Was ein Penetration Tester IP-Netzwerke können muss
09.08.2017
Mit der Online-Prüfung zum ein Penetration Tester IP-Netzwerke, zusammengestellt von Tonke Hanebuth vom Hamburger Systemhaus perComp, können sich ab sofort Interessenten in diesem Berufsbild testen lassen.
"Certified by Professionals" oder kurz CeLS heißen neue Zertifikate, die IT-Experten für Experten entwickeln. Geprüft werden online alle für ein IT-Berufsbild wichtigen Fähigkeiten, Fachkenntnisse, Methoden und Soft Skills. Ganz wichtig dabei: Die Testinhalte liefern IT-Fachleute. Für die bisherigen CeLS-Zertifizierungen konnten erfahrene Profis ihres Fachs gewonnen werden, die gerne ihr Wissen mit der Community teilen möchten.
Zielgruppe der Zertifikate sind IT-Fachleute - festangestellt und freiberuflich, die ihre projektbezogenen Fähigkeiten inklusive der Soft Skills mit einem Zertifikat nachweisen möchten, um so ihre Chancen am Arbeitsmarkt zu verbessern. Für jedes Berufsbild existieren insgesamt drei Tests für Einsteiger und Fortgeschrittene. Der neue Standard ist als herstellerunabhängiger Test gedacht und soll sich nicht mit den etablierten Herstellern messen, die meist ihre eigenen Produkte punktuell zertifizieren.
Tonke Hanebuth: "Ein hohes Maß an Lernbereitschaft und Integration von Erfahrungen ist ebenso wichtig wie umfangreiches Fachwissen und konzeptionelles Denken", Foto: perComp
Die Fragen für den Penetration Tester IP-Netzwerke entwickelte Tonke Hanebuth. Nach seinem Studium der Informatik mit Vertiefung IT-Security beschäftigt er sich seit 1999 beim Systemhaus perComp mit Support zur Schwachstellen-Suche und -Beseitigung und in der Firmenakademie mit Training gegen Malware, Vorträgen und Workshops. perComp ist als Hamburger Systemhaus, Fachhändler und Distributor spezialisiert auf Datenschutz, Lösungen zur Abwehr von Malware, strategische Sicherheitskonzepte und die Ausbildung von IT-Sicherheits-Administratoren.
Der Penetration Tester IP-Netzwerke
Größere Unternehmen lassen ihre systematisch aufgebaute IT-Sicherheit in Abständen praktisch durch Penetration-Tests überprüfen. Mit dem CeLS-Zertifikat "Pentester IP-Netzwerke" soll nun eine qualitative Basis für Bewerber und Unternehmen geschaffen werden. "Ein Pentester muss sich dessen bewusst sein, dass er in einem aus verschiedenen Gründen sehr sensiblen Bereich eines Unternehmens eingesetzt wird", erläutert Hanebuth. Das setze ein hohes Verantwortungsbewusstsein und eine hohe Leistungsmotivation voraus. Unter Umständen werden während der Testleistung empfindliche Bereiche stark beansprucht. "Hier präzise und effizient zu arbeiten, ist wichtig, um Systeme nicht über Gebühr zu belasten", weiß der Hamburger Informatiker. Zielgruppe seien Menschen, die offen für Neues sind und auch unkonventionelle Wege gehen wollen. "Ein hohes Maß an Lernbereitschaft und Integration von Erfahrungen ist ebenso wichtig wie umfangreiches Fachwissen und konzeptionelles Denken", weiß Hanebuth. Wer das Gefühl hat, von allem etwas zu wissen, aber ohne Spezialisierung, könne als Pentester geeignet sein.
"Eine technische IT-Ausbildung ist von Vorteil, aber nicht zwingend erforderlich. Wichtiger noch ist ein umfassendes, in der Praxis zusammengetragenes Wissen", so Hanebuth. Die Grundlage seien umfassende Kenntnisse über Netzwerke und (Server-)Programme sowie der Umgang mit Betriebssystemen und Analyse-Tools. Je komplexer das Wissen des Pentesters ist, desto größer ist auch der mögliche Einsatzbereich. "Ein guter Pentester bewegt sich in Netzwerkprotokollen und Schnittstellen wie ein Fisch im Wasser", erläutert der Sicherheitsprofi. Einige Arbeitgeber setzten für Leitungspositionen einen Hochschulabschluss voraus.
