Ethical Hacking: auf der Seite der Guten
Ethical Hacking: auf der Seite der Guten
4. Februar 2023 -
Ethical Hacking ist ein wesentlicher Bestandteil der modernen Cybersicherheit. Doch auf welchen Prinzipien und Methoden basiert die Methode, welche Ergebnisse können Unternehmen erwarten und welche Konsequenzen folgen aus der Sicherheitsoffensive?
Artikel erschienen in IT Magazine 2023/01
Die Kür im Ethical Hacking ist der Penetrationstest. Der Penetrationstest ist ein beauftragter, autorisierter, geplanter sowie simulierter Cyberangriff auf ein Unternehmen. Ziel ist es, bisher unbekannte Angriffspunkte zu identifizieren und zu eliminieren, bevor Hacker sie dazu nutzen können, geistiges Eigentum oder andere sensible Daten zu stehlen oder eine Organisation anderweitig zu schädigen. Pentesting ist der Oberbegriff für eine Reihe von Methoden zur Bewertung der Sicherheit eines Systems oder Netzwerks mithilfe von Tools und Techniken, die es ermöglichen, Schwachstellen zu erkennen und auszunutzen. Dabei handelt es sich jedoch nicht um eine beliebige, unstrukturierte Tätigkeit. Es gibt eine Reihe von Methoden, die bei verschiedenen Arten von Tests und Zielen eingesetzt werden. Die bekannteste ist der OWASP (Open Web Application Security Project) Testing Guide – ein Rahmenwerk, das seit 2001, als die gemeinnützige OWASP Foundation gegründet wurde, von Zehntausenden von Sicherheitsexperten kontinuierlich weiterentwickelt wird.
Ursprung und Entwicklung des Begriffs Hacking
Die Verwendung des Begriffs Hack im modernen Sinne (bezogen auf Computertechnologien) hat seinen Ursprung in den späten 1950er- und frühen 1960er-Jahren am Massachusetts Institute of Technology (MIT). Damals traf sich eine Gruppe von Studenten und Forschern, die sich für die Programmierung interessierten, um Informationen auszutauschen und voneinander zu lernen. Sie bezeichneten sich selbst als «Hacker», um ihre Leidenschaft für das Erforschen und Experimentieren mit der neuen Technologie zu beschreiben.
Die ursprüngliche Bedeutung bezog sich auf kreative Methoden, mit denen ein Computer dazu gebracht werden konnte, andere als die vorgesehenen Funktionen auszuführen. Und das konnte natürlich sowohl aus guten als auch aus schlechten Motiven geschehen. Mit dem Vormarsch der Technologien traten auch Kriminelle auf den Plan, die Schwachstellen in Systemen (Sicherheitslücken) für böswillige Aktivitäten (z.B. den Diebstahl von Daten, Geld oder Identitäten) missbrauchten. Seitdem ist der Begriff Hacker negativ besetzt und es entstand das Klischee einer getarnten dunklen Macht mit geheimnisvollen Fähigkeiten.
Als sich die Unternehmen nach der Jahrtausendwende in erheblichem Masse auf das Internet verlegten, wurde ein systematischer Ansatz für die Sicherheit von Diensten und die Informationsübertragung über das Internet zu einem immer wichtigeren Thema. Einer der Sicherheitsdisziplinen, den Penetrationstests, kam nach und nach immer eine immer grössere Schlüsselrolle bei der Sicherung aller Kommunikationsebenen des Internets zu, insbesondere bei Diensten (Anwendungen, E-Mails, Online-Zahlungssystemen usw.). Penetrationtesting wird oft auch als «ethisches Hacking» bezeichnet. Denn das Ziel eines Penetrationstests ist es, einen Angriff zu simulieren und Schwachstellen zu ermitteln, genau wie ein Hacker es tun würde, allerdings mit der legalen Erlaubnis und dem Wissen des System- oder Netzwerkbesitzers. In gewisser Weise sind Penetrationstester also die Superhelden, die ihre Kräfte für das Gute statt für das Böse einsetzen.
Die Verwendung des Begriffs Hack im modernen Sinne (bezogen auf Computertechnologien) hat seinen Ursprung in den späten 1950er- und frühen 1960er-Jahren am Massachusetts Institute of Technology (MIT). Damals traf sich eine Gruppe von Studenten und Forschern, die sich für die Programmierung interessierten, um Informationen auszutauschen und voneinander zu lernen. Sie bezeichneten sich selbst als «Hacker», um ihre Leidenschaft für das Erforschen und Experimentieren mit der neuen Technologie zu beschreiben.
Die ursprüngliche Bedeutung bezog sich auf kreative Methoden, mit denen ein Computer dazu gebracht werden konnte, andere als die vorgesehenen Funktionen auszuführen. Und das konnte natürlich sowohl aus guten als auch aus schlechten Motiven geschehen. Mit dem Vormarsch der Technologien traten auch Kriminelle auf den Plan, die Schwachstellen in Systemen (Sicherheitslücken) für böswillige Aktivitäten (z.B. den Diebstahl von Daten, Geld oder Identitäten) missbrauchten. Seitdem ist der Begriff Hacker negativ besetzt und es entstand das Klischee einer getarnten dunklen Macht mit geheimnisvollen Fähigkeiten.
