Die fünf wichtigsten Skills, die ein Experte in der IT-Sicherheit mitbringen muss, haben wir gemeinsam mit dem IT-Sicherheitsexperten und Hacker David Colombo erarbeitet. Der junge Hacker gelangte zu internationaler Bekanntheit, als er 25 Teslas in verschiedenen Ländern hackte – mit gerade mal 19 Jahren.
Türsteher, Polizei und Rettungskräfte
Schon mit 15 verließ der erfolgreiche Jungunternehmer das Gymnasium, um seinem Talent zu folgen und sich selbst im Bereich IT-Sicherheit auszubilden. Damals hatte sich der enthusiastische Teenager gefragt, wieso er Lateinvokabeln pauken sollte, wenn er in derselben Zeit Krankenhäuser vor Cyberangriffen schützen kann. Mittlerweile ist er ein gefragter Speaker auf IT-Sicherheitskonferenzen weltweit.
Ein IT-Sicherheitsexperte braucht nicht nur umfassendes Fachwissen und tiefes Verständnis für die Technik, mit der er arbeitet. Cybersecuritykräfte brauchen auch einen starken moralischen Kompass, der ihnen hilft, ihr Fachwissen gezielt und ethisch korrekt einzusetzen. Allein die deutsche Wirtschaft klagt über einen jährlichen Schaden in dreistelliger Milliardenhöhe. Bei solchen Zahlen wird schnell klar, wieso gerade solche Experten händeringend gesucht werden.
Im Gespräch mit David Colombo hat der Autor den folgenden Leitfaden für IT-Sicherheitsexperten entwickelt, der auch Quereinsteigern einen wichtigen Überblick über die nötigen technischen, mentalen und sozialen Fähigkeiten verschafft.
Technisches Grundlagenwissen
Hacken ist der kreative Umgang mit Systemen. Man kann sich das in etwa vorstellen wie bei einem Einbruch. Wenn man nicht weiß, aus welchen Komponenten ein Haus besteht, und dass es verschiedene Ein- und Ausgänge, Türen und Fenster hat, dann kann man auch nicht in ein Haus einbrechen. Nur, dass in der IT das Haus Softwareprogramme, Netzwerke oder Hardware sein können. Hacker und IT-Sicherheitsexperten müssen ihr Haus kennen. Deswegen ist ein umfassendes Grundlagenwissen im Bereich IT und Softwareentwicklung die Voraussetzung, um als Cybersecuritykraft zu arbeiten.
Man sollte schon erste Erfahrungen im Bereich der Programmierung gesammelt haben und am besten mindestens eine Programmiersprache beherrschen. Auch das Verständnis der Softwarearchitektur ist wichtig. Beispielsweise muss man wissen, wie Frontend und Backend miteinander interagieren. Man sollte verstehen, wie eine Web-App mit einem Server kommuniziert. Gängige Betriebssysteme sollte man kennen und vor allem mit Linux umgehen können.
Auch sollte man verstehen, wie Netzwerke und deren Standardprotokolle funktionieren. Generell ist die Praxis der beste Weg, um Sicherheit und Routine zu entwickeln. Dabei müssen Sicherheitsexperten fähig sein, sich in die Arbeit der Softwareentwickler hineinzudenken. Auch deshalb ist eine vorherige Tätigkeit im IT-Bereich – zum Beispiel in der Anwendungsentwicklung oder Systemintegration – eine gute Voraussetzung.
Fehlt das Wissen über die Grundkonzepte der Softwareentwicklung, ist es schwierig bis unmöglich, moderne Hackerangriffe nachzuvollziehen. Ohne dieses Wissen ist es nicht zu empfehlen, in die IT-Sicherheitsbranche einzusteigen. Wer sich aber das Basiswissen aneignet und praktische Erfahrungen damit sammelt, schafft sich die notwendige handwerkliche Grundlage dafür.
Offensives Hacking oder Red Teaming
Wenn man ein System gegen Angreifer verteidigen will, muss man wissen, wie diese arbeiten. Ein IT-Sicherheitsexperte muss deshalb auf jeden Fall den Werkzeugkasten kennen, der Hackern zur Verfügung steht. Um Hackerangriffe wirklich dauerhaft effektiv abwehren zu können, muss er aber auch verstehen, wie Hacker vorgehen, denken und arbeiten. Genau deshalb ist Erfahrung im sogenannten Red Teaming entscheidend.
