Einbruch auf Bestellung
Von Michael Praschma
Die Faszination rund um Hacking wird nicht nur, aber doch stark durch immer neue Filme befeuert, angefangen mit „WarGames“, über „Sneakers“ und „Matrix“, bis hin zu „Who am I?“ usw. Immer wieder geht es dabei auch um anarchisches Spezialistentum mit ethischem Anspruch. Das wird in der Realität vor allem in Deutschland seit über 40 Jahren (!) durch den Chaos Computer Club (CCC) verkörpert, der durch White und Grey Hat Hacks oft Schlagzeilen machte. Der CCC wurde sogar offiziell bis in die Bundespolitik hinein in Sachen Datensicherheit und Datenschutz zu Rate gezogen.
White Hat und trotzdem illegal?
Dem deutschen Strafgesetz ist das Motiv eines Hackers gleichgültig. Es ist also keine gute Idee, etwa in „freiberuflicher“ Eigeninitiative Kundendaten auszuspionieren, um dann dem betroffenen Unternehmen das Wissen zu verkaufen, wie es die genutzte Sicherheitslücke schließen kann.
Denn das Ausspähen der Daten, sogar die Vorbereitung dazu, ist dann jedenfalls „unbefugt“ passiert und dementsprechend nach § 202a bis d StGB strafbar. Richtig ungemütlich kann es werden, wenn staatliche Sicherheitsinteressen ins Spiel kommen, wie etwa WikiLeaks mit Nachdruck erfahren musste. Auch demokratiepolitisch eventuell ehrenwerte Ziele retten dann nicht vor scharfer rechtlicher Verfolgung.
Was heißt hier Hacking?
Hier geht es nur um Hacking im Bereich der Computer- bzw. Cybersicherheit. Der Begriff wurde und wird aber darüber hinaus – auch außerhalb der Technik – auch allgemein für bahnbrechende Methoden, etwas zu vollbringen, verwendet.
- Hacker: ganz allgemein Softwarespezialisten, die Wege suchen und finden, um Sicherheitsmechanismen und andere Sperren der vorgesehenen Nutzeroberflächen von Programmen und digitalen Systemen zu umgehen. So dringen sie in in die Software ein und erlangen Zugriff auf sonst gesperrte Daten, Komponenten und Funktionen.
- White-Hat-/Black-Hat-Hacker: Das sind die die Guten bzw. Bösen in der Szene, wobei die Grenzen nicht immer scharf sind. Ethical oder auch White-Hat-Hacking dient dazu, Sicherheitslücken und Schwächen in Systemen zu beheben sowie Daten zu schützen. Den „schwarzen Hut“ tragen – wie im Western – die Schurken (auch Cracker genannt). Sie setzen ihr Wissen für Wirtschaftskriminalität, Sabotage, Datendiebstahl, Betrug etc. ein. Strafgesetzliche Bestimmungen dazu gibt es in Deutschland bereits seit 1986. – Grey Hats operieren irgendwo dazwischen, meist außerhalb der Legalität, aber immer noch mit legitimierbaren Zielen.
- Pentester: „Pen“ steht für Penetration, also das Endringen in ein Programm oder Netzwerk – in diesem Fall zu Testzwecken auf ausdrücklichen Wunsch des jeweiligen Betreibers. Pentester werden häufig mit Ethical Hackern gleichgesetzt; genau genommen zeichnet sie aber erst der erteilte Auftrag eines Besitzers der jeweiligen Software bzw. des Systems aus.
- Vulnerability Scan: Dieser Begriff für ein automatisiertes Verfahren, um Schwachstellen in digitalen Systemen aufzuspüren, wird mitunter gleichbedeutend mit Pentests verwendet. Pentests sind aber hinsichtlich Planung, Durchführung und Reichweite deutlich umfangreicher.
