Was ist Hacking?
Es sei direkt vorausgeschickt, dass Hacker beileibe nicht immer Kriminelle sind.
Mit diesem Gedanken im Hinterkopf schauen wir uns nun einmal an, wie und warum "Hacken" und verwandte Begriffe in der öffentlichen Wahrnehmung eher negativ konnotiert sind.
Begriffe wie "Hack" oder "Hackjob" werden im Englischen häufig verwendet, um entweder inkompetente Personen ohne angemessene formale Ausbildung in einem bestimmten Arbeitsbereich zu beschreiben - oder schlampig ausgeführte Arbeiten. Eine grobe Übersetzung für "Hack" kann etwa der Begriff "Pfusch" sein ("Dieser Typ ist ein totaler Pfuscher!"), allerdings ist dieser Begriff im Deutschen durchweg negativ besetzt. Diese Unterscheidung fehlt im Englischen, insofern ist der Begriff "Hack" nicht wirklich gut direkt übersetzbar, dafür lässt er sich gut umschreiben. Gemeinsam ist dem Deutschen und Englischen, dass sowohl "hack" als auch "Pfusch" gebraucht wird, um minderwertige Arbeit zu beschreiben ("Das ist keine Reparatur - das ist einfach nur Pfusch!"). Im Englischen hat "hack" allerdings noch eine Zusatzbedeutung: So kann ein "hack" auch eine zwar funktionierende, aber unübliche und keiner Norm entsprechende Lösung für ein Problem sein. Im Zusammenhang mit Computern assoziiert die Öffentlichkeit Hacking häufig mit dem unbefugten Zugang zu Computersystemen, persönlichen Konten und Computernetzwerken oder dem Missbrauch digitaler Geräte - meist entweder zur Erzielung finanzieller Gewinne oder um Schaden anzurichten. Angesichts der Medienberichterstattung könnte man meinen, dass Hacker immer in böser Absicht handeln.
Es ist jedoch schwierig, eine Rechtsvorschrift zu finden, in der der Begriff "Hacken" explizit erwähnt wird, auch wenn umgangssprachlich etwa vom "Hacker-Paragrafen" (gemeint ist hier der Paragraf 202c des deutschen StGB) die Rede ist. Hacker handeln jedoch nicht unbedingt in böser Absicht - das Gegenteil ist oft eher der Fall. Was macht also einen Hacker aus? Nach unserer Definition von Hacking ist ein Hacker jemand, der seine technischen Fähigkeiten und Kenntnisse einsetzt, um ein bestimmtes Problem oder eine bestimmte Herausforderung zu bewältigen. Dazu müssen nicht einmal unbedingt Computer eingesetzt werden.
Viele denken auch, dass sich der Begriff "Hacker" auf ein autodidaktisches Wunderkind oder einen abtrünnigen Computerprogrammierer bezieht. Hacker sind in der Tat oft geschickt darin, Computerhardware oder -software so zu verändern, dass sie auf eine Weise genutzt werden kann, die nicht der ursprünglichen Absicht der Entwickler entspricht. Wenn Hacker in ein Computernetz oder -system eindringen, spricht man von Sicherheits-Hacking. Obwohl Hacker in den Medien meist als Cyberkriminelle bezeichnet werden, die Daten stehlen und alle möglichen anderen digitalen Schäden anrichten, lautet die korrekte Bezeichnung für diese Form des illegalen Hackens eigentlich "Cracking".
Hacking in der Geschichte
Ein Historischer Hack
Der erste Hack, der unserer heutigen Definition bemerkenswert nahe kommt, stammt aus dem Jahr 1903. Und die Reaktion darauf wäre heute, 120 Jahre später, nicht deplatziert.
