Du begeisterst dich für IT-Sicherheit und fragst dich, wie du am besten in die Karriere als Pentester*in bzw. Penetration Tester*in einsteigst? Matthias Göhring, Head of usd HeroLab und erfahrener Pentester, beantwortet die wichtigsten Fragen.
Was genau macht ein Pentester bzw. eine Pentester*in?
Als Pentester*innen, auch White Hat Hacker genannt, spüren wir im Auftrag von Organisationen Sicherheitslücken in ihren IT-Systemen und Anwendungen auf. Hierfür greifen wir auf Methoden, Techniken und Vorgehensweisen zurück, die auch ein realer Hacker nutzen würde, um Schwachstellen zu finden und auszunutzen. Unser Ziel ist, die Sicherheit der IT-Systeme und Anwendungen eingehend zu bewerten und eine fundierte Aussage über das Risiko, Opfer eines Hackerangriffs zu werden, zu treffen. Im Anschluss an den Pentest erhält die Organisation von uns konkrete Empfehlungen zur Behebung der identifizierten Schwachstellen, sodass sie diese zeitnah beheben, bevor sie von realen Angreifenden ausgenutzt werden können.
Welche Fähigkeiten sollte ich als Pentester*in mitbringen?
Um erfolgreich als Pentester*in zu arbeiten, ist eine besondere Passion für IT-Sicherheit das A und O. Wir Pentester*innen analysieren IT-Systeme und Anwendungen, daher ist ein tiefes technisches Wissen unter anderem zu Betriebssystemen, Netzwerken und -protokollen, Programmiersprachen, Frameworks, Softwarearchitektur und Windows Domains essenziell. Darauf aufbauend benötigt man spezifisches IT-Security Know-How, beispielsweise rund um typische Angriffsvektoren und bekannte Schwachstellen sowie Tools für die unterschiedlichsten Anwendungsfälle.
Aber technisches Wissen allein genügt nicht: Wir versetzen uns in die Rolle eines Angreifenden, daher braucht es Kreativität und einen gewissen Jagdinstinkt, um auch komplexe Schwachstellen bei unseren Kunden zu finden. Hierbei ist es wichtig, dass du strukturiert arbeitest, stets den Überblick behältst und Zusammenhänge erkennst. Nur so können Schwachstellen in der Business Logik einer Anwendung erkannt oder Informationen so verknüpft werden, sodass daraus individuell angepasste Exploits entwickelt werden können. Außerdem verstehen wir uns auch als Berater*innen. Du musst daher in der Lage sein, komplexe Inhalte unseren Kunden verständlich zu erklären und die Pentest-Ergebnisse in Berichten und Präsentationen unmissverständlich zu kommunizieren. Denn nur so können unsere Kunden die identifizierten Sicherheitslücken schließen und ihr Sicherheitsniveau nachhaltig erhöhen. Zudem ist ein hohes Ethik- und Verantwortungsbewusstsein unabdingbar, da wir Zugang zu teils hoch sensiblen Daten unserer Kunden haben. Du solltest Interesse daran haben, dich kontinuierlich weiterzubilden – denn die digitale Welt ist kurzlebig.
Zusammenfassend lässt sich sagen, dass du eine Kombination aus mehreren Skills benötigst: technisches Wissen, Kreativität, analytisches Denken, Gewissenhaftigkeit, Durchhaltevermögen, Kommunikationsfähigkeit, Beraterkompetenzen, ein hohes Ethik- und Verantwortungsbewusstsein, sowie die Bereitschaft, dich stets weiterzubilden.
Wie kann ich diese Fähigkeiten am besten erlernen?
Für die Ausübung des Berufs als Pentester*in gibt es keine offizielle Ausbildung. Wir empfehlen dir daher, dass du mit einem fundierten technischen Fachwissen startest – beispielsweise durch einen Hochschulabschluss in Informatik oder anderen verwandten Studiengängen. Denn nur wer die zugrunde liegende Technik versteht, kann entsprechende Schwachstellen erkennen und richtig bewerten. Die fundierten technischen Grundlagen kannst du dir auch autodidaktisch durch Praxiserfahrung aneignen, indem du in Unternehmen arbeitest, die sich auf IT-Sicherheit spezialisiert haben oder mithilfe der Security Community.
