Was macht ein Ethical Hacker?

Pen Tester – when good guys play bad

Bylle Bauer
Vorhängeschloss an einem Riegel

Hacker: One who enjoys the intellectual challenge of creatively overcoming limitations.

Als Penetrationstester:in (Pen Tester), Ethical Hacker bzw. White Hat Hacker setzt Du Dein tief gehendes IT-Knowhow und Deine Kreativität ein und beugst Cyberattacken vor. Dafür gehst Du wie ein krimineller "Black Hat Hacker" vor. Du spürst Schwachstellen im System auf und bewahrst Unternehmen und Organisationen dadurch vor riesigen Schäden. Weitere Jobtitel hinter denen sich der Beruf der Hacker:in verbirgt, sind IT-Security Analyst:in und IT-Security Engineer.

Was Dich von einem "Black Hat" unterscheidet und wie Du mit Deiner Begeisterung für Experimente beruflich Fuß fassen kannst, liest Du hier!

Hacker vs. Ethical Hacker: Was ist der Unterschied?

Ob mit guten oder schlechten Vorsätzen: Als Hacker:in versuchst Du, in fremde IT-Systeme, Infrastrukturen, Anwendungen oder Netzwerke einzudringen. Dafür suchst Du nach Schwachstellen im Quellcode, die Du als Exploit, also Angriffspunkt, nutzen kannst. Dass sich in tausenden Zeilen Code hier und da ein Bug einschleicht, ist ganz normal, und so lange die Funktionalität dadurch nicht eingeschränkt wird, fällt er den Programmierer:innen meist nicht auf. Dir aber schon, denn Du suchst explizit danach. Je mehr Du Dich damit beschäftigst, desto klarer wird Dir das dahinterstehende Konzept der Programmierung, dessen System Du nun an seine Grenzen bringen wirst. Hast Du einen Bug gefunden, experimentierst Du mit verschiedenen Eingaben und versuchst, das Programm dazu zu bringen, unerwartete Ergebnisse zu produzieren. Klappt das, dann hast Du Deinen Exploit. Bis zu diesem Punkt gehen alle Hacker:innen ähnlich vor. Was sie mit ihren Funden machen, bestimmt letztendlich, auf welcher Seite sie stehen.

Black Hat Hacker

Sie stehen auf der dunklen Seite der Macht und nutzen technische und menschliche Schwächen gezielt aus, um Systeme lahmzulegen, Programme zu verändern und vor allem um Daten zu stehlen und sich damit zu bereichern. Seit den 1980er Jahren versetzen sie damit Unternehmen, Institutionen, Organisationen und Privatpersonen in Angst und Schrecken. Bei den meisten Hacker:innen steht die Macht im Vordergrund, die sie dadurch auf ein Unternehmen ausüben können.

Als Ethical Hacker stehst Du auf der anderen Seite – oder zumindest bewegst Du Dich irgendwo dazwischen. Was den Grey vom White Hat Hacker unterscheidet, ist die vorherige Erlaubnis, in ein System einzudringen.

Grey Hat Hacker

… nennt man alle, die ungefragt in einem fremden System auf die Jagd nach Exploits gehen. Oft melden sie Verwundbarkeiten an die Systemeigner, manchmal aber genügen ihre Entdeckungen ihnen als Jagdtrophäen. Andere fürchten eine Strafe und lassen die Schwachstellen offen, tasten sie jedoch nicht weiter an.

White Hat Hacker

… haben sich dem Guten verschrieben. Sie organisieren sich in der Regel in einschlägigen Communities wie dem Chaos Computer Club oder schließen sich auf globaler Ebene Vereinigungen wie HackerOne an, um das Internet zu einem sichereren Ort zu machen. Dafür werden sie von Unternehmen und Organisationen beauftragt, Cyberangriffe zu simulieren.

Was sind Deine Aufgaben als Penetrationstester:in?

Als Ethical oder White Hat Hacker betreibst Du Penetration Testing. Das heißt, Du versuchst in die Systeme oder Netzwerke Deiner Auftraggeber:in einzudringen, bevor Kriminelle es tun. Mit Pentests suchst Du nach Vulnerabilities, also Schwachstellen in Software, Hardware oder Online-Services, die sich für Unfug ausnutzen lassen.

Im Vorfeld klärst Du mit Deiner Auftraggeber:in genau ab, welche Bereiche Du untersuchen wirst und was Du dabei tust. Du erzählst ihm, welche IT-Security Risiken Dein Testing für den laufenden Betrieb birgt und stimmst Deine Aktionen in der Regel sogar vertraglich ab. Du willst schließlich legal vorgehen.

