Was ist Ethical Hacking und womit beschäftigen sich Vertreter:innen dieser Zunft? Die auch als White-Hat-Hackers bezeichneten Ethical Hackers versuchen, Schwachstellen in IT-Systemen zu finden und aufzudecken. Vordringliches Ziel ist es dabei, bestehende Sicherheitslücken zu schließen. Im Gegensatz dazu versuchen Black-Hat-Hackers (kriminelle Hacker:innen), bestehende Sicherheitslücken zu finden, um diese für schädliche Aktivitäten möglichst lange unerkannt auszunutzen.
White-Hat-Hacking wird von Unternehmen oder Einzelpersonen durchgeführt, um potenzielle Bedrohungen in Netzwerken oder auf Rechnern zu identifizieren. Die Methoden, um Sicherheitslücken erfolgreich aufzuspüren, unterscheiden sich nicht von denen des Black-Hat-Hackings. Der Unterschied liegt in der ethischen Grundhaltung, die beim Ethical Hacking ausschließlich auf die Verbesserung der IT-Sicherheit gerichtet ist. Dabei ist die Vorgehensweise bei „guten Hacks“ durch die umfangreiche Dokumentationspflicht anspruchsvoller als die ergebnisorientierte destruktive Variante der Black-Hat-Hackers.
Destruktives und ethisches Hacking im Überblick
Ethical Hacking ist kein Modetrend. Wer sein Unternehmensnetzwerk als IT-Expert:in schützen möchte muss lernen, wie ein:e Hacker:in zu denken.
Dabei ist Hacking für sich gesehen eigentlich nicht erlaubt und wird mit Freiheitsstrafen von bis zu zwei Jahren oder mit Geldstrafen geahndet (StGB §202c). Sogar die Vorbereitung von derartigen Handlungen zum Ausspähen oder Abfangen von Daten steht unter Strafe. Hacking ist nur legal, wenn es eine klare Vereinbarung zwischen dem Betreiber oder Eigentümer von Computersystemen und dem/der Hacker:in gibt, die Angriffe zu Testzwecken erlaubt. Genau dieser Punkt unterscheidet die Black-Hat-Hackers von Ethical Hackers.
Das Ethical Hacking grenzt sich zum klassischen, kriminellen Hacking durch die unterschiedliche Motivation und klare Zielsetzung ab. White-Hat-Hacking legt den Fokus in erster Linie auf Schwachstellen in der Programmierung und Softwarebugs. Schwerpunkte für Sicherheitsüberprüfungen sind beispielsweise Webanwendungen und die Website-Security. Meist geht es um unternehmensspezifische Absicherung und Sicherheitschecks der IT-Infrastruktur oder Applikationen und Services. Der zu testende Bereich steht dabei zu Beginn einer Prüfung fest.
Dabei sind Transparenz und Integrität ein wichtiger Bestandteil der Arbeit, da häufig sensible Bereiche mit Daten von Kund:innen und Firmen oder Betriebsgeheimnissen durch Ethical Hacking abgesichert werden sollen. Alle relevanten Informationen über erfolgte Hacks werden an den Auftraggeber kommuniziert. Ein Missbrauch oder das Weitergeben von Betriebsgeheimnissen findet in keinem Fall statt. Auch die Ergebnisse der Überprüfungen werden nur dann an Dritte kommuniziert, wenn es der Auftraggeber explizit wünscht. Das führt in manchen Fällen dazu, dass von externen Aktivist:innen „entdeckte“ Sicherheitslücken beim Hersteller durchaus bekannt sind, dort aber bewusst toleriert und verschwiegen werden. Nicht jede entdeckte Sicherheitslücke ist kritisch, und manche Schwachstelle ist nur unter labortechnischen Bedingungen nachzuvollziehen, hat aber im praktischen Einsatz keinerlei Bedeutung.
Zur Transparenz der Arbeit von Ethical Hackers gehört eine ausführliche Dokumentation der Prüfszenarien und Vorgehensweisen, wobei auch Ergebnisse und weitere relevante Informationen zum Ethical Hack beschrieben werden. Die detaillierten Berichte dienen der Verbesserung der IT-Sicherheit und können konkrete Handlungsempfehlungen enthalten, um bestehende Sicherheitslücken zu schließen.
Grey-Hat-Hackers
Viele Schlagzeilen zu White-Hat-Attacken basieren auf illegalen Hacks, bei denen die Täter:innen erst im Nachhinein Unternehmen über vorhandene Lücken informiert haben. Diese Attacken erfolgten in der Regel ohne Einbindung und vorherige Information der betreffenden Firmen – eine Grauzone, die jedoch nicht das klassische Arbeitsfeld der Ethical Hackers ist. Deren Tätigkeit findet ausschließlich mit vollem Einverständnis der Systembetreiber statt. Nicht zuletzt durch diese schwierige Unterscheidung wird der Begriff „Grey-Hat-Hackers“ für unerlaubtes, aber gutartiges Hacking verwendet.
