Wie wird man Penetration Tester? Die 10 wichtigsten Fragen

Yves Kraft, Senior Security Consultant und Penetration Tester bei Oneconsult

Penetration Tester (kurz: Pentester) stellen ihre Hacking-Fähigkeiten in den Dienst der Allgemeinheit. Sie helfen Organisationen, sich vor Cyber-Kriminellen zu schützen und sind gefragte Security-Fachkräfte. Für alle, die sich für die technische Seite der Cybersicherheit und Problemlösung interessieren, kann dies also ein ebenso aufregender wie erfüllender Karriereweg sein. Aber wie gelangt man dort hin? Und was tun Pentester genau?

Als Senior Penetration Tester bei Oneconsult und langjähriger Digicomp-Trainer beantwortet Yves Kraft die 10 wichtigsten Fragen rund um die Jobrolle des Penetration Testers.

1 Was macht ein Penetration Tester?

Penetration Tester sind für die IT-Security unabdingbar. Sie überprüfen Systeme, Applikationen oder Infrastrukturen auf Schwachstellen und Sicherheitslücken – und dies immer noch zuverlässiger und besser als jedes automatisierte Tool.

Konkret gehen Pentester Fragen nach wie: Ist es möglich, von aussen in ein Firmennetzwerk einzudringen? Wie könnten Hacker Schwachstellen ausnutzen? Welche Schäden könnte ein Cyber-Angriff anrichten? Wie lassen sich Sicherheitslevel erhöhen?

2 Wo arbeiten Penetration Tester?

Pentester arbeiten entweder als externe oder interne Experten in spezialisierten Security-Dienstleistungsunternehmen oder in Security-Abteilungen von Grossfirmen. Im Einsatz sind sie sowohl in der klassischen Büro-IT als auch im industriellen Umfeld. Bei Audits in der Büro-IT überprüfen Penetration Tester beispielsweise die Systeme und Anwendungen, in der Industrie überprüfen sie die Operational Technology, also die Hard- und Software zur Steuerung von Maschinen und Anlagen.

3 Was sind die Aufgaben eines Penetration Testers?

Die Aufgabe eines Pentesters besteht in jedem Umfeld darin, Applikationen oder Infrastrukturen sicherer zu machen. Dabei setzen sie meist offensive Security Techniken und Tools ein, um Schwachstellen und Sicherheitslücken aufzuspüren. Werden diese hinterher geschlossen, sind die Systeme dann vor echten Hackerangriffen geschützt.

4 Wie läuft ein Penetration Test ab?

Einen typischen Penetration Test gibt es nicht. Jeder Test ist auf die spezifischen Anforderungen und Rahmenbedingungen ausgerichtet. Dabei gilt grundsätzlich: ein Penetration Test ist ein simulierter, realitätsnaher Hackerangriff. Während des Tests versetzen sich Pentester in die Rolle eines Hackers. Den Grossteil ihrer Arbeit verrichten sie manuell.

Wichtig ist: Penetration Tester dringen – wenn möglich – in die zu untersuchenden Systeme und Applikationen ein, verändern diese aber nicht dauerhaft oder schädigen sie.

Wird die IT-Infrastruktur getestet, sind die Tests überwiegend unprivilegiert, sprich: Der Pentester kennt – wie ein tatsächlicher Hacker – Zugangsinformationen wie Benutzer und Passwort nicht. Findet er diese während des Tests aber heraus, erfolgen die Tests auch privilegiert.

Stehen Applikationen und ihre zugehörigen Systeme im Front- und Backend auf dem Prüfstand, erfolgen die Penetration Tests sowohl privilegiert als auch unprivilegiert und kombinieren auf diese Weise die Perspektive eines Hackers mit der eines Insiders.