Du hackst je nach Auftrag E-Mails, Websites, APIs, Werbebanner, Softwareprodukte, Apps, Betriebssysteme und Netzwerke. Auch IoT-Techs wie Connected Cars sind ein häufiges Angriffsziel von Hacker:innen. Dabei bieten Schnittstellen wie Bluetooth, USB-Ports und DVD-Laufwerke ebenso beliebte Angriffspunkte wie externe Verbindungen, also zum Beispiel mobile Netze oder Laptops. Beim Ethical Hacking achtest Du darauf, möglichst viele Angriffsmuster abzudecken, um sämtliche von Dir gefundenen Sicherheitslücken und Schwachstellen schließen zu können. Dabei gehst Du in mehreren Phasen vor:

Passive Reconnaissance

Zunächst beschaffst Du Dir alle öffentlich zugänglichen Infos über das zu hackende System, die Du bekommen kannst: Was findest Du über das Unternehmen bei Google oder in den sozialen Medien heraus, gibt es Hinweise auf eingesetzte Technologien, existieren weitere Webseiten, wo stehen die Server?

Aktive Reconnaissance / Scanning

Wurdest Du nicht beauftragt, verlässt Du mit dem nun folgenden Schritt den Boden der Legalität. Als Ethical Hacker ist Deine Vorgehensweise in jeder einzelnen Phase genau mit dem Unternehmen abgestimmt. Denn jetzt sendest Du aktiv Anfragen an das System, die Dir erlauben, es in seiner Gesamtheit zu verstehen und zu analysieren. Mittels Tools wie Nmap sammelst Du mögliche Angriffspunkte, findest heraus, welche Services im Einsatz sind und ob es Firewalls zu durchbrechen gilt. Du lässt einen automatischen Schwachstellenscanner wie Nessus, OpenVAS oder Nexpose über das System laufen, der dessen Anfälligkeit auf bereits bekannte Schwachstellen prüft. Besonders zu veralteten Softwareversionen liefert Dir das Internet gängige Fehler auf dem Silbertablett.

Gaining Access / Exploitation

Jetzt beginnt das eigentliche Hacken. Du prüfst, ob die von Dir und vom Scanner gefundenen Schwachstellen ausnutzbar sind. Du weitest Deine Berechtigungen aus, damit Du installieren kannst, was Du brauchst und ziehst an den Schnittstellen Daten ab. Tools wie Metasploit helfen Dir, eine Vielzahl von Angriffen auszuführen.

Maintaining Access / Post Exploitation

Nun richtest Du Dir eine dauerhafte Hintertür ein, um das System immer wieder angreifen zu können. Hierfür nutzt Du zum Beispiel Trojaner, Rootkits und andere bösartige Dateien. Danach verwischst Du Deine Spuren, um genau so vorzugehen, wie die Bad Guys.

Reporting

Bis hierhin klingt das alles zugegebenermaßen schon ein bisschen Gangsta. Aber Du versetzt Dich ja lediglich in die Rolle der Angreifenden, um Attacken zu vermeiden. Und nun kommt die entscheidende Phase für Dich als Penetrationstester:in: das Reporting. Du verfasst einen ausführlichen Bericht, der Deine Angriffe zusammenfasst. Du beschreibst die Vulnerabilites, erläuterst die dadurch entstehenden Sicherheitsrisiken und präsentierst eine Lösung zur Beseitigung der Schwachstellen. So bewahrst Du Deine Auftraggeber:in vor großem Schaden. Vorausgesetzt, die Hausaufgaben werden danach erledigt.

Wo kannst Du als Pentester:in arbeiten?

Die Rechnung ist einfach, das Ergebnis für Dich positiv: Je mehr Unternehmen es gibt und je stärker die Digitalisierung vorangetrieben wird, desto mehr Cyberattacken werden stattfinden. Deshalb besteht auf dem Markt eine riesige Nachfrage nach Penetrationstester:innen, die im Namen eines Unternehmens, einer Behörde oder einer Institution Sicherheitslücken schließen.

Banken und Versicherungen gehören zu den begehrtesten Angriffszielen und leisten sich daher oft eine Inhouse Penetrationstester:in, aber vieles läuft über Engagements. Nur 22 % der Ethical Hacker waren laut HackerOne 2020 in Vollzeit beschäftigt. Natürlich kannst Du Dich als IT-Security Consultant, Analystin oder Engineer zur Penetrationstester:in entwickeln bzw. Dir die dafür nötigen Skills aneignen und in Teilzeit für Unternehmen in die Rolle der Angreifenden schlüpfen, so wie das 14 % der Befragten tun.

