Die breite Öffentlichkeit denkt bei „Hackern“ direkt an Cyberkriminelle - zu Unrecht, denn Hacker sind erst einmal Experten, die es verstehen, Sicherheitslücken in System und deren Code zu entdecken. Wer diese Fähigkeit aus Profitgier missbraucht, kann in die Cyberkriminalität abrutschen. Die meisten aber sind sogenannte „White Hat Hacker“, die Bugs aufdecken und mit Unternehmen, Organisationen und Regierungen zusammenarbeiten, um die Integrität von Systemen zu verteidigen.
White Hat Hacker als Unternehmen in Programme zur Absicherung gegen digitale Angriffe von außen einzubinden, ist eine gute Strategie, solange der Prozess sauber definiert und verwaltet wird.
Die „Black Hats“ sind eine Referenz zu Bösewichten mit schwarzem Hut in Western-Filmen und sie bestimmen mit ihren Hacks meist die Schlagzeilen. In diesem Jahr sind sie besonders rund um Themen, wie Solarwinds oder Microsoft Exchange auffällig geworden. Diese Hacker werden manchmal von Staaten gesponsert oder sind politisch motiviert. Die Angriffe werden immer raffinierter und spektakulärer, zugleich steigt ihre Anzahl. Der Hiscox Cyber Readiness Report 2021 schreibt von 46 Prozent der deutschen Unternehmen, die 2020 von einer Cyberattacke betroffen waren. Im Jahr davor zählte der Bericht fünf Prozent weniger.
Die Folgen sind teure und komplizierte Schäden, hervorgerufen vor allem durch Ransomware. Die Cyberkriminellen erhöhen so ständig den Druck auf Unternehmen und Organisationen, sich sicherheitstechnisch besser aufzustellen. Zwang übt aber auch die andere Seite aus, auf der die White Hats stehen - sogenannte „ethische Hacker“, die im Auftrag oder aus Eigeninteresse Schwachstellen in Sicherheitssystemen identifizieren und melden. Denn die Einfallstore, die White Hats aufdecken, müssen Firmen und Institutionen so schnell wie möglich schließen.
Wer weitsichtig handelt, bindet die White Hats professionell strategisch ins eigene Sicherheitskonzept ein. Aber an wen wendet man sich dafür? Eine der besten Adressen ist sicher Katie Moussouris, Gründerin und CEO von Luta Security und Initiatorin der „Pay Equity Now Foundation“. Die anerkannte Pionierin und Expertin für so genannte „Bug-Bounty-Programme“ sowie für Standards zur Offenlegung von Schwachstellen (Vulnerability Disclosure), Handhabungsprozesse und sichere Entwicklung ist darauf spezialisiert, Unternehmen und Regierungen bei der Zusammenarbeit mit Hackern zu unterstützen. Das gemeinsame Ziel ist es, einen besseren Schutz vor digitalen Angriffen zu erreichen. In ihrer Referenzliste stehen so illustre Namen wie Microsoft, das Pentagon oder die britische und die US-Regierung.
Vorab selbst Bugs verhindern
Viele Organisationen wenden sich an Luta Security, weil sie Bug-Bounty-Programme starten wollen, um Fehler und Einfallstore in Systemen und Software zu erkennen. Den Hackern winkt dabei eine Prämie, wenn sie kritische Schwachstellen entdecken. Doch bevor man sich über Fehlerprämien unterhält, bohrt Katie Moussouris immer erst mal nach. Ihre Standardfragen sind: Was tut die Firma gerade, um Bugs von vornherein zu verhindern? Wie sichert sie die Entwicklungsarbeit ab? Welche Tests baut sie in den Lebenszyklus ihrer Softwareentwicklung ein? „Fallen die Antworten dürftig aus, dann bitte ich das Unternehmen, erst einmal in diese Dinge zu investieren. Ansonsten handelt es höchst ineffizient“, erklärt sie.
Reifegradmodell anwenden und Schwachstellen offenlegen
Die IT-Security-Fähigkeiten eines Unternehmens ermittelt ein Team von Luta Security mit einem Reifegradmodell (Vulnerability Coordination Maturity Model). Damit lassen sich entscheidende Fragen beantworten wie: Hat eine Firma überhaupt die Fähigkeiten, um die eingehenden Schwachstellenmeldungen zu bearbeiten? Und welches erhöhte Meldungsvolumen ist bei einem Bug Bounty zu erwarten?
„Ergebnis der Reifeprüfung kann ein Bug-Bounty-Botox sein“, dämpft Katie Moussouris allzu große Erwartungen. Die professionelle Hackerin meint damit: Nach außen sieht es zwar hübsch aus, intern fehlt jedoch die Kapazität, die Informationen adäquat zu verarbeiten. Im Durchschnitt brauchen Unternehmen mehr als sechs Monate, um hochkritische Sicherheitslücken zu beheben. Wer aber schneller agiert, so viele Schwachstellen wie möglich reduziert und nicht mehr laufend über die immer gleichen Arten von Bugs stolpert sondern diese beherrscht, hat seine Hausaufgaben gemacht. So eine Organisation ist an dem Punkt, den Rahmen für die externe White-Hat-Hilfe festzulegen. Bevor man jedoch Geldprämien für das Finden von Fehlern auslobt, empfiehlt es sich, zunächst mit eigenen Maßnahmen zu starten, um die Schwachstellen offenzulegen. Dies dient dazu, die Übersicht über Fehlervolumen und Anstieg zu behalten.
