Ethische Hacker bewegen sich auf dem schmalen Grat zwischen der guten und der schlechten Seite des Internets und wagen sich oft auf beide Seiten. Sie setzen ihre Fähigkeiten für gute Zwecke ein, meist um Systeme für Kunden zu testen und sie sicher zu machen. Aber wenn sie ihr Wissen für böswillige Zwecke einsetzen, können sie großen Schaden anrichten.
Da das Einbrechen in Systeme eine großartige Möglichkeit ist, sie zu verbessern, ist ethisches Hacken oft umstritten. Fachleute in diesem Bereich sind nicht leicht zu finden und selbst wenn du sie findest, bekommst du nicht viele Informationen aus ihnen heraus. Die meisten halten sich bedeckt und es ist unwahrscheinlich, dass ihre Arbeitgeber sich öffentlich zur Arbeit mit White-Hats bekennen – in den meisten Ländern ist ihr Beruf nicht einmal gesetzlich anerkannt.
Es ist schwer, einen Einblick in die Welt des Ethical Hacking zu bekommen, aber wir haben es geschafft. Wir haben uns mit zwei Spezialisten zusammengesetzt, um einige unserer brennenden Fragen zu beantworten und herauszufinden, was es wirklich bedeutet, ein ethischer Hacker zu sein. Lies weiter, um einen tiefen Einblick in die aufregende und zugleich obskure Welt des ethischen Hackens zu bekommen.
Was ethische Hacker so wichtig macht
Cyberkriminalität ist zu einer großen Bedrohung für Privatpersonen, Unternehmen und Regierungen geworden und nimmt mit alarmierender Geschwindigkeit zu. Mit der zunehmenden Abhängigkeit von der Technologie haben Cyberkriminelle neue Wege gefunden, um Schwachstellen in Netzwerken auszunutzen.
Die Cyberkriminalität stieg während der Pandemie um 600 Prozent an und wird in den kommenden Jahren wahrscheinlich noch schneller zunehmen. Ata Hakçıl und Jeremiah Fowler haben uns einen Einblick in das Leben von ethischen Hackern und in das, womit wir bei Big Tech und Cyberkriminellen rechnen müssen, gegeben.
Ata Hakçıl ist ein ethischer Hacker, Penetrations-Tester und Bug-Bounty-Jäger mit über 7 Jahren Erfahrung. Er hat einen BA in Informatik und studiert derzeit für einen MA in Computertechnik. Seine Open-Source-Sicherheitsprojekte findest du auf Github, wo er unter dem Namen ignis-sec zu finden ist.
Jeremiah Fowler ist ein Sicherheitsforscher mit über 10 Jahren Erfahrung in der Tech- und Cybersicherheitsbranche. Er ist Mitbegründer von Security Discovery, einem Beratungsunternehmen für Cybersicherheit, und seine Arbeit wurde von renommierten Herausgebern wie Forbes, der BBC und Gizmodo veröffentlicht.
Ata Hakçıl, glaubt, dass „eine Rezession nach der Corona-Ära zuerst die Budgets für Sicherheitstechnik treffen wird, weil sie zu den Bereichen gehören, die nicht für notwendig gehalten werden, bis man sie nicht mehr hat. [Was folgt,] ist ein Chaos aus ständigen massiven Datenschutzverletzungen, die durch schlecht gewartete und geprüfte Projekte verursacht werden.“
Ethische Hacker sind heute unerlässlich, um die Sicherheit der digitalen Werte und sensiblen Informationen von Unternehmen zu gewährleisten. Sie simulieren Angriffe und finden Schwachstellen in einer kontrollierten Umgebung, um potenzielle Sicherheitslücken zu erkennen, bevor Cyberkriminelle sie ausnutzen können.
Big Tech sammelt deine Daten und die Nutzungsbedingungen ermöglichen den Unternehmen Zugriff auf dein Mikrofon, deine Kamera und umfassen möglicherweise auch die Aufzeichnung deiner Tasten. Alles, was du auf deinem Gerät tust, wird erfasst und aufgezeichnet – wir wissen nicht, wie harmlos diese Informationen sein können oder ob sie gegen dich verwendet werden können. Ein Kommentar, den du heute in den sozialen Medien schreibst, könnte in 10 Jahren bei einem Vorstellungsgespräch aufkommen.
Jeremiah Fowler, ethischer Hacker & Sicherheitsforscher
Hier sind noch ein paar weitere Gründe, warum ethische Hacker das beste Gegenmittel gegen künftige Cybersicherheitsrisiken sind:
Der Schlüssel zum Schutz vor Verbrechen ist es, sich in die Denkweise eines Diebs zu versetzen. Genau das machst du, wenn du einen ethischen Hacker damit beauftragst, deine Sicherheitssysteme zu testen. Wir glauben, dass ethisches Hacken die Zukunft der Cybersicherheit ist und die Nachfrage in den nächsten Jahren steigen wird. Bevor wir ins Detail gehen, sind hier ein paar wichtige Begriffe, die du verstehen solltest.