Aber Du musst nicht zwangsläufig aus der Security-Richtung kommen, um ein guter Ethical Hacker zu sein. Am Tag sind viele Deiner Mitstreitenden "gewöhnliche" IT-Leute, Studierende oder gar Schüler:innen. Die Laufbahn von Hacker:innen beginnt als Hobby: Dem Report zufolge sind 43 % Autodidakt:innen. Sie schließen sich in Communities wie dem Chaos Computer Club, OWASP (Open Web Application Security Project) oder BSides zusammen, vernetzen sich über Slack, Discord und andere Kanäle, knacken in Foren gemeinsam harte Nüsse und halten sich über die aktuellsten Vulnerabilities auf dem Laufenden. Wenn sie selbst welche finden, so melden sie diese und haben damit in den vergangenen Jahren stark zur Verbesserung des Images von Hacker:innen beigetragen. Heute empfiehlt sogar das US Department of Defense die Zusammenarbeit mit Ethical Hackern als Best Practice.

Konzerne wie Lufthansa, Spotify, Nintendo, Next Cloud oder die Europäische Kommission laden Ethical Hacker regelmäßig zu sogenannten "Bug Bounties" ein, um Angriffsszenarien auf ihre Systeme zu simulieren. HackerOne ist hier die größte Plattform mit aktuell 600.000 Mitgliedern. Die Zusammenarbeit lohnt sich für Hacker:innen und Unternehmen gleichermaßen: Hacker:innen wollen oft ihre Identität nicht preisgeben, Unternehmen wissen nicht, wem sie trauen können. HackerOne ist das Bindeglied, das auf beiden Seiten einen Ruf zu verteidigen hat. Der Hauptsitz liegt in San Francisco, aber die Mitglieder gehören allen möglichen Ländern an. Über 1.000 Unternehmen arbeiten weltweit mit HackerOne zusammen, zum Beispiel General Motors, Goldman Sachs, Paypal, Facebook, Google und Microsoft.

Insgesamt ist hierzulande aber eine so positive Haltung gegenüber Hacker:innen noch nicht besonders stark ausgeprägt. Einer Umfrage unter 600 deutschen, französischen und britischen CISOs ergab, dass nur 36 % Meldungen aus der Hacking-Community berücksichtigen – obwohl sie starke Security-Issues befürchten.

Worauf kannst Du Dich spezialisieren?

Bei den Bug Bounties kommt ein ganzes Team von Ethical Hackern mit unterschiedlichen Fähigkeiten und Spezialisierungen zusammen, um möglichst alle Angriffsszenarien abzudecken. Wenn Du Teil einer Community bist, kannst Du Dich als Ethical Hacker im Prinzip auf die Methoden spezialisieren, die Dir selbst am meisten liegen. Beliebte Attacken sind:

  • Social Engineering, also das Hacken von Passwörtern in sozialen Netzwerken – je generischer diese sind, desto einfacher geht das. Hier bauen Hacker:innen also nicht nur auf technische Loopholes, sondern v.a. auf menschliche Schwächen.
  • Phishing, bei dem Fake-E-Mails mit schadhaftem Anhang versendet werden, der beim Öffnen automatisch eine Software installiert.
  • Am häufigsten kommen (D)DoS-Attacken vor, bei denen ein System durch übertrieben viele Anfragen in die Knie gezwungen wird.
  • Oft setzen Hacker:innen für DDoS-Attacken Millionen von infizierten Systemen, sogenannte Botnets, ein. Das Hauptziel solcher Angriffe ist es, Dienste und Server außer Betrieb zu setzen.
  • Bei der Man-in-the-Middle-Attack hingegen mogelt sich der Hacker:innen in die Kommunikation zwischen Client und Server und erhält so Zugriff aufs System.
  • Auch SQL-Injection stellt einen problematischen Angriff dar, bei dem Hacker:innen sich Zugang zu sensiblen Daten verschaffen können. Diese Daten lassen sich verändern, veruntreuen, verkaufen oder zurückerpressen.

Bist Du als Penetrationstester:in im Unternehmen unterwegs, solltest Du so viele Techniken wie möglich beherrschen, um eine umfassende Sicherheitsanalyse durchzuführen. Außerdem musst Du Dich auf dem aktuellsten Stand halten und Dir immer neue Angriffsmuster aneignen.

Bist Du ein Ethical Hacker?

Als Ethical Hacker brauchst Du vor allem eine an Manie grenzende Begeisterung für das, was Du tust und einen klaren moralischen Kompass, der Dich von den Black Hats unterscheidet. Deine breite IT-Leidenschaft bringt mit sich, dass Du Dich in verschiedenen Betriebssystemen wie MacOS, Linux und Windows bestens zurechtfindest und Sprachen wie HTML, JavaScript, PHP, Python und SQL beherrschst. Du kennst Dich in Netzwerken aus und bist mit gesetzlichen Regularien zum Thema IT-Security vertraut. Im Idealfall hast Du eine Zertifizierung wie den Certified Ethical Hacker (C|EH) des EC-Councils oder den CompTIA PenTest+ in der Tasche und bist in einschlägigen Communities unterwegs.

