Was Ethical Hacker können müssen

Für Cyberkriminelle und Berufsspione ist es ein feuchter Traum, ihr Dasein damit zu verbringen, unbehelligt in fremde Netzwerke und Systeme eindringen zu können. Die Sicherheit, damit ungeschoren davon zu kommen, haben in der Regel allerdings nur Ethical Hacker - auch White Hat Hacker oder Penetration Tester genannt. Diese Security-Profis werden angeheuert, um Systeme auf Schwachstellen zu untersuchen und so herauszufinden, an wo in Sachen IT-Sicherheit nachgebessert werden muss.

Als dieser Beruf aufkam, herrschten in der Branche Zweifel daran, ob dieses Vorgehen überhaupt ethisch vertretbar ist. Die Bedenken lösten sich allerdings schnell in Luft auf - heute ist Ethical Hacking anerkannte Praxis: White Hat Hacker, die ihre Fähigkeiten unter Beweis stellen wollen, können diverse Branchenzertifizierungen erlangen und viele Unternehmen setzen inzwischen auf Red Teaming, um ihr Sicherheitsniveau kontinuierlich zu überwachen. Der Job des Erthical Hackers erfordert dabei besondere Skills - und zwar sowohl harte als auch weiche. Welche das genau sind, haben wir im Gespräch mit White Hat Hackern und Security-Experten herausgefunden.

Penetration Tester - Hard Skills

Zwar spezialisieren sich einige Penetration Tester auf bestimmte Technologiebereiche, die meisten sind aber Generalisten. Das ist auch sinnvoll, schließlich lässt sich nicht vorhersagen, welcher Aspekt eines Zielsystems oder -netzwerks für einen Einbruch relevant wird. Wenn Sie also mit dem Gedanken spielen, als White Hat Hacker arbeiten zu wollen, sollten Sie ein breites Spektrum an technologischem Know-how mitbringen. Trotzdem müssen Sie sich keine Sorgen machen, wenn Sie keinen Master-Abschluss oder tiefgehendes, theoretisches Wissen vorweisen können: Ihre wertvollste Ressource in einem Job als Ethical Hacker wird praktisches Wissen sein, das Sie im Rahmen von Tüfteleien und Experimenten erwerben. Mit folgenden Technologien sollten Sie dennoch vertraut sein, wenn Sie eine Karriere als White Hat Hacker anstreben:

System- und Datenbankverwaltung

Ein Penetration Tester muss alles über die Systeme wissen, in die er vordringen will - nicht von ungefähr waren viele Ethical Hacker vorher Systemadministratoren. Geht es nach Jim O'Gorman, Präsident von Offensive Security, sollten Penetration Tester mit der allgemeinen Unix-, Linux- und Windows-Administration ebenso vertraut sein wie mit SQL und Datenbanken.

Scripting

"Die Fähigkeit, Teile der Arbeitsabläufe oder der Angriffsinfrastruktur zu automatisieren, ist entscheidend", meint Jordan LaRose, Director bei F-Secure: "Viele Angriffstechniken beruhen auf einer Flut von Anfragen oder sich wiederholenden Schreibvorgängen innerhalb einer Datei. Diese Vorgänge zu automatisieren, kann eine Menge Zeit und Nerven sparen." Andrew Useckas, CTO bei ThreatX erachtet Scripting-Know-how in der Windows-Welt als besonders nützlich: "PowerShell-Skripte sind eine gute Möglichkeit, um Endpunkt-Sicherheits-Tools zu umgehen."

Softwareentwicklung

Um Sicherheitslücken aufzudecken, kann es wichtig sein, zu verstehen, wie Programmcode geschrieben wird und welche Prozesse dabei ablaufen: "Einige der besten White Hats haben ihre ersten Erfahrungen im Bereich der Softwareentwicklung gesammelt, was sehr sinnvoll ist", meint Elad Luz, Head of Research bei CyberMDX. "Das bietet Einblicke in die Produktentwicklung und macht sie mit einer Vielzahl von Tools und Applikationen vertraut. Vor allem aber sorgt es dafür, dass sich der Ethical Hacker in die Gedankenwelt eines Developers hineinversetzen kann und dessen Herausforderungen versteht."

Netzwerk-Know-how

Wer in Netzwerke eindringen will, muss verstehen, wie diese funktionieren: "Sie sollten ein grundlegendes Verständnis über die verschiedenen Protokollarten, Netzwerkschichten und Betriebssysteme mitbringen", empfiehlt Colin Gillingham, Director of Professional Services bei der NCC Group. Laut Yaroslav Babin, Head of Web Application Security bei Positive Technologies sollten Sie sich dabei "insbesondere auf interne Netzwerke und die Prinzipien und Funktionen von Active Directory konzentrieren, da die meisten Unternehmensinfrastrukturen auf Windows fußen."