Begriffe zum ethischen Hacken
Warum ethisches Hacken ein umstrittenes Thema ist
Wenn ein Cyberkrimineller (oft fälschlicherweise als Hacker bezeichnet) ein Einbrecher ist, der sich in dein Haus schleicht, um deine Sachen zu stehlen, ist ein ethischer Hacker der freundliche Schlosser aus der Nachbarschaft, der dir zu Hilfe kommt und dich darauf hinweist, wie der Einbrecher eindringen könnte. Auf diese Weise kannst du deine Sicherheit verstärken und dich wieder sicher fühlen.
Stell dir das so vor: Ein bösartiger Hacker ist derjenige, der dich entsetzt aufschreien lässt: „Warum ausgerechnet ich?“, während ein ethischer Hacker derjenige ist, der dich dankbar sagen lässt: „Deshalb habe ich dich eingestellt!“ Aber nicht jeder Fachmann in diesem Bereich zieht es vor, als ethischer Hacker bezeichnet zu werden. Das liegt vor allem an den negativen Konnotationen, die wir mit dem Wort „Hacker“ verbinden. Wir haben unsere Spezialisten gefragt, was sie darüber denken.
F: Bist du mit der Bezeichnung “ethischer Hacker” einverstanden?
Ata Hakçıl: “Bin ich, auch wenn mir “Sicherheitsforscher” besser gefällt.”
Jeremiah Fowler: „Es gibt bestimmte Sachen, die ich als ethischer Hacker niemals tun würde, z. B. die Eingabe von Passwörtern umgehen oder gewaltsam in ein Netzwerk eindringen. Als Forscher suche ich nur nach offenen Daten und würde nie über das hinausgehen, was öffentlich zugänglich ist. Es wäre unethisch, Passwörter zu verwenden, die ich in offen zugänglichen Daten finde.”
Selbst wenn wir „ethisch“ davorsetzen, bleibt der Begriff „Hacker“ umstritten. Manche sagen, dass ein Hacker ein Hacker ist und dass der Zusatz „ethisch“ nichts an der Tatsache ändert, dass er heimlich und hinterlistig in Systeme eindringt. Ein weiteres Argument ist, dass der Begriff sehr subjektiv ist.
Es gibt Hacker, die behaupten, sie seien Aktivisten, sogenannte Hacktivisten, und keine Kriminellen. Andere glauben, dass sie die Verantwortung haben, die Sicherheitslücken eines Unternehmens aufzudecken. Aber ist ihre gute Absicht ausreichend, um sie als ethisch zu betrachten? Die Vorstellung, dass Personen, die Institutionen hinterfragen, automatisch ethisch sind, ist nicht immer richtig.
Was genau ist ethisches Hacken? Womit hat es angefangen?
Laut Oxford Languages ist ein ethischer Hacker „eine Person, die sich in ein Computernetzwerk hackt, um dessen Sicherheit zu testen oder zu bewerten, und nicht in böswilliger oder krimineller Absicht„. Diese Definition ist weltweit mehr oder weniger gleich, aber sie ist komplizierter als sie scheint.
Ethisches Hacken, oft auch als „White-Hat-Hacking“ bezeichnet, hat sich erst im letzten Jahrzehnt zu einem gängigen Beruf im Bereich der Cybersicherheit etabliert. Aber wusstest du, dass die Praxis des ethischen Hackens eigentlich älter ist als die des „Black Hat Hacking“ – hinter dem eindeutig bösartige Absichten stecken?
In den Anfängen der Computertechnik verstand man unter Hacken lediglich die Optimierung von Systemen und Maschinen, um sie effizienter zu machen. Auch wenn der Begriff inzwischen einen negativen Nachklang hat, wissen wir heute, dass der Ursprung des Hackens ein durch und durch guter ist. Doch der Kampf gegen Stereotypen ist ein harter Kampf.
Leider gibt es auch heute noch keine klare Grenze zwischen ethischem und unethischem Hacken. Man kann die Guten nicht wirklich von den Bösen unterscheiden und auch die Gesetzgebung ist in der Hinsicht noch nicht auf dem aktuellen Stand.
F: Ist beim Hacken alles schwarz oder weiß: böse Hacker oder gute Hacker?
Ata Hakçıl: „Die meisten Black-Hat-Aktivitäten wie das Sammeln, Stehlen und Verkaufen von Logins und der Diebstahl von Kreditkarteninformationen sind objektiv schlecht. Aber einige Themen fallen in eine ethische Grauzone und es kommt auf die Perspektive an.“
Jeremiah Fowler: „Es kommt darauf an, ob es sich um Angestellte großer Unternehmen oder um unabhängige Personen handelt. Leider kommen viele Black-Hat-Hacker aus Regionen mit sehr geringen wirtschaftlichen Aussichten und gesetzlichen Regelungen.“
Es ist also nicht alles schwarz und weiß, es gibt auch eine Menge Grau dazwischen.
Black-Hat-, White-Hat- und Gray-Hat-Hacking erklärt
Black-Hat-Hacker arbeiten ausschließlich, um Schaden anzurichten oder sich persönlich zu bereichern. Dazu gehören Personen, die über Datenschutzverletzungen erhaltene Informationen im Dark Web verkaufen, jene, die DDoS-Angriffe starten, und sogar der Typ, der Twitter hackte und von Promi-Konten aus über Tweets einen Bitcoin-Betrug startete.
