In diesem Jahr wurde Santiago Lopez, ein 19-jähriger Hacker aus Argentinien, zum weltweit ersten Bug-Bounty-Hacker, der mit Hacking 1 Million Dollar verdient hat. Dieses Ereignis wurde zu so etwas wie einem Meilenstein für die Hacker Community. Ganz offensichtlich gibt es ein nicht ganz geringes Ertragspotenzial für Hacker, die sich dem Ethical Hacking verschrieben haben, und die das Internet (wieder) zu einem sichereren Ort machen wollen.
Noch bemerkenswerter ist allerdings die Tatsache, dass Santiago Lopez Autodidakt ist. Man braucht also nicht unbedingt eine Universitätsausbildung um sich als Master Mind unter den Hackern einen Namen zu machen. Und nicht zuletzt seinen Lebensunterhalt auf der Basis von Hacking zu bestreiten. Laut einer aktuellen Studie geben 81 % der befragten Hacker an, dass sie primär auf Online-Ressourcen und Blogs zurückgreifen um sich weiterzubilden und Erfahrungen zu sammeln. Nur magere 6 % der Befragten haben eine formelle Ausbildung oder Zertifizierung im Bereich Hacking abgeschlossen.
Bug-Bounty-Hacker
Bug-Bounty-Hacker besetzen eine neue Nische, und sie sind auf dem boomenden Arbeitsmarkt für Cybersicherheit ausgesprochen gefragt. Unternehmen wie Starbucks, Verizon Media, Toyota, Airbnb und sogar Regierungsbehörden wie das US-Verteidigungsministerium arbeiten mit ethischen Hackern zusammen, um Sicherheitsschwachstellen in ihren Systemen zu finden, bevor diese ausgenutzt werden. Unternehmen und Behörden bedienen sich bei ihren Sicherheitsstrategien zunehmend der Herangehensweise und Expertise von Hackern. Nicht zuletzt um hochsensible Informationen und Kundendaten besser als bisher zu schützen.
Diese Unternehmen sind bereit, für eine zusätzliche Sicherheitsebene zu zahlen, und das nicht schlecht. Die sogenannten Bug Bounties variieren zwar je nach Kunde, Land und Anforderungsprofil, alles in allem sind sie aber für unterschiedliche Hackergruppen und -persönlichkeiten durchaus lukrativ. Nach einer jüngsten Erhebung zahlen Unternehmen durchschnittlich 2.000 US-Dollar für das Auffinden und Melden einer kritischen Schwachstelle, wobei die Prämie bis zu 100.000 US-Dollar für einen einzigen aufgedeckten Fehler steigen kann.
Bug-Bounty-Programme
Bug-Bounty-Programme sind in den letzten Jahren immer attraktiver geworden. Nicht zuletzt, weil sich Art und Umfang der auftretenden Datenschutzverletzungen trotz aller Sicherheitsbemühungen und Technologien nicht vermindert haben. Im Gegenteil. Bug-Bounty-Programme haben eine Reihe von Vorteilen sowohl für Unternehmen als auch für Behörden. Solche Programme ziehen die klügsten Köpfe der Hacker Community an. Es gibt keine geografischen Einschränkungen. Langwierige Auswahlverfahren und Einstellungsprozesse entfallen. Um eine Größenordnung zu nennen: Allein in den USA gab es zwischen September 2017 und August 2018 mehr als 313.000 offene Stellenangebote im Bereich Cybersicherheit. Der Mangel an ausgewiesenen Fachkräften und Cybersicherheitsexperten dürfte sich in anderen Ländern ähnlich niederschlagen. Der Arbeitsmarkt ist leergefegt, Ausbildungsgänge und Studienangebote hinken hinterher.