Beim Red Teaming treten die IT-Sicherheitsexperten als „rotes Team“ auf. Sie agieren sozusagen als Gegner, die versuchen, Schwachstellen zu finden, die Hacker angreifen könnten. Dieses Vorgehen dient dazu, Sicherheitslücken ausfindig zu machen und das Unternehmen zu warnen, bevor ein potenzieller Angreifer die Lücken entdeckt. Unter Red Teaming versteht man also das Hacken für einen guten Zweck. Um effektiv Red Teaming zu betreiben, sind allerdings nicht nur standardisierte Vorgehensweisen, sondern auch kreatives Denken gefragt.
Red Teams setzen dabei alle möglichen Angriffe ein und probieren alle Angriffsvektoren aus, die auch mögliche Hacker ausprobieren würden. Daher ist es extrem wichtig, dass Mitglieder eines Red Teams in ihren Vorgehensweisen nicht „freundlich“ sind, sondern sich gänzlich in die Rolle des bösen Gegenspielers hineinversetzen – also „kriminelle Energie“ und ungewöhnliche Taktiken entwickeln. So spielen auch Social Engineering oder Attacken aus einer Mischung sozialer Tricks und IT-Sicherheit eine Rolle.
In der Realität versuchen Angreifer nicht nur über das Internet in Unternehmen einzudringen, sondern geben sich zum Beispiel am Telefon als Mitarbeiter der IT aus oder versuchen, sich mit gefälschten Zugangskarten Zugriff auf Systeme zu verschaffen. Nicht selten kam es schon vor, dass Hacker an Mitarbeitern an der Rezeption einfach vorbeispazierten und pfeifend mit einem Firmenlaptop unter dem Arm das Gebäude verließen. Es ist also wichtig, dass Red Teams nicht nur isoliert nach Schwachstellen in einzelnen Systemen suchen, sondern auch die Gesamtheit des Systems im Blick behalten, um durch kreatives Denken herauszufinden, wo etwas schiefgehen könnte.
Von Red Teaming zu unterscheiden ist der wichtige Bereich des Penetration Testing. Während Red Teaming meist mit einem klaren Ziel verbunden wird, wie zum Beispiel das simulierte Stehlen von Kundendaten, ist Penetration Testing das Absuchen der IT-Infrastruktur nach konkreten Schwachstellen und offenen Angriffsvektoren. Die Arbeit eines Penetration-Testers besteht aus vier grundlegenden Phasen: Nach der Planung kommt die Informationsfindung, darauf folgt die Phase des aktiven Angriffs. In der letzten Phase werden die Ergebnisse dokumentiert, um Bericht zu erstatten. So finden die Pentester heraus, wo Hacker eindringen könnten, wie sie angreifen würden und welchen Schaden sie anrichten könnten.
Klassische Attacken, mit denen Tester arbeiten, sind zum Beispiel SQL-Injections und Cross-site Scripting: Dabei beschreiben SQL Injections das Ausnutzen von Sicherheitslücken in SQL-Datenbanken. Die durch das Red Team simulierten Angreifer könnten auf diese Weise bösartige Codes über Benutzereingabeschnittstellen in Informationssysteme einschleusen, was zu einer Kompromittierung ganzer Netzwerke und damit auch zu hohen Datenverlusten führen kann. Daher ist es extrem wichtig, dass das Sicherheitsteam regelmäßig mit den passenden Tools nach Sicherheitslücken sucht.
Beim Cross-site Scripting werden Sicherheitslücken ausgenutzt, um Informationen von einem Kontext in einen anderen zu verschieben. Eine der bekanntesten und einfachsten Varianten ist es, in einem Kontaktformular auf einer Webseite keine Nachricht einzugeben, sondern einen Skriptcode, der dann entsprechend vom System ausgeführt wird. Ganz so einfach ist es heutzutage zum Glück allerdings nicht mehr. Aber auf ähnliche Art und Weise können Cyberkriminelle schädliche Codes in Webanwendungen einschleusen.
Um wirklich wirksame Pentests oder Red Teaming durchführen zu können, müssen IT-Sicherheitsexperten also nicht nur die Standardattacken kennen, sondern auch ein Gespür dafür entwickeln, wann welche Attacke erfolgreich sein könnte und wie Hacker sie einsetzen würden.
Defensive IT-Sicherheit oder Blue Teaming
Das Blue Teaming ist das Gegenstück zum Red Teaming. Im Blue Teaming geht es um die Verteidigung von IT-Sicherheitssystemen. Im blauen Team sind also die Defensivspieler, die alles dafür tun, ein System zu einer uneinnehmbaren Festung auszubauen. Für das defensive Hacken geht es vor allem darum, Attacken zu erkennen und Angreifer erfolgreich abzuwehren. Im Fokus steht also erst mal die systematische Erkennung sicherheitsrelevanter Vorfälle.
