{"id":14697,"date":"2019-07-16T11:37:53","date_gmt":"2019-07-16T09:37:53","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=14697"},"modified":"2019-07-03T09:42:53","modified_gmt":"2019-07-03T07:42:53","slug":"wenn-cyberkriminelle-die-seiten-wechseln-der-einsatz-von-ethical-hackers","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=14697","title":{"rendered":"Wenn Cyberkriminelle die Seiten wechseln: Der Einsatz von Ethical Hackers"},"content":{"rendered":"\n

Autor\/Redakteur: Naaman Hart, Managed Services Security Engineer bei Digital Guardian<\/a>\/gg<\/p>\n\n\n\n

Unternehmen stehen st\u00e4ndig vor der Herausforderung, mit der wachsenden Bedrohungslandschaft Schritt zu halten. Eine M\u00f6glichkeit, um Sicherheitsl\u00fccken in Systemen fr\u00fchzeitig zu identifizieren, ist der Einsatz sogenannter Ethical Hackers. Zu ihren Aufgabengebieten geh\u00f6ren etwa Penetrationstests von Netzwerken, Rechnern, webbasierten Anwendungen und anderen Systemen, um potenzielle Bedrohungen aufzudecken. Oft handelt es sich bei diesen Mitarbeitern um Hacker, die ihre F\u00e4higkeiten in der Vergangenheit f\u00fcr illegale Aktivit\u00e4ten wie etwa Einbruch in Unternehmenssysteme und -netzwerke genutzt haben. Gel\u00e4uterte Cyberkriminelle bieten damit einen umfangreichen Erfahrungsschatz sowie neue Denkans\u00e4tze und k\u00f6nnen L\u00f6sungen vorschlagen, die nicht gleich auf der Hand liegen.<\/p>\n\n\n\n

\"\"
Naaman Hart, Managed Services Security Engineer bei Digital Guardian (Bild: Digital Guardian)<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Bug-Bounty-Programme: Kopfgeldjagd auf Softwarefehler<\/strong><\/p>\n\n\n\n

Ein gutes Beispiel f\u00fcr das Einsatzspektrum von ethischen Hackern sind sogenannte Bug-Bounty-Programme. Mit diesen setzen Unternehmen quasi ein Kopfgeld auf Schwachstellen aus. Damit bieten sie Hackern finanzielle Anreize, um Fehler in einem bereitgestellten Softwareprodukt zu identifizieren und zu melden. Unternehmen k\u00f6nnen dadurch zeitnah reagieren und Schwachstellen beheben, bevor sie \u00f6ffentlich bekannt werden.<\/p>\n\n\n\n

M\u00f6gliche Probleme beim Einsatz von Ethical Hackers<\/strong><\/p>\n\n\n\n

Wenn Unternehmen zulassen, dass Hacker versuchen, in ihre Systeme einzudringen, birgt das nat\u00fcrlich auch Risiken. Denn im Erfolgsfall muss darauf vertraut werden, dass der Hacker unternehmensloyal handelt. Ein probates Mittel daf\u00fcr sind deshalb Bug-Bounty-Programme, da sie den Aufwand des Hackers von vornherein monetarisieren. Sobald eine Schwachstelle gefunden und best\u00e4tigt wurde, wird der Hacker f\u00fcr seinen Aufwand bezahlt. So gibt es nur einen begrenzten Anreiz, Daten zu stehlen oder den Exploit weiterzuverkaufen.<\/p>\n\n\n\n

Wichtig ist: Die Gesch\u00e4ftsbeziehung zwischen Bug-Bounty-Plattform und Hacker basiert auf gegenseitigem Vertrauen und Respekt. Es gibt F\u00e4lle, bei denen sich Hacker nicht an die Regeln und Einschr\u00e4nkungen des Bug-Bounty-Programms gehalten haben. Dies kann rechtliche Konsequenzen durch das Unternehmen nach sich ziehen. Ebenso sind einige Unternehmen und Bug-Bounty-Plattformen bekannt daf\u00fcr, Hacker nicht zu bezahlen, obwohl die gemeldete Schwachstelle best\u00e4tigt wurde. Solch ein Verhalten sch\u00e4digt das Vertrauen der Ethical-Hacker-Community enorm und kann sogar dazu f\u00fchren, dass das Unternehmen und die Plattform auf eine Liste mit Zielen f\u00fcr b\u00f6swillige Angriffe gesetzt werden.<\/p>\n\n\n\n\n\n\n\n