Dennoch ist die Grenze zwischen „normalem“ und Ethical Hacking fließend. Nicht autorisierte Hackers verstehen sich mitunter selbst als Ethical Hackers, da die Aktionen am Gemeinwohl und einer Verbesserung der IT-Sicherheit orientiert seien. Ein Beispiel sind die Aktivitäten des Chaos Computer Clubs (CCC). Dessen Mitglieder:innen haben schon häufig eklatante Sicherheitslücken aufgedeckt, ohne dass dabei wirtschaftliche Gesichtspunkte eine Rolle spielten. Rechtlich gesehen heiligt der Zweck aber nicht die Mittel. Nur das Wohlwollen der betroffenen Unternehmen schützt im Zweifelsfall vor einer strafrechtlichen Verfolgung von Hacks.
Wo externe Dienstleister Ethical Hacking durchführen, sichert sich der Auftraggeber in der Regel rechtlich ab. Mustertexte für entsprechende schriftliche Vereinbarungen bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) an.
Wie läuft ein Ethical Hack ab?
Den typischen Ethical Hack gibt es nicht, denn das erklärte Ziel ist die Aufdeckung von IT-Sicherheitslücken im Unternehmen. Diese wiederum können in allen denkbaren Bereichen der IT liegen. Penetration Testing, häufig einfach als Pentesting abgekürzt, ist beispielsweise eine Methode, um Schwachstellen in IT-Strukturen aufzudecken.
Das Tätigkeitsspektrum ist jedoch so umfangreich, dass sich inzwischen zertifizierte Zusatzqualifikationen für IT-Expert:innen daraus entwickelt haben, um alle Risikoaspekte abzudecken. Weitere typische Methoden sind etwa das Social Engineering, klassisches System-Hacking, Web-Service-Hacking und WLAN-Hacking.
Der schematische Ablauf eines Ethical Hacks ist so unterschiedlich wie die Unternehmen, um deren Absicherung es geht. Sehr häufig sind am Anfang Penetrationstests das Mittel der Wahl, um bestehenden Risiken auf die Spur zu kommen. Details zum Thema Penetrationstests finden Sie in unserem Pentest-Beitrag hier im V-Hub.
1. Erkundung
Am Anfang eines Ethical-Hacking-Angriffs steht als erster Schritt die Sammlung von Informationen. Die Vorbereitungsphase dient dazu, Konfigurations- und Anmeldeinformationen des Systems zu finden und vorhandene Netzwerke zu identifizieren. Dabei gilt das besondere Interesse den nachfolgenden Punkten:
- Namenskonventionen
- Netzwerkdienste
- vorhandene Server
- IP-Adressen
- Namen und Anmeldedaten von Benutzern
- physische Standorte der Zielsysteme
2. Scannen
In der zweiten Phase beginnt der Scan und das Testen von Netzwerken und Maschinen, um potenzielle Angriffsvektoren zu identifizieren. Dazu sammeln die Hackers über Scanning-Tools Informationen über alle Rechner, Benutzer:innen und Dienste innerhalb des Netzwerks. Mehr zum Thema Angriffsvektoren bietet Ihnen unser separater Beitrag hier im V-Hub.
3. Zugang erlangen
Ergab der Scan Schwachstellen im System versuchen die Hackers in der dritten Phase, Schadcode in das Zielsystem einzuschleusen. Dies geschieht über das Netzwerk, ein angrenzendes Teilnetzwerk oder über einen angeschlossenen Computer. Hackers verwenden dabei unterschiedliche Tools und Techniken, um Zugang zu erlangen. Zu den häufig angewendeten Methoden gehören:
- Pufferüberläufe
- Phishing
- Injektionsangriffe
- Verarbeitung von externen XML-Entitäten
- Ausnutzung von bekannten Sicherheitslücken in Modulen und Komponenten
Erfolgreiche Angreifer:innen erhalten so die Kontrolle über das gesamte System oder zumindest Teile davon.
4. Aufrechterhaltung des Zugangs
Die Prozesse der vierten Phase stellen sicher, dass durch einen Hack geschaffene Zugänge möglichst lange zur Verfügung stehen. White-Hat-Hackers nutzen das System kontinuierlich aus und erweitern die eigenen Rechte, um zu analysieren, wie viel Kontrolle Angreifer:innen erlangen können.