Web Application Design

Webanwendungen sind ein gängiges Mittel, um in eine Zielinfrastruktur einzudringen. Laut Babin sollten Penetration Tester einen soliden Hintergrund vorweisen können, was den Umgang mit Web-Schwachstellen angeht: "Dazu gehört nicht nur die Kenntnis der gängigsten Schwachstellen, sondern auch das Wissen darüber, wie diese ausgenutzt werden können und was die konkreten Folgen sind - beispielsweise kann ein SQL-Injection-Angriff nicht nur Datenbankzugriff, sondern unter Umständen auch Remote-Befehle auf Knotenebene ermöglichen."

Hacking Tools

Ethical Hacker können auf eine breite Palette von Tools und Utilities zurückgreifen - viele davon sind quelloffen und kostenlos. Der Einstieg in diese Tools ist dabei nicht immer leicht, wie der unabhängige Cybersecurity-Experte Daniel Kirchenberg weiß: "Neulinge verzetteln sich oft und setzen auf automatische Analysen ohne ordnungsgemäße Konfiguration, was zu falsch positiven Ergebnissen führt. Deshalb ist es wichtig, die Ergebnisse auch zu testen. Wenn Sie wirklich verstehen, wie Ihre Tools funktionieren, können Sie Stunden oder sogar Tage an Arbeitsaufwand einsparen."

Ethical Hacker - Soft Skills

Vor allem benötigen White Hat Hacker technische Fähigkeiten, um ihren Job gut zu machen. Die Profis, mit denen wir gesprochen haben, berichten allerdings davon, dass für Ethical Hacker auch eine breite Palette an Soft Skills und Persönlichkeitsmerkmalen unerlässlich sind. Technischen Fähigkeiten lassen sich jederzeit erlernen. Im Fall der Soft Skills, die ein White Hat Hacker vorweisen können sollte, geht es jedoch mehr um Mindset als um Wissen.

Leidenschaft

Alle Experten, mit denen wir gesprochen haben, sind sich darin einig, dass ein Ethical Hacker in erster Linie Leidenschaft und Neugierde mitbringen sollte: "White Hat Hacker sollten die Veranlagung haben, Dinge auseinandernehmen zu wollen. Sie brauchen ein gewisses Maß an Neugierde, um sämtliche Wege zu erkunden, die sie bei ihrer Arbeit gehen können. Noch wichtiger ist nur, dass sie ihren Job lieben - und zwar nicht deswegen, weil er Geld bringt", meint Tammy Kahn, CEO und Mitbegründerin der Blockchain-Beratungsfirma BTblock.

Die Leidenschaft kann bei besonders kniffligen Aufgaben jedoch auch auf die Probe gestellt werden. Auch bei Rückschlägen durchhalten zu können, sei daher ein Muss, meint LaRose: "Penetrationstests sind definitiv keine exakte Wissenschaft. Eine erfolgreiche Kompromittierung braucht oft viele Versuche. Dann kommt es darauf an, hartnäckig zu bleiben und sich nicht zu scheuen, auch verrückte Ideen auszuprobieren."

Allerdings sollten Penetration Tester auch erkennen, wann es Zeit ist, aufzugeben: "Ethical Hacker müssen eine zuversichtliche Haltung wahren, sollten sich aber auch regelmäßig fragen, ob sie in die richtige Richtung gehen und dürfen sich nicht von ihrem Ego leiten lassen", weiß Luz. "Sich von Misserfolgen nicht einschüchtern zu lassen, ist eine gute Eigenschaft, aber man sollte auch bereit sein, Forschungsarbeiten, in die man bereits viel Zeit investiert hat, zu verwerfen, wenn keine Fortschritte erkennbar sind."

Zur Leidenschaft und Neugier eines White Hat Hackers sollte zudem gehören, sich kontinuierlich über neue Entwicklungen in der Branche zu informieren und an seinem Skillset zu feilen: "Oft stößt man auf unerwartete Hindernisse und muss eine neue Technik erlernen oder anderweitig recherchieren, um die beste Angriffsmethode zu finden", sagt LaRose. "Ein Großteil der Zeit, die für einen Penetrationstest benötigt wird, fließt in die Entwicklung dieser neuen Fähigkeiten und Hintergrundrecherchen über das Ziel."

Kirchenberg stimmt zu und ergänzt: "Code-Praktiken ändern sich, neue Programmiersprachen erobern den Markt, neue Frameworks werden veröffentlicht und bestehende aktualisiert. Das gilt auch für Applikationen. Ethical Hacker müssen kontinuierlich lernen, um Ihren Job auch in Zukunft gut machen zu können."

Cleverness

Ein weiterer Punkt, in dem sich die meisten unserer Experten einig waren: Penetration Tester sollten in der Lage sein, um die Ecke zu denken. Das ist insbesondere dann nötig, wenn sie beim Einbruch in die Zielnetzwerke mit unerwarteten Hindernissen konfrontiert werden.

Security-Experte LaRose hebt zwei Eigenschaften hervor, die den Denkprozess eines guten Pentesters kennzeichnen: "Die erste ist die Fähigkeit zur Deduktion, oft auf der Grundlage begrenzter Informationen. Die Auswirkungen dessen, was White Hat Hacker tun, laufen oft hinter den Kulissen ab. Man muss also in der Lage sein, zu 'erraten', ob die gewünschten Ergebnisse erzielt werden. Zweitens sollte man in der Lage sein, Hackerangriffe nicht nur als technisches, sondern auch als menschliches Problem zu begreifen. Bei jeder Art von Test mit einer Social-Engineering-Komponente, kommt es darauf an, sich in die Lage der Zielgruppe zu versetzen, um einen glaubhaften Vorwand zu schaffen."

