Ethischer Hacker

Ein ethischer Hacker, auch White Hat Hacker genannt, ist ein Informationssicherheitsexperte, der systematisch versucht, im Namen der Eigentümer - und mit deren Erlaubnis - in ein Computersystem,Netzwerk, eine Anwendung oder eine andere Computerressource einzudringen, um Sicherheitslücken zu finden, die ein böswilliger Hacker möglicherweise ausnutzen könnte.
Der Zweck des ethischen Hackens besteht darin, die Sicherheit von Systemen, Netzwerken oder Systeminfrastrukturen zu bewerten und Schwachstellen zu identifizieren. Dazu gehört das Auffinden und der Versuch, Schwachstellen auszunutzen, um festzustellen, ob unbefugter Zugriff oder andere böswillige Aktivitäten möglich sind.
Ethische Hacker setzen ihre Fähigkeiten und viele der gleichen Methoden und Techniken ein, um die IT-Sicherheit von Organisationen zu testen und zu umgehen wie ihre unethischen Kollegen, die als "Black Hat Hacker" bezeichnet werden. Anstatt jedoch die von ihnen gefundenen Schwachstellen zu ihrem persönlichen Vorteil auszunutzen, dokumentieren ethische Hacker diese und geben Ratschläge, wie sie behoben werden können, damit die Organisationen ihre Sicherheit insgesamt stärken können.
Ethische Hacker finden Sicherheitsrisiken im Allgemeinen in unsicheren Systemkonfigurationen, bekannten und unbekannten Hardware- oder Software-Schwachstellen sowie betrieblichen Schwächen in Prozessen oder technischen Gegenmaßnahmen.
Jede Organisation, die über ein mit dem Internet verbundenes Netzwerk verfügt oder einen Online-Dienst anbietet, sollte erwägen, dieses einem Penetrationstest durch ethische Hacker zu unterziehen.

Einsatz von ethischem Hacking

Es gibt eine Reihe von Möglichkeiten, wie ethische Hacker Organisationen helfen können, darunter Schwachstellen zu finden. Ethische Hacker helfen Unternehmen dabei, festzustellen, welche ihrer IT-Sicherheitsmaßnahmen wirksam sind, welche aktualisiert werden müssen und welche Schwachstellen enthalten, die ausgenutzt werden können. Wenn ethische Hacker die Systeme von Organisationen zu Ende bewertet haben, berichten sie den Unternehmensleitern über diese verwundbaren Bereiche, z.B. über einen Mangel an ausreichender Passwortverschlüsselung, unsichere Anwendungen oder ungeschützte Systeme mit ungepatchter Software. Organisationen können die Daten aus diesen Tests nutzen, um fundierte Entscheidungen darüber zu treffen, wo und wie sie ihre Sicherheitshaltung verbessern können, um Cyberattacken zu verhindern.
Demonstration der von Cyberkriminellen verwendeten Methoden. Diese Demonstrationen zeigen Führungskräften die Hacking-Techniken, die böswillige Akteure einsetzen, um ihre Systeme anzugreifen und ihre Unternehmen zu vernichten. Unternehmen, die über fundierte Kenntnisse der Methoden verfügen, mit denen die Angreifer in ihre Systeme einbrechen, sind besser in der Lage, sie daran zu hindern.
Hilfe bei der Vorbereitung auf einen Cyberattack. Cyberangriffe können ein Unternehmen, insbesondere ein kleines Unternehmen, lahmlegen oder zerstören. Die meisten Unternehmen sind jedoch völlig unvorbereitet auf Cyberattacken. Ethische Hacker verstehen, wie die Akteure der Bedrohung arbeiten, und sie wissen, wie diese schlechten Akteure neue Informationen und Techniken nutzen werden, um Systeme anzugreifen. Sicherheitsexperten, die mit ethischen Hackern arbeiten, sind besser in der Lage, sich auf zukünftige Angriffe vorzubereiten, da sie besser auf die sichständig ändernde Natur der Online-Bedrohungen reagieren können.

Ethische Hacker-Techniken

Ethische Hacker verwenden im Allgemeinen dieselben Hacker-Fähigkeiten, die böswillige Akteure für Angriffe auf Unternehmen einsetzen. Einige dieser Hacking-Techniken sind:

Scannen von Ports, um Schwachstellen zu finden. Ethische Hacker verwenden Port-Scanning-Tools wie Nmap, Nessus oder Wireshark, um die Systeme eines Unternehmens zu scannen, offene Ports zu identifizieren, die Schwachstellen der einzelnen Ports zu untersuchen und Abhilfemaßnahmen zu ergreifen.
Sie überprüfen Patch-Installationsprozesse, um sicherzustellen, dass sie keine neuen Schwachstellen in der aktualisierten Software einführen, die ausgenutzt werden können.
Durchführen von Analysen des Netzwerkverkehrs und Sniffing mit Hilfe geeigneter Tools.
Versuche, Intrusion Detection-Systeme, Intrusion Prevention-Systeme, Honeypots und Firewalls zu umgehen.
Ethische Hacker verlassen sich auch auf Social Engineering-Techniken, um Endbenutzer zu manipulieren und Informationen über die Computerumgebung eines Unternehmens zu erhalten. Wiedie Black-Hat-Hacker stöbern ethische Hacker durch Postings in sozialen Medien oder GitHub, verwickeln Mitarbeiter in Phishing-Angriffe per E-Mail oder durchstreifen Räumlichkeiten mit einer Zwischenablage, um Schwachstellen in der physischen Sicherheit auszunutzen. Es gibt jedoch Social-Engineering-Techniken, die ethische Hacker nicht einsetzen sollten, wie z.B. physische Bedrohungen der Mitarbeiter oder andere Arten von Erpressungsversuchen.

