Penetrationstester (Pentester) sind Cybersicherheitsexperten, welche die Cyberresilienz von Organisationen testen, um Cyberattacken zu verhindern. Ähnlich wie ein Hacker versucht ein Penetrationstester Schwachstellen zu identifizieren und auszunutzen. Der entscheidende Unterschied ist, dass ein Pentester Schwachstellen nur bestätigt, an den Auftraggeber berichtet und eindeutige Anweisungen zur Behebung liefert. Er nutzt sie niemals für kriminelle Zwecke aus.
Damit Sie Ihrer wichtigen Rolle im Kampf gegen Cyberkriminalität gerecht werden, benötigen Pentester umfassendes IT-Sicherheitswissen und einige andere Qualifikationen. Aber keine Sorge, damit der Start in die komplexe, aber spannende Welt des Pentestings für euch leichter wird, haben wir in diesem Artikel ein paar hilfreiche Tipps gesammelt.
Übrigens: In diesem Beitrag findest du exklusive Tipps von unserem bugshell CTO Inko Lorch. Inko ist selber seit vielen Jahren Penetrationstester und kennt die Branche genau. Bugshell bietet eine Plattform für europäische Cybersicherheitsexperten und fokussiert sich hauptsächlich auf Penetrationstests. Solange du ein EU-Staatsbürger bist und schon ein wenig Erfahrung gesammelt hast, schick uns gerne eine Bewerbung über unsere Webseite! Wir freuen uns über jedes neue Mitglied in unserer Community und glauben fest daran, dass unsere bugshell Familie untereinander hilfreiches Wissen austauschen kann.
Was sind die Aufgaben eines Penetrationstesters?
Pentester prüfen Computersysteme, Netzwerke und Anwendungen auf Schwachstellen. Sie nehmen dabei die Perspektive eines realen Angreifers ein. Auf Grundlage der Ergebnisse wird den Verantwortlichen der getesteten Organisation ein Maßnahmenplan vorgestellt, mit dem die Sicherheitslücken beseitigt werden können.
Penetrationstester gehören zur Gruppe der “ethischen Hacker” und werden auch “white hats” genannt. Sie führen eine reihe von Aufgaben aus, wie z.B. sogenannte Kopfgeldjagden (Bug Bounty). Im Gegensatz zu böswilligen Angreifern (black hats) verwenden sie ihr Können niemals für kriminelle Aktivitäten.
Der Unterschied zwischen Penetrationstests und anderen ethischen Hacking Methoden ist, dass der Penetrationstester für ein bestimmtes Projekt, konkrete Zielsysteme und einen vorher definierten Projektzeitraum bezahlt wird. Das erlaubt es Penetrationstestern auch Ziele im internen Netzwerk eines Unternehmens zu testen, was den Pentest zu einer realistischeren Simulation einer Cyberattacke macht.
Mögliche Aufgaben eines Pentesters sehen wie folgt aus:
- Projektaquise und Projektvorbereitung
- Reconnaissance
- Vulnerability assessment & exploitation
- Source Code Review
- Reverse Engineering
- Durchführen von Social-Engineering Angriffen (z.B. Phishing)
Die Durchschnittsgehälter in 2023 gestalten sich wie folgt:
- < 3 Jahre Berufserfahrung = 51.000€ p.a.
- 3-6 Jahre Berufserfahrung = 67.583€ p.a.
- 7-9 Jahre Berufserfahrung = 70.369€ p.a.
- > 9 Jahre Berufserfahrung = 80.945€ p.a.
In den nächsten Abschnitten erfahrt ihr konkrete Tipps, um Penetrationstester zu werden. Um detaillierte Informationen über Pentesting zu bekommen schaut gerne in diesen Artikel.
Tipp 1: Lerne erstmal die Basics des Pentestings
Natürlich ist ein abgeschlossenes Hochschulstudium im Bereich Informatik oder Computer Science grundsätzlich sinnvoll und erleichtert den Einstieg in die Arbeitswelt der Cybersicherheit und des Programmierens. Allerdings ist es kein Problem, wenn du dir dein Wissen als Quereinsteiger oder Autodidakt selbst angeeignet hast. Tatsächlich haben viele berühmte Cybersicherheitsexperten ihre grundlegenden Skills als Teenager gelernt. Dennoch gibt es einige Dinge, die du auf jeden Fall mitbringen solltest.
Folgende Skills stellen eine gute Grundlage dar:
- Windows und (Kali) Linux Basics
- Funktionsweise von Netzwerken und Protokollen (IP, TCP/UDP, HTTP …)
- Basiskenntnisse in Sprachen wie Python oder C
- Der Wille zu lernen und sich anzupassen
Arbeitserfahrungen als IT-Systemadministrator, Web-Anwendungsentwickler, Netzwerkadministrator oder IT-Security Analyst erleichtern ebenfalls den Einstieg als Penetrationstester. Eure Skills könnt ihr außerdem mit zahlreichen Zertifikaten nach außen hin beweisen, welche euren Marktwert als Penetrationstester erhöhen. Ein Beispiel dafür ist die OSCP-Zertifizierung: PEN-200. Zum Erhalt müsst Ihr einen Kurs abschließen und eine Prüfung bestehen.
