• Was macht eigentlich ein Penetrationstester?

    Ein Tag im Leben eines Penetrationstesters....

    Ein typischer Tag für einen Penetrationstester kann je nach Unternehmen, für das er arbeitet, deutlich anders aussehen als der eines anderen. Für den einen kann es erforderlich sein, zwischen verschiedenen Standorten zu reisen, nach Feierabend der Kollegen oder an Wochenenden arbeiten zu müssen. Das ist notwendig, um den Arbeitsablauf des Unternehmens nicht zu stören. Einige Aufgaben lassen sich auch aus der Ferne oder mit Telearbeit erledigen. Aber das Herzstück der Arbeit als Penetrationstester ist die Identifizierung von Schwachstellen in den informationsverarbeitenden Systemen des Unternehmens. Wie macht der Pen-Tester das? Indem er versucht, diese auszunutzen und dann Lösungen zur Behebung der Schwachstellen zu finden, um die Informationen des Unternehmens sicher zu halten.

     

    Wie sehen typische Aufgaben eines Penetrationstesters aus?

    -> Planung spezifischer Penetrationstests.

    -> Erstellen oder Auswählen der entsprechenden Testwerkzeuge.

    -> Durchführen des Penetrationstests in Netzwerken, Anwendungen oder Systemen im Unternehmen.

    -> Dokumentationsmethoden.

    -> Identifikation von Schwachstellen anhand der gesammelten Daten.

    -> Überprüfung und Bewertung der Ergebnisse.

    -> Etablierung möglicher Lösungen für die Schwachstellen.

    -> Feedback und Empfehlungen an das Management oder an den Kunden aussprechen.

     

    Wie schaut eine typische Stellenausschreibung eines Penetrationstesters aus?

    Als Penetrationstester ist man dafür verantwortlich, dass Informationssysteme vor Hackern geschützt werden. Das bedeutet, dass die Rolle die Durchführung von Tests für Anwendungen, Netzwerke und Software umfasst. Du wirst versuchen, dich in die Systeme zu hacken, um auf Daten zuzugreifen, die für Unbefugte nicht zugänglich sein sollten. Du bist dafür verantwortlich, mögliche Schwachstellen in bestehenden Systemen zu identifizieren und mit anderen Abteilungen und Fachleuten zusammenzuarbeiten, um den effektivsten und effizientesten Weg zu deren Behebung zu finden. Dies kann das Hinzufügen neuer oder zusätzlicher Sicherheitsmaßnahmen und das Umschreiben von Programmcode erfordern. Oder es führt eben zu Anpassungen vorhandener Konzepte.

    Zusätzliche Aufgaben für einen Penetrationstester umfassen die Überprüfung von Vorfällen in den Systemen, die Dokumentation von Bedrohungen und die Erstellung von Berichten über erlangte Ergebnisse. Möglicherweise wirst du dazu aufgefordert, verbesserte Sicherheitsprotokolle und -richtlinien zu entwickeln und in Abstimmung mit dem Management einzuführen.

    Letztendlich wirst du dein Wissen einsetzen, um Schwachstellen in Netzwerken, internen Systemen und Anwendungen zu finden. Dies kann automatisierte Tests beinhalten, kann aber auch einen manuellen Versuch erfordern, die Sicherheit zu durchbrechen. Dazu kann auch die Erstellung neuer Tests zur Identifizierung von Systemschwächen und die Identifizierung von Einstiegsmöglichkeiten für Hacker gehören. Wenn Schwachstellen identifiziert werden, bist du dafür verantwortlich, Manager oder Führungskräfte zu beraten, wie man die Systeme sicherer macht.

     

    Was sind die Anforderungen an einen Penetrationstester?

    Mit ein wenig Glück findet man einen Job als Penetrationstester, der ausschließlich auf dem Vorhandensein der richtigen Fähigkeiten basiert. Viele Arbeitgeber ziehen vor, Penetrationstester einzustellen, die bereits über einschlägige Berufserfahrung in diesem Gebiet verfügen. Einige Arbeitgeber wollen Arbeitnehmer, die mindestens über einen Bachelor-Abschluss verfügen. Manche möchten vielleicht, dass Penetrationstester über Programmierkenntnisse in bestimmten Programmiersprachen und Betriebssystemen verfügen. Darüber hinaus können Arbeitgeber verlangen, dass Penetrationstester über eine Zertifizierung in ethischem Hacking und anderen IT-Sicherheitsbereichen verfügen.

