Was ist ein ethischer Hacker? Ein Leitfaden für IT-Spezialisten

Viele Menschen denken, ein ethischer Hacker sei einfach ein Krimineller, der die Seite gewechselt hat. Das ist einer der irreführendsten Mythen in der IT-Branche. Was ist ein ethischer Hacker wirklich? Ein Profi, der fortgeschrittene technische Fähigkeiten mit rechtlicher und geschäftlicher Verantwortung verbindet und ausschließlich im Auftrag und mit formaler Zustimmung handelt. In diesem Artikel erklären wir die Definition eines ethischen Hackers von Grund auf, behandeln rechtliche Aspekte, die technische Realität dieser Arbeit im Jahr 2026 sowie das, was einen guten Pentester wirklich von einem Amateur unterscheidet.

Inhaltsverzeichnis

• Was ist ein ethischer Hacker und welche Rolle spielt er in der Cybersicherheit

• Prozess und Standards der Arbeit eines ethischen Hackers nach NIST-Richtlinien und Marktpraxis

• Rechtliche und ethische Aspekte der Tätigkeit eines ethischen Hackers in Polen

• Technische Herausforderungen und Spezialisierungen des ethischen Hackers in der Ära neuer Cyber-Bedrohungen

• Die Rolle des ethischen Hackers in der modernen Cybersicherheit – mehr als nur ein Einbrecher

• Werkzeuge und Ausrüstung für den ethischen Hacker erhältlich bei Sapsan Sklep

• Häufig gestellte Fragen

Wichtige Erkenntnisse

Was ist ein ethischer Hacker und welche Rolle spielt er in der Cybersicherheit

Ein ethischer Hacker, auch Pentester (vom englischen penetration tester) genannt, ist ein Spezialist für IT-Sicherheit, dessen Aufgabe es ist, Angriffe auf Informationssysteme unter kontrollierten Bedingungen zu simulieren. Wie die branchenübliche Definition es präzise formuliert: der Pentester simuliert Angriffe auf Systeme mit Zustimmung des Kunden, um Schwachstellen zu finden. Die Schlüsselwörter sind eben „mit Zustimmung“ und „um Schwachstellen zu finden“ — das unterscheidet die gesamte Tätigkeit von Cyberkriminalität.

Die Brancheneinteilung der Hacker basiert auf der „Hut“-Klassifikation:

• White hat (weißer Hut) — ein ethischer Hacker, der legal und mit voller Autorisierung handelt. Ziel: Schutz von Systemen und Daten.

• Black hat (schwarzer Hut) — ein Hacker, der ohne Zustimmung handelt, meist zur Erzielung von Profit oder zur Schadensverursachung. Die Tätigkeit ist illegal.

• Grey hat (grauer Hut) — ein Spezialist, der ohne Zustimmung handelt, aber mit der Absicht, das Opfer über Schwachstellen zu informieren, statt sie auszunutzen. Rechtlich uneindeutig und in der Praxis riskant.

Wie unterscheidet sich ein ethischer Hacker von einem Cracker? Cracker ist ein technischer Begriff für eine Person, die Software- oder Systemschutz ohne Autorisierung bricht, oft zur Datendiebstahl oder Softwarepiraterie. Ein ethischer Hacker führt technisch ähnliche Aktionen aus, jedoch im Rechtsrahmen und mit dokumentierter Zustimmung. Die Unterschiede zwischen einem ethischen Hacker und einem Black Hat lassen sich auf ein Wort reduzieren: Legalisierung — ein formales Dokument, das den Umfang und Zweck der Tests bestätigt. Wie das Gesetz betont: ein ethischer Hacker handelt im Einklang mit dem Recht und verfügt über formale Genehmigungen für Tests.

Der Tätigkeitsbereich eines ethischen Hackers ist breit. Er umfasst Tests von Webanwendungen, Netzwerkinfrastruktur, Cloud-Systemen, IoT-Geräten sowie das sogenannte Social Engineering, also das Testen der Widerstandsfähigkeit von Mitarbeitern gegenüber Manipulation. Mehr über die verwendeten Ansätze finden Sie in der Beschreibung der Methodiken des Ethical Hackings, wo die wichtigsten Frameworks und Methoden der Branche beschrieben sind.

Prozess und Standards der Arbeit eines ethischen Hackers nach NIST-Richtlinien und Marktpraxis

Die Arbeit eines ethischen Hackers sieht nicht wie ein spontaner Angriff aus. Sie ist ein strukturierter, mehrstufiger Prozess, der detailliert geplant und dokumentiert sein muss. Wie Best Practices festlegen, muss der Ethical-Hacking-Prozess strukturiert und gemäß den Richtlinien NIST SP 800-115 dokumentiert sein.

Der standardmäßige Ethical-Hacking-Prozess verläuft in folgenden Phasen:

1. Planung (Planning) — Festlegung von Zielen, Umfang, von Tests erfassten Assets, Zeitplan und Erfolgskriterien. In dieser Phase werden die Rules of Engagement (RoE) unterschrieben, ein Dokument, das festlegt, was während des Tests erlaubt und was nicht erlaubt ist.

2. Erkundung (Discovery) — Sammeln von Informationen über das Ziel und Identifizieren von Schwachstellen. Die Phase verbindet Aufklärung (passiv oder aktiv: IP-Adressen, offene Ports, Technologien, öffentliche Daten über die Organisation) mit dem Schwachstellenscan mit Tools wie Nmap, Nessus oder Burp Suite.

3. Angriff (Attack) — kontrollierte Ausnutzung der entdeckten Schwachstellen zur Bestätigung ihrer tatsächlichen Auswirkung auf die Sicherheit, Eskalation von Berechtigungen und Bewertung des Risikos des Zugriffs auf sensible Daten. Diese Etappe erfordert besondere Vorsicht, um den Betrieb von Produktionssystemen nicht zu stören.

4. Berichterstattung (Reporting) — Dokumentation aller entdeckten Schwachstellen, Klassifizierung nach Kritikalität (z. B. CVSS), Empfehlungen zur Behebung und Risikozusammenfassung für die Geschäftsführung.

Rules of Engagement ist ein Dokument, das von Personen, die in die Branche einsteigen, unterschätzt wird. Es präzisiert nicht nur den IP-Bereich und die vom Test erfassten Systeme, sondern auch die Testzeiten, Notfallverfahren im Falle eines unbeabsichtigten Dienstausfalls und die Ansprechpartner auf der Kundenseite. Das Fehlen von RoE ist ein direkter Weg zu rechtlichen Missverständnissen.

Tipp eines Profis: Holen Sie immer die schriftliche Genehmigung eines Entscheidungsträgers auf der Kundenseite ein, also vom Vorstand oder Eigentümer des Unternehmens, nicht nur von der IT-Abteilung. Die IT-Abteilung kann einen Test ohne Kenntnis des Vorstands beauftragen, was den Tester im Falle eines Vorfalls schwerwiegenden rechtlichen Konsequenzen aussetzt. Die Unterschrift einer Person, die nicht berechtigt ist, über das System zu verfügen, schützt Sie rechtlich nicht.

Die Dokumentation ist keine Formalität. Sie ist das Fundament, das sowohl den Tester als auch den Kunden schützt. Jede unternommene Handlung sollte mit einem genauen Zeitstempel protokolliert werden. Im Falle von Gerichtsstreitigkeiten oder Datenpannen während des Tests werden die Protokolle zum Beweis für gutgläubiges und auftragskonformes Handeln.

Rechtliche und ethische Aspekte der Tätigkeit eines ethischen Hackers in Polen

Der ethische Hacker operiert in einem rechtlich streng regulierten Raum. Die Kenntnis dieser Vorschriften ist eine berufliche Anforderung, keine Option.

Wichtige rechtliche und ethische Grundsätze in der Arbeit eines ethischen Hackers:

• Die schriftliche Zustimmung ist absolut erforderlich. Die Zustimmung muss von einer Person stammen, die rechtlich berechtigt ist, über das System zu verfügen (Eigentümer, Vorstand, CEO), nicht vom Systemadministrator.

• Der Testumfang muss präzise definiert sein. Der Tester darf nicht „über den Umfang hinausgehen“, selbst wenn er eine Schwachstelle außerhalb des definierten Bereichs ohne neue schriftliche Zustimmung entdeckt.

• Verpflichtung zur Vertraulichkeit. Informationen über entdeckte Schwachstellen dürfen nicht an Dritte weitergegeben werden. Eine NDA-Klausel (Non-Disclosure Agreement) ist Standard in jedem Pentest-Vertrag.

• Achtung der Datenprivatsphäre. Ein ethischer Hacker darf personenbezogene Daten, die während des Tests angetroffen werden, weder verwenden noch speichern.

• Tests von Cloud-Umgebungen erfordern die Zustimmung des Cloud-Anbieters. AWS, Azure und Google Cloud haben eigene Richtlinien für Penetrationstests und verlangen eine separate Meldung oder Zustimmung.

„Das Fehlen einer formalen Zustimmung setzt den Tester der strafrechtlichen Haftung aus. Sowohl das polnische Recht (Art. 267 des Strafgesetzbuchs) als auch die US-Bundesvorschriften (18 U.S.C. § 1030) ahnden den unbefugten Zugriff auf Computersysteme unabhängig von der Absicht des Täters.“

Ethische Hacker in Polen handeln auf Grundlage des polnischen Strafrechts, konkret Art. 267 des Strafgesetzbuchs, der den unbefugten Zugriff auf Informationssysteme ahndet. Der Unterschied zwischen White Hat und Grey Hat wird präzise gezogen: Die Grenze zwischen einem ethischen Hacker und einem Grey Hat hängt ausschließlich von der formalen Zustimmung des Systemeigentümers ab.

Es lohnt sich auch, auf die Spezifika von Tests lokaler Infrastruktur im Vergleich zur Cloud zu achten. Tests lokaler Server erfordern nur die Zustimmung des Firmeneigentümers. Cloud-Umgebungen erfordern zusätzlich die Zustimmung des Diensteanbieters. Viele Tester übergehen diesen Aspekt und verstoßen unwissentlich gegen die Nutzungsbedingungen von Cloud-Diensten, was nicht nur zu rechtlichen Sanktionen, sondern auch zur sofortigen Sperrung des Cloud-Kontos führen kann. Die Details zu den rechtlichen Grenzen beschreibt der Abschnitt über die Rechtmäßigkeit von Penetrationstests in der beruflichen Praxis.

Technische Herausforderungen und Spezialisierungen des ethischen Hackers in der Ära neuer Cyber-Bedrohungen

Das Jahr 2026 bringt dem ethischen Hacker neue Klassen von Bedrohungen, von denen einige vor fünf Jahren noch marginal waren. Priorität haben die Sicherheit von APIs und die serverseitige Logik bekommen.

Broken Object Level Authorization, also BOLA, ist ein Angriff, der auf der Manipulation von Objektidentifikatoren in API-Anfragen beruht und es dem Angreifer ermöglicht, Zugriff auf Ressourcen anderer Benutzer zu erhalten. Mit anderen Worten: Die Änderung eines Parameters in der URL kann die Daten eines anderen Kunden offenlegen. Laut OWASP API Security Top 10 (2023) belegt BOLA den ersten Platz in der Liste der häufigsten API-Schwachstellen aufgrund seiner Verbreitung, der einfachen Ausnutzung und der hohen Schwere der Folgen. Wie OWASP betont, müssen sich ethische Hacker konzentrieren auf die serverseitigen Sicherheitsmaßnahmen, nicht nur auf den Client.

Die folgende Tabelle zeigt die wichtigsten Fähigkeiten und Werkzeuge des ethischen Hackers im Jahr 2026:

Wie wird man im Jahr 2026 ethischer Hacker? Der Bildungsweg sollte Zertifikate wie CEH (Certified Ethical Hacker), OSCP (Offensive Security Certified Professional) oder eJPT als Einstiegspunkt umfassen, gefolgt von praxisorientierten Plattformen wie HackTheBox oder TryHackMe. Das OSCP-Zertifikat ist derzeit das in der Branche am besten angesehene, weil es eine praktische Prüfung erfordert, nicht nur eine theoretische.

