Hacker werden heißt lesen, lesen, lesen

"Das Verständnis von Vorgängen ist extrem wichtig, um Sicherheitslücken zuerst zu verstehen und am Ende auch zu finden", sagt er. "Warum taucht da jetzt so ein Fenster im Browser auf, wenn ich '<script>alert('1');</script>' eintippe? Und warum funktioniert das manchmal und manchmal nicht?" Es sei wichtig, sich ein konkretes Zielgebiet rauszusuchen: "Windows-Netzwerke hacken ist was ganz anderes, als Web-Anwendungen zu hacken. Und wenn ich mir einen Fokus setze, dann: lesen, lesen, lesen." Er empfiehlt, sich damit zu beschäftigen, wie andere Lücken gefunden haben, weil man viele Mechanismen auf anderen Plattformen wieder anwenden könne.

Stellenmarkt
  1. Leiter Entwicklung / Head of Development (m/w/x)
    über duerenhoff GmbH, Stuttgart
  2. Berechtigungsmanager/in (w/m/d)
    Investitionsbank Schleswig-Holstein, Kiel
Detailsuche

Doch wie fängt man eigentlich an, das Hacken zu üben? Ganz einfach ist das nicht, vor allem, weil schnell rechtliche Fragen aufkommen. Der sogenannte Hacker-Paragraf führt zu Verunsicherung, denn in Deutschland ist bereits die Vorbereitung des Ausspähens von Daten strafbar. Und die Installation eines Hacker-Tools ist eine vorbereitende Handlung. Dual-Use-Tools wie Nmap sind davon nicht erfasst, stellte das Bundesverfassungsgericht fest. Was ein Dual-Use-Tool ist, liegt im Zweifel jedoch im Ermessen der Ermittler.

Um zu üben, gibt es Trainingsplattformen wie Hack The Box, wo man Dinge legal ausprobieren kann. Auf sogenannten Bug-Bounty-Plattformen loben Firmen sogar explizit eine Belohnung für gefundene Sicherheitslücken in ihren Produkten aus, definieren aber auch, was genau verboten oder erlaubt ist. "Daran muss ich mich auch halten", so Lottermann, sonst könne es rechtlich schnell schwierig werde.

Es gibt immer einen Weg

Für Einsteiger könne es da aber schnell frustrierend werden, sagt Lottermann. "Es tummeln sich da jede Menge Leute und wenn ein Hersteller ein neues Produkt einstellt, stürzen sich natürlich alle drauf und grasen das ab." Da braucht es Durchhaltevermögen. Pfister sagt, vielleicht einer der wichtigsten Punkte beim Hacking sei die Einstellung: "Es gibt immer einen Weg. Die Frage ist nur: Wie lange brauche ich dafür?" Man müsse immer dranbleiben, immer neue Tools ausprobieren und verfolgen, welche neuen Schwachstellen es gibt. "Das ist ein Beruf, in dem man einfach nie aufhören darf zu lernen", so Lottermann

Golem Akademie
  1. Penetration Testing Fundamentals: virtueller Zwei-Tage-Workshop
    17.–18. Januar 2022, Virtuell
  2. Kotlin für Java-Entwickler: virtueller Zwei-Tage-Workshop
    14.–15. Oktober 2021, Virtuell
Weitere IT-Trainings

Für Neumann ist die wichtigere Frage als die, was erlaubt ist, die, was man ethisch vertretbar findet. "In der freien Wildbahn gehe ich den Weg der Responsible Disclosure", sagt Neumann. "Wenn ich etwas finde, steht außer Frage, dass ich das melde und auf die Beseitigung hinwirke. Das ist für mich die viel wichtigere Grundlage bei der Datenreise", sagt der Hacker. In Auftragsverhältnissen sei ansonsten ohnehin klar, dass die Tests erlaubt sind.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Er hält nicht viel davon, dass einige der sogenannten Hacker-Tools verpönt sind. "Eigentlich müssten alle solche Tools innerhalb ihrer eigenen Systeme viel häufiger anwenden, um sie zu verstehen", sagt er. Ihm wäre es lieber, wenn die Werkzeuge viel häufiger zur Anwendung kämen. Denn was möglich ist, werden Angreifer mit kriminellen Absichten sowieso versuchen. Es denjenigen schwer zu machen, die Sicherheitslücken aufdecken und beseitigen wollen - sei es in ihren eigenen Systemen oder in denen anderer - macht die Systeme für alle unsicherer.

Am Ende bleibt die Frage, was ein Hacker-Tool überhaupt ist. "Ein Hacker-Tool ist alles, was dabei hilft, zu verstehen, was du vor dir hast", sagt Neumann. Ob das ein Lötkolben, ein Portscanner oder ein Exploit-Framework ist, liegt am Ende in den Händen der Nutzer. Hauptsache, sie setzen es ein, um die digitale Welt ein Stück sicherer zu machen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Erfahrung kann kein automatischer Scanner ersetzen
  1.  
  2. 1
  3. 2
  4. 3


Truster 23. Mär 2021

Ich denke, hier ist tatsächlich ein Bürodrucker oder MFP gemeint. Ersteres hat in der...

dsafsdf 20. Mär 2021

"Nmap ist dann oft das erste, was ich anschmeiße"

treysis 20. Mär 2021

Definitiv eines der besseren Konzerte, die ich besucht habe.

MTB11 19. Mär 2021

Hier noch eine Übersicht über Werkzeuge, die ich in Testumgebungen und Schulungen...

prolemiker 19. Mär 2021

Super beliebt bei """Pentestern""" ist doch diese Suite an (Windows) Rootkit tools, wie...



Aktuell auf der Startseite von Golem.de
Ikea Åskväder
Modulare Steckdosenleiste startet in Deutschland

Die modulare Steckdosenleiste von Ikea ermöglicht viele Anpassungen und wird erstmals auf der Ikea-Webseite gelistet.

Ikea Åskväder: Modulare Steckdosenleiste startet in Deutschland
Artikel
  1. Edge-Browser: Microsoft will Installation von Chrome verhindern
    Edge-Browser
    Microsoft will Installation von Chrome verhindern

    Microsoft intensiviert sein Vorgehen gegen andere Browser: Vor der Installation von Chrome wird Edge übertrieben gelobt.

  2. Google Cloud: Alphabet darf kein Rechenzentrum bei Berlin bauen
    Google Cloud
    Alphabet darf kein Rechenzentrum bei Berlin bauen

    Das Wasser ist knapp im Osten Brandenburgs. Google wäre neben Tesla ein Großverbraucher zu viel.

  3. Raumfahrt: Rocketlab entwickelt eine bessere Rakete als die Falcon 9
    Raumfahrt
    Rocketlab entwickelt eine bessere Rakete als die Falcon 9

    Rocketlab zeigt eine moderne wiederverwendbare Rakete, die trotz einer teilweise fragwürdigen Präsentation sehr ernst genommen werden muss.
    Eine Analyse von Frank Wunderlich-Pfeiffer

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bei Playstation Direct bestellbar • Saturn-Advent: Toshiba Canvio 6TB 88€ • KFA2 Geforce RTX 3070 OC 8GB 1.019€ • Netgear günstiger (u. a. 5-Port-Switch 16,89€) • Norton 360 Deluxe 2022 18,99€ • Gaming-Monitore zu Bestpreisen (u. a. Samsung G3 27" FHD 144Hz 219€) • Spiele günstiger (u. a. Hades PS5 15,99€) [Werbung]
    •  /