Es überrascht also nicht sonderlich, dass ethische Hacker die Nische nutzen und sich auf Basis von Bug-Bounty-Programmen eine erfolgreiche Karriere aufbauen. Hacking ist auf dem besten Weg einer der lukrativsten Jobs der Welt zu werden und etablierte Berufsbilder wie die eines Arztes oder Architekten finanziell hinter sich zu lassen. Ein Arzt verdient in den USA beispielsweise durchschnittlich 195.000 Dollar, ein Architekt durchschnittlich 115.000 Dollar. Unterdessen verdienen die bestbezahlten Hacker der Welt bereits etwa das Dreifache dieser Summe. Einige Unternehmen zahlen sogar mehrere Millionen jährlich an Hacker aus.
Die Plattform HackerOne, die Hacker und Unternehmen zusammenbringt, verfügt inzwischen über eine Community von über 400.000 registrierten Hackern. Diese Hacker verdienten allein im Jahr 2018 über 19 Millionen Dollar und insgesamt mehr als 50 Millionen seit Gründung der Plattform.
Karriere als »Ethical Hacker«
Seinen Lebensunterhalt auf der Basis von Hacking zu bestreiten hat zweifellos Vorteile. Flexible Arbeitszeiten, größtmögliche Autonomie, Teil einer aktiven Community zu sein, von der man viel und schnell lernt und das Potenzial mit seinen Fähigkeiten gutes Geld zu verdienen, um nur einige zu nennen. Wie schwierig oder realistisch ist es aber als Hacker in dieses Feld einzusteigen und als »Ethical Hacker« Karriere zu machen? Die gute Nachricht: in vielen Fällen ist es nicht nötig wieder die Schulbank zu drücken und wenn, dann nur in einem sehr übertragenen Sinne. Etliche Fähigkeiten, die man braucht um ein erfolgreicher Hacker zu werden, kann man sich heute online aneignen. In vielen Fällen gänzlich kostenlos oder doch weitgehend. Daneben sind ein ausreichendes Maß an professioneller Neugier und Motivation ausschlaggebend. Die im Übrigen für die Befragten fast annähernd den gleichen Stellenwert haben wie die Aussicht einigermaßen gutes Geld zu verdienen.
Wo und wie soll beginnen?
Trotzdem stellt sich die Frage wo und wie soll man beginnen? Die Bedingungen in das Metier einzusteigen und seine berufliche Karriere im Bereich Hacking anzusiedeln, waren noch nie so vielversprechend wie gerade heute. Das gilt sowohl finanziell als auch hinsichtlich der persönlichen Weiterentwicklung. Im Prinzip kann sich praktisch jeder anhand der aktuell online verfügbaren Tools Hacking selbst beibringen. Es gibt ganz sicher kein »Hacker-Gen«. Eine Fähigkeit bringen aber so gut wie alle erfolgreichen Hacker von Natur aus mit, nämlich die Fähigkeit und den Willen Probleme zu lösen. Meistens gepaart mit der Neugierde herauszufinden wie eine bestimmte Technologie funktioniert und wo ihre potenziellen Schwachstellen liegen könnten.
Ethical Hacking boomt. Egal, ob man es eher als lukratives Hobby betreibt oder als Vollzeit-Hacker. Die Voraussetzungen für eine Hacking-Karriere jedenfalls waren noch nie so günstig wie gerade jetzt. Ein guter Tipp ist es, mit frei verfügbaren Ressourcen in die Materie einzusteigen und sein Wissen anschließend in echten Bug-Bounty-Programmen anzuwenden.
Geld für kostenpflichtige Programme auszugeben, lohnt sich besonders dann, wenn man mehr und schneller dazu lernen will.
Ben Sadeghipour, Hacker and Hacker Operations Lead bei HackerOne
Und hier kommen einige der wichtigsten Ressourcen, wenn man »Hacking« lernen will:
Kostenfreie Online-Turorials & Videos
-
WebHacking 101. HackerOne bietet eine kostenlose E-Book-Version an, um angehenden Hackern den Einstieg zu erleichtern. Das eBook wurde von einem der Hacker- und Shopify-Ingenieure von HackerOne, Peter Yaworski, verfasst und basiert auf realen Schwachstellen-Reports, die auf den HackerOne-Seiten veröffentlicht wurden.