Bedenken beim Einsatz ehemalig krimineller Hacker<\/strong><\/p>\n\n\n\n

Es gibt potenziell immer Personen, die Hacking nur wegen des Nervenkitzels betreiben.\u00a0Deren F\u00e4higkeiten k\u00f6nnen jedoch durch legale, herausfordernde Aufgaben positiv umgeleitet werden. Nat\u00fcrlich mag die Frage aufkommen, wie man sich sicher sein kann, dass ein ehemaliger Krimineller nicht wieder straff\u00e4llig wird, doch dies ist kein spezifisches Problem der Cyberbranche. Wichtig ist, ein Umfeld zu schaffen, bei dem technische Herausforderung, Lern- und Weiterbildungsm\u00f6glichkeiten sowie entsprechende Verg\u00fctung gut ausgelotet sind.<\/p>\n\n\n\n

\u00dcberwiegen diese Vorteile, lohnt sich das Risiko einer Straftat nicht. Auch ist es wichtig, dass die Gesetzeslage mit der Technologieentwicklung Schritt h\u00e4lt, damit strafrechtliche Konsequenzen gut bekannt sind und gen\u00fcgend Abschreckung bieten. Cyber-Straftaten werden oft immer noch nachgiebiger geahndet als andere Delikte mit vergleichbarem finanziellem Schaden. Ein Grund, weshalb organisierte Banden immer mehr in die Online-Welt abwandern.<\/p>\n\n\n\n

Von Kontrolle zu Freiheit: Zusammenarbeit von Unternehmen und Hackern<\/strong><\/p>\n\n\n\n

Es sollten auf beiden Seiten sehr klare Vereinbarungen getroffen werden, die die M\u00f6glichkeit bieten, gegenseitiges Vertrauen aufzubauen. Beispielsweise k\u00f6nnen Unternehmen zu Beginn Zeit und Ort f\u00fcr die Nutzung internetf\u00e4higer Ger\u00e4te begrenzen, um eine bestimmte Aufgabe zu erf\u00fcllen. Ethische Hacker sollten Vorgaben und Abmachungen klar einhalten. Gleiches gilt f\u00fcr das Unternehmen. Werden Vereinbarung durch das Unternehmen nicht erf\u00fcllt, ist dies genauso sch\u00e4dlich f\u00fcr die Beziehung. Hat sich das gegenseitige Vertrauen schlie\u00dflich best\u00e4tigt, sollten ehemalig straff\u00e4llig gewordene Hacker wie jeder andere Mitarbeiter behandelt werden und die Verantwortung und Rolle erhalten, die ihnen geb\u00fchrt. Dauerhafte Stigmatisierung erh\u00f6ht erwiesenerma\u00dfen die Wahrscheinlichkeit einer R\u00fcckf\u00e4lligkeit. Der Glaube an eine Rehabilitation ist ein wichtiger Bestandteil f\u00fcr ihr Gelingen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Unternehmen stehen st\u00e4ndig vor der Herausforderung, mit der wachsenden Bedrohungslandschaft Schritt zu halten. Eine M\u00f6glichkeit, um Sicherheitsl\u00fccken in Systemen fr\u00fchzeitig zu identifizieren, ist der Einsatz sogenannter Ethical Hackers. Zu ihren Aufgabengebieten geh\u00f6ren etwa Penetrationstests von Netzwerken, Rechnern, webbasierten Anwendungen und anderen Systemen, um potenzielle Bedrohungen aufzudecken. Oft handelt es sich bei diesen Mitarbeitern um Hacker, die ihre F\u00e4higkeiten in der Vergangenheit f\u00fcr illegale Aktivit\u00e4ten wie etwa Einbruch in Unternehmenssysteme und -netzwerke genutzt haben. Gel\u00e4uterte Cyberkriminelle bieten damit einen umfangreichen Erfahrungsschatz sowie neue Denkans\u00e4tze und k\u00f6nnen L\u00f6sungen vorschlagen, die nicht gleich auf der Hand liegen.<\/p>\n","protected":false},"author":3,"featured_media":14698,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[6810,11679,12604,36],"class_list":["post-14697","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-bug-bounty","tag-digital-guardian","tag-ethical-hacker","tag-sicherheit"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14697","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=14697"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14697\/revisions"}],"predecessor-version":[{"id":14699,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14697\/revisions\/14699"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/14698"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=14697"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=14697"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=14697"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}