Traumjob Pen Tester Mit ‚kriminellem‘ Gespür Sicherheit schaffen

Autor / Redakteur: Johannes Ullrich* / Stephan Augsten

Fachkräfte im Bereich der IT-Sicherheit erfreuen sich großer Nachfrage. Ein Fachkrafttyp ist besonders begehrt: der Penetration Tester, kurz „Pen Tester“. Dies ist nicht verwunderlich, schließlich nehmen Hacking-Attacken auf Unternehmen und Behörden stetig zu.

Firmen zum Thema

Der Penetrationstester befasst sich legal damit, die IT seines Kunden möglichst unbemerkt zu infiltrieren.
Der Penetrationstester befasst sich legal damit, die IT seines Kunden möglichst unbemerkt zu infiltrieren.
(Bild: Archiv)

Penetration Tester überprüfen Systeme und Anwendungen für ihre Auftraggeber auf etwaige Schwachstellen, um das Risiko eines erfolgreichen Hacker-Angriffs zu minimieren. Hierzu verschaffen sie sich mitunter selbst einen Zugriff auf die Systeme ihrer Kunden. Ein spannendes Arbeitsgebiet, gerade für IT-Spezialisten, die sich bereits seit ihrer Jugend dem White Hat Hacking verschrieben haben.

Komplexe Systeme, wie die Großrechneranlage einer Forschungseinrichtung oder eine Bank, werden ganz legal geknackt, um sie in der Praxis auf ihre Schwachstellen abzuklopfen. Dies verleiht dem Beruf des Pen Testers einen ganz besonderen Reiz. Noch dazu genießen Penetrationstester, die jedes System individuell angehen müssen, ein für die gesamte IT-Sicherheitsbranche außergewöhnliches Maß an Freiheit.

Doch nicht nur Freiheit, auch Arbeitsplatzsicherheit zeichnet den Beruf des Pen Testers aus. Ob als Mitarbeiter der IT-Sicherheitsabteilung eines Unternehmens, in einem IT-Beratungsunternehmen oder als freiberuflicher IT-Sicherheitsberater, Pen Tester werden überall gebraucht. Ein Zustand, an dem sich auch in den kommenden Jahren kaum etwas ändern wird.

Täglich neue Herausforderungen statt grauer IT-Alltag

Nur wenig hat die Arbeitswirklichkeit eines Pen Testers mit dem häufig grauen Alltag der übrigen IT-Sicherheitsbranche gemein. Dies versuchen auch Steven Sims und Erik van Buggenhout, Pen-Testing-Trainer des SANS-Instituts (SysAdmin, Networking and Security Institute), den Teilnehmern ihrer Schulungskurse zur IT-Sicherheit zu vermitteln.

Pen Tester sind laut Sims tagtäglich mit etlichen Aufgaben konfrontiert. Sie müssen Angriffe auf Netzwerke von Klienten starten, analysieren und auswerten, Werkzeuge gegen Angriffe entwerfen und mit dem Klienten über dessen Bedrohungslage kommunizieren.

Per Social Engineering, Spear Phishing und zahlreichen anderen Angriffsmethoden versucht der Pen Tester, zum System eines Klienten vorzudringen, um es anschließend zu infiltrieren. Hat er sich einen ersten Zugang verschafft, bemüht sich der Penetrationstester darum, von Administratoren oder der Unternehmensführung weitere Zugangsrechte zu ergattern, um tiefer in das System eintauchen zu können.

Die Ist-Situation verständlich wiedergeben

Pen Tester bieten den Unternehmen somit die Möglichkeit, die Sicherheitsarchitektur ihres IT-Bereichs einem tatsächlichen Praxistest zu unterziehen. Potenzielle Schwachstellen und das Ausmaß der Verwundbarkeit des Unternehmens lassen sich so erkennen, analysieren und dem Klienten in einer ihm verständlichen Form vorführen.

Schließlich steht der Pen Tester auch in ständigem Kontakt mit seinen Klienten. Er geht nicht nur auf die von ihm im Pen Test erkannten tatsächlichen Bedrohungen ein, sondern spricht auch diejenigen Gefahrenherde an, die den Klienten belasten. Der Kunde erfährt, inwieweit die Geschäftstüchtigkeit des Unternehmens gefährden ist und welche Bereiche der IT-Infrastruktur des Kunden schwerpunktmäßig regelmäßigen Tests unterzogen werden sollten.

Ein zusätzliches Aufgabengebiet sieht van Buggenhout im Bereich des Managements. Baut man ein eigenes Sicherheitsunternehmen auf oder steigt in eine höhere Position, wird man früher oder später zwangsläufig auch Penetration Tests managen müssen. Hierzu gehören dann auch Aufgaben wie das Erstellen von zusammenfassenden Berichten, die Abnahme von Qualitätskontrollen und die Erstellung methodischer Updates.

