Berufsgruppe:
Informatik / IT / Kommunikationstechnik
Arbeitsfeld: Auf dem Daten Highway: Computer, Multimedia und IT

Ethical Hacker (m./w./d.)

Andere Bezeichnung(en):
Pentester*in, Penetration Tester*in, White-Hat-Hacker (m./w./d.), IT-Security Analyst*in, IT-Security Engineer (m./w./d.)

Berufsbeschreibung

Ethical Hacker (m./w./d.) sind Expert*innen für Computersicherheit. Sie werden beauftragt in IT-Systeme, Anwendungen und  Netzwerke einzubrechen, um deren Schwachstellen zu finden. Sie verwenden zwar dieselben Techniken wie "böse" Hacker, ihr Ziel ist aber die Verbesserung der IT-Sicherheit.

Grundsätzlich sind Ethical Hacker (m./w./d.) in ihrer Arbeit ortsunabhängig und können überall arbeiten. Alles, was sie brauchen, ist ein Computer/Laptop. Häufig kommen sie aber direkt vor Ort im Unternehmen zum Einsatz und arbeiten dort mit Fachkräften der IT und mit dem Management zusammen.

Ethical Hacker (m./w./d.) sind Expert*innen für Computersicherheit und versuchen Sicherheitslücken in digitalen Systemen, IT-Anwendungen und Netzwerken zu finden. Dazu führen sie Angriffe auf IT-Systeme durch und versuchen z. B. sensible Daten zu stehlen – genau so, wie das Cyberkriminelle tun. Sie simulieren also Hackerangriffe, beispielsweise mithilfe von Penetrationstests oder Quellcode-Analysen. Allerdings haben sie im Gegensatz zu bösartigen Hackern das Ziel, Sicherheitslücken zu finden, die aufgedeckten Sicherheitsmängel zu beheben und IT-Systeme vor künftigen Cyberangriffen zu schützen. Mit ihren Hacks stellen sie also Sicherheitskonzepte auf die Probe und Organisationen nutzen die Ergebnisse um den Cyberkriminellen zuvorzukommen.

Der wesentliche Unterschied zwischen "normalen" und Ethical Hackern (m./w./d.) sind also das ethische Fundament (siehe  Ethik) sowie die Rahmenbedingungen eines Hacks. Ethical Hacker (m./w./d.) möchten digitale Systeme und vertrauliche Daten vor Angriffen schützen und zu mehr IT-Sicherheit beitragen. Sie werden dazu vom „Opfer“ des Angriffs beauftragt. Herkömmliche Hacker hingegen stehlen Daten, beispielsweise um Geld zu erpressen.
Damit einher geht, dass Ethical Hacker (m./w./d.) vertraulich mit sensiblen Daten oder Betriebsgeheimnissen umgehen und die Privatsphäre von Individuen und Organisationen respektieren. Außerdem dokumentieren sie die Ergebnisse ihrer Hacks transparent und ausführlich und kommunizieren sie lückenlos an ihre Auftraggeber*innen.

Zu den Routineaufgaben von Ethical Hackern (m./w./d.) gehören z. B. die Überprüfung der Sicherheit von Bezahldaten (Kreditkartendaten), Logins und Passwörtern. Unternehmen setzen Ethical Hacker (m./w./d.) aber auch ein, wenn sie neue Systeme oder große Updates liveschalten. Ethical Hackern (m./w./d.) setzen in der Regel zunächst frei verfügbare  Software ein und arbeiten in einem zweiten Schritt mit selbstentwickelten Lösungen.

Ethical Hacker (m./w./d.) arbeiten mit Computern/Laptops, Datenbanken, Servern, Netzwerken und spezifischen IT-Anwendungen.
Sie verwenden unterschiedliche Betriebssysteme (z. B. Windows, OSx, Linux, Android und iOS) und Programmiersprachen (z. B.  HTML, CSS, JavaScript,  JAVA, Python,  SQL, C#). Außerdem nutzen sie dieselben Software-Tools wie bösartige Hacker (z. B. Fuzzing-Tools, Web Proxies, Debugger, Network Vulnerability  Scanner) und erstellen eigene Hacking-Tools.
Sie greifen auf Handbücher, Fachbücher, Betriebsanleitungen und andere technische Unterlagen zurück. Zudem führen sie Dokumentationen und Protokolle.