Allerdings müssen White Hats auch "echte" Angreifer verstehen: "Früher musste ein Red Team nur erfolgreich einbrechen, um seinen Wert zu zeigen", meint Ron Gula, Präsident von Gula Tech Adventures. "Heute müssen sie die Bedrohungsakteure aktiv nachahmen, also auch die dazu nötigen Methoden kennen."

Kommunikation und Kollaboration

Das stereotype Bild eines Hackers - ob nun White Hat, Black Hat oder Grey Hat - ist das eines einsamen Wolfs, der in einem dunklen Raum (natürlich mit Hoodie bekleidet) hinter einer Tastatur sitzt und fieberhaft Ziele auf Schwachstellen abklopft. In der Realität ist Team- und Kommunikationsfähigkeit jedoch eine der wichtigsten Eigenschaften eines Penetration Testers: "Man kann der beste Hacker der Welt sein - das nützt nichts, wenn man nicht in der Lage ist, einen lesbaren, zusammenhängenden Report darüber zu verfassen, was man getan hat und wie, damit der Kunde den Angriff nachvollziehen kann", gibt Gabby DeMercurio, Director Red Team, Social Engineering und Physical Penetration Testing bei Coalfire, zu bedenken.

Daniel Wood, Head of Product Security bei Unqork, ergänzt: "Es ist wichtig, dass man in der Lage ist, technische Sicherheitsrisiken in Geschäftsrisiken zu übersetzen. Das erfordert, die Unternehmen und ihre geschäftlichen Anwendungsfälle zu verstehen und zu wissen, welche Auswirkungen eine bestimmte technische Schwachstelle auf die Betriebsfähigkeit, den Datenschutz und letztendlich die Sicherheit der Kunden hat."

Die heikle Natur des White-Hat-Hacker-Daseins macht diese Kommunikationsfähigkeiten besonders wichtig: Schließlich kann es bei einer erfolgreichen Kompromittierung dazu kommen, dass bestimmte Mitarbeiter im Kundenunternehmen in Verlegenheit geraten. "Die Herausforderung besteht darin, die schlechte Nachricht über eine Sicherheitslücke zu überbringen und gleichzeitig eine positive Gesprächsatmosphäre zu schaffen, die auf eine kooperative Arbeitsbeziehung einzahlt", erklärt Luz.

Gute Arbeitsbeziehungen sind allerdings auch innerhalb des eigenen Teams wichtig: "Niemand weiß alles. Die Fähigkeit zu lernen, sich gegenseitig zu unterstützen und weiterzuentwickeln, ist unabdingbar. Einzelkämpfer fallen schnell hinter diejenigen zurück, die gut zusammenarbeiten", meint DeMercurio. Verbündete finden Ethical Hacker darüber hinaus auch in der White-Hat-Community, wie LaRose weiß: "Die Security Community ist bestens untereinander vernetzt. Schließlich basiert so gut wie alles, was wir tun, auf der Grundlage anderer Community-Mitglieder. Die Fähigkeit, sich mit der Gemeinschaft auszutauschen, von ihr zu lernen und zu ihr beizutragen, sind für Penetration Tester ebenfalls ein Schlüssel zum Erfolg."

Ethik

Einem Ethical Hacker wird bei seiner Arbeit viel Macht und damit Verantwortung übertragen. Dieses Vertrauen zu missbrauchen, verbietet sich für White Hat Hacker.

Heather Neumeister ist Director of People Operations bei NetSPI, einem Unternehmen, das sich auf Penetrationstests und die Verwaltung von Angriffsflächen spezialisiert hat, gibt Einblicke in den Bewerbungsprozess von Penetration Testern: "Die ethische Beurteilung eines Bewerbers basiert sowohl auf seinem Hintergrund als auch auf persönlicher Einschätzung. Wenn Ethik und Moral zu den Kriterien gehören, die für eine Neueinstellung in Betracht gezogen werden, ist immer ein gewisses Bauchgefühl vorhanden." Aber es sei auch wichtig, Fragen zu stellen, warum sich jemand für den Job des Pentesters entschieden habe. So erkenne man in der Regel bereits in den ersten Gesprächen, welche Absichten ein Bewerber hege. Neumeister weiter: "Um Menschen mit starken ethischen und moralischen Wertvorstellungen zu finden, kann es hilfreich sein, sich die Community-Aktivitäten des Kandidaten anzusehen. Gemeinnützige Arbeit, öffentliche Forschung und Open-Source-Beiträge können nützliche Indikatoren für einen höheren ethischen Standard sein. Oft sind diejenigen, die der Sicherheitsbranche dienlich sein möchten, ohne sich dabei persönlich zu bereichern, die besten Kandidaten für den Job."

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.