„Ich denke wie ein Hacker“ – Warum ich den Beruf des Pentesters gewählt habe!

von

Lesezeit: Minuten ( Wörter)

Die Arbeit in der IT Security Branche ist unglaublich abwechslungsreich. Es gibt z.B. die Möglichkeit, als IT-Security Analyst die Komponenten des gesamten Unternehmensnetzwerks zu analysieren, zu überwachen und so die Infrastruktur vor Angreifern zu schützen. Als Systementwickler geht es beispielsweise um die Konzeption und Programmierung von Anti Virus-Anwendungen und anderen Protection Tools gegen Hacker. Als IT-Sicherheitsberater ist es Deine Aufgabe, wertvolle Daten Deines Unternehmens und dessen Kunden zu schützen.  

Ich hingegen habe mich für eine Karriere als Pentester entschieden. Wie mein Alltag aussieht, was ein Pentester verdient und welche Qualifikationen notwendig sind, erkläre ich in diesem Artikel.

Die Ausbildung zum Pentester

Die Arbeit als Penetrationstester ist keine klassische Berufswahl, wie beispielsweise als Lehrer oder Maurer. Vielmehr gelangt der Pentester in den meisten Fällen über eine Karriere innerhalb der IT Branche in diese Position. Es gibt Kurse, die Grundkenntnisse über das Pentesting vermitteln. Diese sind jedoch keine vollwertigen Ausbildungen, sondern bauen auf vorhandenem Wissen auf. Ein Grundverständnis für die IT Security muss vorhanden sein, ebenfalls Kenntnisse über die Informatik im Allgemeinen. Im Prinzip ist es also notwendig, zunächst eine klassische Ausbildung oder ein Studium im Bereich der IT zu absolvieren.

Ich habe zunächst im dualen Studium Fachinformatiker mit der Fachrichtung Systemintegration und Informatik B.Sc. studiert. Danach habe ich einige Jahre in einem Unternehmen aus dem Bereich der IT Security gearbeitet. Dort war ich mit der Wartung und Verbesserung einer Anwendung betraut, die für die Netzwerksicherheit in der Fernüberwachung zum Einsatz kam. Durch die Veränderungen im Bereich der IT Security und die wachsende Zahl an Cyberangriffen erweiterte das Unternehmen, für das ich tätig bin, ihr Dienstleistungsangebot. Dies umfasste die Optimierung der Sicherheit in Kundennetzwerken. In diesem Zusammenhang führten wir fortan Penetrationstests durch, wofür Fachpersonal benötigt wurde. Nach Fortbildungen und internen Weiterbildungen wechselte ich somit in den Pentester Job. Dabei habe ich Zertifizierungen wie Offensive Security Certified Professional (OSCP) oder Offensive Security Web Expert (OSWE) erworben.

Auch eine Karriere als Quereinsteiger ist möglich. Viele junge Hacker haben sich Ihre Kenntnisse selbst beigebracht, häufig schon in jungen Jahren. Die Fähigkeiten einiger dieser jungen Hacker sind erstaunlich und übertreffen teilweise jene von ausgebildeten IT-Sicherheitsspezialisten. Deshalb ist diese Gruppe von Personen für die Arbeit in der IT Security grundsätzlich bestens vorbereitet. Wer jedoch Vorstrafen im Bereich der Computerkriminalität besitzt, hat schlechte Chancen auf einen Pentester Job. Wir legen in diesem Berufsfeld Wert darauf, White-Hat-Hacker zu sein. Dies bedeutet, dass wir unsere Fähigkeiten und unser Wissen ausschließlich für gute Zwecke einsetzen.

Jetzt keinen Blogbeitrag mehr verpassen!

  • 12x im Jahr aktuelle News aus der IT Security Welt
  • 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
  • 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense

Mein Alltag im Pentester Job

Die Aufgaben eines Pentesters sind spannend und mit kaum etwas anderem im Bereich der IT zu vergleichen. Meine zentrale Rolle ist es, Schwachstellen in den Netzwerken und der IT Security unserer Kunden zu finden. De facto führe ich hierzu Cyberangriffe auf deren Systeme durch.