-
Getting Started in Bug Bounty – von Sahil Ahamed, Security Engineer bei Zomato.
-
Wie man ein erfolgreicher Bug-Bounty-Jäger wird – HackerOne Blog.
-
YouTube-Video »How to get started in bug bounty – 9 X Professional Tips«
-
»Resources for Beginning Bug Bounty Hunters« von Cody Brocious, Head of Hacker Education bei HackerOne, ein Leitfaden, geschrieben von Hackern für Hacker. Der Leitfaden bietet eine gute Basis für angehende Hacker um sich mit den Grundlagen der Web Application Security vertraut zu machen.
Frei verfügbare Hacking-Tools zu Trainingszwecken:
-
Cybrary, eine kostenlose Plattform für Cybersicherheitstrainings, bietet erstklassige Schulungen und Materialien.
-
Bug Hunter University Google’s Bug Hunter University. Diese Ressource wurde vom Google Security Team für Mitglieder der Bug-Hunter-Community des Vulnerability Reward Program von Google erstellt und bietet eine Reihe großartiger Beispiele für Vulnerability Reports. Das Team stellt Tipps und Wissen zur Verfügung und bietet jedem, der lernen möchte, wie man ein Bug-Jäger wird, einen zusätzlichen Blick hinter die Kulissen.
-
Hacker101.com bietet kostenlose Kurse in Websicherheit an und richtet sich an alle, die sich für Bug-Bounties interessieren, auf unterschiedlichen Leveln. Die meisten Kurse leitet Cody Brocious, Head of Hacker Education bei HackerOne.
-
HackerOne’s Capture-the-Flags (CTFs). CTFs steht für Capture The Flag, eine bestimmte Sorte von Hacking-Events, bei dem Sie nur ein Ziel haben: Hacken Sie sich ins System und finden Sie die Flagge. Flaggen werden an verschiedenen Stellen platziert – sie befinden sich in einer Datei, in der Datenbank, im Quellcode oder anderswo. Diese Flaggen zu finden, ist das Ziel.
-
HackerOne’s Hacktivity enthält Tausende öffentlich zugänglicher Berichte, aus denen man lernen kann. Eine Quelle, die von vielen Hackern genutzt wird.
-
HackEDU bietet interaktive Schulungen zur Sicherheit von Webanwendungen an, die sowohl kostenlose als auch kostenpflichtige Programme beinhalten. Das kostenlose Programm bietet Kurse zu SQL-Injection, 6 Sandboxen für öffentliche Schwachstellen, um seine Fähigkeiten zu testen und eine Vielzahl von praktischen Anwendungen und Trainings. HackEDU bietet kostenlose Trainingsmodule mit realen Schwachstellen auf der HackerOne-Plattform, die jetzt auch in Sandbox-Umgebungen verfügbar sind.
-
HacktheBox, ist eine Art großer Spielplatz für Pen-Testing, es existieren dort sowohl kostenlose als auch kostenpflichtige VIP-Programme.
-
Portswigger’s Burp Suite war der erste Scanner zum Aufdecken von Schwachstellen überhaupt. Er kostet nicht viel und ist für Sicherheitsforscher und Hobby-Hacker gleichermaßen verfügbar. Hacker sollten die Burp Suite einsetzen, sobald sie beginnen nach komplexeren Fehlern zu suchen und wenn sie automatisierte Tools benötigen. Portswigger bietet auch eine Web Security Academy sowie kostenlose Schulungen zu Schwachstellen bei der Websicherheit, Techniken zum Auffinden und Ausnutzen von Schwachstellen.
