Unternehmen suchen nach Dir. LASS DICH JETZT FINDEN!
 

Was macht ein Penetration Tester?

Ethical Hackers – when good guys play bad

Von Bylle Bauer

 

 

Hacker: One who enjoys the intellectual challenge of creatively overcoming limitations.

Als Penetrationstester (Pen Tester), Ethical Hacker bzw. White Hat Hacker setzt Du Dein tief gehendes IT-Knowhow und Deine Kreativität ein und beugst Cyberattacken vor. Dafür gehst Du wie ein krimineller "Black Hat Hacker" vor. Du spürst Schwachstellen im System auf und bewahrst Unternehmen und Organisationen dadurch vor riesigen Schäden. Weitere Jobtitel hinter denen sich der Beruf des Hackers verbirgt, sind der IT Security Analyst und der IT Security Engineer.

Was Dich von einem "Black Hat" unterscheidet und wie Du mit Deiner Begeisterung für Experimente beruflich Fuß fassen kannst, liest Du hier!

Hacker vs. Ethical Hacker: Was ist der Unterschied?

Ob mit guten oder schlechten Vorsätzen: Als Hacker versuchst Du, in fremde IT-Systeme, Infrastrukturen, Anwendungen oder Netzwerke einzudringen. Dafür suchst Du nach Schwachstellen im Quellcode, die Du als Exploit, also Angriffspunkt, nutzen kannst. Dass sich in tausenden Zeilen Code hier und da ein Bug einschleicht, ist ganz normal, und so lange die Funktionalität dadurch nicht eingeschränkt wird, fällt er den Programmierern meist nicht auf. Dir aber schon, denn Du suchst explizit danach. Je mehr Du Dich damit beschäftigst, desto klarer wird Dir das dahinterstehende Konzept des Programmierers, dessen System Du nun an seine Grenzen bringen wirst. Hast Du einen Bug gefunden, experimentierst Du mit verschiedenen Eingaben und versuchst, das Programm dazu zu bringen, unerwartete Ergebnisse zu produzieren. Klappt das, dann hast Du Deinen Exploit. Bis zu diesem Punkt gehen alle Hacker ähnlich vor. Was sie mit ihren Funden machen, bestimmt letztendlich, auf welcher Seite sie stehen.

Black Hat Hacker

Sie stehen auf der dunklen Seite der Macht und nutzen technische und menschliche Schwächen gezielt aus, um Systeme lahmzulegen, Programme zu verändern und vor allem um Daten zu stehlen und sich damit zu bereichern. Seit den 1980er Jahren versetzen sie damit Unternehmen, Institutionen, Organisationen und Privatpersonen in Angst und Schrecken. Bei den meisten Hackern steht die Macht im Vordergrund, die sie dadurch auf ein Unternehmen ausüben können.

Als Ethical Hacker stehst Du auf der anderen Seite – oder zumindest bewegst Du Dich irgendwo dazwischen. Was den Grey vom White Hat Hacker unterscheidet, ist die vorherige Erlaubnis, in ein System einzudringen.

Grey Hat Hacker

… nennt man alle, die ungefragt in einem fremden System auf die Jagd nach Exploits gehen. Oft melden sie Verwundbarkeiten an die Systemeigner, manchmal aber genügen ihre Entdeckungen ihnen als Jagdtrophäen. Andere fürchten eine Strafe und lassen die Schwachstellen offen, tasten sie jedoch nicht weiter an.