Als sich die Unternehmen nach der Jahrtausendwende in erheblichem Masse auf das Internet verlegten, wurde ein systematischer Ansatz für die Sicherheit von Diensten und die Informationsübertragung über das Internet zu einem immer wichtigeren Thema. Einer der Sicherheitsdisziplinen, den Penetrationstests, kam nach und nach immer eine immer grössere Schlüsselrolle bei der Sicherung aller Kommunikationsebenen des Internets zu, insbesondere bei Diensten (Anwendungen, E-Mails, Online-Zahlungssystemen usw.). Penetrationtesting wird oft auch als «ethisches Hacking» bezeichnet. Denn das Ziel eines Penetrationstests ist es, einen Angriff zu simulieren und Schwachstellen zu ermitteln, genau wie ein Hacker es tun würde, allerdings mit der legalen Erlaubnis und dem Wissen des System- oder Netzwerkbesitzers. In gewisser Weise sind Penetrationstester also die Superhelden, die ihre Kräfte für das Gute statt für das Böse einsetzen.
Gründe für regelmässige Penetrationstests
(Quelle: Citadelo)
Ein KMU sollte regelmässig Penetrationstests durchführen, um sicherzustellen, dass seine Systeme und Netzwerke gegen potenzielle Angreifer sicher sind. Auch wenn alle Komponenten von renommierten Herstellern stammen, kann man nie sicher sein, dass keine Sicherheitslücke vorhanden ist. Die Erfahrung aus der Praxis zeigt, dass in jedem Pentest durchschnittlich zehn Schwachstellen gefunden werden.
Es gibt mehrere Gründe, warum KMU in Penetrationstests investieren sollten:
1. Penetrationstests können dazu beitragen, Schwachstellen in Systemen und Netzwerken des Unternehmens zu ermitteln, die von böswilligen Akteuren ausgenutzt werden könnten, darunter Sicherheitslücken in Software, Hardware oder Netzwerkkonfigurationen.
2. Penetrationstests können wertvolle Informationen über die Wirksamkeit der bestehenden Sicherheitsmassnahmen des Unternehmens liefern, sodass diese bei Bedarf verbessert oder aktualisiert werden können.
3. Penetrationstests können dazu beitragen, die Einhaltung von Branchenvorschriften und -standards nachzuweisen, darunter der Payment Card Industry Data Security Standard (PCI DSS), ISO/IEC 27001 oder von Gesetzen wie der General Data Protection Regulation (GDPR) oder der kommenden NIS2, der neuen Cybersecurity-Richtlinie der EU, die ein viel breiteres Spektrum von Unternehmens- oder nationalen Cybersicherheitsgesetzen abdeckt.
Nicht zuletzt gilt für die Sicherheit eines jeden Systems ein starkes Vorsorgeprinzip: Es muss perfekt funktionieren. Jede Fehlfunktion wird in der Regel von Hackern als potenzielle Schwachstelle entdeckt und möglicherweise aus kriminellen Motiven ausgenutzt. Wer seine IT besser absichert, verbessert damit Ausfallsicherheit und Business Continuity sowie die Zuverlässigkeit und Funktionalität der Systeme.
Es gibt mehrere Gründe, warum KMU in Penetrationstests investieren sollten:
1. Penetrationstests können dazu beitragen, Schwachstellen in Systemen und Netzwerken des Unternehmens zu ermitteln, die von böswilligen Akteuren ausgenutzt werden könnten, darunter Sicherheitslücken in Software, Hardware oder Netzwerkkonfigurationen.
2. Penetrationstests können wertvolle Informationen über die Wirksamkeit der bestehenden Sicherheitsmassnahmen des Unternehmens liefern, sodass diese bei Bedarf verbessert oder aktualisiert werden können.
3. Penetrationstests können dazu beitragen, die Einhaltung von Branchenvorschriften und -standards nachzuweisen, darunter der Payment Card Industry Data Security Standard (PCI DSS), ISO/IEC 27001 oder von Gesetzen wie der General Data Protection Regulation (GDPR) oder der kommenden NIS2, der neuen Cybersecurity-Richtlinie der EU, die ein viel breiteres Spektrum von Unternehmens- oder nationalen Cybersicherheitsgesetzen abdeckt.
Nicht zuletzt gilt für die Sicherheit eines jeden Systems ein starkes Vorsorgeprinzip: Es muss perfekt funktionieren. Jede Fehlfunktion wird in der Regel von Hackern als potenzielle Schwachstelle entdeckt und möglicherweise aus kriminellen Motiven ausgenutzt. Wer seine IT besser absichert, verbessert damit Ausfallsicherheit und Business Continuity sowie die Zuverlässigkeit und Funktionalität der Systeme.