Was bedeutet ethisches Hacking?

Ethische Hacker verfügen über dieselben Fähigkeiten und verwenden dieselben Tools und Taktiken wie böswillige Hacker, ihr Ziel besteht jedoch immer darin,die Netzwerksicherheit zu verbessern, ohne dem Netzwerk oder seinen Benutzern Schaden zuzufügen.

In vielerlei Hinsicht ist ethisches Hacking wie eine Generalprobe für einen echten Cyberangriff. Unternehmen engagieren ethische Hacker, um Angriffe auf ihre Computernetzwerke zu simulieren. Während dieser Angriffe zeigen die ethischen Hacker, wie echte Cyberkriminelle in ein Netzwerk eindringen könnten und was sie dort wahrscheinlich tun würden.

Die Sicherheitsanalysten des Unternehmens können mithilfe dieser Informationen potenzielle Schwachstellen beseitigen, Sicherheitssysteme stärken und sensible Daten schützen.

Die Begriffe „ethisches Hacken“ und „Penetrationsprüfung“werden manchmal synonym verwendet. Penetrationsprüfungen sind jedoch nur eine der von ethischen Hackern verwendeten Methoden. Ethische Hacker können auch Schwachstellenbewertungen, Malware-Analysen und andere Services im Bereich Informationssicherheit durchführen.

Ethische Hacker befolgen einen strengen Ethikkodex, damit ihre Handlungen Unternehmen helfen und nicht schaden. Viele Organisationen, die ethische Hacker schulen oder zertifizieren – wie der International Council of E-Commerce Consultants (EC Council) – veröffentlichen einen eigenen formalen Ethikkodex. Obwohl die ethischen Grundsätze von Hacker zu Hacker und von Organisation zu Organisation variieren können, gelten die folgenden allgemeinen Richtlinien:

• Ethische Hacker erhalten die Erlaubnis der Unternehmen, die sie hacken: Ethische Hacker sind bei den Unternehmen, die sie hacken, angestellt oder arbeiten mit ihnen zusammen. Gemeinsam definieren sie den Umfang ihrer Aktivitäten, z. B. wann gehackt werden darf, welche Systeme und Assets die Hacker testen und welche Methoden sie verwenden dürfen.
• Ethische Hacker richten keinen Schaden an: Ethische Hacker fügen den Systemen, in die sie eindringen, keinen echten Schaden zu und entwenden auch keine sensiblen Daten. Wenn solche so genannten „White Hats“ ein Netzwerk hacken, tun sie das nur, um das Verhalten echter Cyberkrimineller vorzuführen.
• Ethische Hacker behandeln ihre Erkenntnisse vertraulich: Ethische Hacker geben die Informationen, die sie über Schwachstellen und Sicherheitssysteme sammeln, an das Unternehmen weiter – und nur an das Unternehmen. Sie helfen dem Unternehmen auch dabei, diese Erkenntnisse zur Verbesserung der Netzwerkverteidigung zu nutzen.
• Ethische Hacker arbeiten innerhalb der gesetzlichen Grenzen: Ethische Hacker verwenden ausschließlich legale Methoden zur Bewertung der Informationssicherheit. Sie arbeiten nicht mit „Black Hats“ zusammen und beteiligen sich nicht an bösartigen Hacks.

Bezogen auf diesen Ethikkodex gibt es zwei andere Arten von Hackern.

Böswillige Hacker, die manchmal auch als „Black Hat Hacker“ bezeichnet werden, unternehmen cyberkriminelle Aktivitäten zur persönlichen Bereicherung, für Cyberterrorismus oder aus anderen Gründen. Sie hacken Computersysteme, um sensible Informationen zu stehlen, Geld zu erpressen oder den Geschäftsbetrieb zu stören.