White Hat Hacker

… haben sich dem Guten verschrieben. Sie organisieren sich in der Regel in einschlägigen Communities wie dem Chaos Computer Club oder schließen sich auf globaler Ebene Vereinigungen wie HackerOne an, um das Internet zu einem sichereren Ort zu machen. Dafür werden sie von Unternehmen und Organisationen beauftragt, Cyberangriffe zu simulieren.
Um der Lage Herr zu werden, entwickelst Du als IT-Security Consultant eine umfassende Sicherheitsstrategie. Einerseits ist es Deine Aufgabe die IT-Systeme auf technischem Wege vor Angriffen zu schützen, andererseits das Sicherheitsbewusstsein des Unternehmens zu schärfen, indem Du beispielsweise Mitarbeiter in sicherer Kommunikation schulst. Du erstellst in Zusammenarbeit mit den Mitarbeitern eine Bedarfsanalyse, führst Tests zur Überprüfung der Sicherheit durch, implementierst IT-Security-Lösungen und reagierst sofort auf aktuelle Ereignisse, wie Hackerangriffe oder Datenverluste.
Als IT-Sicherheitsberater ist es Deine Aufgabe, wertvolle Daten Deines Unternehmens und seiner Kunden zu schützen. Als unternehmensinterner Mitarbeiter oder externer Dienstleister stellst Du Dich digitalen Gefahren wie Viren, Cybervandalismus, also dem Löschen oder Verändern von Dateien, oder Wirtschaftsspionage. Gerade in Zeiten, in denen Unternehmen mobile Endgeräte und Cloud-Lösungen intensiv nutzen, wird das Schützen großer Datenmengen, die jederzeit abgerufen werden können und müssen, immer komplexer und kritischer.
Experten für IT-Sicherheit sind gefragt. Dementsprechend hast Du in so gut wie allen Branchen die Chance als IT-Sicherheitsberater Fuß zu fassen. Gerade Banken, Behörden oder Großunternehmen verwalten riesige Mengen hochsensibler Daten.Diese gilt es zu schützen. Während Du bei größeren Unternehmen und Institutionen die Chance hast, dich auf ein bestimmtes Gebiet der IT-Sicherheit zu spezialisieren, agierst Du in mittelständischen oder kleineren Unternehmen eher als Generalist.
Als IT-Sicherheitsberater ist es Deine Aufgabe, wertvolle Daten Deines Unternehmens und seiner Kunden zu schützen. Als unternehmensinterner Mitarbeiter oder externer Dienstleister stellst Du Dich digitalen Gefahren wie Viren, Cybervandalismus, also dem Löschen oder Verändern von Dateien, oder Wirtschaftsspionage. Gerade in Zeiten, in denen Unternehmen mobile Endgeräte und Cloud-Lösungen intensiv nutzen, wird das Schützen großer Datenmengen, die jederzeit abgerufen werden können und müssen, immer komplexer und kritischer.
Um der Lage Herr zu werden, entwickelst Du als IT-Security Consultant eine umfassende Sicherheitsstrategie. Einerseits ist es Deine Aufgabe die IT-Systeme auf technischem Wege vor Angriffen zu schützen, andererseits das Sicherheitsbewusstsein des Unternehmens zu schärfen, indem Du beispielsweise Mitarbeiter in sicherer Kommunikation schulst. Du erstellst in Zusammenarbeit mit den Mitarbeitern eine Bedarfsanalyse, führst Tests zur Überprüfung der Sicherheit durch, implementierst IT-Security-Lösungen und reagierst sofort auf aktuelle Ereignisse, wie Hackerangriffe oder Datenverluste.

Was sind Deine Aufgaben als Penetration Tester?

Als Ethical oder White Hat Hacker betreibst Du Penetration Testing. Das heißt, Du versuchst in die Systeme oder Netzwerke Deines Auftraggebers einzudringen, bevor Kriminelle es tun. Mit Pentests suchst Du nach Vulnerabilities, also Schwachstellen in Software, Hardware oder Online-Services, die sich für Unfug ausnutzen lassen.

Im Vorfeld klärst Du mit Deinem Auftraggeber genau ab, welche Bereiche Du untersuchen wirst und was Du dabei tust. Du erzählst ihm, welche IT-Security Risiken Dein Testing für den laufenden Betrieb birgt und stimmst Deine Aktionen in der Regel sogar vertraglich ab. Du willst schließlich legal vorgehen.

