Es sei direkt vorausgeschickt, dass Hacker beileibe nicht immer Kriminelle sind. 

Mit diesem Gedanken im Hinterkopf schauen wir uns nun einmal an, wie und warum "Hacken" und verwandte Begriffe in der öffentlichen Wahrnehmung eher negativ konnotiert sind.

Begriffe wie "Hack" oder "Hackjob" werden im Englischen häufig verwendet, um entweder inkompetente Personen ohne angemessene formale Ausbildung in einem bestimmten Arbeitsbereich zu beschreiben - oder schlampig ausgeführte Arbeiten. Eine grobe Übersetzung für "Hack" kann etwa der Begriff "Pfusch" sein ("Dieser Typ ist ein totaler Pfuscher!"), allerdings ist dieser Begriff im Deutschen durchweg negativ besetzt. Diese Unterscheidung fehlt im Englischen, insofern ist der Begriff "Hack" nicht wirklich gut direkt übersetzbar, dafür lässt er sich gut umschreiben. Gemeinsam ist dem Deutschen und Englischen, dass sowohl "hack" als auch "Pfusch" gebraucht wird, um minderwertige Arbeit zu beschreiben ("Das ist keine Reparatur - das ist einfach nur Pfusch!"). Im Englischen hat "hack" allerdings noch eine Zusatzbedeutung: So kann ein "hack" auch eine zwar funktionierende, aber unübliche und keiner Norm entsprechende Lösung für ein Problem sein. Im Zusammenhang mit Computern assoziiert die Öffentlichkeit Hacking häufig mit dem unbefugten Zugang zu Computersystemen, persönlichen Konten und Computernetzwerken oder dem Missbrauch digitaler Geräte - meist entweder zur Erzielung finanzieller Gewinne oder um Schaden anzurichten. Angesichts der Medienberichterstattung könnte man meinen, dass Hacker immer in böser Absicht handeln.

Es ist jedoch schwierig, eine Rechtsvorschrift zu finden, in der der Begriff "Hacken" explizit erwähnt wird, auch wenn umgangssprachlich etwa vom "Hacker-Paragrafen" (gemeint ist hier der Paragraf 202c des deutschen StGB) die Rede ist. Hacker handeln jedoch nicht unbedingt in böser Absicht - das Gegenteil ist oft eher der Fall. Was macht also einen Hacker aus? Nach unserer Definition von Hacking ist ein Hacker jemand, der seine technischen Fähigkeiten und Kenntnisse einsetzt, um ein bestimmtes Problem oder eine bestimmte Herausforderung zu bewältigen. Dazu müssen nicht einmal unbedingt Computer eingesetzt werden.

Viele denken auch, dass sich der Begriff "Hacker" auf ein autodidaktisches Wunderkind oder einen abtrünnigen Computerprogrammierer bezieht. Hacker sind in der Tat oft geschickt darin, Computerhardware oder -software so zu verändern, dass sie auf eine Weise genutzt werden kann, die nicht der ursprünglichen Absicht der Entwickler entspricht. Wenn Hacker in ein Computernetz oder -system eindringen, spricht man von Sicherheits-Hacking. Obwohl Hacker in den Medien meist als Cyberkriminelle bezeichnet werden, die Daten stehlen und alle möglichen anderen digitalen Schäden anrichten, lautet die korrekte Bezeichnung für diese Form des illegalen Hackens eigentlich "Cracking".

Beim Hacken geht es in erster Linie um grenzenlose Kreativität, furchtlose Innovation und den Mut, von den üblichen Denkweisen abzuweichen.  Der Chaos Computer Club, die größte Hackervereinigung in Europa, definiert Hacking als "kreative, praktische und respektlose Nutzung von Technologie". Leider geben sich nicht alle Hacker mit dem Hacken um des Hackens willen zufrieden.

Auf der Grundlage der Legalität ihrer Aktivitäten lassen sich Hacker grob in drei Gruppen einteilen.