Diese Hacker werden manchmal auch als „Gray-Hat-Hacker“ bezeichnet (oder auch „Grey-Hat-Hacker“ in falscher Schreibweise) und verwenden unethische Methoden oder arbeiten für ethische Zwecke sogar außerhalb des gesetzlichen Rahmens. Beispiele hierfür sind der Angriff auf ein Netzwerk oder ein Informationssystem ohne Erlaubnis, um einen Exploit zu testen, oder das öffentliche Ausnutzen einer Software-Schwachstelle, damit die Anbieter an einer Lösung arbeiten, um Fixes vorzunehmen. Auch wenn diese Hacker gute Absichten haben, können ihre Handlungen böswillige Angreifer auf neue Angriffsvektoren aufmerksam machen.

Ethisches Hacken ist ein legitimer Beruf. Die meisten ethischen Hacker haben einen Bachelor-Abschluss in Informatik, Informationssicherheit oder einem verwandten Fachgebiet. Sie kennen sich in der Regel mit gängigen Programmier- und Skriptsprachen wie Python und SQL aus.

Sie beherrschen dieselben Tools und Methoden wie böswillige Hacker, darunter Nmap zum Durchsuchen von Netzwerken, Metasploit als Plattform für Penetrationsprüfungen oder Kali Linux, ein auf Hacker spezialisiertes Betriebssystem, und bauen ihre Skills kontinuierlich aus.

Wie andere Fachleute im Bereich der Cybersicherheit erwerben auch ethische Hacker in der Regel Zertifikate, um ihre Fähigkeiten und ihr Engagement für ethische Belange nachzuweisen. Viele nehmen an Ethical-Hacking-Kursen oder fachspezifischen Zertifizierungsprogrammen teil. Zu den häufigsten Ethical-Hacking-Zertifizierungen gehören:

• Certified Ethical Hacker (CEH): CEH wird von EC-Council, einer internationalen Zertifizierungsstelle für Cybersicherheit, angeboten und ist eine weithin anerkannte Zertifizierung für ethisches Hacking.

• CompTIA PenTest+: Bei dieser Zertifizierung geht es um Penetrationsprüfungen und Schwachstellenanalysen.

• SANS GIAC Penetration Tester (GPEN): Wie PenTest+, bestätigt auch die GPEN-Zertifizierung des SANS Institute die Fähigkeiten eines ethischen Hackers im Bereich Penetrationstests.

Ethische Hacker bieten eine Reihe von Dienstleistungen an.

Penetrationsprüfungen oder „Pen-Tests“ sind simulierte Sicherheitsverletzungen. Pen-Tester imitieren böswillige Hacker, die sich unbefugt Zugang zu Unternehmenssystemen verschaffen. Natürlich richten die Pen-Tester keinen echten Schaden an. Sie nutzen die Ergebnisse ihrer Tests, um das Unternehmen bei der Verteidigung gegen echte Cyberkriminelle zu unterstützen.

Penetrationsprüfungen erfolgen in drei Phasen:

In der Aufklärungsphase sammeln Pen-Tester Informationen über Computer, Mobilgeräte, Webanwendungen, Webserver und andere Ressourcen im Unternehmensnetzwerk. Diese Phase wird manchmal auch als „Footprinting“ bezeichnet, weil die Pen-Tester das gesamte Netzwerkprofil erfassen. 

Pen-Tester verwenden manuelle und automatisierte Methoden für die Aufklärung. Sie können die Social-Media-Profile und GitHub-Seiten von Mitarbeitern nach Hinweisen durchsuchen. Sie können Tools wie Nmap verwenden, um nach offenen Ports zu suchen, und Tools wie Wireshark, um den Netzwerktraffic zu analysieren. Wenn das Unternehmen es erlaubt, können sie auch Social-Engineering-Taktiken anwenden, um Mitarbeiter zur Herausgabe sensibler Informationen zu bewegen.

Sobald die Pen-Tester das Netzwerkprofil und potenzielle Schwachstellen kennen, hacken sie das System. Je nach Umfang der Penetrationsprüfung können die Pen-Tester eine Vielzahl von Angriffen ausprobieren. Hier sind einige der am häufigsten getesteten Angriffe:

– SQL-Injektionen: Pen-Tester geben bösartigen Code in Eingabefelder ein, um eine Webseite oder App zur Preisgabe sensibler Daten zu bringen.

