Was ist ein Ethical Hacker?

Hacker haben einen schlechten Ruf. Sie dringen in Sicherheitssysteme ein, stehlen Daten und richten finanziellen Schaden an. Doch stimmt dieses Bild wirklich? Wir erklären, warum manche Hacker deutlich besser sind als ihr Ruf und wie Ethical Hacker Ihr Unternehmen dabei unterstützen, sich wirksam vor Angriffen zu schützen.

Vom kostenlosen Telefonieren zum ersten Heimcomputer

Der Begriff des Hackers stammt aus den 1960er-Jahren und wurde erstmals durch einen amerikanischen Amateurfunker geprägt, der sich Captain Crunch nannte. In einer Reportage beschreibt Arte die Entwicklung: Er manipulierte Telefone mit einer Spielzeugpfeife, sodass er kostenlose Ferngespräche führen konnte. Hacken bezeichnete also ursprünglich den Versuch, ein Hindernis mithilfe von Technologie zu überwinden. Captain Crunch inspirierte eine ganze Generation junger Computerbegeisterter. Einige von ihnen gründeten den Homebrew-Computer-Club und erfanden den ersten Personal Computer der Welt. Unter ihnen waren auch Steve Jobs und Steve Wozniak - die Gründer von Apple.

Gute Hacker, böse Hacker: White-Hat, Grey-Hat und Black-Hat

Diese Definition unterscheidet sich deutlich vom weitverbreiteten Bild des Hackers in der Öffentlichkeit. Die Vorstellung eines Hackers, der vor allem auf Zerstörung aus ist, wurde maßgeblich in den 1980ern geprägt. In den Anfangsjahren des Internets war die Technologie von einer großen Faszination umgeben, die sich Filmstudios weltweit zunutze machten. So entstand das Klischee des übergewichtigen Teenagers, der nächtelang in seinem Kinderzimmer hockt und sich Zugriff auf Regierungscomputer verschafft. Mit der Realität hatte das allerdings schon damals wenig zu tun.

Stattdessen hat sich bereits früh die Unterscheidung zwischen White-, Black- und Grey-Hat-Hackern etabliert. Während Black-Hat-Hacker in Systeme eindringen, um persönlichen Nutzen daraus zu ziehen oder dem Ziel zu schaden, setzen White-Hat-Hacker ihre Fähigkeiten zum Wohle der Allgemeinheit oder einzelner Institutionen und Unternehmen ein. In den 1990er-Jahren prägte eine amerikanische Hackergruppe zudem den Begriff Grey-Hat-Hacker, um ihre Aktivitäten von denen der anderen Akteure abzugrenzen.

Ethical Hacking: Vom Hobby zum Markt

Mit der Verbreitung des Internets in allen gesellschaftlichen Bereichen wuchs auch der Bedarf an wirksamen Sicherheitsmaßnahmen. Staatliche Institutionen setzten schon früh auf ehemals straffällig gewordene Hacker, um ihre Sicherheitssysteme zu verbessern - das Ethical Hacking war geboren. Ethical Hacker machten dabei schnell mit spektakulären Aktionen auf sich aufmerksam, etwa mit dem GSM-Hack im Jahr 2002. Heute hat sich daraus ein ganzer Markt entwickelt, der auf die Überprüfung von IT-Infrastruktur spezialisiert ist.

Was macht ein Ethical Hacker?

Ein Ethical Hacker dringt mit ausdrücklicher Erlaubnis des Eigentümers in ein System ein. Unternehmen beauftragen ethische Hacker, um Schwachstellen in Anwendungen, Servern und Datenbanken aufzudecken. So verschafft er sich Zugriff, bevor es ein Angreifer tut, und schützt das Unternehmen vor Schäden.

Wie ein Ethical Hacker vorgeht

Im ersten Schritt erkundet der Ethical Hacker das Ziel und sammelt so viele Informationen über das Zielsystem wie möglich. Welche Assets gibt es? Welche potenziellen Angriffsvektoren existieren? Diese Erkenntnisse nutzt er anschließend, um sich Zugriff auf das Zielsystem zu verschaffen. Seine Herangehensweise unterscheidet sich dabei nicht von der eines Hackers mit böswilliger Absicht - und genau das macht seine Stärke aus. Der Ethical Hacker verfügt über dasselbe Wissen um Tools und Technologien wie ein Black-Hat-Hacker und kann ihm so auf demselben Spielfeld begegnen. Ist der Einbruch gelungen, dokumentiert der Hacker die Ergebnisse. Der abschließende Bericht bietet dem Unternehmen einen systematischen Leitfaden, um die gefundenen Schwachstellen zu beheben und die IT-Sicherheit nachhaltig zu verbessern.

So hilft ein Ethical Hacker Unternehmen

Auch wenn Hacker einen schlechten Ruf haben - von ethischen Hackern können Unternehmen enorm profitieren. Werden Sicherheitslücken gefunden, schützen Sie langfristig nicht nur sensible Unternehmensdaten, sondern auch die Daten Ihrer Kunden. So bietet beispielsweise die N26 Bank aus Berlin ein Bug-Bounty-Programm an, um Sicherheitslücken aufzuspüren, die in regulären Penetrationstests unentdeckt bleiben. Der regelmäßige Einsatz eines Ethical Hackers stärkt zudem das Sicherheitsbewusstsein bei allen Mitarbeitenden. Denn nur wenn Personen mit Zugriffsrechten verantwortungsvoll mit ihren Privilegien umgehen, ist das System wirklich geschützt.