Folgendes ist passiert: Im Jahr 1903 wollte der italienische Elektroingenieur und Erfinder Guglielmo Marconi sein kürzlich erfundenes drahtloses Übertragungssystem in England vorführen. Marconi hatte behauptet, dass seine drahtlose Übertragung "sicher und privat" sei. Doch ein konkurrierender Erfinder und Magier namens Nevil Maskelyne (1863-1924) bewies ihm das Gegenteil. Als Marconi sich anschickte, seine Demonstration zu starten, eine Übertragung quer durch England per Morsecode, war Maskelyne derjenige, der mit seinem eigenen Morsecode in das Signal eindrang, das von Marconis Geräten empfangen wurde. Seine Botschaften enthielten einige ausgewählte Worte an Marconi. Der Physiker John A. Fleming, der Marconis Botschaften empfangen sollte, verurteilte diese abtrünnige Übertragung als "wissenschaftliches Rowdytum" (scientific hooliganism"). Aber es war zu spät - Maskelyne hatte öffentlich einen schwerwiegenden Fehler in Marconis Technologie aufgedeckt (der Marconi auch bekannt war), und Marconi war darüber ganz und gar nicht glücklich. Maskelyne sah sich in der Öffentlichkeit heftigen Beschimpfungen von Leuten wie Fleming ausgesetzt, worauf Maskelyne lediglich antwortete, dass "Beleidigungen kein Argument" seien und er sich lieber auf die Fakten konzentrieren würde.
Es ist verlockend, auf dieses Ereignis zurückzublicken und zu sagen: "Wir sind heute wesentlich weiter". Aber das wäre nicht ganz richtig. Derselbe Austausch hätte realistischerweise auch letzte Woche auf Twitter oder einem Diskussions-Thread auf Github stattfinden können, zwischen einem Sicherheitsforscher und einem Entwickler, der sich weigert, eine kritische Sicherheitslücke zu schließen - und niemand würde sich über die Diskussion wundern.
Wie "Hacking" zum geläufigen Begriff wurde
Mitglieder des Tech Model Railroad Club am MIT (Massachusetts Institute of Technology) waren die ersten, die den Begriff "hacking" in einem technischen Kontext verwendeten. Nach dem Zweiten Weltkrieg begannen diese Studenten, das Wort "hack" zu verwenden, um eine innovative (und manchmal unorthodoxe) Lösung für ein technisches Problem zu bezeichnen. Dies kann als die erste "formale" Definition des Begriffs angesehen werden, die auch heute noch gilt.
In den frühen 1960er Jahren wurden Computer für akademische Einrichtungen zugänglicher. Das war zu Zeiten des Apollo-Programms der NASA, als das Instrumentation Lab am MIT mit der Entwicklung der Computerhard- und -software beauftragt wurde, die Menschen auf den Mond bringen sollte, sehr zur Überraschung und Bestürzung etablierter Unternehmen wie IBM. Tatsächlich war der Auftrag zur Entwicklung der Computersysteme für Apollo einer der ersten Verträge, die im Rahmen des gesamten Programms vergeben wurden. Neugierige Clubmitglieder, die in dieses neue Technologiefeld eintraten, brachten die Terminologie mit. Seitdem ist "Hacking" sehr eng mit der Informatik verbunden.
Aber erst in den frühen 1980er Jahren wurde Hacking zu einem allgemein wahrgenommenen Phänomen. Zum ersten Mal waren Computer für die breite Öffentlichkeit verfügbar und erschwinglich. Fast jeder konnte sich einen Computer kaufen und von da an mit dem Hacken experimentieren. Und das taten sie auch. Es gab verschiedene Formen des Hackens - vom reinen Spaß, um den Geist herauszufordern, über leicht lästig bis hin zu regelrechten Verbrechen. Es war auch die Zeit des Kalten Krieges, und so war Computerspionage natürlich ein Thema, das immer wieder für Schlagzeilen sorgte.
Viele der weltweit gefährlichsten Hacker der letzten Jahre haben sich von diesen frühen Pionieren inspirieren lassen.
