Security

White Hat Hacker spüren Sicherheitslücken auf

Gute Hacker – und wo man sie findet
Keine Kommentare

Ethische Hacker sollen Schwachstellen in Sicherheitsnetzwerken entdecken und entsprechend ausnutzen, um mögliche Probleme aufzudecken. Aber wo finden Unternehmen solche White Hat Hacker?

Cyberangriffe nehmen ständig zu und Hacker werden immer raffinierter. So fällt es Unternehmen immer schwerer, mit den sich schnell verändernden kriminellen Motiven und Methoden Schritt zu halten. Verschärft wird das Problem durch neue Technologien wie IoT, welche die möglichen Angriffsflächen erweitern. Gleichzeitig wandern enorme Mengen an geschäftskritischen Daten und Anwendungen in die Cloud, wodurch möglicherweise weitere Bereiche ungeschützt sind.

Bei der Absicherung von Anwendungen ist es aber besonders wichtig, jeden möglichen Angriffsvektor zu berücksichtigen. Obwohl Sicherheitsarchitekten über ein umfassendes Wissen über branchenspezifische Best Practices verfügen, fehlt es ihnen oft an Erfahrungen aus erster Hand, wie Angreifer verschiedene Methoden verknüpfen oder sich Zugang zu Unternehmensnetzwerken verschaffen. Um die Denkweisen der Cyberkriminellen zu verstehen, versuchen viele Unternehmen, Feuer mit Feuer zu bekämpfen – und greifen auf ethische „White Hat Hacker“ zurück.

Diese ethischen Hacker sollen Schwachstellen in Sicherheitsnetzwerken entdecken und ausnutzen, um mögliche Probleme aufzudecken. Allerdings dürfen sie dann natürlich keinen Schaden anrichten, sondern helfen dabei mit, die gefundenen Schwachstellen zu beheben und die Abwehrmaßnahmen zu verbessern. Die gefundenen Sicherheitslücken und entwickelten Fixes werden in der Regel dem Hersteller und / oder der Community offengelegt.

Hacker sind Spitzenverdiener

Laut dem Hacker Report 2019 hat sich die weltweite White Hat Hacker Community im Vergleich zum Vorjahr verdoppelt. Demnach wurden im vergangenen Jahr 19 Millionen US-Dollar an Preisgeldern für entdeckte Sicherheitslücken ausgezahlt. Dies entspricht fast dem Betrag, der in den letzten sechs Jahren an „gute“ Hacker gezahlt wurde. Zudem schätzt der Bericht, dass ethische Hacker bis zu vierzigmal mehr verdienen können als den mittleren Jahreslohn eines Softwareentwicklers im jeweiligen Land.

Aber wo finden Unternehmen solche White Hat Hacker? Üblich ist hier ein „Bug-Bounty“-Modell mit strengen Bedingungen für die Fehlersuche. Im Prinzip kann dann jeder nach Schwachstellen suchen und diese einreichen, um eine Chance auf die Prämie zu erhalten. Das Modell eignet sich zum Beispiel für öffentlich zugängliche Dienste wie Websites oder mobile Apps. Sobald die betroffene Organisation den Anspruch anerkannt hat, hängt die Höhe der Belohnung vom Grad des wahrgenommenen Risikos ab.

Ein solches Modell bietet offensichtliche Vorteile für beide Seiten. Die Hacker erhalten neben Geld auch Anerkennung in der Community und können ihre Fähigkeiten in einem öffentlichen Forum präsentieren. Das Unternehmen bekommt im Gegenzug Informationen zu möglichen Schwachstellen und Sicherheitsmaßnahmen, um sich vor „bösen“ Hackern zu schützen.

Mögliche Job-Angebote

Unternehmen können besonders engagierten oder erfolgreichen White Hat Hackern ein Job-Angebot unterbreiten. Dies ist zwar nicht ohne Risiko – insbesondere bei einer möglicherweise kriminellen Vergangenheit des Kandidaten. Aber er besitzt praktische Erfahrung und kann sich in die Denkweisen von Angreifern hineinversetzen. Letztlich sollte die Entscheidung von Fall zu Fall getroffen werden.

Zu bedenken ist dabei, dass Überprüfungen zum kriminellen Hintergrund nur helfen, frühere Täter zu identifizieren. Doch sie sagen meist nichts darüber aus, ob sich eine Person verändert hat. Beispielsweise gilt es als unwahrscheinlich, dass jemand zu einem internationalen Berufsverbrecher mutiert ist, der in jungen Jahren wegen eines Denial-of-Service-Angriffs angeklagt wurde. Tatsächlich werden einige junge IT-Straftäter oft zu angesehenen Sicherheitsberatern und Vordenkern der Branche.

Aber auch im eigenen Unternehmen lassen sich potenzielle White Hat Hacker finden. Die entsprechenden IT-Experten sollten neugierig sein sowie möglichen Problemen exakt auf den Grund gehen. Insbesondere Entwickler von Anwendungen, Code und Netzwerkinfrastruktur kennen vielleicht schon Schwachstellen, melden diese aber nicht, da das Unternehmen Fehler nicht toleriert oder keine entsprechenden Prozesse besitzt. Doch Entscheidungsträger benötigen alle Erkenntnisse und Unterstützung, die bereits vorhanden ist, aber noch in den Köpfen schlummert.

Hacking as a Service

Zusätzlich können Unternehmen heute auf zertifizierte Dienstleister zurückgreifen. Zu den wichtigsten Qualifikationen gehören Certified Ethical Hacker (CEH), Offensive Security Certified Professional (OSCP) oder Global Information Assurance Certifications (GIAC). Viele erfahrene Hacker belächeln solche Bezeichnungen oder lehnen sie rundweg ab. Doch in Zukunft wird sich ethisches Hacking zunehmend als Service etablieren, da der Bedarf ständig steigt.

Unabhängig von Name oder Methode bleibt aber letztlich ein Hacker ein Hacker. Der einzige Unterschied liegt in dem, was er tut, nachdem er eine Schwachstelle gefunden hat. Nur dies trennt die „guten“ von den „bösen“ Hackern. Das sollte Unternehmen bewusst sein.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -