Wie ein ethischer Hacker arbeitet: „Vergewaltigung mit Erlaubnis“, Penetrationstests, Nordkorea und Wahlen auf Facebook

Das Wort Hacker ruft bei vielen immer noch das Bild eines Teenagers mit Kapuzenpulli hervor, der irgendwo im Keller Passwörter knackt. Die Realität ist heute viel spannender – und vor allem professioneller. Dieser Artikel, inspiriert von einem Podcast‑Gespräch mit einem ethischen Hacker, beleuchtet:

• wie die Arbeit eines ethischen Hackers in der Praxis aussieht,
• was der Ausdruck „Vergewaltigung mit Erlaubnis“ bedeutet,
• wie die Sicherheit von Banken, Unternehmen und Cloud‑Lösungen getestet wird,
• warum Nordkorea Kryptowährungen stiehlt und was Cambridge Analytica damit zu tun hat,
• und vor allem: wie man sich unbewusst hacken lässt – auch als Profi.

Was ein ethischer Hacker wirklich macht

Ein ethischer Hacker macht vieles, was auch ein „klassischer“ Angreifer tun würde – er versucht dorthin zu gelangen, wo ein normaler Benutzer nichts zu suchen hat. Der entscheidende Unterschied: Er tut es mit schriftlicher Erlaubnis des Kunden und klar definierten Spielregeln.

Ein typischer Tag kann so aussehen: Test einer neuen Web‑Anwendung, eines internen Bank‑Netzes oder einer Cloud‑Umgebung in einem Konzern. Ziel ist es, Schwachstellen und Lücken zu finden, bevor es jemand mit weniger edlen Absichten tut.

Wenn Sie sehen möchten, wie so ein Projekt in der Praxis abläuft, schauen Sie sich Penetrationstests von Haxoris an.

„Vergewaltigung mit Erlaubnis“ in der IT‑Sicherheit

Im Podcast fällt ein Satz, den man nicht so schnell vergisst: „Vergewaltigung mit Erlaubnis“. Natürlich ist das eine provokante Metapher – aber sie beschreibt das Prinzip des Ethical Hacking recht treffend.

Ohne Zustimmung wären das Eindringen in Systeme, das Umgehen von Schutzmechanismen oder das Erlangen von Zugängen glasklar strafbar. Mit schriftlicher Einwilligung des Kunden wird daraus eine Dienstleistung: Das Unternehmen sagt im Grunde:

„Lieber weist uns ein ethischer Hacker heute auf ein Loch in unserer Sicherheit hin,
als dass es in drei Monaten jemand Anonymer für Lösegeld ausnutzt.“

Ein Penetrationstest ist also ein kontrollierter Regelbruch mit anschließendem Bericht und konkreten Handlungsempfehlungen.

Wie die Sicherheit von Banken, Unternehmen und Clouds getestet wird

Penetrationstests (Pentests) sind die Crash‑Tests der IT‑Sicherheit. Rund die Hälfte der Projekte sind Web‑Anwendungen – Online‑Banking, Kundenportale, SaaS‑Plattformen oder interne Systeme.

Haxoris spezialisiert sich auf umfassende Penetrationstests – von Web‑Applikationen über Infrastruktur bis hin zu IoT und AI/LLM‑Integrationen.

Typen von Penetrationstests

Black‑Box‑Tests simulieren einen externen Angreifer:

• Der Hacker weiß fast nichts über das System,
• hat keine Zugangsdaten und keine Dokumentation,
• sieht nur, was öffentlich im Internet erreichbar ist.

In der Praxis ist jedoch häufig der Grey‑Box‑Ansatz sinnvoller – der Kunde stellt eine Test‑Instanz, Accounts mit verschiedenen Rollen und einen groben Systemüberblick bereit. So lässt sich nicht nur die Authentifizierung, sondern vor allem die Autorisierung prüfen:

• sieht ein Nutzer Daten, die er gar nicht sehen dürfte?
• kann ein Standard‑User Aktionen ausführen, die nur Admins vorbehalten sind?
• lässt sich die Rechteprüfung über API‑Calls oder URLs umgehen?

Was konkret geprüft wird

Typische Prüfbereiche in Banken, Fintechs und Konzernen:

• Web‑Anwendungen & APIs – Klassiker wie SQL‑Injection, XSS, schwache Sessions, fehlerhafte Zugriffsprüfung, Logikfehler.
• Interne Infrastruktur – Windows‑Domäne, VPN, Server, Workstations; Ziel ist zu prüfen, ob ein Angreifer sich von einem kompromittierten System bis „ganz nach oben“ arbeiten kann.
• Cloud‑Umgebungen (AWS, Azure, GCP) – hier kommt Cloud‑Penetration‑Testing ins Spiel: Überprüfung von IAM‑Rollen, Firewall‑Regeln, offenen Diensten, Speichern und Netzsegmentierung.
• WLAN und Netze – schwache Passwörter, schlechte Segmentierung, veraltete Firmware, Rogue‑APs und mehr.

Wenn sich dieselben Fehler jedes Jahr wiederholen

Im Gespräch fiel eine ernüchternde Beobachtung: Manche Unternehmen beauftragen jedes Jahr einen Pentest – und jedes Jahr finden sich dieselben Schwachstellen.

Grund? Für einen Teil der Organisationen ist der Penetrationstest primär ein „Checkbox im Audit‑Report“. Ohne echten Willen zur Behebung der Findings bleibt der Test eine Formalität.

Nordkorea, APT‑Gruppen und Kryptowährungen

Im Cyberraum agieren längst nicht mehr nur Einzelpersonen. Es gibt sogenannte APT‑Gruppen (Advanced Persistent Threat) – Hacker‑Teams, die von Staaten finanziert oder direkt gesteuert werden.

Häufig genannte Akteure sind zum Beispiel:

• Nordkorea,
• Russland,
• China,
• mitunter auch Iran und andere Staaten.

Aus dem Gespräch blieb ein Satz hängen: Nordkorea ist eine „armes Land mit sehr reichen Hackern“. Das Regime spezialisiert sich auf den Diebstahl von Kryptowährungen – von Börsen, DeFi‑Projekten oder schlecht abgesicherten Diensten.

Krypto ist für solche Angriffe ideal: leicht übertragbar, relativ anonym und hilfreich beim Umgehen von Sanktionen. Einige der größten Krypto‑Angriffe der letzten Jahre werden genau diesen Gruppen zugeschrieben.

Wenn Sie sehen möchten, wie ein komplexer Angriff in sicherem Rahmen simuliert wird, lohnt sich ein Blick auf Red‑Teaming von Haxoris – ein „Übungsangriff“, der zeigt, was eine echte APT‑Gruppe in Ihrer Umgebung erreichen könnte.

Cambridge Analytica und Wahlen auf Facebook

Hacken bedeutet nicht nur Server oder Passwörter anzugreifen. Noch gefährlicher ist es, die menschliche Psyche zu hacken.

Der Fall Cambridge Analytica machte deutlich, wie sich Facebook‑Daten nutzen lassen, um:

• Wählerprofile nach Emotionen, Ängsten und Frustrationen zu clustern,
• hochzielgenaue Kampagnen zu fahren, die genau diese Knöpfe drücken,
• die öffentliche Meinung zugunsten bestimmter Kandidaten oder Parteien zu verschieben.

Laut Berichten wurden solche Modelle nicht nur in den USA und UK eingesetzt, sondern in Dutzenden weiterer Länder – oft in „Bananenrepubliken“, in denen sich eine Partei den Wahlsieg praktisch über Facebook gekauft hat.

Technisch wurde kein Server gehackt. Gehackt wurden Milliarden Newsfeeds – und Millionen Köpfe.

Wie Sie sich unbewusst hacken lassen – auch als Profi

Sie können Mac, Windows oder Linux nutzen, Antivirus, Firewall und VPN haben – und trotzdem hereinfallen. Es reicht ein schlechter Moment, Stress, ein Anruf zur falschen Zeit oder eine unbedacht weggeklickte SMS.