In den Medien taucht der Black Hat Hacker am häufigsten auf: der maskiert dargestellte Cyberkriminelle, der geschickt in ein Computersystem einbricht, um Daten zu stehlen oder zu verändern oder andere illegale Handlungen durchzuführen. Nur, dass in der Realität kaum ein krimineller Hacker in einem abgedunkelten Kellerraum mit Sturmhaube vor dem Rechner sitzt, sondern eher in einem normalen Bürogebäude oder im Home Office. Wenn ein Black Hat Hacker eine Schwachstelle in einer Software entdeckt, nutzt er oder sie diese für kriminelle Zwecke aus. Der Hacker kann einen Exploit schreiben. Dabei handelt es sich um ein Stück Software, das eine Schwachstelle ausnutzt, um in ein Computersystem einzudringen und Malware zu verbreiten. Der Hacker kann die Entdeckung auch im Dark Web zum Verkauf anbieten. Manchmal versuchen Black Hat Hacker sogar, andere zu zwingen (oder zu bestechen), die Arbeit für sie zu erledigen. Dies wird als Insider-Bedrohung bezeichnet. Im August 2020 bot ein Hacker einem Tesla-Mitarbeiter eine Million Dollar an, um heimlich Ransomware in der Megafabrik des Unternehmens im US-Bundesstaat Nevada zu installieren. Glücklicherweise meldete der Mitarbeiter dies dem FBI und der Hacker wurde verhaftet.

Der Begriff "Black Hat" geht übrigens auf alte Westernfilme zurück - die Bösewichte tragen in diesen Filmen meist schwarze Hüte.

Im Gegensatz zu Black-Hat-Hackern führen White-Hat-Hacker ihre Aktivitäten offen aus. White Hat Hacker sind die Gegenstücke zu Black Hat Hackern - wie im Western geht der Begriff des White Hats auf die Farbe des Hutes zurück, die der Held im Western trägt. Unternehmen beauftragen White Hat Hacker oft damit, ihre Systeme und Software gezielt anzugreifen, um Schwachstellen oder Sicherheitsprobleme zu entdecken. Dies wird als Penetrationstest bezeichnet. So können Unternehmen ihre Sicherheit verbessern, bevor ein Black Hat Hacker eindringen kann. Einige White-Hat-Hacker arbeiten intern in großen Unternehmen, während andere als Freiberufler oder Selbstständige tätig sind. Darüber hinaus können ethische Hacker auch Mitarbeiter dem Phishing aussetzen, um zu testen, wie widerstandsfähig eine Organisation gegenüber echten Angriffen ist, und um Bereiche zu ermitteln, die zusätzliche Schulungen zur Cybersicherheit erfordern.
Sie melden auch Schwachstellen in einer bestimmten Anwendung an den Anbieter oder Entwickler der betroffenen Anwendung, manchmal "pro bono", manchmal für ein Kopfgeld, auch "Bug Bounty" genannt, das an Forschende ausgezahlt wird, die eine kritische Schwachstelle aufdecken.

Meistens ist Hacking eine technische Angelegenheit, aber Hacker können auch Social Engineering einsetzen, um den Benutzer dazu zu bringen, auf einen bösartigen Anhang zu klicken oder persönliche Daten preiszugeben. Neben Social Engineering und Malvertising gehören zu den gängigen Hacking-Techniken: Botnets, DDoS, Ransomware und andere Malware. Auch "Living of the land"-Tools, bei denen Kriminelle nur die Möglichkeiten nutzen, die sie beim Eindringen ins Netzwerk finden, werden häufig eingesetzt. Wenn Sie sich einen Überblick über die Werkzeugkiste eines Hackers verschaffen wollen: "Den" Werkzeugkasten gibt es nicht. Es gibt jedoch einige Tools - sowohl kommerzielle als auch Open-Source-Tools - die von Hackern an beiden Enden des Spektrums verwendet werden, z. B. nmap, mimikatz, Ghidra, burp, Cain&Abel, Purple Knight oder Metasploit. Jedes Tool hat einen speziellen Verwendungszweck, und Hacker stellen sich in der Regel ihre eigenen Toolkits zusammen.

