Was machen Sie als Junior-Penetration-Tester und welche Karrieremöglichkeiten haben Sie?

In der Regel arbeiten Junior-Penetration-Tester für mittelständische Unternehmen oder Regierungen. IT-Strukturen beschäftigen Sie sowohl als Mitarbeiter in einem Team als auch als externen Dienstleister. Als Kundendienstleiter gibt es mehr Nachfrage und Vielfalt, wenn Sie ständig neue Strukturen testen und sehen – branchenübergreifend. In Ihrer Berufserfahrung als Pentester beginnen Sie als Junior-Penetration-Tester, wo Sie in einer unterstützenden Rolle arbeiten oder lediglich kleine Tests durchführen. Sie sind normalerweise nach 3 Jahren Arbeit auf Penetrationstests vor Ort spezialisiert.

Hier wird häufig zwischen zwei Hauptdisziplinen unterschieden: Netzwerkpenetrationstests und Webanwendungen. Nach weiteren 3 Jahren Erfahrung, d. h. 6 Kalenderjahren folgt die letzte Spezialisierung – entweder in Richtung Social Engineering oder in Form einer Branchenspezialisierung (z. B. SAP Penetration Tester oder Siemens Penetration Control Tester) oder in Richtung Teammanagement mit Führungsqualitäten.

Was genau macht ein Junior-Penetration-Tester?

Junior-Penetration-Tester: Aufgaben und Karrieremöglichkeiten
Was genau macht ein Junior-Penetration-Tester?

Die Arbeit lässt sich am einfachsten anhand eines Beispiels beschreiben. In einer idealen Welt würde ein Unternehmen einen Pentester beauftragen, um die neueste Webanwendung oder Software manuell auf Schwachstellen zu testen, bevor sie live geschaltet wird. Anschließend durchläuft er während des Penetrationstests bestimmte Schritte und schreibt einen detaillierten Bericht über jeden Schritt. Junior-Pentester folgen denselben hohen Methodenstandards, die jedoch an die beauftragende Firma oder das Projekt anpassbar sind. Viele dieser Methoden stehen kostenlos zum Download zur Verfügung.

Welche Tools werden am häufigsten verwendet?

Die Werkzeuge unterscheiden sich natürlich je nach Projekt und Projektzweck. Das wichtigste Werkzeug ist schließlich, was Menschen zwischen den Ohren tragen. Die offene Antwort ist ein Webbrowser zum Auffinden von Schwachstellen und zum Sammeln von Informationen, ein Projektmanagement-Tool für die Planung und eine Datenbank zum Sammeln von Daten. Ein Port-Scanner wie nmap, Massscan oder Unicornscan, ein Schwachstellenscanner wie Nessus oder OpenVasund, eine Reihe von Exploits wie Metasploit oder Core Impact Pro sind für Internet-Tests von Interesse.

Die Tools sind für Web-, Wireless- oder andere Testformen sehr unterschiedlich. Aus diesem Grund ist der wichtigste Bestandteil eines erfolgreichen Penetrationstests auch ein arriviertes Team guter Leute, Prozesse und Technologien.

Professionalisierung des Hackens

Professionelle Penetrationstests haben immer einen strukturierten Ansatz. Wenn Sie nur „hacken“, stellen Sie möglicherweise fest, dass nicht alles reproduzierbar ist. Dies reduziert den Informationsgehalt des Penetrationstests erheblich – in einem professionellen Umfeld ist ein geeignetes Verfahren dringend erforderlich. Verschiedene Ansätze sind frei verfügbar. Zumindest sollten Sie dies als Ziel festlegen, bis Sie die notwendigen Änderungen vornehmen können.

Nach dem Penetrationstest müssen Sie einen Bericht erstellen. Er sollte klar, vollständig und auf die Zielgruppe ausgerichtet sein (die niemals homogen sein wird). Es ist auch wichtig, schreiben zu können: schreiben oder auf Fakten hinweisen. Selbstbewusste Rechtschreibung und Grammatik sollte vorhanden sein.

Die Anforderungen an Junior-Pentester sind dementsprechend hoch. Um diese Ansprüche zu erreichen, ist ein hohes Maß an Interesse, intrinsischer Motivation und Initiative erforderlich. Niemand wird Ihnen sagen, wie Sie dorthin gelangen, und wir glauben nicht, dass Sie das wirklich planen können. Wer Sicherheitslücken finden und sich unterhalten möchte, sollte als Junior-Pentester arbeiten.

Was sind Ihre Aufgaben als Junior Pentester?

Als Junior Pentester müssen Sie wertvolle Daten vor Ihrem Unternehmen und den Klienten schützen. Als Mitarbeiter oder externer Dienstleister sind Sie digitalen Bedrohungen wie Viren, Cyber-Vandalismus, d. h. Löschen oder Ändern von Dateien oder Industriespionage ausgesetzt. Gerade in einer Zeit, in der Unternehmen mobile Geräte und Cloud-Lösungen stark nutzen, wird der Schutz großer Datenmengen, auf die jederzeit zugegriffen werden kann und sollte, immer komplexer und wichtiger.

Um mit der Situation fertig zu werden, entwickeln Sie als Pentester eine umfassende Sicherheitsstrategie. Zum einen besteht Ihre Aufgabe darin, IT-Systeme mit technischen Mitteln vor Angriffen zu schützen, zum anderen das Sicherheitsbewusstsein des Unternehmens zu stärken. In Zusammenarbeit mit Mitarbeitern erstellen Sie eine Bedarfsanalyse, führen Sicherheitsüberprüfungen durch, implementieren IT-Sicherheitslösungen und reagieren sofort auf aktuelle Ereignisse wie Hackerangriffe oder Datenverlust.

Pflichten eines Penetrationstesters

Penetrationstests sind nur ein kleiner Cybersicherheitsbestandteil. Penetrationstests beinhalten das Testen von Software und Systemen auf bekannte Sicherheitsverletzungen und die Reaktion von IT-Systemen auf bestimmte Angriffsszenarien. Schlussfolgerungen und wichtige Maßnahmen zur Verbesserung und Gewährleistung der Sicherheit der getesteten IT-Systeme werden auf Basis von Penetrationstests getroffen. Das Auffinden und Testen bisher unbekannter Sicherheitslücken (sogenannte Zero-Day-Schwachstellen) gehört ebenfalls zum Repertoire des Penetrationstesters.

Benötigte Fähigkeiten

Ein tiefes Verständnis über die Funktionen von IT- und Betriebssystemen ist eine der Grundvoraussetzungen, um Software und IT-Systeme auf ihre Sicherheit zu testen. Der zweite wichtige Wissensbestand, in dem Wissen von wesentlicher Bedeutung ist, ist das Thema Netzwerkfunktionen und insbesondere die Netzwerksicherheit. Viren oder Trojaner müssen fern gehalten werden, sind diese allzu oft gut getarnt und für den PC-Nutzer nicht erkennbar.

Der angehende Penetrationstester sollte mit gängigen Angriffsmethoden wie Injektion, Pufferüberlauf, Brute Force und Port-Scanning sowie den geeigneten Verteidigungsansätzen vertraut sein. Eine strukturierte Arbeitsweise ist sehr wichtig. Vor allem ist eine vollständige Dokumentation von Angriffsszenarien und möglichen Lösungen bei den professionellen Arbeitsverfahren von essenzieller Bedeutung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Schreibe einen Kommentar