Phishing in der Praxis

Im Podcast wird eine Geschichte erzählt, die auch für Profis ein gutes Warnsignal ist. Ein ethischer Hacker erhält eine SMS zur Domain‑Verlängerung:

• richtige Domain,
• richtiges Ablaufdatum,
• richtiger Name des Registrars.

Der Grund: Der Provider hatte in der Vergangenheit einen Datenleck. Angreifer hatten echte Daten – sie mussten sie nur in eine glaubwürdige SMS verpacken. Der Hacker war gestresst, in Eile und stand kurz davor zu klicken… Erst beim Bezahlvorgang kamen Zweifel auf – und er brach ab.

Das ist moderner Phishing: präzise, personalisiert, gut getimed. Wenn Sie wissen möchten, wie sich Phishing und Smishing sicher an Mitarbeitenden simulieren lässt, schauen Sie auf Social‑Engineering‑Services von Haxoris.

Social Engineering: Angriff auf Menschen, nicht auf Firewalls

Ein Angreifer muss nicht immer eine Schwachstelle im Code suchen. Oft reicht eine Schwachstelle in der Psyche – Angst, Routine, Vertrauensseligkeit, Autorität oder Druck.

Typische Social‑Engineering‑Szenarien:

• ein angeblicher Anruf „von der Bank“ mit dringender Bitte,
• SMS vom „Paketdienst“ mit Zahlungslink,
• E‑Mail angeblich vom Finanzamt oder der Polizei,
• dubiose Investment‑Tipps über Social Media.

Social Engineering gehört zu den erfolgreichsten Angriffstechniken – deshalb ist es fester Bestandteil Red‑Teaming‑Projekte und Phishing‑Kampagnen.

Praktische Tipps zur Verteidigung

• Reagieren Sie nicht im Stress. Wer behauptet, etwas müsse „innerhalb von 10 Minuten“ passieren, ist automatisch verdächtig.
• Klicken Sie nicht auf Links in SMS und E‑Mails von „Bank“ oder „Behörde“. Tippen Sie die Adresse lieber manuell ein oder nutzen Sie die offizielle App.
• Verifizieren Sie Kontakte über einen zweiten Kanal. Wenn „die Bank“ anruft, legen Sie auf und wählen Sie die offizielle Nummer von der Website.
• Aktivieren Sie 2FA. Multi‑Faktor‑Authentifizierung gehört zu den einfachsten, aber effektivsten Schutzmaßnahmen.
• Halten Sie Systeme aktuell. Updates sind keine Nervensäge – sie schließen bekannte Lücken, nach denen Angreifer gezielt suchen.
• Schulen Sie Ihre Mitarbeitenden. Der Mensch ist das schwächste Glied – Awareness‑Trainings und Phishing‑Simulationen reduzieren das Risiko erheblich.

Was Sie aus dem Podcast für sich und Ihr Unternehmen mitnehmen sollten

Zum Schluss einige Kernbotschaften aus dem Gespräch:

• Der ethische Hacker ist ein Partner, kein Gegner. Er tut, was ein echter Angreifer tun würde – aber frühzeitig, kontrolliert und mit Bericht.
• Ein Penetrationstest lohnt sich nur, wenn Sie danach handeln. Sonst bleibt er ein PDF im Ordner.
• Die größte Schwachstelle ist nicht die Technik, sondern der Mensch. Prozesse, Kultur und Schulungen sind genauso wichtig wie Firewalls.
• Staaten und Unternehmen wissen längst: Daten = Macht. Von nordkoreanischen Krypto‑Angriffen bis Cambridge Analytica zeigt sich: Der Cyberspace ist ein echtes Schlachtfeld.
• Auch Profis können hereinfallen. Der Unterschied ist, ob man daraus lernt – und Strukturen so anpasst, dass Fehler nicht zur Gewohnheit werden.

Und ein Satz, der in jedem Serverraum hängen könnte:

Sicherheit ist kein Zustand, sondern ein Prozess.
Es gibt kein „fertig, wir sind sicher“. Es gibt nur: „Heute sind wir etwas weniger verwundbar als gestern“.