Wer ist ein ethischer Hacker und was ist seine Aufgabe?

1. Home
2. Blog
3. Fachliche-Ausbildungen
4. Wer ist ein ethischer Hacker und was ist seine Aufgabe?

Wörter wie Hacker oder ethischer Hacker werden in der Gesellschaft zunehmend häufiger verwendet. Viele Menschen wissen jedoch immer noch nicht, was Hacking bedeutet und wo der Unterschied zwischen einem Hacker und einem ethischen Hacker liegt. Bevor wir erklären, was ethisches Hacking ist, müssen wir zunächst die grundlegende Aufteilung der Hacker betrachten.

Hacker werden im Allgemeinen in drei Typen unterteilt:

• Black-Hat-Hacker,
• White-Hat-Hacker,
• Gray-Hat-Hacker.

Black-Hat-Hacker, auch als Blackhats bekannt, sind die bösen Akteure in der Welt des Hackings. Blackhats halten sich nicht an Regeln, ignorieren oft Gesetze und es ist ihnen egal, welchen Schaden sie verursachen. Diese Hacker greifen hauptsächlich zum eigenen finanziellen Gewinn an.

White-Hat-Hacker, auch bekannt als ethische Hacker, sind Hacker, die ihre Kenntnisse nutzen, um die Cybersicherheit eines bestimmten Unternehmens zu verbessern. Sie durchleuchten Systeme und Netzwerke gründlich, betrachten ihre Ziele so, wie es Black-Hat-Hacker tun würden, und versuchen sogar, die Mitarbeiter eines Unternehmens dazu zu bringen, auf Links zu klicken, die ihren Computer mit Malware infizieren könnten. Allerdings haben sie die Erlaubnis dazu, was diese sonst unethischen Aktivitäten zu ethischem Handeln macht.

Gray-Hat-Hacker stellen eine Art Mittelweg zwischen White-Hat-Hackern und Black-Hat-Hackern dar. Diese Hacker suchen nach Schwachstellen in Systemen ohne Genehmigung, jedoch ohne böse Absicht. Als Beispiel für einen Gray-Hat-Hacker könnte man jemanden nennen, der eine Sicherheitslücke findet und öffentlich darauf hinweist. Die Aktivitäten von Gray-Hat-Hackern gelten dennoch als illegal.

Was macht ein ethischer Hacker?

Ethische Hacker decken Schwachstellen und Sicherheitslücken in Webanwendungen, mobilen Anwendungen, Systemen oder direkt bei Personen auf. Diese und noch viele andere Tätigkeiten gehören zu den Aufgaben ethischer Hacker. Die Techniken, Taktiken und Verfahren ähneln oft bis ins Detail denen unethischer Hacker.

Ethische Hacker führen eine Untersuchung von Systemen oder Netzwerken durch, um Schwachstellen zu finden, die von unethischen Hackern ausgenutzt werden könnten. Sie sammeln und analysieren Informationen, um Wege zu finden, wie die Sicherheit von Systemen, Netzwerken oder Anwendungen verbessert werden kann.

Ethische Hacker werden von verschiedenen Organisationen eingestellt, um deren Systeme und Netzwerke zu testen, Sicherheitslücken aufzudecken und zu definieren, ob eingeführte Sicherheitsmaßnahmen wie erwartet funktionieren. Anschließend entwickeln sie Lösungen, um Diebstahl von Daten oder ähnliche Zwischenfälle zu verhindern.

Welche Aufgaben und Pflichten hat ein ethischer Hacker?

Ein ethischer Hacker (Penetrationstester) muss bestimmte Regeln einhalten, um das Hacken legal auszuführen. Ein erfahrener Penetrationstester kennt seine Pflichten und hält sich an alle ethischen Grundsätze.
 

