Selbstverständlich nicht. z.B. auf dem Linuxtag gibt es auch immer einen Hacking-Contest, in dem verschiedene Gruppen erst versuchen, einen Rechner dicht zu machen, und dann den Rechner der gegnerischen Gruppe kompromittieren sollen, und hinterher soll man herausfinden, was der Gegner im System angerichtet hat.

Auch das ist vollkommen Legal.

Und ja, die Position das man selber in Systeme einbrechen können muss um diese dicht zu machen bevor jemand anderes einbricht ist korrekt.

Nur ein Beispiel: Türschlösser konnten irgendwann mit Dietrichen geöfnet werden. Der Ingenieur der dann ein Sicherheitsschloss erfunden hat musste sich erst einmal eine Weile mit der Handhabung von Dietrichen vertraut machen und den 'Angriff' auf die Tür analysieren bevor er etwas entwickeln konnte um ihn zu verhindern.

Wenn Du gar nicht weisst, wie ein Cracker in Dein System eindringen kann, wie willst Du es dann absichern? Klar kann ich erstmal in meinem Haus ein Netz im Schornstein einspannen, das da niemand durchkommt, und ich kann auch alle Fenster zunaglen. Wenn der Einbrecher aber dann mit einem Draht durch die Katzen-Klapptüre herum fuchtelt und die Hintertür so aufbekommt hilft das alles nicht.

Wenn ich mich in den Einbrecher hineinversetze und mir selber ausdenke, wie ich denn - ohne den Schlüssel - nun am besten unbemerkt in mein Haus hineinkomme, dann finde ich wohl früher oder später tatsächlich einen Weg, den auch ein Einbrecher nutzen kann. Dann kann ich den Weg auch verbauen.

Natürlich hat Deine Position auch ein Fünkchen wahrheit. Aber wenn ich jetzt ein Unternehmen bin wie z.B. Siemens, und ein Cracker (womöglich von der Konkurrenz bezahlt) in mein System einbricht und meine neuesten Entwicklungen stiehlt, und dazu noch seine Spuren verwischt, dann braucht sich die Firma danach keine Gedanken mehr zu machen, wie das in Zukunft zu verhindern sein könnte. Die Firma wird es nicht mehr lange geben. Aus diesem Grunde beauftragen solche Firmen selber Hacker (keine Cracker, die würden möglicherweise erspähte Daten wahrscheinlich noch für sich ausnutzen wollen), um die Systeme zu testen und hinterher abzusichern.

Wenn ich einen Sicherheitsexperten bräuchte um meine Systeme abzusichern, weil ich vielleicht entsprechende Daten hätte, dann würde ich mich nach einem richtig guten Hacker umgucken. Jemand, der keine Erfahrung mit dem Einbrechen hat nützt mir nichts, um mein System VOR dem Super-GAU abzusichern.