Tipp eines Profis: Das Ignorieren der serverseitigen Sicherheitsmaßnahmen ist der schwerwiegendste Fehler in Penetrationstests. Die meisten weniger erfahrenen Tester konzentrieren sich auf das Frontend und JavaScript, während die realen Daten und die Geschäftslogik auf dem Backend geschützt sind (oder nicht). Jede umfassend getestete Webanwendung sollte mindestens 60 % des Zeitbudgets für Tests der Server- und Autorisierungslogik einplanen.

Beispiele für ethische Hacker, die Bekanntheit erlangt haben, sind Personen wie Katie Moussouris, die eines der ersten Bug-Bounty-Programme für Microsoft entworfen hat, oder Troy Hunt, der Schöpfer von HaveIBeenPwned. Beide zeigen, dass dies ein Beruf ist, der technische Meisterschaft mit Kommunikation und dem Aufbau nützlicher Produkte für die breitere Gemeinschaft verbindet.

Die Rolle des ethischen Hackers in der modernen Cybersicherheit – mehr als nur ein Einbrecher

Nach der Auseinandersetzung mit den technischen und rechtlichen Realitäten dieser Arbeit lohnt es sich, eine Frage zu stellen, die in Standardartikeln selten gestellt wird: Was unterscheidet einen wirklich guten Pentester von jemandem, der einfach nur Metasploit starten kann?

Die Antwort liegt nicht in zusätzlichen Zertifikaten oder im Wissen um einen weiteren Exploit. Wie die Fachwelt es treffend formuliert, ist der größte Mythos die Annahme, ein ethischer Hacker sei jemand, der sich nur in ein System eingebrochen hat. Der wahre Wert ist die Fähigkeit, Risiko an die Geschäftsführung zu kommunizieren. Und genau das ist der Unterschied, den der Markt erkennt und für den er zahlt.

Ein Penetrationstest-Bericht, der für einen technischen Administrator geschrieben ist, ist eine andere Aufgabe als ein Bericht für die Unternehmensleitung. Der Administrator braucht konkrete CVEs, Ausnutzungspfade und Anweisungen zur Behebung. Die Geschäftsführung braucht eine einzige Folie mit der Antwort auf die Frage: „Wie viel kostet es, wenn dieses Problem von einem Angreifer ausgenutzt wird?“ Ein ethischer Hacker, der eine SQL-Injection-Schwachstelle nicht in einen potenziellen Verlust von Kundendaten und eine DSGVO-Strafe in Millionenhöhe übersetzen kann, liefert dem Kunden einen Bericht, der in der Schublade landet.

Das führt zu einer weiteren Beobachtung: Der ethische Hacker agiert immer häufiger als strategischer Partner, nicht als Subunternehmer. Unternehmen, die Penetrationstests als jährliches Checkbox-Element für ein Audit behandeln, verlieren den größten Teil des Wertes, den ein guter Pentester liefern kann. Der Wert entsteht, wenn der Spezialist in Architekturprozesse in der Designphase der Systeme einbezogen wird, nicht nur nach deren Bereitstellung.

Das Management von Erwartungen ist ebenfalls eine kritische Fähigkeit. Kunden erwarten oft eines von zwei Dingen: entweder „findet alle Probleme“ (was in begrenzter Zeit unmöglich ist) oder „bestätigt, dass wir sicher sind“ (eine irreführende Frage). Ein guter Pentester ist in der Lage, in der Scoping-Phase des Projekts die richtigen Erwartungen zu setzen, was sowohl den Ruf des Testers als auch den Wert des gesamten Projekts schützt. Umfangreiche Ressourcen zu Kommunikationspraktiken im Pentesting zeigen, wie dieser Aspekt in realen Projekten aussieht.

Die Berufsethik des ethischen Hackers ist nicht nur eine rechtliche Frage. Sie ist eine Verpflichtung zur Transparenz gegenüber dem Kunden, auch wenn die Testergebnisse unangenehm sind, zum Schutz der während der Arbeit angetroffenen Daten und zur kontinuierlichen Aktualisierung des Wissens. Die Cybersicherheitsbranche verändert sich schneller als jeder andere IT-Sektor, und ein Hacker, der ein Jahr lang nicht lernt, verliert seinen realen technischen Wert.

Werkzeuge und Ausrüstung für den ethischen Hacker erhältlich bei Sapsan Sklep

Theoretisches und praktisches Wissen ist eine Seite der Arbeit eines Pentesters. Die andere ist die richtige Hardware, die es ermöglicht, Tests mit der Präzision und Wiederholbarkeit durchzuführen, die in professionellen Umgebungen erforderlich ist. Sapsan Sklep als europäischer Distributor von Cybersicherheits-Hardware liefert Werkzeuge, die von Pentestern, IT-Sicherheitsfirmen und Schwachstellenforschern weltweit eingesetzt werden.

Im Angebot finden sich Geräte wie das BASH BUNNY von Hak5, eine multifunktionale Plattform für USB-Tests und die Automatisierung physischer Angriffe, eingesetzt in Social-Engineering-Tests und physischen Sicherheitsaudits. Für Tests der Zugangskontrolle und von RFID-Systemen dient der KEYSY LF RFID Duplizierer, ein Werkzeug zur Analyse und Emulation niederfrequenter Karten. Für Spezialisten, die eine mobile Plattform für die Feldarbeit benötigen, ist das uConsole Kit RPI-CM4 Lite verfügbar — ein kompakter Einplatinencomputer, entwickelt für portables Pentesting, mit erweiterbaren Modulen wie AIO V2 oder NVMe. Aus unseren Beobachtungen ergibt sich, dass die am häufigsten gewählte Hardware im Cybersec-Segment im Jahr 2026 mobile Pentester-Plattformen (uConsole mit dem AIO V2 Modul) und SDR-Ausrüstung (HackRF One und HackRF Pro) sind, die klassische Hak5-Sets im Verkauf überholt haben. Sapsan liefert in die gesamte Europäische Union und in die USA und bietet so schnellen Zugang zu Hardware, die den aktuellen Branchenstandards entspricht.

Häufig gestellte Fragen

Was unterscheidet einen ethischen Hacker von einem Black-Hat-Hacker?

Der ethische Hacker handelt mit Zustimmung des Systemeigentümers und zielt auf die Verbesserung der Sicherheit ab, während ein Black-Hat-Hacker illegal handelt, um Schaden anzurichten oder einen Vorteil zu erlangen. Wie die Branchenauffassung des Themas bestätigt, ist ein ethischer Hacker ein legal und ethisch handelnder Pentester, im Gegensatz zu Cyberkriminellen.

Können Penetrationstests ohne schriftliche Zustimmung durchgeführt werden?

Nein. Das Fehlen einer schriftlichen Zustimmung kann zu strafrechtlicher Haftung führen, auch wenn die Handlungen gute Absichten haben. Wie die Vorschriften zeigen, ist das Fehlen einer formalen Zustimmung mit einem direkten Risiko eines Strafverfahrens verbunden.

Was sind die wichtigsten Phasen des Ethical-Hacking-Prozesses nach NIST?

NIST SP 800-115 unterscheidet vier Phasen: Planung (Planning), Erkundung (Discovery), Angriff (Attack) und Berichterstattung (Reporting). Jede Phase muss detailliert dokumentiert werden, und in der Branchenpraxis umfasst die Angriffsphase auch Post-Exploitation und die Eskalation von Berechtigungen.

Worin besteht die Bedrohung Broken Object Level Authorization (BOLA)?

BOLA ist eine Schwachstelle, die den unbefugten Zugriff auf Serverressourcen durch Manipulation von Objektidentifikatoren in der API ermöglicht. In OWASP API Security Top 10 (2023) belegt BOLA den ersten Platz aufgrund seiner Verbreitung und einfachen Ausnutzung, was die vorrangige Bedeutung serverseitiger Tests unterstreicht.

Welche Kompetenzen außer technischen Fähigkeiten sind für einen ethischen Hacker wichtig?

Entscheidend ist die Fähigkeit, Testergebnisse in Geschäftssprache zu kommunizieren und Schwachstellen in finanzielles Risiko für die Organisation zu übersetzen. Wie die Berufspraxis zeigt, sollte ein ethischer Hacker in der Lage sein, technische Mängel in geschäftliches Risiko zu übersetzen, das für die Geschäftsführung verständlich ist.