Cyber-Angriffe auf Unternehmen wie Facebook, Microsoft und Twitter, Attacken via Internet auf Urananreicherungsanlagen im Iran oder wie vor Kurzem auch auf Unternehmen wie EADS und ThyssenKrupp: Immer wieder machen Hacker mit Angriffen auf staatliche Einrichtungen und Konzerne Schlagzeilen. Daten werden ausspioniert und missbraucht, im schlimmsten Falle komplette Anlagen durch Schadsoftware lahmgelegt. Hacker  genießen keinen guten Ruf – sind die alle kriminell?

Nein, sagt Sebastian Spooren. Er ist hauptberuflicher Computerhacker, aber würde sich eher als IT-Sicherheitsexperte bezeichnen. Der Diplom-Informatiker ist am Institut für Internet-Sicherheit an der Westfälischen Hochschule in Gelsenkirchen tätig. "Wir prüfen im Auftrag von Unternehmen und Behörden die Sicherheit von Netzwerken, Datenbanken und Websites und entlarven Schwachstellen", sagt Spooren.

Bei sogenannten Web-Penetrationstests geht es um das Erkennen und Analysieren von Schwachstellen in Webanwendungen. Der Hacker zeigt dem Kunden Schwachstellen in seinem System auf und gibt ihm Hinweise, was sich dagegen tun lässt. Spooren führt je nach Motivation und Budget des Auftraggebers zunächst sogenannte Black- oder White-Box-Tests durch.

Beim Black-Box-Test erhalten die IT-Sicherheitsexperten keinerlei Informationen über das zu untersuchende System und müssen Daten und Infos zunächst sammeln und analysieren. Dies geschieht über spezielle Tools, aber auch die eigene Webseite, soziale Netzwerke oder Suchmaschinen.

Arbeiten wie ein krimineller Hacker

"Ein Black-Box-Test ist aufwendig und kostet Zeit und Geld. Es ist allerdings die realistischste Herangehensweise zur Überprüfung eines Systems. So würden Kriminelle auch vorgehen", sagt Spooren.

Nicht ganz so umfangreich ist der White-Box-Test. Hier liegen Hintergrundinfos vom Auftraggeber vor, damit sich die IT-Sicherheitsexperten auf das Wesentliche konzentrieren können. So spart der Auftraggeber Geld.

Um an Informationen über ein System zu kommen, analysiert Spooren beispielsweise die sogenannte Patch-Level der verwendeten Dienste. Welche Version des Web-Servers wird genutzt? Um welche Version der Datenbank handelt es sich? Ist beides nicht auf dem neuesten Stand, können Kriminelle oftmals Schwachstellen ausnutzen, um in eine Web-Anwendung einzudringen oder diese lahmzulegen.

"Ich arbeite im Prinzip wie ein krimineller Hacker. Auch ich dringe in ein System ein, allerdings nur nach Absprache mit dem Auftraggeber", sagt Spooren.

Sind Schwachstellen im System aufgedeckt, geht es um das Schließen der Sicherheitslücken. Hier sind meist umfangreiche Programmierkenntnisse gefragt.