Freund und Hacker - Wie Unternehmen von ethischen Hackern profitieren

Ethische Hacker helfen Unternehmen mit ihrer Expertise Sicherheitslücken zu schliessen. Erfahren Sie, wie die Zusammenarbeit funktioniert.

Feb 4, 2022 - 2 Min.
Picture of: Branka Miljanovic
Branka Miljanovic

Computernerds, die auf die Pirsch nach Sicherheitslücken in fremden Unternehmensnetzwerke gehen, führen garantiert nichts Gutes im Schilde? Das lässt sich so pauschal nicht sagen. Denn sogenannte „ethische Hacker“ kommen mit guten Absichten. Hinter dieser Bezeichnung verbergen sich IT-Spezialisten, die mit ihrem Know-how Unternehmen helfen, unzureichende Sicherheitsmassnahmen aufzuspüren. So unterstützen sie Organisationen neben technischen Lösungen wie Customer and Identity Access Management (CIAM) dabei, sich gegen Eindringlinge zu schützen. Was gute von kriminellen Hackern unterscheidet und worauf es bei der Zusammenarbeit ankommt, erklären wir in diesem Beitrag.

Im Zuge der stark voranschreitenden Digitalisierung ist die Komplexität der IT-Infrastrukturen in Unternehmen und auch Behörden stark angewachsen. Auch werden immer mehr sensible Benutzerdaten digital gespeichert. Deshalb spielt das Thema Cybersicherheit eine immer grössere Rolle. 

Beim Kampf gegen die Cyberangreifer können die Verantwortlichen sich Hilfe von unabhängigen Hacking-Spezialisten holen, die ihre Programmier- und IT-Kenntnisse in den Dienst der guten Sache stellen. Sie unterstützen so die internen IT-Teams, die oft ohnehin mehr als genug zu tun haben.

White-Hat-Hacker vs Black-Hat-Hacker

Ethische Hacker werden in Anlehnung an die klassische Unterteilung zwischen Gut und Böse im Western auch White-Hat-Hacker genannt. Sie unterscheiden sich von ihren kriminellen Gegenspielern, den Black-Hat-Hackern, dadurch, dass sie von den Unternehmen offiziell beauftragt werden, in deren IT-Systeme einzubrechen. Da die „Opfer“ also quasi zustimmen, wird diese Form des Hackens als ethisch akzeptabel angesehen. 

Bei ihrem Tun geht es den ethischen Hackern darum, Schwachstellen in digitalen Systemen zu finden, bevor es die Black-Hat-Hacker tun. Dabei legen sie den Fokus zum Beispiel auf Sicherheitslücken in der Programmierung von Software für Webanwendungen oder auch die Überprüfung der Hardware auf Sicherheitsrisiken. White-Hat-Hacker können zudem Schwachstellen bei der Konfigurierung von Software-Produkten in Unternehmen aufdecken. Zwar sind die Produkte der meisten Hersteller so sicher wie möglich, doch damit ist nur ein Teilaspekt der Sicherheit abgedeckt. Die richtige Konfiguration im Betrieb stellt die Verantwortlichen oft vor eine Herausforderung und technische Lösungen sind – fürs Erste jedenfalls – noch nicht in der Lage, alle Fehler aufzudecken. 

Die grundlegenden Unterschiede zwischen ethischem Hacking und „normalem“ Hacking liegen also in den Gründen und Rahmenbedingungen für den Hack. Ziel der White-Hat-Hacker ist es, konstruktiv zu helfen, digitale Infrastrukturen und sensible Daten vor Angriffen von aussen zu schützen. 

Black-Hat-Hacker handeln im Gegensatz dazu aus niederen Beweggründen. Ihnen geht es beispielsweise um persönliche Bereicherung oder das Erbeuten vertraulicher Daten. Dafür unterwandern sie Sicherheitssysteme oder zerstören diese sogar. 

Rein technisch betrachtet nutzen sowohl die konstruktiven als auch die destruktiven Hacker allerdings oft das gleiche Know-how und die gleichen Techniken. 

So funktioniert die Zusammenarbeit mit ethischen Hackern 

Wer die Zusammenarbeit mit einem ethischen Hacker in Erwägung zieht, kann diesen auf anerkannten Vermittlungsplattformen, auch Bug-Bounty-Plattformen genannt, finden. Die Bezahlung erfolgt üblicherweise über ein Prämienmodell, das heisst, die Hacker erhalten nur eine Prämie, wenn sie Schwachstellen finden, und die Höhe des gezahlten Betrags ist von der Schwere der Sicherheitslücken abhängig.

Grundsätzlich ist das Eindringen auch der ethischen Hacker in ein fremdes System natürlich illegal. Bevor sie ans Werk gehen, müssen sich Auftraggeber und Hacker daher per Vertrag rechtlich absichern. Darin wird genau definiert, was die White-Hat-Hacker im Einzelnen dürfen und was nicht.

Als vorbeugende Strategie gegen böswillige Angriffe ist das Engagement ethischer Hacker durchaus empfehlenswert. Schliesslich besteht bei ihnen als externen Experten zum Beispiel nicht die Gefahr der Betriebsblindheit. Zudem verfügen sie über Know-how, das insbesondere in kleinen und mittleren Unternehmen oft gar nicht vorhanden ist. 

Allerdings sollten Auftraggeber sich über eins im Klaren sein: Auch bei einem ethischen Hack, bei dem sich an alle vertraglichen Vorgaben gehalten wird, besteht ein gewisses Risiko, dass es zu negativen Folgen wie Systembeeinträchtigungen oder gar Abstürzen kommt. 

Was können Unternehmen zusätzlich zu ihrem Schutz tun? 

Unabhängig von der Beauftragung ethischer Hacker können Organisationen und Unternehmen selbst an zahlreichen Stellschrauben drehen, um sich gegen destruktive Angriffe zu wappnen. Zu den – auch von ethischen Hackern empfohlenen – Massnahmen gehört, dass Betriebssysteme und Software immer up to date gehalten werden und dass die Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA) genutzt wird. Gerade beim Thema Login wird vielfach noch allein auf unsichere Passwörter gesetzt. Besser ist es, im Rahmen der gewählten CIAM-Lösung nicht nur auf 2FA / MFA zu vertrauen, sondern gleich auf Passwörter zu verzichten und die biometrische Authentifizierung zu verwenden. Des Weiteren sollten Unternehmen immer die Herstellervorgaben bei verwendeter Software beachten und ihre Mitarbeiter für Cybergefahren etwa durch Phishing-Mails sensibilisieren.

 

Cyber-Kriminalität – wie Sie Ihr Unternehmen schützen!