnisse, die sie durch anerkannte Branchenzertifizierungen oder Informatikstudiengänge an Universitäten sowie durch praktische Erfahrung im Umgang mit Sicherheitssystemen erworben haben.

Ethische Hacker finden Sicherheitslücken in der Regel in unsicheren Systemkonfigurationen, bekannten und unbekannten Hardware- oder Softwareschwachstellen sowie in betrieblichen Schwachstellen in Prozessen oder technischen Gegenmaßnahmen. Zu den potenziellen Sicherheitsbedrohungen durch böswillige Hackerangriffe gehören verteilte Denial-of-Service-Angriffe (DDoS), bei denen mehrere Computersysteme kompromittiert und umgeleitet werden, um ein bestimmtes Ziel anzugreifen, wobei es sich um jede beliebige Ressource im Computernetzwerk handeln kann.

Einem ethischen Hacker wird von einer Organisation ein großer Spielraum eingeräumt, um legitim und wiederholt zu versuchen, in ihre Computerinfrastruktur einzudringen. Dabei werden bekannte Angriffsvektoren ausgenutzt, um die Widerstandsfähigkeit der Informationssicherheitsstrategie einer Organisation zu testen.

Ethische Hacker verwenden viele der gleichen Methoden und Techniken wie ihre unethischen Kollegen, die sogenannten Black Hat Hacker, um IT-Sicherheitsmaßnahmen zu analysieren. Anstatt jedoch Schwachstellen für den persönlichen Vorteil auszunutzen, dokumentieren ethische Hacker Bedrohungsinformationen, um Organisationen dabei zu helfen, die Netzwerksicherheit durch strengere Informationssicherheitsrichtlinien, -verfahren und -technologien zu verbessern.

Jede Organisation, die über ein mit dem Internet verbundenes Netzwerk verfügt oder einen Online-Dienst anbietet, sollte in Erwägung ziehen, ihre Betriebsumgebung einem Penetrationstest (Pentest) zu unterziehen, der von ethischen Hackern durchgeführt wird.

Was ist die Aufgabe von ethischen Hackern?

Ethische Hacker können Organisationen auf verschiedene Weise helfen, unter anderem durch:

Schwachstellen finden. Ethische Hacker helfen Unternehmen dabei, festzustellen, welche ihrer IT-Sicherheitsmaßnahmen wirksam sind, welche aktualisiert werden müssen und welche Schwachstellen enthalten, die ausgenutzt werden können. Wenn ethische Hacker die Bewertung der Systeme einer Organisation abgeschlossen haben, melden sie den Unternehmensleitern diese Schwachstellen, zu denen eine unzureichende Passwortverschlüsselung, unsichere Anwendungen oder ungepatchte Software auf exponierten Systemen gehören können. Organisationen können die Daten aus diesen Tests nutzen, um fundierte Entscheidungen darüber zu treffen, wo und wie sie ihre Sicherheitslage verbessern können, um Cyberangriffe zu verhindern.

Demonstration der von Cyberkriminellen verwendeten Methoden. Diese Demonstrationen zeigen Führungskräften die Hacking-Techniken, die böswillige Akteure einsetzen könnten, um ihre Systeme anzugreifen und ihr Unternehmen zu schädigen. Unternehmen, die über fundierte Kenntnisse der Methoden verfügen, mit denen Angreifer in ihre Systeme eindringen, sind besser in der Lage, diese Angriffe zu verhindern.

Hilfe bei der Vorbereitung auf einen Cyberangriff. Cyberangriffe können ein Unternehmen – insbesondere ein kleineres Unternehmen – lahmlegen oder zerstören, aber die meisten Unternehmen sind immer noch nicht auf Cyberangriffe vorbereitet. Ethische Hacker verstehen, wie Bedrohungsakteure vorgehen, und sie wissen, wie diese böswilligen Akteure neue Informationen und Techniken nutzen, um Systeme anzugreifen. Sicherheitsexperten, die mit ethischen Hackern zusammenarbeiten, sind besser in der Lage, sich auf zukünftige Angriffe vorzubereiten, da sie besser auf die sich ständig ändernde Natur von Online-Bedrohungen reagieren können.

