Ethical Hacking

Was ist Ethical Hacking?

Ethical Hacking bezeichnet das legale, kontrollierte Eindringen in IT-Systeme durch Sicherheitsexperten, sogenannte „White Hats“. Ziel ist es, Sicherheitslücken aufzudecken, bevor sie von böswilligen Angreifern (Black Hats) ausgenutzt werden können. Unternehmen beauftragen Ethical Hacker mit simulierten Angriffen unter klar definierten Rahmenbedingungen, um die Wirksamkeit ihrer Schutzmaßnahmen zu prüfen und kontinuierlich zu verbessern. Dabei werden reale Angriffstechniken genutzt – jedoch ohne Schaden zu verursachen.

Technischer Aufbau & Varianten

Phasen des Ethical Hackings:

• Reconnaissance: Informationsgewinnung (offen oder verdeckt)

• Scanning & Enumeration: Identifikation von offenen Ports, Diensten, Benutzern

• Exploitation: Ausnutzung von Schwachstellen (z. B. SQL Injection, Remote Code Execution)

• Post-Exploitation: Analyse von Rechten, lateral movement, Datenexfiltration

• Reporting: Detaillierte Dokumentation inkl. Handlungsempfehlungen

Testarten:

• Black Box: Tester hat keine Vorkenntnisse

• White Box: Tester erhält vollständige Systeminformationen

• Grey Box: Teilinformationen vorhanden

Tools & Techniken:

• nmap, Metasploit, Burp Suite, BloodHound, Cobalt Strike, Nikto

Relevanz in der Praxis

Ethical Hacking hilft dabei:

• Sicherheitslücken realistisch zu bewerten

• Angriffsszenarien nachzustellen

• Security Awareness im Unternehmen zu erhöhen

• Reaktionsfähigkeit (Incident Response) zu verbessern

• Compliance-Anforderungen durch unabhängige Prüfungen zu erfüllen

Standards & regulatorische Anforderungen

• ISO 27001 / A.18.2.3: Unabhängige Überprüfungen von Sicherheitsmaßnahmen

• BSI IT-Grundschutz: PEN.1, PEN.2 – Sicherheitstests & Schwachstellenscans

• OWASP Testing Guide: Standardisierte Vorgehensweise bei Webanwendungs-Tests

• PCI DSS 11.3: Externe und interne Penetrationstests vorgeschrieben

Verwandte Begriffe

• Penetration Test

• White Hat

• Attack Surface

• Reconnaissance

• Privilege Escalation

Beispiel aus der Praxis

Ein Ethical Hacker-Team führte im Auftrag eines mittelständischen Betriebs einen Grey-Box-Pentest durch. Dabei entdeckten sie eine ungepatchte Schwachstelle in einer Buchhaltungssoftware. Über diese gelang es ihnen, sich Domänen-Admin-Rechte zu verschaffen und sämtliche Personalakten einzusehen. Die Lücke wurde im Nachgang geschlossen, die Rechtevergabe restrukturiert.