Der Job des Pentesters
Die Methoden des Hackens unterscheiden sich nicht grundsätzlich, ob nun Black Hat, White Hat oder Pentester gegen Bezahlung. Denn auch der Pentester soll ja genau mit den bösartigsten Angriffen, die sich ein Cyberkrimineller einfallen lässt, herausfinden, ob es Sicherheitslücken gibt – es gibt sie praktisch immer! – und welche Schutzmaßnahmen dagegen hilfreich sind.
Die Win-win-Situation des Unternehmens bzw. der Organisation ist dabei: Im Falle einer gefundenen und behobenen Schwachstelle ist eine potenzielle Gefahr abgewendet. Und die kann ja durchaus mit erheblichen wirtschaftlichen Schäden einhergehen. Aber auch wenn der Penetrationstest keine Fehler findet, lässt sich genau das werblich positiv darstellen. Schon weil immer mehr Unternehmen sensible Daten verarbeiten, aber auch weil etwa kritische Prozesse bei Lieferketten zuverlässig funktionieren müssen, ist Datensicherheit ein gewichtiges Qualitätskriterium geworden.
Klassifikation von Penetrationstests (Bild: BSI)
Mit System ins System
Der typische Job bei einem Penetrationstest könnte folgende Stationen durchlaufen (wobei die Details natürlich vom vereinbarten Auftrag und den Systemvoraussetzungen abhängen):
- Grundbedingung ist stets eine dokumentierte rechtsgültige Erlaubnis, die Penetrationstests durchzuführen. Darin enthalten sein muss neben allen erforderlichen inhaltlichen Details auch die nachprüfbare Bestätigung des Auftraggebers, dass er für alle betreffenden Systemteile tatsächlich befugt ist, diese Erlaubnis zu erteilen. Dies wird etwa bei geleaster oder gemieteter Software, aber auch bei Komponenten wie Routern im Einzelfall rechtlich zu prüfen sein.
- Beim Festlegen von Umfang und Art des Penetrationstests sind zahlreiche Details vorab zu klären, zum Beispiel ob neben dem eigentlichen Check von Software im weitesten Sinne auch Social Engineering eingesetzt wird, ob also die Compliance von Mitarbeitern mit den Anforderungen an die IT-Sicherheit getestet wird. Sollen Daten abgegriffen werden oder geht es darum, mit einem DDoS-Angriff (Distributed Denial of Service) ein System lahmzulegen? Auch die Frage, ob bzw. unter welchen Umständen die Tests das Funktionieren der IT im Betrieb beeinträchtigen dürfen, gehört dazu; ferner, ob Sicherheitsbeauftragte der Organisation aktiv einbezogen werden oder ob gerade deren Reaktion im Ernstfall mit getestet wird.
- Der eigentliche Test – der sogenannte Exploit – arbeitet dann die geplanten Schritte ab. Hindernisse, bestimmte Systemkomponenten zu kompromittieren, machen es dabei regelmäßig erforderlich, die gewählten Taktiken abzuändern.
- Je nach Aufgabenstellung haben Auftraggeber und Pentester auch festgelegt, in welcher Form Methoden und Verlauf sowie Ergebnisse des Penetrationstests dokumentiert werden sollen. Dieser Arbeitsteil schließt den Test ab. Bewährt ist eine Einteilung des Berichts in eine Management-Zusammenfassung mit Kernaussagen und detaillierten Beschreibungen für die IT-Verantwortlichen bzw. die Technik.
In die Verantwortung des Betreibers der getesteten IT-Komponenten fällt regelmäßig die Behebung der festgestellten Sicherheitsprobleme. Extern beauftragt wird damit zum Beispiel ein IT Security Consultant. Zu beachten ist auch, dass aufgrund immer neuer Angriffstechniken ein Penetrationstest nicht vor allen zukünftigen Cyberattacken schützen kann. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) etwa empfiehlt, alle zwei bis drei Jahre Wiederholungsprüfungen durchzuführen.
Naturtalent oder Zertifikat?
