Bedeutung
Ein White-Hat-Hacker (oder White Hat, englisch für weisser Hut) ist ein Hacker, der seine Kenntnisse dafür einsetzt, um in Absprache mit Unternehmen Sicherheitslücken in Computersystemen, Netzwerken oder Anwendungen aufzudecken. Durch dieses «ethische» Hacking sollen Risiken aufgedeckt werden, sodass sich Unternehmen schliesslich besser vor bösartigen Cyberangriffen schützen können. Mit Penetrationstests etwa können Sicherheitslücken und Schwachstellen erkannt, aber nicht ausgeschlossen werden
Vorgehensweise
Ethisches Hacking kann indes über reine Penetrationstests hinausgehen. Bei diesen werden Mittel wie das Scannen von Ports oder Methoden wie das Aufspüren von bekannten Fehlern u.v.m. angewendet, mit denen bösartige Hacker unautorisiert in Systeme einzudringen (diese zu penetrieren) versuchen. Umfangreiches ethisches Hacking umfasst Methoden wie Social Engineering, sodass zum Beispiel Mitarbeitende nach Passwörtern und anderen sicherheitsrelevanten Informationen ausgefragt werden oder indem nach offen verfügbaren Passwörtern auf Schreibtischen oder in Mülleimern gesucht wird.
Dabei müssen sich alle Methoden möglichst an der Realität orientieren, was zum Beispiel bedeutet, dass die Versuche ohne Wissen der Zielpersonen durchgeführt werden und nur einem sehr eingeschränkten Kreis der Geschäftsleitungsebene bekannt sein dürfen. Ethische Hacks können auf Kopien der Systeme oder zu Zeiten durchgeführt werden, in denen die Systeme nicht geschäftskritisch verwendet werden.
Abgrenzung
Als Gegenspieler zum White-Hat-Hacker wird der bösartige Hacker auch Black Hat oder Black-Hat-Hacker genannt. Sein Tun hat rein kriminelle Motive, um Schäden in Systemen anzurichten oder beispielsweise Kontobetrug zu begehen. Die Methoden, die Black-Hat-Hacker anwenden, decken sich mehrheitlich mit denen ethischer Hacker, mit der einzigen Ausnahme, dass erstere ohne die Einwilligung der Besitzer der jeweiligen Systeme arbeiten. Die Begrifflichkeit ist aus Westernfilmen entlehnt, in denen die Guten weisse und die Bösen schwarze Hüte tragen.
Daneben existiert noch der Begriff des Grey-Hat-Hackers. Grey (grau) deshalb, weil diese Hacker ohne Einwilligung der Betreiber der Systeme arbeiten und damit gegen ethische Standards und Gesetze verstossen, allerdings dem Gemeinwohl verpflichtet zu sein angeben. Ihr Ziel ist es, die Öffentlichkeit etwa durch Datendiebstahl auf Probleme der Computersicherheit aufmerksam zu machen. Kritiker monieren, Grey-Hat-Hacker ginge es lediglich darum, ihr eigenes Ego zu befriedigen, indem sie ihr Computerwissen unter Beweis stellen, indem sie Chaos anrichten.
Abraxas Bug-Bounty-Programm
Abraxas führt seit einigen Jahren in Zusammenarbeit und Absprache mit Kunden sogenannte Bug-Bounty-Programme durch. Dabei werden nach der internen Testphase der Systeme in einem kontrollierten Umfeld in zwei Teilen mit schrittweiser Code-Offenlegung Security-Researcherinnen und -Researcher gebeten, Anwendungen auf Schwachstellen zu untersuchen. Auf diese zunächst private Phase folgt in der Regel eine öffentliche, in denen sich Cybersecurity-Expertinnen und -Experten, die sich um eine schere digitale Schweiz sorgen, miteinbezogen werden. Auch bei diesen öffentlichen Programmen ist eine Registrierung der Teilnehmer notwendig.
Abraxas garantiert dabei einen sicheren Hafen («Legal Safe Harbour») für alle Angriffsversuche im Rahmen der Scopes und Richtlinien und umgeht damit rechtliche oder behördliche Haftung der Teilnehmenden und belohnt akzeptierte Reports mit attraktiven Prämien. Solche Programme beschleunigen die Entwicklung von Security-Frameworks, die Methoden zur sicheren Software-Entwicklung und Tools inklusive Tests umfassen. Der Begriff Bug-Bounty-Programm steht sinngemäss übersetzt für Kopfgeld-Programm für Programmfehler (Bugs).
Es beschleunigte die Entwicklung des Abraxas Security Frameworks, das sich im Kern aus einem Bündel an Methoden zur sicheren Softwareentwicklung und Tools sowie Tests in drei Phasen zusammensetzt: Auf die interne Phase des Testens und Überarbeitens des Codes folgt das Abraxas-Bug-Bounty-Programm
Alle bisher erschienenen Buchstaben im digitalen ABC
-
A
wie Artificial Intelligence
Artificial Intelligence; abgek. AI,
engl. für dt. künstliche Intelligenz, abgek. KI -
B
wie Big Data
Big Data (von englisch big = gross und data = Daten)
-
B
wie Bug Bounty
Bug-Bounty-Programm (engl. sinng. Kopfgeld-Programm für Programmierfehler)
-
C
wie Cloud
Cloud, w.
