Blogs
Work in progress

Hacker mit guten Absichten – so wirst du zum «Friendly Hacker»

Informatikstudent wird Friendly Hacker
Hacker mit guten Absichten – so wirst du zum Friendly Hacker. Bild: ki-generiert/ffhs
Work in progress

Hacker mit guten Absichten – so wirst du zum «Friendly Hacker»

Simon Reinhart ist ein Friendly Hacker. Er sucht und findet Schwachstellen in IT-Systemen. Was es braucht, um ein solcher Hacker zu werden, erzählt er im Interview.
21.02.2024, 14:21
melanie biaggi, ffhs
Mehr «Blogs»

Simon Reinhart, bezeichnen Sie sich als Hacker?
Simon Reinhart: Neben Penetration Tester, IT Security Analyst oder Security Researcher ist auch Ethical Hacker, beziehungsweise Friendly Hacker, eine offizielle Bezeichnung meines Berufes.

Was macht einen Friendly Hacker aus?
Die Bezeichnung Hacker suggeriert vermutlich bei vielen das Bild einer Person, welche kriminelle Aktivitäten begeht. Viele der Aktivitäten eines Friendly Hackers sind deckungsgleich mit denjenigen eines kriminellen Hackers. Jedoch aber mit dem Unterschied, dass gute Absichten dahinterstecken. Das Ziel eines Friendly Hackers ist es, Schwachstellen aufzudecken und zu melden, sodass diese geschlossen werden können, bevor sie von einem kriminellen Hacker ausgenutzt werden.

Wie wird man ein Friendly Hacker?
Gute Basiskenntnisse in Informatik und Softwareentwicklung sind Voraussetzung. Neben dem braucht es vermutlich das richtige Gespür und vor allem eine gute Portion Motivation. Im Internet gibt es genügend Ressourcen, um sich die Konzepte dahinter selbst anzueignen. Ich hatte zudem das Glück, dass ich vor rund sechs Jahren einen Job als Penetration Tester bei der Protect7 GmbH bekommen habe. Bedeutet, ich konnte mir die nötigen Fähigkeiten durch die tägliche Arbeit aneignen und praktizieren.

Ihr Job ist es, Schwachstellen in IT-Systemen zu finden?
Genau und dann generische Empfehlungen abzugeben, wie diese geschlossen werden können. Die Behebung selbst erfolgt dann durch den Lieferanten der Software. Meist ist den Entwicklern auch klar, wie die Behebung erfolgen muss. Falls dem nicht so ist, wäre es natürlich zu empfehlen, die Entwickler dahingehend zu schulen. Nicht zuletzt auch um vorzubeugen, dass künftig wieder gleiche Schwachstellen implementiert werden.

Simon Reinhart ist ein Friendly Hacker.
Simon Reinhart ist ein Friendly Hacker. Bild: zvg

Gemäss Ihrer Einschätzung, wo liegen die grössten Schwachstellen von Schweizer Unternehmen in Sachen Cyber Security?
Schätzungsweise ist das nach wie vor der Faktor Mensch. Gerade bei herkömmlichen KMU ist vermutlich eine überschaubare Anzahl Services direkt exponiert und meist handelt es sich dabei um renommierte Standardprodukte. Da wählen viele Hacker eher den Weg über Social Engineering Angriffe.

Wie können die Mitarbeitenden sensibilisiert werden?
Es ist wichtig, mittels Schulungen eine genügende Awareness bei den Mitarbeitern zu erreichen. Genauso wichtig, ist es natürlich, die exponierten Standardprodukte auf dem neusten Stand zu halten, um zu verhindern, dass öffentlich bekannte Schwachstellen ausgenutzt werden. Bei Unternehmen mit vielen exponierten und eigens entwickelten Services ist natürlich die Gefahr von bestehenden Zero Day Schwachstellen gegeben. Diese führen meist zu sogenannten Data Leaks oder Übernahme der Server / Infrastruktur mit Missbrauchs- oder Erpressungsabsichten, letzten Endes fast immer einhergehend mit einem Reputationsschaden.

An Wettbewerben wie Live Bug Bounty Hunting messen sich die jungen Talente der Szene. Sie selbst gingen an Ihrer ersten Live Challenge «GoHack23» in Zürich als Sieger hervor. Hand aufs Herz: wie leicht waren die Unternehmen an der Challenge zu hacken?
Die Maturität der Applikationen bei einem Programm war nach meiner Einschätzung eher gering. Bedeutet, da war es eher einfach, Sicherheitslücken zu finden. Neben Erfahrung spielt aber manchmal auch das Glück eine Rolle. Wenn man gleich zu Beginn am richtigen Ort schaut, dann hat man auch schneller Erfolge.

Rückblickend – wie wertvoll war Ihr Bachelorstudium in Informatik für Ihre aktuelle Karriere in der IT-Security?
Das Studium hat mir geholfen, den Einstieg in die Informatik und Softwareentwicklung zu finden. Ohne die Basiskenntnisse des Studiums hätte ich wohl auch nicht einen Job als Penetration Tester starten können.

Contentpartnerschaft mit FFHS

Dieser Blog ist eine Contentpartnerschaft mit der FFHS Fernfachhochschule Schweiz. Die Beiträge werden von der FFHS verfasst.

Die Fernfachhochschule Schweiz (FFHS) bietet mit dem flexiblen Studienmodell «Blended Learning» die Möglichkeit, berufsbegleitend und weitgehend zeit- und ortsunabhängig zu studieren. Im Bereich IT bietet die FFHS seit letztem Jahr einen eigenen Bachelor in Cyber Security an.

Es handelt sich nicht um bezahlten Inhalt.
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Xplain-Hack: Darknet-Leak betrifft Daten des Bundes
1 / 19
Xplain-Hack: Darknet-Leak betrifft Daten des Bundes
Selten hat eine Ransomware-Attacke hierzulande für so viel Aufsehen gesorgt: In der Bildstrecke erfährst du das Wichtigste zum Angriff auf die Schweizer Behörden-Software-Entwicklerin Xplain und wie die Betroffenen reagierten.
quelle: keystone / laurent gillieron
Auf Facebook teilenAuf X teilen
Hacker übernimmt die Kontrolle über selbstfahrendes Auto
Video: srf
Das könnte dich auch noch interessieren:
13 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
13
Wie sich die Schweizer Frauenliga zu einem attraktiven Produkt gemausert hat
Am Samstag, 16. März, beginnt der Playoff-Final in der PostFinance Women's League. Es ist der Höhepunkt einer Saison, die gezeigt hat, dass mit dieser Liga künftig zu rechnen ist.

Im Schweizer Frauen-Eishockey ist ein neues Zeitalter angebrochen – das hat diese bisherige Saison in der höchsten Liga gezeigt. Wir werfen einen Blick darauf, wie es geschafft wurde, die PostFinance Women's League in ein attraktives Produkt zu verwandeln.

Zur Story