Zunächst wohl die wichtigsten Fragen vorweg – was verdient man als (Junior-Senior) Penetration Tester und welche Karrieremöglichkeiten hat man?
I.d. R. arbeiten Penetration Tester für mittelständische Unternehmen (ab ca. 300 Mitarbeiter), Konzerne oder Regierungen. Sowohl als Angestellter innerhalb eines Konzerns oder als Dienstleister für diese können IT Strukturen getestet werden.
Als Dienstleister bietet sich hier ein größerer Anspruch und mehr Vielfalt, da man immer neue Strukturen testet und sieht – und das branchenübergreifend.
Mit der Berufserfahrung, angefangen als Junior Penetration Tester, bei welchem man nur unterstützend tätig ist oder nur kleinere Tests durchführt, spezialisiert man sich als Penetration Tester (i. d. R. nach 3 Berufsjahren) in eine Fachrichtung.
Häufig unterschieden werden hierbei zwei wesentliche Fachrichtungen: Netzwerk und Web Application Penetration Testing. Nach weiteren 3 Jahren Erfahrung, sprich 6, folgt dann die letzte Spezialisierung – entweder in Richtung Social Engineering, Fachvertiefung in Form von Branchenspezialisierung (z.B. Siemens Steuerungs-Penetration Tester oder SAP Penetration Tester) oder in Richtung Teamleitung mit Führungskompetenzen. Aber hier nun die versprochenen Gehaltsaussichten:
| Junior Penetration Tester | Professional Penetration Tester | Senior Penetration Tester | |
|---|---|---|---|
| Berufserfahrung | 1-3 Jahre | 3-6 Jahre | > 6 Jahre |
| Gehaltsspanne | 37.000 € – 44.000 € | 52.400 € – 59.400 | 61.100 € – 67.400 € |
| Durchschnittliches Gehalt | 42.800 € | 56.600 € | 63.200 € |
Dies Tabelle zeigt die Durchschnittseinkommen in Deutschland. Bei ProSec sind diese ingesamt höher.
Zertifizierte Penetration Tester oder auch ethische Berufshacker (ethical hackers) sind mittlerweile von Hamburg, Berlin, über Frankfurt bis München hinaus deutschlandweit als Bestandteil der Cyber-Security vertreten.
Unter Pentester versteht man unabhängige Sicherheitsanalysten (security analysts), welche die IT nach Beauftragung der Unternehmen auf Sicherheitslücken (security vulnerabilities) oder auch Sicherheitsschwächen (security weakness) untersuchen. Als Penetration Tester ist es das Ziel, diese Sicherheitslücken mittels Exploits auszunutzen und dementsprechend mit “Proof of concepts” zu belegen. Der IT Security Anaylst hingegen weist nur auf solche Sicherheitslücken hin, ohne diese final zu prüfen.
Bei der Sicherheitskontrolle (security control) werden realistische Angriffsszenarien umgesetzt, um die Netzwerksicherheit (network security), z.b. über das Betriebssystem (operating system), Softwaresystem (software system) oder Webanwendungen (web application security), zu testen und zu durchdringen/umgehen (gaining access). Neben bekannten Sicherheitsschwachstellen (security weakness) werden bei der IT Sicherheitsanalyse (security testing) zusätzlich nach unbekannten Sicherheitslücken (security vulnerabilities), sogenannte Zero-Days-Vulnerabilities gesucht, um diese frühzeitig zu erkennen und bei den Anwendungsentwicklern (application developers) zu melden.
Die lückenlose und strukturierte Dokumentation ist für einen Pentester essenziell, um die Anwendungssicherheit (application security) zu ermöglichen.
Gesetzliche Voraussetzungen gibt es keine. Allerdings empfiehlt es sich, mindestens eine Ausbildung als Fachinformatiker, Schwerpunkt Anwendungsentwicklung oder Systemintegration, sowie zudem 3 Jahre Berufserfahrung zu haben. Mit einem Informatik Studium (nicht Wirtschaftsinformatik oder Vergleichbares!) benötigst du ebenfalls mindestens 3 Jahre Berufserfahrung, kannst dann jedoch meistens in der Senioritätsklasse schneller aufsteigen; dies ist jedoch kein Garant, sondern leistungsabhängig.
Wir haben deutschlandweit die erste anerkannte Weiterbildung geschaffen, um alle drei Senioritäten (Junior, Professional und Senior) gezielt auszubilden. Dies geschieht natürlich in Kooperation mit der IHK-Akademie. Wenn du mehr über diese Ausbildung erfahren willst, sind wir gerne für dich da, ruf uns einfach an.