1986 war das kriminelle Hacken in den USA so weit verbreitet, dass der Computer Fraud and Abuse Act (CFAA) verabschiedet wurde. Dies war das weltweit erste Gesetz gegen Internetkriminalität.
Hacker-Arten
Beim Hacken geht es in erster Linie um grenzenlose Kreativität, furchtlose Innovation und den Mut, von den üblichen Denkweisen abzuweichen. Der Chaos Computer Club, die größte Hackervereinigung in Europa, definiert Hacking als "kreative, praktische und respektlose Nutzung von Technologie". Leider geben sich nicht alle Hacker mit dem Hacken um des Hackens willen zufrieden.
Auf der Grundlage der Legalität ihrer Aktivitäten lassen sich Hacker grob in drei Gruppen einteilen.
Black Hat Hackers
In den Medien taucht der Black Hat Hacker am häufigsten auf: der maskiert dargestellte Cyberkriminelle, der geschickt in ein Computersystem einbricht, um Daten zu stehlen oder zu verändern oder andere illegale Handlungen durchzuführen. Nur, dass in der Realität kaum ein krimineller Hacker in einem abgedunkelten Kellerraum mit Sturmhaube vor dem Rechner sitzt, sondern eher in einem normalen Bürogebäude oder im Home Office. Wenn ein Black Hat Hacker eine Schwachstelle in einer Software entdeckt, nutzt er oder sie diese für kriminelle Zwecke aus. Der Hacker kann einen Exploit schreiben. Dabei handelt es sich um ein Stück Software, das eine Schwachstelle ausnutzt, um in ein Computersystem einzudringen und Malware zu verbreiten. Der Hacker kann die Entdeckung auch im Dark Web zum Verkauf anbieten. Manchmal versuchen Black Hat Hacker sogar, andere zu zwingen (oder zu bestechen), die Arbeit für sie zu erledigen. Dies wird als Insider-Bedrohung bezeichnet. Im August 2020 bot ein Hacker einem Tesla-Mitarbeiter eine Million Dollar an, um heimlich Ransomware in der Megafabrik des Unternehmens im US-Bundesstaat Nevada zu installieren. Glücklicherweise meldete der Mitarbeiter dies dem FBI und der Hacker wurde verhaftet.
Der Begriff "Black Hat" geht übrigens auf alte Westernfilme zurück - die Bösewichte tragen in diesen Filmen meist schwarze Hüte.
White Hat- und Ethisches Hacking
Im Gegensatz zu Black-Hat-Hackern führen White-Hat-Hacker ihre Aktivitäten offen aus. White Hat Hacker sind die Gegenstücke zu Black Hat Hackern - wie im Western geht der Begriff des White Hats auf die Farbe des Hutes zurück, die der Held im Western trägt. Unternehmen beauftragen White Hat Hacker oft damit, ihre Systeme und Software gezielt anzugreifen, um Schwachstellen oder Sicherheitsprobleme zu entdecken. Dies wird als Penetrationstest bezeichnet. So können Unternehmen ihre Sicherheit verbessern, bevor ein Black Hat Hacker eindringen kann. Einige White-Hat-Hacker arbeiten intern in großen Unternehmen, während andere als Freiberufler oder Selbstständige tätig sind. Darüber hinaus können ethische Hacker auch Mitarbeiter dem Phishing aussetzen, um zu testen, wie widerstandsfähig eine Organisation gegenüber echten Angriffen ist, und um Bereiche zu ermitteln, die zusätzliche Schulungen zur Cybersicherheit erfordern.
Sie melden auch Schwachstellen in einer bestimmten Anwendung an den Anbieter oder Entwickler der betroffenen Anwendung, manchmal "pro bono", manchmal für ein Kopfgeld, auch "Bug Bounty" genannt, das an Forschende ausgezahlt wird, die eine kritische Schwachstelle aufdecken.