White-Hat-Hacker agieren in der Regel aus Forschungszwecken, sie führen Penetrationstests durch und nehmen an Bug Bounties teil – offiziellen Programmen, die Belohnungen für das Aufspüren von Schwachstellen und Fehler in bestimmter Software und Dienstleistungen bieten. White-Hat-Hacker befolgen bei ihren Forschungsarbeiten strenge ethische Richtlinien.
Grey-Hat-Hacker folgen keinem strengen ethischen Kodex und fallen in eine moralische Grauzone, in der es fraglich ist, ob ihre Motive gut oder schlecht sind. Ata erklärt dieses Konzept sehr gut:
Den persönlichen Laptop einer anderen Person zu hacken, ist objektiv unethisch. Eine Website für den Menschenhandel auszuschalten, ist objektiv gut. Den Laptop einer Person zu hacken, um eine von ihr gehostete Website für den Menschenhandel zu zerstören, fällt in eine moralische und ethische Grauzone.
Es ist leicht, von einem Bereich in den anderen zu wechseln – ein schlechtes Gewissen kann einen Black Hat in einen White Hat verwandeln, Ideologien können einen zu einem Grey Hat werden lassen und Geld oder mangelndes Einfühlungsvermögen können einen zu einem Black Hat machen.
Welche Mission hat ein ethischer Hacker?
Ethische Hacker zielen ebenfalls darauf ab, die Verteidigungsmaßnahmen eines Zielsystems zu umgehen. Auch wenn sie dazu beitragen sollen, Sicherheitslücken zu schließen und die Cybersicherheit eines Unternehmens zu verbessern, ist ihr Auftrag dem der böswilligen Hacker sehr ähnlich.
Professionelle Hacker können jedoch unterschiedliche Wege des ethischen Hackens einschlagen. Hier sind die drei Haupttypen von ethischen Hackern:
Bug-Bounty-Jäger
Anstatt für ihre Zeit bezahlt zu werden, erhalten Bug-Bounty-Jäger ein “Kopfgeld” von einem Unternehmen, wenn sie erfolgreich eine neue Sicherheitslücke aufspüren und melden. Ein Beispiel dafür ist das Bug-Bounty-Programm von CyberGhost VPN.
Teams mit Sicherheitsforschern oder spezialisierten Cybersicherheits-Gutachtern
Unternehmen beauftragen sie damit, ihre Sicherheit zu bewerten, Schwachstellen mithilfe von Angriffstechniken zu identifizieren und die Verteidigung zu verbessern.
Solche Teams sind nach dem Vorbild der US-Marine aufgebaut, wo ein rotes Team angreift und ein blaues Team verteidigt. Diese hochqualifizierten Cybersicherheitsexperten arbeiten eng zusammen, um die Sicherheit durch kontinuierliches Feedback und wechselseitigen Wissenstransfer zu verbessern. Ihr Ziel ist es, die Präventions-, Erkennungs- und Reaktionsstrategien des Unternehmens zu stärken.
Penetrations-Tester
Diese Fachleute, die auch als Pentester bekannt sind, bewerten die Sicherheit eines Systems, indem sie böswillige Angriffe Dritter simulieren. Penetrations-Tester arbeiten in der Regel innerhalb eines vom Kunden festgelegten Zeitrahmens und Testumfangs.
Ihr Ziel ist es, Angriffsvektoren und Schwachstellen zu identifizieren und Systemschwächen zu überwachen. Dazu werden verschiedene manuelle Techniken eingesetzt, die durch automatisierte Tools unterstützt werden, um bekannte Schwachstellen auszunutzen.
Abgesehen von dem Ziel, Schwachstellen aufzuspüren, hat jeder dieser Arten von Hackern andere Motive. Ata erklärt das wie folgt: „Bei einem Penetrationstest möchte ich Schwachstellen finden, die frühere Auftragnehmer übersehen haben, und dafür sorgen, dass die nächsten Auftragnehmer keine weiteren Schwachstellen finden können. Wenn es sich um die Suche nach einer neuen Schwachstelle handelt, ist meine Motivation, etwas derart Kreatives zu finden, dass es bei der Besprechung der Details einen bleibenden Eindruck hinterlässt. Wenn es sich um ein Bug-Bounty-Programm handelt, bin ich meist eher finanziell motiviert als auf der Suche nach kreativen Impulsen.“
Ist ethisches Hacken gefährlich?
Jetzt denkst du vielleicht: „Wie gefährlich kann das schon sein? Die hacken sich doch nur (mit Befugnis) in Computer ein und nehmen doch nicht am Stierkampf in Pamplona teil!“ Aber lass mich dir sagen, dass die Gefahren des ethischen Hackens nicht zu unterschätzen sind. Dieser Beruf ist alles andere als rosig und ich spreche nicht nur von dem Risiko, von den Behörden erwischt zu werden. Wir haben unsere ethischen Hacker um einen tieferen Einblick in ihre Sorgen und Ängste gebeten.
F: Was ist die größte Angst eines ethischen Hackers?
Jeremiah Fowler: “Wenn du aus ethischen Gründen hackst und Menschen hilfst, hast du nichts zu befürchten. Wenn du auf kriminelle Weise in Netzwerke einbrichst und Daten stiehlst, besteht natürlich ein großes rechtliches Risiko.”
F: Kannst du uns etwas über deine Hacks erzählen? Wurdest du dafür jemals strafrechtlich verfolgt oder belohnt?