Penetrationstests führen wir immer in Person durch. Es gibt Anbieter von automatischen Tests, bei denen Programme eine Art Checkliste abspulen und so Netzwerke scheinbar auf Sicherheit testen. Ich als menschlicher Pentester bin effektiver als ein Programm. Ich agiere nicht nur intuitiv, sondern auch der Lage entsprechend. Deshalb habe ich in der Einleitung die Beschreibung „Ich denke wie ein Hacker“ gewählt. Ein echter Pentest erfordert eine reale Person, die die Cyberangriffe simuliert. So finde ich mit meiner Erfahrung sowie der Auswertung der jeweiligen Situation, die ich bei dem Eindringen in fremde Netzwerke vorfinde, jede Schwachstelle. Solche Cyberangriffe finden natürlich nur nach vorheriger Absprache mit unseren Kunden statt. In Deutschland und vielen anderen Ländern sind die Aktionen eines Pentesters nur dann legal, wenn die zu testende Organisation davon in Kenntnis gesetzt ist. Einwilligung und Kenntnis sind erforderlich, da einige der Angriffsmethoden eines Pentesters nach dem Gesetz Straftaten darstellen. Dies ist beispielsweise der Fall, wenn ich bei einem Penetrationstest erfolgreich bin, in das Kundennetzwerk eindringe und an sensible Daten oder persönliche Informationen gelange.

Die Angriffsmethoden eines Pentesters haben viel mit denen echter Hacker zu tun. Es gibt keine bzw. kaum Einschränkungen bei den Angriffsmethoden von Pentestern. Dies ist gleichzeitig wichtig, denn es geht beim Pentester Job darum, dass ich jede noch so kleine Schwachstelle in den Netzwerken unserer Kunden aufdecke. Um dieses Ziel zu erreichen, stehen mir unterschiedliche Untersuchungsmethoden zur Verfügung. Die Security Audit Varianten simulieren die Angriffsszenarien, die auch in realen Situationen eintreten.

Methoden, die ich im Rahmen eines Pentests anwende

Als Black Box Audit bezeichnen wir Tests, bei denen wir keinerlei Kenntnis über Passwörter, Netzwerkstrukturen und andere Details des Kunden haben. Black Box Audits simulieren also Cyberangriffe, wie Hacker sie täglich ausführen. Auf diese Weise prüfe ich die allgemeine Sicherheit von Netzwerken gegenüber externen Angriffen. Zu den Angriffsmethoden des Pentesters im Rahmen des Black Box Auditing gehören beispielsweise DDoS-Attacken. Bei solchen Cyberangriffen überlaste ich ein Netzwerk mit einer konzentrierten, hohen Anzahl an Anfragen, beispielsweise via HTTP. Diese Art der Cyberangriffe im Rahmen eines Penetrationstest überprüft die allgemeinen Fähigkeiten eines Netzwerks, mit Bedrohungen aus dem Internet umzugehen.

Bei einem White Box Audit hingegen nutzen wir für die simulierten Cyberangriffe Informationen über das Netzwerk des Kunden. Diese erhalten wir vorab vom Kunden. Dazu gehören Passwörter, Zugänge zu Konten mit Administratorrechten oder auch Zugriff auf den Source Code von Anwendungen. Gerade bei diesen Tests stoße ich häufig auf Sicherheitslücken. Das White Box Audit wird von Kunden häufig mit dem Ziel beauftragt, Innentäterangriffe aufzudecken. Ehemaligen Mitarbeiter oder auch Angestellten mit bösen Absichten stehen solche Informationen ebenfalls offen. Doch auch externe Angreifer gelangen immer wieder an einige dieser Daten. Es kommt beispielsweise häufig vor, dass Hacker einen aktiven Account eines Mitarbeiters nutzen und von dort Daten entwenden oder Schadsoftware in das Firmennetzwerk einschleusen. Ziel beim White Box Audit ist es, festzustellen, ob die IT Security einer Organisation solche Aktionen von regulären Zugriffen berechtigter Mitarbeiter unterscheiden kann.

