Was versteht man unter "Ethical Hacking"?
Ethical Hacker sind Sicherheitsexperten, die Hackerangriffe auf die Systeme von Unternehmen und Behörden simulieren, um zu testen, ob die jeweilige Konfiguration dem Angriff standhalten kann. Mit Hilfe von sogenannten Penetrationstests identifizieren die externen Experten Sicherheitslücken und Angriffsmöglichkeiten. Sie helfen, sie zu schließen, bevor kriminelle Hacker darauf aufmerksam werden. Ethical Hacker werden daher auch als Penetrationstester, kurz Pentester, bezeichnet.
Wie ein Pentester arbeitet, sehen Sie in folgendem Video:
Um welche Arten von Hackerangriffen geht es dabei?
Die Angriffsszenarien ändern sich ständig. Bei kriminellen Hackern liegen derzeit Phishing-Attacken und Social Engineering im Trend. Um sich nicht aufwändig durch die Sicherheitsmechanismen des Unternehmens hangeln zu müssen, schleusen sich die Angreifer über Fake-Mails mit präparierten Word- oder PDF-Anhängen oder Webseiten, auf denen sich Schadsoftware versteckt, ins Firmennetzwerk ein: Beim Öffnen des Anhangs oder dem bloßen Aufruf der Webseite installiert sich die Schadsoftware automatisch und für die Nutzer unbemerkt, sobald der Nutzer online ist. Beliebte Angriffsziele sind auch mobile Endgeräte, die mit dem Firmennetzwerk verbunden sind.
Wie gehen Ethical Hacker vor?
Wichtig ist zunächst eine umfassende Sicherheitsanalyse als Bestandteil des Sicherheitsmanagements im Unternehmen. Diese zielt darauf ab, Bedrohungen mit Hilfe von Penetrationstests und Vulnerability Scans zu erkennen, ihre Eintrittswahrscheinlichkeit und ihr Schadenspotenzial einzuschätzen und daraus die Risiken für das Unternehmen abzuleiten.
Welche Methoden setzen Ethical Hacker ein?
Der Penetrationstest ist das wichtigste Instrument des Ethical Hacking. Er beinhaltet alle gängigen Methoden, mit denen Hacker versuchen, unautorisiert in ein System oder Netzwerk einzudringen (Penetration). Der Penetrationstest bildet dabei möglichst viele bekannte Angriffsmuster nach und ermittelt so, wie anfällig das System für derartige Angriffe ist. Penetrationstests werden systematisch vorbereitet, geplant und durchgeführt. Im Gegensatz zum automatisch ablaufenden Vulnerability Scan sind manuelle Tests dabei besonders wichtig.
Was ist der Unterschied zwischen einem kriminellen und einem "ethischen" Hacker?
Der Pentester unterscheidet sich in den Methoden nicht von einem "echten" Hacker. Der wesentliche Unterschied ist die Intention des Angriffs: Während kriminelle Hacker betrügerische Absichten hegen, nutzen "ethische" Hacker den Angriff zum Aufdecken von Sicherheitslücken - und werden dafür vom Kunden bezahlt. Einige bevorzugen daher auch Bezeichnungen wie Pentester oder Security Consultant, um sich von den Hackern mit bösen Absichten abzugrenzen.
Foto: Brian A Jackson - shutterstock.com
Welche Schwachstellen lassen sich über simulierte Attacken aufspüren?
Prinzipiell lassen sich nahezu alle Schwachstellen aufspüren. Besonders wichtig sind natürlich Schwachstellen, die den Zugriff auf schützenswerte Daten ermöglichen wie beispielsweise ein unerlaubtes Ändern der Konfigurationseinstellungen oder das Einschleusen von Schadsoftware über Phishing-Mails. Solche Risiken nehmen zu - nicht nur in Unternehmen, sondern auch in Fahrzeugen, die sich zunehmend zu rollenden Computern wanden. Schon heute verfügt ein neueres Modell über eine Vielzahl von softwaregesteuerten Steuerungssystemen und Infotainment-Funktionen. Ab 2018 ist in Europa eine fest installierte SIM-Karte für Neuwagen Pflicht.
