Hacker können in beinahe jedes Unternehmen eindringen. Denn Sicherheitslücken gibt es fast überall. Wahrscheinlich auch in Ihrem Unternehmen. Ethical Hacking kann diesen Angriffen zuvorkommen – wenn es rechtzeitig beauftragt wird.
Es müssen nicht immer die Bösen sein, die ein Unternehmen hacken. Beim Ethical Hacking (auch bekannt als „White-Hat-Hacking“ oder „Penetration Testing“) suchen Experten Schwachstellen und Sicherheitslücken der IT-Infrastruktur. Dabei handelt es sich um eine autorisierte und zielgerichtete Methode, die Risiken zu identifizieren und so das System als Ganzes zu verbessern. Eine Technik, die helfen soll, Hackern, die es weniger gut mit Unternehmen meinen, einen Schritt voraus zu sein. Auch, weil die Zahl der Cyberangriffe zunimmt.
„In einer Welt, in der Cyberbedrohungen ständig fortschreiten, ist Ethical Hacking eine weitere Verteidigungslinie. Es ermöglicht uns, den Feind aus der Perspektive des Feindes zu sehen und so stets einen Schritt voraus zu sein.“
Heiner Mückstein, CEO Net Professionals
Wie Ethical Hacking populär wurde
Hacking begann ganz harmlos. Es ging ursprünglich darum, Technik zu verbessern. In den 1950er Jahren, als der Begriff geprägt wurde, ging es dabei vor allem um Amateurfunkgeräte. Eine Wendung nahm der Begriff, als ein Funker Telefongeräte so manipulierte, dass er kostenlos telefonieren konnte.
Seinen Durchbruch feierte der Begriff aber im Jahr 1983 mit dem Film „WarGames – Kriegsspiele“. Matthew Broderick spielt einen Teenager, der sich aus Versehen in ein System des Verteidigungsministeriums hackt und damit fast den dritten Weltkrieg auslöst. Dass die Handlung derart ernst genommen wurde, lag auch daran, dass im selben Jahr die Mitglieder der Hackergruppe „The 414s“ (benannte nach der Vorwahl ihrer Heimatstadt Milwaukee in Wisconsin) verhaftet wurden. Die Teenager hatten sich unter anderem Zugang zu den Systemen des Los Alamos National Laboratory (Erforschung von Atomwaffen) und der American National Security Agency (NSA) verschafft.
Zwar kamen die Hacker im Alter zwischen 17 und 22 Jahren nicht straffrei davon, aber es hätte schlimmer kommen können. Die meisten mussten lediglich erklären, ihre Aktivitäten einzustellen und dazu eine Entschädigung zu zahlen. Im Anklagepunkt „belästigende Telefonanrufe“ sprach sie ein Gericht allerdings schuldig.
Ethical Hacking heute
Hacking lässt sich heute in drei Bereiche unterteilen:
- Black-Hat-Hacker: Sie verfolgen kriminelle Absichten.
- White-Hat-Hacker: Sie suchen Sicherheitslücken und informieren Unternehmen – von denen sie beauftragt wurden – darüber.
- Grey-Hat-Hacker: Eine Mischform. Oft wurden sie von Unternehmen nicht beauftragt, in böser Absicht handeln sie aber nicht.
Das Ethical Hacking wird also von White-Hat-Hackern betrieben. Oft sind die Kunden kleinere und mittlere Unternehmen, die sich eine großangelegte IT-Abteilung samt Sicherheitstechnik nicht leisten können. Auch Start-ups investieren gerne in diesen Service.
Und das hat seine Gründe. Der deutsche Branchenverband Bitkom hat vermeldet, dass 63 Prozent der befragten Firmen mit einem Cyberangriff innerhalb von zwölf Monaten rechnen. Sollte eine erfolgreiche Cyberattacke durchgeführt werden, könnte das für die Hälfte der Unternehmen existenzbedrohend sein. Die Zahl der Cyberangriffe stieg demnach in Deutschland um 27 Prozent. Die verursachten Schäden summierten sich auf 203 Milliarden Euro.
Ethical Hacking/Sicherheitsüberprüfungen kommen Cyberkriminellen zuvor
Ethical Hacking ist eine Möglichkeit, sich vor solchen Angriffen zu schützen. Dabei suchen die Experten nach den Schwachstellen im System. Dafür haben sie zwei Methoden im Einsatz:
- Schwachstellenscanner (z.B. OpenVAS): Diese Art von Scan soll alle Schwachstellen aufzeigen, um diese anschließend wenn möglich beheben zu können. Diese Scans sollten regelmäßig durchgeführt werden, um nach Rücksprache mit dem Auftraggeber Maßnahmen zu ergreifen.
