White Hat, Grey Hat, Black Hat? Diese Namen schnappt man immer mal wieder in der Presse auf. Aber was steckt eigentlich hinter den „Hüten“? In diesem Blogartikel wird kurz und knapp erläutert, was die Unterschiede zwischen den Bezeichnungen sind und was das mit Hackern zu tun hat.
Grundsätzlich steckt hinter jeder Hutfarbe ein Hacker. Die Farbe des Huts klassifiziert den Hacker in verschiedene Kategorien:
White Hats: White Hats sind Hacker, die ihre Fähigkeiten nicht für kriminelle Zwecke nutzen. Daher nennt man sie auch oft ethical bzw. ethische Hacker. Ähnlich wie ein Cyberkrimineller sind auch die White Hats auf der Suche nach Schwachstellen in Computersystemen. Hat ein ethischer Hacker eine Schwachstelle entdeckt, dann nutzt er diese allerdings nicht aus, sondern meldet sie dem Verursacher (in der Regel dem Hersteller). So kann der Hersteller die Sicherheitslücke schließen und ein Update herausbringen, bevor Cyberkriminelle die Lücke ausnutzen, um Opfersysteme anzugreifen. Ein guter „Service“ also für den Hersteller, sodass es gerade bei den großen Softwareherstellern üblich ist, dass diese die White Hats für ihre Tätigkeiten belohnen. So zahlt beispielsweise Apple zwischen 25.000 und 1.000.000 US-Dollar für gefundene Schwachstellen, je nach Kritikalität (https://developer.apple.com/security-bounty/payouts/). Etliche White Hats haben ihr „Hobby“ zum Beruf gemacht und arbeiten als IT-Sicherheits-Experten. Zum Beispiel arbeitet das Softwareentwicklungsteam von cysmo auch mit White Hats bzw. IT-Sicherheits-Experten zusammen.
Black Hats: Genau wie die White Hats suchen auch die Black Hats nach Schwachstellen in Computersystemen. Allerdings hören sie beim Fund einer Schwachstelle nicht auf, sondern nutzen diese für Angriffe aus. Black Hats sind also Cyberkriminelle und entsprechen dem gesellschaftlichen Klischee eines Hackers. Wenn also jemand sagt, dass Hacker eine Firma oder Privatperson angegriffen haben, dann waren dies Black Hats. Bei den aktuellen Statistiken zu Cyberkriminalität ist davon auszugehen, dass die Black Hats die größte der drei Hacker-Klassifizierung ist.
Grey Hats: Die Grey Hats werden gerne als „Mischung“ zwischen Black und White Hats angesehen. Ein Grey Hat verhält sich ähnlich wie ein White Hat, allerdings meldet er oftmals die gefundene Schwachstelle nicht nur diskret dem Hersteller, sondern veröffentlicht die Schwachstelle, sodass jeder von der Schwachstelle erfährt. Dadurch wird der Druck auf die Hersteller, diese Schwachstelle schnellstmöglich zu schließen, enorm erhöht. In der Vergangenheit ist es oft vorgekommen, dass Schwachstellen einem Unternehmen gemeldet wurden, allerdings diese nicht unverzüglich geschlossen wurden. Zum Beispiel wusste Microsoft schon zwei Monate lang von der Schwachstelle in den MS-Exchange-Servern, welche dann zu einer weltweiten Angriffswelle führte (https://www.golem.de/news/exchange-server-microsoft-weiss-schon-seit-zwei-monaten-von-zero-days-2103-154780.html). Für weitere Infos zu den Exchange Hacks klicken Sie hier (https://insurance-experts.ppi.de/breaking-news-hacker-angriff-auf-etliche-deutsche-unternehmen-wie-versicherungen-jetzt-handeln-sollten/). Grey Hats können also diese „Wartezeit“ deutlich verkürzen, indem sie die Schwachstelle veröffentlichen. Problematisch ist dabei, dass natürlich auch die Black Hats von diesen Schwachstellen erfahren und eventuell diese schneller ausnutzen als der Hersteller die Lücke schließen kann.
Kommentar zu den Farben und rechtlichen Einstufungen: Teilweise liest man immer wieder, dass die Farben der Hüte auf die Legalität schließen. Sprich White Hats arbeiten legal, Grey Hats in der juristischen Grauzone und Black Hats eben illegal. Das ist so nicht richtig! Das deutsche Recht ist an dieser Stelle recht eindeutig. Der unberechtigte Zugriff auf fremde IT-Systeme ist eine Straftat. Sogar der Versuch ist strafbar. Also auch ein White Hat, der ohne Erlaubnis des Unternehmens eine Schwachstelle findet, begeht eine Straftat. Auch, wenn er die Schwachstelle nicht für kriminelle Zwecke ausnutzt und dem Hersteller eigentlich „hilft“.
Liebe Grüße
Linus Töbke
Autor: Linus Töbke