5. Spuren verwischen
Im letzten Schritt versuchen Hackers, die Spuren ihrer Aktivitäten zu verwischen. Für Unternehmen spielt diese Phase eine Rolle, da sie im Ernstfall erfolgreiche Attacken erst spät bemerken. Je offensichtlicher die Spuren einer Attacke, desto größer die Chance auf Abwehr und Absicherung dagegen.
Ziele und Tools von White-Hat-Hackers
Ethical Hackers verwenden die üblichen Netzwerktools und bedienen sich Exploits, um Sicherheitslücken zu entdecken und auszunutzen. Es gibt nicht das typische Hackertool, auch wenn Pentests und die dafür genutzte Software bei Ethical Hackers beliebt sind.
In der Regel werden kontrollierte Hacks in Unternehmen nicht im Produktivsystem durchgeführt, sondern in virtuellen und abgeschotteten Umgebungen. Das dabei von vielen verwendete Standard-Betriebssystem ist Kali-Linux. Nicht rein zufällig kommt mit der OSCP („Offensive Security Certified Professional”) eine der bedeutendsten Zertifizierungen für Ethical Hacker vom Distributionsanbieter des Kali-Linux.
Diese auf Debian basierende Linux-Distribution umfasst Programme für Penetrationstests und digitale Forensik. Sie enthält alles, was angehende und praktizierende Ethical Hackers an Toolkits und Unterbau für Systemtests benötigen. Von der Entwicklungsplattform für Programmierer:innen über verschiedene Virtualisierungsumgebungen bis hin zu Cloud-Bibliotheken und -Schnittstellen bietet Kali-Linux das gesamte Instrumentarium, um IT-Systeme zu überprüfen.
Ethical Hacking als Job und Dienstleistung für Unternehmen
Hacking-Skills sind in der IT-Branche sehr gefragt. Egal ob für Security Audits, als Expert:in im Bereich Vulnerability Assessments (Schwachstellenanalyse) oder im Bereich Pentests: Die Nachfrage nach IT-Expert:innen mit entsprechenden Qualifikationen ist groß. Der Bereich des Security-Testing bekommt dabei im administrativen Umfeld und als Serviceleistung eine immer größere Bedeutung.
Ausbildungen und Zertifizierungen im Bereich Ethical Hacking
Ohne einen entsprechenden Nachweis der Qualifikation ist es schwierig, erfolgreiches Ethical Hacker zu betreiben. Der Markt bietet inzwischen eine ganze Reihe an anerkannten Zertifizierungen und Weiterbildungen an, über die Ethical Hackers das notwendige Wissen über Testmethoden, rechtliche Vorschriften und andere IT-Security-Themen erwerben und belegen können.
In der Regel wenden sich auch die Einstiegszertifikate nicht an Lai:innen, sondern erfordern zum Verständnis gute IT-Kenntnisse und möglichst Programmiererfahrung. Rein formell sind Berufserfahrung oder Fachwissen nur bei wenigen Lehrgängen Zugangsvoraussetzung. In der Praxis sind die Prüfungen kaum ohne mehrjährige IT-Erfahrung im Entwicklungs- und Administrationsbereich zu bestehen.
Offensive Security Certified Professional
Die meisten Anbieter im Bereich Ethical Hacking und Pentest bieten Basis- und Aufbaukurse mit Zertifizierung als Qualifikationsnachweis für IT-Professionals an. Die OSCP-Qualifikation, die häufig auch als „PEN 200” bezeichnet wird, ist Teil des Angebots des IT-Dienstleisters Offensive Security. Nach Meinung vieler IT-Expert:innen ist dieses die am höchsten angesehene und anspruchsvollste Einstiegszertifizierung. Offensive Security ist ausgewiesener Experte im Bereich IT-Security und für die unter Sicherheitsexpert:innen weltweit bekannte Kali-Linux-Distribution verantwortlich.
Der OSCP wird auch als Onlinekurs für Autodidakt:innen angeboten. Die Prüfung muss in einem der Zertifizierungscenter abgelegt werden, die es auf der ganzen Welt gibt. Sie besteht aus unterschiedlichen Praxisprüfungen, bei denen die Prüflinge verschiedene Hacks in vorbereiteten virtuellen Netzwerken durchführen müssen. In diesem Zusammenhang ebenfalls bedeutsam ist die Kali-Nethunter-Pentest-Plattform sowie die OffSec-Community, in der sich angehende und gestandene IT-Expert:innen über Sicherheitsthemen austauschen.
Certified Ethical Hacker
Der CEH („Certified Ethical Hacker”) wird vom Council of Electronic Commerce Consultants (EC-Council) angeboten. EC-Council ist eine amerikanische Organisation, die Cybersicherheitszertifizierungen, Schulungen und Dienstleistungen im Bereich der Cybersicherheit anbietet. Der Kurs ist eine der weltweit bekanntesten Hacking-Ausbildungen im Einstiegsbereich. Vorbereitungskurse im Präsenzunterricht dauern meist fünf Tage; daneben gibt es auch Onlinekurse zum CEH.
