Welche Voraussetzungen sollte ein Penetration Tester mitbringen? "Neben einer fundierten theoretischen Ausbildung im Bereich Security und Fähigkeiten im Programmieren sowie dem Einsatz von Tools gehört ein großes Maß an Neugier und Experimentierfreudigkeit zum Pentesten dazu", erklärt Sönke Freitag, der sich seit Jahren mit Pentests und Sicherheitsanalysen beschäftigt und die Fragen für den Test entwickelt hat.
Während die Hälfte des IT-Wissens etwa alle zwei Jahre veraltet, sei dies im praktischen Bereich der Sicherheitsanalyse wesentlich schneller der Fall. Zielgruppe seines Tests sind sowohl Quereinsteiger, die aus dem Bereich der Programmierung oder dem Systembetreuungsbereich kommen, als auch Absolventen von sicherheitstechnischen Ausbildungen und Studiengängen.
Foto: Sönke Freitag
"Während ein einfacher Programmierer sich in seiner Arbeit auf Frontend-Programmierung oder Backend-Programmierung mit einer eingeschränkten Auswahl an Programmiersprachen spezialisieren kann, muss der Pentester für Web-Applikationen idealerweise alle gängigen Frontend- und Backend-Techniken beherrschen", weiß Freitag. Zudem würden noch Kenntnisse von Datenbanksystemen, Protokollen und Server-Konfigurationen sowie der gängigen Angriffsverfahren und Tools benötigt. Als Basis dieser Tätigkeit sei eine sicherheitstechnische, theoretische Grundausbildung von Vorteil. Als Soft Skills werden Kommunikationsfähigkeit und die Erstellung von Reports und Präsentationen benötigt.
Anders als beim Berufsbild des Pentesters IP-Netzwerke (entwickelt von Tonke Hanebuth für den Percomp Verlag - ebenfalls auf CeLS) liegt beim Pentester Web das Augenmerk auf Web-Server-Systemen und deren Sicherheitslücken. Im Test selbst werden neben Basiswissen über die Funktion von Internet-Protokollen auch Angriffstechniken und gängige Angriffsvektoren abgefragt. Zudem kommen noch einige Fragen zu bekannten Sicherheitsproblemen hinzu.
Die typische Funktion des Pentesters ist zum einen die Prüfung der Systeme eines Klienten vor der Inbetriebnahme oder vor der Zertifizierung der Organisation (zum Beispiel nach ISO 27001). Zum anderen testet er auch bestehende Systeme auf neue Sicherheitslücken. "Das Besondere an dieser Arbeit ist die Vielfältigkeit der Systeme, Kunden und Applikationen", so Freitag. Ein hohes Maß an Flexibilität und Reisebereitschaft seien darüber hinaus unabdingbar. Karrieremöglichkeiten bestehen sowohl als Teamleiter als auch als Consultant.
- CeLS: Zertifikate für IT-Profis
"Certified by Professionals" oder kurz CeLS heißen neue Zertifikate, die IT-Experten für Experten entwickeln. Geprüft werden alle für ein IT-Berufsbild wichtigen Fähigkeiten, Fachkenntnisse, Methoden und Skills. Die aus Autoren-Gruppen bestehende Community bietet die CeLS-Tests an. - Remote Service Techniker (2nd Level)
Mit der Online-Prüfung zum Remote Service Techniker (2nd Level), zusammengestellt von Franz Maas von Bechtle können sich ab sofort Interessenten in diesem Berufsbild testen lassen. - Penetration Tester IP-Netzwerke
Mit der Online-Prüfung zum ein Penetration Tester IP-Netzwerke, zusammengestellt von Tonke Hanebuth vom Hamburger Systemhaus perComp, können sich ab sofort Interessenten in diesem Berufsbild testen lassen. - Data Scientist
Die Zertifizierungstests erstrecken sich über die Bandbreite des Themengebietes Data Science (Data Thinking, Programmierung, Data Analysis, Supervised Learning und Unsupervised Learning). - Big Data Engineer
"Das Zertifikat (Big) Data Engineer fragt ausschließlich Grundkenntnisse im Bereich Big Data ab, da sich fortgeschrittene oder gar Expertenkenntnisse ausschließlich in der Projektarbeit erwerben lassen und teilweise fachlich und technisch sehr spezifisch auf ein unternehmens- oder projektbezogenes Umfeld begrenzt sind", betont der Entwickler des Tests, Ulrich Hambuch. - SharePoint-Entwickler
Christian Brix ist Inhaber und Gründer von Xperts 4 Solutions und konzipierte die Fragen für die SharePoint-Entwickler-Zertifizierung. Laut Brix muss ein SharePoint-Entwickler sowohl im Business als auch in der IT zuhause sein. - SharePoint Key User
"Voraussetzung für die erfolgreiche Teilnahme an der Zertifizierung ist eine mehrjährige Erfahrung in der Konfiguration von SharePoint, "am besten ergänzt durch eine oder mehrere Schulungen in diesem Bereich", weiß René Hoegen von der Allgeier Productivity Solutions, der den Test konzipiert hat. - IT-Supporter im Client- und Netzwerkbereich (Schwerpunkt Windows)
Mit dem Zertifikat für den IT-Supporter kann nachgewiesen werden, dass Störungen im Clientbereich, im Peripheriebereich sowie im Netzwerkbereich erkannt und behoben werden können. - IT-Service Professional
Mit dem Zertifikat weist der IT Service Professional nach, dass er die IT Prozesse analysieren und effizient gestalten kann und dass er einen Überblick über die geeigneten Herangehensweisen hat. - Scrum-Profi