Du hackst je nach Auftrag E-Mails, Websites, APIs, Werbebanner, Softwareprodukte, Apps, Betriebssysteme und Netzwerke. Auch IoT-Techs wie Connected Cars sind ein häufiges Angriffsziel von Hackern. Dabei bieten Schnittstellen wie Bluetooth, USB-Ports und DVD-Laufwerke ebenso beliebte Angriffspunkte wie externe Verbindungen, also zum Beispiel mobile Netze oder Laptops. Beim Ethical Hacking achtest Du darauf, möglichst viele Angriffsmuster abzudecken, um sämtliche von Dir gefundenen Sicherheitslücken und Schwachstellen schließen zu können. Dabei gehst Du in mehreren Phasen vor:

Passive Reconnaissance

Zunächst beschaffst Du Dir alle öffentlich zugänglichen Infos über das zu hackende System, die Du bekommen kannst: Was findest Du über das Unternehmen bei Google oder in den sozialen Medien heraus, gibt es Hinweise auf eingesetzte Technologien, existieren weitere Webseiten, wo stehen die Server?

Aktive Reconnaissance / Scanning

Wurdest Du nicht beauftragt, verlässt Du mit dem nun folgenden Schritt den Boden der Legalität. Als Ethical Hacker ist Deine Vorgehensweise in jeder einzelnen Phase genau mit dem Unternehmen abgestimmt. Denn jetzt sendest Du aktiv Anfragen an das System, die Dir erlauben, es in seiner Gesamtheit zu verstehen und zu analysieren. Mittels Tools wie Nmap sammelst Du mögliche Angriffspunkte, findest heraus, welche Services im Einsatz sind und ob es Firewalls zu durchbrechen gilt. Du lässt einen automatischen Schwachstellenscanner wie Nessus, OpenVAS oder Nexpose über das System laufen, der dessen Anfälligkeit auf bereits bekannte Schwachstellen prüft. Besonders zu veralteten Softwareversionen liefert Dir das Internet gängige Fehler auf dem Silbertablett.

Gaining Access / Exploitation

Jetzt beginnt das eigentliche Hacken. Du prüfst, ob die von Dir und vom Scanner gefundenen Schwachstellen ausnutzbar sind. Du weitest Deine Berechtigungen aus, damit Du installieren kannst, was Du brauchst und ziehst an den Schnittstellen Daten ab. Tools wie Metasploit helfen Dir, eine Vielzahl von Angriffen auszuführen.

Maintaining Access / Post Exploitation

Nun richtest Du Dir eine dauerhafte Hintertür ein, um das System immer wieder angreifen zu können. Hierfür nutzt Du zum Beispiel Trojaner, Rootkits und andere bösartige Dateien. Danach verwischst Du Deine Spuren, um genau so vorzugehen, wie die Bad Guys.

Reporting

Bis hierhin klingt das alles zugegebenermaßen schon ein bisschen Gangsta. Aber Du versetzt Dich ja lediglich in die Rolle der Angreifer, um Attacken zu vermeiden. Und nun kommt die entscheidende Phase für Dich als Penetration Tester: das Reporting. Du verfasst einen ausführlichen Bericht, der Deine Angriffe zusammenfasst. Du beschreibst die Vulnerabilites, erläuterst die dadurch entstehenden Sicherheitsrisiken und präsentierst eine Lösung zur Beseitigung der Schwachstellen. So bewahrst Du Deinen Auftraggeber vor großem Schaden. Vorausgesetzt, er macht danach seine Hausaufgaben.
Als IT-Sicherheitsberater ist es Deine Aufgabe, wertvolle Daten Deines Unternehmens und seiner Kunden zu schützen. Als unternehmensinterner Mitarbeiter oder externer Dienstleister stellst Du Dich digitalen Gefahren wie Viren, Cybervandalismus, also dem Löschen oder Verändern von Dateien, oder Wirtschaftsspionage. Gerade in Zeiten, in denen Unternehmen mobile Endgeräte und Cloud-Lösungen intensiv nutzen, wird das Schützen großer Datenmengen, die jederzeit abgerufen werden können und müssen, immer komplexer und kritischer.
Um der Lage Herr zu werden, entwickelst Du als IT-Security Consultant eine umfassende Sicherheitsstrategie. Einerseits ist es Deine Aufgabe die IT-Systeme auf technischem Wege vor Angriffen zu schützen, andererseits das Sicherheitsbewusstsein des Unternehmens zu schärfen, indem Du beispielsweise Mitarbeiter in sicherer Kommunikation schulst. Du erstellst in Zusammenarbeit mit den Mitarbeitern eine Bedarfsanalyse, führst Tests zur Überprüfung der Sicherheit durch, implementierst IT-Security-Lösungen und reagierst sofort auf aktuelle Ereignisse, wie Hackerangriffe oder Datenverluste.
Um der Lage Herr zu werden, entwickelst Du als IT-Security Consultant eine umfassende Sicherheitsstrategie. Einerseits ist es Deine Aufgabe die IT-Systeme auf technischem Wege vor Angriffen zu schützen, andererseits das Sicherheitsbewusstsein des Unternehmens zu schärfen, indem Du beispielsweise Mitarbeiter in sicherer Kommunikation schulst. Du erstellst in Zusammenarbeit mit den Mitarbeitern eine Bedarfsanalyse, führst Tests zur Überprüfung der Sicherheit durch, implementierst IT-Security-Lösungen und reagierst sofort auf aktuelle Ereignisse, wie Hackerangriffe oder Datenverluste.

