Zehn Fakten über »Ethical« Hacking – Zerstörter Mythos

»White Hat«-Hacker arbeiten mit Unternehmen zusammen und helfen ihnen, Schwachstellen in ihren Systemen zu finden. White Hats verwenden ihr Wissen sowohl innerhalb der Gesetze als auch innerhalb der Hackerethik.

Der Legende nach war die ursprüngliche Definition von Hacker »jemand, der »Möbel mit einer Axt herstellt«. Wenn man heute das Wort »Hacking« im Cambridge English Dictionary nachschlägt, wird es als »Aktivität bezeichnet, einen Computer illegal zu benutzen, um auf Informationen zuzugreifen, die auf einem anderen Computersystem gespeichert sind, oder um einen Virus zu verbreiten«. Keine der beiden Definitionen ist für das 21. Jahrhundert noch geeignet. Heute gibt es eine Armee von »White Hat«-Hackern, die als Wächter und Beschützer fungieren und nur eine sehr kleine Minderheit von ihnen hat jemals daran gedacht, Möbel herzustellen.

»White Hat«-Hacker arbeiten mit Organisationen zusammen und helfen ihnen, Schwachstellen in ihren Systemen zu finden, bevor Cyberkriminelle diese ausnutzen können. Tag für Tag suchen diese Hacker nach Sicherheitslücken und melden diese verantwortungsbewusst Unternehmen, damit diese schnell behoben werden können.

In Deutschland ist das »Ethical«-Hacking über die Organisation »Chaos Computer Club« sehr bekannt geworden. Auch hier wird das Ziel verfolgt, Schwachstellen zu identifizieren für Institutionen, Unternehmen und Privatpersonen und darüber zu berichten, bevor es Cyberkriminelle für ihre Zwecke nutzen können.

Keren Elazari nannte Hacker »das Immunsystem des Internets«. Oft werden sie von Neugier getrieben und sie tun nichts Illegales. Mit dem Auffinden und Beheben von Schwachstellen möchten sie erreichen, dass das Internet ein sicherer Ort wird. 

Das Zeitalter des Hackers. Die Gesellschaft ist in das digitale Zeitalter eingetreten, in dem jedes Unternehmen über Cybersicherheit nachdenken muss, dass im Internet präsent und aktiv ist. Jedes Unternehmen, deren Geschäftstätigkeit über Softwareabläufe abgehandelt wird, ist auf sichere Systeme angewiesen. Doch Cyberbedrohungen können übermächtig erscheinen, denn die Zahl der Angreifer ist weitaus größer als die der kleinen Sicherheitsteams. Da immer mehr Codes eingesetzt werden, können herkömmliche Sicherheitskontrollen und sogar die Automatisierung nicht mehr mithalten. Helfen kann aber eine Community von Hackern, die bereits äußerst aufmerksam Internetaktivitäten im Blick haben. Zehntausende von vertrauenswürdigen Hackern werden täglich von Unternehmen wie Lufthansa oder Spotify sowie Institutionen wie die der Europäischen Kommission eingeladen und aufgefordert, Software zu testen. Diese Testszenarien werden als Bug-Bounty-Programme bezeichnet.

Bug-Bounty-Programme beinhalten die Zusammenarbeit mit einer großen Community von Hackern mit unterschiedlichen Fähigkeiten und fundiertem Wissen. Diese ermöglichen es ihnen, Systeme auf Schwachstellen zu testen, die oft monatelang oder sogar jahrelang unbemerkt blieben. Schwachstellen können von der größtmöglichen Anzahl von Analysten gesucht und behoben werden, bevor sie von Kriminellen ausgenutzt werden.

Laut einem aktuellen Bericht von HackerOne hat deren Community von White Hat Hackern bereits über 72.000 gültige Schwachstellen gefunden. Dies verdeutlicht die wichtige Rolle von White Hat Hackern bei der Eindämmung von Sicherheitsbedrohungen.

Der Hacker Report 2018 befragte 1.698 »Ethical« Hacker, um ihre wichtigsten Motivationen zu verstehen. Die Studie deckte einige sehr interessante, motivierende Faktoren auf, aus der sich eine Art Top 10 der »Ethical Hacking Facts« ableiten lässt, die sehr überraschen:

1.
White Hat Hacker haben in den letzten fünf Jahren bereits über 32 Millionen Dollar verdient

White Hat Hacker aus dem Netzwerk von HackerOnes haben in den letzten fünf Jahren über 32 Millionen US-Dollar an Bug Bounties verdient. Dies zeigt, dass White Hat Hacking eine legitime und lukrative Berufswahl sein kann.

2.
Geld ist nicht der Motivator Nummer eins

Meist wird davon ausgegangen, dass Geld der Hauptmotivator für »Ethical« Hacker ist, doch dies ist eigentlich nicht der Fall. Der finanzielle Anreiz ist zweifellos wichtig, aber der Hauptmotivator für White Hat Hacker ist die Möglichkeit, Tipps und Techniken zu erlernen. Andere Hauptgründe für Hacking sind Karriereaussichten oder die Chance, konstruktiv zu wirken und zur Sicherheit und Schutz beizutragen.

3.
Hacker lieben es, Webseiten zu hacken

Über 70 Prozent der Hacker geben an, dass ihre Lieblingsprojekte Webseiten und Webanwendungen sind. Gefolgt von APIs (sieben Prozent), Technologieprodukte, die Daten nutzen (fünf Prozent), Android-Apps (vier Prozent), Betriebssysteme (drei Prozent) und IoT (drei Prozent).

