Was macht ein Penetrationstester?

Penetrationstester

IT-Sicherheit: Sicherheitslücken aufdecken

Sicherheitstestungen sind bei der Implementierung und Kontrolle von Systemen heutzutage absolut elementar. Die IT-Sicherheit verändert sich in den nächsten Jahren vermutlich weiter. Genau in diesem Bereich arbeitet ein Penetrationstester. Was er genau macht, welche Skills er benötigt und was Du als Penetrationstester verdienen kannst, erfährst Du in diesem Beitrag.

Was macht ein Penetrationstester? Welche Aufgaben hat er?

Penetration bedeutet Eindringen und bezieht sich hier auf gesicherte Computersysteme. Ein Penetrationstester oder “Pentester” versucht, im Auftrag des Besitzers eines solchen Computersystems dieses System zu knacken. Das bedeutet, dass sich der Pentester genau wie ein Hacker einen nicht vorgesehenen Zugang zum System verschafft. Ein Hacker will Sicherheitslücken einfach ausnutzen. Im Gegensatz dazu will ein Pentester sie finden, um sie dann beheben zu können.

Es besteht in der Tätigkeit ein grundsätzlicher Unterschied zur Entwicklung von Software. Ein neues Softwareprodukt wird auf Funktionalität getestet. Dazu führst Du die vorgesehenen Funktionen aus und überprüfst, ob das Ergebnis den Erwartungen entspricht.

Als Pentester suchst Du nach Systemteilen, die gerade nicht wie vorgesehen funktionieren. Eine erfolgreiche Penetration bedeutet also, dass der Pentester das System zu einem nicht vorgesehenen Verhalten bringen konnte. Die Entwickler des Systems versuchen natürlich, einem solchen Zugriff vorzubeugen.

Standardisierte Methoden helfen bei dieser Absicherung, das Umgehen dieser Absicherungen erfordert von dir als Pentester ein Denken abseits eingefahrener Methoden.

Welche Skills braucht ein Penetrationstester?

Die wichtigste Eigenschaft eines Pentesters ist Kreativität, da er unkonventionellen Wege gehen muss in Systeme eindringen zu können.

Das ist auch der Grund, warum Pentester so gut wie immer von außerhalb des Entwicklerteams des zu testenden Systems kommen. Sie sollen einen frischen und unvoreingenommenen Zugang mitbringen.

Technisch gesehen brauchst Du als Pentester ein genaues Verständnis der Abläufe im Zielsystem. Das bedeutet, Du musst die verwendeten Programmiersprachen und Systemarchitektur verstehen und genau mit dieser umgehen können.

Oftmals macht es deshalb Sinn, dass Du dich auf bestimmte Systeme spezialisierst und auf diesem Gebiet wirklich fundierte Kenntnisse und Erfahrungen erwirbst.

Ein möglicher Schwerpunkt sind Webanwendungen. Hier brauchst Du ein Verständnis für die clientseitige Skriptsprache Javascript, serverseitige Sprachen wie PHP und für den Zugriff auf Datenbanken die Sprache SQL .

Ein anderer Bereich ist das Knacken von Computernetzwerken. Dazu musst Du dich im Detail mit Protokollen auf verschiedenen Ebenen des ISO-Modells auskennen. Auf Anwendungsebene sind das beispielsweise HTTP und SSH, auf tieferen Schichten sind TCP und IP angesiedelt.

Ein Bereich mit viel Zukunft ist das IoT oder Internet of Things. Die Zahl der ans Internet angeschlossenen Geräte wird noch stark steigen und besonders kleine Computer sind oft ausgesprochen schlecht gesichert.

Wie wird man Penetrationstester?

Schon seit einigen Jahren gibt es eigene Studiengänge an FHs und Universitäten im Bereich Computersicherheit. Ein solcher Abschluss stellt eine gute Ausgangsbasis für die Arbeit als Pentester dar.

Du solltest aber berücksichtigen, dass diese Ausbildung um einiges breiter angelegt ist. Peilst Du also konkret eine Tätigkeit als Pentester an, gibt es wahrscheinlich schnellere Möglichkeiten, um ans Ziel zu kommen.

Dazu gehören Vorbereitungskurse für Zertifizierungsprüfungen als Pentester. Sie sind auch eine gute Informationsquelle über die tatsächlichen Anforderungen, die ein Pentester erfüllen muss. Die Prüfung dann erfolgreich abzulegen ist ein erster Schritt zu einer Anstellung als Pentester. Neben theoretischen Kenntnissen beinhalten viele dieser Prüfungen auch praktische Teile, in denen Du deine Fähigkeiten an einem realen System unter Beweis stellen musst.

Auf jeden Fall ist intensives Selbststudium für eine erfolgreiche Tätigkeit als Pentester erforderlich. Auch hier spielen die praktischen Übungen eine wesentliche und notwendige Rolle. Du findest online viele Computer mit Sicherheitslücken, an denen Du deine Fähigkeiten verfeinern kannst.

Wo kann ein Penetrationstester arbeiten?

Zu deinen möglichen zukünftigen Arbeitgebern zählen Firmen im Bereich der Computersicherheit. Du testest dann die Systeme der Kunden, das Ergebnis Deiner Arbeit ist ein Bericht über die gefundenen Sicherheitslücken und die allgemeine Sicherheitssituation der getesteten Systeme.

Pentester werden auch von der Polizei, den Nachrichtendiensten und der Bundeswehr gebraucht. Für diese Arbeitgeber greifst Du die Systeme von Kriminellen oder anderen Akteuren an.

Arbeitsmöglichkeiten bietet auch das BSI, also das Bundesamt für Sicherheit in der Informationstechnik. Es ist für die Informationssicherheit der deutschen Regierungsnetze verantwortlich, hat aber als nationale Informationssicherheitsbehörde auch zahlreiche andere Aufgaben in der Beratung und Zertifizierung.

Zu den interessantesten Tätigkeiten für dich als Pentester gehört die selbständige Arbeit für Auftragsbörsen. Deren Kunden laden alle frei tätigen Pentester ein, ihre Systeme zu testen und bezahlen diejenigen, die Sicherheitsprobleme finden und an sie weitergeben. Eine solche Tätigkeit kann dir auch auf jeden Fall wertvolle Erfahrungen verschaffen, die von Arbeitgebern sehr gesucht ist.

Mit welchem Gehalt kann ich rechnen?

Mit einem Einstiegsgehalt von mindestens 40.000 Euro brutto bewegen sich die Gehälter nach einiger Berufserfahrung zwischen 60.000 und 90.000 Euro. Mit entsprechenden Fähigkeiten können deine Einkünfte sehr rasch ansteigen.

Fazit

Penetrationstester ist eine spannende Tätigkeit im Bereich der Cyber-Sicherheit, die in den nächsten Jahren weiter große Bedeutung haben wird. Mit dem richtigen Skillset und Fähigkeiten ist es ein spannender Beruf für IT-Talente.

Rückmeldungen