Ata Hakçıl: “Ich wurde nie strafrechtlich verfolgt, aber viel belohnt. Eine kurze Zeit lang nahm ich aktiv und ausschließlich an Bug Bounty-Plattformen teil und wurde regelmäßig belohnt.”
Jeremiah Fowler: ““Ich habe meine Fähigkeiten und Fertigkeiten für Security Discovery eingesetzt, das als Forschungsunternehmen für Cybersicherheit begann und sich dann zu einem Sicherheitsanbieter etablierte. Wir tragen dazu bei, die persönlichen Daten von Millionen von Menschen auf der ganzen Welt zu schützen. Wir beraten Fortune 100 Unternehmen und Organisationen und arbeiten für sie.”
Wenn du dich an einen strengen Ethik-Kodex hältst, wirst du wahrscheinlich nicht für ethisches Hacken belangt. Es hat Fälle gegeben, in denen ethische Hacker vor einem Gericht landeten, weil die Gesetzgebung nicht immer eindeutig ist. In den meisten Fällen löst du hauptsächlich ein großes Chaos bei deinem Arbeitgeber aus. Ein beinahe so großes Chaos wie bösartige Hacker. Ehrlich gesagt, macht das Spaß.
Ethisches Hacken ist nicht immer gefährlich, aber da du es ständig mit veralteten Gesetzen und Cyberkriminellen zu tun hast, musst du besonders vorsichtig hinsichtlich deiner Online-Sicherheit und deiner Privatsphäre sein. Böswillige Hacker könnten versuchen, ethische Hacker ins Visier zu nehmen, nur weil sie es ihnen unmöglich machen, in Systeme einzudringen und Cyberangriffe durchzuführen.
Ist ethisches Hacken hauptsächlich eine freiberufliche Tätigkeit?
Auch wenn die meisten ethischen Hacker freiberuflich tätig sind, kannst du ethisches Hacken in einer Vielzahl von Bereichen ausüben. Du kannst als Vollzeitangestellter oder als Berater in verschiedenen Branchen arbeiten, z. B. im Finanzwesen, im Gesundheitswesen, in Behörden und in der Technologiebranche.
Viele Unternehmen stellen Sicherheitsforscher in Vollzeit als Teil ihrer Sicherheitsteams ein, um Schwachstellen zu identifizieren und zu entschärfen. Die aktuellen Trends zeigen, dass sich viele Fachleute in diesem Bereich für eine freiberufliche Tätigkeit entscheiden, da diese ihnen mehr Flexibilität bietet.
Ethisches Hacken ist ein hochspezialisiertes Gebiet, das einzigartige Fähigkeiten und Kenntnisse erfordert. Daher ziehen es Unternehmen vor, ethische Hacker als Freiberufler zu beauftragen, anstatt sie fest anzustellen. So können sie auf eine größere Auswahl an Fachwissen zurückgreifen.
Unternehmen, die ethische Hacker einstellen
Sicherheitsforscher sind sehr gefragt. Viele der weltweit führenden Marken stellen ethische Hacker zu äußerst stattlichen Gehältern ein. Nach Angaben des US Bureau of Labor Statistics lag das durchschnittliche Jahresgehalt für Sicherheitsforscher im Mai 2021 bei 102.600 US-Dollar.
Hier sind einige der Top-Unternehmen, die ethische Hacker einstellen, und das durchschnittliche Jahresgehalt, das sie ihnen bieten:
Arbeitgeber von ethischen Hackern | Durchschnittsgehalt |
Tesla | 167.552 $ |
Bank of America | 158.947 $ |
Lenovo | 145.745 $ |
Stellantis | 122.159 $ |
120.000 $ | |
HackerRank | 116.355 $ |
IBM | 110.457 $ |
Little Caesars | 107.861 $ |
Test | 102.931 $ |
US Army | 96.000 $ |
Wie sieht der typische Arbeitsalltag eines ethischen Hackers aus?
Laut Ata Hakçıl unterscheidet sich der Arbeitsalltag eines ethischen Hackers „höchstwahrscheinlich für Außenstehende nicht von dem eines Softwareentwicklers“. Bevor wir ins Detail gehen, was dich bei der Arbeit als Sicherheitsforscher erwartet, stellen wir dir hier die Aufgaben vor, die du übernehmen kannst:
- Mit Kunden für die Besprechung der aktuellen Sicherheitssysteme treffen.
- Die Systemsicherheit, die Organisation des Netzwerks und verwundbare Zugangspunkte prüfen.
- Penetrationstests durchführen.
- Berichte über Penetrationstests erstellen.
- Schwachstellen identifizieren und dokumentieren.
- Die besten Sicherheitslösungen ausfindig machen.
- Durchführung von Penetrationstest nach der Implementierung der vorgeschlagenen und neuen Sicherheitslösungen.
- Alternativen zu Sicherheitslösungen, die nicht funktionieren, finden.
So sieht ein typischer Arbeitstag aus, wenn du als ethischer Hacker bereits an einem Projekt arbeitest:
- Beginne den Tag mit der Überprüfung deines E-Mail-Posteingangs und deiner Aufgaben.
- Überprüfe die Ergebnisse, die über Nacht von automatischen Angriffsskripten oder Analysesystemen mit bestimmten Berichten erstellt wurden.
