Hacker-FAQ

Fragen und Antworten zum Ethical Hacking

Dr. Martin Stemplinger ist Senior Security Consultant bei BT Global Services in Deutschland.
Um ihre Systeme auf Sicherheitslücken prüfen zu lassen, können Unternehmen Ethical Hacker anheuern. Was damit gemeint ist, warum die Nachfrage nach solchen Dienste steigt und was Anwender dabei beachten müssen, zeigen die Antworten auf folgende Fragen.

Was versteht man unter "Ethical Hacking"?

Ethical Hacker sind Sicherheitsexperten, die Hackerangriffe auf die Systeme von Unternehmen und Behörden simulieren, um zu testen, ob die jeweilige Konfiguration dem Angriff standhalten kann. Mit Hilfe von sogenannten Penetrationstests identifizieren die externen Experten Sicherheitslücken und Angriffsmöglichkeiten. Sie helfen, sie zu schließen, bevor kriminelle Hacker darauf aufmerksam werden. Ethical Hacker werden daher auch als Penetrationstester, kurz Pentester, bezeichnet.

Wie ein Pentester arbeitet, sehen Sie in folgendem Video:

Um welche Arten von Hackerangriffen geht es dabei?

Die Angriffsszenarien ändern sich ständig. Bei kriminellen Hackern liegen derzeit Phishing-Attacken und Social Engineering im Trend. Um sich nicht aufwändig durch die Sicherheitsmechanismen des Unternehmens hangeln zu müssen, schleusen sich die Angreifer über Fake-Mails mit präparierten Word- oder PDF-Anhängen oder Webseiten, auf denen sich Schadsoftware versteckt, ins Firmennetzwerk ein: Beim Öffnen des Anhangs oder dem bloßen Aufruf der Webseite installiert sich die Schadsoftware automatisch und für die Nutzer unbemerkt, sobald der Nutzer online ist. Beliebte Angriffsziele sind auch mobile Endgeräte, die mit dem Firmennetzwerk verbunden sind.

Wie gehen Ethical Hacker vor?

Wichtig ist zunächst eine umfassende Sicherheitsanalyse als Bestandteil des Sicherheitsmanagements im Unternehmen. Diese zielt darauf ab, Bedrohungen mit Hilfe von Penetrationstests und Vulnerability Scans zu erkennen, ihre Eintrittswahrscheinlichkeit und ihr Schadenspotenzial einzuschätzen und daraus die Risiken für das Unternehmen abzuleiten.

Welche Methoden setzen Ethical Hacker ein?

Der Penetrationstest ist das wichtigste Instrument des Ethical Hacking. Er beinhaltet alle gängigen Methoden, mit denen Hacker versuchen, unautorisiert in ein System oder Netzwerk einzudringen (Penetration). Der Penetrationstest bildet dabei möglichst viele bekannte Angriffsmuster nach und ermittelt so, wie anfällig das System für derartige Angriffe ist. Penetrationstests werden systematisch vorbereitet, geplant und durchgeführt. Im Gegensatz zum automatisch ablaufenden Vulnerability Scan sind manuelle Tests dabei besonders wichtig.

Was ist der Unterschied zwischen einem kriminellen und einem "ethischen" Hacker?

Der Pentester unterscheidet sich in den Methoden nicht von einem "echten" Hacker. Der wesentliche Unterschied ist die Intention des Angriffs: Während kriminelle Hacker betrügerische Absichten hegen, nutzen "ethische" Hacker den Angriff zum Aufdecken von Sicherheitslücken - und werden dafür vom Kunden bezahlt. Einige bevorzugen daher auch Bezeichnungen wie Pentester oder Security Consultant, um sich von den Hackern mit bösen Absichten abzugrenzen.

Ob "ethisch" oder nicht - Hacker arbeiten so, wie Hacker eben arbeiten.
Ob "ethisch" oder nicht - Hacker arbeiten so, wie Hacker eben arbeiten.
Foto: Brian A Jackson - shutterstock.com

Welche Schwachstellen lassen sich über simulierte Attacken aufspüren?

Prinzipiell lassen sich nahezu alle Schwachstellen aufspüren. Besonders wichtig sind natürlich Schwachstellen, die den Zugriff auf schützenswerte Daten ermöglichen wie beispielsweise ein unerlaubtes Ändern der Konfigurationseinstellungen oder das Einschleusen von Schadsoftware über Phishing-Mails. Solche Risiken nehmen zu - nicht nur in Unternehmen, sondern auch in Fahrzeugen, die sich zunehmend zu rollenden Computern wanden. Schon heute verfügt ein neueres Modell über eine Vielzahl von softwaregesteuerten Steuerungssystemen und Infotainment-Funktionen. Ab 2018 ist in Europa eine fest installierte SIM-Karte für Neuwagen Pflicht.