Hacker-FAQ

Fragen und Antworten zum Ethical Hacking

Dr. Martin Stemplinger ist Senior Security Consultant bei BT Global Services in Deutschland.

Wie gehen Pentester bei einem vernetzten Fahrzeug vor?

Um ein vernetztes Fahrzeug zu testen, müssen alle im Innern des Wagens zugänglichen Schnittstellen unter die Lupe genommen werden - etwa Bluetooth- und USB-Ports sowie DVD-Laufwerke -, aber auch externe Verbindungen wie mobile Netzwerke oder Ladestecker. Hinzu kommen die externen Systeme, die mit dem Fahrzeug verbunden sind - zum Beispiel die Laptops von Wartungstechnikern und die Server der Infotainment-Anbieter.

Wie sieht es in der Finanzbranche aus?

Finanzinstitute wie Banken und Versicherungsunternehmen verfügen über eine Vielzahl wertvoller und hoch sensibler Kundendaten, was sie zu einem der begehrtesten Ziele für Hacker und Cyberkriminelle macht. Ethical Hacker von BT sind beispielsweise bereits seit rund 20 Jahren für die Branche im Einsatz und haben in dieser Zeit zahlreiche Schwachstellen aufgedeckt - und geholfen sie zu schließen. So gelang es den Pentestern unter anderem, Zugang zu Datenbanken mit zehntausenden von Kreditkartennummern zu bekommen, sie konnten Geldbeträge zwischen unautorisierten Testkonten transferieren und firmeneigene Verschlüsselungsverfahren durch "Reverse Engineering" überwinden. Ein Klassiker ist natürlich auch in dieser Branche das Phishing: So konnten unsere Sicherheitsexperten sich mit Hilfe gefälschter E-Mails, die von arglosen Mitarbeitern geöffnet wurden, Administratorenrechte verschaffen.

Ist Ethical Hacking legal?

Grundsätzlich ist das unautorisierte Eindringen in ein Firmennetzwerk in Deutschland eine Straftat. Zulässig ist Ethical Hacking nur, wenn der Auftraggeber ausdrücklich sein Einverständnis erklärt, dass in seinem Unternehmen Sicherheitsanalysen und Penetrationstests vollzogen werden. Diese Erklärung sollte von einer vertretungsberechtigten Person im Unternehmen - etwa dem Geschäftsführer oder Prokuristen - stammen. Mit einer entsprechenden Vollmacht kann auch der IT-Leiter die offizielle Zustimmung zum Ethical Hacking erteilen.

Was sollte im Dienstleistungsvertrag geregelt sein?

Geregelt werden sollte, wann und in welchem Zeitraum die Penetrationstests und Analysen stattfinden. Weitere wichtige Punkte sind Risikoklassifizierungen der Tests, eingesetzte Techniken (Netzwerkzugang, physischer Zugang, Social Engineering etc.), die Abgrenzung zu Systemen, die von den Tests ausgeschlossen sind sowie Angaben über Aggressivität und Umfang der Tests. Enthalten sein muss auch eine Geheimhaltungsklausel, da Ethical Hacker unter Umständen Einblick in vertrauliche Unternehmensinformationen bekommen.

Welche juristischen Feinheiten müssen Unternehmen beachten?

Der Auftraggeber kann seine Zustimmung nur für Bereiche erteilen, die sich unter seiner Hoheit befinden. Es muss vor Beginn der Sicherheitsanalysen und Penetrationstests auf beiden Seiten Klarheit über den Testgegenstand bestehen. Das ist vor allem wichtig, wenn es sich um Systeme handelt, die von Dritten betrieben werden - etwa Teile der IT-Infrastruktur oder des Rechenzentrums.

Woran erkennt man einen seriösen Anbieter?

Ein seriöser Anbieter klärt seinen Auftraggeber im Vorfeld über mögliche Risiken für den laufenden Betrieb auf und besteht auf einem für beide Seiten verbindlichen Vertrag. Unnötig zu sagen, dass der Pentester erst mit der Arbeit beginnt, wenn der Auftraggeber seine ausdrückliche Zustimmung für die Analysen und Tests erteilt hat, und dass er das Vorgehen eng mit dem Auftraggeber abstimmt. Es empfiehlt sich, nicht mit Hackern zusammenzuarbeiten, die eine kriminelle Vergangenheit haben. Eine Hilfestellung bei der Auswahl eines geeigneten Anbieters bieten auch Zertifizierungen wie die von CREST.

Ist die Sicherheit mit der Behebung aller Schwachstellen wiederhergestellt?

Die IT-Abteilung wird natürlich alles daran setzen, aufgedeckte Schwachstellen gemeinsam mit dem Pentester so schnell wie möglich zu schließen. Zusätzlich muss untersucht werden, ob kriminelle Hacker die Schwachstellen bereits ausgenutzt haben, zum Beispiel indem sie Fernsteuerungssoftware installieren, um eine dauerhafte Kontrolle über das System zu erhalten. Solche Programme lassen sich sogar von Experten schwer ausfindig machen. Da kaum ein Softwaresystem über einen längeren Zeitraum unverändert bleibt und ständig neue Schwachstellen und Angriffsmethoden bekannt werden, ist es unabdingbar, die Pentesting-Attacken in regelmäßigen Abständen oder nach größeren Änderungen der Systeme zu wiederholen.

Zur Startseite