Wo kannst Du als Pen Tester arbeiten?

Die Rechnung ist einfach, das Ergebnis für Dich positiv: Je mehr Unternehmen es gibt und je stärker die Digitalisierung vorangetrieben wird, desto mehr Cyberattacken werden stattfinden. Deshalb besteht auf dem Markt eine riesige Nachfrage nach Penetrationstestern, die im Namen eines Unternehmens, einer Behörde oder einer Institution Sicherheitslücken schließen.

Banken und Versicherungen gehören zu den begehrtesten Angriffszielen und leisten sich daher oft einen Inhouse Penetration Tester, aber vieles läuft über Engagements. Nur 22 % der Ethical Hacker waren laut HackerOne 2020 in Vollzeit beschäftigt. Natürlich kannst Du Dich als IT-Security Consultant, Analyst oder Engineer zum Penetrationstester entwickeln bzw. Dir die dafür nötigen Skills aneignen und in Teilzeit für Deinen Arbeitgeber in die Rolle des Angreifers schlüpfen, so wie das 14 % der Befragten tun.

Aber Du musst nicht zwangsläufig aus der Security-Richtung kommen, um ein guter Ethical Hacker zu sein. Am Tag sind viele Deiner Kollegen "gewöhnliche" IT’ler, Studenten oder gar Schüler. Die Laufbahn des Hackers beginnt als Hobby: Dem Report zufolge sind 43 % der Hacker Autodidakten. Sie schließen sich in Communities wie dem Chaos Computer Club, OWASP (Open Web Application Security Project) oder BSides zusammen, vernetzen sich über Slack, Discord und andere Kanäle, knacken in Foren gemeinsam harte Nüsse und halten sich über die aktuellsten Vulnerabilities auf dem Laufenden. Wenn sie selbst welche finden, so melden sie diese und haben damit in den vergangenen Jahren stark zur Verbesserung des Images von Hackern beigetragen. Heute empfiehlt sogar das US Department of Defense die Zusammenarbeit mit Ethical Hackern als Best Practice.

Konzerne wie Lufthansa, Spotify, Nintendo, Next Cloud oder die Europäische Kommission laden Ethical Hacker regelmäßig zu sogenannten "Bug Bounties" ein, um Angriffsszenarien auf ihre Systeme zu simulieren. HackerOne ist hier die größte Plattform mit aktuell 600.000 Mitgliedern. Die Zusammenarbeit lohnt sich für Hacker und Unternehmen gleichermaßen: Hacker wollen oft ihre Identität nicht preisgeben, Unternehmen wissen nicht, wem sie trauen können. HackerOne ist das Bindeglied, das auf beiden Seiten einen Ruf zu verteidigen hat. Der Hauptsitz liegt in San Francisco, aber die Mitglieder gehören allen möglichen Ländern an. Über 1.000 Unternehmen arbeiten weltweit mit HackerOne zusammen, zum Beispiel General Motors, Goldman Sachs, Paypal, Facebook, Google und Microsoft.

