Was ist ein ‚guter’ Hacker?

8. September 2016

Cyber-Attacken bedrohen zunehmend Privatpersonen, Unternehmen und Behörden – die Folgen können immens sein. Um das zu vermeiden, spüren die Experten von TÜViT Schwachstellen auf und sorgen für Sicherheit. #explore fragt kurz bei Dennis Schröder nach.

Was ist eigentlich ein ‚guter’ Hacker und wie geht er vor?

Im Gegensatz zu einem ‚bösen’ Hacker (engl. Black-Hat), der sich im illegalen Bereich bewegt und zum Beispiel auf Eigeninitiative Anwendungen angreift, um sich finanziell zu bereichern, sind ‚gute’ Hacker IT-Sicherheitsexperten (engl. White-Hat), die vom Kunden explizit beauftragt werden und somit im legalen Bereich bleiben. Neben dem ethischen Kodex unterscheiden sich die beiden Lager also im Wesentlichen durch ihre Motivation. Der ‚gute’ Hacker identifiziert Schwachstellen im Auftrag des Kunden und gibt praktische Empfehlungen, wie diese behoben werden können. Während der ‚böse’ Hacker die gewonnenen Informationen ausschließlich zu seinem eigenen Vorteil nutzt. Bei TÜViT arbeiten IT-Sicherheitsprofis im Auftrag von Unternehmen und Behörden. Dementsprechend führen sie sogenannte Penetrationstests als abgestimmte ‚Hackerangriffe’ durch, um die Wirksamkeit der bestehenden IT-Sicherheitsmaßnahmen zu überprüfen. Die IT-Sicherheitsexperten von TÜViT kommen branchenübergreifend in verschiedenen Prüf- und Zertifizierungsverfahren zum Einsatz – zum Beispiel im Handel, in der Logistik, in der Industrie, im Finanz- und Versicherungswesen, im Automobilbereich sowie in der Telekommunikationsbranche und Behördenumfeld.

Was müssen diese IT-Sicherheitsexperten können?

Die Anforderungen sind hoch – neben den Soft-Skills müssen sich die IT-Sicherheitsprofis tief in verschiedenen Fachdisziplinen der ‚offensiven’ und ‚defensiven’ IT-Sicherheit auskennen. Dazu zählen neben System-, Netzwerk- und Anwendungssicherheit auch Mobile und Industrial Security sowie spezifische Produktkenntnisse über Sicherheitslösungen wie Web Application Firewalls, Client- und Serverbetriebssysteme sowie kryptografische Algorithmen, Skript- und Programmiersprachen. Ganz wichtig sind außerdem Kreativität und Leidenschaft für IT-Sicherheit, um den jeweiligen projektspezifischen Herausforderungen gerecht zu werden. Denn, es gibt kein einheitliches Schema F, mit dem sich Systeme, Netzwerke oder Anwendungen erfolgreich hacken oder übernehmen lassen! Begeisterung, Ehrgeiz, Ausdauer, Know-how, fokussiertes Arbeiten und Diskretion runden das ideale Profil eines ‚guten’ Hackers ab.

Wie sieht so ein Penetrationstest aus?

Penetrationstests können höchstindividuell auf Kundenbedürfnisse und -anforderungen abgestimmt werden. In Abhängigkeit der jeweiligen Ausprägungsart des Penetrationstests werden beispielsweise die externen Netzwerkzugänge inklusive der verschiedenen Webanwendungen auf Sicherheitslücken analysiert. Die zugrundeliegende Informationsbeschaffung über die Ziele ist mit einem Puzzle-Spiel vergleichbar: der IT-Sicherheitsexperte sucht im Netz nach Informationen, um diese zu brauchbaren Erkenntnissen zusammenzusetzen. Besonders hilfreich sind dabei oft auch soziale Netzwerke. Denn Mitarbeiterprofile und Stellenausschreibungen geben Aufschluss darüber, welche Hard- und Softwarekomponenten die jeweilige Organisation einsetzt. Ein vollständiges Bild ergibt sich daraus nicht zwangsläufig, aber für den ersten Eindruck und die ersten aktiven Angriffe zur weiteren Informationsgewinnung reicht es.

Grundsätzlich stellen wir häufig fest, dass sich branchenübergreifend viele Organisationen sicher fühlen, da sie erhebliche finanzielle Mittel in IT-Sicherheitsprodukte investiert haben und die IT-Infrastruktur für den Endanwender ohne größere Ausfälle funktioniert. Dieser Eindruck kann täuschen, sofern der implementierte Maßnahmen-Mix nicht praktischen Angriffen von erfahrenen IT-Sicherheitsexperten, sondern lediglich theoretischen Überlegungen und Plausibilitätsprüfungen standhält. Gerade nicht bedachte Angriffsszenarien sowie fehlende oder unzureichende Verzahnung von Sicherheitsmaßnahmen führen oft zu kritischen Schwachstellen, die von Angreifern jeglicher Couleur ausgenutzt werden können. Diese Sicherheitslücken zu identifizieren und Empfehlungen auszusprechen, wie sie geschlossen werden können, ist Ziel von Penetrationstests.