Mit der Online-Prüfung zum Scrum-Profi, zusammengestellt von Dr. Consuela Utsch, können sich ab sofort Interessenten in diesem Berufsbild testen lassen. Utsch ist Geschäftsführerin und Gründerin der IT-Unternehmensberatung Acuroc GmbH. - Business Analyst
"Ein Business Analyst muss einen Business Case, ein Lastenheft und ein Pflichtenheft erstellen können. Und er muss den Unterschied zwischen Funktionalen und Nicht-Funktionalen Anforderungen kennen", sagt Christian Dröge, der den Test konzipiert hat. - Datenschutzbeauftragter
Der ideale Datenschutzbeauftragte ist laut Sascha Kuhrau ein Allrounder, der sich im besten Fall mit Prozessorganisation, IT-Administration und den juristischen Hintergründen des Internetrechts oder im Bereich Compliance auskennt. - IT-Projekt-Manager
Es geht zum einen um die Hard-facts des Projekt-Managements wie Ressourcen-Planung, Risiko-Management, Steuerung und Dokumentation, und zum anderen um die vielzitierten weichen Faktoren wie Führung, Umgang mit Stakeholdern , Kommunikation oder auch Durchsetzungsvermögen. Idealerweise sollten die Hard- und die Softskills in einem ausgewogenen Verhältnis vorhanden sein. - Fachmann für IT-Controlling und Kostenmanagement
Aus Tissons Sicht verfügt der IT-Controller über ein solides Controlling-Fachwissen gepaart mit tiefgreifenden Kenntnissen der Informationstechnologie und des IT-Managements. Er ist eingebunden in Budgetierungs- und Portfolioprozesse und setzt sich mit Fragen der Kostenrechnung auseinander. - Datenschutzauditor
IT-Mitarbeiter, die eine Zertifizierung als Datenschutzauditor anstreben, sollten bereits vertiefte Kenntnisse in den Bereichen Datenschutz, Informationssicherheit und dem Bundesdatenschutzgesetz vorweisen können. Der zertifizierte Datenschutzauditor besitzt praktische Erfahrung bei der Auditierung von Managementsystemen und ist mit generellen betrieblichen und rechtlichen Abläufen vertraut. - IT-Forensik-Professional
Beste Voraussetzungen haben Informatiker mit einem sehr breiten praktischen Wissen. Jeder Fall gestalte sich anders und da können umfangreiche Grundlagen sehr behilflich sein. - ISO 27001 ISMS Consultant
Der zertifizierte ISO 27001 ISMS Consultant kann als Berater oder Verantwortlicher im Unternehmen zu den Themen Informationssicherheit, Risikomanagement und Business Continuity Management tätig werden und "entwirft Konzepte, designt Prozesse und schreibt Richtlinien, die den täglichen Arbeitsalltag mit praktikablen Sicherheitsanweisungen untermauern. - IT-Recruiter
Der IT-Recruiter sollte eine grundlegende IT-Affinität sowie im besten Falle bereits einige Jahre Erfahrung im Recruitment vorweisen können. Daneben wird ein breites Basiswissen aus dem IT-Personaldienstleisungsumfeld genauso erwartet, wie ein gutes Maß an Serviceorientierung. - Notfallbeauftragter
Um sich als Notfallbeauftragter zertifizieren zu lassen, sollte man laut Lührs gute Kenntnisse des BSI 100-4 Standards der ISO 27001 und im Bereich Business Continuity Management mitbringen. Zudem sind Kenntnisse der Kernprozesse im Unternehmen genauso unerlässlich wie kommunikativ zu sein und genau und lösungsorientiert zu arbeiten. - Penetration Testing Professional
Der Hamburger Unternehmer und Dozent Frank Erhardt hat die Prüfungsfragen für den Penetration Testing Professional entwickelt. Von einem, der in diesem Umfeld arbeitet, erwartet Erhardt ein "solides und breit gestreutes Fachwissen zur gesamten IT-Welt".
"Certified by Professionals" oder kurz CeLS heißen neue Zertifikate, die IT-Experten für Experten entwickeln. Geprüft werden online alle für ein IT-Berufsbild wichtigen Fähigkeiten, Fachkenntnisse, Methoden und Soft Skills. Ganz wichtig dabei: Die Testinhalte liefern IT-Fachleute. Für die bisherigen CeLS-Zertifizierungen konnten erfahrene Profis ihres Fachs gewonnen werden, die gerne ihr Wissen mit der Community teilen möchten.
Zielgruppe der Zertifikate sind fest angestellte und freiberufliche IT-Fachleute, die ihre projektbezogenen Fähigkeiten inklusive der Soft Skills mit einem Zertifikat nachweisen möchten, um so ihre Chancen am Arbeitsmarkt zu verbessern. Für jedes Berufsbild existieren insgesamt drei Tests für Einsteiger und Fortgeschrittene. Der neue Standard ist als herstellerunabhängiger Test gedacht und soll sich nicht mit den etablierten Herstellern messen, die meist ihre eigenen Produkte punktuell zertifizieren.
Die Fragen zum Penetration Tester entwickelte Sönke Freitag. Er gründete 1991 aus einem Studentenjob heraus seine Firma, erstellte Websites und entwickelte im Datenbankumfeld (ERP, CRM, B2B). Parallel dazu hat er nach dem Vordiplom in Erlangen Informatik an der Universität Hamburg studiert, wo er am Viren-Testcenter unter Professor Klaus Brunnstein Publikationen über diverse Sicherheitsthemen wie polymorphe Viren, Novell-Netware-Sicherheit, Sicherheit im digitalen Telefonnetz, Viren im Internet und viele andere veröffentlichte. Seit 1999 kamen immer mehr Sicherheitsanalysen und Pentests zum Aufgabenbereich hinzu und bilden seit mehreren Jahren die Haupttätigkeit der Firma.