Auch hier geht es natürlich darum, Schwachstellen ausfindig zu machen, um eine Organisation oder ein Unternehmen vor echten Angriffen zu schützen. Und auch hier gilt es, herauszufinden, wo und wie Angriffe stattfinden können oder sogar tatsächlich stattfinden. Besonders interessant ist es auch, Taktiken zu entwickeln, um Angriffe zu entdecken. Denn es muss erst einmal klar sein, dass ein Angriff stattfindet, und festgestellt werden, wo er herkommt. IT-Sicherheitsexperten können dann erst entscheiden, welche der zur Verfügung stehenden Verteidigungsstrategien geeignet sind, um dem Angriff zu begegnen.
Oft greifen Hacker zum Beispiel an, um mit einer Attacke ein System zu schwächen oder es lahmzulegen. Dazu nutzen sie DDoS, eine „Distributed Denial of Service“-Attacke. Eine DDoS-Attacke führt Verzögerungen oder sogar komplette Ausfälle von Webseiten oder Services herbei, und zwar durch künstlich generierte Aufrufe. Ein Botnetzwerk an Computern schickt auf einzelne Server Millionen von Anfragen innerhalb kürzester Zeit, wodurch die Services in die Knie gehen. Der Server wird also quasi überrannt, bis das System zusammenbricht.
Natürlich kann ein plötzlicher Anstieg der Zugriffe auch ohne einen bösartigen Angriff erfolgen. Etwa, wenn ein Video eines Unternehmens auf Social Media einen viralen Effekt erzielt, oder wenn in der Tagesschau ein kleines Unternehmen erwähnt wird und plötzlich viele User die Website besuchen. Auch wir haben einmal ein Video auf TikTok veröffentlicht, das an einem Tag eine Million Aufrufe erzielt hat und innerhalb weniger Stunden Hunderttausende Besucher auf unsere eigene Website gebracht hat. Diese ist dann auch zeitweise in die Knie gegangen. Das war zum Glück kein Hackerangriff, zeigt aber die Verwundbarkeit von genutzten IT-Systemen bei stark erhöhten Aufrufzahlen.
Der Hacker ruft, anders als echter Traffic, eine Armee von Bots dazu auf, gleichzeitig auf einen Service zuzugreifen. Wie eine Autobahn, auf der zu viel Verkehr ist, gibt es Stau, und echte Besucher erreichen dann zum Beispiel eine Website nicht mehr. Es geht Hackern also darum, einem Serviceanbieter gezielt zu schaden, zum Beispiel indem sie einen großen Onlineshop im Weihnachtsgeschäft lahmlegen. IT-Sicherheitskräfte müssen im Bereich Blue Teaming natürlich für beide Möglichkeiten effektive Strategien kennen, um einen Zusammenbruch der Webpräsenz zu verhindern. Eine gute Defensive stellt verschiedene Handlungsoptionen für verschiedene Angriffsvektoren und Attacken schon im Vorfeld bereit.
Das Blue Teaming setzt sich ebenfalls aus verschiedenen Schritten zusammen. Zuerst kommt die Preparation, also die Vorbereitung der IT-Sicherheitssysteme. Hier kommt es darauf an, Angriffe schnell und sicher zu identifizieren. Das funktioniert zum Beispiel über sogenannte Honeypots, die mit einer Mausefalle vergleichbar sind. Dabei werden Köder ausgelegt, die für Hacker leichte Beute sind – die angreifenden Hacker denken, etwas gehackt zu haben, lösen aber in Wahrheit nur einen Alarm aus, der das Blue Team darüber informiert, wo gerade jemand versucht, in das System einzudringen.
Auch Containment, also Eindämmung, ist ein wichtiger Teil der Arbeit. Ebenso Eradication, das Loswerden von Eindringlingen. Zudem zählt die Wiederherstellung, Recovery, zu den wichtigsten Aufgaben des blauen Teams. Und dann ist da noch die Sache mit den Lessons learned: Jeder Tag an der Hackerfront bringt neue Erkenntnisse, jeder Angriff hält auch neue Lernschritte bereit. Wer hier nicht reflektiert und die neuen Informationen verwertet, um die defensive Verteidigung noch besser zu machen, übersieht das wertvolle „Geschenk“, das Hacker mit jeder Attacke hinterlassen. Zu ticken wie ein Hacker, aus jeder neuen Strategie eine Gegenstrategie zu entwickeln, ist der schwierigste, aber vielleicht auch der spannendste Teil der IT-Sicherheit.