Grey Hat Hacker
Grey Hat Hacker bewegen sich in der Grauzone - daher der Name - zwischen Schwarz und Weiß. Im Gegensatz zu White-Hat-Hackern sind sie keine Altruisten, aber sie sind auch nicht ausschließlich mit kriminellen Aktivitäten beschäftigt. Grey Hat Hacker hacken in der Regel zuerst und bitten erst dann um Erlaubnis. Ethische Hacker hingegen bitten vorher um Erlaubnis. Viele Grey Hat Hacker scannen zunächst die Systeme oder die Software eines Unternehmens und suchen nach Sicherheitsproblemen. Erst wenn sie eines gefunden haben, bieten sie eine Lösung an. Gegen eine Gebühr, versteht sich. Andere Grey Hat Hacker nutzen das Hacken als Mittel des Aktivismus. Sie machen Sicherheitslücken öffentlich, so dass das betreffende Unternehmen durch öffentlichen Druck gezwungen wird, das Problem zu beheben. Nachdem ein Grey Hat Hacker im Jahr 2013 ein Sicherheitsproblem bei Facebook entdeckt hatte und daraufhin wiederholt vom Unternehmen abgewiesen wurde, beschloss er, Mark Zuckerberg praktisch die Pistole auf die Brust zu setzen, indem er das Leck nutzte, um eine Meldung in der Timeline des Meta-Chefs zu veröffentlichen.
Obwohl die Aktivitäten von Grey Hat Hackern zu positiven Ergebnissen führen können, ist das Hacken fremder Systeme ohne Erlaubnis zunächst immer noch illegal. In einigen Fällen haben Hacker eine Schwachstelle öffentlich gemacht, die anschließend behoben wurde, nur um dann von der betreffenden Organisation verklagt (oder auf deren Geheiß von den Behörden schikaniert) zu werden. Der Ansatz des "Erschieße des Boten" wird weithin als eine unkluge Vorgehensweise angesehen, denn wenn ein Unternehmen erst einmal dafür bekannt ist, dass es rechtliche Schritte gegen Forschende einleitet, die eine Schwachstelle aufgedeckt haben, wird es in Zukunft keine derartigen Meldungen mehr erhalten - oder viel weniger. Solche Nachrichten verbreiten sich in der Community sehr schnell und lassen sich unmöglich geheim halten. Stattdessen könnten sich die Forscher entweder selbst an die Behörden wenden, um grobe Fahrlässigkeit und Verletzungen der Privatsphäre aufzudecken - oder sie lehnen sich einfach zurück und "genießen das Feuerwerk".
Hacking-Tools: Wie arbeiten Hacker?
Meistens ist Hacking eine technische Angelegenheit, aber Hacker können auch Social Engineering einsetzen, um den Benutzer dazu zu bringen, auf einen bösartigen Anhang zu klicken oder persönliche Daten preiszugeben. Neben Social Engineering und Malvertising gehören zu den gängigen Hacking-Techniken: Botnets, DDoS, Ransomware und andere Malware. Auch "Living of the land"-Tools, bei denen Kriminelle nur die Möglichkeiten nutzen, die sie beim Eindringen ins Netzwerk finden, werden häufig eingesetzt. Wenn Sie sich einen Überblick über die Werkzeugkiste eines Hackers verschaffen wollen: "Den" Werkzeugkasten gibt es nicht. Es gibt jedoch einige Tools - sowohl kommerzielle als auch Open-Source-Tools - die von Hackern an beiden Enden des Spektrums verwendet werden, z. B. nmap, mimikatz, Ghidra, burp, Cain&Abel, Purple Knight oder Metasploit. Jedes Tool hat einen speziellen Verwendungszweck, und Hacker stellen sich in der Regel ihre eigenen Toolkits zusammen.
Darüber haben wir bereits in einem früheren Artikel geschrieben.
