Testen Sie Ihr Know-how!

Was ein Penetration Tester (Web) können muss

24.10.2017
Mit der Online-Prüfung zum Penetration Tester (Pentester Web), zusammengestellt vom Informatiker und Sicherheitsexperten Sönke Freitag, können sich Interessenten in diesem Berufsbild ab sofort testen lassen.

Welche Voraussetzungen sollte ein Penetration Tester mitbringen? "Neben einer fundierten theoretischen Ausbildung im Bereich Security und Fähigkeiten im Programmieren sowie dem Einsatz von Tools gehört ein großes Maß an Neugier und Experimentierfreudigkeit zum Pentesten dazu", erklärt Sönke Freitag, der sich seit Jahren mit Pentests und Sicherheitsanalysen beschäftigt und die Fragen für den Test entwickelt hat.

Während die Hälfte des IT-Wissens etwa alle zwei Jahre veraltet, sei dies im praktischen Bereich der Sicherheitsanalyse wesentlich schneller der Fall. Zielgruppe seines Tests sind sowohl Quereinsteiger, die aus dem Bereich der Programmierung oder dem Systembetreuungsbereich kommen, als auch Absolventen von sicherheitstechnischen Ausbildungen und Studiengängen.

Sönke Freitag: Ein Pentester für Web-Applikationen muss idealerweise alle gängigen Frontend- und Backend-Techniken beherrschen.
Sönke Freitag: Ein Pentester für Web-Applikationen muss idealerweise alle gängigen Frontend- und Backend-Techniken beherrschen.
Foto: Sönke Freitag

"Während ein einfacher Programmierer sich in seiner Arbeit auf Frontend-Programmierung oder Backend-Programmierung mit einer eingeschränkten Auswahl an Programmiersprachen spezialisieren kann, muss der Pentester für Web-Applikationen idealerweise alle gängigen Frontend- und Backend-Techniken beherrschen", weiß Freitag. Zudem würden noch Kenntnisse von Datenbanksystemen, Protokollen und Server-Konfigurationen sowie der gängigen Angriffsverfahren und Tools benötigt. Als Basis dieser Tätigkeit sei eine sicherheitstechnische, theoretische Grundausbildung von Vorteil. Als Soft Skills werden Kommunikationsfähigkeit und die Erstellung von Reports und Präsentationen benötigt.

Anders als beim Berufsbild des Pentesters IP-Netzwerke (entwickelt von Tonke Hanebuth für den Percomp Verlag - ebenfalls auf CeLS) liegt beim Pentester Web das Augenmerk auf Web-Server-Systemen und deren Sicherheitslücken. Im Test selbst werden neben Basiswissen über die Funktion von Internet-Protokollen auch Angriffstechniken und gängige Angriffsvektoren abgefragt. Zudem kommen noch einige Fragen zu bekannten Sicherheitsproblemen hinzu.

Die typische Funktion des Pentesters ist zum einen die Prüfung der Systeme eines Klienten vor der Inbetriebnahme oder vor der Zertifizierung der Organisation (zum Beispiel nach ISO 27001). Zum anderen testet er auch bestehende Systeme auf neue Sicherheitslücken. "Das Besondere an dieser Arbeit ist die Vielfältigkeit der Systeme, Kunden und Applikationen", so Freitag. Ein hohes Maß an Flexibilität und Reisebereitschaft seien darüber hinaus unabdingbar. Karrieremöglichkeiten bestehen sowohl als Teamleiter als auch als Consultant.

"Certified by Professionals" oder kurz CeLS heißen neue Zertifikate, die IT-Experten für Experten entwickeln. Geprüft werden online alle für ein IT-Berufsbild wichtigen Fähigkeiten, Fachkenntnisse, Methoden und Soft Skills. Ganz wichtig dabei: Die Testinhalte liefern IT-Fachleute. Für die bisherigen CeLS-Zertifizierungen konnten erfahrene Profis ihres Fachs gewonnen werden, die gerne ihr Wissen mit der Community teilen möchten.

Zielgruppe der Zertifikate sind fest angestellte und freiberufliche IT-Fachleute, die ihre projektbezogenen Fähigkeiten inklusive der Soft Skills mit einem Zertifikat nachweisen möchten, um so ihre Chancen am Arbeitsmarkt zu verbessern. Für jedes Berufsbild existieren insgesamt drei Tests für Einsteiger und Fortgeschrittene. Der neue Standard ist als herstellerunabhängiger Test gedacht und soll sich nicht mit den etablierten Herstellern messen, die meist ihre eigenen Produkte punktuell zertifizieren.

Die Fragen zum Penetration Tester entwickelte Sönke Freitag. Er gründete 1991 aus einem Studentenjob heraus seine Firma, erstellte Websites und entwickelte im Datenbankumfeld (ERP, CRM, B2B). Parallel dazu hat er nach dem Vordiplom in Erlangen Informatik an der Universität Hamburg studiert, wo er am Viren-Testcenter unter Professor Klaus Brunnstein Publikationen über diverse Sicherheitsthemen wie polymorphe Viren, Novell-Netware-Sicherheit, Sicherheit im digitalen Telefonnetz, Viren im Internet und viele andere veröffentlichte. Seit 1999 kamen immer mehr Sicherheitsanalysen und Pentests zum Aufgabenbereich hinzu und bilden seit mehreren Jahren die Haupttätigkeit der Firma.