Ethisches Hacking vs. Penetrationstests

Penetrationstests und ethisches Hacken werden oft als austauschbare Begriffe verwendet, aber es gibt einige Nuancen, die die beiden Rollen unterscheiden. Viele Organisationen setzen sowohl ethische Hacker als auch Pentester ein, um die IT-Sicherheit zu stärken.

Ethische Hacker testen routinemäßig IT-Systeme auf Schwachstellen und halten sich über Ransomware oder neu auftretende Computerviren auf dem Laufenden. Ihre Arbeit umfasst häufig auch sogenannte „Pentests“ als Teil einer umfassenden IT-Sicherheitsbewertung.

Pentest-Teams verfolgen viele der gleichen Ziele, aber ihre Arbeit wird oft nach einem festgelegten Zeitplan durchgeführt. Pentests sind auch stärker auf bestimmte Aspekte eines Netzwerks ausgerichtet und nicht auf die fortlaufende Gesamtsicherheit.

Beispielsweise kann die Person, die den Penetrationstest durchführt, nur begrenzten Zugriff auf die zu testenden Systeme haben und dies auch nur für die Dauer des Tests.

Methoden des ethischen Hackings

Beim ethischen Hacking werden im Allgemeinen dieselben Hacking-Fähigkeiten eingesetzt, die auch von böswilligen Akteuren bei Angriffen auf Unternehmen genutzt werden. Dabei wird eine Art Reverse Engineering eingesetzt, um Szenarien zu entwickeln, die Geschäfts- und Betriebsdaten gefährden könnten. Die verschiedenen Techniken und Tools sind Teil einer umfassenden Schwachstellenanalyse, die der ethische Hacker im Auftrag eines Kunden durchführt.

Zu diesen Hacking-Techniken gehören unter anderem:

• Scannen von Ports, um Schwachstellen mit Port-Scanning-Tools wie Nmap, Nessus, Wireshark und anderen zu finden, die Systeme eines Unternehmens zu untersuchen, offene Ports zu identifizieren, die Schwachstellen jedes Ports zu untersuchen und Abhilfemaßnahmen zu empfehlen;
• Überprüfung der Patch-Installationsprozesse, um sicherzustellen, dass die aktualisierte Software keine neuen Schwachstellen aufweist, die ausgenutzt werden können;
• Durchführung von Netzwerkverkehrsanalysen und Sniffing unter Verwendung geeigneter Tools;
• Der Versuch, Intrusion-Detection-Systeme, Intrusion-Prevention-Systeme, Honeypots und Firewalls zu umgehen; und
• Testmethoden zur Erkennung von SQL Injection, um sicherzustellen, dass böswillige Hacker keine Sicherheitslücken ausnutzen können, die in SQL-basierten relationalen Datenbanken enthaltene sensible Informationen offenlegen.

Ethische Hacker verlassen sich auch auf Social-Engineering-Techniken, um Endbenutzer zu manipulieren und Informationen über die Computerumgebung einer Organisation zu erhalten. Wie Black Hat Hacker durchstöbern auch ethische Hacker Beiträge in sozialen Medien oder auf GitHub, verwickeln Mitarbeiter per E-Mail oder SMS in Phishing-Angriffe oder durchstreifen Gebäude mit einem Klemmbrett, um Schwachstellen in der physischen Sicherheit auszunutzen. Es gibt jedoch Social-Engineering-Techniken, die ethische Hacker nicht anwenden sollten, wie zum Beispiel physische Drohungen gegen Mitarbeiter oder andere Arten von Versuchen, Zugang oder Informationen zu erpressen.

Wie man ethischer Hacker wird

Es gibt keine Standardausbildungskriterien für einen ethischen Hacker, daher kann eine Organisation ihre eigenen Anforderungen für diese Position festlegen. Wie in anderen IT-Bereichen kann ein Abschluss in Informatik als Grundlage hilfreich sein, aber nicht zwingende Voraussetzung.

Andere technische Disziplinen – darunter Programmierung, Scripting, Netzwerk- und Hardware-Engineering – können denjenigen, die eine Karriere als ethische Hacker anstreben, helfen, indem sie ein grundlegendes Verständnis der zugrunde liegenden Technologien vermitteln, aus denen die Systeme bestehen, an denen sie arbeiten werden. Weitere relevante technische Fähigkeiten sind Systemadministration und Softwareentwicklung.