Menü
IT Sicherheit ist ein Weg, kein Ziel!
10.03.2018

Brauchen wir Hacker?

Wer über Hacker spricht, sollte dabei unterscheiden.
Da gibt es die White-Hats (Weißen Hüte), die guten Hacker, die an eine Hackerethik gebunden sind und durch Ihre simulierten Angriffe auf Fehler und Schwachstellen innerhalb von IT-Systemen aufmerksam machen (oft als Auftragshacker). Dem gegenüber stehen die Black-Hat’s, die bösen, die mit krimineller Energie agieren und versuchen ein System zu schädigen und ggf. auch Daten zum eigenen (finanziellen) Vorteil zu stehlen.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Dazwischen kennt man noch die Grauen Hüte, die ebenso wie die White-Hat’s agieren, aber ggf. ohne Auftraggeber, sondern aus eigener Motivation heraus, mit der Absicht die IT Welt zu verbessern.

Alle Gruppierungen attackieren die Systeme, wenn auch aus unterschiedlicher Motivation heraus. Die Frage ist, brauchen wir Hacker? Setzten Sie durch Ihre echten oder simulierten Angriffe nicht erst einen Kreislauf in Gang, der zu diesem Wettrüsten zwischen IT Sicherheit und Cyberkriminellen führt?

Würden wir in einer idealen IT-Welt leben, in der jeder fehlerfrei arbeitet, nur das macht, was er soll, nicht versucht widerrechtliche Daten oder Zugriffe zu erlangen und falls dies doch passiert, es umgehend melden, ohne Nutzen daraus zu ziehen. Nun, dann bräuchten wir keine IT Sicherheit und wir könnten Programme und Tools wesentlich einfacher und kostengünstiger erstellen. Denn ohne Angreifer und Probleme, muss man sich nicht davor schützen bzw. dagegen wappnen. Aber die Welt ist kein idealer Ort.

Es gibt technische Verfahren, die versagen und eine dem Menschen eigene evolutionsbedingte Neugier, die dies nicht zulässt. Also muss man die IT Systeme und die davon abhängigen Maschinen, Daten und Menschen gegen den Menschen selbst und andere Gefahren schützen und dies bestmöglich! Doch Zeitdruck, Kostenreduzierung und einseitige Betrachtungen führen mitunter zu schwachen Security-Implementationen. Schwächen, die ein Hacker aufdeckt, was wiederum zu einer Nachbesserung der Verfahren und mehr Security führt.

Hacker sind sicherlich nicht die Antwort der Evolution auf die Entwicklung von sicheren IT-Systemen durch den Menschen, aber sie tragen ihren Teil dazu bei, die IT zu verbessern und Lücken ebenso wie Schwachstellen nachhaltig zu reduzieren. So gesehen, lässt sich die Frage, nach der Notwendigkeit von Hackern mit einem JA beantworten, denn der Nutzen ist vorhanden.  
Idealerweise ist die Menge an Hacker in einer Pyramide angeordnet, mit einer breiten Basis an White-Hat’s, einem mittleren Segment an Grauen Hüten und einer kleinen Spitze von kriminellen Black-Hat’s. Ohne Black-Hat’s wird es leider nicht gehen, denn ohne diese latente Bedrohung wird das System Bedrohung <-> Schutz irgendwann stagnieren.
Aber die Hoffnung ist, dass man alternative Möglichkeiten findet, den Effekt der Black-Hat’s zu erhalten, ohne wirklich Cyberkriminelle bekämpfen zu müssen. Möglicherweise sind die Bug-Bounty Programme von Firmen, die einen finanziellen Anreiz für gefundene Fehler in den IT-Systemen gewähren hier eine Lösung?

Bis es jedoch so weit ist, dass der Mensch sichere IT-Systeme entwickeln kann/wird und Sicherheit als Bestandteil seiner Programme begreift und nicht als „Belastung“, wird es noch seine Zeit dauern. Eine Zeit, in der man die Hacker benötigt, aber sie nicht aus den Augen lassen sollte. Aber vielleicht gibt auch ein altes Sprichwort hier den besten Weg vor: Wenn Du einen Feind nicht besiegen kannst, dann mache ihn Dir zum Freund.