Vom Studium zum Berufseinstieg ist ein großer Schritt. Um unseren Junior-Pentester*innen diesen Übergang von Theorie zu Praxis so einfach wie möglich zu gestalten, hat das Team des usd HeroLab ein spezielles Onboarding-Programm für junge Talente entwickelt. Am Ende des Programms erfolgt ein Abschlussprojekt, nach dessen erfolgreichem Abschluss die neuen Mitarbeiter*innen als „usd HeroLab Certified Professional“ (UCP) eigenständig Kundenprojekte betreuen dürfen. Fabian Brenner, Security Analyst im usd HeroLab, hat seinen UCP vor kurzem absolviert und berichtet uns von seiner Einarbeitungszeit.
Wie hast du die Einarbeitung im HeroLab erlebt?
Wer wie ich neu im HeroLab startet, bekommt zunächst einen strukturierten Einarbeitungsplan, den man selbstständig abarbeitet. Das heißt aber nicht, dass man dabei allein gelassen wird. Sowohl mein Teamleiter als auch mein Buddy standen mir dabei mit Rat und Tat zur Seite. Mein Buddy war und ist dabei mein engster Kontakt und Ansprechpartner, der immer Zeit für mich hat und mir alle Fragen rund um Theorie und Praxis beantwortet. Natürlich konnte und kann ich mich aber auch immer an alle anderen Kolleg*innen wenden.
Konkret stand für mich erst einmal die Einrichtung meines Notebooks mit allen benötigten Programmen an – dabei hilft ein umfangreiches Wiki. Nachdem das erledigt war, ging es an den Einarbeitungsplan. Der besteht aus Theorie – einiges davon kannte ich bereits, aber manches war für mich neu – und Beispielaufgaben in unserer Test- und Trainingsumgebung usd PentestLab. Dabei habe ich mich auch direkt mit den Tools vertraut gemacht, die wir im HeroLab nutzen.
Wann hast du deine ersten Praxiserfahrungen gemacht?
Die Praxis und den Joballtag habe ich bereits sehr früh in meiner Einarbeitungszeit kennengelernt, indem mein Buddy mich einfach mit in seine Kundenprojekte nahm. Anfangs habe ich ihm bei der Arbeit über die Schulter geschaut, konnte aber auch früh schon selbst aktiv unterstützen. Was ich mir in welcher Situation zugetraut habe und welches Tempo das richtige für mich war, haben wir gemeinsam im persönlichen Austausch entschieden. Die Möglichkeit, mich schon so früh einbringen zu können, war für mich wirklich super. Mit der Zeit wurde ich immer selbstständiger und habe Schritt für Schritt mehr Verantwortung übernommen, sowohl im Kontakt mit den Kunden als auch beim Pentesten selbst. Natürlich stand mein Buddy mir weiterhin unterstützend zur Seite, so viel wie ich es eben brauchte.
Wie wird man denn vom Neuling zum „richtigen“ Pentester?
Zum Abschluss meiner Einarbeitungszeit habe ich ein fiktives Kundenprojekt von Anfang bis Ende betreut. Die Kunden waren dabei meine HeroLab Kolleg*innen. Es war ein sehr realitätsnahes Projekt, bei dem ich ein zusammenhängendes Netzwerk von Systemen pentestete. Ich hielt ein Kick-Off Meeting zum Projektbeginn, pflegte während der Durchführung meines Pentests den Kundenkontakt, schrieb einen Abschlussbericht und präsentierte diesen meinen Kunden. Alles, was zu einem echten Pentestprojekt dazugehört. Am Ende konnte mir mein Team wertvolles Feedback zu meiner Arbeit mitgeben. Es ist ein sehr gutes Gefühl, seine Fähigkeiten von erfahrenen Kolleg*innen bestätigt zu bekommen. Ich kann damit nämlich sagen, dass ich jetzt wirklich ein Pentester bin (lacht). Nach dem erfolgreichen Abschluss meines Projektes erhielt ich mein UCP-Zertifikat und bin damit ganz offiziell bereit, eigenständig an Kundenprojekten zu arbeiten.
Wie geht es nun im HeroLab für dich weiter?
Ich übernehme inzwischen eigenständig Projekte, auch als Projektleiter. Von der Einarbeitung bis hin zur inzwischen entstandenen Routine, habe ich einen guten und sicheren Umgang im Kundenkontakt entwickelt - eine Fähigkeit, von der ich sicher noch mein ganzes Berufsleben profitiere. Zusätzlich bilde ich mich stetig weiter. Aktuell penteste ich hauptsächlich Systeme und Anwendungen, aber es gibt viele spannende Bereiche, in denen ich mich noch spezialisieren kann, wie zum Beispiel in den Pentests von mobilen Anwendungen oder Fat Clients. Der UCP war nur der Anfang.