Damit ich jede noch so kleine Schwachstelle in den Netzwerken unserer Kunden aufdecke, stehen mir unterschiedliche Untersuchungsmethoden zur Verfügung.

Das Grey Box Audit schließlich ist eine Mischung aus den beiden vorher genannten Angriffsmethoden der Pentester. Mir stehen beim Grey Box Audit limitierte Daten über das Netzwerk des Kunden zur Verfügung. Diese nutze ich bei meinen Versuchen, in das Netzwerk einzudringen. Zu diesen Informationen gehören beispielsweise Netzwerkdiagramme, E-Mail- und IP-Adressen oder Mitarbeiternamen. Diese Daten erleichtern mir die simulierten Attacken auf ein Netzwerk. Wichtiger ist jedoch, dass echte Hacker sich im Vorfeld ebenfalls gerne solche Daten beschaffen. Dies passiert besonders im Rahmen der gefährlichen gezielten Cyberangriffe. Hacker haben bei solchen Attacken oft finanzielle Interessen, beispielsweise Erpressungen durch das Platzieren von Ransomware. Mit dem Grey Box Audit suchen wir verstärkt nach Sicherheitslücken, die solche Attacken ermöglichen.

Ein besonderer Bereich ist der Social Engineering Audit. Der raffinierte Cyberkriminelle nutzt nicht mehr nur Schadsoftware, um in Unternehmensnetzwerke einzudringen. Eines der größten Sicherheitsrisiken in Unternehmen sind die Mitarbeiter. Im Rahmen des Social Engineering Audits wende ich verschiedene Techniken an, die Cyberkriminelle ebenfalls einsetzen. Ich sende beispielsweise gezielte E-Mails an Personen, die bei dem Kundenunternehmen arbeiten. Diese sind auf verschiedene Art und Weise manipuliert. Ich hänge eine Schadsoftware in einer komprimierten Datei an, versende eine manipulierte Word-Datei oder gebe mich als Partnerunternehmen aus und frage sensible Daten ab.

Zu den speziellen Angriffsmethoden der Pentester gehört das Red Teaming. Dieses Audit stellt einen der Höhepunkte der Angriffssimulation dar. Bei dem Red Teaming arbeite ich mit mehreren Kollegen zusammen an einer Cyberattacke. Die Vorgehensweise unterscheidet sich grundlegend von den anderen Angriffsmethoden der Pentester. Bei den White Box, Black Box und Grey Box Audits beispielsweise suche ich Schwachstellen und protokolliere diese. Es erfolgt jedoch keine aktive Attacke oder Ausnutzung der Vulnerabilität. Beim Red Teaming hingegen agieren meine Kollegen und ich als reale Angreifer. Es gibt keinerlei Begrenzungen, keine festgelegten Zielsysteme und auch keine Handlungseinschränkungen. Das Ziel einer solchen Red Teaming Attacke kann die Industriespionage, ein Finanzbetrug oder auch eine komplette Deaktivierung von Systemen sein. Das Red Teaming findet vor allem bei Sicherheitstests größerer Unternehmen Anwendung, die über eine entsprechend leistungsfähige IT Security verfügen. Dies kann ein eigenes Security Operations Center sein. Die IT-Sicherheitsmitarbeiter beim Kunden reagieren dann in Echtzeit auf unseren Angriff. Aus der Sicht unseres Kunden handelt es sich um einen echten Cyberangriff, sodass reale Aktionen erforderlich sind. Ich nutze ebenfalls alle Angriffsmethoden eines Pentester aus, um an unser internes Ziel zu gelangen. Die Ziele des Red Teamings sind es, die Time To Detection (TTD) herauszufinden sowie die Time To Adversary Success (TTAS) zu erfassen. Es geht also darum, zu sehen, wie lange die IT Security des Kunden benötigt, um unsere Aktivitäten zu erkennen und zu stoppen.

