Ethisches Hacken – weiße und schwarze Hüte

Lesedauer 4 Minuten

Kann denn Hacken ethisch sein? Ja, durchaus – zumindest unter den passenden Voraussetzungen.

Ein Hacker oder eine Hackerin ist zunächst nur eine Person, die sich mit der Sicherheit von Systemen befasst und nach Schwachstellen sucht, die das Eindringen ermöglichen. Die Frage, ob die Handlung des Hackens selbst ethisch ist oder nicht, würde sich in diesem Kontext über die Absicht des Hackers definieren: Wie wird vorgegangen und was soll bezweckt werden?

Hackerethik und Interpretationen

Innerhalb der Hackerkultur wird diese Frage mit Hilfe einer Sammlung von Grundsätzen – der sogenannten Hackerethik – beantwortet. Ursprünglich in den 1980er Jahren im Buch »Hackers« von Steven Levy beschrieben, wurden diese Leitlinien im Lauf der Zeit abgewandelt und erweitert.

Der Chaos Computer Club (CCC) beschreibt die Hackerethik wie folgt:

  • Der Zugang zu Computern und allem, was einem zeigen kann, wie diese Welt funktioniert, sollte unbegrenzt und vollständig sein.
  • Alle Informationen müssen frei sein.
  • Mißtraue Autoritäten – fördere Dezentralisierung.
  • Beurteile einen Hacker nach dem, was er tut, und nicht nach üblichen Kriterien wie Aussehen, Alter, Herkunft, Spezies, Geschlecht oder gesellschaftliche Stellung.
  • Man kann mit einem Computer Kunst und Schönheit schaffen.
  • Computer können dein Leben zum Besseren verändern.
  • Mülle nicht in den Daten anderer Leute.
  • Öffentliche Daten nützen, private Daten schützen.

(Quelle: ccc.de/de/hackerethik)

Allerdings lassen diese Punkte Spielraum für Interpretationen. So fehlt beispielsweise eine nähere Erläuterung, was alles unter den Begriff „müllen“ (vorletzter Punkt) fällt. Auch die Frage, was mit „freier Information“ (zweiter Punkt) gemeint ist, bleibt offen: Bedeutet frei auch kostenlos? Im Bereich von Forschung und Wissenschaft ist das ein großer Streitpunkt. Denn allzu oft müssen für eine Veröffentlichung in klassischen und renommierten Journalen die Verwertungsrechte an Verlage abgetreten werden. Folglich sind diese Inhalte zwar frei (in dem Sinn, dass sie nicht unter Verschluss gehalten werden), jedoch nur für jene, die dafür bezahlen können.

Anhänger der Open-Access-Bewegung hingegen fordern, dass wissenschaftliche Inhalte prinzipiell frei im Sinne von kostenlos zugänglich sein müssen.

Wenn also ein Hacker wissenschaftliche Inhalte im Internet gratis veröffentlicht, während der andere dies ablehnt, würden trotzdem beide von sich behaupten können, dass sie der oben beschriebenen Hackerethik folgen.

Gesetze und Hüte

So interessant die Hackerethik auch sein mag, ersetzt sie keine Gesetzbücher.

Während die beiden letzten Punkte Privatpersonen mehr oder weniger gut schützen, finden Firmen und Konzerne keinerlei Erwähnung. Was Behörden betrifft, könnte man es so sehen, dass sie im dritten Punkt (»Misstraue Autoritäten«) zumindest indirekt mitgemeint sind. Auf dieser Basis lässt sich erahnen, wo die Reibungspunkte liegen. Denn immerhin hat der Gesetzgeber festgelegt, dass Hacken strafbar ist, wenn …

„… jemand Sicherheitsvorkehrungen des Systems verletzt oder überwindet, um sich einen Vermögensvorteil zu verschaffen oder die Betreiberin/den Betreiber des Systems zu schädigen (z.B. durch Auskundschaften von Betriebsgeheimnissen).

Auch die Störung der Funktionsfähigkeit eines Computersystems oder das Umgehen von Zugangsbeschränkungen oder technischen Sperren ist strafbar.“

(Quelle: oesterreich.gv.at)

Die Kombination von Rechtslage und Hackerethik ermöglicht die Unterscheidung von Hackern in drei Kategorien:

White-Hat:

White-Hat-Hacker beachten sowohl die Hackerethik als auch die Gesetzeslage. Sie sind häufig als Profis im Bereich der Computersicherheit anzutreffen und prüfen beispielsweise – nach Erteilung eines entsprechenden Auftrags – die Systeme von Firmen oder Behörden auf Schwachstellen.

Black-Hat:

Diese Hacker handeln mit krimineller Energie und dem Ziel, Daten und Systeme zu schädigen und zu zerstören.