Insgesamt ist hierzulande aber eine so positive Haltung gegenüber Hackern noch nicht besonders stark ausgeprägt. Einer Umfrage unter 600 deutschen, französischen und britischen CISOs ergab, dass nur 36 % Meldungen aus der Hacker-Community berücksichtigen – obwohl sie starke Security-Issues befürchten.

Worauf kannst Du Dich spezialisieren?

Bei den Bug Bounties kommt ein ganzes Team von Ethical Hackern mit unterschiedlichen Fähigkeiten und Spezialisierungen zusammen, um möglichst alle Angriffsszenarien abzudecken. Wenn Du Teil einer Community bist, kannst Du Dich als Ethical Hacker im Prinzip auf die Methoden spezialisieren, die Dir selbst am meisten liegen. Beliebte Attacken sind:

  • Social Engineering, also das Hacken von Passwörtern in sozialen Netzwerken – je generischer diese sind, desto einfacher geht das. Hier bauen Hacker also nicht nur auf technische Loopholes, sondern v.a. auf menschliche Schwächen.
  • Phishing, bei dem Fake-E-Mails mit schadhaftem Anhang versendet werden, der beim Öffnen automatisch eine Software installiert.
  • Am häufigsten kommen (D)DoS-Attacken vor, bei denen ein System durch übertrieben viele Anfragen in die Knie gezwungen wird.
  • Oft setzen Hacker für DDoS-Attacken Millionen von infizierten Systemen, sogenannte Botnets, ein. Das Hauptziel solcher Angriffe ist es, Dienste und Server außer Betrieb zu setzen.
  • Bei der Man-in-the-Middle-Attack hingegen mogelt sich der Hacker in die Kommunikation zwischen Client und Server und erhält so Zugriff aufs System.
  • Auch SQL-Injection stellt einen problematischen Angriff dar, bei dem Hacker sich Zugang zu sensiblen Daten verschaffen können. Diese Daten lassen sich verändern, veruntreuen, verkaufen oder zurückerpressen.

Bist Du als Penetrationstester im Unternehmen unterwegs, solltest Du so viele Techniken wie möglich beherrschen, um eine umfassende Sicherheitsanalyse durchzuführen. Außerdem musst Du Dich auf dem aktuellsten Stand halten und Dir immer neue Angriffsmuster aneignen.

Bist Du ein Ethical Hacker?

Als Ethical Hacker brauchst Du vor allem eine an Manie grenzende Begeisterung für das, was Du tust und einen klaren moralischen Kompass, der Dich von den Black Hats unterscheidet. Deine breite IT-Leidenschaft bringt mit sich, dass Du Dich in verschiedenen Betriebssystemen wie MacOS, Linux und Windows bestens zurechtfindest und Sprachen wie HTML, JavaScript, PHP, Python und SQL beherrschst. Du kennst Dich in Netzwerken aus und bist mit gesetzlichen Regularien zum Thema IT-Security vertraut. Im Idealfall hast Du eine Zertifizierung wie den Certified Ethical Hacker (C|EH) des EC-Councils oder den CompTIA PenTest+ in der Tasche und bist in einschlägigen Communities unterwegs.

Not gonna lie: Ein typischer IT-Einstiegsjob ist der des Ethical Hackers nicht. Um als Pentester gut zu sein, musst Du besser sein als jeder gewöhnliche Black Hat Hacker. Dieser hat sich vermutlich auf ein bestimmtes Angriffsmuster spezialisiert, Du aber solltest alle kennen. Um Angreifern immer einen Schritt voraus zu sein, gehören ständiges Dazulernen und eine nicht enden wollende Weiterentwicklung zu Deinem täglich Brot. Als Ethical Hacker musst Du ein hohes Anforderungsprofil erfüllen.

An Tools nutzt Du im Prinzip dieselben, die auch Hacker benutzen. Sehr beliebt (89 %) bei Ethical Hackern ist die Software Burp Suite, gefolgt von eigenentwickelten Tools (39 %), Fuzzing-Tools wie Sulley, Peach oder Googles ClusterFuzz (32 %), Web Proxies (25 %), Debuggern (20 %) und Network Vulnerability Scannern wie Nmap (19 %). Die Kali Linux Distribution ist ein Open-Source-Projekt für Penetrationstester, das sowohl von Profi-Usern als auch Privatpersonen verwendet werden kann.