Dabei ist der CEH im Vergleich zum OSCP mehr auf Themenvielfalt ausgelegt und geht weniger in die Tiefe. Er eignet sich hervorragend dazu, einen umfassenden Einblick in alle wichtigen Aspekte des Hackings zu erhalten. Um die Prüfung ablegen zu können, muss entweder ein entsprechender Schulungsnachweis erfolgen, oder aber eine mindestens zweijährige Berufserfahrung im IT-Security-Bereich vorliegen.
Die CEH-Prüfung erfolgt im Multiple-Choice-Verfahren. Als ergänzendes Praktikum mit Abschlussprüfung wird ein CH-Practical angeboten, bei dem praktische Fähigkeiten nachzuweisen sind.
Pentest+ (Plus)
Pentest+ (Plus) ist eine Zertifizierung von CompTIA (Computing Technology Industry Association). CompTIA ist ein internationaler Branchenverband der IT-Industrie, zu dessen Mitgliedern IT-Hersteller, -Händler, -Dienstleister, -Freelancer, -Trainer und andere Branchenangehörige aus insgesamt 102 Nationen zählen. Entsprechend verbreitet und allgemein anerkannt ist die Zertifizierung. Sie ähnelt inhaltlich sehr der CEH-Zertifizierung. Allerdings umfasst das Curriculum mehr formale Aspekte und legt den Schwerpunkt nicht so sehr auf Penetration-, sondern mehr auf Vulnerability Testing. Der offizielle Studienleitfaden ist auf den CompTIA-Webseiten erhältlich.
Die Pentest-Plus-Zertifizierung gliedert sich in die nachfolgenden Bereiche auf:
- Penetrationstests
- Systemerkundung
- Informationssammlung
- Schwachstellenanalyse
- Anwendungstests
- Post-Exploit-Aufgaben
Pentest Plus geht über den Themenkomplex des Hackens hinaus und betrachtet auch die Prozesse, welche im Rahmen eines Security-Audits Relevanz haben.
GPen
Bei GIAC handelt es sich um eine Zertifizierungsstelle für Informationssicherheit, die GPEN (GIAC Certified Penetration Tester) als Leitlinie und Zertifizierungsnorm für Ethical Hacking anbietet. GPEN ist wie Pentest Plus auf die formale Vorgehensweise bei Penetration-Tests und Vulnerability-Assessments fokussiert.
Bachelor Cyber Security
Wer lieber den traditionellen Weg eines Studiums gehen möchte, der findet im Bachelor of Cyber Security (B.Sc.) einen Studiengang, bei dem viele Aspekte und Methoden aus dem Bereich des Ethical Hacking zum Lehrplan gehören. Auch bei der IT-Forensik sowie Forschung im IT-Security-Bereich gehören Mechanismen und Methoden der White- und Black-Hat-Hackers zum Basiswissen.
Das Wichtigste zu Ethical Hacking in Kürze
Das Bemühen aller Zertifizierungen und spezialisierten Studiengänge im Umfeld des Ethical Hacking ist es, IT-Profis in der täglichen Arbeit als Security-Engineer, Netzwerk-Administrator:in, Server-Administrator:in oder IT-Sicherheits-Administrator:in zu unterstützen. Dabei gilt als oberstes Prinzip, dass Ethical Hackers ihre Auftraggeber vor Schaden bewahren wollen und genau dafür bezahlt werden.
Eine persönliche Bereicherung oder die Weitergabe von Informationen über Sicherheitslücken widerspricht diametral dem Ethos von White-Hat-Hackers, auch wenn es auch hier durchaus schwarze Schafe geben mag. Das Cybersicherheitsrisiko realistisch einzuschätzen und Schutzmaßnahmen zu priorisieren ist das Ziel.
Viele Aufgaben und Tätigkeiten von Ethical Hackers finden sich in angrenzenden Berufsbildern wie Software Tester:innen, IT Auditor:innen und IT Forensiker:innen, die sich selbst vermutlich nicht als Ethical Hackers bezeichnen würden. Ethical Hackers in Funktion oder als Beruf sind sowohl in der Rolle der externen Berater:innen innerhalb eines Teams gefragt, als auch als Expert:innen im Unternehmen zur Aufdeckung und Absicherung von Sicherheitslücken.
Quelle:
https://www.vodafone.de/business/featured/digitales-business/digitale-geschaeftsprozesse/was-ist-ethical-hacking-und-wie-arbeiten-white-hat-hackers/