Tür auf für White Hats
Katie Moussouris und ihre Mitstreiter sehen ihre Aufgabe darin, Auftraggeber und andere Unternehmen zu überzeugen, dass der Erfolg von zwei Sachen abhängt: Die White Hats brauchen einen Kontakt, um Sicherheitslücken einfach und dennoch ISO-konform zu melden. Die einfache Kontaktaufnahme klingt trivial, ist aber noch längst keine Realität. So schätzt sie, dass etwa 80 Prozent der größeren Unternehmen noch keinen Mechanismus haben, der White Hats quasi die Tür aufmacht, damit sie einen Bug anzeigen können. Idealerweise sollten die beauftragten Hacker auch gleich helfen können, die komplizierteren Bugs zu beheben – in Kooperation mit den Softwareentwicklern im Unternehmen. Hierbei hat es sich bewährt, Feedback-Schleifen einzurichten. Auf die Weise lernt eine Firma aus Bugs, um diese in der Zukunft zu vermeiden. Genau um diesen Lerneffekt geht es.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Strategischer Vorteil für Microsoft und andere
Ein Beispiel, wie unsinnig es wäre, sofort mit einem Geld-Prämien-Programm zu starten, lieferte Microsoft. Bei dem Konzern gingen im Jahr 200.000 E-Mails zu entdeckten Bugs ein. Ein kostenloser Service aus der Hacker-Gemeinde. Ein Bug-Bounty-Programm ist nur dann sinnvoll, wenn man konkrete Sicherheitsziele für Microsoft und die Community formuliert. In der Community steckten dabei Talente, die Katie Moussouris und ihr Team erkannt und rekrutiert haben. Sie bringen Microsoft den strategischen Vorteil, sich mit ihrer Expertise schneller und besser gegen Cyberattacken aufstellen zu können.
Luta Security unterstützte beispielsweise auch die britische Regierung dabei, den Sicherheitsstatus von verschiedenen Regierungsbehörden durch das Aufdecken von Schwachstellen zu ermitteln. In der Folge konnten die fehlenden Ressourcen, Tools und Mitarbeiter aufgestockt werden, um ein einheitliches Niveau in allen Behörden sicherzustellen. Das war deshalb so relevant, weil der britische National Health Service zu Beginn der Pandemie praktisch über Nacht ein Telehealth-Programm einführen musste. Auch die US-Regierung hat am 1. März 2021 ihr eigenes Programm zur Offenlegung von Sicherheitslücken veröffentlicht, an dem Luta Security im Hintergrund wirkte.
Schnelleres Aufspielen von Patches ist nötig – und motiviert White Hats
Die White Hats können entscheidend dazu beitragen, die Unternehmens-IT sicherer gegen Angriffe aus dem Netz zu machen. Ein Missstand liegt jedoch nicht in ihren Händen: Bereitstellung und Implementierung von Patches müssen schneller und effektiver erfolgen. Warum dauert es so lange, bis die Sicherheits-Updates gründlich auf Unternehmens-Netzwerke angewendet werden, obwohl Hersteller und Anbieter oft zügig reagieren? Hier bedarf es endlich Lösungen, die Patch-Aktualisierung im gesamten Netzwerk und allen Systemen zu automatisieren. Ansonsten sehen White-Hat-Hacker bei ihren Penetrationstests immer wieder die gleichen Schwachstellen in einer Firma. Dann besteht die Gefahr, dass sie sich abwenden, weil sie das Gefühl haben, nichts zu bewirken. Ganz zu schweigen von dem potenziellen Risiko, diese Schwachstellen ungepatcht zu lassen.
Über die Autorin: Jaya Baloo ist Chief Information Security Officer (CISO) bei Avast.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/images.vogel.de/vogelonline/bdb/1590900/1590970/original.jpg "Penetration Tester bewegen sich bei ihrer Tätigkeit derzeit oftmals in undefinierter Gesetzeslage. (gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/f2/42/f242d4d6e27cd8a61db781b0ff706c8d/0126172371v2.jpeg "Seit 20 Jahren suchen die Forscherinnen und Forscher der Zero Day Initiative nach Zero-Day-Sicherheitlsücken, um das Internet sicherer vor Cyberangreifern zu machen – ein Meilenstein zu dem wir gerne gratulieren! (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/55/18559ea317e85b9b15194a214fdc7b71/0124904605v1.jpeg "Der White-Hat-Hacking-Contest „Pwn2Own“ fand dieses Jahr mit KI als neuer Kategorie in Berlin statt. (Bild: Marvin Djondo-Pacham)")