Aus diesem Grund geben wir Studierenden schon frühzeitig die Chance, sich mit dem Berufsbild zu beschäftigen. Wir pflegen Kooperationen mit Universitäten und vermitteln Studierenden mit unserem Hacker Contest IT Security praxisnah. Bei unseren Hackertagen kannst du deine Ethical Hacking Skills weiterentwickeln und unsere Hacking Night bietet dir als Capture the Flag (CTF) die Plattform, sich mit anderen IT-Sicherheitsbegeisterten zu messen und deine Skills zu trainieren.
Zudem gibt es frei verfügbare Ressourcen, die dich beim Erlernen deiner Ethical Hacking Skills unterstützen. Dazu gehören die Lernplattform TryHackMe und die CTF-Plattform Hack the Box.
Bei all diesen Events lernst du die Grundlagen, wir zeigen dir dann, wie du darauf aufbauen kannst.
Was sind CTFs und wie helfen sie mir bei meiner Karriere als Pentester*in?
Im IT-Bereich sind mit „Capture the Flags“ Wettbewerbe gemeint, bei denen die Teilnehmer*innen im Team oder allein bestimmte Aufgaben lösen müssen, wie z. B. Schwachstellen in laufenden Anwendungen zu identifizieren und per Injection-Angriff auszunutzen. Hierbei zählt neben der Technik insbesondere Kreativität, eine schnelle Auffassungsgabe und auch mal unkonventionelles Denken. Nach erfolgreicher Übernahme des Systems erhält man einen sogenannten „Flag“, meist in Form eines Tokens. Das Ziel ist es, so viele Flags wie möglich innerhalb einer bestimmten Zeit zu sammeln. So hilft das Spiel dabei, die eigenen Fähigkeiten zu trainieren und neue Technologien sowie Techniken zu erlernen, die im Bereich der IT-Sicherheit relevant sind. Dies alles kannst du beispielweise bei unseren CTF-Events trainieren. So nutzen unsere Security Analyst*innen neben unserem PentestLab die Plattform „Hack the Box“, um die eigenen Fähigkeiten und Kenntnisse in den verschiedensten Bereichen der IT-Sicherheit kontinuierlich zu verbessern, wie z.B. Netzwerksicherheit, Sicherheit von Fat Clients oder auch Forensik. Um den Sicherheitsgedanken der Community zu schärfen, haben wir selbst zwei VMs bei Hack the Box eingereicht, die im Jahr 2020 veröffentlicht wurden: „Fatty“ konzentriert sich auf Angriffe von Fat Clients und „Oouch“ auf die Auswirkung kleinster Implementierungsfehler eines OAuth2-Autorisierungsservers.
Wie unterstützen wir dich auf deinem Weg zum Pentester*in?
Wenn du deinen Karriereweg mit uns gehst, unterstützen wir dich dabei bestmöglich. Denn in Capture the Flags lernst du die methodischen Skills - wir aber zeigen dir, wie du dein Wissen in eine professionelle Beratungsleistung übersetzt. Ganz konkret bedeutet das, dass du zu Beginn unser usd HeroLab Onboarding-Programm durchläufst, während wir dich optimal auf deine anschließende Abschlussprüfung vorbereiten. Hier stellen wir dein methodisches Können, Kreativität, Durchhaltevermögen und deine Berater-Skills auf die Probe. Nach erfolgreicher Absolvierung bist du nach dem „usd HeroLab Certified Professional“ (UCP) zertifiziert und du darfst nun eigenständig Kundenprojekte betreuen. Zudem unterstützen wir dich beim Erwerb von Zertifizierungen nach internationalen Standards, wie zum Beispiel die Zertifizierungen von Offensive Security (z.B. Offensive Security Certified Professional [OSCP]). Denn wir verstehen uns als Sicherheitsexpert*innen mit den höchsten Ansprüchen an Qualität. Nur so können wir exzellente Ergebnisse und mehr Sicherheit für unsere Kund*innen garantieren. Werde Teil unseres Teams und bring dich in unsere Mission “more security” ein.
In unserem Video erfährst du Wissenswertes zum Pentesting-Karriereeinstieg und zum späteren Berufsalltag. Mit Klick auf das Bild gelangst du zu unserem YouTube-Video.
Du möchtest gern mehr zu deinen Karrieremöglichkeiten als Pentester*in erfahren? Frag uns gern persönlich und komm zu unseren Hacking Veranstaltungen oder besuche uns auf den Messen. Erfahre hier mehr über deine Einstiegsmöglichkeiten bei uns.