Not gonna lie: Ein typischer IT-Einstiegsjob ist der des Ethical Hackers nicht. Um als Pentester:in gut zu sein, musst Du besser sein als jeder gewöhnliche Black Hat Hacker. Dieser hat sich vermutlich auf ein bestimmtes Angriffsmuster spezialisiert, Du aber solltest alle kennen. Um Angreifenden immer einen Schritt voraus zu sein, gehören ständiges Dazulernen und eine nicht enden wollende Weiterentwicklung zu Deinem täglich Brot. Als Ethical Hacker musst Du ein hohes Anforderungsprofil erfüllen.

An Tools nutzt Du im Prinzip dieselben, die auch Hacker:innen benutzen. Sehr beliebt (89 %) bei Ethical Hackern ist die Software Burp Suite, gefolgt von eigenentwickelten Tools (39 %), Fuzzing-Tools wie Sulley, Peach oder Googles ClusterFuzz (32 %), Web Proxies (25 %), Debuggern (20 %) und Network Vulnerability Scannern wie Nmap (19 %). Die Kali Linux Distribution ist ein Open-Source-Projekt für Penetrationstester:innen, das sowohl von Profi-Usern als auch Privatpersonen verwendet werden kann.

Neben der nötigen Portion Nerdismus qualifiziert auch Dein Mindset Dich für den Titel Ethical Hacker: Du gehörst zu den Guten und bist bereit, Dein Talent für eine bessere Welt einzusetzen. Deine Überzeugungen spiegeln sich in der Hacker:innenethik wider, die unter anderem einen freien Zugang zu Computern und Informationen sowie die Nutzung öffentlicher Daten beim gleichzeitigen Schutz privater postuliert.

Was kannst Du als Penetrationstester:in verdienen?

Gehen wir zunächst mal davon aus, dass Du eine Festanstellung als Penetrationstester:in in einem Unternehmen hast. In der Regel startest Du Deine Laufbahn mit Jobtiteln wie dem IT-Security Engineer und der IT-Security Analystin und bildest Dich dann weiter. Als IT Security Analyst:in liegt ein Einstiegsgehalt zwischen 49.600 und 55.900 €. Pentester:innen bzw. IT-Security Engineers können mit einem Einstiegsgehalt zwischen 52.800 und 61.500 € rechnen. Professionals kriegen bis zu 70.000 €, Seniors noch darüber hinaus. Wie immer sind das nur ungefähre Werte, die von Faktoren wie Unternehmen, Branche, Bundesland, Deinem Talent und nicht zuletzt Deiner Erfahrung im Penetration Testing abhängen. Mit unserem Gehaltsrechner rechnest Du Dein individuelles Gehalt mit den zentralen Gehaltsfaktoren ganz einfach aus.

Anders sieht Dein Verdienst aus, wenn Du Dich an Bug Bounties beteiligst. 2019 hat HackerOne Prämien von insgesamt 40 Mio. US-Dollar für Bounties und insgesamt 82 Mio. $ an Ethical Hacker ausgezahlt. Hacker:innen gibt es in ca. 170 Ländern der Erde, aber das Geld, das bei Bug Bounties gemacht wird, fließt meist vor allem in einige wenige Richtungen, v.a. an Hacker:innen in den USA und Kanada, gefolgt von UK, Deutschland, Singapur und Russland (laut HackerOne Report 2020). Mag sein, dass dies mit der Offenheit der Nationen gegenüber Bug Bounties zu tun hat, aber das hindert Dich ja nicht daran, Dich an einem internationalen Projekt zu beteiligen!

Inzwischen gibt es auch in Deutschland mehrere Bug Bounty-Millionäre. Aber als Ethical Hacker geht es Dir primär um die Herausforderung bei der Überwindung von Grenzen. Da verwundert es nicht, dass etwa ein Viertel der Pentester:innen bei HackerOne Teile der Prämien spendet und einfach weiterhackt.

TL;DR:
  • Als Ethical Hacker wirst Du legal damit beauftragt, in Systeme, Anwendungen und Netzwerke von Unternehmen oder Institutionen einzudringen, indem Du Schwachstellen im Quellcode aufspürst und diese ausnutzt – genau so, wie Angreifende es tun würden.
  • Dabei stehst Du auf der guten Seite und meldest alle Schwachstellen, um Cyberangriffe zu verhindern; entweder als Penetrationstesterin oder unabhängiger (Hobby-)Hacker.
  • Ein typischer Einstiegsjob ist Ethical Hacker nicht. Aber mit Skills wie einem breiten IT-Knowhow, großem Lernwillen, tiefen Kenntnissen von Angriffsmustern und einer guten Portion Idealismus kannst Du es schaffen!