Darüber haben wir bereits in einem früheren Artikel geschrieben.

Leider hat sich das Hacken von harmlosem Unfug von Jugendlichen zu einem milliardenschweren Wachstumsgeschäft entwickelt. Dessen Anhänger haben eine kriminelle Struktur aufgebaut, die schlüsselfertige Hacking-Tools entwickelt und an Möchtegern-Gauner mit weniger anspruchsvollen Fachkenntnissen (bekannt als "Script-Kiddies") verkauft. 

Es lässt sich sagen, dass Hacker aus einem der folgenden fünf Gründe versuchen, in Computer und Netzwerke einzubrechen.

• Es gibt den typischen finanziellen Gewinn wie den Diebstahl von Kreditkartendaten oder den Betrug an Banksystemen.
• Den Ruf von Personen oder Unternehmen zu schädigen oder anzugreifen, motiviert einige Hacker, da sie ihre Spuren auf Websites hinterlassen. Dies wird auch als "Defacement" bezeichnet.
• Außerdem gibt es die Wirtschaftsspionage, bei der Hacker eines Unternehmens versuchen, Informationen über die Produkte und Dienstleistungen eines Konkurrenten zu stehlen, um sich einen geschäftlichen Vorteil zu verschaffen.
• Und natürlich betreiben ganze Nationen staatlich gefördertes Hacking, um Geschäfts- und/oder öffentliche Informationen zu stehlen, die Infrastruktur zu destabilisieren oder um Disharmonie und Verwirrung in der Gesellschaft des Ziellandes zu stiften.
• Und dann gibt es noch die Hacker, die politisch oder sozial motiviert sind. Sie versuchen in der Regel, eine Sache zu fördern, sind aber nicht finanziell motiviert. Diese Hacker-Aktivisten oder "Hacktivisten" versuchen, die Aufmerksamkeit der Öffentlichkeit auf ein Problem zu lenken, indem sie ein sehr ungünstiges Licht auf das Ziel werfen - im Allgemeinen, indem sie sensible Informationen veröffentlichen. Die bekanntesten Hacktivistengruppen und einige ihrer berühmtesten Unternehmungen sind Anonymous, WikiLeaks und LulzSec. Das Problem mit dieser Art von Hackern ist, dass sie ihre Hacking-Fähigkeiten mit einer Art "Robin-Hood-Flair" einsetzen, was viele Leute zu der Annahme verleitet, dass ihre Handlungen immer legitim waren/sind. Viele gehen ein legitimes Problem auf manchmal fragwürdige Weise an. Diese Hacker scheinen die gesamte Hacking-Branche aus den falschen Gründen cool oder sexy erscheinen zu lassen. Das ist eine gefährliche Sache, denn es kann dazu führen, dass potenziell wohlmeinende, aber unerfahrene Menschen eine sehr schmale Grenze überschreiten.

Gegen das Hacken an sich ist nichts einzuwenden. Nur wenn ein Hacker nicht um Erlaubnis fragt bevor er oder sie sich an fremden Systemen zu schaffen macht, wird die Grenze zwischen legalem Hobby und illegaler Cyberkriminalität überschritten oder zumindest verwischt. Was White Hat Hacker tun, ist in Ordnung. Schließlich haben die Mitarbeiter und Kunden ihre Zustimmung gegeben. Wenn jedoch Grey Hat Hacker mit ihren Erkenntnissen an die Öffentlichkeit gehen, kann das rechtliche Konsequenzen für sie haben, auch wenn sie vielleicht gute und noble Absichten haben.
Natürlich sind alle Aktivitäten von "Black Hat Hackern" illegal. Wenn Sie Opfer eines "Black Hat Hackers" geworden sind, können und sollten Sie diese Cyberkriminalität den zuständigen Behörden in Ihrem Land oder Ihrer Region melden. Dies kann dazu beitragen, den entstandenen Schaden zu begrenzen, den Hacker vor Gericht zu bringen und hoffentlich weitere Opfer in der Zukunft zu verhindern.

