Warum ist der Job des Penetration Testers so wichtig?

IT Security Experte: Penetration Tester | Mann sitzt am Schreibtwisch mit 5 Bildschirmen

Welche Aufgaben übernehmen Penetration Tester? Warum tragen sie maßgeblich zur IT Sicherheit von Unternehmen bei? Und wie sieht der Arbeitsalltag der IT Security Spezialisten aus? Wir klären diese und weitere Fragen.

Riesige Schäden durch Cyberangriffe

4,6 Millionen Euro. So viel Geld muss ein deutsches Unternehmen im Durchschnitt aufwenden, wenn es von einer Datenpanne betroffen ist. Zu dieser Zahl kommt der “Data Breach Report 2022” von IBM.

Kein Wunder. Dringen sogenannte Cybergangster in IT Systeme ein, verursachen sie in der Regel mehrere Schäden: Sie stehlen brisante Daten, stellen Maschinen ab und/oder verschlüsseln wichtige Informationen. Zu den Kosten für das Erpressungsgeld - das leider häufig bezahlt wird - und der Beseitigung der Schäden kommen in einigen Fällen auch noch Strafen für Datenschutzverstöße dazu. Ebenso kann das Datenleck einen großen Image- und Reputationsverlust für das betroffene Unternehmen bedeuten.

Wie lassen sich derart hohe Kosten und Schäden vermeiden? Indem IT Security Spezialisten die Firmen-Systemlandschaften absichern, zum Beispiel durch Systemhärtung. Und indem sie gezielt nach Schwachstellen suchen. Für Letzteres sind Penetration Tester (salopp auch Pentester genannt) verantwortlich. 

Was ein Penetration-Tester genau macht und wie seine Karriere aussehen kann, das erklärt Stefan Pietsch im Interview. Stefan Pietsch arbeitet bei der deutschen Firma Trovent und ist hier unter anderem im Penetration Testing tätig.

Ratbacher: Herr Pietsch, bitte erklären Sie, wie das Penetration Testing in der Praxis abläuft.

Stefan Pietsch: Vor Beginn eines Penetrationstests stimme ich mich mit dem Auftraggeber, zum Beispiel mit einem IT Leiter, über den Zeitraum des Pentestings sowie über die weiteren Rahmenbedingungen ab. 

Dann geht die Arbeit los. Penetration Testing ist ein Angriff auf IT Systeme, dabei prüft ein Mensch mit den entsprechenden Kenntnissen und Werkzeugen die Zielsysteme. Wir, die Penetration Tester, versetzen uns dazu in die Rolle eines Angreifers. Wir denken und agieren genauso - mit dem großen Unterschied, dass Pentester keine Schäden anrichten. Deshalb nennt man uns auch White Hat Hacker oder Ethical Hacker.
 

Welche Ziele verfolgen Sie bei Ihrer Arbeit?

Das Ziel eines Penetrationstests ist das Aufspüren, Überprüfen und Dokumentieren von IT Schwachstellen. Entdecke ich eine Schwachstelle, muss ich abwägen, ob diese ausgenutzt wird und welche Auswirkungen sie gegebenenfalls für meinen Kunden hat. In jedem Fall dokumentiere ich die Entdeckung, bewerte sie nach ihrer Schwere und nehme sie in meinen Abschlussbericht auf. 

Der Bericht enthält immer alle mögliche Maßnahmen zur Behebung der einzelnen Schwachstellen. Am Ende entscheidet mein Auftraggeber, ob und welche Sicherheitslücken er sofort schließt.
 

Was geschieht, wenn Sie sehr kritische Punkte finden?

Bei kritischen Schwachstellen, die durch potenzielle Angreifer leicht zu finden und auszunutzen sind, informiere ich umgehend meinen Auftraggeber. Dann kann er die Sicherheitslücke gleich schließen bzw. schließen lassen.

Ist die Sicherheitslücke - vermeintlich - geschlossen, führe ich einen Retest durch. So überprüfe ich, ob die Maßnahme wirklich gut umgesetzt wurde.
 

Welche Maßnahmen hat man zu ergreifen, wenn eine Lücke nicht sofort zu schließen ist?

Das betroffene System muss sofort vom Netzwerk getrennt werden. Dann haben die IT Verantwortlichen genau zu analysieren, wo die Ursachen für die Schwachstelle liegen. Je nachdem, ob das betroffene System beispielsweise nur unregelmäßig mit Updates versorgt wird oder es sich um fehlerhafte Konfigurationseinstellungen handelt, werden vorhandene Prozesse geprüft oder neue eingeführt. 
 

Warum gilt Penetration Testing als wichtig?

Ein Penetrationstest ist eine vorbeugende Maßnahme. Denn als Penetration Tester decke ich Schwachstellen auf, bevor sie von echten, böswilligen Angreifern ausgenutzt werden. Dadurch kann ein Unternehmen sein Risiko minimieren und vorsorglich den Krisenfall vermeiden. 
 

Arbeiten Sie alleine oder im Team?

Als Penetration Tester arbeitet man normalerweise im Team mit mindestens einem weiteren Kollegen zusammen. Es kommt vor, dass sich mehrere Pentester gemeinsam über Screen-Sharing eine mögliche Schwachstelle anschauen. Dann erarbeiten und diskutieren wir Wege zur Ausnutzung der Sicherheitslücke. 

Das Teamplay ist wichtig, denn jeder Penetration Tester hat andere Voraussetzungen und Erfahrungen. Eine Mischung aus unterschiedlichen Fähigkeiten macht ein gutes Pentesting-Team aus. 

Finden Sie Ihren Job als Penetrationstester

Ist das Penetration Testing auf Dauer nicht zu langweilig?