Zusätzliche Ressourcen (kostenpflichtig)
-
Pentesterlab
-
The Web Application Hacker’s Handbook
-
The Mobile Application Hacker’s Handbook
-
The Hacker Playbook 1, 2 and 3
-
The Tangled Web: A guide to Securing Modern Web Applications
1084 search results for „Hacker“
NEWS | DIGITALISIERUNG | FAVORITEN DER REDAKTION | IT-SECURITY | ONLINE-ARTIKEL | SERVICES
Was uns ein US-Präsidentschaftskandidat über Hacker lehrt
Im letzten Monat wurde ein nicht ganz uninteressanter Fakt publik gemacht. Beto O’Rourke, der neueste Kandidat im Wettlauf um die US-Präsidentschaft und potenzieller Gegner von Donald Trump, ist ein ehemaliges Mitglied einer der ältesten Hackergruppierungen in den USA, den – Cult of the Dead Cow. Eine Gruppierung, die insbesondere dafür bekannt war, sich gegen staatliche…
TRENDS 2019 | TRENDS SECURITY | NEWS | CLOUD COMPUTING | IT-SECURITY
Cyberattacken: Wo Hacker angreifen
2016 zielten laut Kaspersky nur 16 Prozent aller Cyberattacken auf Microsoft Office. Zwei Jahre später hat sich der Anteil der Angriffe auf 70 Prozent vervielfacht. Verantwortlich für den Anstieg sollen eine Vielzahl sogenannter Zero Day Exploits sein. Das sind Sicherheitslücken, die am selben Tag erfolgen, an dem die hierbei ausgenutzte Schwachstelle in der entsprechenden Software…
IT-SECURITY | TIPPS
IT-Sicherheitsexperte überzeugt: Mit Verschlüsselung, Vorsicht und einem IT-Sicherheitskonzept lassen sich Hackerattacken verhindern
Bereits mit völlig unkomplizierten Sicherheitsmaßnahmen lassen sich Hackerangriffe auf die Unternehmensinfrastruktur vermeiden. Davon ist IT-Sicherheitsexperte Christian Heutger überzeugt: »Hundertprozentige Sicherheit wird es kaum geben. Ein IT-Sicherheitskonzept, bei dem Verantwortlichkeiten verteilt und etwaige Notfallmaßnahmen beschlossen sind, sowie ein IT-Sicherheitsbeauftragter, der einerseits diese Maßnahmen steuert und überwacht, andererseits aber auch Mitarbeiter darin schult IT-Sicherheit umfassend im Unternehmen…
NEWS | VERANSTALTUNGEN
Mit Praxiswissen gegen Hackerangriffe
PLUTEX GmbH aus Bremen lädt zum Business-Frühstück. Am 8. März 2019 lädt die PLUTEX GmbH in Kooperation mit dem Bremen Business Club zu einem ganz besonderen Business-Frühstück ein. Von 09.00 bis 11.00 Uhr informieren Experten für sichere Serverumgebungen IT-Verantwortliche, technische Entscheider, Leiter, und Geschäftsführer in den PLUTEX-Geschäftsräumen in Bremen zum Thema »Sicherheit in der IT:…
NEWS | IT-SECURITY | STRATEGIEN | TIPPS
Täglich grüßt der Hacker – sind Passwörter noch zeitgemäß?