Die klassische Hackerkarriere beginnt nur selten mit dem zunächst ahnungslosen Berufseignungstest nach abgeschlossener Schullaufbahn. 43 % der Hacker beginnen laut Hacker Report 2020 als Autodidakten. Wer den Sport, immer tiefer in digitale Sicherheitsarchitekturen vorzudringen, zum Beruf machen will, ist meist schon lange vorher angesteckt davon – oft als sogenanntes Scriptkiddie, also als junger Amateur-Nerd mit erstaunlichen Fähigkeiten, aber ohne tiefere Grundlagenkenntnisse der IT. Das heißt aber nicht, dass es keine „ordentlichen“ Ausbildungen gäbe. Dafür kommen die einschlägigen Studienrichtungen rund um Computersicherheit und Informationstechnologie infrage.
Schwarz auf Weiß
Dieser Beitrag ist zuerst in unserer Magazinreihe „IT & Karriere“ erschienen. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Wer sich nun bis zur Meisterschaft alles selbst beigebracht oder studiert hat, ist dennoch gut beraten, seine Kenntnisse zertifizieren zu lassen. Denn auch wenn in einem Unternehmen, das einen Pentester sucht, so oder so niemand in der Lage ist, die Kompetenzen eines Bewerbers oder einer Bewerberin zu überprüfen: Jemand mit einem seriösen Zertifikat in der Hand erweckt einfach mehr Vertrauen. Adressen für solche Zertifizierungen sind beispielsweise das BSI mit seiner Personenzertifizierung, SANS Institute, CREST oder die Bestätigung als Certified Ethical Hacker des EC-Council.
Die oben erwähnte Tätigkeit des IT Security Consultant umfasst Penetrationstests, geht aber noch darüber hinaus. Angehende Pentester können sich mit dieser erweiterten Qualifikation ein breiteres Tätigkeitsfeld eröffnen.
Was Pentester können müssen …
Voraussetzung sind selbstverständlich profunde IT-Kenntnisse in Theorie und Praxis, bezogen auf Anwendungen, Netzwerk- und Cloud-Technologien, Server, Gerätekonfigurationen und Betriebssysteme. Nicht zuletzt: Kreativität!
Die gängigen Hacker-Techniken, die auch Pentester einsetzen, reichen von Sniffern und Keyloggern, mit denen Datenverkehr verfolgt wird, um etwa Passwörter abzugreifen, über Brute-Force-Angriffe bis hin zu den auch öffentlich oft in Sicherheitswarnungen erwähnten Trojanern, Phishing, Einschleusung von Viren und Würmern und Ausnutzung von Backdoors, also nicht-öffentlichen Zugängen zu Systemen, die vom Hersteller quasi als Generalschlüssel zum Beispiel in Programme eingebaut wurden.
Im Rahmen von Penetrationstests seltener im Einsatz, aber natürlich bei realen Cyberattacken Alltag sind die bereits unter dem Stichwort Social Engineering erwähnten Übertölpelungsversuche, mit denen Anwender von Unbefugten dazu verleitet werden, ihre Zugangsdaten zu offenbaren. Außerdem immerhin erwähnenswert: das ganz banale physische Einschleichen in Räume mit sicherheitsrelevanter Hardware.
Hacking allgemein und Penetrationstests im Besonderen sind natürlich keine reine Handarbeit. Hier wie in anderen IT-Jobs kommen tausende digitale Tools zum Einsatz, deren eigene Sicherheit natürlich wiederum ein besonders kritischer Faktor ist. Online frei verfügbare Hacking Tools beinhalten nicht selten selbst Malware und nicht dokumentierte Backdoors. Ein wichtiger Teil der Pentester-Qualifikation ist also gute Kenntnis vertrauenswürdiger Tools – und die Fähigkeit, immer wieder auch eigene Tools zu schreiben.