    Zusätzlich zur Ausbildung müssen Penetrationstester über bestimmte Fähigkeiten verfügen. Dazu zählen z.B. ausgezeichnete Computerkenntnisse, um Hacking-Systeme ausprobieren zu können. Es werden fundierte analytische Fähigkeiten gefordert, um die Prozesse zur Lösung bestehender und potenzieller Sicherheitsbedrohungen zu bewerten und analysieren zu können. Zudem ist es wichtig, über gute Kommunikationsfähigkeiten zu verfügen, da regelmäßig Berichte geschrieben werden müssen und eng mit anderen IT-Experten und Abteilungen zusammengearbeitet wird. Vor allem aber müssen Penetrationstester über entsprechend gute Problemlösungsfähigkeiten verfügen. Damit sie die besten Lösungen der vorhandenen Probleme und den bestmöglichsten Schutz von Netzwerken vor potenziellen Bedrohungen oder Verletzungen bestimmen können.

     

    Welche Rolle und Verantwortlichkeiten gibt es für den Penetrationstester?

    Als Penetrationstester versuchst du, Sicherheitsschwachstellen in den Netzwerken eines Unternehmens oder eines Kunden zu identifizieren und diese zu beheben. Hierbei musst du manchmal neue oder verbesserte Sicherheitsprotokolle erstellen und implementieren. Dies beinhaltet viele Verantwortlichkeiten und Aufgaben.

    Als Penetrationstester wirst du folgende Verpflichtungen wahrnehmen müssen:

    -> Durchführung von Penetrationstest an Computersystemen, Netzwerken und Anwendungen. Sowie die Bewertung von neuen Softwareprodukten.

    -> Erstellen von neuen Testmethoden, um Schwachstellen zu identifizieren.

    -> Durchführung von physischen Sicherheitsbewertungen von Systemen, Servern und anderen Netzwerkgeräten zur Identifizierung von Bereichen, die physischen Schutz erfordern.

    -> Identifizierung von Methoden und Einfallstoren, die Angreifer verwenden können, um Schwachstellen oder Hintertürchen auszunutzen.

    -> Suche nach Schwachstellen in gängiger Software, Webanwendungen und proprietären Systemen.

    -> Recherche, Bewertung, Dokumentation und Diskussion der Ergebnisse mit IT-Abteilung und Management-Ebene.

    -> Überprüfung und Bereitstellung von Feedback für Korrekturen der Informationssicherheit in Zusammenarbeit mit IT-Abteilung und Informationssicherheitsbeauftragten bzw. auch dem Datenschutzbeauftragten.

    -> Verbesserungen für bestehende Sicherheitsdienste, einschließlich Hardware, Software, Richtlinien und Verfahren, einführen.

    -> Identifizierung von Bereichen, in denen Verbesserungen bei der Sicherheitsaufklärung und dem Bewusstsein der Mitarbeiter erforderlich sind.

    -> Sensibilisierung für unternehmerische Überlegungen bei der Durchführung von Tests (Minimierung von Ausfallzeiten und Produktivitätsverlust der Mitarbeiter).

    -> Permanent auf dem Laufenden über die neusten Malware- und Sicherheitsbedrohungen bleiben. Die Angreifer schlafen nie und neue Angriffsmethoden gibt es immer schneller!

     

    Während die oben genannten Aufgaben typische Aufgaben für einen Penetrationstester sind, können diese je nach Unternehmen, für das man arbeitet, unterschiedlich ausfallen. Manchmal gibt es Überschneidungen in IT-Positionen, daher ist es wichtig, flexibel zu sein und in einem geschlossenen Team zu arbeiten. Die Kommunikation untereinander stellt mitunter einen sehr wichtigen Faktor dar, da man sich regelmäßig über neue Angriffsmuster und Schwachstellen austauschen muss.

     

    Hier noch ein interessanter Artikel zum Thema Penetrationstest!

    Penetrationstests: Gut investiert oder teure Spielerei?

    Wir benutzen Cookies

    Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.

    Weitere Informationen Impressum