„Black Hats“, „White Hats“ und „Ethical Hacker“ | Wo liegt denn hier der Unterschied?
Zunächst einmal: Was genau ist eigentlich Hacking? Sicher kennen Sie Artikel über die „10 besten Camping-Hacks“, in denen erklärt wird, wie man Popcorn über dem Lagerfeuer zubereiten kann, oder haben schonmal von „Lifehacks“ gehört, die den Alltag auf eine kreative Art einfacher gestalten können. „Hackende“ sind also per Definition Personen, die ihr Wissen und ihre Kreativität, oft im Zusammenhang mit Technik, nutzen, um bestehende Systeme zu verstehen, zu verbessern und zu ändern. Seit den 1980er Jahren erfuhr der Begriff jedoch eine negative Umwandlung und Verengung auf den Bereich der IT-Sicherheit1. Heutzutage wird im alltäglichen Sprachgebrauch jemand als Hacker:in bezeichnet, der/die in fremde Computersysteme eindringt.
Das zeigt sich auch in den Medien, in Nachrichten und Spielfilmen gleichermaßen, wo Hackende nahezu ausschließlich die zwielichtigen Personen mit Kapuzenpulli sind, die in einem abgedunkelten Raum vor diversen Bildschirmen in die Tastatur hauen. Dort wird klar: das Wort „Hacker:in“ ist meist negativ besetzt. Vielleicht brauchte es daher andere Beschreibungen, um Hackende untereinander abgrenzen zu können: so ist immer häufiger die Rede von Black Hat-Hackenden und White Hat-Hackenden. Aber worin unterscheiden sich diese?
Die Bezeichnungen haben ihren Ursprung in alten Western-Filmen. Dort unterschieden sich die guten Charaktere mit weißen Hüten von ihren bösen Gegenspielern, die schwarze Hüte trugen. Und in eben jener Bedeutung finden wir die „Black Hats“ und „White Hats“ auch in der Welt des Hackens wieder. Um zwischen Gut und Böse bei Hackenden zu unterscheiden, müssen wir vor allem auf zwei Faktoren achten: ihre Motivation und die Rechtmäßigkeit ihrer Arbeit.
Die „Black Hats“ finden Motivation in ihrem eigenen, finanziellen Gewinn, aber auch in Cyber-Spionage, im Protestieren, oder dem reinen Nervenkitzel. Sie versuchen personenbezogene Daten, finanzielle Informationen oder Login-Daten zu stehlen, zu verschlüsseln oder zu zerstören und damit den Angegriffenen Schaden zuzufügen. Sie handeln ohne das Wissen der Zielpersonen oder - unternehmen, und machen sich damit strafbar.
„White Hats“ hingegen nutzen ihr Können für einen guten Zweck. Ihr Vorgehen entspricht dem der Black Hat-Hackenden, mit dem Unterschied, dass sie nicht illegal handeln. Sie arbeiten für Unternehmen oder Organisationen als IT-Spezialist:innen und helfen dabei, Sicherheitslücken durch Hacking aufzudecken und zu schließen. Ihre Motivation besteht also in der Verbesserung und Absicherung technischer Systeme. Immer mehr Unternehmen nehmen eine solche Dienstleistung in Anspruch, um böswilligen Cyberangriffen zuvorzukommen.
Die Unterscheidung zwischen schwarz und weiß, gut und böse ist wie überall auch in der IT-Welt zu kurz gedacht. Und so gibt es noch eine dritte Gruppe: die „Grey Hats“. Diese stehen zwischen den beiden vorher genannten. Sie spüren ohne die Zustimmung oder das Wissen der Systeminhabenden Sicherheitslücken auf, berichten den Betroffenen dann aber von den Problemen. Anschließend erfragen sie eine finanzielle Belohnung für ihre Arbeit oder/und geben den Unternehmen einen Zeitrahmen für die Beseitigung der Probleme vor, um danach mit den Sicherheitslücken an die Öffentlichkeit zu treten. Sie arbeiten nicht von Grund auf mit böswilligen Absichten. Ihre Motivation liegt in der Sensibilisierung für dieses Thema und in der Freude am Hacking selbst. Diese Art des Hackens bewegt sich an der Grenze zur Illegalität, da sie ohne Erlaubnis der Systeminhabenden arbeiten und häufig Einblick in sensible Daten gewinnen. Dass die Grenzen zwischen den White und Black Hat-Hackenden zunehmend verschwimmen, belegte bereits 2018 eine Studie von Osterman Research2.