"Ein guter Pentester bewegt sich in Netzwerkprotokollen und Schnittstellen wie ein Fisch im Wasser" Foto: welcomia - shutterstock.com
Im Test werden begriffliche, rechtliche, organisatorische und technische Grundlagen geprüft. Das reicht von Angriffstechniken über Netzwerke und Programmiersprachen bis zu Vorgehens- und Dokumentationsweisen. "Es ist mir wichtig, dass Pentester sich verantwortungsvoll mit den Rahmenbedingungen auseinandersetzen, also den technischen und gesellschaftlich-sozialen Auswirkungen ihrer Arbeit", formuliert Hanebuth seinen Anspruch. Somit sind für ihn die rechtlichen und organisatorischen Fragen die wichtigste Abgrenzung eines professionellen Pentesters. Wissen über Webserver-Systeme und deren Sicherheitslücken wird nicht in diesem Test abgefragt, sondern unter Leitung des Co-Autors Sönke Freitag im CeLS-Berufsbild "Pentester Web".
Pentestern ist die gesamte Bandbreite vom Freelancer bis zum Angestellten großer Konzerne offen. Es kann alleine gearbeitet werden, häufiger aber in Teams. Dort gibt es natürlich wiederum verschiedene Teammitglieder und einen Teamleiter beziehungsweise Projektleiter. Erfahrene Pentester können auch als Berater arbeiten. Neben dem White-Hat-Hacken ist die Dokumentation ein nicht zu unterschätzender Anteil der Arbeit. Auch die Kommunikation der Erkenntnisse kann eine Herausforderung sein. Manche, auch fest angestellte Pentester verbringen viel Zeit bei externen Kunden, wobei eine höhere Reisebereitschaft vorteilhaft ist.
CeLS: Zertifikate für IT-Profis
CeLS: Zertifikate für IT-Profis "Certified by Professionals" oder kurz CeLS heißen neue Zertifikate, die IT-Experten für Experten entwickeln. Geprüft werden alle für ein IT-Berufsbild wichtigen Fähigkeiten, Fachkenntnisse, Methoden und Skills. Die aus Autoren-Gruppen bestehende Community bietet die CeLS-Tests an.
Remote Service Techniker (2nd Level) Mit der Online-Prüfung zum Remote Service Techniker (2nd Level), zusammengestellt von Franz Maas von Bechtle können sich ab sofort Interessenten in diesem Berufsbild testen lassen.
Penetration Tester IP-Netzwerke Mit der Online-Prüfung zum ein Penetration Tester IP-Netzwerke, zusammengestellt von Tonke Hanebuth vom Hamburger Systemhaus perComp, können sich ab sofort Interessenten in diesem Berufsbild testen lassen.
Data Scientist Die Zertifizierungstests erstrecken sich über die Bandbreite des Themengebietes Data Science (Data Thinking, Programmierung, Data Analysis, Supervised Learning und Unsupervised Learning).
Big Data Engineer "Das Zertifikat (Big) Data Engineer fragt ausschließlich Grundkenntnisse im Bereich Big Data ab, da sich fortgeschrittene oder gar Expertenkenntnisse ausschließlich in der Projektarbeit erwerben lassen und teilweise fachlich und technisch sehr spezifisch auf ein unternehmens- oder projektbezogenes Umfeld begrenzt sind", betont der Entwickler des Tests, Ulrich Hambuch.
SharePoint-Entwickler Christian Brix ist Inhaber und Gründer von Xperts 4 Solutions und konzipierte die Fragen für die SharePoint-Entwickler-Zertifizierung. Laut Brix muss ein SharePoint-Entwickler sowohl im Business als auch in der IT zuhause sein.
SharePoint Key User "Voraussetzung für die erfolgreiche Teilnahme an der Zertifizierung ist eine mehrjährige Erfahrung in der Konfiguration von SharePoint, "am besten ergänzt durch eine oder mehrere Schulungen in diesem Bereich", weiß René Hoegen von der Allgeier Productivity Solutions, der den Test konzipiert hat.
IT-Supporter im Client- und Netzwerkbereich (Schwerpunkt Windows) Mit dem Zertifikat für den IT-Supporter kann nachgewiesen werden, dass Störungen im Clientbereich, im Peripheriebereich sowie im Netzwerkbereich erkannt und behoben werden können.
