Hacken als Beruf: So wirst du Penetration Tester
von Tina Siering
Was genau macht ein Penetration Tester?
Der Penetration Tester ist in der IT Security tätig. Hier hat er einen ganz bestimmten Aufgabenbereich. Er ist dafür zuständig, Netzwerke und Systeme auf Schwachstellen zu überprüfen. In dieser Funktion denkt und agiert der Penetration Tester wie ein echter Hacker. Er setzt seine Fähigkeiten dafür ein, in definierter Zeit möglichst viele Schwachstellen eines Systems zu finden und so die Sicherheit von Netzwerken zu verbessern. Deshalb gehören die Penetration Tester zur Gruppe der sogenannten White Hat Hacker.
In seinem Alltag plant der Pentester Sicherheitstests in Netzwerken und organisiert diese. Er versucht also aktiv, in Netzwerke und Systeme einzudringen und ein menschlicher Pentester ist flexibler als ein automatisiertes Testprogramm. Alle Maßnahmen spricht er vorher mit dem Eigentümer der Systeme ab, denn ein Pentester ist niemals ohne Auftrag und Wissen des Netzwerkinhabers aktiv. Nach dem Test dokumentiert er die Ergebnisse und präsentiert dem Eigentümer des Netzwerks geeignete Lösungsempfehlungen.
Penetration Tester sind meist für IT-Sicherheitsdienstleister tätig. Diese Unternehmen bieten den Pentest als Service für Kunden an. Im Rahmen eines Pentests wird überprüft, wie ein Unternehmensnetzwerk auf Cyberangriffe reagiert. Es handelt sich also um Simulationen, die oft unter realistischen Bedingungen stattfinden. Gerade das reizt viele Bewerber.
Welchen Background haben Penetration Tester?
Wichtig ist ein Verständnis für Netzwerke und die Aufgabe an sich. Es gibt keinen definierten Ausbildungsweg beziehungsweise eine Ausbildung zum Penetration Tester. Die meisten Penetration Tester bringen eine Ausbildung aus dem Bereich der IT mit. Als gute Vorbereitung dient beispielsweise die Ausbildung zum Fachinformatiker mit der Fachrichtung Systemintegration oder Anwendungsentwicklung. Inzwischen existiert mit dem Bachelor in IT Security sogar passender Studiengang. Außerdem gibt es mit der OSCP-Zertifizierung eine industrieweit anerkannte und standardisierte Schulung, durch welche Pentesting-Basis-Skills aufgebaut und nachgewiesen werden können.
Viele Pentester sind aber auch Quereinsteiger, die sich die Fähigkeiten im Bereich der Netzwerktechnik selbst beigebracht haben oder durch andere berufliche Tätigkeiten mit diesen Aufgaben in Berührung kamen. Die Fähigkeiten einiger junger Hacker, die sich ihre Qualifikation eigenständig angeeignet haben, sind beeindruckend und übertreffen teilweise jene von ausgebildeten IT-Sicherheitsspezialisten. Auch ein Informatik-Studium an einer Fachhochschule bereitet Bewerber gut auf eine Karriere in diesem Sektor der IT-Sicherheit vor. Wichtig ist eine technische Ausrichtung der Ausbildung und der Fokus auf Netzwerke und Anwendungen. Ein allgemeines Studium der IT oder der Wirtschaftsinformatik an einer Universität ist aufgrund des mathematisch-theoretischen Schwerpunkts weniger geeignet.
Welche Skills brauchen Penetration Tester?
Wer als Pentester arbeiten möchte, benötigt ein ganz bestimmtes Mindset und spezielle Fähigkeiten. Dieses geht über die bereits erwähnten Grundlagen der Netzwerktechnik und der Software hinaus. Wichtig sind daneben auch Frustrationstoleranz und Durchhaltevermögen. "TRY HARDER" ist ein recht bekanntes Motto, auch aus dem OSCP-Umfeld. Die Aufgaben eines Pentesters sind spannend und kaum mit etwas anderem im IT-Bereich vergleichbar. Ein wichtiger Bereich ist das Wissen um die Netzwerktechnik. Netzwerke und Kommunikation bilden die Grundlage für Cyberangriffe. Hier sind auch ganz praktische Kenntnisse gefragt. Dies bezieht sich beispielsweise auf die Funktionen und den Aufbau von Protokollen.