Mit Kreativität und Kommunikationstalent zum Erfolg

Als Voraussetzungen für einen guten Pen Tester führt van Buggenhout vor allem zwei Charaktereigenschaften an: Kreativität und Disziplin. Pen Tester müssen in der Lage sein, sich in angreifende „Black Hat“-Hacker hineinzuversetzen. Nur so können sie das System auf alle potentiellen Schwachstellen abklopfen, die wahrscheinlichsten Hintertüren offenlegen und Angriffe schon im Vorfeld verhindern.

Hier ist vor allem Kreativität gefragt. Disziplin ist dann in der dem Hacking folgenden Dokumentation und Kommunikation mit dem Klienten erforderlich. Pen Tester müssen in der Lage sein, ihr meist hochkomplexes technisches Vorgehen dem Kunden verständlich und eindringlich vor Augen zu führen.

Gut aufbereitete Berichte sind dabei unerlässlich. Die Fähigkeit, anschauliche Diagramme anzufertigen, gehört hier ebenso dazu, wie eine prägnante, zielgerichtete Präsentation. Dem Kunden soll nicht allein die Lage geschildert, ihm müssen auch Lösungsmöglichkeiten an die Hand gegeben werden. Die Vorgabe klarer Prioritäten, welche Problemfelder des IT-Bereichs zunächst angegangen werden sollten, ist dabei unerlässlich.

Vom Freizeithacker zum Sicherheitsspezialisten

Pen Tester wird man nicht über eine Ausbildung oder ein Studium. Meist handelt es sich bei ihnen um Quereinsteiger, die aus anderen IT-Bereichen überwechseln und ihr seit Jahren ausgeübtes Hobby zum Beruf machen. Insofern ist dieser Berufstyp vor allem für Freizeit-Hacker interessant.

Wie in kaum einem anderen IT-Bereich gilt hier, dass die Praxis den Meister macht. Schließlich soll ein Pen Tester in der Lage sein, wie ein angreifender Hacker zu denken. Auch ein ständiger Austausch mit anderen Experten, zum Beispiel über eine Mitgliedschaft im Chaos Computer Club (CCC), kann hierbei sehr hilfreich sein. Allerdings haben sich inzwischen auch Hochschulen und Universitäten des Themas angenommen und begonnen, spezielle Hacker-Kurse anzubieten.

In Deutschland tun sich diesbezüglich die beiden Hacker-Hochburgen Darmstadt und Dortmund besonders hervor. So bietet die Technische Universität Darmstadt 1999 ein ‚Hacker-Praktikum‘ an. An solchen und ähnlichen Schulungskursen erhalten potentielle Pen Tester auch Einblicke in den rechtlichen Rahmen ihres Handelns und die Ethik des Hackens.

Hier können dann häufig auch erste Kontakte in die spätere Arbeitswelt geknüpft werden. Viele Universitäten und Hochschulen unterhalten Forschungskooperationen mit privaten IT-Unternehmen. Am Ende muss ein guter Pen Tester dann aber eben doch mehr sein als lediglich ein guter Student oder jemand, der sich für IT-Sicherheit begeistert. Entscheidend ist das richtige Bewusstsein, ein „hacker mindset“ , das ohne jahrelanges kontinuierliches Austesten in der Praxis nicht erreicht werden kann.

Weiterbildung zum zertifizierten Pen Tester am SANS Institut

Pen Testern nun ein weiteres Rüstzeug an die Hand zu geben, sie ständig auf dem neuesten Stand zu halten, dem hat sich das SANS Institut verschrieben. 1989 gegründet, vereint es bis heute Forschung und Lehre unter einem Dach. Spezialisten der unterschiedlichsten IT-Sicherheitsbereiche berichten hier von den praktischen Erfahrungen, die sie in ihrem bisherigen Berufsleben gesammelt haben.

Gemeinsam mit den übrigen Experten versuchen sie, Lösungen für die derzeitigen schwelenden Gefahrenherde ihrer Branche zu finden. So geht es am Institut vor allem um Einblicke und Eingriffe in die Praxis des Sicherheitsbetriebes. Über 165.000 Fachkräfte der IT-Sicherheit haben bislang von der Arbeit des Instituts profitiert. Weltweit ist es die größte Quelle für Informationssicherheitstraining und Sicherheitszertifikate.

Speziell für Pen Tester bietet das SANS-Institut bereits seit einiger Zeit das Zertifikat GIAC Penetration Tester (GPEN) an. Es belegt Kenntnisse über technische Methoden, den rechtlichen Rahmen, Organisatorisches sowie praktische technische wie nicht-technische Spezifika zur Umsetzung eines Pen Tests. Pen Tester erhalten so die Möglichkeit, ihre Fertigkeiten zu prüfen, in einen ständigen Austausch mit den weltweit besten Kräften zu treten.

Mehr über Pen Testing können Interessierte von Montag bis Samstag, 22. bis 27. Juni, während der Pen-Test-Trainings des SANS-Instituts in Berlin lernen.

* Johannes Ullrich ist Forschungsleiter beim SANS Institute.

(ID:43313065)