Weitere praktische Inhalte könnt ihr mithilfe des nächsten Tipps erlernen.
Tipp 2: Nutze Lernangebote für Penetrationstester
Das Internet bietet beim Erlernen neuer Skills unendliche Unterstützung auf YouTube, Foren oder anderen Plattformen. Dies gilt auch für das Pentesting. Um deine Skills zu verbessern und praktische Erfahrungen mit echten Schwachstellen der IT-Sicherheit zu sammeln, sind online Lernangebote von HackTheBox oder TryHackMe gute Ausgangspunkte. Da einige Informationen hinter einer Paywall versteckt sind, hier der Hinweis: Alles Wissen gibt es auch gratis im Internet, nur nicht so angenehm aufbereitet.
HackTheBox (HTB)
Bei HackTheBox könnt ihr euch kostenfrei registrieren und einige kostenlose Basismodule absolvieren. Weitere Inhalte können zusätzlich kostenpflichtig erworben werden. Dabei setzt HTB vor allem auf Gamification im Rahmen des Lernens von ethischem Hacken. Teilnehmer können auf dem Weg zum Hacking Guru verschiedene Ränge erklimmen und ihr Können bei unterschiedlich schwierigen Aufgaben unter Beweis stellen.
Dabei bietet HTB ein eigenes Penetrationstester Paket an, bestehend aus 28 einzelnen Modulen, welches gerade für Newcomer einen guten Start gewährleistet. Auf der Webseite vorbeizuschauen lohnt sich also auf jeden Fall!
TryHackMe (THM)
Ähnliche Angebote findet Ihr auf TryHackMe (THM). Wenn Ihr euch selbst noch als blutige Anfänger bezeichnen würdet, dann werdet ihr hier vermutlich noch etwas mehr Beginner Inhalte finden. THM ist zum reinen Lernen neuer Inhalte wahrscheinlich etwas besser geeignet und zudem auch etwas preiswerter.
Sollte euer Budget es nicht hergeben eine der Plattformen zu nutzen, dann seid unbesorgt: Alle Inhalte gibt es kostenlos im Netz und die Suche danach ist ein hilfreicher Teil eurer Ausbildung. Grob kann es aber sinnvoll sein, Inhalte auf TryHackMe oder YouTube zu lernen und seine Skills dann bei HackTheBox auszuprobieren. Welchen Anbieter Ihr im Zweifel vorzieht, oder ob ihr auf kostenpflichtige Angebote verzichtet, ist eure Entscheidung.
Um euch ein wenig zu helfen: Schaut auf HackTricks vorbei. Hier findet ihr nützliche Tricks und Techniken rund um das Pentesting. Ebenfalls hilfreich ist VulnHub als Quelle für virtuelle Maschinen, an denen ihr eure gelernten Skills ausprobieren könnt.
Tipp 3: Kein Penetrationstester ohne Programmierkenntnisse
Gerade wenn du noch keine Erfahrungen mit Programmiersprachen hast, bietet es sich an, mit Python zu starten. Programmieren und Hacken sind natürlich zwei verschiedene Dinge. Allerdings sind Basiskenntnisse einer Programmiersprache unerlässlich, wenn man zum Pentesting-Profi werden möchte. Python ist eine verhältnismäßig einfache und flexible Programmiersprache, aber dennoch leistungsstark. Sie sollte definitiv zum Repertoire eines Penetrationstesters gehören.
Im Bereich Cybersicherheit und Pentesting existieren bereits eine Vielzahl von Tools und Skripts in Python. Aber auch wenn Ihr an den Punkt kommt, eure eigenen Tools schreiben zu wollen, kann Python durch seine Einfachheit und Schnelligkeit punkten. Je nachdem, was Ihr im Bereich des Pentesting erreichen wollt, können aber auch andere Programmiersprachen wie C oder JavaScript in Frage kommen.
Fazit
Der Weg zu einem erfolgreichen Penetrationstester ist wie so oft sehr individuell. Mit diesen Tipps geben wir euch also mögliche Anhaltspunkte für den Start in die Welt des Penetration testing. Finde also gerne deinen eigenen Weg, um deine Skills zu perfektionieren. Aber bedenke: um die Basics kommt niemand herum! Sobald der Grundstein gelegt ist unterstützen dich HackTricks und VulnHub auf deinem Weg als Pentester. Hoffentlich können wir dir mit diesem Artikel einen ersten Überblick verschaffen und dich in unserer Community begrüßen, sobald du ein Pentester geworden bist!