Meist stellt man sich bei Hackern eine Person vor, die einen schwarzen Hoodie trägt und über Nächte hinweg in ein Unternehmen eindringt. Dabei suchen Hacker gezielt nach Schwachstellen im IT-System und legen dieses lahm. Häufig werden auch sensible Daten gestohlen. Anschließend wird von den Unternehmen eine bestimmte Summe an Geld erpresst, um das System wiederherzustellen. Meist wird in Kryptowährungen gezahlt, da diese schwer zu verfolgen sind. Durch die rasante Entwicklung des IoT (Internet of Things) gibt es unendlich viele Ziele für Hacker. Smart-Home-Geräte sind oft Ziele sogenannter DoS-Attacken (Denial of Service), bei denen sich beispielsweise ein mit dem Internet verbundener Kühlschrank abschaltet. Praktisch alles, was mit dem Internet verbunden ist, kann heutzutage gehackt werden.

Jedoch sind diese böswilligen Attacken nur eine Art des Hackings, nämlich die der Black-Hat-Hackers. Black-Hat-Hackers sind verantwortlich für illegale Cyberattacken. Im Gegensatz dazu gibt es White-Hat-Hackers - auch Certified Ethical Hackers genannt. Sie versuchen mit der Zustimmung eines Unternehmens, in die IT-Abteilung einzudringen, um dem Unternehmen seine Schwachpunkte aufzuzeigen. Gelingt es ihnen, eine Schwachstelle im System des Unternehmens zu finden, zeigen diese auf und werden dafür entsprechend bezahlt. Die Bezahlung hängt dabei von der potenziellen Gefahr ab.

Diese Begriffe „White Hat” und „Black Hat” leiten sich aus den US-Westerns der 1930er Jahre ab. In diesen Filmen trug der Held des Films meist einen weißen Hut, der Bösewicht oft einen schwarzen Hut, als Symbole für das Gute beziehungsweise das Böse.

Die Frage, ob nicht ausgeklügelte Software und Antiviren-Programme ausreichen würden, um Black-Hat-Hackern das Handwerk zu legen, ist rasch beantwortet: Nein. Die Zahlen sprechen für den Einsatz von White-Hat-Hackern:

Cyberkriminalität kostet jährlich 1 Milliarden US-$ pro Jahr (2020) ungefähr 1% der weltweiten Wirtschaftsleistung.
66% der befragten Unternehmen gaben an, dass Cyberangriffe zu Betriebsausfällen geführt hat.
56% der Befragten angaben, keine Strategie zur Bedrohungsabwehr im Unternehmen implementiert zu haben.
92% gaben an, unter anderen Folgen gelitten zu haben, wie beispielsweise Reputationsschäden.
China ist verantwortlich für 80% der Corporate-Spionage-Fälle der USA, mit einem Schaden von mehr als 500 Mrd. US-$ (1.500 Unternehmen wurden befragt)
Die durchschnittlichen Kosten eines Datenlecks/Datenverlustes betragen 3,86 Mio. US-$.
Jeder Mitarbeiter hat Zugriff auf fast 11 Millionen Dateien.
In fast zwei Dritteln der Unternehmen hat jeder Mitarbeiter Zugriff auf mehr als 1.000 sensible Dateien.
(Quellen: IBM, McAfee, Varonis)

Die Lösung sind Cybersecurity Start-ups wie HackerOne. Für das 2012 gegründete Unternehmen arbeiten über eine Million registrierte Hacker. Durch Bug-Bounty-Programme, einem Deal zwischen Unternehmen und Ethical-Hackern, haben sie die Möglichkeit, sich legal in ein Unternehmen zu hacken. Mittlerweile gibt es 9 Hacker die dadurch, die mehr als 1 Mio. US-$ verdienten, einer sogar über 2 Mio. US-$. Außerdem bietet HackerOne einen kostenlosen Onlinekurs an, der beibringt, wie man hackt.

Text: David Zehner
Fotos: Unsplash