Belgien ist das erste (europäische) Land, das einen nationalen und umfassenden Safe-Harbor-Rahmen für ethische Hacker verabschiedet hat, so die belgische Cybersicherheitsagentur "The Centre for Cyber Security Belgium". Diese Agentur, auch CCB genannt, hat eine Politik angekündigt, die Einzelpersonen oder Organisationen vor strafrechtlicher Verfolgung schützt - unter der Voraussetzung, dass bestimmte "strenge" Bedingungen erfüllt werden - wenn sie Sicherheitsschwachstellen melden, die Systeme, Anwendungen oder Netzwerke in Belgien betreffen.

Nach dem Verfahren, das in einer nationalen koordinierten Richtlinie zur Offenlegung von Schwachstellen (CVDP) geschaffen wurde, kann das CCB - das belgische Computer Emergency Response Team (CSIRT) - nun Berichte über IT-Schwachstellen entgegennehmen, die Sicherheitsforschern einen gewissen rechtlichen Schutz bieten, wenn die folgenden Bedingungen erfüllt sind:

• Sie müssen den Eigentümer der anfälligen Technologie (z. B. Website, Softwarepaket usw.) so bald wie möglich und gleichzeitig mit der CCB
• Ohne betrügerische Absichten handeln und ohne das Ziel, Schadfen zu verursachen
• Streng nach dem Grundsatz der Verhältnismäßigkeit handeln, um das Vorhandensein einer Schwachstelle nachzuweisen
• Sie müssen dem CCB so bald wie möglich einen Schwachstellenbericht in einem bestimmten Format vorlegen
• Informationen über die Schwachstelle und die gefährdeten Systeme dürfen ohne Zustimmung der CCB nicht an die Öffentlichkeit weitergegeben werden.

Aber wir müssen vorsichtig sein und es gibt noch viele Fragen zu beantworten ... Und es gibt auch einige Nuancen, die wir unserer Meinung nach noch untersuchen müssen. Kann ein ethischer Hacker einen umfassenden Penetrationstest bei einem Unternehmen durchführen, das sich dessen nicht bewusst ist? Kann ein ethischer Hacker einen neuen 0-Day auf alle belgischen IP-Adressen loslassen? Es ist gut, dass es das Gesetz gibt, das ethische Hacker schützt, aber es ist immer noch kein Freifahrtsschein aus dem Gefängnis. Ein ethischer Hacker, der eine SQL-Injection findet und dann die gesamte Datenbank leert, um zu zeigen, dass er einen Fehler gefunden hat, macht sich immer noch strafbar.

Der Rahmen soll ethische Hacker schützen, die zufällig über eine Sicherheitslücke stolpern, wenn sie das Problem melden wollen. Es ist daher kein sicheres Verhalten, die gesamte .be zu scannen. Außerdem wird man nicht bezahlt, so dass es sich um eine freiwillige Arbeit handelt! ... Nun, man bekommt ein T-Shirt, wenn man das Sicherheitsproblem meldet.

Aus einem Bericht der EU-Agentur für Cybersicherheit (ENISA) aus dem Jahr 2022 über nationale Maßnahmen zur koordinierten Offenlegung von Sicherheitslücken (CVD) geht hervor, dass auch Frankreich, Litauen und die Niederlande an CVD-Maßnahmen arbeiten und entsprechende Anforderungen umgesetzt haben. Zahlreiche andere EU-Mitgliedstaaten entwickeln oder planen ähnliche nationale Schutzmaßnahmen für Hacker.

Bildnachweis:
 

"Yellow & Brown Cardboard Box" by Gerhard Lipold / Pexels
"Grayscale Photo of a Young Man" by Kevin Bidwell / Pexels
Morse keyer image from Wikipedia, released unter CC-BY-SA 4-0
Header & Preview: G DATA CyberDefense, tbe