In der allgemeinen Auffassung sitzen sie eingemummt in schwarzen Kapuzenpullis vor leuchtenden Bildschirmen voller unverständlicher Zeichenkolonnen und bringen Unschuldige um ihr Vermögen: Hacker. Aber was ist dran an den Hacker-Vorurteilen und welche Ziele, Motive und Methoden haben sie wirklich? Diesen Fragen wollen wir in dem aktuellen Artikel auf den Grund gehen.
Seit mehreren Jahren verstreicht fast kein Tag, an welchem nicht ein imposanter Hackerangriff in aller Welt für Schlagzeilen garantiert: Von massiven Ransomware-Angriffen, die ganze Unternehmen oder Städte zum Stillstand gebracht haben, über Hacks, bei welchen mehrere Millionen Euro von Online-Konten erbeutet wurden, bis hin zu schweren Datenlecks bei welchen Millionen offengelegte Datensätze für Aufsehen sorgten – Hackerangriffe sind heute präsenter sowie allgegenwärtiger als je zuvor. Längst sind es nicht mehr bloß zahlungsbereite Großunternehmen, welche in die Schusslinie von Hackerangriffen gelangen, sondern immer mehr mittelständische Unternehmen.
Laut einer aktuellen Studie des Versicherers HDI waren in den letzten Jahren schon mehr als 33 Prozent der mittelständischen Firmen in Deutschland von Hackerangriffen betroffen gewesen. Der Schaden belief sich dabei im Durchschnitt auf 95.000 Euro – größere mittelständische Firmen melden sogar über Schädigungen in Höhe von bis zu 500.000 Euro.
Was sind Hacker eigentlich?
Motivation und Gesetzestreue verschiedener Hackertypen!
Motivation und Gesetzestreue verschiedener Hackertypen!
Hacker lassen sich in verschiedene Gruppierungen einteilen. Dabei differenzieren diese sich sehr stark im Ansporn, deren Gesetzestreue und in ihren Skills.
• White-Hats: White-Hat-Hacker – oder ethische Hacker geheißen – sind IT-Spezialisten, welche im Auftrag von Firmen arbeiten. Ihr höchstes Ziel ist es, ihr Expertenwissen zu benutzen, um Sicherheitsmängel in der IT-Infrastruktur aufzudecken sowie jene zu beseitigen. Dabei arbeiten sie mit den gleichen Techniken wie Black-Hats, obwohl der wesentliche Gegensatz darin liegt, dass sie gesetzeskonform handeln und sich an eine so bezeichnete Hacker-Ethik halten.
Eine Gruppe der ethischen Hacker sind Penetrationstester, die sich auf das Entdecken von Schwächen und die Risikobewertung fokussiert haben.
Zu den bekanntesten Vertretern der White-Hat-Hacker gehört Tim Berners-Lee. Er ist vor allem für die Erschaffung des World Wide Web berühmt. Heute arbeitet er als Direktor des World Wide Web Consortium, knapp W3C, welches die Entwicklung des Internets kontrolliert.
• Black-Hats: Black-Hat-Hacker – auch als Cracker namhaft – bilden das Pendant zu White-Hats. Bei den Black-Hats dreht es sich um Personen oder Personengruppen, welche mit illegaler sowie böswilliger Intention in die IT-Systeme oder Netzwerke eindringen, um einem Unternehmen oder einer Person in Hinblick auf Geld und Ansehen extremen Schaden zuzufügen. Der Begriff „Black-Hat“ ist an alte US-amerikanische Westernfilme angelehnt, in welchen die Guten immer weiße und die Ganoven schwarze Hüte trugen.
Zu den bekanntesten Vertretern der Black-Hat-Hacker gehört Kevin Mitnick, welcher eine Zeit lang als der international meistgesuchte Internetkriminelle galt. Als Black-Hat-Hacker hackte er sich in mehr als 40 Großkonzerne ein, unter diesen IBM und das Warnsystem des US-Verteidigungsministeriums. Er wurde letzten Endes verhaftet und verbüßte eine Haftstrafe. Nach seiner Entlassung wechselte er die Seiten, wurde Berater für Internetsicherheit und setzte seine Skills als White-Hat-Hacker ein.
