2023 / Offensive Services

Penetrationstest-Ethik: Was es mit ethischen Hackern auf sich hat

Wenn es um Penetrationstests geht, dann geht es oft auch um Ethik, eine Penetrationstest-Ethik. Denn für sich genommen ist ein Penetrationstest immer auch ein Angriff auf eine bestehende IT-Infrastruktur. Solche Angriffe finden daher aller Wahrscheinlichkeit nach böswillig statt und versuchen IT-Systeme gänzlich lahmlegen oder schlimmer noch, Hackern den vollständigen Zugriff zu gewähren. Bei einem Penetrationstest hingegen geht es um die gute Art von Angriff, da dieser keine Daten beschädigen oder stehlen, sondern vielmehr vorhandene Schwachstellen offenbaren soll.

In diesem Zusammenhang fällt immer auch das Wort »Penetrationstest-Ethik«. Ein Begriff, der innerhalb der Security Branche durchaus eine gewisse Bedeutung erlangen konnte. Denn ethische Grundsätze sind unabdinglich, wenn Systeme kontrolliert und gezielt angegriffen werden. Besteht hier kein ethischer Grundsatz, können unangenehme Konsequenzen die direkte Folge sein. Der eigentlich gewünschte Penetrationstest könnte dann Schäden verursachen, die so gar nicht beabsichtigt waren.

Was ist ein ethischer Hacker?

Ein ethischer Hacker ist das Gegenteil von einem bösartigen Hacker. Es handelt sich demnach auch nicht um einen Hacker, wie er von den meisten Menschen wahrgenommen wird, sondern um einen IT-Sicherheitsexperten, der ein System ganz gezielt und vor allem auch kontrolliert hackt. Er ist kein Eindringling, der Böses will, sondern ein Forscher, der nach Problemen sucht. Jemand, der hackt, dabei aber nie etwas Bösartiges im Schilde führt.

Im Englischen werden Hacker vornehmlich mit den Begriffen White-Hat-Hacker und Black-Hat-Hacker unterschieden. Schwarz und Weiß stehen dabei logischerweise für gute oder eben böse Absichten. Der White-Hat-Hacker wäre also ein ethischer Hacker, während der Black-Hat-Hacker kriminelle Absichten verfolgt und Schaden verursachen möchte. Der White-Hat-Hacker hingegen hilft Betroffenen häufig, indem er nach einem erfolgreichen Hack verschiedene Lösungen anbietet oder zumindest auf die Schwachstellen aufmerksam macht.

Allgemein werden ethische Hacker größtenteils von Unternehmen beauftragt, um die IT-Systeme entsprechend zu testen. Dies geschieht in Form der sogenannten Penetrationstests, also gezielten Angriffen, um die IT-Infrastruktur auf Schwachstellen hin zu untersuchen. Damit dabei nichts schiefgeht, haben ethische Hacker in der Regel auch eine Art von Penetrationstest-Ethik inne.

Immer wieder kommt es auch vor, dass ethische Hacker ohne Auftrag in Systeme eindringen, was eine Straftat darstellt. Solchen Hackern geht es dann um den Reiz an dem Hack selbst. Entdecken sie bei ihrem Hack Schwachstellen oder Probleme, melden sie diese in der Regel aber, da sie den erwähnten ethischen Grundsätzen folgen.

Was bedeutet Penetrationstest-Ethik?

Wird ein Penetrationstest in Auftrag gegeben, wird damit auch die entsprechende Erlaubnis erteilt, die jeweiligen Systeme gezielt anzugreifen. Potenzielle IT-Dienstleister oder IT-Abteilungen im Unternehmen wissen also darüber Bescheid oder werden im Zuge des Angriffs gleich mitgetestet. Das kann Sinn ergeben, wenn der Penetrationstest beispielsweise auch dazu dient, herauszufinden, wie schnell die unternehmenseigene IT auf den Angriff reagiert.

Penetrationstest-Ethik betrifft dabei nicht nur die Absichten, sondern eben auch die Grundsätze, die bei der Durchführung eines Penetrationstests gelten. Ethische Hacker setzen alles daran, dass aus einem ethischen Hack oder eben einem Penetrationstest keine unangenehmen Konsequenzen entstehen. Da es sich um einen Angriff handelt, können Fehler nämlich durchaus dafür sorgen, dass neue Lücken oder Schwachstellen hinzugefügt werden. Deshalb ist es so wichtig, dass eine gewisse Penetrationstest-Ethik beim Pentester vorhanden ist.

Dieser muss immerhin selbstständig arbeiten und sollte sich dabei die notwendige Zeit nehmen, um sauber und gewissenhaft vorgehen zu können. Nur wenn er sich als IT-Sicherheitsexperte entsprechend auskennt, kennt er auch die Risiken und weiß, welche Tools welche Aufgaben übernehmen und worauf es dabei ankommt. Außerdem ist er vollständig transparent gegenüber seinen Auftraggebern und stellt die einzelnen Schritte in seinem Reporting noch einmal entsprechend dar. Penetrationstest-Ethik beschreibt also auch immer ein sauberes Arbeiten während des Tests.

Worauf kommt es bei einem Penetrationstest an?

Wie eben bereits angedeutet, ist es unserer Erfahrung und Meinung nach von essenzieller Bedeutung, dass bei einem Penetrationstest die größtmögliche Transparenz gewahrt wird. Als Unternehmen vertrauen Sie uns als IT-Dienstleister und setzen auf unsere langjährige Erfahrung in diesem Bereich. Sie möchte keine unangenehmen Zwischenfälle erleben und wünschen sich, dass wir uns um alle Belange kümmern, ohne dass weitere Schwierigkeiten daraus entstehen. Einen Leitfaden, wie ein Penetrationstest aussehen sollte, hat das BSI veröffentlicht.

Die Penetrationstest-Ethik stellt dabei sicher, dass alle ethischen Grundsätze auch wirklich eingehalten werden. Ethische Hacker wissen und verstehen, dass ihnen eine entsprechende Verantwortung zugeteilt wurde. Prinzipiell ist ethisches Hacking aber nicht automatisch ein Penetrationstest. Dennoch ist es richtig, dass ethische Hacker auch Penetrationstests durchführen. Nur ist der Pentest eben nicht per se gleichzusetzen mit dem ethischen Hacking an sich. Ein ethischer Hacker zu sein beschreibt somit eine gewisse Grundhaltung, wobei ein Pentester zu sein die Beschreibung für jemanden ist, der einen Pentest durchführt.

Grundsätzlich kommt es bei einem Penetrationstest vordergründig darauf an, dass die Verantwortlichen sich bewusst darüber sind, was sie gerade tun. Fehler beim Pentest sorgen lediglich für unangenehme Zwischenfälle, die IT-Profis zu vermeiden wissen.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.