Penetration-Tester/-in

Cyber-Kriminelle und Hacker stellen für Unternehmen aller Branchen eine potenzielle Gefahr dar. Sie müssen daher Vorkehrungen treffen, um ihre IT-Sicherheit zu erhöhen, indem sie möglichst lückenlose Sicherheitssysteme entwickeln. Penetration-Tester stellen diese Sicherheitssysteme auf die Probe: Im Auftrag von Unternehmen übernehmen sie die Durchführung von Penetrationstests und simulieren einen Cyber-Angriff auf das jeweilige Zielsystem. Ein Anlass hierfür kann der Launch einer neuen Applikation, ein wichtiges Update oder die regelmäßige Überprüfung der Sicherheitsstandards sein. Hierbei testen sie die Netzwerksicherheit unter anderem durch realistische Angriffe auf das Betriebssystem, das Softwaresystem oder Webanwendungen.

Das Ziel dieses Vorgehens ist die Testung und Identifikation von Schwachstellen. Dabei werden sowohl bereits bekannte Sicherheitsschwächen überprüft als auch neue Lücken in der IT gesucht. Im Gegensatz zu einigen verwandten Berufen im Bereich der IT-Sicherheit – wie beispielsweise dem IT Security Consultant, welcher lediglich auf die Lücke hinweist – müssen Penetration-Tester die Schwachstelle testen und mit einem „proof of concept“ belegen. Daher ist auch die Dokumentation des Vorgehens eine wichtige Aufgabe von Penetration-Testern. Die IT-Verantwortlichen innerhalb der Unternehmen können anschließend dieses Wissen nutzen, um die Netzwerksicherheit nachzubessern.

Durch die Digitalisierung der Berufswelt betreffen Fragen der IT-Sicherheit Unternehmen aller Branchen. Ebenso vielfältig sind daher die Einsatzmöglichkeiten einer Penetration-Testerin. Während größere Firmen den Aufgabenbereich innerhalb der eigenen IT-Abteilung abdecken und gegebenenfalls mit anderen IT-Jobs kombinieren können, verlassen sich kleinere Unternehmen auf externe Expertise. Dementsprechend kann eine Penetration-Testerin direkt bei einem Dienstleister für IT-Sicherheit Anstellung finden oder sich im Consulting selbstständig machen.

Für eine Laufbahn als Penetration-Tester ist kein bestimmter Bildungsweg vorgeschrieben. Allerdings sollten Berufsanwärter über Vorwissen und im besten Falle über eine abgeschlossene Ausbildung im Bereich IT-Sicherheit oder Informationstechnik verfügen. Beispiele für mögliche Bildungswege sind:

• IT-Sicherheitskoordinator (Weiterbildung)
• Fachinformatiker – Anwendungsentwicklung (Duale Ausbildung)
• IT-Sicherheit (Studium)
• Softwaretechnik (Studium)

Darüber hinaus bieten spezielle Bildungsanbieter unterschiedliche Kurse und Trainings für angehende Penetration-Tester an, um ihnen das nötige Fachwissen zu vermitteln.

Anpassungsweiterbildungen können dabei helfen, bestehendes Wissen zu vertiefen und neue Kompetenzen zu erlernen. Penetration-Tester können auf diese Weise neue Entwicklungen und Technologien im Bereich der IT kennenlernen und so in einem dynamischen Arbeitsfeld stets auf dem aktuellen Stand bleiben. Interessante Weiterbildungsthemen sind unter anderem:

• IT-Sicherheit, Datenschutz
• Systemadministration, Netzwerkadministration
• Datenbankadministration
• IT-Service-Management, IT Infrastructure Library

Aufstiegsweiterbildungen können die Karriereperspektiven verbessern und den Weg in Führungspositionen ebnen. Für Penetration-Tester eignet sich hier vor allem die Absolvierung eines grundständigen oder weiterführenden Studiums in einem der folgenden Bereiche:

• Informatik
• IT-Sicherheit
• Softwaretechnik
• Wirtschaftsinformatik

Außerdem ist der Schritt in die Selbstständigkeit eine weitere Möglichkeit zur beruflichen Weiterentwicklung für Penetration-Tester. Beispielsweise können sie sich im Bereich des Consultings selbstständig machen.

Um im Bereich der Informationstechnologie tätig zu sein, sind grundsätzlich technisches Verständnis und eine Affinität zu IT-Themen elementare Voraussetzungen. Die digitale Welt ist ständig im Wandel und so muss sich auch eine Penetration-Testerin persönlich weiterentwickeln, um auf dem neuesten Stand der Technik zu bleiben. Darüber hinaus sollte sie sich auch durch Verantwortungsbewusstsein und ein methodisches Vorgehen auszeichnen. Nachlässigkeit oder eine oberflächliche Arbeitsweise können dazu führen, dass Sicherheitslücken unentdeckt bleiben und von Angreifern genutzt werden – mit potenziell katastrophalen Folgen für das Unternehmen.

Das Umgehen von Sicherheitsmaßnahmen und das Knacken vermeintlich sicherer Systeme erfordert ein hohes Maß an Kreativität und Einfallsreichtum. Um einen Cyberangriff zu simulieren, muss sich eine Penetration-Testerin in die Rolle eines Hackers versetzen. Dies erfordert ein besonderes Maß an Einfühlungsvermögen und geistiger Flexibilität. Diese Eigenschaften helfen ihr, nicht in eine persönliche Standardroutine zu verfallen und das Verhalten eines Angreifers effektiv vorherzusagen.