Was ist ein ethischer Hacker?

Es ist leicht, die einfache Ansicht zu vertreten, dass alle Hacker Bösewichte sind, die Datenschutzverletzungen verursachen und Ransomware einsetzen wollen. Das stimmt allerdings nicht. Es gibt viele bösartige Hacker da draußen. Einige Hacker nutzen ihre Fähigkeiten ethisch und legal. Ein „ethischer Hacker“ ist ein Hacker, der im Rahmen einer rechtlichen Vereinbarung mit dem rechtmäßigen Systembesitzer hackt.

Tipp: Als Gegenteil eines Black-Hat-Hackers wird ein ethischer Hacker oft als White-Hat-Hacker bezeichnet.

Der Kern davon ist ein Verständnis dafür, was Hacking illegal macht. Obwohl es auf der ganzen Welt Unterschiede gibt, laufen die meisten Hacking-Gesetze darauf hinaus, dass „es illegal ist, auf ein System zuzugreifen, wenn man dazu keine Erlaubnis hat.“ Das Konzept ist einfach. Die eigentlichen Hacking-Aktionen sind nicht illegal; es geschieht einfach ohne Erlaubnis. Das bedeutet aber, dass Ihnen die Erlaubnis erteilt werden kann, etwas zu tun, was andernfalls illegal wäre.

Diese Erlaubnis kann nicht einfach von einer beliebigen Person auf der Straße oder online kommen. Es kann nicht einmal von der Regierung kommen ( obwohl Geheimdienste nach etwas anderen Regeln arbeiten ). Die Erlaubnis muss vom rechtmäßigen Systembesitzer erteilt werden.

Tipp: Um es klarzustellen: „rechtmäßiger Systembesitzer“ bezieht sich nicht unbedingt auf die Person, die das System gekauft hat. Es bezieht sich auf jemanden, der rechtmäßig die rechtliche Verantwortung hat zu sagen; Das ist in Ordnung für dich. In der Regel handelt es sich hierbei um den CISO, den CEO oder den Vorstand, die Befugnis zur Erteilung von Genehmigungen kann jedoch auch weiter unten in der Kette delegiert werden.

Die Erlaubnis könnte zwar auch einfach mündlich erteilt werden, dies geschieht jedoch nie. Da die Person oder Firma, die den Test durchführt, rechtlich haftbar wäre, wenn sie das testet, was sie nicht tun sollte, ist ein schriftlicher Vertrag erforderlich.

Handlungsspielraum

Die Bedeutung des Vertrags kann nicht genug betont werden. Es ist das Einzige, was den Hacking-Aktionen des ethischen Hackers die Legalität verleiht. Die Vertragserteilung stellt eine Entschädigung für die festgelegten Maßnahmen und die festgelegten Ziele dar. Daher ist es wichtig, den Vertrag und dessen Inhalt zu verstehen, da ein Verlassen des Vertragsumfangs einen Verstoß gegen den Geltungsbereich der gesetzlichen Entschädigung und einen Verstoß gegen das Gesetz bedeutet.

Wenn ein ethischer Hacker den Geltungsbereich des Vertrags verlässt, begibt er sich auf einen juristischen Drahtseilakt. Alles, was sie tun, ist technisch gesehen illegal. In vielen Fällen wäre ein solcher Schritt zufällig und würde sich schnell von selbst bemerkbar machen. Bei richtiger Handhabung stellt dies möglicherweise nicht unbedingt ein Problem dar, kann aber je nach Situation durchaus ein Problem sein.

Der angebotene Vertrag muss nicht unbedingt speziell zugeschnitten sein. Einige Unternehmen bieten ein Bug-Bounty-Programm an. Dazu gehört die Veröffentlichung eines offenen Vertrags, der es jedem erlaubt, zu versuchen, sein System ethisch zu hacken, solange er sich an die festgelegten Regeln hält und jedes von ihm festgestellte Problem meldet. Das Melden von Problemen wird in diesem Fall in der Regel finanziell belohnt.

Arten von ethischem Hacking

Die Standardform des ethischen Hackings ist der „Penetrationstest“ oder Pentest. Dabei werden ein oder mehrere ethische Hacker eingesetzt, um zu versuchen, in die Sicherheitsmaßnahmen eines Systems einzudringen. Sobald der Auftrag abgeschlossen ist, berichten die ethischen Hacker, in dieser Rolle Pentester genannt, dem Kunden über ihre Ergebnisse. Der Kunde kann die Details im Bericht nutzen, um die identifizierten Schwachstellen zu beheben. Während Einzel- und Auftragsarbeiten durchgeführt werden können, handelt es sich bei vielen Pentestern um unternehmensinterne Ressourcen oder es werden spezialisierte Pentesting-Firmen beauftragt.

Tipp: Es handelt sich um „Pentesting“, nicht um „Pentesting“. Ein Penetrationstester testet keine Stifte.

