SoSafe ist Strong Performer im „The Forrester Wave™: Human Risk Management Solutions, Q3 2024“ Mehr erfahren.

Im Podcast

Immanuel Bär über Ethical Hacking combine 2 + 4 „Cyber Security starts at home – safeguard yourself and your loved ones“

9. Januar 2025 · 4 Min

Mittlerweile ist eine Gesellschaft ohne eine Kompetenz wie Ethical Hacker für mich kaum noch denkbar, weil es auf der anderen Seite nichts gibt, was so erfolgreich ist wie Cybercrime.

Ethical Hacker müssen methodisch wie Hacker arbeiten, um die Gesellschaft zu schützen. Welche Relevanz diese große Aufgabe bei der Cyber Defence hat und welche vielseitigen Herausforderungen Ethical Hacker anvisieren, darüber spricht Dr. Niklas Hellemann mit Immanuel Bär. Der Co-Founder der ProSec GmbH gibt einerseits Einblicke in die Missstände in Industrien, insbesondere dem Gesundheitssektor, und erklärt, welche Auswirkungen Managementprobleme auf den Datenschutz haben können. Andererseits erfahren wir auch seine persönliche Motivation und bekommen Insights in seinen spannenden Arbeitsalltag als Ethical Hacker. Immanuel Bär erzählt unter anderem von der erfolgreichen Zerschlagung einer bekannten Hackergruppierung, von seinen filmreichen Erfahrungen mit Auftragshacks und von seinen Beobachtungen zu dem Aufbau einer nachhaltigen Sicherheitskultur in Unternehmen.

Background

Human
Firewall
Podcast

Jetzt hören

Episode 13: Erfahren Sie, wie Ethical Hacker arbeiten, welche Herausforderungen sie bewältigen und welche Rolle sie für den Schutz der Gesellschaft spielen.

Episode 13 im Überblick

Möchten Sie direkt zu den Abschnitten springen, die Sie am meisten interessieren? Hier finden Sie eine Übersicht der besprochenen Themen mit genauen Zeitmarken.

Episode 13 im Überblick mit Bildern von Dr. Niklas Hellemann und Immanuel Bär
Minute
Description

00:00:00 – 00:07:16

Angreifer-Techniken für das Gute einsetzen: Ethical Hacking und seine Relevanz

00:07:17 – 00:12:16

Warum Ethical Hacking? Immanuel Bär über seine persönliche Motivation

00:12:17 – 00:17:56

Hack the Hacker: Wie ProSec GmbH Kill Net hackte

00:17:57 – 00:26:05

Das Pizzaboten-Beispiel: Warum Ethical Hacker methodisch wie Hacker arbeiten müssen

00:26:06 – 00:33:08

Wie Managementprobleme im Gesundheitssektor den Datenschutz gefährden

00:33:09 – 00:41:50

Vom Awareness-Effekt zum Aufbau einer Sicherheitskultur in Unternehmen – am Beispiel der Verwaltung Rhein-Pfalz-Kreis

00:41:51 – 00:47:42

Hacking-Professionalisierung: Über das Pyramidenmodell, Multichannel-Angriffe und ihre Auswirkungen

00:47:43 – 00:52:01

Politisch motivierte Social Engineering-Angriffe nehmen zu – der „Dreamjob“-Fall und Co.

00:52:02 – 00:55:37

Welchen Schutz brauchen Ethical Hacker? Insights von Immanuel Bär

Background dots

Highlights & Key Learnings: Das Wichtigste auf einen Blick

Es gibt wohl kaum einen Ethical Hacker, der morgens aufsteht und dann wie bei Mister Robot mit Schein über dem Kopf oder wie bei CSI Miami mit Hoodie im Keller sitzt, weil er so eine Bestimmung hat. Oft sind es ganz emotionale, einfache, intrinsische Themen, durch die man zu diesem Themenbereich kommt.

