Professioneller Penetrationstester – 7 Merkmale

Petrationstester oder der Penetration Tester ist sicher kein Beruf wie jeder andere. Einen Penetrationstest durchführen, dass kann sich für den leihen schon merkwürdig anhören. Löst bei dem einen das Wort Penetration sexuelle Phantasien aus, weiß der Profi das es sich um einen Sicherheitstest bzw um eine Sicherheitsüberprüfung  handelt.

Die Fragen zu dem Beruf  Penetration Tester, oder Pen-Tester, manchmal aber auch der Penetrationstest Experte, oder einfach nur Hacker, durfte ich mir die letzten Tage öfter stellen lassen. Jeder war interessiert, was den ein Penetrationstester macht, und wie man auf die Idee kommt ein Penetrationstester zu werden. Oft bekomme ich auch Fragen gestellt, wie ein guter Penetrationstester erkannt werden kann, und was es für Voraussetzungen braucht um Penetrationstester zu werden?

Web App Penetration Testing und Ethical Hacking sowie unabhängiger Berater mit zahlreichen Zertifizierungen wie GXPN (GIAC Exploit Researcher und Advanced Penetration Tester), GPEN (GIAC Penetration Tester), GWAPT (GIAC Web Application Penetration Tester), GCIH (GIAC Certified Incident Handler), CISSP, OPST und OPSA. In Deutschland gibt es dann noch den vom BSI geprüften Penetrationstester, aber was genau ist wichtig und was unterscheidet einen Staatlich geprüften Penetrationstester von einem Hacker, der in IT-Systeme einbricht und dort einen Datendiebstahl begeht?

Um diese Fragen zu beantworten, muss jeder tiefer in die Materie hinein blicken, als einfach nur zu sagen, ein Penetrationstester sei ein Hacker, oder ein Penetrationstester sei jemand der Hacker Tools einsetzt. Ein Pentester ist ein Informationssicherheitsexperte, der IT-Systeme knackt, weil Unternehmen ihn damit beauftragt haben, oft hört man dieses Theorie, aber das ist nur die halbe Wahrheit.

Was macht ein professioneller Pen-Tester?

Ein professioneller Pen-Tester versucht aktiv, die existierenden Sicherheitseinstellungen zu umgehen, um aufzuzeigen, wie verwundbar ein System, eine Webanwendung oder ein Betriebssystem ist. Dabei findet er oft alternative Wege, um Zugang zur Funktionalität eines Systems zu erhalten.

Ein Beispiel:

Sie haben eine neue Firewall für 66.000 EUR gekauft und der Hersteller dieser Firewall hat versprochen, das Sie ab nun sicher sind. Da Sie aber der ganzen Technologie nicht trauen, beauftragen Sie einen Penetrationstester der für Sie herausfinden soll, ob die Firewall Sie wirklich so schützen kann, wie es Ihr Hersteller versprochen.

Beispiel 2

Die Hersteller selbst, lassen Ihre Systeme von Penetrationstestern auf Ihre Sicherheit hin überprüfen.

Beispiel 3:

Ihre neue IOT Anlage soll Ihr Unternehmen und Ihr Zuhause überwachen und schützen. Sie wissen aber nicht ob Sie mit der Entsprechenden Technologie wirklich sicher sind. Ein Pentester findet dies für Sie heraus.

Beispiel 4:

Staatliche Spionage ist ein großes Thema. Für den Staat arbeiten ebenfalls Penetrationstester, diese suchen und finden Sicherheitslücken in IT-Systemen, mit diesen Sicherheitslücken werden später Daten kopiert oder entwendet, so wie es kriminelle Hacker auch tun.

7 Dinge, die Sie bei einem Penetrationstester nicht vermissen dürfen

Um es kurz zu fassen: Ein Penetration Tester macht Dinge kaputt., er umgeht die Sicherheitsvorkehrungen, die Sie getroffen haben. Sein Wille ist dabei Sicherheitslücken zu finden und Sie über diese Sicherheitslücken aufzuklären. Die meiste Zeit ist nicht zu erkennen, was er eigentlich macht, denn sein Job erfordert eine Menge an Kreativität. Darüber hinaus verwendet er einen Großteil der Zeit darauf, Berichte über die Fortschritte des Pen Testings und über die gefundenen Schwachstellen zu erstelle

1 Ein Pen-Tester verfügt über Wissen aus diesen Bereichen:

  • IT-System-Administration;
  • Entwicklung von Anwendungen in den Programmiersprachen C, Java, PHP, Python; C, C++ (mindestens)
  • Angriffstechniken wie Buffer Overflow, Code Execution oder Code Injections;
  • Cross Site Scripting
  • SQLi Attacken
  • Strukturierte Arbeitsweise;
  • Berichtswesen.