Wie gehen Pentester bei einem vernetzten Fahrzeug vor?
Um ein vernetztes Fahrzeug zu testen, müssen alle im Innern des Wagens zugänglichen Schnittstellen unter die Lupe genommen werden - etwa Bluetooth- und USB-Ports sowie DVD-Laufwerke -, aber auch externe Verbindungen wie mobile Netzwerke oder Ladestecker. Hinzu kommen die externen Systeme, die mit dem Fahrzeug verbunden sind - zum Beispiel die Laptops von Wartungstechnikern und die Server der Infotainment-Anbieter.
Wie sieht es in der Finanzbranche aus?
Finanzinstitute wie Banken und Versicherungsunternehmen verfügen über eine Vielzahl wertvoller und hoch sensibler Kundendaten, was sie zu einem der begehrtesten Ziele für Hacker und Cyberkriminelle macht. Ethical Hacker von BT sind beispielsweise bereits seit rund 20 Jahren für die Branche im Einsatz und haben in dieser Zeit zahlreiche Schwachstellen aufgedeckt - und geholfen sie zu schließen. So gelang es den Pentestern unter anderem, Zugang zu Datenbanken mit zehntausenden von Kreditkartennummern zu bekommen, sie konnten Geldbeträge zwischen unautorisierten Testkonten transferieren und firmeneigene Verschlüsselungsverfahren durch "Reverse Engineering" überwinden. Ein Klassiker ist natürlich auch in dieser Branche das Phishing: So konnten unsere Sicherheitsexperten sich mit Hilfe gefälschter E-Mails, die von arglosen Mitarbeitern geöffnet wurden, Administratorenrechte verschaffen.
Ist Ethical Hacking legal?
Grundsätzlich ist das unautorisierte Eindringen in ein Firmennetzwerk in Deutschland eine Straftat. Zulässig ist Ethical Hacking nur, wenn der Auftraggeber ausdrücklich sein Einverständnis erklärt, dass in seinem Unternehmen Sicherheitsanalysen und Penetrationstests vollzogen werden. Diese Erklärung sollte von einer vertretungsberechtigten Person im Unternehmen - etwa dem Geschäftsführer oder Prokuristen - stammen. Mit einer entsprechenden Vollmacht kann auch der IT-Leiter die offizielle Zustimmung zum Ethical Hacking erteilen. Ausführliche Informationen dazu, was Ethical Hacker und Pentester dürfen oder nicht dürfen, finden Sie in unserem Beitrag "Was Security Analysts dürfen und was nicht".
Was sollte im Dienstleistungsvertrag geregelt sein?
Geregelt werden sollte, wann und in welchem Zeitraum die Penetrationstests und Analysen stattfinden. Weitere wichtige Punkte sind Risikoklassifizierungen der Tests, eingesetzte Techniken (Netzwerkzugang, physischer Zugang, Social Engineering etc.), die Abgrenzung zu Systemen, die von den Tests ausgeschlossen sind sowie Angaben über Aggressivität und Umfang der Tests. Enthalten sein muss auch eine Geheimhaltungsklausel, da Ethical Hacker unter Umständen Einblick in vertrauliche Unternehmensinformationen bekommen.
Welche juristischen Feinheiten müssen Unternehmen beachten?
Der Auftraggeber kann seine Zustimmung nur für Bereiche erteilen, die sich unter seiner Hoheit befinden. Es muss vor Beginn der Sicherheitsanalysen und Penetrationstests auf beiden Seiten Klarheit über den Testgegenstand bestehen. Das ist vor allem wichtig, wenn es sich um Systeme handelt, die von Dritten betrieben werden - etwa Teile der IT-Infrastruktur oder des Rechenzentrums.