- Notiere dir das Betriebssystem und die Anwendungen, mit denen du arbeiten musst, um Penetrationstests durchzuführen.
- Erstelle eine Liste von Schwachstellen, die du nutzen kannst, um die Kontrolle über ein System zu übernehmen.
- Scanne das System und entdecke weitere Schwachstellen, um den besten Angriffsplan zu finden.
- Durchsuche Foren im Dark Web oder tausche dich mit anderen ethischen Hackern aus, um Schwachstellen zu finden und herauszufinden, wie du sie am besten ausnutzen kannst.
- Richte automatische Schwachstellenscanner ein, um schnell eine große Anzahl von Angriffen durchzuführen.
- Führe zusätzliche Recherchen durch, um deinen Plan zu verfeinern.
- Nimm an Meetings teil, halte Präsentationen oder gib einfach nur Feedback zu den von dir eingereichten System-Sicherheitsberichten.
- Lerne, mit neuen Tools zu arbeiten, verbessere deine Fähigkeiten und finde neue und wertvolle Informationen, um auf dem neuesten Stand zu bleiben.
Die Sicherheitsforschung eignet sich hervorragend für Menschen, die auf Details achten und gerne darüber nachdenken, wie böswillige Akteure sie ausnutzen können – die Art von Menschen, die vielleicht in der Qualitätssicherung oder als Softwaretester arbeiten.
Geduld ist der Schlüssel. Ethical Hacking ist eine monotone Arbeit, und die Chancen, eine Schwachstelle zu finden, sind in der Regel sehr gering. Du wirst jeden Tag mehrere Stunden Arbeit investieren und vielleicht nicht immer etwas Wertvolles finden. Wenn du jedoch eine Schwachstelle findest, ist die Belohnung meist groß genug, um dich dafür zu entschädigen.
Wie du ein ethischer Hacker wirst – Ausbildung und Karriere
Ethisches Hacken bietet einen äußerst attraktiven Berufsweg für Cybersecurity-Fans. Er ist nicht nur spannend, sondern auch sehr gefragt. Lass uns herausfinden, welche Schritte du unternehmen kannst, um ethischer Hacker zu werden und eine erfolgreiche Karriere in der Sicherheitsforschung aufzubauen.
-
- 🎓 Erwirb einen relevanten Abschluss oder eine Zertifizierung: Du kannst damit beginnen, einen Abschluss in Informatik, Cybersicherheit oder einem verwandten Bereich zu machen. Alternativ kannst du auch relevante Zertifizierungen wie den Certified Ethical Hacker (CEH) oder Offensive Security Certified Professional (OSCP) erwerben.
- 🛠️ Erlange technische Fähigkeiten: Um ein effektiver ethischer Hacker zu sein, brauchst du ein gutes Verständnis von Programmiersprachen, Betriebssystemen, Netzwerken und anderen technischen Aspekten von Computersystemen. Diese Fähigkeiten kannst du in Online-Kursen, im Selbststudium oder durch praktische Erfahrung erwerben.
- 💪 Sammle praktische Erfahrungen: Nimm an Bug-Bounty-Programmen teil, arbeite an Open-Source-Projekten oder arbeite ehrenamtlich für Organisationen, die Cybersecurity-Kenntnisse erfordern.
- 📑 Erstelle ein Portfolio: Erwähne in deinem Portfolio die Schwachstellen, die du entdeckt hast, und wie du sie behoben hast.
- 🔃 Bleibe auf dem Laufenden: Cybersicherheit ist ein Bereich, der sich schnell weiterentwickelt. Deshalb ist es wichtig, dass du über die neuesten Bedrohungen, Technologien und Best Practices auf dem Laufenden bleibst. Besuche Konferenzen, lies Fachzeitschriften und knüpfe Kontakte zu anderen Fachleuten in diesem Bereich.
Wenn du ethischer Hacker geworden bist, kannst du verschiedene Karrierewege einschlagen. Hier sind einige deiner besten Optionen und was diese Jobs jeweils mit sich bringen können.
-
- ➡️ Penetrations-Tester: Du identifizierst Schwachstellen in Computersystemen und -anwendungen, indem du versuchst, sie auszunutzen.
- ➡️ Sicherheitsberater: Du berätst Organisationen bei der Verbesserung ihrer Cybersicherheitslage und entwickelst Strategien zum Schutz vor Cyberbedrohungen.
- ➡️ Incident Responder: Du untersuchst Cybersicherheitsvorfälle, wie z. B. Datenschutzverletzungen oder Malware-Angriffe, und reagierst darauf.
- ➡️ Sicherheitsanalyst: Du überwachst und analysierst Computernetzwerke und -systeme auf Sicherheitsverletzungen und Anomalien.
- ➡️ Sicherheitsarchitekt: Du entwirfst und implementierst Sicherheitslösungen für Organisationen, wie Firewalls, Intrusion Detection Systeme und andere Sicherheitsmaßnahmen.
F: Kann jeder Hacker werden?
Ata Hakçıl: “Ich habe etwa 2 Jahre lang rund um die Uhr Sicherheitstraining parallel zu meiner Informatikausbildung gemacht, um mir als Sicherheitsforscher ein finanzielles Standbein aufzubauen. In diesem Bereich musst du dich ständig auf dem Laufenden halten und über den Tellerrand hinausschauen, aber wenn du das kannst, kannst du leicht ein Hacker werden. Ich habe viele talentierte Forscher kennengelernt, die noch zur Schule gehen [und] an Sicherheitswettbewerben und -veranstaltungen teilnehmen.”
