Interview

Ethisches Hacking – ein Mittel, um Sicherheitsrisiken zu senken?

Das Cybersicherheitsrisiko realistisch einzuschätzen und Maßnahmen zu priorisieren, ist gerade für Industrieunternehmen ein nicht ganz triviales Unterfangen. Einige Vorreiter der Branche fragen sich, ob es Sinn macht, die Hacker vielleicht selbst zu beauftragen – natürlich sollten das ethische Hacker sein, früher auch unter dem Namen White Hats bekannt. Wir haben Adam Brown, Manager Security Solutions bei Synopsys, befragt: 

Was genau versteht man unter ethischem Hacking und wie kann diese Methode dazu beitragen, Sicherheitsrisiken zu senken?

Anzeige

Adam Brown: Als ethisches Hacking bezeichnet man den Prozess, Schwachstellen in einer Software zu finden und gleichzeitig Wege diese Lücken aktiv auszunutzen. Aber statt diesen Prozess Bedrohungsakteuren wie Hackern zu überlassen, verpflichtet man Menschen, die es sich zur Aufgabe gemacht haben, Schwachstellen zu identifizieren und in einem festgelegten Prozess offenzulegen. So bekommt man eine Chance, sie rechtzeitig zu beseitigen. Üblicherweise beschäftigten sich Penetrationstester, Berater für Softwaresicherheit, Sicherheitsforscher oder Bug-Bounty-Jäger mit dieser ethischen Variante des Hackings.

Welche Risiken lassen sich mit ethischem Hacking am ehesten senken?

Adam Brown Adam Brown (im Bild): Ethisches Hacking selbst kann die Risiken nicht senken. Es ist lediglich dazu da, potenzielle Risiken offenzulegen, die durch Schwachstellen innerhalb der Implementierung entstehen. Ethisches Hacking ist sehr gut geeignet Software-Bugs zu finden wie etwa Fehler bei der Programmierung oder innerhalb der Konfiguration als Folge der betreffenden Schwachstellen. Es ist allerdings deutlich weniger gut geeignet, Schwachstellen im Design ausfindig zu machen. Wenn solche Schwachstellen offengelegt worden sind, ist es an den Unternehmen selbst, Kontrollen einzuziehen, die das Risiko kompensieren oder Anstrengungen zu unternehmen, die Schwachstelle zu beseitigen. Je nach dem wie hoch das Risiko ist.

Wie bewerten Sie den Erfolgsgrad von ethischem Hacking?

Adam Brown: Externe Berater sind aus meiner Sicht am besten positioniert, ethisches Hacking zu betreiben. Ein renommiertes Unternehmen verfügt über einen durchdachten Prozess und die entsprechenden Leute um Hunderte oder Tausende solcher Tests über die gesamte Beratungszeit hinweg durchzuführen. Interne Mitarbeiter haben vielleicht keine vergleichbare Praxiserfahrung, aber sie kennen die eingesetzte Software besser und sind mit der Umgebung vertraut. Wenn das Ziel darin liegt, die Systeme zu testen, erzielt man mit beiden Ansätzen gute Ergebnisse. Wenn das Ziel aber darin liegt die Systeme sicherer zu machen, lässt sich das mit ethischem Hacking allein nicht erreichen.

Wie findet man überhaupt geeignete ethische Hacker, worin liegen die Herausforderungen?

Adam Brown: Wirklich gute ethische Hacker zu finden ist nicht ganz einfach, denn sie sind – wenig überraschend – sehr gefragt. Wer einen Abschluss in Informatik vorweisen kann, ein besonderes Interesse an Cybersicherheit und sich weiter fortgebildet hat, ist sicherlich nicht der schlechteste Kandidat. Aus Softwarespezialisten Sicherheitsexperten zu machen ist vergleichsweise einfach. Demgegenüber ist es ein sehr viel komplizierter, Software-Wissen für Sicherheitsexperten aufzubauen (denn genau das brauchen Sie, um ein System zu knacken). Zusätzlich braucht es eine gehörige Portion Neugier und Wissbegierde herauszufinden wie genau ein System funktioniert, wenn man wirklich ein guter Tester werden will.

Und noch eine letzte Frage. Wie stellt man sicher, ethisches Hacking so effektiv wie möglich einzusetzen?

Adam Brown: Erinnern Sie sich daran, dass ethisches Hacking lediglich dazu dienen kann, Risiken offenzulegen. Es kann die Schwachstellen und Lücken nicht beseitigen. Mit Hilfe von ethischem Hacking kann man rund 50 % aller Risiken offenlegen, die anderen 50 % lassen sich aber auf Schwachstellen im Design zurückführen. Und um die zu identifizieren ist ethisches Hacking ziemlich ungeeignet. Wichtig ist es, ethisches Hacking in einen Prozess einzubetten, der dem Auffinden von Schwachstellen dient. Gleichzeitig sollte man Prozesse etablieren, um die aufgefundenen Sicherheitslücken zu beseitigen. Der ultimative Weg zu einem sicheren System, ist es, Sicherheit von Anfang an mit “einzubauen”, also schon in der Entwicklungsphase zu berücksichtigen. Die Studie Building Security In Maturity Model (BSIMM) beschäftigt sich mit nichts anderem.  

Vielen Dank für das Gespräch!

www.synopsys.com

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.