  • Ethical Hacking: beschreibt Hacker, die sich an den Methoden von Cyberkriminellen orientieren, diese jedoch ethisch korrekt, ergo zum Schutz der Allgemeinheit anwenden.
  • Cybercrime als größte Schattenwirtschaft: Cybercrime wird in naher Zukunft mehr Geld erwirtschaften als Drogenmarkt und Prostitution zusammen. Das macht die Rolle von Ethical Hacking als Verteidigung umso relevanter.
  • Kein standardisierter Umgang: Finden Ethical Hacker etwas wie eine Messenger-Gruppe von Hackern, müssen sie individuell überlegen, wie sie zum Schutz der Gesellschaft weiter vorgehen. Im Fall von Kill Net wurde die Presse informiert, woraufhin sich die Gruppe auflöste.
  • Realismus ist entscheidend: Sehr viel Bürokratie und Theorie wirft Ethical Hacker zurück, weil sie im Härtefall ebenso schnell und praktisch arbeiten müssen wie die Angreifer.  
  • Komplexe Angriffstaktiken: Der wichtigste Aspekt ist, sich in seinen Gegner hineinversetzen zu können. In einem Test konnte ProSec GmbH unter anderem durch das Ausspionieren von Essgewohnheiten auf Social Media-Profilen erfolgreich in ein Unternehmen eindringen.
  • Physik, Mensch und Prozesse: Mangelnde Datensicherheit ist nicht nur ein technisches Problem. Werden persönliche Daten im Analogen sorglos entwertet, hängt dies mit menschlichem Versagen und schlechten Prozessen zusammen.
  • Gesundheitssektor: In medizinischen Institutionen sind Managementprobleme bezüglich Datensicherheit ein gravierendes Problem und führen zu Erpressbarkeit sowie schlimmstenfalls zu Reputationsverlust.
  • Sicherheitskultur: Der Begriff meint nicht die faktischen Sicherheits-Vorschriften in einem Unternehmen, sondern die gelebte Realität.
  • Awareness-Effekt: Psychologisch betrachtet müssen Menschen aktiv von Cyber- Bedrohungen betroffen sein, um dem Thema Sicherheit Aufmerksamkeit zu schenken. Experimente helfen, eine Sicherheitskultur zu etablieren.
  • Multichannel-Angriffe: Nicht nur neue Technologien selbst stellen eine Cybergefahr dar, auch die Kombinationsvarianten und Individualisierungsmöglichkeiten wachsen.
  • Neue Ziele: Cyberkriminelle versieren vermehrter kleinere Ziele mit Solvenz an. Betroffen sind häufig kleine Arztpraxen, Anwaltskanzleien oder Steuerberatungskanzleien.
  • Das Risiko ethischer Hacker: Durch ihre Arbeit werden sie oft zur Zielscheibe von Hackern. Die Frage nach Schutzmöglichkeiten ist bisher nicht umfangreich genug diskutiert.  

Im Idealfall agieren wir möglichst genau wie der Angreifer bis auf die letzte Phase eines Projekts. In der letzten Phase ist es beim Angreifer die Monetarisierung, bei uns ist es die Dokumentation.

Vertiefen Sie Ihr Wissen: Weiterführende Informationen

  • Captain Crunch: Alias John T. Draper zählt zu den berühmtesten Hackern der Welt. Mit einer Spielzeugpfeife, die er in seiner Müslipackung („Cap’n Crunch“) fand, manipulierte er in den 70er Jahren das weltweite Telefonnetz.
  • BSI-Lagebericht: In diesem Bericht gibt das Bundesamt für Sicherheit in der Informationstechnik jährlich einen umfassenden Überblick über die Bedrohungen im Cyberraum.
  • Südwestfalen-IT: Am 30.10.2023 wurde die Südwestfalen-IT Opfer eines Cyberangriffs. Die softwarebasierte VPN-Lösung war nur mit einem einfachen Passwort gesichert.
  • Rhein-Pfalz-Kreis: Auch hier passierte im Oktober 2022 ein Cyberangriff. Das geforderte Lösegeld wurde nicht bezahlt, jedoch kostete der Angriff die Behörde rund 1,7 Millionen Euro.
  • Der Apotheken-Hack: Auf Anfrage hackte das Team von ProSec einen regionalen Apotheken-Verbund mit einer Phishing-Kampagne. Drei Viertel der Angestellten fielen auf die Phishing-Mail herein.
  • „Dream Job“-Paper: Das Bundesamt für Verfassungsschutz veröffentlichte ein Paper, um auf Cyberspionagekampagnen von nordkoreanischen Akteuren aufmerksam zu machen.  
  • Rheinmetall: 2023 wurde auch Rheinmetall von Hackern angegriffen. Betroffen war das zivile Geschäft.
  • BSI-Podcast: In Folge 21 geben Immanuel Bär und Tim Schuhart tiefe Einblicke in ihren Berufsalltag.