Ethical Hacker (m./w./d.) können mit einem Computer/Laptop grundsätzlich von überall aus arbeiten, häufig sind sie aber direkt in den Unternehmen tätig, von denen sie beauftragt werden. Dort arbeiten sie mit den Mitarbeiter*innen und Manager*innen der verschiedenen betrieblichen Abteilungen sowie verschiedenen IT-Fachkräften zusammen (z. B. Informatiker*innen, IT-Consultant (m./w./d.), Softwareprogrammierer*innen, IT-Security Manager*innen, Database Professional (m./w./d.), Cloud Engineer (m./w./d.), Netzwerkadministrator*innen).

Ethical Hacker (m./w./d.) arbeiten hauptsächlich an Bildschirmarbeitsplätzen. Ihre Tätigkeit ist überwiegend in Projekten organisiert. In Spitzenzeiten, etwa vor Projektabschluss oder vor Präsentationsterminen, fallen häufig Mehrarbeit und Überstunden an. Durch die Arbeit für und bei verschiedenen Unternehmen haben Ethical Hacker (m./w./d.) wechselnde Arbeitsorte und müssen daher mobil sein, zum Teil auch international.

  • Kund*innen bzw. Auftraggeber*innen beraten und informieren
  • System, Netzwerk, Anwendung sichten, Testverfahren und notwendige Werkzeuge auswählen
  • Projekt-, Zeit- und Ressourcenplan erstellen und mit Auftraggeber*innen abstimmen
  • Erwartungen zur Funktionsweisen und Anforderungen an die Applikationen mit den Kund*innen abstimmen
  • digitale Systeme, IT-Anwendungen und  Netzwerke hacken
  • Sicherheitslücken und Programmierfehler finden
  • IT-Systeme von Kund*innen analysieren und bewerten
  • Sicherheitsrisiken einschätzen
  • Sicherheitskonzepte entwickeln
  • Lösungsmodelle und -strategien entwickeln
  • Sicherheitslücken beheben
  • IT-Schwachstellen dokumentieren
  • Dokumentationen, Handbücher, Betriebsbücher, technische Unterlagen, Kund*innenkarteien führen
  • Prozessschritte mit Berufskolleg*innen und fallweise mit weiteren Spezialist*innen abstimmen

Als Expert*innen für Computersicherheit sind Ethical Hacker (m./w./d.) für Organisationen, Regierungen und Unternehmen jeder Art tätig. Banken und Versicherungen sowie Behörden beispielsweise gehören zu begehrten Angriffszielen von Cyberattacken und nehmen daher häufig die Services von Ethical Hackern (m./w./d.) in Anspruch. Ethical Hacker (m./w./d.) können dabei als Selbstständige tätig sein, in einer Agentur arbeiten oder direkt bei einem Unternehmen angestellt sein.

Selbstständige Ethical Hacker (m./w./d.) werden häufig im Zuge sogenannter Bug-Bounty-Programme tätig (sinngemäß "Kopfgeld-Programme"). Dabei geben Konzerne die Bedingungen für Cyberangriffe und Fehlersuchen vor und stellen erfolgreichen Hackern teils beachtliche Geldprämien für gefundene Sicherheitsprobleme in Aussicht. Die Abwicklung erfolgt dabei häufig über international anerkannte Vermittlungsplattformen wie HackerOne.

Der Beruf Ethical Hacker (m./w./d.) ermöglicht mit entsprechender Berufserfahrung und Weiterbildung beispielsweise die Spezialisierung auf einen Teilbereich, z. B. auf Web-Sicherheit, Netzwerksicherheit oder mobile Sicherheit.
Eine andere Möglichkeit ist die Spezialisierung auf eine bestimmte Strategie oder Technik, z. B.:

  • Beim Social-Engineering werden Mitarbeiter*innen dazu ermutigt, sensible Unternehmensdaten oder Anmeldedaten preiszugeben. Auch das Hacken von Passwörtern in sozialen Netzwerken zählt dazu.
  • Beim Phishing werden E-Mails mit schadhaftem Anhang versendet, der beim Öffnen automatisch eine Software installiert.
  • Bei sogenannten (D)DoS-Attacken werden Systeme mit übertrieben vielen Anfragen überlastet.

Hier finden Sie ein paar Begriffe, die Ihnen in diesem Beruf und in der Ausbildung immer wieder begegnen werden:

 App – Applikation Betriebssystem Big Data Breitbandtechnologie Bug Cloud Computing Computer-Viren Computernetzwerk Data Mining Datenbank Ethik HTML JAVA Netzwerke Netzwerkprotokoll Software SQL