Wie man ein ethischer Hacker wird

Es gibt keine Standardausbildungskriterien für einen ethischen Hacker, so dass eine Organisation ihreeigenen Anforderungen für diese Position festlegen kann. Diejenigen, die an einer Karriere als ethischer Hacker interessiert sind, sollten einen Bachelor- oder Master-Abschluss in Informationssicherheit, Informatik oder sogar Mathematik als starke Grundlage in Betracht ziehen.
Personen, die nicht vorhaben, ein College zu besuchen, können eine Karriere in der Informationssicherheit beim Militär in Betracht ziehen. Viele Organisationen betrachten einen militärischen Hintergrund als ein Plus bei der Einstellung von Mitarbeitern im Bereich der Informationssicherheit, und einige Organisationen müssen Personen mit Sicherheitsfreigaben einstellen.
Andere technische Fächer wie Programmierung, Skripting, Netzwerk- und Hardware-Engineering können denen helfen, die eine Karriere als ethische Hacker anstreben, indem sie ein grundlegendes Verständnis der zugrunde liegenden Technologien bieten, die die Systeme bilden, an denen sie arbeiten werden. Andere einschlägige technische Fähigkeiten umfassen Systemadministration und Softwareentwicklung.

Zertifizierte ethische Hacker

Es gibt eine Reihe von Zertifizierungen für ethisches Hacking sowie IT-Zertifizierungen in Bezug auf Sicherheit, die Einzelpersonen dabei helfen können, ethische Hacker zu werden:
Zertifizierter Ethischer Hacker (CEH): Hierbei handelt es sich um eine herstellerneutrale Zertifizierung des EC-Council, einer der führenden Zertifizierungsstellen. Diese Sicherheitszertifizierung, die bestätigt, wie viel der Einzelne über die Netzwerksicherheit weiß, ist am besten für die Rolle eines Penetrationstesters geeignet. Diese Zertifizierung deckt mehr als 270 Angriffstechnologien ab. Voraussetzung für diese Zertifizierung ist die Teilnahme an einer offiziellen Schulung, die vom EC-Council oder seinen Mitgliedsorganisationen angeboten wird, sowie eine mindestens zweijährige Erfahrung im Bereich der Informationssicherheit.
Zertifizierter Prüfer für Informationssysteme (CISA): Diese Zertifizierung wird von ISACA angeboten,einem gemeinnützigen, unabhängigen Verband, der sich für Fachleute auf dem Gebiet der Informationssicherheit, -sicherung, -risikomanagement und -verwaltung einsetzt. Die Prüfung bescheinigt die Kenntnisse und Fähigkeiten von Sicherheitsexperten. Um sich für diese Zertifizierung zu qualifizieren, müssen die Kandidaten über fünf Jahre Berufserfahrung im Bereich der Prüfung, Kontrolle oder Sicherheit von Informationssystemen verfügen.
Zertifizierter Informationssicherheitsmanager (CISM): CISM ist eine fortgeschrittene Zertifizierung, die von ISACA angeboten wird und eine Validierung für Personen bietet, die die vertieften Kenntnisseund Erfahrungen nachgewiesen haben, die für die Entwicklung und Verwaltung eines Unternehmensinformationssicherheitsprogramms erforderlich sind. Die Zertifizierung richtet sich an Informationssicherheitsmanager, angehende Manager oder IT-Berater, die das Management von Informationssicherheitsprogrammen unterstützen.
GIAC Sicherheitsgrundlagen (GSEC): Diese Zertifizierung, die von der Global Information Assurance Certification-Organisation erstellt und verwaltet wird, richtet sich an Sicherheitsexperten, die nachweisen möchten, dass sie für praktische Aufgaben im Bereich der Sicherheitsaufgaben in IT-Systemen qualifiziert sind. Die Kandidaten müssen nachweisen, dass sie Informationssicherheit über einfache Terminologie und Konzepte hinaus verstehen.

Über den Autor: Uwe Poltoranin
Datenschutzbeauftragter (DGI / bitkom) Datenschutzbeauftragter (TüV Rheinland Akademie) IT-Sicherheitsbeauftragter (TüV Rheinland Akademie)
BSI Grundschutz Praktiker (DGI), ISMS-Prüfer / leitender Prüfer nach ISO / IEC 27001 ( ISACA), IT-Risikomanager (DGI)
Projektmanagement IPMA® Level C, ITIL®Foundation Level, PRINCE2® Foundation Level, Certified Scrum Master - Scrum Product Owner
Nach oben scrollen