Erfahren Sie mehr über den Aufbau einer Sicherheitskultur in Unternehmen

In einer Zeit, in der Hacker zunehmend intelligent und kontextbezogen arbeiten, wird die Rolle des Ethical Hackers unverzichtbar. Aus einer philosophischen Perspektive führt der Beruf merkbar die Schwierigkeit einer Trennung von gutem und schlechtem Hacking vor Augen, denn ein und dieselbe Methode kann im Ernstfall sowohl zum Angriff als auch zur Rettung von Menschenleben genutzt werden. In der Praxis entsteht ein spannendes ethisches Diskussionspotential, denn einerseits müssten Ethical Hacker genauso arbeiten wie angreifende Hacker, um auf demselben Level zu bleiben. Andererseits gilt es für sie aber Gesetze und Vorschriften einzuhalten und bürokratische Hindernisse zu überwinden.

Die von Immanuel Bär erzählten Beispiele zeigen einmal mehr, dass es bei einem professionellen Cyberangriff selten nur um technische Komponente geht. Vielmehr ist es ein Zusammenspiel aus digitalen und analogen Social Engineering-Strategien, mit denen Cyberkriminelle verschiedene Sinne und Emotionen ansprechen und so in Unternehmen eindringen. Dies zeigt in aller Deutlichkeit die Notwendigkeit, den Schutz von sensiblen Informationen sowohl digital als auch analog abzusichern und Mitarbeitende auf allen Ebenen zu schulen und so gegen Angriffe zu wappnen. Welche Herausforderungen Unternehmen dabei mitbedenken müssen mit welchen Strategien und Methoden sie eine nachhaltige Sicherheitskultur aufbauen können, erfahren Sie im Human Risk Review 2024.

Background

Human Risk Review 2024

Report lesen

Exklusive Phishing-Daten, Expertenmeinungen und Strategien, mit denen Sie sicher durch die Cyber-Bedrohungslage kommen.

Bleiben Sie Cyberkriminellen immer einen Schritt voraus

Melden Sie sich für unseren Newsletter an, um die neuesten Beiträge zum Thema Informationssicherheit sowie News zu Events und Security-Ressourcen zu erhalten.
Immer up-to-date – immer sicher!

Newsletter visual

Demo anfragen

Erfahren Sie, wie unsere Plattform Ihrem Team dabei hilft, Cybergefahren kontinuierlich abzuwehren und Ihre Organisation abzusichern. Vereinbaren Sie jetzt eine Produktdemo und wir melden uns zeitnah bei Ihnen.

G2 Europe Leader Winter 2025 G2 Leader Winter 2025 G2 Momentum Leader Winter 2025 The Forrester Wave™ Strong Performer 2024: Human Risk Management Solutions

Erleben Sie unsere Produkte aus erster Hand

Nutzen Sie unsere Online-Testumgebung, um herauszufinden, wie unsere Plattform Ihr Team bei der kontinuierlichen Abwehr von Cyber-Bedrohungen unterstützen und die Sicherheit Ihres Unternehmens gewährleisten kann.

G2 Europe Leader Winter 2025 G2 Leader Winter 2025 G2 Momentum Leader Winter 2025 The Forrester Wave™ Strong Performer 2024: Human Risk Management Solutions