Ethik und Kommunikation
Natürlich stehen Ethik und Hacking in einem wichtigen Zusammenhang. Wer über das Wissen eines Hackers verfügt, trägt eine große Verantwortung: Hacker können für das Gute kämpfen oder auf die dunkle Seite wechseln. Und auf der dunklen Seite des Hackings winkt das schnelle Geld. Deshalb sind ein moralischer Fixstern und das Beherrschen der Kommunikationsregeln mit potenziell verwundbaren Zielen notwendig.
In dem Zusammenhang sei noch einmal darauf hingewiesen, welchen gesellschaftlichen Schaden bösartige Hacker anrichten können. Eine sehr beliebte Methode, um schnell an Geld zu kommen, ist zum Beispiel die Erpressung. Eine Ransomware, die auch als Erpressungssoftware oder Verschlüsselungstrojaner bezeichnet wird, gibt Hackern die Möglichkeit, Unternehmen den Zugriff auf die eigenen Daten unmöglich zu machen. Wer auf seine sensiblen Daten oder sogar auf das gesamte System nicht mehr zugreifen kann, verfällt natürlich in Panik – und ist schnell bereit, ein Lösegeld zu zahlen. Natürlich in Kryptowährung. Hacker haben es schließlich nicht nötig, das Risiko einer Geldübergabe in Kauf zu nehmen wie in einem alten Krimi, mit nicht nummerierten, kleinen Scheinen in einer Sporttasche, die in einer dunklen Ecke abgelegt wird. Die Attacken mit Ransomware haben ein so starkes Ausmaß angenommen, dass Hacker ohne Moral sogar ganze Krankenhäuser lahmgelegt haben, nur um mit Ransomware Lösegeld zu erpressen. Damit sind sie leider oft erfolgreich.
Ab einem gewissen Level ihrer Fähigkeiten stehen also alle Hacker vor der Entscheidung, ihre Kenntnisse wirklich für das Gute einzusetzen. Ein wichtiger Teil des ethischen Verhaltens ist eine transparente Kommunikation beim Aufdecken von Sicherheitslücken gegenüber Betroffenen. Denn ein ethischer Hacker, auch White-Hat-Hacker genannt, macht Schwachstellen genauso ausfindig wie ein illegaler Hacker. Nur nutzt ein ethischer Hacker seine Kunst nicht, um Unternehmen und Organisationen zu schaden, sondern um sie auf ihre Sicherheitslücken aufmerksam zu machen, damit diese geschlossen werden können – bevor ein bösartiger Angreifer sie nutzen kann.
David Colombo hat als Hacker schon einige Unternehmen vor Sicherheitslücken gewarnt, damit diese geschlossen werden konnten. So hat er beispielsweise auf der Website der Vereinten Nationen eine Sicherheitslücke entdeckt und den Fehler per E-Mail gemeldet. Zum Dank wurde er in die „IT-Security Hall of Fame“ auf der UN-Website aufgenommen. In einem anderen Fall hat der begabte Hacker den Hersteller eines Energydrinks auf eine Schwachstelle der Unternehmenswebsite hingewiesen. Als Dankeschön des Herstellers stand ein paar Wochen später ein riesiges Paket mit Energydrinks vor der Tür.
Das Leben als Hacker kann also legal und gleichzeitig vielseitig, manchmal sogar witzig sein. Die meisten Unternehmen setzen zur Kompensation von solchen Hinweisen mittlerweile auch Geldzahlungen an die White-Hat-Hacker ein. Das Ganze nennt sich „Bug Bounty Programme“. Kennzeichnend für gute Hacker ist jedenfalls, dass sie den Verlockungen der dunklen Seite nicht erliegen, sondern ihr Berufsethos hochhalten.
Nach außen werden gefundene Fehler erst kommuniziert, wenn das Unternehmen darüber in Kenntnis gesetzt wurde und reagieren konnte. Die Integrität, Diskretion und Aufrichtigkeit eines legalen Hackers sind sein Kapital. Wer in dem Ruf steht, clever, unbestechlich und leidenschaftlich zu sein, kann mit seinen Fähigkeiten eine Menge Geld verdienen – eben auf legale Weise. Der Weg, sich in der Branche mit Ehrlichkeit einen guten Namen zu machen, dauert bestimmt etwas länger, ist aber viel nachhaltiger.
Hackermentalität: Gibt es sie?
Oft stellen sich ganz besonders Quereinsteiger die Frage, ob Programmierer und Hacker eine besondere Mentalität haben und ob man diese erlernen kann. Das Beispiel des Ausnahmetalents Colombo zeigt, dass es sie gibt: die besessenen Computer-Genies, die sich schon seit der Jugend die Nächte um die Ohren schlagen, um ihrem unstillbaren Wissensdurst nachzugehen. Auch Bill Gates hat zu dem Thema etwas beizusteuern. Er riet schon vor vielen Jahren: „Sei nett zu Nerds. Wahrscheinlich wirst du irgendwann für einen arbeiten.“ Aber um Hacker zu werden, ist vor allem ein ganzes Stück harte und lange Arbeit notwendig.
