Die gängige Sicherheitspraxis ist unbefriedigend: Auf jede neue Softwareversion antwortet die Hacker-Community mit der Bekanntgabe mindestens einer Schwachstelle. Administratoren spielen Patches ein und der Kreislauf beginnt von Neuem. Das Kräfteverhältnis zwischen den beiden Lagern ist sehr unausgewogen. Während ein Hacker nur eine einzige Sicherheitslücke aufzufinden braucht, um in ein Netzwerk- oder Computersystem einbrechen zu können, tragen Sicherheits- spezialisten die Verantwortung, ihr Sys-tem "rund herum abzudichten". Eine mögliche Sicherheitsmaßnahme ist, in das eigene System einzubrechen, um möglichst viele potentielle Schwachstellen aufzudecken und die Gefahr im Voraus abzuwenden.
Ethical Hacker
Die Bezeichnung "Hacker" wird heutzutage vielfach missverstanden. Mit der übergreifenden Vernetzung von Computern bezeichnete man ursprünglich Computerfreaks als "Hacker", die sich mit den Sicherheitsaspekten von Computern, Netzwerken und Software-Applikationen auseinander setzten. Diese Gruppe galt als andersdenkend, weil ihr Ziel darin bestand, die Möglichkeiten eines Systems bis zum Äußersten auszureizen. Sei es aus intellektuellem Spieltrieb, eigenem Profilierungsdrang oder aufgrund krimineller Energie. Hacker sammeln Informationen über die Schwachstellen von Systemen und veröffentlichen diese innerhalb ihrer Community. Entsprechend unterscheidet man nach heutigem Verständnis verschiedene Gruppierungen von Hackern:
Black Hats, auch als Cracker bekannt, nutzen ihre Fähigkeiten mit krimineller oder destruktiver Absicht. Sie stehlen vertrauliche Daten, beispielsweise Kreditkarteninformationen, um illegale Transaktionen durchzuführen. Sie stehlen digitale Identitäten, um sich im Namen anderer Vorteile zu verschaffen, oder stören die Verfügbarkeit von Diensten (beispielsweise via Denial-of-Services-Angriffe auf Internet-Shops).
White Hats nutzen ihre Fähigkeiten ausschließlich für defensive Zwecke. Meist handelt es sich um unabhängige Security- Consultants, die die Sicherheit im Unternehmen analysieren und entsprechende Gegenmaßnahmen einrichten.
Gray Hats interessieren sich lediglich für die Entdeckung und Publizierung von Schwachstellen. Sie vertreten die Ansicht, dass die Software- und Hardware-Hersteller selbst für die Sicherheit ihrer Produkte zuständig sind und überlassen es dem Schicksal, ob die von ihnen veröffentlichten Informationen im Guten oder im Schlechten eingesetzt werden.
Ein Hacker, der sich mit ausdrücklichem Auftrag der Sicherheitsverantwortlichen eines Unternehmens dafür einsetzt, das Unternehmen vor Angriffen zu schützen, wird als Ethical Hacker bezeichnet. Dabei spielt es keine Rolle, ob das Unternehmen einen White Hat, einen Gray Hat oder einen Black Hat beauftragt, wichtig ist der gemeinsame Ansatz: Ein Ethical Hacker wendet die in der Community üblichen Methoden und Techniken an, schadet dem Unternehmen jedoch nicht und stiehlt keine Information. Er verhält sich ethisch korrekt. Sein Anliegen ist es, ...