Jeremiah Fowler: “Das Hackerkollektiv Anonymous hat bewiesen, dass jeder, unabhängig von seinen Fähigkeiten, bei einem koordinierten Angriff nützlich sein kann. Die Gruppe ging sogar so weit, dass sie Einzelpersonen darin ausbildete, wie man einen Denial-of-Service-Angriff und andere einfache oder Anfänger-Methoden durchführt. Im Grunde kann also jeder ein Hacker werden. Es kommt nur darauf an, was das Ziel oder der Zweck ist und wie viel Zeit, Energie und Mühe man bereit ist zu investieren, um mehr über Systeme und ihre Schwachstellen zu erfahren.”
Wir räumen mit Vorurteilen über Hacker auf
Vorurteil 1: Hacker sind Verbrecher. Es gibt keine ethischen Hacker.
In einer Welt, in der das Hacken von Hollywood zu einer Sensation gemacht wurde, ist es an der Zeit, Stereotypen aus dem Weg zu räumen und die Wahrheit hinter ethischen Hackern zu kennen. Gehen wir ins Detail und setzen den Mythen ein Ende.
Vorurteil 2: Hacker sind Einzelgänger.
Ethische Hacker werden oft als Einzelgänger wahrgenommen, die unabhängig und isoliert arbeiten, aber das ist nicht unbedingt richtig. Auch wenn manche ethische Hacker lieber allein arbeiten, arbeiten viele von ihnen in Teams oder mit anderen Sicherheitsexperten zusammen.
Vorurteil 3: Hacker sind schüchtern und introvertiert.
Jeremiah Fowler: “Das ist eher ein Klischee. Ich zum Beispiel bin ein öffentlicher Redner. Ich war Künstler und liebe es, mit Menschen zu sprechen. Es gibt jedoch eine Untergruppe von Zauberern, die sich abkapseln und in einer digitalen Welt leben. Echte Black-Hat-Hacker brechen oft das Gesetz und Schüchternheit oder Introvertiertheit können ein nützlicher Schutzmechanismus sein.”
Vorurteil 4: Ethische Hacker müssen ihre Identität verbergen.
Ein weiteres Klischee über ethische Hacker ist, dass sie ihre Identität verbergen müssen, was nicht ganz richtig ist. Ethische Hacker müssen zwar Maßnahmen ergreifen, um ihre Privatsphäre und Sicherheit bei ihrer Arbeit zu schützen, aber das bedeutet nicht unbedingt, dass sie ihre Identität verbergen müssen.
F: Benutzt du einen Spitznamen? Wenn ja, warum?
Ata Hakçıl: “Ich habe bereits mehrere Hackernamen benutzt (und verwende einige davon immer noch). Überall denselben Benutzernamen zu verwenden, bietet eine praktische Möglichkeit, keine persönlichen Informationen auszutauschen und trotzdem auf verschiedenen Plattformen zu bleiben. Wir kennen uns durch unsere Benutzernamen und wenn wir uns in verschiedenen Foren oder bei CTF-Wettbewerben (Capture the Flag) sehen, wissen wir, um wen es sich handelt.
Ich habe viele Freunde, mit denen ich seit über 5 Jahren täglich in Kontakt bin, die mich bei einer Begegnung auf der Straße nicht erkennen würden, aber meinen Spitznamen auf einer Anzeigetafel erkennen.”
Jeremiah Fowler: “Ich war nie ein Gamer – als Musiker konnte ich es nicht nachvollziehen, warum man rumsitzt und Videospiele spielt. Viele Gamer gaben sich Spitznamen oder Codenamen. Als ich in der Ukraine lebte und arbeitete, benutzte in einem der ersten Unternehmen, für das ich arbeitete, keiner der Angestellten seinen richtigen Namen und ich musste mir einen Spitznamen ausdenken.
Erst da habe ich wirklich verstanden, wie cool es ist, sich eine Online-Identität zu erschaffen oder sich einen anonymen Namen zu geben, der nichts mit deinem offiziell gemeldeten Namen zu tun hat. Ja, ich habe durchaus einen benutzt, aber jetzt, als öffentliche Person, bin ich stolz darauf, meinen richtigen Namen zu verwenden und bei dem, was ich tue und den Nachrichten oder Geschichten, die ich veröffentliche, unabhängig, fair und ausgewogen zu arbeiten.”
Sind alle ethischen Hacker Autodidakten?
Die meisten ethischen Hacker erwerben ihre Fähigkeiten durch Selbststudium und Praxis. Sie können aber auch eine formale Ausbildung im Bereich Cybersicherheit, Informatik oder einem verwandten Fachgebiet absolviert haben.
Viele Universitäten und Hochschulen bieten Bachelor- und Masterstudiengänge im Bereich Cybersicherheit an und organisieren auch spezielle Kurse und Zertifizierungen für Ethical Hacking. Diese Programme vermitteln den Studierenden ein solides Fundament an Konzepten, Tools und Techniken der Cybersicherheit.