• Grey-Hats: Grey-Hat-Hacker, sind Hacker, die ihre Kenntnisse nicht zu ihrem persönlichen Vorteil oder illegalen Zwecken nutzen. Sie operieren frei und hacken IT-Systeme, um Sicherheitslücken aufzuspüren und die Verantwortlichen zum Reagieren zu nötigen. Da sie allerdings ohne die ausdrückliche Befürwortung der Unternehmen in deren IT-Systeme einströmen, ist ihr Ansatz dennoch illegal.
Ein häufig zitiertes Beispiel für einen Grey-Hat ist Khalil Shreateh, welcher im August 2013 die Facebook-Webseite von Mark Zuckerberg hackte. Er wollte damit erzwingen, dass ein von ihm entdeckter Bug korrigiert wurde, über welchen er auf jeder beliebigen Seite eines Benutzers ohne dessen Zustimmung einen Post publik machen konnte.
• Green-Hats und Scriptkiddies: Green-Hat-Hacker sowie Scriptkiddies sind die Laien auf dem Fachgebiet des Hackens. Sie folgen nur den Skripten und Beschreibungen erfahrener Hacker, um IT-Systeme und Netzwerke zu hacken und lahmzulegen. In den häufigsten Fällen gehen sie dabei völlig wahllos vor und richten unplanmäßigen Schaden an.
• Blue Hats, Whistleblower und Malicious Insiders: Bei Blue-Hats, Whistleblower und Malicious Insiders handelt es sich um Leute, etwa frühere Mitarbeiter*innen oder Partner, welche ihre Zugriffe auf das IT-System, Netzwerk oder die Daten des Unternehmens missbrauchen, um geschäftskritische und personenbezogene Daten offenzulegen und den Namen zu schädigen. Häufig handeln Blue Hats, Whistleblower und Malicious Insiders aus Rache.
Zu den bekanntesten Personen dieser Gruppe gehört der Ex-Geheimdienstler Edward Snowden. Mit seinen Enthüllungen zeigte er die Ausmaße der weltweiten Überwachungs- und Spionagenetze der USA.
• Hacktivist: Hacktivisten sind eine Mischung aus Hackern und Aktivisten, die mit ihrem Handeln bestimmte soziale, politische oder auch religiöse Veränderungen erzielen wollen. Hierzu werden unter anderem Angriffe auf Websites von politischen Gegnern oder Gruppen verübt.
Eine bekannte Gruppe von Hacktivisten sind Anonymous.
• Spionage-Hacker: Bei Spionage-Hackern dreht es sich um Hacker, welche von Unternehmen engagiert wurden, um sich in die IT-Systeme oder Unternehmensnetzwerke von Konkurrenzfirmen einzuschleichen, um Geschäftsgeheimnisse zu stehlen.
• Internet-Terroristen: Internet-Terroristen handeln häufig aus religiösen oder politischen Gründen. Sie versuchen, Angst und Chaos zu verbreiten, indem sie relevante Infrastrukturen lahmlegen. Internet-Terroristen sind bei Weitem die gefährlichsten unter den Hackern, weil sie über vielfältige Skills und Ziele verfügen.
Hacker bleiben eine Gefahr!
Auch wenn Hacker eigentlich nicht böse sind, müssen Unternehmen davon ausgehen, dass sie zu jeder Zeit gehackt werden können. Ein unvorsichtiger Umgang mit Passwörtern und Zugangsdaten reicht schon aus, um potenzielles Opfer eines Hackerangriffs zu werden — und hierfür braucht es nicht mal einen professionellen Hacker.
Für Firmen liegt der beste Schutz vor Hackerangriffen deshalb noch immer in einer gut durchdachten und mehrschichtigen IT-Sicherheitsstrategie, die neben effektiven technischen IT-Sicherheitsmaßnahmen insbesondere den Faktor „Mensch“ berücksichtigt.
Möchten auch Sie Ihre IT-Landschaft und Ihre wertvollen Assets mithilfe von ethischen Hackern vor böswilligen Hackern oder Hackerbanden sichern? Oder haben Sie noch Fragen zum Thema? Sprechen Sie uns gerne an.