Offensive Services

Google Hacking: Was ist das, wie funktioniert es und wobei hilft es wirklich?

Aktualisiert am

Eigentlich ist die Suchmaschine Google vorwiegend dafür bekannt, Ihnen bei der Suche nach alltäglichen Dingen zu helfen. Egal, was in die Suchmaschine eingegeben wird, es wird meist genau das gefunden, was Ihrer eigenen Suchintention entspricht. Doch es geht auch anders. Google Hacking sorgt dafür, dass die Suchmaschine ganz einfach zweckentfremdet werden kann.

Google Hacking meint dabei, dass statt alltäglicher Begriffe, sehr genau nach bestimmten Parametern gesucht wird, um mit der Suchmaschine Ergebnisse zu finden, die eigentlich verborgen bleiben sollten. Zu diesem Zweck werden sogenannte Suchoperatoren oder auch Suchparameter verwendet. In diesem Artikel werden wir Ihnen aufzeigen, was genau es damit auf sich hat und wie das Ganze dann in der Praxis tatsächlich funktioniert.

Dabei gehen wir auf alle wichtigen Begriffe, Parameter und Möglichkeiten beim Google Hacking ein wenig genauer ein. Am Ende werden Sie nicht nur wissen, was Google Hacking genau ist, sondern auch, wie es exakt funktioniert und wie es Ihnen im Bereich der IT-Sicherheit helfen kann. Denn auch hier erweist sich das Google Hacking als überaus mächtig und wertvoll für Sicherheitsexperten.

Was ist Google Hacking genau?

Google Hacking meint im Grunde nichts anderes, als dass Hacker sich über Google Zugriff zu bestimmten Websites und IT-Systemen verschaffen, indem sie Schwachstellen direkt über die Suchmaschine aufspüren. Genauer gesagt wird mit speziellen Suchparametern eine Recherche betrieben, die solche Schwachstellen und Sicherheitslücken blitzschnell offenbart. Google wird also zweckentfremdet und dafür genutzt, um Angriffsziele auszuspähen, die ansonsten verborgen blieben.

Das beste Beispiel dafür ist, dass Google genutzt werden kann, um ganz bestimmte Dateitypen aufzuspüren oder versteckte Seiten anzuzeigen, die eigentlich gar nicht frei zugänglich sein sollten. Weil Google eine sehr umfangreiche Suchmaschine ist und Server des Öfteren falsch oder unzureichend konfiguriert werden, kommt es immer wieder zu solchen vermeintlichen Leaks, die dann auch entsprechend über Google gefunden werden können.

Was für Hacker gilt, ist in gleicher Weise auch für Pentests interessant. Pentester und Sicherheitsexperten können Google natürlich ebenso dafür verwenden, um gängige Schwachstellen aufzuspüren und mithilfe der Suchmaschine zu finden. Auf diese Weise werden realitätsnahe Szenarien von Angreifern durchgespielt, die auf die gleiche Weise versuchen würden, sich Zugriff zu Ihren IT-Systemen zu verschaffen. Google Hacking ist also ein realistisches Bedrohungsszenario, weshalb immer im Blick behalten werden sollte, was, wie und wo mit Google gefunden werden kann.

Ist Google Hacking Strafbar?

Google Hacking ist per se nicht strafbar, weil die Funktionsweise innerhalb der Suchmaschine bereits enthalten ist. Google Hacking meint am Ende schließlich nichts anderes, als die Suchparameter der Suchmaschine entsprechend zu manipulieren und auf eine Art und Weise einzusetzen, die es erlaubt, an die gewünschten und eigentlich nicht ganz öffentlichen Informationen zu gelangen. Da also nur Google verwendet wird, kann dies quasi gar nicht automatisch strafbar sein.

Allerdings, und jetzt kommt der Knackpunkt bei der Sache, sind nicht alle gefundenen Informationen automatisch legal nutzbar oder für alle Augen bestimmt. Ebenso wenig, wie Sie ein Bild aus der Suchmaschine einfach kopieren und wiederverwenden dürfen, sind auch die versteckten Dateien natürlich nicht für die freie Nutzung bestimmt. Da sie zudem oft versteckt und nicht gewollt zugänglich sind, ist von vornherein klar, dass dem so ist.