Nein. Es gibt verschiedene Arten von Penetrationstests, dadurch wird es mir nie langweilig oder eintönig. Bei komplexen Problemstellungen oder speziellen Kunden-Anforderungen kann es vorkommen, dass ich länger oder nicht zu den üblichen Tageszeiten arbeite. Das heißt, als Penetration Tester sollte man ein wenig Flexibilität mitbringen.
 

Welche Soft Skills sind noch wichtig für Ihren Beruf?

Eine analytische Denkweise, Neugier, Lernbereitschaft, Kreativität und Selbständigkeit zählen zu den “Must Have”-Skills. Auch Teamfähigkeit ist eine wichtige Eigenschaft, denn Penetration Tester arbeiten wie gesagt selten allein. Eine hohe Frustrationstoleranz, Hartnäckigkeit und ein gewisser Jagdinstinkt sind ebenfalls wichtig, um für diesen Beruf geeignet zu sein.
 

Ausbildung, Studium, Fortbildung: Welche Grundvoraussetzungen und Hard Skills sollte jemand haben, der Penetration Tester werden möchte?

Eine abgeschlossene Ausbildung als Fachinformatiker oder ein Studium der IT Sicherheit sind gute Voraussetzungen. Für die Erstellung von Berichten und in der Kommunikation mit Auftraggebern sollte ein Penetration Tester sicher in der Verwendung der deutschen und englischen Sprache sein. 

Erfahrungen im Bereich System- und Netzwerkadministration oder Softwareentwicklung erleichtern zudem den Einstieg. Zertifizierungen sind hilfreich, aber meiner Meinung nach keine Voraussetzung für eine Anstellung als Penetration Tester.
 

Wo und wie kann sich ein Pentester weiterbilden, um am Puls der Zeit zu bleiben?

Ich verfolge auf IT-News-Webseiten, diversen Mailinglisten und sozialen Netzwerken aktuelle Meldungen und Diskussionen zu Angriffen und Sicherheitslücken. Und mit der Teilnahme an CTFs (Capture the Flag) und Hacking Challenges erweitere ich meinen Horizont. 
 

Was macht man bei einem Capture the Flag?

Beim Capture the Flag lösen Teams aus der ganzen Welt im Wettstreit knifflige Aufgaben. Die Aufgaben haben mit IT Security zu tun und können beispielsweise aus den Bereichen Kryptografie, Reverse Engineering und Forensik stammen. 
 

Wie sind aus Ihrer Sicht aktuell und in naher Zukunft die Jobaussichten?

Die IT Sicherheit ist und bleibt wichtig, gut ausgebildete und erfahrene Mitarbeiter werden überall gesucht. Der Beruf des White Hat Hackers bzw. Penetration Testers stellt ein spannendes Umfeld mit abwechslungsreichen Herausforderungen dar. Ich kann es jedem nur empfehlen.
 

Herr Pietsch, vielen Dank für das Interview.

 

Fazit

Zusammenfassend kann gesagt werden: Als Penetration Tester suchen Sie gezielt nach Schwachstellen in der IT-Systemlandschaft eines Unternehmens. Dabei ist es wichtig, die eigenen Fähigkeiten stetig weiterzuentwickeln und Erfahrungen mit anderen Pentestern auszutauschen.

Für Unternehmen ist das Ergebnis der Penetrationtestung entscheidend, um Probleme in der IT-Security zu beheben und das Risiko teurer Datenpannen zu minimieren.  Gut ausgebildete Pentester sind deshalb gefragte Mitarbeiter.
 

Bild: Adobe Stock
 

Häufige Fragen

Was ist der Unterschied zwischen Penetration Testing und Ethical Hacking?

Die Begriffe Penetration Testing, Ethical Hacking und White Hat Hacking werden in der Praxis oftmals synonym verwendet. In anderen Situationen wird in der Herangehensweise der Pentester und Ethical Hacker unterschieden. Das Ziel ist in allen Fällen dasselbe: Das Aufspüren von Sicherheitslücken. Während Penetration Tester in Abstimmung bestimmte Systeme durch Testverfahren auf Ihre Cyber-Sicherheitsmaßnahmen prüfen, simulieren Ethical Hacker Cyberangriffe mit denselben Methoden wie tatsächliche Hacker.

Wie hoch ist das Gehalt eines Penetration Testers?

Als fest angestellter Penetration Tester oder Pentester verdient man durchschnittlich zwischen 45.000 und 70.000 Euro brutto im Jahr. Das Gehalt variiert, da es verschiedene Einflussfaktoren gibt. Dazu gehören unter anderem der Kenntnisstand, die Position, die Größe des Unternehmens und die Region, in der das Unternehmen ansässig ist.

Welche Zertifikate sind für den Job als Pentester hilfreich?

Eine spezielle Ausbildung oder ein Studium zum Pentester gibt es derzeit nicht. Interessierte müssen sich daher über Weiterbildungen in die Thematik einarbeiten und gefragte Zertifikate erwerben. So gibt es zertifizierte Online-Weiterbildungen zum „Ethical Hacker”, zum „Professional Security Tester” oder zum „Penetration Tester”. Als Penetration Tester kommen beispielsweise folgende Zertifikate infrage: das Pentest+ Zertifikat bei CompTIA, das OSCP (Offensive Security Certified Professional) Zertifikat oder GIAC Cyber Security Zertifikate.

Welche Aufgaben hat ein Penetration Tester?

Als Penetration Tester sind Sie für die Identifikation von Sicherheitslücken in der Cyber Security eines Unternehmens verantwortlich. Die Schwachstellen werden durch verschiedene Testmethoden aufgedeckt, dokumentiert und in ihrem Risiko bewertet. Im zusammenfassenden Abschlussbericht für das Unternehmen werden auch Vorschläge zur Behebung der Sicherheitslücken inkludiert.