Auch die Erkenntnis, dass unsere Großeltern noch ein anderes Wort für harte Arbeit hatten, stammt von Bill Gates – die Generationen vor uns nannten harte Arbeit eine Chance. Zudem ist die Fünf-Stunden-Regel ein wichtiger Leitfaden für Menschen wie Bill Gates oder Elon Musk: Erfolgreiche Macher widmen mindestens eine Stunde am Tag oder fünf Stunden in der Woche dem aktiven Lernen. Dabei geht es weniger darum, was wir lernen, sondern vielmehr darum, dass wir es tun. Denn das menschliche Gehirn ist wie ein Muskel, der verkümmert, wenn er nicht trainiert wird. Bekommt das Gehirn aber sein Training, wird es stärker, ausdauernder und neugieriger.
Auf dem Weg zum IT-Sicherheitsexperten ist auch ein ganz wichtiger Faktor das Lesen von Blogs, Fachbüchern, Write-ups von Hackerangriffen und wissenschaftlichen Publikationen. Wer neugierig und wissbegierig durch den Tag geht, kann sich sicher sein, dass er lernt, ohne es als Anstrengung zu empfinden. Und genau das macht einen guten Hacker aus: der stetige Wille zu lernen, zu reflektieren, zu probieren und die eigenen Fähigkeiten immer weiterzuentwickeln. Noch wichtiger als Neugierde und das Lesen ist es, praktische Erfahrung mit IT-Sicherheit zu sammeln. Das fängt schon damit an, beim Surfen im Internet darüber nachzudenken, wie bestimmte Services und Sites ihre Systeme aufbauen.
Dazu gehört auch das Denken außerhalb ausgetretener Pfade. Schließlich ist Hacken der kreative Umgang mit Systemen. Hacker fragen sich regelmäßig: Wie kann man einen Service oder eine Seite anders benutzen, als es vorgesehen ist? Nehmen wir ein Beispiel, das auch Nichtexperten verstehen: eine Büroklammer. Viele Menschen würden wohl sagen, dass man sie benutzen kann, um zwei Blätter aneinander zu heften, damit wäre das Thema für sie erschöpft. Kreative und wissbegierige Denker gehen aber weiter. Man könnte die Büroklammer auch benutzen, um sein Auto aufzuschließen, wenn man den Schlüssel verloren hat. Oder um in einem Stromnetz einen Kurzschluss zu erzeugen, wenn man mit der Büroklammer einen Kontakt überbrückt. Man kann Büroklammern auch nutzen, um Reset-Tasten zu drücken, um Orchideen hochzubinden, um Ketten zu basteln oder um sein Sparschwein zu plündern.
Und genau so funktioniert ein Hacker-Mindset. Vielleicht kann man ein Kontaktformular nicht nur dafür nutzen, um eine E-Mail an den Support zu schicken. Sondern vielleicht kann man, wenn man das Richtige eingibt, auch den Server übernehmen. Der Wille, kreative Lösungswege zu finden und Dinge mit anderen Augen zu sehen, ist für echte Hacker ein Lebenselixier. Wer seine Routine liebt und froh ist, wenn er nichts Neues lernen muss, hat in der Branche nichts zu suchen. Wer aber Wissenshunger, Erfindergeist und Forscherdrang mitbringt, der kann sich ganz nach oben hacken – und zwar auf der Seite der Guten, die die Welt jeden Tag ein bisschen sicherer machen.
Eine Frage der Berufung
Bedenkt man den finanziellen Schaden, den Hacker jährlich anrichten, ist es nur logisch, dass Cybersecuritykräfte händeringend gesucht werden. Sie sind Spezialisten, die unschätzbar wertvolle Arbeit leisten und viel Schaden abwenden. Trotz oder gerade wegen der anspruchsvollen Ausbildung fragen sich viele, ob sie in der Cybersecuritybranche Fuß fassen könnten. Wer aber über das richtige Mindset verfügt, muss sich darüber keine Sorgen machen. Alles, was einen guten Hacker ausmacht, Neugier, Hartnäckigkeit und Kreativität, trägt einen auch durch die Ausbildung. Am Ende warten dann spannende Aufgaben, eine hervorragende Bezahlung und das gute Gefühl, sich für die richtige Seite entschieden zu haben.