Selbst wenn Sie also nur auf die Datenbestände von Google zugreifen und sich diese mittels der Suchparameter zunutze machen, ist nicht alles, was Sie dort finden, automatisch legal oder gar zur freien Verfügung geeignet. Das sollte allerdings ohnehin klar sein. Wenn Sie bei Google die Bilder-Suche verwenden, dürfen Sie die gefundenen Bilder schließlich auch nicht einfach auf ihrer Website verwenden. Das Google Hacking selbst beschreibt aber eben nur eine besonders intensive Nutzung von Google und ist somit auch nicht prinzipiell illegal einzustufen.

Warum ist Google Hacking so erfolgreich?

Der Grund dafür ist meist darin zu finden, dass viele Bereiche nicht ausreichend genug geschützt werden. Das wiederum führen wir oft darauf zurück, dass der allgemeine Wissensstand in Bezug auf das Google Hacking eher gering bis nicht vorhanden ausfällt. Einer der Gründe für diesen Artikel ist daher, eine Art von Aufklärung zu leisten.

Viele Menschen wissen gar nicht, dass Suchoperatoren und spezielle Parameter und Sonderzeichen bei Google gänzlich andere Ergebnisse liefern können. Weil sie selbst davon nichts wissen, sorgen sie auch nicht dafür, dass ihre Systeme entsprechend konfiguriert sind. Es fällt dann schlichtweg nicht auf, wenn sensible Bereiche bei Google auffindbar sind, die eigentlich nicht gefunden werden sollen.

Dabei ist es auch heute noch der Fall, dass Google Hacking erfolgreich ist. Und zwar, obwohl selbiges bereits 2002 bekannt wurde, als Johnny Long mittels Google Dorks (also Google Hacking, das Dork steht im Englischen für Depp und beschreibt die Idioten, die derartige Bereiche nicht vor Google schützen) sensible Informationen aufspürte. Seitdem hat es sich in der Sicherheitsszene entsprechend etabliert und ist eine sehr einfache Methode, um gezielte und sicherheitsrelevante Ergebnisse zu generieren.

Google Hacking beim Pentest anwenden

Bei einem Penetrationstest gehört das Google Hacking mittlerweile fast schon als fester Bestandteil mit dazu, je nach Art des Systems natürlich. Das Hacking via Google ist hier eine erste Informationsquelle, um potenzielle Ziele und Schwachstellen im IT-System zu entlarven. Das funktioniert in der Regel auch ziemlich gut und zeigt dann gleich noch die größten Fehler auf, da solche Dinge nicht via Google auffindbar sein sollten.

Auf diese Weise lassen sich beispielsweise bestimmte Medientypen finden, ebenso wie SQL-Fehlermeldungen oder ähnliche Hinweise auf Schwachstellen filtern. Auch Dokumente, Zugangsdaten und spezielle Umgebungen, die bekannt für bestimmte Sicherheitsproblematiken sind, können via Google Hacking schnell und einfach gefunden werden. Wann immer ein Admin nicht aufpasst, wird dies am ehesten und vor allem auch als erstes, in den Google-Ergebnissen und den dort enthaltenen Informationen ersichtlich. Genau darum geht es schlussendlich beim Google Hacking.

Wer jetzt noch mehr über das Google Hacking erfahren möchte, findet hier einen deutlich fachbezogeneren Artikel von uns. In diesem nennen wir auch einige Parameter als Beispiele und erklären die genauere Funktionsweise. Was Google Hacking ist und wie es sich als nützlich erweisen kann, das hingegen haben Sie hier bereits erfahren. Wenn es jetzt um die Praxisanwendung geht, folgen Sie dem Link oben und lesen Sie einfach weiter.

Foto des Autors

Vincent Reckendrees

Hallo, ich bin Vincent Reckendrees und leite das Team Offensive Services bei der AWARE7 GmbH. In meinem Bachelor und Master Studium habe ich mich auf IT-Sicherheit spezialisiert und BSI zertifizierter IS-Penetrationstester. Meine Leidenschaft gilt Reverse Engineering, Hardware- und Web-Sicherheit. Als Experte für Penetrationstests finde ich Schwachstellen in Systemen und Netzwerken und nutze sie, um realistische Cyberangriffe zu simulieren und Sicherheitsmaßnahmen zu verbessern. Durch Reverse Engineering entdecke ich Fehler und Verbesserungsmöglichkeiten in Software und Hardware. Meine Fähigkeiten in Hardware- und Web-Sicherheit ermöglichen es mir, physische Geräte und Online-Plattformen vor einer Vielzahl von Cyberbedrohungen zu schützen und ihre Integrität und Zuverlässigkeit zu gewährleisten.