Unabhängige Zertifizierung

Was ein Penetration Tester IP-Netzwerke können muss

09.08.2017
Mit der Online-Prüfung zum ein Penetration Tester IP-Netzwerke, zusammengestellt von Tonke Hanebuth vom Hamburger Systemhaus perComp, können sich ab sofort Interessenten in diesem Berufsbild testen lassen.

"Certified by Professionals" oder kurz CeLS heißen neue Zertifikate, die IT-Experten für Experten entwickeln. Geprüft werden online alle für ein IT-Berufsbild wichtigen Fähigkeiten, Fachkenntnisse, Methoden und Soft Skills. Ganz wichtig dabei: Die Testinhalte liefern IT-Fachleute. Für die bisherigen CeLS-Zertifizierungen konnten erfahrene Profis ihres Fachs gewonnen werden, die gerne ihr Wissen mit der Community teilen möchten.

Zielgruppe der Zertifikate sind IT-Fachleute - festangestellt und freiberuflich, die ihre projektbezogenen Fähigkeiten inklusive der Soft Skills mit einem Zertifikat nachweisen möchten, um so ihre Chancen am Arbeitsmarkt zu verbessern. Für jedes Berufsbild existieren insgesamt drei Tests für Einsteiger und Fortgeschrittene. Der neue Standard ist als herstellerunabhängiger Test gedacht und soll sich nicht mit den etablierten Herstellern messen, die meist ihre eigenen Produkte punktuell zertifizieren.

Tonke Hanebuth: "Ein hohes Maß an Lernbereitschaft und Integration von Erfahrungen ist ebenso wichtig wie umfangreiches Fachwissen und konzeptionelles Denken",
Tonke Hanebuth: "Ein hohes Maß an Lernbereitschaft und Integration von Erfahrungen ist ebenso wichtig wie umfangreiches Fachwissen und konzeptionelles Denken",
Foto: perComp

Die Fragen für den Penetration Tester IP-Netzwerke entwickelte Tonke Hanebuth. Nach seinem Studium der Informatik mit Vertiefung IT-Security beschäftigt er sich seit 1999 beim Systemhaus perComp mit Support zur Schwachstellen-Suche und -Beseitigung und in der Firmenakademie mit Training gegen Malware, Vorträgen und Workshops. perComp ist als Hamburger Systemhaus, Fachhändler und Distributor spezialisiert auf Datenschutz, Lösungen zur Abwehr von Malware, strategische Sicherheitskonzepte und die Ausbildung von IT-Sicherheits-Administratoren.

Der Penetration Tester IP-Netzwerke

Größere Unternehmen lassen ihre systematisch aufgebaute IT-Sicherheit in Abständen praktisch durch Penetration-Tests überprüfen. Mit dem CeLS-Zertifikat "Pentester IP-Netzwerke" soll nun eine qualitative Basis für Bewerber und Unternehmen geschaffen werden. "Ein Pentester muss sich dessen bewusst sein, dass er in einem aus verschiedenen Gründen sehr sensiblen Bereich eines Unternehmens eingesetzt wird", erläutert Hanebuth. Das setze ein hohes Verantwortungsbewusstsein und eine hohe Leistungsmotivation voraus. Unter Umständen werden während der Testleistung empfindliche Bereiche stark beansprucht. "Hier präzise und effizient zu arbeiten, ist wichtig, um Systeme nicht über Gebühr zu belasten", weiß der Hamburger Informatiker. Zielgruppe seien Menschen, die offen für Neues sind und auch unkonventionelle Wege gehen wollen. "Ein hohes Maß an Lernbereitschaft und Integration von Erfahrungen ist ebenso wichtig wie umfangreiches Fachwissen und konzeptionelles Denken", weiß Hanebuth. Wer das Gefühl hat, von allem etwas zu wissen, aber ohne Spezialisierung, könne als Pentester geeignet sein.

"Eine technische IT-Ausbildung ist von Vorteil, aber nicht zwingend erforderlich. Wichtiger noch ist ein umfassendes, in der Praxis zusammengetragenes Wissen", so Hanebuth. Die Grundlage seien umfassende Kenntnisse über Netzwerke und (Server-)Programme sowie der Umgang mit Betriebssystemen und Analyse-Tools. Je komplexer das Wissen des Pentesters ist, desto größer ist auch der mögliche Einsatzbereich. "Ein guter Pentester bewegt sich in Netzwerkprotokollen und Schnittstellen wie ein Fisch im Wasser", erläutert der Sicherheitsprofi. Einige Arbeitgeber setzten für Leitungspositionen einen Hochschulabschluss voraus.

"Ein guter Pentester bewegt sich in Netzwerkprotokollen und Schnittstellen wie ein Fisch im Wasser"
"Ein guter Pentester bewegt sich in Netzwerkprotokollen und Schnittstellen wie ein Fisch im Wasser"
Foto: welcomia - shutterstock.com

Im Test werden begriffliche, rechtliche, organisatorische und technische Grundlagen geprüft. Das reicht von Angriffstechniken über Netzwerke und Programmiersprachen bis zu Vorgehens- und Dokumentationsweisen. "Es ist mir wichtig, dass Pentester sich verantwortungsvoll mit den Rahmenbedingungen auseinandersetzen, also den technischen und gesellschaftlich-sozialen Auswirkungen ihrer Arbeit", formuliert Hanebuth seinen Anspruch. Somit sind für ihn die rechtlichen und organisatorischen Fragen die wichtigste Abgrenzung eines professionellen Pentesters. Wissen über Webserver-Systeme und deren Sicherheitslücken wird nicht in diesem Test abgefragt, sondern unter Leitung des Co-Autors Sönke Freitag im CeLS-Berufsbild "Pentester Web".

Pentestern ist die gesamte Bandbreite vom Freelancer bis zum Angestellten großer Konzerne offen. Es kann alleine gearbeitet werden, häufiger aber in Teams. Dort gibt es natürlich wiederum verschiedene Teammitglieder und einen Teamleiter beziehungsweise Projektleiter. Erfahrene Pentester können auch als Berater arbeiten. Neben dem White-Hat-Hacken ist die Dokumentation ein nicht zu unterschätzender Anteil der Arbeit. Auch die Kommunikation der Erkenntnisse kann eine Herausforderung sein. Manche, auch fest angestellte Pentester verbringen viel Zeit bei externen Kunden, wobei eine höhere Reisebereitschaft vorteilhaft ist.