Ein australischer IT-Sicherheitsexperte hat in einem Hackerforum die bisher größte öffentlich einsehbare Sammlung gestohlener Zugangsdaten entdeckt. Um 2.692.818.238 (rund 2,7 Milliarden) Zeilen mit E-Mail-Adressen und Passwörtern soll es dabei gehen. Für Betroffene kann damit großer Schaden verbunden sein, etwa, wenn Kreditkartendaten mit kompromittierten Accounts verknüpft sind. Zeit zu handeln und auf Alternativen für klassische Passwörter…
TRENDS 2019 | TRENDS SECURITY | NEWS | TRENDS SERVICES | IT-SECURITY | KÜNSTLICHE INTELLIGENZ| SERVICES
Hacker rekrutieren Roboter für Cyberangriffe
Unternehmen müssen sich mit einer neuen Art von Cyberattacken befassen. Hacker nutzen verstärkt künstliche Intelligenz (KI) für ihre Angriffe und setzen damit die IT-Sicherheitsverantwortlichen unter Zugzwang. Denn Unternehmen sind noch nicht soweit, neuste KI-Technologien zur Verteidigung zu nutzen. Spezielle Überwachungswerkzeuge für den Datenverkehr, die bei der Identifikation von IT-Sicherheitsvorfällen helfen – zum Beispiel sogenannte Intrusion…
NEWS | CLOUD COMPUTING | DIGITALISIERUNG | IT-SECURITY | KOMMUNIKATION | ONLINE-ARTIKEL | RECHENZENTRUM | TIPPS
Hacker, willkommen – Schatten-IT als Einfallstor für Datendiebe, Cryptojacking und Malware-Angriffe
Schatten-IT – Soft- und Hardware, die nicht durch das Sicherheitsteam eines Unternehmens freigegeben wurde – ist seit langem ein beliebter Angriffsvektor für Cyberkriminelle und Insider. Während Insider zunehmend bereits installierte, legitime und dadurch schwer zu entdeckende Tools wie PowerShell, WMI oder Cmd.exe einsetzen, um Unternehmensrechner mit Malware zu kapern, herrscht kein Mangel an scheinbar…
NEWS | IT-SECURITY | KOMMENTAR
Hacker erbeuten Pläne von Atomanlagen – Unternehmen müssen Privileged Account Management endlich ernst nehmen
Ein Kommentar von Markus Kahmen, Regional Director CE bei Thycotic: »Der wirksame Schutz privilegierter Konten und Zugriffsrechte gewinnt in Unternehmen immer mehr an Bedeutung, nicht zuletzt, seit die Analysten von Gartner Privileged Account Management, oder kurz PAM, zur Top-Priorität für CIOs im Jahr 2018 erklärt haben. Dass die eindringliche Mahnung, Konten mit weitreichenden Rechten…
NEWS | IT-SECURITY | TIPPS
Tipps zum Thema Cybersicherheit: So schützen Sie sich in 10 Schritten vor Hackern
Schlagzeilen über verheerende Cyberangriffe werden immer häufiger: Sowohl die Zahl der Sicherheitsverletzungen als auch deren Schweregrad nehmen weiter zu. Eine denkbare Erklärung dafür ist, dass Cyberkriminelle mithilfe neu entwickelter, futuristischer Schadsoftware in bisher unangreifbare Netzwerke eindringen und die meisten Experten ratlos zurücklassen. Das mag zwar in Einzelfällen stimmen, doch sehr viel häufiger geschehen Sicherheitsverletzungen…
NEWS | BUSINESS | DIGITALISIERUNG | FAVORITEN DER REDAKTION | INFOGRAFIKEN | IT-SECURITY | KOMMUNIKATION | STRATEGIEN | TIPPS
Mit einem Hacker auf Business-Trip
Die it-sa hat sich mittlerweile als bedeutendste IT-Security-Messe Europas etabliert. Vom 9. bis 11. Oktober 2018 präsentiert sie sich zum zehnten Mal und ist mit zusätzlicher Ausstellungsfläche größer denn je. Im letzten und austellerstärksten Jahr lockte sie über 630 Aussteller und rund 13.000 Fachbesucher aus aller Welt an. In diesem Jahr erwartet die Messe Nürnberg…
NEWS | BUSINESS | DIGITALISIERUNG | FAVORITEN DER REDAKTION | GESCHÄFTSPROZESSE | IT-SECURITY | RECHENZENTRUM | STRATEGIEN | TIPPS