4.
Jeder vierte Hacker spendet Prämien für wohltätige Zwecke

Über 24 Prozent der Hacker aus dem HackerOne-Netzwerk haben Prämien an gemeinnützige Organisationen gespendet – Thema Hacking für einen guten Zweck.

5.
Die fünf wichtigsten Hacker-Regionen sind Indien, USA, Russland, Pakistan und Großbritannien

Indien (23 Prozent) und die Vereinigten Staaten (20 Prozent) sind die beiden führenden Länder in der Hacker-One-Hacker-Community, gefolgt von Russland (sechs Prozent), Pakistan (vier Prozent) und Großbritannien (vier Prozent).

6.
Ein Hacker benutzte seine Prämien, um seiner Familie ein Haus zu kaufen

Ibram Marzouk, ein Ethical Hacker in HackerOnes Netzwerk, setzte seine Prämiengelder ein, um seiner Familie ein Haus zu kaufen, als sie in die USA zogen. Andere Hacker haben Bug-Bounty-Geld verwendet, um Autos zu kaufen, Schulgeld zu zahlen, für die Ferien und sogar für das College zu sparen.

7.
Die Top-Verdiener »Ethical«-Hacker erzielen das 2,7-fache des Mediangehalts eines Software-Ingenieurs in ihrem Heimatland

Die Top-Hacker in Indien verdienen das 16-fache des Mediangehalts eines Software-Ingenieurs. Im Durchschnitt verdienen Spitzenkräfte das 2,7-fache des Mediangehalts eines Software-Ingenieurs im jeweiligen Heimatland. Das bedeutet, dass White Hat Hacking für manche eine lukrativere Berufswahl sein kann als Software Engineering.

8.
Hacker verbringen durchschnittlich 20 Stunden pro Woche mit Hacken

Über 66 Prozent der Hacker verbringen 20 Stunden oder weniger pro Woche mit Hacking. 44 Prozent verbringen 10 Stunden oder weniger pro Woche. Mehr als 20 Prozent der Hacker verbringen über 30 Stunden pro Woche. Nur 13 Prozent der Hacker hacken Vollzeit (über 40 Stunden pro Woche).

9.
50 Prozent der Hacker sind unter 25 Jahre alt

Hacking zieht die junge Generation an. Die Mehrheit (45 Prozent) der Hacker sind zwischen 18 und 24 Jahre alt. Über 90 Prozent des Bug-Bounty-Netzwerks von HackerOne sind jünger als 35 Jahre, nur acht Prozent sind jünger als 18 Jahre. Obwohl viele Hacker jung sind, hacken fast 29 Prozent seit sechs Jahren oder mehr, davon über 10 Prozent seit mindestens 2006.

10.
Hacker bei Nacht, Studenten und technische Mitarbeiter bei Tag

Fast die Hälfte – 46,7 Prozent der Hacker – arbeiten hauptberuflich in verwandten Bereichen, wie Informationstechnologie (IT), Software- oder Hardwareentwicklung. Über 44 Prozent der Beschäftigten in einem IT-Beruf konzentrieren sich speziell auf die Sicherheitsforschung und 33 Prozent auf die Softwareentwicklung. Etwas mehr als 25 Prozent der Hacker-One-Profis sind Studenten.

Hacking wird zunehmend als legitime Aktivität angesehen – sowohl von Hackern, deren Aktivitäten finanziell entlohnt werden, als auch von den Organisationen, die ihre Fähigkeiten nutzen wollen, um Software und Netzwerke zu sichern. Seit den 1980er Jahren definieren sich Hacker gerne als »jemand, der die intellektuelle Herausforderung genießt, Grenzen kreativ zu überwinden oder zu umgehen. 

 

Das Unternehmen

HackerOne, eine Plattform für Bug Bounties und Vulnerability Disclosure hat in seinem kürzlich veröffentlichten Hacker-Powered Security Reports 2018 offengelegt, dass das Unternehmen 2018 mehr als 72.000 kritische Sicherheitslücken in mehr als 1.000 Unternehmen schließen konnte. Der Jahresreport ist eine Benchmark-Studie zu Bug Bounties und Vulnerability Disclosure, der auf dem größten verfügbaren Datensatz für entdeckte Schwachstellen oder Sicherheitslücken basiert. Das Unternehmen mit Hauptsitz in San Francisco und Büros in Groningen, New York und London organisiert Wettbewerbe – vornehmlich für Konzerne und Behörden – bei denen Hacker Schwachstellen in fremden Computersystemen ausfindig machen und den Betroffenen die ungewollten Einfallstore melden. Neben der größten europäischen Fluggesellschaft Lufthansa und dem Open-Source-Anbieter Nextcloud aus Stuttgart, vertrauen mehr als 1.000 Unternehmen weltweit HackerOne. Weitere Informationen dazu unter https://www.hackerone.com/

 


Laurie Mercer, Lösungsingenieur bei HackerOne

 

Illustrationen: © Mechanic Design, Demja, T-Kot /shutterstock.com 

 

Studie: Digitale Transformation hat Top-Priorität für CEOs – aber Security ist für viele nur notwendiges Übel

Fünf Sicherheitslücken durch hybride IT

Smart Home: Nur Geräte mit Datenschutzerklärung kaufen

Cybersecurity-Trends 2018: In fünf Jahren rund 500 vernetzte Geräte in jedem Privathaushalt

8 IT-Trends für 2018

Künstliche Intelligenz kann wichtigen Beitrag zur Cybersicherheit leisten