Ein Großteil der Lernerfahrung eines ethischen Hackers erwirbt dieser jedoch in der Praxis. Da der Arbeitsbereich viel Geduld erfordert, musst du viel Zeit damit verbringen, herumzuexperimentieren und aus missglückten Versuchen zu lernen.
F: Was ist so reizvoll am Hacken? Was hat dich motiviert, ethischer Hacker zu werden?
Ata Hakçıl: “Ich habe über 5 Jahre lang in verschiedenen Programmier- und Entwicklungsabteilungen gearbeitet und es geliebt. Bereits am ersten Tag wusste ich, dass es mir mehr Spaß macht, Dinge zu knacken, als sie aufzubauen. Mein Mitbewohner an der Uni fing an, auf einer Website zu üben, die eigentlich ein Trainingsgelände für Hacker war. Diese stellt bewusst verwundbare Server auf und fordert dich auf, sie zu hacken und Punkte zu sammeln. Er zeigte mir die Website und seit diesem Tag ist es das, was ich tue.”
Jeremiah Fowler: “Ich arbeite für ein Unternehmen, bei dem die Daten von 15 Millionen Kundenkonten gehackt wurden. Es war ein Albtraum und ich wollte wissen, wie und warum das passiert war. Im Rahmen dieser Angelegenheit konnte ich herausfinden, wie viele Daten offengelegt wurden und lernte sehr viel Interessantes. Das ist der Grund, warum ich den Weg des ethischen Sicherheitsforschers eingeschlagen habe.”
Wie ethische Hacker von Verwandten angesehen werden
Ethische Hacker werden oft nicht nur von der Gesellschaft missverstanden, sondern auch von ihren Verwandten und Bekannten, da diese häufig die gleichen falschen Vorstellungen über das Hacken haben. Nur wenn wir über ihre Arbeit und den Wert, den sie für Organisationen und Einzelpersonen haben, sprechen, können wir die öffentliche Wahrnehmung ändern. Darüber hinaus ist es wichtig, sich für die Schaffung von rechtlichen Rahmenbedingungen für ethisches Hacken einzusetzen, wo diese noch nicht existieren.
F: Wissen deine Familie, deine Verwandten und dein Freundeskreis von deinem Interesse am Hacken?
Ata Hakçıl: “Ja, sogar meine Oma. Ich habe eine ganze Weile gebraucht, um ihr zu klarzumachen, dass ich kein Krimineller bin.”
Jeremiah Fowler: “Leider ja, denn viele meiner Entdeckungen wurden in einigen der größten Nachrichtenmedien der Welt veröffentlicht. Meine ganze Familie wendet sich oft an mich, um technischen Support zu bekommen, wenn sie ein Computerproblem haben, Malware installiert ist oder sie gehackt wurden.”
Ethisches Hacken in der Pop-Kultur
Auf die Frage hin, wie Hacker in der Pop-Kultur dargestellt werden und welche Titel Hacker am besten und am schlechtesten darstellen, sagte Ata Folgendes:
“Ich glaube, kein Film und keine Serie stellt Hacker richtig dar, aber andererseits ist es auch nicht immer aufregend, drei Stunden lang vor einem Computer zu sitzen und auf ein Terminal zu starren […]. Mr. Robot hat diese Darstellung allerdings gut hinbekommen.”
Die Darstellung eines Hackers ist eines der größten Klischees, die dir in der Pop-Kultur begegnen. Hollywood war Cybersicherheitsexperten gegenüber nicht immer nett. Unzählige Filme und Fernsehsendungen haben einen Stereotypen eines Sicherheitsexperten geschaffen und die Vorurteile dann aktiv verstärkt.
Die Szene beginnt fast immer mit einem jungen Mann (auf jeden Fall ein Mann) in einem dunklen Keller, der einen schwarzen Kapuzenpulli trägt und von mehreren Bildschirmen umgeben ist, auf denen ein schwarz-grünes Bedienfeld zu sehen ist. Er hämmert auf seiner Tastatur herum und hackt sich innerhalb weniger Minuten in die Datenbank der Regierung.
Dieses Klischee hat dem Hacken einen sehr negativen und äußerst illegalen Beigeschmack verliehen. Schauen wir uns ein paar Filme an und sehen wir, wie treffend sie Hacker darstellen.
Welche Verhaltensregeln gelten für ethische Hacker?
Ethische Hacker haben vielleicht keinen grünen Hut und einen Köcher voller Pfeile, aber sie haben einen Laptop und die Mission, das Internet sicherer zu machen. Bevor du dich allerdings ganz auf deine Hacking-Fähigkeiten verlässt, solltest du ein paar Dinge wissen. Denn seien wir ehrlich, selbst die besten Absichten können böse enden, wenn du die ethischen Regeln des Hackens nicht kennst.
Was ethische Hacker tun sollten
Bitte um Erlaubnis, bevor du einen Hackversuch startest
Bitte um Erlaubnis, bevor du Penetrationstests durchführst, die wie ein echter Brute-Force- oder Denial-of-Service-Angriff aussehen. Wenn du das nicht tust, wirst du wie ein böswilliger Angreifer aussehen und auch so behandelt werden. Möglicherweise verfügen Unternehmen bereits über Software, die solche Tests erkennt, und verbieten dir die weitere Zusammenarbeit mit ihnen.