Zur Professionalität beim Pentesting gehört schließlich die laufende Anpassung an die Entwicklungen sowohl der Angriffstechniken wie der Systemarchitekturen hinsichtlich Cybersecurity überhaupt. Ein Beispiel dafür sind Angriffe über IoT-Geräte, die vor allem zur Zeit ihrer Einführung sicherheitstechnisch weitgehend unterbelichtet waren. Die exponentielle Ausweitung ihres Einsatzes macht sie nach wie vor zu einem wesentlichen Faktor bei Maßnahmen zur Cybersecurity.
… und was man von ihnen erwartet
Erwartungen der Auftraggeber unterliegen ebenso wie die Techniken einem Wandel, etwa nach visualisierten Präsentationen von Penetrationstests: Pentester sollten also auch wissen, wie sie sich selbst vermarkten.
Was Pentester im Hinterkopf haben müssen, wenn sie für Unternehmen und andere Organisationen tätig werden wollen, sind die allgemein (also auch für Auftraggeber) zugänglichen Standards für Penetrationstests, wie sie das BSI zur Verfügung stellt. Der „Praxis-Leitfaden für IS-Penetrationstests“ (Informationssicherheit) enthält etwa auch Anforderungen an den Prüfer inklusive seiner Qualifikationen und der Tools, die er einsetzt, die Aufteilung der Verantwortlichkeiten usw.
Der Leitfaden eignet sich daneben gut als Vorinformation für Interessierte und Berufseinsteiger im Pentesting, unabhängig davon, ob man als Selbstständiger Penetrationstests als Dienstleistung anbietet oder in fester Anstellung im Bereich IT-Security arbeitet.
Lohnt es sich? Der Markt für Pentester
Mit fortschreitender Digitalisierung wächst auch das Feld für Cyberattacken. Die Nachfrage nach Pentesterinnen und Pentestern ist dementsprechend groß. Vor allem im Finanz- und Versicherungssektor gibt es häufig Anstellungen für Pentesting. Spezielle Anstellungsträger sind kommerzielle Anbieter von IT-Security, außerdem Polizei, Bundeswehr oder Nachrichtendienste. Insgesamt waren aber laut Hacker Report 2020 nicht einmal ein Viertel der Pentester vollzeit beschäftigt. Hacker, die anonym bleiben wollen, bieten ihre Dienste unter anderem über die Plattform HackerOne an, der selbst Tech-Giganten wie Facebook, Google oder Microsoft vertrauen.
Angestellte IT-Security-Analysten können beim Einstieg mit Gehältern bis 50.000 Euro (bei einem Durchschnitt von knapp 43.000 Euro) rechnen, mit längerer Erfahrung um die 70.000 Euro. Diese Angaben schwanken natürlich erheblich.
Weißer Hut steht mir gut
Für entsprechend Interessierte und Talente im Bereich Computer und IT ist Pentesting nicht nur ein spannendes und abwechslungsreiches Arbeitsgebiet. Der ganze Bereich wird mit hoher Sicherheit auch in absehbarer Zeit immer noch wachsenden Bedarf an Fachkräften aufweisen. Denn schließlich gibt es immer wieder neue Sicherheitslücken zu entdecken. Und solange Black Hats ihr Unwesen treiben, hängt die Cybersecurity auch weiterhin vom unermüdlichen Einsatz der weißen Hüte ab.
Michael Praschma ist Texter, Lektor und Redakteur. Er beherrscht so unterschiedliche Gattungen wie Werbetext, Direct Marketing, Claims, Webtext, Ghostwriting, Manuals oder PR. Außerdem treibt er sich – schreibend und anderweitig engagiert – in Journalistik, Non-profit-Organisationen und Kulturwesen herum. Seine Kunden kommen aus verschiedensten Branchen. Am MittelstandsWiki schätzt er die Möglichkeit, mit eigenen Recherchen auf den Punkt zu bringen, was Verantwortliche in Unternehmen interessiert. → https://praschma.com/