-
C
wie CERT
CERT, Akronym für engl. Computer Emergency Response Team
-
D
wie Digitale Schweiz
1. Digitale Schweiz, w. (die digitale Transformation der Schweiz betreffend)
2. Nebenbedeutung: Teil des Markenversprechens von Abraxas. «Für die digitale Schweiz. Mit Sicherheit» -
E
wie E-ID
E-ID, w. (staatlich anerkannte, nationale elektronische Identität)
-
F
wie Firewall
Firewall, w.
engl. für Brandmauer -
G
wie Graphical User Interface
GUI, s. (Abk. für engl. Graphical User Interface)
-
H
wie Hermes
Hermes, m.
1. Götterbote aus der griech. Mythologie, u. a. Gott des Handels, Begleiter der Toten in den Hades
2. frz. Familienunternehmen mit Sitz in Paris für Luxus-Modeartikel
3. Abk. für «Handbuch der Elektronischen Rechenzentren des Bundes, eine Methode zur Entwicklung von Systemen», offener Standard zur Führung und Abwicklung von IT-Systemen -
I
wie IoT
IoT, s.
Abk. für engl. Internet of Things -
J
wie Java
Java, s.
1. kleinste der Grossen Sundainseln (Indonesien)
2. systemunabhängige Programmiertechnologie, besonders für Anwendungen im Internet -
K
wie Kubernetes
Kubernetes, m.
1. Steuermann (altgriechisch)
2. Container-Orchestrierungssystem (Software) -
L
wie Latenz
Latenz, f.
1. Vorhandensein einer noch nicht sichtbaren Sache
2. Zeit zwischen Reiz und Reaktion (Physiologie)
3. symptomfreie Zeit zwischen Ansteckung und Ausbruch einer Krankheit (Medizin)
4. Zeit zwischen Anfrage und Antwort (IT) -
M
wie Malware
Malware, f.
Software, die in Computersysteme eindringen und dort Störungen oder Schäden verursachen kann -
N
wie New Work
New Work, n. od. f.
engl. für Neue Arbeit
Gesamtheit der modernen und flexiblen Formen der Arbeit bzw. der Arbeitsorganisation -
O
wie Outsourcing
Outsourcing, n.
engl. für Auslagerung
Übergabe von Aufgaben und / oder Strukturen eines Unternehmens an externe Dienstleister -
P
wie Proxy
Proxy, m.
engl. für Stellvertreter
ein Vermittler von Anfragen in Computernetzwerken -
Q
wie Quantencomputer
Quantencomputer, m.
Aus Qubits und Quantengattern aufgebauter Computer, der die Gesetze der Quantenmechanik ausnutzt. -
R
wie Redundanz
Redundanz, f.
Zusätzliche technische Ressourcen als Reserve (Technik) -
S
wie Software-as-a-Service
SaaS, (ohne Artikel)
Kurzwort für englisch Software-as-a-Service = Software als Dienstleistung -
T
wie Transport Layer Security
TLS, m.,
Kurzwort für englisch Transport Layer Security (= Transportschicht-Sicherheit) -
U
wie USV
USV, w.,
Abk. für Unterbrechungsfreie Stromversorgung -
V
wie VPN
VPN, n.,
Abk. für engl. virtual private network = virtuelles privates Netzwerk -
W
wie White-Hat-Hacker
White-Hat-Hacker, m.
Ein White-Hat-Hacker (Oder White Hat, engl. für Weisser Hut) ist ein ethischer Hacker für Computersicherheit. -
X
wie XSS (Cross-Site-Scripting)
XSS, s.
Abk. für engl. Cross-Site-Scripting; dieses webseitenübergreifendes Scripting ist eine Angriffsmethode von Cyberkriminellen. -
Y
wie Y2K
Y2K,
Numeronym für das Jahr-2000-Problem, engl. Year und 2K für 2 Kilo = 2000 -
Z
wie z/OS
z/OS,
seit 2001 im Einsatz stehendes Betriebssystem für IBM-Grossrechner
Über Markus Häfliger
Markus Häfliger ist Inhaber der auf Business-to-Business-IT spezialisierten PR-Agentur Häfliger Media Consulting. Er verfügt über jahrzehntelange Erfahrung mit Technologie- und Wirtschaftsthemen sowohl auf Agentur- als auch auf Medienseite. Er war Chefredaktor der IT-Branchenzeitschrift IT Reseller und von Infoweek (heute Swiss IT Magazine), der Zeitschrift für IT-Entscheider in Unternehmen. Er publiziert als Ghostwriter regelmässig in namhaften Industrie- und Wirtschaftsmedien Fachartikel und Berichte zu IT-Anwendungen in der Praxis. Für das Abraxas-Magazin verfasst er das «Digitale ABC», eine fortlaufende Artikelserie im Lexikon-Stil.
