In diesem Jahr wurde Santiago Lopez, ein 19-jähriger Hacker aus Argentinien, zum weltweit ersten Bug-Bounty-Hacker, der mit Hacking 1 Million Dollar verdient hat. Dieses Ereignis wurde zu so etwas wie einem Meilenstein für die Hacker Community.
Ganz offensichtlich gibt es ein nicht ganz geringes Ertragspotenzial für Hacker, die sich dem Ethical Hacking verschrieben haben, und die das Internet (wieder) zu einem sichereren Ort machen wollen.
Noch bemerkenswerter ist allerdings die Tatsache, dass Santiago Lopez Autodidakt ist. Man braucht also nicht unbedingt eine Universitätsausbildung um sich als Master Mind unter den Hackern einen Namen zu machen. Und nicht zuletzt seinen Lebensunterhalt auf der Basis von Hacking zu bestreiten. Laut einer aktuellen Studie geben 81 % der befragten Hacker an, dass sie primär auf Online-Ressourcen und Blogs zurückgreifen um sich weiterzubilden und Erfahrungen zu sammeln. Nur magere 6 % der Befragten haben eine formelle Ausbildung oder Zertifizierung im Bereich Hacking abgeschlossen.
Bug-Bounty-Hacker besetzen eine neue Nische, und sie sind auf dem boomenden Arbeitsmarkt für Cybersicherheit ausgesprochen gefragt. Unternehmen wie Starbucks, Verizon Media, Toyota, Airbnb und sogar Regierungsbehörden wie das US-Verteidigungsministerium arbeiten mit ethischen Hackern zusammen, um Sicherheitsschwachstellen in ihren Systemen zu finden, bevor diese ausgenutzt werden. Unternehmen und Behörden bedienen sich bei ihren Sicherheitsstrategien zunehmend der Herangehensweise und Expertise von Hackern. Nicht zuletzt um hochsensible Informationen und Kundendaten besser als bisher zu schützen.
Diese Unternehmen sind bereit, für eine zusätzliche Sicherheitsebene zu zahlen, und das nicht schlecht. Die sogenannten Bug Bounties variieren zwar je nach Kunde, Land und Anforderungsprofil, alles in allem sind sie aber für unterschiedliche Hackergruppen und -persönlichkeiten durchaus lukrativ. Nach einer jüngsten Erhebung zahlen Unternehmen durchschnittlich 2.000 US-Dollar für das Auffinden und Melden einer kritischen Schwachstelle, wobei die Prämie bis zu 100.000 US-Dollar für einen einzigen aufgedeckten Fehler steigen kann.
Bug-Bounty-Programme sind in den letzten Jahren immer attraktiver geworden. Nicht zuletzt, weil sich Art und Umfang der auftretenden Datenschutzverletzungen trotz aller Sicherheitsbemühungen und Technologien nicht vermindert haben. Im Gegenteil. Bug-Bounty-Programme haben eine Reihe von Vorteilen sowohl für Unternehmen als auch für Behörden. Solche Programme ziehen die klügsten Köpfe der Hacker Community an. Es gibt keine geografischen Einschränkungen. Langwierige Auswahlverfahren und Einstellungsprozesse entfallen. Um eine Größenordnung zu nennen: Allein in den USA gab es zwischen September 2017 und August 2018 mehr als 313.000 offene Stellenangebote im Bereich Cybersicherheit. Der Mangel an ausgewiesenen Fachkräften und Cybersicherheitsexperten dürfte sich in anderen Ländern ähnlich niederschlagen. Der Arbeitsmarkt ist leergefegt, Ausbildungsgänge und Studienangebote hinken hinterher.
Es überrascht also nicht sonderlich, dass ethische Hacker die Nische nutzen und sich auf Basis von Bug-Bounty-Programmen eine erfolgreiche Karriere aufbauen. Hacking ist auf dem besten Weg einer der lukrativsten Jobs der Welt zu werden und etablierte Berufsbilder wie die eines Arztes oder Architekten finanziell hinter sich zu lassen. Ein Arzt verdient in den USA beispielsweise durchschnittlich 195.000 Dollar, ein Architekt durchschnittlich 115.000 Dollar. Unterdessen verdienen die bestbezahlten Hacker der Welt bereits etwa das Dreifache dieser Summe. Einige Unternehmen zahlen sogar mehrere Millionen jährlich an Hacker aus.
Die Plattform HackerOne, die Hacker und Unternehmen zusammenbringt, verfügt inzwischen über eine Community von über 400.000 registrierten Hackern. Diese Hacker verdienten allein im Jahr 2018 über 19 Millionen Dollar und insgesamt mehr als 50 Millionen seit Gründung der Plattform.
Seinen Lebensunterhalt auf der Basis von Hacking zu bestreiten hat unbestreitbar Vorteile. Flexible Arbeitszeiten, größtmögliche Autonomie, Teil einer aktiven Community zu sein, von der man viel und schnell lernt und das Potenzial mit seinen Fähigkeiten gutes Geld zu verdienen um nur einige zu nennen. Wie schwierig oder realistisch ist es aber als Hacker in dieses Feld einzusteigen und als “ethical Hacker” Karriere zu machen? Die gute Nachricht: in vielen Fällen ist es nicht nötig wieder die Schulbank zu drücken und wenn, dann nur in einem sehr übertragenen Sinne. Etliche Fähigkeiten, die man braucht um ein erfolgreicher Hacker zu werden kann man sich heute online aneignen. In vielen Fällen gänzlich kostenlos oder doch weitgehend. Daneben sind ein ausreichendes Maß an professioneller Neugier und Motivation ausschlaggebend. Die im Übrigen für die Befragten fast annähernd den gleichen Stellenwert haben wie die Aussicht einigermaßen gutes Geld zu verdienen.