Von Script Kiddies zum Organisierten Verbrechen
Leider hat sich das Hacken von harmlosem Unfug von Jugendlichen zu einem milliardenschweren Wachstumsgeschäft entwickelt. Dessen Anhänger haben eine kriminelle Struktur aufgebaut, die schlüsselfertige Hacking-Tools entwickelt und an Möchtegern-Gauner mit weniger anspruchsvollen Fachkenntnissen (bekannt als "Script-Kiddies") verkauft.
Es lässt sich sagen, dass Hacker aus einem der folgenden fünf Gründe versuchen, in Computer und Netzwerke einzubrechen.
- Es gibt den typischen finanziellen Gewinn wie den Diebstahl von Kreditkartendaten oder den Betrug an Banksystemen.
- Den Ruf von Personen oder Unternehmen zu schädigen oder anzugreifen, motiviert einige Hacker, da sie ihre Spuren auf Websites hinterlassen. Dies wird auch als "Defacement" bezeichnet.
- Außerdem gibt es die Wirtschaftsspionage, bei der Hacker eines Unternehmens versuchen, Informationen über die Produkte und Dienstleistungen eines Konkurrenten zu stehlen, um sich einen geschäftlichen Vorteil zu verschaffen.
- Und natürlich betreiben ganze Nationen staatlich gefördertes Hacking, um Geschäfts- und/oder öffentliche Informationen zu stehlen, die Infrastruktur zu destabilisieren oder um Disharmonie und Verwirrung in der Gesellschaft des Ziellandes zu stiften.
- Und dann gibt es noch die Hacker, die politisch oder sozial motiviert sind. Sie versuchen in der Regel, eine Sache zu fördern, sind aber nicht finanziell motiviert. Diese Hacker-Aktivisten oder "Hacktivisten" versuchen, die Aufmerksamkeit der Öffentlichkeit auf ein Problem zu lenken, indem sie ein sehr ungünstiges Licht auf das Ziel werfen - im Allgemeinen, indem sie sensible Informationen veröffentlichen. Die bekanntesten Hacktivistengruppen und einige ihrer berühmtesten Unternehmungen sind Anonymous, WikiLeaks und LulzSec. Das Problem mit dieser Art von Hackern ist, dass sie ihre Hacking-Fähigkeiten mit einer Art "Robin-Hood-Flair" einsetzen, was viele Leute zu der Annahme verleitet, dass ihre Handlungen immer legitim waren/sind. Viele gehen ein legitimes Problem auf manchmal fragwürdige Weise an. Diese Hacker scheinen die gesamte Hacking-Branche aus den falschen Gründen cool oder sexy erscheinen zu lassen. Das ist eine gefährliche Sache, denn es kann dazu führen, dass potenziell wohlmeinende, aber unerfahrene Menschen eine sehr schmale Grenze überschreiten.
Ist Hacken illegal?
Gegen das Hacken an sich ist nichts einzuwenden. Nur wenn ein Hacker nicht um Erlaubnis fragt bevor er oder sie sich an fremden Systemen zu schaffen macht, wird die Grenze zwischen legalem Hobby und illegaler Cyberkriminalität überschritten oder zumindest verwischt. Was White Hat Hacker tun, ist in Ordnung. Schließlich haben die Mitarbeiter und Kunden ihre Zustimmung gegeben. Wenn jedoch Grey Hat Hacker mit ihren Erkenntnissen an die Öffentlichkeit gehen, kann das rechtliche Konsequenzen für sie haben, auch wenn sie vielleicht gute und noble Absichten haben.
Natürlich sind alle Aktivitäten von "Black Hat Hackern" illegal. Wenn Sie Opfer eines "Black Hat Hackers" geworden sind, können und sollten Sie diese Cyberkriminalität den zuständigen Behörden in Ihrem Land oder Ihrer Region melden. Dies kann dazu beitragen, den entstandenen Schaden zu begrenzen, den Hacker vor Gericht zu bringen und hoffentlich weitere Opfer in der Zukunft zu verhindern.
