Eine anerkannte mehrjährige Berufsausbildung zum Moral Hacker gibt es nicht. Das EC-Council, das sich auf Safety-Schulungen und Cybersicherheitsdienste spezialisiert hat, hat allerdings eine Zertifizierung entwickelt. Angeboten werden die dazugehörigen IT-Schulungen weltweit von verschiedenen offiziellen Partnern und Organisationen, für die Durchführung sind zertifizierte EC-Council-Coach zuständig.
In Deutschland bietet beispielsweise die TÜV Rheinland Akademie mehrtägige IT-Kurse für den Erwerb des Zertifikats mit der offiziellen Bezeichnung CEH 312-50 (ECC EXAM), 312-50 (VUE) an. Weitere anerkannte Qualifikationen und Zertifikate wurden vom Unternehmen Offensive Safety (Offensive Safety Licensed Skilled, OSCP) und vom SANS-Institut (World Info Assurance Certifications, GIAC) entwickelt.
Zwar lehnen viele Profi-Hacker schulungsbasierte Zertifikate ab und stufen sie als nicht besonders praxisnah ein. Für Unternehmen bieten sie aber einen wichtigen Anhaltspunkt, da sie mit ihnen die Seriosität eines Moral Hackers besser einschätzen können. Die Zertifikate sind zudem Ausdruck einer zunehmenden Professionalisierung in dem Bereich. Bei rasant steigendem Bedarf können ethische Hacker sich durch Zertifikate besser vermarkten, lukrativere Jobs ergattern und sich als seriöse Dienstleister etwa auf eigenen Webseiten präsentieren.
Zertifikate können für Moral Hacker bei der Akquise hilfreich sein, eine zwingende Notwendigkeit sind sie aber derzeit (noch) nicht. Zu White Hat Hackern werden aktuell vor allem IT-Spezialisten, die üblicherweise ein umfangreiches Wissen in folgenden Bereichen mitbringen:
- Computersicherheit
- Netzwerke
- verschiedene Betriebssysteme
- Programmier- und {Hardware}-Kenntnisse
- Grundlagen der Pc- und Digitaltechnik
Ãœber diese Qualifikationen hinaus ist eine genauere Kenntnis der Hackerszene und ihrer Denk- und Vorgehensweisen hilfreich.
Natürlich gibt es viele Quereinsteiger, die sich das benötigte Wissen für Moral Hacking im Selbststudium (z. B. durch Onlinerecherchen) erarbeiten. Besonders geeignet für die anspruchsvolle Tätigkeit sind zudem IT-Profis, die das Grundlagenwissen durch eine Ausbildung zum IT-Systemelektroniker oder durch ein klassisches Informatikstudium erworben haben. Im Hacker-Powered Security Report von 2018 wurden 1.698 Moral Hacker nach ihrer Ausbildung befragt. Nahezu 50 Prozent arbeiteten zum Zeitpunkt der Untersuchung hauptberuflich in der Informationstechnologie. Schwerpunkte waren die {Hardware}- und insbesondere die Software program-Entwicklung. Über 40 Prozent der IT-Berufler hatte sich auf die Sicherheitsforschung spezialisiert. Ein hoher Prozentsatz der Befragten (25 Prozent) studierte noch. Auch 2019 wurde hauptsächlich nebenberuflich gehackt. Laut 2020 Hacker Report von HackerOne waren in dem Jahr nur 18 Prozent der Befragten in Vollzeit mit Moral Hacking beschäftigt.
Dabei arbeiten Moral Hacker nicht nur als externe IT-Experten. Es gibt auch Unternehmen, die im eigenen Haus festangestellte IT-Fachleute zu White Hat Hackern ausbilden und darauf achten, dass sie kontinuierlich an Fortbildungen und Schulungenfür (Moral) Hacking und Cybersicherheit teilnehmen.
Konkrete Aufträge finden White Hat Hacker häufig über eine besondere Ausschreibungsprozedur. Unternehmen wie Fb, Google oder Microsoft nutzen Bug-Bounty-Programme (sinngemäße Übersetzung: Kopfgeld-Programme für Programmfehler), in denen sie die Bedingungen und Vorgaben von Cyberangriffen und Fehlersuchen präzise definieren und erfolgreichen Hackern teils beachtliche Geldprämien für gefundene Sicherheitsprobleme in Aussicht stellen. Bug-Bounty-Programme werden oft als Ergänzung zuPenetrationstests durchgeführt.
An der Auftragsvergabe sind häufig worldwide anerkannte Vermittlungsplattformen wie HackerOne beteiligt. Deren 2020 Hacker Report gibt an, dass Hacker allein im Jahr 2019 Kopfgelder in Höhe von rund 40 Millionen US-Greenback verdienten; insgesamt wurden damit seit Bestehen der Plattform 82 Millionen US-Greenback ausgezahlt. Moral Hacker akquirieren Aufträge zudem jenseits solcher Plattformen durch Eigeninitiative und stellen ihre Dienstleistungen ins Netz.