Die White und Grey Hat-Hackenden werden auch „Ethical Hackende“ genannt. Dieser Begriff umschreibt ein verantwortungsvolles Umgehen mit den eigenen Hacking-Skills und -Ergebnissen. Es gibt sogar Kurse, Konferenzen und Zertifikate für Ethical Hackende, die ihre Arbeit offiziell anbieten wollen. Denn neben der passenden ethischen Einstellung müssen Ethical Hackende noch weitere Voraussetzungen erfüllen: ein großes technisches Können, die Fähigkeit sich in Angreifende hineinzuversetzen und ein Verständnis für den Wert der Daten und Systeme, die sie absichern sollen.3
Vielleicht erinnern Sie sich in diesem Zusammenhang an einen Fall, der im Mai 2021 durch die Medien ging. Die Hackerin Lilith Wittmann deckte Sicherheitslücken in der Wahlkampf-App der CDU auf. Daraufhin informierte sie die Partei, das Bundesamt für Sicherheit in der Informationstechnik und die Berliner Datenschutzbeauftragten4 und bot damit die Möglichkeit, das Problem zu beheben. Erst als die App offline war, veröffentlichte sie ihre Arbeit. Diese Vorgehensweise wird auch „Responsible Disclosure“, also verantwortungsvolle Offenlegung genannt und zeigt ein Beispiel für ethisches Hacken. Der Fall zeigt aber auch, wie schwer es fallen kann, eine solche Arbeit nach dem Gesetz zu bewerten. Die CDU stellte in diesem Fall eine Strafanzeige gegen Wittmann, die nicht nur die öffentliche Blamage für die Partei verstärkte, sondern auch das offizielle Statement des Chaos Computer Clubs (CCC) nach sich zog, man wolle die Partei in Zukunft nicht mehr auf Sicherheitslücken hinweisen. Das Verfahren wurde eingestellt, da die Daten öffentlich zugänglich waren und die rechtliche Lage nur das Ausspähen oder Abfangen zugangsgeschützter Daten unter Strafe stellt.5
Dieses Beispiel zeigt einmal mehr, dass die Arbeit der „Ethical Hackenden“ wichtig ist: ohne sie gäbe es mehr offene Sicherheitslücken, die wiederum von Black Hat-Hackenden ausgenutzt werden könnten.
Die Farbpalette der Hackenden weitet sich übrigens immer weiter aus: so liest man auch von Red Hats, Blue Hats, Purple und Green Hats. Die Definitionen dafür liegen jedoch teilweise sehr weit auseinander, sodass wir es im Moment bei diesem Hinweis belassen wollen.
Einen schaurigen Überblick zu einigen Vorgehensweisen von Cyberkriminellen finden Sie auch in unserem YouTube-Video: „Geschichten des Cybergrauens“.
1 On Hacking - Richard Stallman. (o. D.). Stallman. Abgerufen am 19. November 2021, von http://stallman.org/articles/on-hacking.html
2 White Hat, Black Hat and the Emergence of the Gray Hat: The True Costs of Cybercrime. (2018). Osterman Research, Inc. https://www.malwarebytes.com/resources/files/2018/08/global-white-hat-black-hat-and-the-emergence-of-the-gray-hat-the-true-costs-of-cybercrime-1.pdf
3 Cybersecurity Guide. (2021, 20. Oktober). How to Become an Ethical Hacker | Guide for 2021. Abgerufen am 19. November 2021, von https://cybersecurityguide.org/resources/ethical-hacker/
4 CCC | CCC meldet keine Sicherheitslücken mehr an CDU. (2021, 4. April). CCC. Abgerufen am 19. November 2021, von www.ccc.de/de/updates/2021/ccc-meldet-keine-sicherheitslucken-mehr-an-cdu
5 Reuter, M. (2021, 16. September). CDU Connect: Ermittlungsverfahren gegen Sicherheitsforscherin Lilith Wittmann eingestellt. netzpolitik.org. Abgerufen am 19. November 2021, von netzpolitik.org/2021/cdu-connect-ermittlungsverfahren-gegen-sicherheitsforscherin-lilith-wittmann-eingestellt/