Neben der nötigen Portion Nerdismus qualifiziert auch Dein Mindset Dich für den Titel Ethical Hacker: Du gehörst zu den Guten und bist bereit, Dein Talent für eine bessere Welt einzusetzen. Deine Überzeugungen spiegeln sich in der Hackerethik wider, die unter anderem einen freien Zugang zu Computern und Informationen sowie die Nutzung öffentlicher Daten beim gleichzeitigen Schutz privater postuliert.

Was kannst Du als Penetration Tester verdienen?

Gehen wir zunächst mal davon aus, dass Du eine Festanstellung als Penetration Tester in einem Unternehmen hast. In der Regel startest Du Deine Ethical-Hackerlaufbahn mit  Jobtiteln wie dem IT Security Engineer und dem IT Security Analyst und bildest Dich dann weiter. Als IT Security Analyst liegt ein Einstiegsgehalt zwischen 44.400 und 50.200 €. Penetration Tester bzw. IT Security Engineers können mit einem Einstiegsgehalt zwischen 47.300 und 55.300 € rechnen. Professionals kriegen bis zu 70.000 €, Seniors noch darüber hinaus. Wie immer sind das nur ungefähre Werte, die von Faktoren wie Unternehmen, Branche, Bundesland und nicht zuletzt Deinem Talent und nicht zuletzt Deiner Erfahrung im Penetration Testing abhängen. Mit unserem Gehaltsrechner rechnest Du Dein individuelles Gehalt mit den zentralen Gehaltsfaktoren ganz einfach aus.

Gehaltsrechner
Gehaltsrechner

Finde heraus, wie viel Du in der IT-Welt verdienen kannst.

Anders sieht Dein Verdienst aus, wenn Du Dich an Bug Bounties beteiligst. 2019 hat HackerOne Prämien von insgesamt 40 Mio. US-Dollar für Bounties und insgesamt 82 Mio. $ an Ethical Hacker ausgezahlt. Hacker gibt es in ca. 170 Ländern der Erde, aber das Geld, das bei Bug Bounties gemacht wird, fließt meist vor allem in einige wenige Richtungen, v.a. an Hacker in den USA und Kanada, gefolgt von UK, Deutschland, Singapur und Russland (laut HackerOne Report 2020). Mag sein, dass dies mit der Offenheit der Nationen gegenüber Bug Bounties zu tun hat, aber das hindert Dich ja nicht daran, Dich an einem internationalen Projekt zu beteiligen!

Inzwischen gibt es auch in Deutschland mehrere Bug Bounty-Millionäre. Aber als Ethical Hacker geht es Dir primär um die Herausforderung bei der Überwindung von Grenzen. Da verwundert es nicht, dass etwa ein Viertel der Pentester bei HackerOne Teile der Prämien spendet und einfach weiterhackt.
tl;dr:
  • Als Ethical Hacker wirst Du legal damit beauftragt, in Systeme, Anwendungen und Netzwerke von Unternehmen oder Institutionen einzudringen, indem Du Schwachstellen im Quellcode aufspürst und diese ausnutzt – genau so, wie ein Angreifer es tun würde.
  • Dabei stehst Du auf der guten Seite und meldest alle Schwachstellen, um Cyberangriffe zu verhindern; entweder als Penetration Tester oder unabhängiger (Hobby-)Hacker.
  • Ein typischer Einstiegsjob ist Ethical Hacker nicht. Aber mit Skills wie einem breiten IT-Knowhow, großem Lernwillen, tiefen Kenntnissen von Angriffsmustern und einer guten Portion Idealismus kannst Du es schaffen!
 

Arbeitgeber bewerben sich bei Dir!
Ganz einfach:

Anonymes Profil anlegen
! Unternehmens- anfragen erhalten
C V Kontaktdaten freigeben & durchstarten!

Arbeitgeber bewerben sich bei Dir!
So funktioniert's:

Anonymes Profil anlegen
! Unternehmens- anfragen erhalten
C V Kontaktdaten freigeben & durchstarten!
Es ist kostenlos
Kostenlos registrieren