White Hat Hacking & Pentesting
White-Hat-Hacker
White-Hat-Hacker, oft als „die hilfreichen Hacker“ bezeichnet, sind Cyber-Sicherheitsexperten, die ihre Fähigkeiten einsetzen, um Unternehmen nicht zu schaden, sondern zu schützen. Ihr Ziel ist es, Schwachstellen in IT-Systemen zu identifizieren, bevor sie von böswilligen Hackern ausgenutzt werden können. Unternehmen beauftragen White-Hat-Hacker, um ihre Netzwerke, Server und IT-Infrastrukturen auf Herz und Nieren zu prüfen und so ihre Sicherheitsmaßnahmen zu verbessern.
Diese ethischen Hacker führen gründliche Scans auf Malware durch und nutzen die gleichen Methoden wie kriminelle Hacker (Black-Hats), um potenzielle Sicherheitslücken aufzudecken. Sie testen auch menschliche Schwachstellen, indem sie z. B. Mitarbeiter dazu verleiten, auf gefährliche Links zu klicken, die normalerweise zu einer Infizierung des Systems führen würden. Durch diese präventiven Maßnahmen tragen White-Hat-Hacker dazu bei, dass größere Unternehmen weniger Ausfälle und Sicherheitsvorfälle haben, da ihre Systeme gegen Angriffe besser geschützt sind.
Für Einsteiger, die sich für die Welt des ethischen Hackings interessieren, bieten sich viele Lernmöglichkeiten, um grundlegende und fortgeschrittene Fähigkeiten zu erwerben. Auf unserer Website finden Sie Video-Kurse, die Ihnen Schritt für Schritt zeigen, wie Sie sich im Bereich Cyber-Sicherheit weiterbilden können. Diese Kurse bieten praxisnahe Einblicke in Themen wie Netzwerksicherheit, Offensive Security und Penetrationstests und sind eine ideale Ausgangsbasis für angehende White-Hat-Hacker. Mit diesem Wissen können Sie Unternehmen helfen, sich gegen die Bedrohungen durch bösartige Hacker zu schützen und gleichzeitig eine spannende und lohnende Karriere im Bereich der Cyber-Sicherheit starten.
Zu den Kursen »Pentesting
Penetrationstests, oft als Pentesting bezeichnet, sind umfassende Sicherheitstests für einzelne Rechner oder Netzwerke jeder Größenordnung. Ziel eines Penetrationstests ist es, die Sicherheit sämtlicher Systemkomponenten und Anwendungen eines Netzwerks oder Softwaresystems zu bewerten. Dabei werden Techniken und Methoden eingesetzt, die darauf abzielen, unbefugten Zugriff auf das System zu erlangen (Penetration).
Penetrationstests dienen dazu, potenzielle Schwachstellen zu identifizieren und zu bewerten. Sie können allerdings keine vollständige Garantie für die Sicherheit eines Systems bieten. Ein wesentlicher Bestandteil eines Pentests ist der Einsatz spezialisierter Werkzeuge, die dabei helfen, eine Vielzahl an bekannten Angriffsmustern zu simulieren. Diese Werkzeuge ermöglichen es, die Effektivität der bestehenden Sicherheitsmaßnahmen zu testen und mögliche Schwachstellen sichtbar zu machen, bevor sie von Angreifern ausgenutzt werden.
Was ist der Hackerparagraph?
Den allzu berüchtigten Hackerparagraph findet man im Strafgesetzbuch des deutschen Rechts. Genauer gesagt ist damit oft der Paragraph $202c gemeint, welcher den Titel “Vorbereiten des Ausspähens und Abfangens von Daten” trägt. In diesem steht geschrieben:
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
(2) § 149 Abs. 2 und 3 gilt entsprechend.
Was steht in Paragraph §202a bzw. $202b geschrieben?
Paragraph $202a lautet folgendermaßen:
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.
Wie man Punkt (1) entnehmen kann, ist es verboten, sich Zugang zu Inhalten zu verschaffen, welche normalerweise nicht für einen bestimmt wären. Wenn man dies überträgt, macht man sich strafbar, wenn man über SQL Injection auf die Daten einer Datenbank zugreift, denn man könnte bzw. man sieht Daten, welche nicht für einen bestimmt wären (z.B. Tabellennamen, Nutzerdaten, etc). Nun könnte man sich ausreden, die “Zugangssicherung” sei der Benutzerlogin, und diesen hätte man ja nicht überwunden. Wenn man aber etwas weiter denkt, dann hat man durch die manipulierten Abfragen auf einer bestimmten Seite sich Daten beschafft, in dem man den Login nicht nutzte, welche man nutzen müsste. Somit ist dies trotzdem eine Straftat.
Ebenfalls zählen hier solche Machenschaften, wie Stealer/Rats-Spreading, etc rein, denn dies ist nichts anderes als sich Zugang zu Daten zu beschaffen, in dem man das Opfer infiziert, und danach dessen Passwörter ausspäht bzw. seine Laufwerke durchsuchen kann.
Der Absatz (2) grenzt den Begriff der “Daten” ein, in dem es diese als elektronisch, magnetisch festschreibt, somit auf den Computer fixiert. Wer also über einen Stealer oder ein Rat, falls diese nicht zufällig dabei einen Ordnernamen liest, oder irgendwelche anderen Benutzerdaten mitbekommt, den Zahlencode für das Fahrradschloss seines Nachbarn herausfindet, würde nicht über den Hackerparagraph anzeigbar sein.
Paragraph $202b (Abfangen von Daten) lautet folgendermaßen:
Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.
Wieder geht es um Daten, die nicht für einen bestimmt sind, welche jedoch über andere Datenübertragungen gelangen. Hier ist es also nicht erforderlich, dass man sich direkt Zugang zu einer Datenbank verschafft oder zu einem PC. Auch hier macht man sich durch Abfangen von Daten strafbar, da man ohne Erlaubnis Daten sieht, die man nicht sehen sollte.
Der Begriff „unbefugt“ ist hier wichtig. Im Paragraphen $202c wird man darauf hingewiesen, dass dies auch für Hacker gilt. Während White-Hat-Hacker also oft versuchen, Sicherheitslücken zu finden und diese dann dem Unternehmen zu melden, könnte es trotzdem zu einem Verfahren gegen sie kommen, da die “Zugangssicherung” umgangen werden könnte und diese entsprechend nicht ihre Absicht ist, um einen Test durchzuführen.