Ist Hacking illegal?
Sind Hacker Kriminelle?
Diese Frage möchte ich in diesem Beitrag klären und einen umfassenden Überblick über die Nutzung von Hacking Tools geben.
Beginnen wir!
Darstellung in Film, Fernsehen + Presse
Die Nachrichtensender zeigen häufig ähnliche Clips, wenn die Nachrichtensprecher von einem Hackerangriff bei Unternehmen Y oder Behörde X berichtet:
Ein männlicher Hacker sitzt vor seinem Laptop im Dunkeln mit einem Kaputzenpullover.
Auf dem Bildschirm erscheinen grüne Buchstaben auf schwarzem Hintergrund und Zahlenkolonnen fliegen über den Bildschirm. Das Gesicht ist verdeckt durch eine bleiche Maske mit Schnurrbart (Anonymous-Maske).
Die Medien bringen Hacker in Verbindung mit Malware, gefälschte Pässen, Drogen und Waffenhandel. Kann das stimmen?
Steffen Lippke
Was ist Hacking?
Um herauszufinden, ob Hacker Kriminelle sind, sollten wir einen Blick auf die Definition werfen. Was Hacking ist und wie können wir den Begriff korrekt einordnen?
Ein Hacker ist eine Person, die versucht mit ihrem technischen Wissen und dem Computer ein Ziel zu erreichen oder eine Herausforderung zu meistern. Der Weg der Hacker nimmt meistens keinen Standardweg.
(Angelehnt an Wikipedia Englisch)
Beispiele für Hacker
Lese Dir die folgenden Beispiele durch und überlege, ob die „Hacker“ gefährlich sind oder nicht:
- Max arbeitet in einem Software-Startup. Er programmiert an einem komplett neuartigen Produkt, in dem er eine unkonventionell geniale Methode nutzt.
- Jan versucht seinen Computer schneller zu machen. Er nimmt Änderungen am Betriebssystem (Linux) vor, damit die Software seine Hardware noch effizienter nutzt.
- Phil versucht ein Chat-Programm an seine eigenen Bedürfnisse anzupassen, so wie es kein anderer tun würde (neuartige Shortcuts, andere Icons).
Die drei vorgestellten Personen können wir unter die Definition des Hackers fassen. Max, Jan und Phil begehen aus der Sicht des gesunden Menschenverstands keine Straftat.
(Meinug – Steffen Lippke)
Böses Hacking = Umgehung einer Sperre?
Hacker können sogenannte Hacking-Tools (Software zum Hacking) verwenden. Lese Dir die folgenden drei Beispiele durch und entscheide, ob das Verhalten kriminell ist.
- Anna hat ihren Bitcoin-Schlüssel verloren und versucht mit dem automatischen Austesten von Passwörtern Zugang zu ihrem eignen Wallet zu erhalten (Bruteforcing Software aus dem Darknet).
- Florian hat sein Windows Passwort vergessen und setzt sein Windows Passwort mit einer Spezialsoftware aus dem Internet zurück, sodass er sich wieder mit einem neuen Passwort anmelden kann.
- Johanna besitzt ein Profil bei einer Social-Media-Plattform. Ein Hacker ändert das Passwort ihres Accounts, sodass Johanna sich nicht mehr anmelden kann. Johanna versucht sich mit den Hacker-Tools Zugang zu ihrem eigenen Account zu verschaffen.
Ist das illegal? Kann die Nutzung eine Software strafbar sein?
Ethical Hacking – Die gute Seite
Wenn Computer-Geeks für die Unternehmen nach Schwachstellen suchen, nennen Informatiker diese Tätigkeit ethisches Hacking. Bevor ein Krimineller eine Schwachstelle findet, sollen ehrliche Informatiker das Unternehmen vor einer Schwachstelle waren, sodass diese zügig nachbessern können.
Reaktion von Unternehmen
Nicht jedes Unternehmen versteht den Sinn hinter Ethical Hacking. Deshalb reagieren Unternehmen sehr unterschiedlich auf die Ethical Hacker:
- Das Unternehmen belohnt den Ethical Hacker mit einer Einzelgutschrift (bis 1 Millionen Euro) oder bieten dem Hacker einen Arbeitsplatz an.
- Andere Unternehmen suchen aktiv nach Ethical Hackern über einem Bug-Bounty-Programm. Für sie ist es ganz normal, dass sich ein Ethical Hacker bei ihnen meldet. So kommt das Unternehmen mit fähigen Geeks in Kontakt.