Neue Gesetzgebung?
Belgien ist das erste (europäische) Land, das einen nationalen und umfassenden Safe-Harbor-Rahmen für ethische Hacker verabschiedet hat, so die belgische Cybersicherheitsagentur "The Centre for Cyber Security Belgium". Diese Agentur, auch CCB genannt, hat eine Politik angekündigt, die Einzelpersonen oder Organisationen vor strafrechtlicher Verfolgung schützt - unter der Voraussetzung, dass bestimmte "strenge" Bedingungen erfüllt werden - wenn sie Sicherheitsschwachstellen melden, die Systeme, Anwendungen oder Netzwerke in Belgien betreffen.
Nach dem Verfahren, das in einer nationalen koordinierten Richtlinie zur Offenlegung von Schwachstellen (CVDP) geschaffen wurde, kann das CCB - das belgische Computer Emergency Response Team (CSIRT) - nun Berichte über IT-Schwachstellen entgegennehmen, die Sicherheitsforschern einen gewissen rechtlichen Schutz bieten, wenn die folgenden Bedingungen erfüllt sind:
- Sie müssen den Eigentümer der anfälligen Technologie (z. B. Website, Softwarepaket usw.) so bald wie möglich und gleichzeitig mit der CCB
- Ohne betrügerische Absichten handeln und ohne das Ziel, Schadfen zu verursachen
- Streng nach dem Grundsatz der Verhältnismäßigkeit handeln, um das Vorhandensein einer Schwachstelle nachzuweisen
- Sie müssen dem CCB so bald wie möglich einen Schwachstellenbericht in einem bestimmten Format vorlegen
- Informationen über die Schwachstelle und die gefährdeten Systeme dürfen ohne Zustimmung der CCB nicht an die Öffentlichkeit weitergegeben werden.
Aber wir müssen vorsichtig sein und es gibt noch viele Fragen zu beantworten ... Und es gibt auch einige Nuancen, die wir unserer Meinung nach noch untersuchen müssen. Kann ein ethischer Hacker einen umfassenden Penetrationstest bei einem Unternehmen durchführen, das sich dessen nicht bewusst ist? Kann ein ethischer Hacker einen neuen 0-Day auf alle belgischen IP-Adressen loslassen? Es ist gut, dass es das Gesetz gibt, das ethische Hacker schützt, aber es ist immer noch kein Freifahrtsschein aus dem Gefängnis. Ein ethischer Hacker, der eine SQL-Injection findet und dann die gesamte Datenbank leert, um zu zeigen, dass er einen Fehler gefunden hat, macht sich immer noch strafbar.
Der Rahmen soll ethische Hacker schützen, die zufällig über eine Sicherheitslücke stolpern, wenn sie das Problem melden wollen. Es ist daher kein sicheres Verhalten, die gesamte .be zu scannen. Außerdem wird man nicht bezahlt, so dass es sich um eine freiwillige Arbeit handelt! ... Nun, man bekommt ein T-Shirt, wenn man das Sicherheitsproblem meldet.
Andernorts in der EU
Aus einem Bericht der EU-Agentur für Cybersicherheit (ENISA) aus dem Jahr 2022 über nationale Maßnahmen zur koordinierten Offenlegung von Sicherheitslücken (CVD) geht hervor, dass auch Frankreich, Litauen und die Niederlande an CVD-Maßnahmen arbeiten und entsprechende Anforderungen umgesetzt haben. Zahlreiche andere EU-Mitgliedstaaten entwickeln oder planen ähnliche nationale Schutzmaßnahmen für Hacker.
Bildnachweis:
"Yellow & Brown Cardboard Box" by Gerhard Lipold / Pexels
"Grayscale Photo of a Young Man" by Kevin Bidwell / Pexels
Morse keyer image from Wikipedia, released unter CC-BY-SA 4-0
Header & Preview: G DATA CyberDefense, tbe