Hacking Teil 2: Wie kann man als Hacker Geld verdienen?

Aus unserer Expertenreihe: Interview mit einem Hacker

Tobias Madl ist IT-Sicherheitsanalyst und als Europas bester Hacker ausgezeichnet. Im Interview erklärt er, was für unterschiedliche Hacker es gibt, was ihre Motivationen sind und wie man als Hacker Geld verdienen kann.

Zur Vorstellung von Tobias Madl und der Themenübersicht dieser Expertenreihe kommen Sie über diesen Link.

Wie unterscheidet sich überwachtes Hacking zu professionellem Hacking?

Tobias Madl: Man muss hier immer unterscheiden: Es gibt gutes, professionelles Hacking und auch Schlechtes. Die White Hat vs. Black Hat Semantik kennt man hier vielleicht bereits.

White Hats

White Hats sind diese guten Hacker, wie zum Beispiel Penetrationtester. Sie testen Systeme von anderen Firmen als Dienstleistung. Ist das Hacking erfolgreich, verfassen sie einen Bericht, welche Sicherheitslücken behoben werden müssen. Wenn sie keine Einfallstore finden, kann man die Webseite nach einem bestimmten Sicherheitsstandard zertifizieren.

Black Hats

Auf der anderen Seite gibt es die Black Hats. Das sind die „bösen“ Hacker, die Sicherheitslücken missbrauchen, um Geld zu machen. Beispielsweise greifen sie Login-Daten, Kreditkarten- oder firmeninterne Informationen ab und verkaufen diese weiter.

Automatisierte Varianten sind beispielsweise Kryptotrojaner, die sich auf möglichst vielen Systemen ausbreiten und Daten verschlüsseln, sodass der Betroffene erpresst werden kann. Man kann also auch im negativen Sinn Geld mit Hacking verdienen, obwohl man hier allerdings ganz schnell auch im Gefängnis landen kann.

Was wollen Hacker neben Geld am meisten erreichen?

Tobias Madl: Es gibt einen kleinen Anteil, der von Aktivismus getrieben ist. Wenn man beispielsweise nicht mit einem Politiker übereinstimmt, kann man diesem durchs Hacken schaden und dann am besten noch das eigene Logo auf der gehackten Applikation hinterlassen. Gibt es, wenn auch eher weniger.

Solche Aktionen erfordern einen gewissen Kapitaleinsatz. Man muss für die Organisation alleine und den Aufbau gewisser Serverarchitekturen schon einiges an Geld in die Hand nehmen, um großangelegte Angriffe zu finanzieren. Und man möchte natürlich auch Profit daraus schlagen.

Script Kiddies

Die Hacker die zum Spaß Systeme angreifen, nennt man Script Kiddies. Dieses Jahr gab es beispielsweise einen Angriff gegen den Bundestag, bei dem Daten von Politikern abgegriffen wurden. Das war ein 17-jähriger Junge, der dahinterstand.

Ein Politiker hat auf eine gefakte Phishing Mail geklickt, seine Facebook Daten eingegeben und schon waren die Daten weg.

Das Ganze hatte also mehr mit Glück zu tun. Das wurde dann natürlich aber von den Medien hochgepusht, dass ein 17-Jähriger den Bundestag hacken kann, obwohl er eigentlich nur ein Videotutorial nachgemacht hat und ein Politiker unglücklicherweise darauf hereingefallen ist. Solche „Glückstreffer“ gibt es also auch, aber eine solche Person wird höchstwahrscheinlich nicht in Firmennetzwerke eindringen können.

Spear Phishing

Der größte Teil ist organisiert und gezielt. Das nennt man Spear Phishing. Beispielsweise, wenn man herausfindet, wie der Vorgesetzte einer Abteilung heißt, gefälschte E-Mails in seinem Namen an die Mitarbeiter verschickt und darin Zugangsdaten zu Servern anfragt. Die Mitarbeiter denken es ist der Chef und schon sind die Daten raus.

Neben Entwickler, Berater und IT-Architekt, gibt es noch weitere Möglichkeiten als guter Hacker Geld zu verdienen?

Tobias Madl: Viele Firmen registrieren sich für Bug Bounty Programme. Das bedeutet, dass neben den eigenen Sicherheitsexperten, auch Externe die Möglichkeit haben, Sicherheitslücken von Systemen einzureichen. Wenn diese verifiziert werden, bekommt man Geld dafür.

Ein Teamkollege hat sich beispielsweise auf Apple fokussiert, die neuerdings ein solches Programm anbieten. Wenn er dann Sicherheitslücken auf macOS oder iOS entdeckt, die vorher keiner gefunden hat, nennt man das Zero-Day. Diese Informationen werden dann an Apple weitergeleitet, sodass im neuen Update diese Probleme behoben werden können.

Solange man also mit seinem Handy, Rechner oder System auf dem aktuellen Stand ist, muss jemand zunächst eine Sicherheitslücke finden, um Schaden zu verursachen. Ein System, das geupdated ist, kann man nicht so einfach hacken.

Das ist also auch ein Job, mit dem man wirklich Geld verdienen kann. Es ist dennoch anstrengend und nicht immer hundertprozentig erfolgversprechend. Wenn man nichts findet, bekommt man auch kein Geld. Ich würde das also eher als eine Nebentätigkeit beschreiben.

 

Lesen Sie ab nächster Woche den 3.Teil unserer Expertenreihe: Interview mit einem Hacker – Wo liegen die größten Sicherheitslücken in Unternehmen?

Haben Sie Fragen zu dem Interview, wollen mehr über Cyber-Security erfahren oder suchen direkt nach einer Lösung für ein Security-Projekt, dann schreiben Sie uns gerne eine Nachricht!