IT-Service Professional Mit dem Zertifikat weist der IT Service Professional nach, dass er die IT Prozesse analysieren und effizient gestalten kann und dass er einen Überblick über die geeigneten Herangehensweisen hat.
Scrum-Profi Mit der Online-Prüfung zum Scrum-Profi, zusammengestellt von Dr. Consuela Utsch, können sich ab sofort Interessenten in diesem Berufsbild testen lassen. Utsch ist Geschäftsführerin und Gründerin der IT-Unternehmensberatung Acuroc GmbH.
Business Analyst "Ein Business Analyst muss einen Business Case, ein Lastenheft und ein Pflichtenheft erstellen können. Und er muss den Unterschied zwischen Funktionalen und Nicht-Funktionalen Anforderungen kennen", sagt Christian Dröge, der den Test konzipiert hat.
Datenschutzbeauftragter Der ideale Datenschutzbeauftragte ist laut Sascha Kuhrau ein Allrounder, der sich im besten Fall mit Prozessorganisation, IT-Administration und den juristischen Hintergründen des Internetrechts oder im Bereich Compliance auskennt.
IT-Projekt-Manager Es geht zum einen um die Hard-facts des Projekt-Managements wie Ressourcen-Planung, Risiko-Management, Steuerung und Dokumentation, und zum anderen um die vielzitierten weichen Faktoren wie Führung, Umgang mit Stakeholdern , Kommunikation oder auch Durchsetzungsvermögen. Idealerweise sollten die Hard- und die Softskills in einem ausgewogenen Verhältnis vorhanden sein.
Fachmann für IT-Controlling und Kostenmanagement Aus Tissons Sicht verfügt der IT-Controller über ein solides Controlling-Fachwissen gepaart mit tiefgreifenden Kenntnissen der Informationstechnologie und des IT-Managements. Er ist eingebunden in Budgetierungs- und Portfolioprozesse und setzt sich mit Fragen der Kostenrechnung auseinander.
Datenschutzauditor IT-Mitarbeiter, die eine Zertifizierung als Datenschutzauditor anstreben, sollten bereits vertiefte Kenntnisse in den Bereichen Datenschutz, Informationssicherheit und dem Bundesdatenschutzgesetz vorweisen können. Der zertifizierte Datenschutzauditor besitzt praktische Erfahrung bei der Auditierung von Managementsystemen und ist mit generellen betrieblichen und rechtlichen Abläufen vertraut.
IT-Forensik-Professional Beste Voraussetzungen haben Informatiker mit einem sehr breiten praktischen Wissen. Jeder Fall gestalte sich anders und da können umfangreiche Grundlagen sehr behilflich sein.
ISO 27001 ISMS Consultant Der zertifizierte ISO 27001 ISMS Consultant kann als Berater oder Verantwortlicher im Unternehmen zu den Themen Informationssicherheit, Risikomanagement und Business Continuity Management tätig werden und "entwirft Konzepte, designt Prozesse und schreibt Richtlinien, die den täglichen Arbeitsalltag mit praktikablen Sicherheitsanweisungen untermauern.
IT-Recruiter Der IT-Recruiter sollte eine grundlegende IT-Affinität sowie im besten Falle bereits einige Jahre Erfahrung im Recruitment vorweisen können. Daneben wird ein breites Basiswissen aus dem IT-Personaldienstleisungsumfeld genauso erwartet, wie ein gutes Maß an Serviceorientierung.
Notfallbeauftragter Um sich als Notfallbeauftragter zertifizieren zu lassen, sollte man laut Lührs gute Kenntnisse des BSI 100-4 Standards der ISO 27001 und im Bereich Business Continuity Management mitbringen. Zudem sind Kenntnisse der Kernprozesse im Unternehmen genauso unerlässlich wie kommunikativ zu sein und genau und lösungsorientiert zu arbeiten.
Penetration Testing Professional Der Hamburger Unternehmer und Dozent Frank Erhardt hat die Prüfungsfragen für den Penetration Testing Professional entwickelt. Von einem, der in diesem Umfeld arbeitet, erwartet Erhardt ein "solides und breit gestreutes Fachwissen zur gesamten IT-Welt".