- Das Unternehmen bedankt sich höflich und „bessert nach“. (Buh!)
- Das Unternehmen verklagt den Ethical Hacker. Diese Klage sollte das Gericht im Regelfall ablehnen, weil der Ethical Hacker kein Krimineller ist. Diese Unternehmen können nichts mit Ethical Hacking anfangen. Diese Unternehmen sollten sich mit IT-Sicherheit dringend beschäftigen.
Große Unternehmen wie z. B. Banken betreiben das Hacking professionell. Die EU / das Gesetz schreibt dem Finanzsektor viele Richtlinien bezüglich der IT-Sicherheit vor. Ethical Hacker in großen Unternehmen teilen sich in zwei Gruppen auf:
RED: Diese Geeks versuchen „wie ein echter Hacker“ die Unternehmenssysteme anzugreifen. Sie sollen unbemerkt in das System eindringen und alle Schwachstellen und Data Leaks dokumentieren.
BLUE: Die Geeks sollen verhindern, dass das RED-Team Erfolg hat (und Hacking-Versuche erkennen). Wenn das RED-Team Erfolg hat, muss das BLUE-Team mit dem gesammelten Wissen des RED-Teams ihre Systeme aufrüsten.
Ein Tanz auf der Rasierklinge
Der Hacker muss z. B. einen Datenleak (öffentliche Einsicht) von Kundendaten nachweisen können, ohne dass er in die Daten schaut, weil er sonst gegen Gesetze verstößt. Er darf nur das Verzeichnis sichten, aber nicht auf die Kundendaten.xlxs klicken.
Manche Unternehmen gehen mit ihren Daten unachtsam um. Sie veröffentlichen unabsichtlich Daten im Internet, die Hacker auffinden können. In der Realität übertragen bedeutet, dass der Ethical Hacker auf der Straße einen Aktenordner findet, aber dieser nicht öffnen und darin blättern darf.
Dual Use Tools – Der Schraubenzieher eines Hackers
Wireshark ist ein schönes Beispiel für ein Dual Use Tool. Die Software ist ein essenzielles Equipment eines Netzwerk-Administrators, um das Netzwerk zu konfigurieren. Die System-Admins können Problem im Netzwerk mit Wireshark identifizieren und gezielt nachbessern.
Auf der anderen Seite können Hacker Wireshark nutzen, um Passwörter mitzulesen, die ein Computer über HTTP ohne S (für secure, Port 80) sendet (ja solche Seiten gibt es noch!).
Ein anderes Tool ist RainBowCrack, welches hilft Passwörter mit Brute-Force zu knacken. Hacker können das Tool verwenden, um sich Zugang zu verschiedenen Online-Accounts zu verschaffen. Die Voraussetzung ist, dass die Hash-Passwort-Datenbank öffentlich verfügbar ist.
Hacking-Tools oder Dual-Use-Tools
Ein Messer ist vergleichbar mit einem Hacking-Tool (Dual-Use-Tool):
- Das Messer nutzt ein Koch, um eine gute Speise zuzubereiten (Bewirkt eine Wohltat)
- Das gleiche Messer nutzt ein Mörder, um ein Opfer zu erstechen (Bewirkt eine Straftat)
Kann das Gesetz ein Messer verbieten? Das Gleiche gilt für die Hacking-Software (Dual-Use-Tool):
- Hacking-Tools helfen den Entwicklern zuverlässige Software zu bauen. System-Admins können mithilfe solcher Software Systeme sorgfältig konfigurieren.
- Auf der anderen Seite können Kriminelle diese Tools einsetzen, um Schwachstellen zu erkennen und anzugreifen.
Wenn die Polizei im Internet nach solchen verbotenen Tools fandet, ist die Identifizierung einer Software als reines Tool für Kriminelle schwer.
Anwendung von Dual-Use Tools
Diese Tools müssten doch verboten sein?
Jein. Diese Software brauchen Ethical Hacker, um den Zugang von verlorenen Admin-Accounts wiederherzustellen.
Das Unternehmen ist verzweifelt, weil sie nicht mehr an die Datensätze in der Datenbank kommen. Der System-Admin ist im Verkehrsunfall gestorben und nirgendwo ist das Passwort zu finden. Jetzt kommt ein Ethical Hacker ins Spiel. Er nutzt RainBowCrack für einen möglichen legalen Anwendungsfall.
Steffens Beispiel