Woran erkennt man einen seriösen Anbieter?
Ein seriöser Anbieter klärt seinen Auftraggeber im Vorfeld über mögliche Risiken für den laufenden Betrieb auf und besteht auf einem für beide Seiten verbindlichen Vertrag. Unnötig zu sagen, dass der Pentester erst mit der Arbeit beginnt, wenn der Auftraggeber seine ausdrückliche Zustimmung für die Analysen und Tests erteilt hat, und dass er das Vorgehen eng mit dem Auftraggeber abstimmt. Es empfiehlt sich, nicht mit Hackern zusammenzuarbeiten, die eine kriminelle Vergangenheit haben. Eine Hilfestellung bei der Auswahl eines geeigneten Anbieters bieten auch Zertifizierungen wie die von CREST.
Ist die Sicherheit mit der Behebung aller Schwachstellen wiederhergestellt?
Die IT-Abteilung wird natürlich alles daran setzen, aufgedeckte Schwachstellen gemeinsam mit dem Pentester so schnell wie möglich zu schließen. Zusätzlich muss untersucht werden, ob kriminelle Hacker die Schwachstellen bereits ausgenutzt haben, zum Beispiel indem sie Fernsteuerungssoftware installieren, um eine dauerhafte Kontrolle über das System zu erhalten. Solche Programme lassen sich sogar von Experten schwer ausfindig machen. Da kaum ein Softwaresystem über einen längeren Zeitraum unverändert bleibt und ständig neue Schwachstellen und Angriffsmethoden bekannt werden, ist es unabdingbar, die Pentesting-Attacken in regelmäßigen Abständen oder nach größeren Änderungen der Systeme zu wiederholen.
Können Pentests den laufenden IT-Betrieb beeinträchtigen?
Je nach Art und Umfang kann die Arbeit des Ethical Hackers zu Störungen des IT-Betriebs führen. Er sollte daher immer über Notfallnummern erreichbar sein. Zudem sollte der Dienstleister den Kunden über mögliche Risiken für den laufenden Betrieb im Vorfeld aufklären und die Tests z.B. nachts oder am Wochenende durchführen. Besonders riskante Angriffsmethoden oder kritische Systeme lassen sich aus dem Vertrag ausschließen oder auf Testsystemen durchführen. Allerdings sollte man die Risiken sorgfältig gegeneinander abwägen: Ein Test, der hochkritische Systeme außer Acht lässt, ist nur bedingt aussagekräftig.
Wie lässt sich Ethical Hacking im Unternehmen kommunizieren?
Das kommt darauf an - etwa auf die Intention der Geschäftsleitung: Will sie mit Hilfe der externen Tester die eigene IT-Abteilung auf den Prüfstand stellen? Oder ist die IT-Abteilung über den Auftrag informiert und verspricht sich davon Unterstützung? Von solchen Fragen hängt es ab, wie man einen Ethical-Hacker-Einsatz intern kommuniziert.
Wie groß ist die Nachfrage nach Pentesting?
Der Bedarf steigt. Durch die zunehmende Vernetzung werden betrügerische Hackerangriffe immer häufiger - und immer gefährlicher. Diese Botschaft ist in den meisten Unternehmen und Behörden mittlerweile angekommen. Früher wurden Pentesting-Dienste vorwiegend von Unternehmen, die mit sensiblen Daten arbeiten, in Anspruch genommen - etwa von Finanzdienstleistern oder E-Commerce-Anbietern. Mit dem Internet der Dinge und der fortschreitenden Vernetzung müssen sich jedoch auch andere Branchen verstärkt vor Hackerangriffen schützen. Ethical Hacking ist daher für alle Unternehmen eine probate Methode, mögliche Sicherheitslücken eines Produktes oder Angebots vor dem Markteintritt zu erkennen. (sh)