- Honeypot (z.B. OpenCanary): Ein Honeypot ist eine Falle für Hacker. Dabei handelt es sich um eine Software auf einem Server, der nicht produktiv genutzt wird, aber sämtliche Aktivitäten aufzeichnet. So lassen sich Angriffe erkennen und abwehren.
Beide Methoden zielen darauf ab, Unternehmen zu unterstützen, die eine eigene IT-Infrastruktur unterhalten. Die Größe der Firma spielt dabei eine untergeordnete Rolle. KMU fehlt es häufig an den notwendigen Ressourcen – von Zeit über Knowhow bis Geld –, um sich selbst um diese Aufgaben zu kümmern. Großunternehmen haben dafür eine deutlich umfangreichere IT-Infrastruktur, bei der sie ebenfalls Unterstützung gebrauchen können.
Grundlagen des Ethical Hackings
Bei der IT-Security im Allgemeinen und beim Ethical Hacking im Speziellen gilt, dass Experten dann das beste Ergebnis liefern können, wenn es noch nicht zu spät ist. Präventiv zu arbeiten, ist in diesem Sektor der entscheidende Faktor. Dafür braucht es eine stabile Vertrauensbasis zwischen dem Unternehmen und dem Team, das sich um das Ethical Hacking kümmert.
„Ethical Hacking ist für eine IT-Infrastruktur, was ein Crash-Test für Autos ist. Indem wir proaktiv Sicherheitslücken in Systemen identifizieren und beheben, bevor sie von böswilligen Akteuren ausgenutzt werden.“
Heiner Mückstein, CEO Net Professionals
Bei Profis und Experten gelten daher einige Grundprinzipien. Dazu gehört der Respekt vor der Privatsphäre, Diskretion, lückenlose Dokumentation und ein umfassender Service, der alle Leistungen umfasst, die vereinbart sind. Diese Werte gehören zum Selbstverständnis, wenn es um Ethical Hacking geht. Nur deren strenge Einhaltung kann dafür sorgen, dass es eine klare Trennlinie zwischen White-Hat-Hackern auf der einen und Black-Hat-Hackern auf der anderen Seite gibt. Es geht darum, nicht bloß in einer Grauzone zu arbeiten, sondern Unternehmen gezielt beim Thema Cybersecurity zu unterstützen.
Diese klaren Absprachen sind auch aufgrund der Rechtslage notwendig, die es Hackern mit guten Absichten oft schwer machen, legal zu agieren. So wie im Falle des deutschen Software-Dienstleisters Modern Solutions. Das Unternehmen hostet unter anderem die Onlineshops für Otto, Kaufland und Check24. Ein IT-Experte, den einer dieser Kunden beauftragt hatte, entdeckte, dass 700.000 Kundendaten nicht ausreichend geschützt seien. Er meldete den Fehler bei Modern Solutions. Die schlossen zwar die Sicherheitslücke, zeigten den Experten aber auch an, nachdem der die Probleme öffentlich gemacht hat. Jetzt soll es zu einer Verhandlung kommen.
„Der aktuelle Fall verdeutlicht, wie komplex rechtliche und technische Aspekte der Cybersicherheit sind. Hier sind klare Leitlinien, die zu besserem Schutz beitragen, wichtig. Der Fokus sollte darauf gerichtet werden, Technologieinnovation und Sicherheitsbedürfnisse auszubalancieren, um Datenintegrität zu gewährleisten“, bewertet Net Professionals den Fall auf LinkedIn.
Prominente Beispiele
Ethical Hacking ist in Zeiten der weit verbreiteten Digitalisierung nicht mehr aus dem Alltag vieler Unternehmen wegzudenken. So gehören beispielsweise die sogenannte Bug-Bounty-Programme von Facebook und Google zu den bekanntesten Ethical-Hacking-Systemen. Die beiden Internet-Giganten bieten Hackern für das Aufdecken von Sicherheitslücken Belohnungen an. Auch Tesla profitierte schon davon. Im Jahr 2015 hackte ein Team um Sicherheitsforscher Marc Rogers von der Sicherheitsfirma Cloudflare ein Tesla Model S. Sie konnten es stoppen und entriegeln. Tesla reagierte umgehend, behob das Problem und führte ebenfalls ein Bug-Bounty-System ein.
Weniger geschickt hatte sich Sicherheitsberater Chris Roberts angestellt. Er hatte sich in den Jahren 2011 bis 2014 in die Bordcomputer verschiedener Flugzeuge gehackt – nach eigener Angabe „15- bis 20-mal“. Er schaffte es, den Piloten Anweisungen zu Kursänderungen zu geben und konnte das Entertainment-Programm steuern. Dabei deckte er Sicherheitslücken bei drei Boing- und einer Airbus-Maschine auf. Das Problem dabei: Er hatte keinerlei Auftrag. Das FBI nahm ihn fest. Echtes Ethical Hacking geht anders.