Zu meinem Alltag gehört außerdem die permanente Fortbildung. Die Sicherheitslage im Internet ist dynamisch. Neue Formen von Cyberangriffen, aktuelle Entwicklung in der IT Security sowie auch aktualisierte Angriffsmethoden für Pentester verändern die Situation.

Die Verdienstmöglichkeiten im Pentester Job

Der Verdienst als Pentester hängt von einer Vielzahl Faktoren ab. Wichtig ist vor allem die Erfahrung in diesem Sektor, da es keine klassische Ausbildung gibt. Einstiegsgehälter liegen meist in einem Bereich zwischen 3.750 und 4.500 Euro brutto im Monat. Penetrationstester, die mehr als fünf Jahre Erfahrung in diesem Job aufweisen können, verdienen hingegen zwischen 5.500 und 6.500 Euro im Monat. Die Spitzengehälter in Deutschland liegen bei bis zu 8.000 Euro brutto im Monat.

Herausforderungen – das macht den Pentester Job so abwechslungsreich und spannend

Eine der größten Herausforderungen ist gleichzeitig das Reizvolle an dem Pentester Job. Jeder Auftrag ist anders. Wenn ich mit einem neuen Projekt beginne und die verschiedenen Angriffsmethoden des Pentesters durchgehe, weiß ich nie, was mich erwartet. Jedes Netzwerk ist anders aufgebaut, die vorhandene IT Security reagiert unterschiedlich und die Unternehmen nutzen verschiedene Anwendungen. Dies macht jede Aufgabe zu einem Unikat und macht den Pentester Job sehr abwechslungsreich. Ich sehe die Penetrationstest außerdem immer wie eine persönliche Challenge. Das Ziel ist es, die IT Security zu überwinden und das Netzwerk zu kompromittieren. In diesem Punkt denkt ein guter Pentester exakt wie ein Cyberkrimineller bei einem echten Angriff. Auch dieser unternimmt alles, was in seiner Macht steht, um sein Ziel zu erreichen.

Das erwarten meine Kunden

Unsere Kunden erwarten von mir selbstverständlich klare und nachvollziehbare Ergebnisse. Von zentraler Bedeutung ist darüber hinaus die Kommunikation. Eine offene Zusammenarbeit ist wichtig und sorgt für eine Vertrauensbasis. Dies ist notwendig, da ich bei meiner Arbeit in sensible Bereiche von Unternehmen und Organisationen eindringe.

Zu meinem Pentester Job gehört es auch, Ergebnisreports zu erstellen. Diese Berichte enthalten einerseits klare Details über die gefundenen Schwachstellen. Andererseits gebe ich auch Anleitungen für die Behebung dieser Sicherheitslücken. Darüber hinaus weise ich die Kunden auf potenzielle Gefahren hin. So entsteht ein komplexer Report, der mit klaren Empfehlungen dem Kunden die Möglichkeit gibt, konkret seine IT Security zu verbessern und Sicherheitslücken zu schließen. Die Ergebnisse präsentiert ich oder einer meiner Kollegen dem Kunden im Rahmen einer persönlichen Besprechung.

Fazit

Der Beruf des Pentesters ist vielseitig und spannend. Wer in diesem Bereich arbeiten möchte, muss eine natürliche Neugier sowie Kenntnisse in der IT-Sicherheit sowie der Netzwerkadministration mitbringen. Kreativität und ein Antrieb, ein gestecktes Ziel zu erreichen, sind ebenfalls wichtig. Der Pentester verfügt über einen hohen Ausbildungsstand, bildet sich laufend fort und hat dementsprechend gute Verdienstmöglichkeiten. Durch die zunehmende Zahl an Cyberangriffen ist der Pentester Job außerdem eine sichere Berufswahl.

Neugierig geworden? Kontaktieren Sie uns, wenn Sie unsere Pentester für ein Security Audit buchen möchten.

Durch Klicken auf die Schaltfläche "Absenden" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die secion GmbH.

Zurück