Penetration Tester – Verteidiger der Cyberwelt!
IT-Security wird im Unternehmens-Alltag immer wichtiger. Um auf Schwachstellen reagieren zu können, muss man sie aber kennen. Genau hier kommt der Penetration Tester ins Spiel.
Für alle, die sich in der IT zuhause fühlen, Lust auf neue Herausforderungen haben, eine ordentliche Portion Kreativität mitbringen und sich weiterentwickeln möchten, bietet der Beruf des Junior Penetration Testers optimale Voraussetzungen.
(Letztes Update: 10.07.2024)
Für eine bestmögliche IT-Sicherheit sind Penetration Tests heutzutage nicht mehr wegzudenken. Denn nur, wer seine Schwachstellen kennt, kann sie angehen.
Penetration Tester helfen Unternehmen und Organisationen beim Auffinden genau dieser Vulnerabilities – Schwachstellen, die man besser selbst findet, bevor es Cyber-Kriminelle tun.
Zu den Opfern von Cyber-Kriminellen gehören mittlerweile nicht mehr nur Unternehmen, an die man als erstes denken könnte, weil sie zum Beispiel besonders groß oder besonders wichtig erscheinen. Den Angreifern geht es in der Regel ausschließlich um Profit. Dafür ist kein Unternehmen zu klein oder unbedeutend.
Penetration Tester, White Hat Hacker oder ethische Berufshacker – Begriffe, die oft synonym verwendet werden. Letztlich zeigen sie alle, was diese Berufe ausmacht: Hacken, aber auf der Seite der Guten. Dazu müssen sie alle in die Rolle des Cyber-Kriminellen schlüpfen und denken wie er. Denn jedes Schlupfloch, das ein Pentester findet, kann er der Cyber-Kriminelle finden. Die Besonderheit am Beruf des Penetration Testers ist, dass sie ausschließlich im Kundenauftrag handeln, mit dem Kunden zusammen arbeiten und schließlich auch Handlungsempfehlungen geben.
Weltweit helfen PenTester, dank ihrer Kenntnisse und Fähigkeiten, in Form von Penetration Tests zukünftige Angriffe zu erschweren und zudem einen aktuellen Stand der gegebenen IT-Sicherheit eines Unternehmens zu verdeutlichen. Dabei untersuchen sie verschiedenste Schwachstellen (security vulnerabilities) oder auch Sicherheitsschwächen (security weakness).
Das Ziel eines solchen Penetration Tests besteht darin, Fehler oder Versäumnisse im Patchmanagement sowie Schwachstellen aufzudecken, die sich beispielsweise aus der alltäglichen Benutzung von Diensten und Protokollen ergeben, mithilfe von verschiedensten Techniken und Taktiken sowie Exploits auszunutzen und dementsprechend mit „PoCs“ (Proof of Concept) zu belegen.
Die Karriere eines guten Penetration Tester startet bei der Kompetenzstufe „Junior Penetration Tester“. Anfangs führt man kleinere Tests wie beispielsweise Schwachstellenanalysen (Vulnerability Analyses) oder kleinere Penetration Tests durch und unterstützt bei verschiedensten größeren Pentest-Projekten unter Anleitung eines „Professional Penetration Tester“.
Dabei lernt man die für den Job wichtigsten Techniken und Fähigkeiten, die man schließlich benötigt, um einen qualitativ guten Penetration Test durchführen zu können.
Des Weiteren wird der Junior Penetration Tester im Job auf den Stand sowie das Niveau der anderen Penetration Tester (Professional Penetration Tester) herangeführt, um dieses Wissen in zukünftigen Penetration Tests eigenständig anwenden zu können.
Eigene Strategien und Vorgehen beim Testen sollen sich angeeignet werden. Ein quantitativ und vor allem qualitativ guter Penetration Test sollte niemals nach „Schema F“ durchgeführt werden.
Es sollte ein Grundverständnis davon, wie Computer und Netzwerke funktionieren und diese miteinander arbeiten, vorhanden sein.
Eigeninitiative sowie Lernbereitschaft sind grundlegende Bausteine, die ein Penetration Tester vorweisen muss, wenn er qualitative Penetration Tests durchführen will. Ebenso gehören ein gewisser Ehrgeiz sowie eine Prise Neugier und Anpassungsfähigkeit dazu.
Damit ein guter Einstieg als Junior Penetration Tester in diesen Job gewährleistet werden kann, ist es von großem Vorteil, eine abgeschlossene Ausbildung als Fachinformatiker mit Schwerpunkt, „Anwendungsentwicklung“ oder „Systemintegration“ vorweisen zu können.
Gesetzliche Vorgaben zur vorigen Berufserfahrung gibt es nicht. Wir empfehlen jedoch mindestens drei Jahre in einem der genannten Berufe gearbeitet zu haben. Ein Informatik-Studium kann hilfreich sein. Aber aus Erfahrung wissen wir, dass dieses die Erfahrungen, die man im Berufsalltag macht, nicht ersetzen kann.
Der Vorteil eines Studiums liegt darin, dass man in der Kompetenzstufe schneller aufsteigen kann. Dies ist jedoch kein Garant, sondern rein von deiner Leistung und Kompetenz als Junior Penetration Tester in diesem Job abhängig.
Da jeder Penetration Tester für seinen anstehenden Penetrationtest eigens verantwortlich ist, gehört ein hohes Maß an Selbstorganisation sowie Dokumentation zum Tagesgeschehen zum Berufs-Alltag. Ohne Selbstorganisation kann in keinem Fall ein qualitativ gutes Penetration Test – Ergebnis erzielt werden.
Eine strukturierte Dokumentation ist für einen Penetration Tester unerlässlich, denn sie ermöglicht die Anwendungssicherheit (Application Security). Außerdem bildet sie die Basis für die nächsten Schritte auf Kundenseite: Hier werden die Schwachstellen zügig bedeitigt und fehlende Sicherheitsmechanismen implementiert.
Ein umfangreiches PDF zum „Junior Penetration Tester“ und diesen Job findest du hier.
