Wie bist du zur IT gekommen?
Ich habe schon als Jugendlicher gerne was am Rechner gemacht, musste mich aber trotzdem erstmal ausprobieren. Nachdem mir das Sportwissenschaftsstudium nicht so lag, habe ich mich für die Ausbildung als Fachinformatiker für Anwendungsentwicklung entschieden. An Rechnern selbst haben wir dort aber weniger gemacht. Ich habe eher gelernt nachhaltig zu arbeiten, viel Konzeptionelles und worauf bei der Entwicklung von Software zu achten ist. Ich stehe halt auf Strukturen und logisches Denken, aber auch die IT-Branche reizte mich, weil sie mir die Möglichkeiten und Flexibilität bietet, die ich brauche.
Wieso genau Pentester?
Irgendwann stolpert man in der IT nun mal über den cool klingenden Begriff „Hacker“. Irgendwie hatte das für mich einfach einen Reiz, auch was Verruchtes und Illegales, selbst wenn ich keine Intention hatte. Ich habe schon immer die Sandburg lieber umgehauen als sie mühsam aufzubauen. Das macht das Blue Team bei uns, die Systeme sichern, härten und uneinnehmbar machen und ich versuche die Burg zum Einstürzen zu bringen. Es macht mir einfach so viel Spaß, dass wir unglaublich out of the box denken müssen. Wenn ich nur die normalen Wege gehe, dann finde ich auch nichts und erst dann beginnt der Spaß für mich...
Welche Aufgaben nerven dich im Pentester-Alltag?
Was man schnell aus dem Blick verliert, ist die akribische Dokumentation. Spaß macht natürlich das Pentesten, aber wir müssen unsere Arbeit auch ordentlich aufbereiten. Nicht nur die IT muss verstehen, was wir gemacht und gefunden haben, sondern auch das Management. Die Dokumentation ist also mein Werkzeug für Präsentationen oder das technische Abschlussgespräch.
Wie wird man am besten Pentester aus deiner Sicht?
Viele Wege führen nach Rom. Leider gibt es auch keine spezielle Ausbildung und die wird es auch nicht in naher Zukunft geben… Man muss einfach die IT-Basis (die man in der FISI-Ausbildung, aber auch einem ähnlichen Studiengang lernt) verstehen. Spezielles Hacking-Wissen bringt einem nichts, wenn man das Gesamtkonstrukt IT nicht verstanden hat.
Natürlich kann man sich auf tryhackme oder hackthebox ausprobieren, aber dort findet das meiste auf Linux statt. Die Realität am Markt sieht jedoch ganz anders aus, da Windows und vor allem das Active Directory beim realen Kunden Gang und Gebe sind.
Mein Rat also: Erstmal breit aufstellen und später dann spezialisieren.
Warum hast du dich für CCVOSSEL als Arbeitsgeber entschieden?
Vor allem das Team. Gerade, dass wir dynamisch und flexibel sind, mag ich. Mir wurde noch nie etwas vorgesetzt, was ich jetzt aber machen muss, womit ich mich nicht wohlfühle. Meine persönlichen Interessen haben einfach Gewicht und das weiß ich zu schätzen.
