Wenn Sie in der Suchmaschine nach “Black Hat” oder “White Hat” suchen, erhalten Sie nicht nur Ergebnisse zu den neuesten Hutangeboten. Diese Begriffe sind auch mit Informationssicherheit und dem Hacken von Computersystemen verknüpft. Aber was haben Hüte mit dem Hacken zu tun? Und was macht einen “ethical hacker” aus? Diese Fragen werden im folgenden Blogartikel beantwortet.
Was ist Hacken?
Zunächst einmal, was genau ist Hacken? Vielleicht haben Sie Artikel über die “10 besten Camping-Hacks” gelesen, in denen erklärt wird, wie man Popcorn über einem Lagerfeuer macht. Oder Sie haben von “Life Hacks” gehört, die den Alltag auf kreative Weise erleichtern können. “Hacker” sind per Definition Menschen, die ihr Wissen und ihre Kreativität, oft im Zusammenhang mit Technologie, einsetzen, um bestehende Systeme zu verstehen, zu verbessern und zu verändern. Seit den 1980er Jahren hat der Begriff jedoch eine negative Wandlung erfahren und sich auf das Gebiet der IT-Sicherheit eingeengt. Heutzutage bezeichnet man mit dem Begriff “Hacker” in der Alltagssprache jemanden, der in die Computersysteme anderer Personen eindringt. Hacker sind fast ausschließlich zwielichtige Gestalten in Kapuzenpullis, die in einem abgedunkelten Raum vor verschiedenen Bildschirmen herumtippen. Das wird auch in den Medien deutlich, sowohl in Nachrichten als auch in Spielfilmen. Dort wird klar: Das Wort “Hacker” hat meistens negative Konnotationen. Vielleicht erklärt das, warum andere Bezeichnungen nötig sind, um zwischen Hackern zu unterscheiden: Es ist immer öfter die Rede von “Black Hat Hackern” und “White Hat Hackern”. Aber worin besteht der Unterschied? Die Begriffe haben ihren Ursprung in alten Westernfilmen, in denen sich die guten Charaktere mit weißen Hüten von ihren bösen Gegenspielern mit schwarzen Hüten unterschieden. Und genau in diesem Sinne finden wir die “Black Hats” und “White Hats” wieder in der Welt des Hackens. Um zwischen “gut” und “böse” bei Hackern zu unterscheiden, müssen wir insbesondere zwei Faktoren betrachten: ihre Motivation und die Legitimität ihrer Arbeit.
Black Hats und White Hats
Black Hats sind finanziell motiviert, betreiben Cyber-Spionage, protestieren oder tun es einfach aus Spaß. Sie versuchen, persönliche Daten, Finanzinformationen oder Anmeldedaten zu stehlen, zu verschlüsseln oder zu zerstören und dadurch den Betroffenen Schaden zuzufügen. Sie handeln ohne das Wissen der betroffenen Personen oder Unternehmen und machen sich dadurch strafbar.
“White Hats” hingegen nutzen ihre Fähigkeiten für einen guten Zweck. Ihr Vorgehen ähnelt dem der Black Hat Hacker, mit dem Unterschied, dass sie nicht illegal handeln. Sie arbeiten als IT-Spezialisten für Unternehmen oder Organisationen und helfen dabei, Sicherheitslücken durch Hacking aufzudecken und zu schließen. Ihre Motivation besteht darin, technische Systeme zu verbessern und abzusichern. Immer mehr Unternehmen nutzen solche Dienste, um böswillige Cyberangriffe zu verhindern.
Die grauen Hüte
Es gibt jedoch auch eine dritte Gruppe: die “grauen Hüte”. Sie stehen zwischen den beiden zuvor genannten Gruppen. Sie entdecken Sicherheitslücken, ohne die Erlaubnis oder das Wissen der Systembesitzer, melden die Probleme dann aber den Betroffenen. Sie fordern eine finanzielle Belohnung für ihre Arbeit und/oder setzen den Unternehmen einen Zeitrahmen zur Behebung der Probleme und machen dann die Sicherheitslücken öffentlich. Sie verfolgen ihre Ziele nicht mit böser Absicht. Ihre Motivation besteht darin, auf das Problem aufmerksam zu machen und das Hacken selbst zu genießen. Diese Art des Hackens bewegt sich an der Grenze zur Illegalität, da sie ohne die Erlaubnis der Systembesitzer arbeiten und oft Einblicke in sensible Daten erhalten. Dass die Grenzen zwischen White Hat und Black Hat Hackern immer mehr verschwimmen, wurde bereits in einer Studie von Osterman Research aus dem Jahr 2018 belegt.
Ethical Hacker
White Hat und Grey Hat Hacker werden auch “ethical hacker” genannt. Dieser Begriff beschreibt eine verantwortungsbewusste Herangehensweise an die eigenen Hacking-Fähigkeiten und -Ergebnisse. Es gibt sogar Kurse, Konferenzen und Zertifikate für ethische Hacker, die ihre Arbeit offiziell anbieten möchten. Denn neben der entsprechenden ethischen Einstellung müssen ethische Hacker auch andere Anforderungen erfüllen: großes technisches Können, die Fähigkeit, sich in die Rolle eines Angreifers zu versetzen, und ein Verständnis für den Wert der Daten und Systeme, die sie sichern sollen.
Die Bedeutung von Ethical Hackern
In diesem Zusammenhang erinnern Sie sich vielleicht an einen Fall, der im Mai 2021 in den Medien Schlagzeilen gemacht hat. Die Hackerin Lilith Wittmann hat Sicherheitslücken in der Wahlkampf-App der CDU aufgedeckt. Sie informierte daraufhin die Partei, das Bundesamt für Sicherheit in der Informationstechnik und die Berliner Datenschutzbeauftragten und bot ihnen die Möglichkeit, das Problem zu beheben. Erst als die App offline war, veröffentlichte sie ihre Arbeit. Dieser Ansatz wird auch “responsible disclosure” genannt und zeigt ein Beispiel für ethisches Hacking. Allerdings zeigt der Fall auch, wie schwierig es sein kann, solche Arbeit rechtlich zu bewerten. In diesem Fall erstattete die CDU Strafanzeige gegen Wittmann, was nicht nur zu peinlichen Schlagzeilen für die Partei führte, sondern auch zu der offiziellen Erklärung des Chaos Computer Clubs (CCC), dass sie der Partei in Zukunft keine Sicherheitslücken mehr aufzeigen würden. Die Anzeige wurde fallen gelassen, weil die Daten öffentlich zugänglich waren und die rechtliche Situation nur das Ausspionieren oder die Unterbrechung von zugangsgeschützten Daten kriminalisiert.
Dieses Beispiel zeigt einmal mehr, wie wichtig die Arbeit von ethischen Hackern ist: Ohne sie gäbe es mehr offene Sicherheitslücken, die wiederum von Black Hat Hackern ausgenutzt werden könnten.
Übrigens erweitert sich die Farbpalette der Hacker. So kann man auch von Red Hats, Blue Hats, Purple Hats und Green Hats lesen. Die Definitionen dieser Begriffe gehen jedoch manchmal sehr weit auseinander, daher lassen wir es vorerst bei diesem Stand.
In unserem YouTube-Video “Schaurige Geschichten der Cybermonster” finden Sie auch einen beängstigenden Überblick über einige der Methoden, die von Cyberkriminellen angewendet werden.