Die wichtigsten Regeln des Ethical Hacking:

• Ein ethischer Hacker muss die Erlaubnis des Unternehmens haben, dem das System gehört, das Gegenstand eines bestimmten Tests ist. Der Hacker sollte die vollständige Genehmigung erhalten, bevor er einen Sicherheitstest durchführt.
• Der ethische Hacker muss den Umfang des Tests und das Verfahren, mit dem der Test durchgeführt wird, mitteilen. In den meisten Fällen werden jedoch bekannte Methoden und Standards verwendet, wie z. B. der OWASP Web Security Testing Guide.
• Der ethische Hacker muss jede Sicherheitsverletzung und jede Schwachstelle, die er in einem System findet, melden.
• Ein ethischer Hacker darf alle Schwachstellen, die er findet, nur innerhalb des Kreises von Personen, die für die Cybersicherheit des Unternehmens verantwortlich sind, weitergeben. Da es seine Aufgabe ist, das System zu schützen, sollte er einer Vertraulichkeitsvereinbarung zustimmen und sie einhalten.
• Der Ethical Hacker muss nach Abschluss der Tests alle Spuren beseitigen. Dazu gehören Dateien, die er erstellt hat, oder Benutzer, die er angelegt hat, da sie zu anderen potenziellen Sicherheitsrisiken führen könnten.
   

Ethical Hacking gibt es in verschiedenen Formen. In der heutigen Welt sind dies hauptsächlich:

Web Application Hacking

• Eine Webanwendung ist eine Anwendung, auf die ein Benutzer über das Internet zugreifen kann. Web Application Hacking ist die Suche nach und die anschließende Ausnutzung von Schwachstellen in eben solchen Anwendungen. 

Hacking der Infrastruktur

• Unter Infrastruktur-Hacking versteht man das Auffinden und Ausnutzen von Schwachstellen in elektronischen Systemen, um sich unbefugten Zugang zu diesen Systemen zu verschaffen. 

Hacking von drahtlosen Netzwerken

• Unter Wireless Network Hacking versteht man Angriffe auf drahtlose Netzwerke oder Zugangspunkte, die Zugang zu sensiblen Informationen bieten, wie z. B. ein Verwaltungsportal.

Social Engineering

• Social Engineering ist ein Begriff, der ein breites Spektrum bösartiger Aktivitäten beschreibt, die durch menschliche Interaktion ausgeführt werden. Dabei werden Benutzer durch psychologische Manipulation dazu gebracht, Sicherheitsfehler zu begehen oder sensible Informationen preiszugeben.

Sicherheitsüberprüfungen

• Eine Sicherheitsüberprüfung von einzelnen Systemen, Netzwerkkomponenten (Firewall, Switch) oder der Konfiguration von Cloud-Diensten und -Umgebungen. Eine solche Überprüfung stützt sich auf anerkannte Sicherheitsstandards und kann Fehlkonfigurationen aufdecken, die potenziell zu schwerwiegenden Sicherheitsvorfällen führen können.

Red Teaming

• Eine Kombination aus allen oben genannten Formen des Ethical Hacking. Es handelt sich um einen mehrwöchigen bis monatlichen Test, der sich auf vom Kunden vorgegebene Ziele konzentriert. Es wird in der Regel in einzelne Phasen in der folgenden Form aufgeteilt:
  • Phishing -> Infrastruktur-Hacking (intern/extern) -> Lateral Movement -> Datenexfiltration 

Wie oben beschrieben, ist das Ziel, die gesamte Angriffskette zu simulieren. Neben der Sicherheit der Systeme und der Vorsicht der Benutzer/Mitarbeiter (in der Phishing-Phase) wird auch die Wirksamkeit von Sicherheitslösungen wie Firewalls und Antivirensoftware sowie von Mitarbeiterabteilungen wie beispielsweise dem SOC (Security Operations Center) bewertet.

Empfohlene Schulungen:

Das könnte Sie noch interessieren:

• Zertifizierung des Cloud-Service-Management-Systems nach der Norm ISO/IEC 27018
• Zertifizierung des Informationssicherheitsmanagementsystems gemäß der Norm ISO/IEC 27001