Tipps gegen Bedrohungssituation durch Hackergruppen aus dem Ausland
In der Welt der Cyberangriffe ist das Potenzial eines nationalstaatlichen Angriffs realer denn je. Während man zunächst annehmen kann, dass staatlich unterstützte Hacker motiviert sind, militärische und diplomatisch sensible Informationen zu sammeln, sind auch andere Motivationen im Spiel. In zunehmendem Maße verwenden nationalstaatliche Hacker leistungsfähige und hochentwickelte Techniken, um nicht nur staatliche Institutionen, sondern…
TRENDS SECURITY | NEWS | TRENDS KOMMUNIKATION | TRENDS MOBILE | DIGITALISIERUNG | TRENDS SERVICES | INTERNET DER DINGE | IT-SECURITY | SERVICES | SICHERHEIT MADE IN GERMANY | STRATEGIEN
Hackerangriffe und Facebook-Datenskandal: Verbraucher wünschen sich strengere Gesetze für mehr Cybersicherheit
Vertrauen in das eigene Smartphone ist größer als Vertrauen in den Staat. Die zunehmende Anzahl an Hackerangriffen und auch der Facebook-Datenskandal verunsichern viele Bürger und stärken deren Bedürfnis nach mehr Cybersicherheit. Zu diesem Ergebnis kommen zwei repräsentative Umfragen der Management- und Technologieberatung BearingPoint, für die jeweils bundesweit rund 1.000 Bürger befragt wurden [1]. Die…
NEWS | DIGITALISIERUNG | INFRASTRUKTUR | IT-SECURITY | KOMMENTAR | KOMMUNIKATION | STRATEGIEN
Wenn Hacker die Demokratie angreifen
Seit es Wahlen gibt wird versucht, diese auch zu manipulieren. Brandaktuell sichtbar bei den Ereignissen der russischen Wahl letztes Wochenende. Nach Angaben der Wahlleitung musste das Computernetzwerk der russischen Wahlkommission Cyberattacken aus 15 Ländern abwehren, die versuchten, die Server mit Massenanfragen zum Absturz zu bringen. Julian Totzek-Hallhuber, Solution Architect bei CA Veracode beschäftigt sich mit…
TRENDS SECURITY | NEWS | DIGITALISIERUNG | TRENDS 2018 | INFOGRAFIKEN | IT-SECURITY | SERVICES
Hacker bevorzugen einfache Angriffsmöglichkeiten wie Phising
Angreifer suchen zunehmend nach einfachen Wegen für ihre Angriffe auf IT-Infrastrukturen, Firmennetze und Rechner. Dazu gehört das Social Engineering: Hacker versuchen Zugang zu vertraulichen Daten, Geräten oder Netzwerken über den persönlichen Kontakt zu bekommen. Erfolgt diese Manipulation per E-Mail oder Telefon spricht man vom Phishing. Phishing war im zweiten Halbjahr 2017 die häufigste Bedrohung in…
NEWS | IT-SECURITY | KOMMENTAR | KOMMUNIKATION | STRATEGIEN
Hackerattacke auf deutsche Ministerien – Angreifer haben oft leichtes Spiel
Die Nachrichten über den jüngsten Hackerangriff auf deutsche Regierungsstellen schlagen hohe Wellen. Auch wenn noch nicht klar ist, wer die Angreifer sind, so scheint sich schon herauszukristallisieren, dass die Hacker lange Zeit in den Netzwerken spioniert haben – und möglicherweise der Angriff noch gar nicht beendet ist. Für Gérard Bauer, VP EMEA bei Vectra,…
TRENDS SECURITY | NEWS | TRENDS 2018 | IT-SECURITY | SERVICES | TIPPS
Hacker kapern Regierungswebsite für illegales Mining von Kryptogeld
Crypto-Currency-Miner mit künstlicher Intelligenz enttarnen. Ausgerechnet die Website des »Information Comissioner´s Office« (ICO) der britischen Regierung wurde Opfer einer illegalen Crypto-Cash-Kampagne. Nach Hinweisen, dass Hacker die Rechner von Besuchern der Website angreifen um illegales Mining von Kryptogeld zu starten, wurde der Internetauftritt des ICO vom Netz genommen. Gérard Bauer, VP EMEA bei Vectra,…