In manchen Fällen reicht es nicht aus, zu testen, ob eine oder mehrere Anwendungen oder Netzwerke sicher sind. In diesem Fall können vertiefende Tests durchgeführt werden. Bei einem Red-Team-Einsatz geht es in der Regel darum, ein viel breiteres Spektrum an Sicherheitsmaßnahmen zu testen. Zu den Maßnahmen können das Durchführen von Phishing-Übungen gegen Mitarbeiter, der Versuch, sich durch Social Engineering Zugang zu einem Gebäude zu verschaffen, oder sogar ein physischer Einbruch gehören. Auch wenn jede Übung des Red-Teams unterschiedlich ist, handelt es sich bei dem Konzept in der Regel eher um einen Worst-Case-„Was-wäre-wenn“-Test . Nach dem Motto: „Diese Webanwendung ist sicher, aber was wäre, wenn jemand einfach in den Serverraum geht und die Festplatte mit allen darauf befindlichen Daten mitnimmt.“

So ziemlich jedes Sicherheitsproblem, das einem Unternehmen oder System Schaden zufügen könnte, ist theoretisch anfällig für ethisches Hacken. Dies setzt jedoch voraus, dass der Anlageneigentümer die Genehmigung erteilt und bereit ist, dafür zu zahlen.

Den Bösewichten Dinge geben?

Ethische Hacker schreiben, verwenden und teilen Hacking-Tools, um ihr Leben einfacher zu machen. Es ist berechtigt, die Ethik dieses Vorgehens in Frage zu stellen, da Black Hats diese Werkzeuge nutzen könnten, um noch mehr Chaos anzurichten. Realistisch gesehen kann man jedoch durchaus davon ausgehen, dass die Angreifer bereits über diese Tools oder zumindest über ähnliche Tools verfügen, um ihnen das Leben zu erleichtern. Wenn man keine Tools hat und versucht, es Black Hats schwerer zu machen, verlässt man sich auf Sicherheit durch Unklarheit. Dieses Konzept ist in der Kryptographie und im Großteil der Sicherheitswelt im Allgemeinen äußerst verpönt.

Verantwortungsvolle Offenlegung

Ein ethischer Hacker kann beim Surfen auf einer Website oder bei der Verwendung eines Produkts manchmal auf eine Sicherheitslücke stoßen. In diesem Fall versuchen sie in der Regel, dies verantwortungsvoll dem rechtmäßigen Systembesitzer zu melden. Danach kommt es darauf an, wie mit der Situation umgegangen wird. Die ethische Vorgehensweise besteht darin, dies vertraulich dem rechtmäßigen Systembesitzer mitzuteilen, damit dieser das Problem beheben und einen Software-Patch verteilen kann.

Natürlich ist jeder ethische Hacker auch dafür verantwortlich, die von einer solchen Schwachstelle betroffenen Benutzer zu informieren, damit diese ihre eigenen sicherheitsbewussten Entscheidungen treffen können. Normalerweise wird ein Zeitraum von 90 Tagen ab der privaten Offenlegung als angemessener Zeitraum für die Entwicklung und Veröffentlichung eines Fixes angesehen. Wenn etwas mehr Zeit benötigt wird, können zwar Verlängerungen gewährt werden, dies ist jedoch nicht unbedingt der Fall.

Auch wenn kein Fix verfügbar ist, kann es ethisch vertretbar sein, das Problem öffentlich zu schildern. Dies setzt jedoch voraus, dass der ethische Hacker versucht hat, das Problem verantwortungsvoll offenzulegen, und dass er im Allgemeinen versucht, normale Benutzer zu informieren, damit diese sich schützen können. Während einige Schwachstellen möglicherweise durch funktionierende Proof-of-Concept-Exploits detailliert beschrieben werden, wird dies oft nicht getan, wenn noch kein Fix verfügbar ist.

Auch wenn dies nicht völlig ethisch klingt, kommt es letztendlich dem Benutzer zugute. In einem Szenario steht das Unternehmen unter ausreichendem Druck, eine zeitnahe Lösung zu liefern. Benutzer können auf eine feste Version aktualisieren oder zumindest einen Workaround implementieren. Die Alternative besteht darin, dass das Unternehmen nicht umgehend eine Lösung für ein schwerwiegendes Sicherheitsproblem bereitstellen kann. In diesem Fall kann der Benutzer eine informierte Entscheidung über die weitere Verwendung des Produkts treffen.

Abschluss

Ein ethischer Hacker ist ein Hacker, der im Rahmen der gesetzlichen Beschränkungen handelt. In der Regel werden sie vom legitimen Systembesitzer beauftragt oder anderweitig mit der Erlaubnis beauftragt, ein System zu hacken. Dies geschieht unter der Voraussetzung, dass der ethische Hacker die identifizierten Probleme verantwortungsvoll an den rechtmäßigen Systembesitzer meldet, damit diese behoben werden können. Ethisches Hacking basiert auf dem Prinzip „einen Dieb dazu zu bringen, einen Dieb zu fangen“. Indem Sie das Wissen ethischer Hacker nutzen, können Sie die Probleme lösen, die Black-Hat-Hacker hätten ausnutzen können. Ethische Hacker werden auch als White-Hat-Hacker bezeichnet. Unter bestimmten Umständen können auch andere Begriffe verwendet werden, beispielsweise „Pentester“ für die Einstellung von Fachkräften.