Exploit


Als Exploit wird die Veröffentlichung einer Schwachstelle in einem Computersystem, einem IT-System oder einer Website bezeichnet. Exploit als Begriff bedeutet lediglich Schwachstelle und leitet sich von „to exploit“ (deutsch: ausnutzen) her. Mithin wird der Begriff auch für ein Programm verwendet, das systematisch Sicherheitslücken in IT-Systemen und Infrastrukturen aufdeckt.

Allgemeine Informationen

Entdeckt ein Hacker in einem Computersystem eine Schwachstelle, wird er entweder den Hersteller des Systems kontaktieren und ihn über die Sicherheitslücke aufklären, oder aber er veröffentlicht die Ergebnisse seiner Analyse auf einer Website, um sie der Öffentlichkeit und anderen Hackern zur Verfügung zu stellen. Ein Exploit zeichnet sich dadurch aus, dass nicht eine Lücke entdeckt wird, sondern systematische Schwachstellen, die das gesamte System betreffen. Ein jüngstes Beispiel ist der Programmierfehler von Apple, der es zahlreichen Hackern erlaubte, verschlüsselte Web-Verbindungen zu unterwandern und sensible Daten zu speichern. [1]

Exploits treten immer dann auf, wenn in der Programmierung ein systematischer Fehler, ein Folgefehler, gemacht wurde. Im Quellcode werden Anweisungen durchgeführt, die eigene Sicherheitsvorkehrungen aushebeln und dadurch Hackern die Tür öffnen. Wird eine Lücke von einem Programm entdeckt, das solche Lücken aufdecken soll, wird dieses Programm auch als Exploit bezeichnet.

Funktionen

Exploits können verschiedene Zwecke haben. Zum einen dienen sie der Sicherheit von IT-Systemen und Infrastrukturen. Zum anderen können Exploits missbraucht werden, um Systeme und Infrastrukturen komplett zu blockieren. Die Art und Weise, wie mit einem Exploit umgegangen wird, ist von den beteiligten Personen abhängig. Sie können sich an die Regeln des Hackens halten oder nicht. Auch wenn sensible Daten in die falschen Hände geraten, haben Exploits letztendlich zur Folge, dass die gehackten Systeme sicherer werden. Gleichwohl sollten systematische Fehler in der Programmierung von vorneherein vermieden werden.

Je nachdem, auf welcher Ebene eines Systems Exploits auftreten und wie sie verwendet werden, unterscheidet man zwischen DOS-, Remote-, lokalen-, Zero-Day- oder Kommandozeilen-Exploits. [2]

Praxisbezug

Exploits zu vermeiden, ist das Ziel eines jeden Programms. Jedoch treten häufig Fehler nur dann zu Tage, wenn die Programme in der Praxis getestet werden. Nicht alle Ausnahmen und Gegenmaßnahmen können von einem einzelnen Programmierer bedacht werden. Zwar kann er stringenten Quellcode produzieren, aber verschiedene Tests sollten bei jedem Programm auf die Betaphase folgen.

Mit A/B-Testing, Crowdtesting und verschiedenen Programmierparadigmen stehen Entwicklern verschiedene Möglichkeiten zur Verfügung, Fehler im Quellcode zu vermeiden. Denn sauberer Code ist der Königsweg, um Exploits womöglich auszuschließen. Ergänzende Schutzmöglichkeiten sind ein Speicherschutz, ein Intrusion Detection System oder sogenannter Managed Code innerhalb der .NET-Umgebung von Microsoft. [3] Einen absoluten Schutz vor Exploits gibt es dennoch nicht.

Bedeutung für die Suchmaschinenoptimierung

Exploits sind auch im Bereich Suchmaschinenoptimierung anzutreffen. Fehler oder Lücken in der Infrastruktur, in der Website oder beim Handling von Prozessen können Exploits nach sich ziehen. Hinsichtlich des Begriffs Exploits als Programm werden Exploits auch als Black Hat- bzw. negative SEO bezeichnet. Prinzipiell können durch Exploits Backlinks gesetzt, Keywords editiert oder Weiterleitungen umgesetzt werden – alles mit dem Ziel, durch unsaubere Methoden wie Suchmaschinen-Spamming, Keyword-Stuffing das Ranking zu beeinflussen.

Suchmaschinen werten solche Eingriffe als manuelle Maßnahmen, wenn sie entdeckt werden. Websites, die durch Exploits gehackt worden sind, befinden sich nicht selten in einem Bad Neighbourhood und sind Opfer von HTML-Injection oder SQL-Injection geworden.

Einzelnachweise

  1. Sicherheitslücke: Apples furchtbarer Fehler. spiegel.de. Abgerufen am 26.05.2014.
  2. Exploit. wirtschaftslexikon.gabler.de. Abgerufen am 26.05.2014.
  3. What Is Managed Code?. msdn.microsoft.com. Abgerufen am 26.05.2014.

Weblinks