Grey-Hat

Sie agieren zwar vielfach außerhalb der Gesetze, halten sich aber an die Hackerethik. Eine klare Gut/Böse-Unterscheidung ist oft schwierig, jedoch grenzt sie das Fehlen von destruktiven Absichten von den Black-Hats ab. Grey-Hats sehen sich meist als eine Art Robin Hood, indem sie beispielsweise kostenpflichtiges Wissen (wie zuvor am Beispiel Open Access beschrieben) gratis zugänglich machen. Auch die Veröffentlichung von Sicherheitslücken, welche die Verantwortlichen eigentlich lieber vertuschen würden, erfolgt häufig durch sie.

Der ethische Hacker

Ein Sprichwort besagt sinngemäß, dass du wie ein Dieb denken musst, um einen Dieb zu fangen. Hacker aus der Gruppe der White-Hats können sich in ihre dunklen Gegenstücke hineinversetzen, und ihr Wissen und ihre Fähigkeiten ermöglichen ihnen, wie sie zu agieren. Aber sie sind nicht deine Gegner: Als Chef einer Firma oder Betreiber einer Website kannst du sie beauftragen, dein System auf Sicherheitslücken abzuklopfen. Dabei werden sie, anders als Black-Hats, keinen Schaden anrichten, sondern dir dabei helfen, künftigen Schaden abzuwehren.

Obwohl der White-Hat oder ethische Hacker dabei Handlungen ausführen wird, die laut Gesetzgeber eigentlich unter Strafe stehen, sind sie in diesem Kontext legal. Denn wenn er im Rahmen eines sogenannten Penetrationstests in ein System eindringt, agiert er ja im Auftrag des Besitzers. Wichtig: Grenzen, die zuvor abgesteckt wurden (dass z. b. bestimmte Daten nicht ausgelesen werden dürfen), wird er dabei beachten. Trotzdem empfiehlt es sich, wenn du Mitarbeiter beschäftigst, auch deren Vertretung mit ins Boot zu holen und über einen geplanten Penetrationstest zu informieren.

Ablauf eines Penetrationstests:

Mit Ausnahme des letzten Schritts laufen bösartige Hackerangriffe und Penetrationstests nach einem ähnlichen Schema ab:

  1. Vorbereitung und Informationsbeschaffung: Diese Phase wird auch als Footprinting bezeichnet. Hier passiert noch kein Angriff, sondern es werden lediglich Informationen gesammelt. Dabei wird nicht nur das System selbst betrachtet, sondern auch das Umfeld. So werden beispielsweise häufig Angestellte einer Firma auf Social Media ausgespäht. Aber auch Mülleimer oder der Altpapiercontainer können Hackern wertvolle Informationen liefern.
    Das zeigt, dass Cybersicherheit und verantwortungsvolles Handeln nicht an den Grenzen des eigenen Netzwerks enden dürfen.
  2. Analyse: Die Informationen sind gesammelt, nun wird geplant. Welche Lücken können ausgenutzt werden, um sich tatsächlich Zugriff auf das System zu verschaffen und welche Mittel sind dafür geeignet?
  3. Angriff: Nun geht’s ans Eingemachte. Der Hacker versucht in das System einzudringen, indem die gefundenen Schwachstellen ausgenutzt werden.
  4. Aufrechterhaltung: Einfach nur drin zu sein, reicht meist nicht. Hacker verfolgen oft ein bestimmtes Ziel, das es notwendig macht, über einen längeren Zeitraum Zugriff auf das System zu haben. Dafür kommt Schadsoftware, wie z. B. Trojaner zum Einsatz.
  5. Spurenbeseitigung: Der Schaden wurde angerichtet, das Ziel wurde erreicht. Nun will der Hacker vermeiden, dass er erwischt wird. Dafür löscht er Protokolle, löscht eingebrachte Software. Ein Black-Hat hat meist auch kein Problem damit, Systeme unbrauchbar zu machen, wenn es nötig ist, um seine Spuren zu verwischen.
  6. Berichterstattung: Zu diesem Zeitpunkt ist ein Black-Hat schon über alle Berge. Doch der White-Hat hat in deinem Auftrag gehandelt und erstellt nun seinen Bericht. Zu diesem Zeitpunkt fragst du dich vielleicht gerade, wofür du eigentlich dein Geld ausgegeben hast, weil du nichts von irgendwelchen Angriffen gemerkt hast. Und vielleicht fällst du aus allen Wolken, wenn der White-Hat dir nun detailliert beschreibt, wie er vorgegangen ist und welche Schwachstellen deines Systems du unbedingt beheben musst.

Zugegeben, die Preise für so einen Penetrationstest sind meist nicht ganz gering. Aber letztlich kommt es billiger, frühzeitig einen ethischen White-Hat zu beauftragen, als später auf den Kosten sitzenzubleiben, die ein bösartiger Hackerangriff nach sich ziehen kann.

Das könnte dich auch interessieren

Günter Gerstbrein

Günter Gerstbrein, Jahrgang 1977, studierte technische Mathematik an der TU Wien und war etwa 13 Jahre in der Software-Entwicklung tätig. Als „Texter, der aus der Technik kam“ ist es sein Ziel, komplizierte Sachverhalte leicht verständlich und ohne viel Techno-Babble zu vermitteln.

Gerstbrein textet