5 Welche Leistungen erbringen Pentester im Rahmen eines Tests?

1. Schwachstellen mit Methoden und Strategien von echten Hackern aufdecken
2. Risiken der Sicherheitslücken klassifizieren
3. Gegenmassnahmen planen (priorisierte Massnahmeempfehlungen)
4. Detaillierter Schlussbericht mit allen Testergebnissen und verwendeten Exploits

6 Welche Tools nutzen Penetration Tester?

Pentester verwenden grundsätzlich dieselben Werkzeuge und Methoden wie kriminelle Hacker. Sie können also legal Dinge tun, für die man sonst im Gefängnis landet. Des weiteren gibt es aber viele nützlich Tools & Frameworks, die speziell Pentester unterstützen wie Kali Linux™, Metasploit™, OWASP Top Ten, MITRE ATT&CK® und die OSSTMM-Methode.

7 Was ist der Unterschied von Penetration Tests und Ethical Hacking?

Im Unterschied zum Ethical Hacking sind Penetration Tests eine flächendeckende, systematische Suche nach allen technischen Sicherheitslücken. Ethical Hacking hingegen ist ein gezielter Hackerangriff gemäss eines präzise formulierten Auftrags. Ziel des Ethical Hackings ist es, technische, organisatorische und konzeptionelle Mängel aufzudecken, wie zum Beispiel suboptimale Trusts zwischen Systemen, Mängel im Zonenkonzept oder falsches Mitarbeiterverhalten. Im Gegensatz zu einem Penetration Test wird die Suche nach Sicherheitslücken gestoppt, sobald eine Verwundbarkeit gefunden wurde, die zur Zielerreichung ausgenutzt werden kann.

8 Welche Skills brauchen Pentester?

Um als Penetration Tester zu arbeiten, braucht es neben einem lebendigen Interesse an Cybersicherheit eine Reihe an Kompetenzen und Fähigkeiten:

• Solides Grundwissen in IT und Sicherheitssystemen: Ein Informatikstudium ist hierbei hilfreich, aber nicht zwingend Voraussetzung.
• Neugier, Lernbereitschaft und die Motivation sich tiefer einzuarbeiten: Die IT ist schnelllebig, es gilt, sich fortwährend weiterzubilden.
• Geduld: Manchmal dauert die Suche nach einer Schwachstelle länger.
• Strukturiertes Denken und Sorgfalt: Pentester müssen gründlich arbeiten.
• Teamfähigkeit: Penetration Tests erfolgen immer im Team.
• Stilsicheres Deutsch und gute Englischkenntnisse für eine reibungslose Kommunikation und Erstellung detaillierter Berichte
• Tadelloser Leumund: Pentester dringen schliesslich in IT-Systeme ein, ihre Arbeit beruht auch auf Vertrauen.

9 Warum lassen sich Pentests nicht einfach automatisieren?

Automatisierte Tools können die Arbeit eines Pentesters nie ersetzen. Automatisierte Tools sind zwar eine gute Unterstützung, ersetzen aber nie den Menschen. Sie haben teilweise zu wenig Intelligenz oder können zum Beispiel mit semantischen Anforderungen bei Formularen nicht umgehen. Zum Beispiel scheitern sie oftmals schon an der Eingabe einer E-Mail-Adresse oder eines Geburtsdatums.

10 Wie wird man Penetration Tester?

Um beruflich den Weg des Pentester einzuschlagen, ist ein Studium hilfreich, aber keine Voraussetzung. Mehr als ein Studium zählen Erfahrung und nachweisbare Kompetenzen.

Erste praktische Erfahrungen in einer simulierten Umgebung können angehende Penetration Tester legal und spielerisch auf verschiedenen Plattformen sammeln, wie zum Beispiel Hack-the-box, VulnHub oder TryHackMe.

Vor allem Fach-Zertifikate sind als objektive Ausweise in der Branche hoch angesehen, wie beispielsweise der «Certified OSSTMM Professional Security Tester» oder «Offensive Security Certified Professional» (OSCP).

Eine der besten Möglichkeiten, sich die Fähigkeiten eines Penetration Testers anzueignen, ist der Besuch von speziellen Weiterbildungsprogrammen. Für Digicomp hat Yves Kraft gemeinsam mit Mathias Gut zwei aufeinander aufbauende Kursreihen entworfen, die Pentester praxisnah auf ihre Jobrolle und international anerkannte Zertifizierungen vorbereitet.