Ebenso wichtig sind Fähigkeiten im Umgang mit Software. Hier fokussiert sich der Penetration Tester auf ganz spezielle Arten von Programmen. Zum einen muss er sicher im Umgang mit Shell- und Konsolenbefehlen sein und sich flexibel in eine Vielzahl unterschiedlicher Werkzeuge einarbeiten können - über diesen Weg werden Informationen eingeholt oder Netzwerkkonfigurationen kontrolliert. Zum anderen sind umfangreiche Kenntnisse mit den unterschiedlichen Betriebssystemen notwendig.
Ein weiterer Bereich sind Kenntnisse von den weit verbreiteten Serverprogrammen und Diensten, die auf diesen Systemen laufen (beispielsweise E-Mail-Server, Datenbanken wie SQL oder auch Webserver, um nur einige zu nennen). Auch gehört die Kontrolle der Aktualität von Software sowie die Sicherheit von Passwörtern und Zugriffsrechten zu den Aufgaben der Pentester. Es ist somit wichtig, über ein möglichst breites Spektrum an Wissen im Umgang mit Servern zu verfügen.
Darüber hinaus nutzen Penetration Tester ein Set von verschiedenen Spezialprogrammen für die tägliche Arbeit. Diese Software ist unter anderem in der Lage, Sicherheitslücken bei Diensten und Applikationen zu identifizieren. Auch bei der Suche nach Möglichkeiten für die Ausführung von Remotecode oder SQL-Injektionen kommt Spezialsoftware zum Einsatz, die ausschließlich in der IT Security Verwendung finden.
Ein weiterer Punkt umfasst Open Source Intelligence (OSINT), ein Begriff aus der Welt der Nachrichtendienste. Mit dem Ziel der Nachrichtengewinnung werden dabei Informationen aus frei verfügbaren Quellen gesammelt.
Pentester suchen in diesen Quellen nach öffentlich verfügbaren Informationen zu internen Ressourcen sowie nach relevanten Informationen außerhalb des Unternehmens (z. B. öffentlich zugängliche Metadaten). Ein Wissen über OSINT-Informationen hilft demnach, Schwachstellen zu identifizieren und Cyberangriffe vorzubeugen.
Zusätzlich sollten Pentester auch persönliche Fähigkeiten und Eigenschaften mitbringen, wie z. B. die Fähigkeit, strukturiert und logisch zu denken. Der Pentester arbeitet kein striktes Protokoll ab. Vielmehr muss er auf die jeweilige Situation reagieren und entsprechend handeln. Die Qualität eines Pentests hängt im Wesentlichen von den Fähigkeiten der Tester ab. Ein Pentester sollte in dem vorgegebenen Zeitbudget möglichst viele (schwerwiegende) Schwachstellen identifizieren, welche die Umgebung gefährden. Dazu gehört es auch, zu priorisieren, sich in Angreifer hineinzudenken, Zusammenhänge zu erkennen und zu bewerten.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Welche Angriffstechniken und Tools nutzen Penetration Tester?
Bei ihrer Arbeit greifen Pentester auf eine Vielzahl unterschiedlicher Techniken und Werkzeuge zurück. Jeder Penetration Test ist anders und erfordert eine angepasste Herangehensweise, wobei es einige standardisierte Frameworks gibt, um Reproduzierbarkeit und Vergleichbarkeit zwischen Pentests zu erreichen. Gerade das macht diesen Beruf so spannend und abwechslungsreich.