2. Ein Penetrationstester ist weit mehr als ein Zertifikat

Zwischen die vielen Zertifikaten die sich um die Gunst eines jeden Penetrationstesters bemühen, steht erstmals ein wirtschaftliches Interesse. Jede der einem Penetratiosntester ein Zertifikat verkaufen will, möchte in erster Linie Geld verdienen. Aus all den Zertifikaten die sich heute um Zertifizierung erwerben, hat sich nur eines wirklich ernsthaft etabliert. Es handelt sich um das

3. Referenzen sind des Penetrationstester bestes Werbemittel

Ganz gleich wie viele Zertifikate ein Penetrationstester in seinem Leben abgeschlossen oder erhalten hat. Wenn er nicht eine Sicherheitslücke finden kann, dann kann der Tester nicht gut sein. Ein Penetrationstester veröffentlicht in regelmäßigen Abständen Sicherheitslücken in Exploit Datenbanken oder verkauft diese. Hat er keine solche Referenz, wird er sicherlich bei Ihnen ebenso keine Sicherheitslücken finden.

4. Aufgaben die ein Penetrationstester mit Sorgfalt zu erbringen hat:

  • Planung und Logistik;
  • Erkundung und Informationssammlung;
  • Identifikation und Aufzählung der Ziele;
  • Schwachstellenprüfung und -bewertung;
  • Exploitation;
  • Post Exploitation – Pillaging und Pivoting;
  • Analyse und Berichterstellung.

 

5. Penetrationstester sollten nicht nur Tools einsetzen

Automatisierte Prozesse können nur Schwachstellen aufdecken, für deren Identifikation diese Programme ausgelegt wurden. Sie sind nicht in der Lage dazu, etwas zu finden, wofür keine Signatur entwickelt wurde. Darüber hinaus können sie keine logischen oder Programmierfehler finden und können auch keine menschlichen Fehler aufzeigen, die zu Schwachstellen geführt haben, die sich ausnutzen lassen. Webanwendungen können nur dann ordentlich getestet werden, wenn eine Methodik vorliegt, die beide, automatisierte und manuelle Prozesse gleichermaßen einsetzt. Genau aus diesem Grund, bringen die vielen anderen Zertifikate einen Penetrationstester in seiner eigentlichen Aufgabe nicht weiter: Schwachstellen finden.

6. Penetrationstester sollten beim Penetrationstest wie kriminelle Hacker denken

Wenn ein Penetrationstester nicht wie ein krimineller Hacker denken kann, dann wird er Schwierigkeiten haben, Ihnen einen Objektiven Penetrationstest Bericht vorzulegen. Nicht weil er Ihnen etwas zu verschwiegen hätte, er kann es einfach nicht. Kriminelle Hacker sind oft selbst Sicherheitsbehörden einen Schritt weit voraus, und umgehen selbst von diesen Sicherheitsbehörden auferlegte vorgaben.  Ihr neue Penetrationstester, denkt wie ein krimineller Hacker.

7. Ein Penetrationstest ist mehr wie IT-Sicherheit

Manchmal kommt es auch vor, dass Applikationen, Netzwerke und Systeme gut entwickelt wurden und wenig berechtigte Kritik bedürfen. Ein Penetrationstest kann allerdings niemals den Anspruch auf Vollständigkeit haben. Firmen, die behaupten, sie könnten Sicherheit in technischen Systemen hundertprozentig zertifizieren machen sich unseriös auf der Ebene der IT-Sicherheit selbst. Ein guter Penetrationstester kann Ihnen dies sicher unabhängig erklären, was IT-Sicherheit wirtlich bedeutet.

Penetrationstest Service

Weitere Artikel rund um den Penetrationstest

Wie oft Sie einen Penetrationstest durchführen sollten