Dokumentiere deine Nachforschungen
Führe detailliert Buch über alle Schritte, die du während des Hacking-Prozesses unternimmst, einschließlich aller Schwachstellen, die du entdeckst. Das macht es viel einfacher, wenn du einen Bericht erstellst und anfängst, Probleme zu beheben.
Melde Schwachstellen ohne Einbindung der Öffentlichkeit
Respektiere die Privatsphäre der Besitzer des Zielsystems, der Nutzer und ihrer Daten. Melde Schwachstellen direkt beim Kunden oder Produktanbieter und gib ihnen genug Zeit, die Probleme zu beheben. Wenn du die Schwachstelle zu früh öffentlich machst, setzt du deinen Kunden oder das Produkt und seine Nutzer einem Risiko aus und erhältst höchstwahrscheinlich keine Belohnung.
Recherchiere, wie Berichte über Schwachstellen eingereicht werden können
Informiere die Zielorganisation über alle Schwachstellen, die du gefunden hast, und formuliere Empfehlungen für deren Behebung. Bevor du ein Problem meldest, solltest du dich erkundigen, wie das Unternehmen diese Meldungen erhalten möchte. Unternehmen haben in der Regel spezielle Bug-Reporting-Systeme, über die du deine Entdeckungen vertraulich berichten kannst. Andere verwenden Sicherheits- oder gängige E-Mail-Adressen.
Stelle stets Nachforschungen an
Potenzielle Probleme müssen unter Umständen gründlich untersucht werden, bevor du sie meldest. Wenn du etwas meldest, ohne wirklich zu prüfen, ob es sich tatsächlich um eine Schwachstelle handelt, die ausgenutzt werden kann, kann dadurch für dich und für deinen Kunden ein großer Zeitaufwand entstehen.
Wenn du deine Erkenntnisse zu früh meldest, ohne sie richtig zu untersuchen, verärgert das den Kunden möglicherweise und er schenkt deinen Berichten keine Beachtung mehr. Oder er belohnt dich nicht, wenn tatsächlich ein echtes Problem dahintersteckt, weil er selbst noch so viel Arbeit investieren musste.
Unternehmen, die Bug-Bounty-Programme anbieten, erwähnen dies in der Regel irgendwo in ihren Sicherheitsrichtlinien. Wenn du aus rein finanziellen Zwecken handelst, solltest du das überprüfen, bevor du das System oder Netzwerk des Unternehmens testest.
Was ethische Hacker lassen sollten
Verlange nicht zu früh Geld
Fordere kein Geld, bevor du Informationen preisgibst. Es ist eine Grundregel, dass du in deiner ersten E-Mail keine finanziellen Belohnungen verlangst. Das sieht eher nach Erpressung als nach ethischem Hacken aus und erweckt den Eindruck, dass du ein Cyberkrimineller sein könntest.
Stütze dich nicht auf Annahmen
Wenn ein Tool sagt, dass es etwas gefunden hat, gehe nicht einfach davon aus, dass sich diese Entdeckung per se ausnutzen lässt. Meistens warnen die Tools vor potenziellen Problemen, die nur unter bestimmten Umständen ausgenutzt werden können.
Mache Schwachstellen nicht zu früh öffentlich bekannt
Was auch immer passiert, melde niemals Probleme auf öffentlichen Websites wie Twitter, Facebook, Reddit oder in Foren. Wenn dies die einzige Möglichkeit ist, ein Unternehmen zu kontaktieren, schreibe ihm eine Nachricht, in der du ihm ein Sicherheitsproblem meldest, und frage, wie du es auf vertraulichem Wege kontaktieren kannst.
Halte dich an die Gesetze vor Ort
Ethisches Hacken und kriminelles Hacken werden in einigen Rechtssystemen nicht voneinander unterschieden. Überprüfe grundsätzlich, ob du eine ordnungsgemäße Genehmigung von einer Website oder einem Anbieter einholen musst, bevor du ihre Sicherheitssysteme testest.
Ist ethisches Hacken die Zukunft der Cybersicherheit?
In einer Welt, in der Cyberangriffe und Datenschutzverletzungen immer häufiger vorkommen, spielen ethische Hacker eine wichtige Rolle bei der Identifizierung von Schwachstellen und der Vorbeugung zukünftiger Schäden.
Mit ihren Fähigkeiten und ihrem Wissen, Systeme zu testen und ihre Sicherheit zu gewährleisten, tragen Sicherheitsforscher dazu bei, Unternehmen und Einzelpersonen vor bösartigen Angriffen zu schützen.
Unternehmen sind das häufigste Ziel von Cyberangriffen. Ata Hakçıl glaubt, dass „regelmäßige Penetrationstests und Quellcode-Audits“ Unternehmen dabei helfen können, ihre Daten zu schützen. Das bedeutet, dass ethische Hacker für die Zukunft der Cybersicherheit extrem wichtig sind. Auch Einzelpersonen müssen wachsam sein und eine gute IT-Hygiene praktizieren, um online sicher zu sein. Jeremiah Fowler rät dazu, „ein VPN, zu benutzen, vor allem, wenn man sich mit öffentlichen oder gemeinsam genutzten WLAN-Verbindungen verbindet, da es sehr einfach ist, Daten aus diesen Verbindungen zu extrahieren.”
Kommentieren