Ethical-Hacker-Grundlagen

Was ist Pentesting?

07.02.2018
Von  und
Roger Grimes ist freier Redakteur unserer US-Schwesterpublikation CSO Online.


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Penetration Tester sind im Unternehmensumfeld gefragt. Wir sagen Ihnen, was Pentesting ist und was ein Ethical Hacker heute können muss.

Innerhalb der Computer-Sicherheitswelt gibt es wohl kaum einen interessanteren und gleichzeitig herausfordernden Job, als den des professionellen Penetration Testers - oder Ethical Hackers, wie die Tätigkeit auch gerne bezeichnet wird. Pentester und Ethical Hacker werden im Grunde dafür bezahlt, (legal) in ein Computer-Netzwerk (oder auch einzelne Devices) einzubrechen.

Was macht einen Ethical Hacker aus? Und was ist eigentlich Pentesting? Wir klären Sie auf.
Was macht einen Ethical Hacker aus? Und was ist eigentlich Pentesting? Wir klären Sie auf.
Foto: songpholt - shutterstock.com

Dabei ist der Pentester in einer beruflich ziemlich einzigartigen Lage: Hackt er sich erfolgreich durch die Sicherheitsmaßnahmen, bekommt der Kunde die Chance, die Lücken zu schließen, bevor echte Gefahr droht. Findet er nichts, ist der Kunde sogar noch glücklicher, weil er fortan damit werben kann, dass nicht einmal bezahlte Hacker es geschafft haben, seine Systeme zu kompromittieren.

Das heißt auf der anderen Seite aber nicht, dass der Job eines Ethical Hackers leicht wäre. Im Gegenteil. Zwar braucht man für einen Job als Pentester nicht den IQ eines Genies, muss sich aber auf vermeintlich unbezwingbare Herausforderungen in verschiedenen Szenarien einstellen. Wenn Sie allerdings ohnehin immer auf dem neuesten Stand in Sachen Technologie sind und gerne Dinge kompromittieren, könnte Profi-Hacker Ihr absoluter Traumjob sein.

Was ist ein (zertifizierter) Ethical Hacker?

Eine Reihe von Institutionen bietet Trainings und Zertifizierungen für Pentester und Ethical Hacker an. Eine solche Zertifizierung gibt dabei Auskunft darüber, dass die minimalen Expertise-Anforderungen auf dem Feld der IT Security erfüllt sind. Ein Zertifikat für Pentester wird nicht immer vorausgesetzt - viele der Spezialisten in diesem Bereich haben sich ihr Wissen, beziehungsweise Können, selbst beigebracht. Zertifizierungen könnten bei manchem Arbeitgeber allerdings für ein ruhiges Gewissen sorgen: Schließlich ist er sich so ganz sicher, einen echten Experten an Bord zu haben. Das kann unter Umständen auch weitere Türen für gut bezahlte Jobs oder eine Beratertätigkeit öffnen.

Einige der renommiertesten Institutionen für die Erteilung von Ethical-Hacking- oder Penetration-Testing-Zertifikaten sind:

  • SANS Institute

  • EC-Council

  • McAfee Foundstone

  • CREST

Vom Hacker zum Pentester

Um vom Hacker zum Ethical Hacker zu "transformieren", müssen einige Grundschritte getan werden. Die absolute Grundvoraussetzung: Eine dokumentierte Erlaubnis, die Systeme infiltrieren zu dürfen. Schließlich gehört es zu den Grundsätzen eines jeden Profi-Pentesters, niemals das Gesetz zu brechen. Jeder, der in diesem Bereich tätig wird, sollte sein Handeln an ethischen Grundsätzen ausrichten. Das EC-Council stellt einen der besten "code of ethics" öffentlich zur Verfügung.