– Cross-Site-Scripting: Pen-Tester versuchen, schädlichen Code in die Website eines Unternehmens einzuschleusen.

– Denial-of-Service-Angriffe: Pen-Tester versuchen, Server, Apps und andere Netzwerkressourcen durch Überflutung mit Datenverkehr offline zu nehmen.

– Social Engineering: Pen-Tester verwenden Phishing, Köder, Vortäuschung von Tatsachen oder andere Taktiken, um Mitarbeiter zur Gefährdung der Netzwerksicherheit zu verleiten.

Während des Angriffs probieren die Pen-Tester, wie böswillige Hacker vorhandene Schwachstellen ausnutzen und sich nach dem Eindringen durch das Netzwerk bewegen könnten. Sie finden heraus, welche Arten von Daten und Assets den Hacker zugänglich wären und sie testen, ob ihre Aktivitäten von bestehenden Sicherheitsmaßnahmen erkannt oder verhindert werden.

Am Ende des Angriffs verwischen die Pen-Tester ihre Spuren. Dies hat zwei Gründe: Zum einen zeigt es, wie sich Cyberkriminelle in einem Netzwerk verstecken können. Zum anderen verhindert es, dass böswillige Hacker den ethischen Hackern heimlich in das System folgen.

Pen-Tester dokumentieren während des Hacks ihre gesamten Aktivitäten. Anschließend legen sie dem Team für Informationssicherheit einen Bericht vor. In diesem ist aufgeführt, welche Schwachstellen ausgenutzt, auf welche Assets und Daten zugegriffen und wie die Sicherheitssysteme umgangen wurden. Ethische Hacker geben auch Empfehlungen zur Priorisierung und Behebung dieser Probleme.

Eine Schwachstellenbewertung ähnelt einer Penetrationsprüfung, geht aber nicht so weit, dass die Schwachstellen tatsächlich ausgenutzt werden. Stattdessen verwenden ethische Hacker manuelle und automatisierte Methoden, um Schwachstellen in einem System zu finden, zu kategorisieren und zu priorisieren. Anschließend geben sie ihre Erkenntnisse an das jeweilige Unternehmen weiter.

Einige ethische Hacker haben sich auf die Analyse von Ransomware und Malware spezialisiert. Sie untersuchen neue Malware-Versionen, um zu verstehen, wie sie funktionieren, und teilen ihre Erkenntnisse mit Unternehmen und der Community für Informationssicherheit.

Ethische Hacker können auch beim allgemeinen strategischen Risikomanagement helfen. Sie ermitteln neue und aufkommende Bedrohungen, analysieren ihre Auswirkung auf den Sicherheitszustand des Unternehmens und helfen bei der Entwicklung von Gegenmaßnahmen.

Unter den verschiedenen Möglichkeiten zur Bewertung der Cybersicherheit ist das ethische Hacking diejenige, mit der Unternehmen die Schwachstellen ihres Netzwerks aus der Sicht eines Angreifers sehen können. Da sie das Netzwerk mit Genehmigung „angreifen“, können ethische Hacker aufzeigen, wie böswillige Hacker verschiedene Schwachstellen ausnutzen. Das Unternehmen findet so die kritischsten Exploits, um sie zu schließen.

Die Perspektive eines ethischen Hackers kann auch Dinge aufdecken, die internen Sicherheitsanalysten entgehen. So setzen sich ethische Hacker beispielsweise mit Firewalls, Verschlüsselungsalgorithmen, Systemen zur Erkennung von Eindringlingen (IDS), Systemen zur erweiterten Erkennung (XDR) und anderen Gegenmaßnahmen auseinander. Daher wissen sie genau, wie diese Schutzmaßnahmen in der Praxis funktionieren und wo ihre Schwächen liegen, auch ohne tatsächlichen Data Breach.