Trotzdem stellt sich die Frage wo und wie soll man beginnen? Die Bedingungen in das Metier einzusteigen und seine berufliche Karriere im Bereich Hacking anzusiedeln, waren noch nie so vielversprechend wie gerade heute. Das gilt sowohl finanziell als auch hinsichtlich der persönlichen Weiterentwicklung. Im Prinzip kann sich praktisch jeder anhand der aktuell online verfügbaren Tools Hacking selbst beibringen. Es gibt ganz sicher kein “Hacker-Gen”. Eine Fähigkeit bringen aber so gut wie alle erfolgreichen Hacker von Natur aus mit, nämlich die Fähigkeit und den Willen Probleme zu lösen. Meistens gepaart mit der Neugierde herauszufinden wie eine bestimmte Technologie funktioniert und wo ihre potentiellen Schwachstellen liegen könnten.
Und hier kommen einige der wichtigsten Ressourcen, wenn man “Hacking” lernen will:
Kostenfreie Online-Turorials & Videos
- WebHacking 101. HackerOne bietet eine kostenlose E-Book-Version an, um angehenden Hackern den Einstieg zu erleichtern. Das eBook wurde von einem der Hacker- und Shopify-Ingenieure von HackerOne, Peter Yaworski, verfasst und basiert auf realen Schwachstellen-Reports, die auf den HackerOne-Seiten veröffentlicht wurden.
- Getting Started in Bug Bounty – von Sahil Ahamed, Security Engineer bei Zomato.
- Wie man ein erfolgreicher Bug-Bounty-Jäger wird – HackerOne Blog.
- YouTube-Video “How to get started in bug bounty – 9 X Professional Tips”
- “Resources for Beginning Bug Bounty Hunters” von Cody Brocious, Head of Hacker Education bei HackerOne, ein Leitfaden, geschrieben von Hackern für Hacker. Der Leitfaden bietet eine gute Basis für angehende Hacker um sich mit den Grundlagen der Web Application Security vertraut zu machen.
Frei verfügbare Hacking-Tools zu Trainingszwecken:
- Cybrary, eine kostenlose Plattform für Cybersicherheitstrainings, bietet erstklassige Schulungen und Materialien.
- Bug Hunter University Google’s Bug Hunter University. Diese Ressource wurde vom Google Security Team für Mitglieder der Bug-Hunter-Community des Vulnerability Reward Program von Google erstellt und bietet eine Reihe großartiger Beispiele für Vulnerability Reports. Das Team stellt Tipps und Wissen zur Verfügung und bietet jedem, der lernen möchte, wie man ein Bug-Jäger wird, einen zusätzlichen Blick hinter die Kulissen.
- Hacker101.com bietet kostenlose Kurse in Websicherheit an und richtet sich an alle, die sich für Bug-Bounties interessieren, auf unterschiedlichen Leveln. Die meisten Kurse leitet Cody Brocious, Head of Hacker Education bei HackerOne.
- HackerOne’s Capture-the-Flags (CTFs). CTFs steht für Capture The Flag, eine bestimmte Sorte von Hacking-Events, bei dem Sie nur ein Ziel haben: Hacken Sie sich ins System und finden Sie die Flagge. Flaggen werden an verschiedenen Stellen platziert – sie befinden sich in einer Datei, in der Datenbank, im Quellcode oder anderswo. Diese Flaggen zu finden, ist das Ziel.
- HackerOne’s Hacktivity enthält Tausende öffentlich zugänglicher Berichte, aus denen man lernen kann. Eine Quelle, die von vielen Hackern genutzt wird.
- HackEDU bietet interaktive Schulungen zur Sicherheit von Webanwendungen an, die sowohl kostenlose als auch kostenpflichtige Programme beinhalten. Das kostenlose Programm bietet Kurse zu SQL-Injection, 6 Sandboxen für öffentliche Schwachstellen, um seine Fähigkeiten zu testen und eine Vielzahl von praktischen Anwendungen und Trainings. HackEDU bietet kostenlose Trainingsmodule mit realen Schwachstellen auf der HackerOne-Plattform, die jetzt auch in Sandbox-Umgebungen verfügbar sind.
- HacktheBox,, ist eine Art großer Spielplatz für Pen-Testing, es existieren dort sowohl kostenlose als auch kostenpflichtige VIP-Programme.
- Portswigger’s Burp Suite war der erste Scanner zum Aufdecken von Schwachstellen überhaupt. Er kostet nicht viel und ist für Sicherheitsforscher und Hobby-Hacker gleichermaßen verfügbar. Hacker sollten die Burp Suite einsetzen, sobald sie beginnen nach komplexeren Fehlern zu suchen und wenn sie automatisierte Tools benötigen. Portswigger bietet auch eine Web Security Academy sowie kostenlose Schulungen zu Schwachstellen bei der Websicherheit, Techniken zum Auffinden und Ausnutzen von Schwachstellen.
Zusätzliche Ressourcen (kostenpflichtig)
- Pentesterlab
- The Web Application Hacker’s Handbook
- The Mobile Application Hacker’s Handbook
- The Hacker Playbook 1, 2 and 3
- The Tangled Web: A guide to Securing Modern Web Applications
Ethical Hacking boomt. Egal, ob man es eher als lukratives Hobby betreibt oder als Vollzeit-Hacker. Die Voraussetzungen für eine Hacking-Karriere jedenfalls waren noch nie so günstig wie gerade jetzt. Ein guter Tipp ist es, mit frei verfügbaren Ressourcen in die Materie einzusteigen und sein Wissen anschließend in echten Bug-Bounty-Programmen anzuwenden. Geld für kostenpflichtige Programme auszugeben, lohnt sich besonders dann, wenn man mehr und schneller dazu lernen will.