Unternehmen wie Airbnb, Spotify und Paypal engagieren ethische Hacker, damit diese Schwachstellen in ihren Sicherheitsnetzwerken entdecken und ausnutzen, um Probleme aufzuzeigen. Die White Hat Hacker unterstützen ihre Auftraggeber dabei, Sicherheitslücken zu beheben und Abwehrmaßnahmen zu verbessern.
Ein sehr probates Mittel, um mit den sich schnell verändernden kriminellen Motiven und Methoden Schritt halten zu können. Deshalb sind die ethischen „White Hat Hacker“ sehr gefragt und ihre Zahl hat sich laut dem Hacker Report 2019 im Vorjahresvergleich verdoppelt. F5 Networks zeigt auf, worauf Unternehmen bei der Suche nach dem geeigneten Security-Profi achten sollten.
Tipps zur Suche nach dem passenden White Hat Hacker
- Bug-Bounty-Modell: Bei diesem Modell kann praktisch jeder nach Schwachstellen suchen und diese bei einem Unternehmen einreichen, um dann eine entsprechende Prämie zu erhalten. Dieses Modell eignet sich besonders gut für öffentlich zugängliche Dienste wie Websites oder mobile Apps. Hat die betroffene Organisation den Anspruch erkannt, zahlt sie eine Belohnung. Die Höhe ist abhängig vom Grad des wahrgenommenen Risikos. Hacker erhalten neben Geld auch Anerkennung in der Community und können ihre Fähigkeiten in einem öffentlichen Forum präsentieren. Das Unternehmen bekommt Informationen zu Schwachstellen und Sicherheitsmaßnahmen, um sich vor „bösen Hackern“ zu schützen.
- Externe White Hat Hacker im Unternehmen fest anstellen: Besonders engagierten bzw. erfolgreichen White Hat Hackern können Organisationen auch ein Job-Angebot unterbreiten. Dabei sollten sie jedoch die Vergangenheit des Hackers genau überprüfen und von Fall zu Fall entscheiden, ob er vertrauenswürdig ist. Es gilt als unwahrscheinlich, dass jemand zu einem Berufsverbrecher wird, wenn er in jungen Jahren wegen eines Denial-of-Service-Angriffs verurteilt wurde. Nicht selten werden ehemalige junge IT-Straftäter später zu angesehenen Sicherheitsberatern und Vordenkern in der Branche.
- Security-Profis aus dem eigenen Unternehmen nutzen: Auch unter den eigenen Mitarbeitern können Unternehmen geeignete Personen finden. Insbesondere Entwickler von Anwendungen, Code und Netzwerkinfrastruktur kennen oftmals bestimmte Schwachstellen. Sie sollten unbedingt dazu ermuntert werden, diese zu benennen und den Entscheidungsträgern mitzuteilen. Denn nur so können diese Sicherheitslücken geschlossen werden, bevor kriminelle Hacker sie entdecken.
- Hacking as a Service: Dabei greifen Unternehmen auf die Unterstützung von externen Dienstleistern zurück. Zu den wichtigsten Qualifikationen gehören Certified Ethical Hacker (CEH), Offensive Security Certified Professional (OSCP) oder Global Information Assurance Certifications (GIAC).
Ein Hacker bleibt immer ein Hacker
„Sicherheitsarchitekten besitzen ein umfassendes Wissen über Best Practices in der Branche, aber oft fehlt es an Erfahrungen aus erster Hand darüber, wie Angreifer Aufklärungsarbeit leisten, mehrere Angriffe verketten und Zugang zu Unternehmensnetzwerken erhalten“, erklärt Ralf Sydekum, Technical Manager DACH bei F5 Networks. „Ethische Hacker und Ex-Kriminelle verfügen hingegen über unschätzbares, praxisnahes Know-how und können dieses in viele Sicherheitsaktivitäten einbringen, einschließlich Bedrohungsmodellierung und Penetrationstests. Allerdings sollten sich Unternehmen stets darüber bewusst sein, dass ein Hacker immer ein Hacker bleibt. Der einzige Unterschied liegt nur in dem, was er tut, wenn er eine Schwachstelle gefunden hat.“