Einige der Tools und Techniken fallen in Bereiche, die eigentlich gesetzlich verboten sind. Der Einsatz ist dennoch legal, da vorher eine Absprache mit dem Kunden erfolgt und dieser über die Pentests informiert ist. Dazu gehören vor allem Attacken auf Netzwerke und Daten.
Zu den wichtigsten Werkzeugen gehören Programme für Penetration Tests und Schwachstellenanalysen. Hierfür gibt es spezielle Software wie Bloodhound oder Metasploit. Diese Programme kommen zum Einsatz, um Sicherheitslücken zu validieren (z. B. durch Ausnutzung) oder die Strukturen von Active-Directory-Netzwerken zu visualisieren. Mit dem Portscanner Nmap lassen sich Hosts in einem Rechnernetz scannen und auswerten.
Pentester nutzen jedoch nicht nur technische Systeme. In einigen Tests kommen auch Komponenten aus dem Bereich des Social Engineering zum Einsatz. Dies beinhaltet neben dem Verschicken von E-Mails oder Durchführen gezielter Telefonanrufe auch die Überprüfung der physikalischen Sicherheit. Hier kann es sein, dass der Pentester versucht in Person in die Räumlichkeiten eines Unternehmens zu gelangen, um zu prüfen, ob Serverräume ausreichend gesichert sind oder ob es möglich ist, über einen ungeschützten Ethernet-Anschluss Zugang zum Netzwerk zu erhalten.
Wie wird man Penetration Tester?
Neben einer geeignete Vorbildung im Bereich der technischen IT - und im besten Fall Erfahrungen im Bereich der IT Security - ist Spaß an technischen Herausforderungen und die Faszination für die offensive IT-Security eine wichtige Voraussetzung für eine Karriere als Pentester. Auch das entsprechende Mindset ist wichtig, geht es doch in erster Linie darum, technische Herausforderungen zu lösen, auf die bisher noch niemand gekommen ist und ein System kreativ dazu zu bewegen, etwas zu tun, wofür es eigentlich nicht gedacht ist. Auf Plattformen wie Hack-the-box, VulnHub oder TryHackMe lassen sich echte und praxisnahe Hacking-Challenges durchführen. Daher ist es nicht verwunderlich, dass viele Pentester als Autodidakten in dem Bereich gestartet sind, bevor sie z. B. über Vortragsreihen auf Hackerkonferenzen und/oder durch Communityarbeit beruflich in dem Feld aktiv geworden sind.
Eine weitere Möglichkeit, eine Karriere als Pentester zu beginnen, ist, sich entsprechende Zertifikate (wie bspw. Offensive Security Certified Professional (OSCP) oder Offensive Security Web Expert (OSWE) anzueignen. Der permanente und auch autodidaktische Weiterbildungswille bleibt allerdings unerlässlich, möchte man es zu einem erfolgreichen Pentester bringen.
Spannende Einblicke in den Alltag eines Pentesters bei secion liefert der Beitrag "Ich denke wie ein Hacker – Warum ich den Beruf des Pentesters gewählt habe!"
Fazit zum Beruf des Penetration Testers
Pentester zu werden ist durchaus keine klassische Berufswahl, aber eine anspruchsvolle und abwechslungsreiche Aufgabe mit großer Verantwortung im Bereich des Cybersecurity Consultings. Der Weg zu einer solchen Stelle ist nicht einfach, da es keinen definierten Ausbildungs- oder Studienweg gibt. Auch ist der Job nicht für jeden geeignet. Ein Pentester benötigt umfangreiche Kenntnisse im Umgang mit unterschiedlichsten Serverumgebungen und gleichzeitig ein gutes Vorstellungsvermögen, um selbstständig mögliche Angriffspunkte ausfindig zu machen. Wer jedoch Interesse an der IT-Sicherheit im Allgemeinen hat und sich mit passenden Schulungen weiterbildet, hat gute Chancen, den Einstieg in die Branche zu schaffen. Wichtig sind: das passende Mindset, Frustrationstoleranz, ein gewisser Spieltrieb und der permanente Weiterbildungswille!