Das Wichtigste in Kürze

  • Pentesting ist anspruchsvoll, aber machbar. Ein Hintergrund als IT-Systemadministrator oder (Web-)Entwickler sind eine gute Ausgangsbasis. Aber auch motivierte Quereinsteiger haben gute Chancen.
  • Das Gehalt als Pentester liegt im Durchschnitt zwischen € 50.700 und € 69.300, je nach Qualifikation und Erfahrung.
  • Der Job als Penetration-Tester hat viele Facetten, ist abwechslungsreich und zukunftssicher und mit guten Möglichkeiten zur Weiterentwicklung
  • Empfehlenswerte Zertifizierungen: OSCP (Offensive Security), GPEN (SANS/GIAC), GWAPT (SANS/GIAC)

Was macht ein Penetration-Tester?

Als Penetrationstester, kurz Pentester, führst du simulierte Cyberangriffe auf die Netzwerke und Computersysteme eines Unternehmens durch. Dabei nutzt du eine Vielzahl von Hacking-Tools und Techniken, um Sicherheitslücken zu finden, die durch Angreifer ausgenutzt werden können.

Ein Penetrationstest hilft Unternehmen Sicherheitslücken und Schwachstellen zu erkennen und zu schließen bevor böswillige Hacker diese auszunutzen.

Eine Karriere als Pentester beginnt oft mit einer Einstiegsposition in der IT oder IT-Sicherheit.

Gehalt von Penetration-Testern

Pentester können mit einem Einstiegsgehalt ab 50.700 rechnen. Pentester mit Erfahrung, Seniors und Team-Leads auch noch mit deutlich mehr.

Junior-Pentester (bis 3 Jahre Erfahrung) 50.700 Euro pro Jahr
Pentester (3-6 Jahre Erfahrung) 57.900 Euro pro Jahr
Senior Pentester und Team-Leads (6 und mehr Jahre Erfahrung) ab 69.300 Euro pro Jahr

Das sind aktuelle Durchschnittswerte für Deutschland im Jahr 2024, die von Faktoren wie Unternehmen, Branche, Bundesland, Stadt und nicht zuletzt dem eigenen Lebenslauf abhängen.

Aufgaben von Penetrationstestern

Die alltäglichen Aufgaben eines Pen-Testers variieren je nach Unternehmen. Im Folgenden sind typische Aufgaben und Zuständigkeiten, die du in dieser Funktion antriffst:

  • Durchführung von Sicherheitstests für Anwendungen, Netzwerkgeräte und Cloud-Infrastrukturen
  • Entwurf und Ausführung emulierter Social-Engineering-Angriffe
  • Forschung und experimentieren mit verschiedenen Angriffsarten
  • Entwicklung von neuen und erweiterten Methoden für Penetrationstests
  • Überprüfung von Code auf Sicherheitsschwachstellen (Code Review)
  • Reverse Engineering von Malware oder Spam
  • Dokumentation von Sicherheits- und Compliance-Problemen
  • Automatisierung gängiger Testverfahren zur Verbesserung der Effizienz
  • Verfassen von technischen Berichten und Reports
  • Kommunikation der Ergebnisse sowohl an das technische Personal als auch an die Geschäftsleitung
  • Nachprüfung von Sicherheitsverbesserungen

Wo arbeiten Pentester?

Penetrationstester arbeiten fast immer in einer der drei nachfolgend aufgeführten Umgebungen.

In-House Pentester: Als interner Penetrationstester arbeitest du direkt für ein Unternehmen oder eine Organisation. Dadurch lernst du in der Regel die Stärken und Schwächen des Unternehmens gut kennen. Möglicherweise hast du auch viel Einfluss auf die IT-Sicherheitsarchitektur und die Auswahl neuer Sicherheitstechnologien.

Beratungsunternehmen: Viele Unternehmen beauftragen ein externe Sicherheitsfirma mit der Durchführung von Penetrationstests. Diese Arbeit bietet naturgemäß mehr Abwechslung bei den Arten von Tests, die du planst und durchführst.

Freiberuflich: Einige Penetrationstester arbeiten als Freiberufler. Dieser Weg bietet noch mehr Flexibilität, aber du musst zusätzliche Zeit und auch Aufwand für die Akquise von Kunden und Projekten einplanen.

Penetration-Tester oder Ethical Hacker – was sind die Unterschiede?

Die Begriffe Ethical Hacking und Pentesting werden in der Welt der Cybersicherheit manchmal synonym verwendet. Die beiden Begriffe haben jedoch leicht unterschiedliche Bedeutungen. Bei Penetrationstests geht es darum, Sicherheitslücken in bestimmten Informationssystemen aufzuspüren, ohne Schaden anzurichten. Ethical Hacking ist ein weiter gefasster Begriff, der ein breiteres Spektrum an Hacking-Methoden umfasst. Du kannst Penetrationstests als eine Facette des Ethical Hacking betrachten.

Wir wird man denn jetzt Penetration-Tester?

Als Penetrationstester kannst du dein Geld als „Berufshacker“ verdienen - indem du dich legal in Systeme einhackst. Wenn du dich für IT-Sicherheit, Cybersicherheit und IT im Allgemeinen interessierst, kann dies ein enorm spannender Job sein. Nachfolgend gehe ich näher auf die Schritte ein, die du unternehmen kannst, um deinen ersten Job als Penetrationstester zu bekommen.

Penetrationstester brauchen ein solides technisches Verständnis von Informationstechnologie und der Sicherheitssysteme, um sie auf Schwachstellen zu testen. Dazu gehören:

  • Kenntnisse von Netzwerktechnologien, Betriebssystemen und (Web-)Anwendungssicherheit
  • Kenntnisse von Webentwicklungsframeworks (Backend und Frontend)
  • Cloud-Architektur und Micro-Services, Kubernetes
  • Cloud-Services (Azure, AWS, GCP)
  • Kenntnis systemnaher Programmiersprachen (beispielsweise C)
  • Skripterstellung (Python, BASH, Java, Ruby, Perl, PowerShell)
  • Angriffstechniken (Exploits, Code Injections, Phishing, usw.)
  • Umgang mit Pentesting-Tools und Toolkits wie Burp, Nessus, Metasploit, nmap, Kali Linux, Bloodhound, usw.
  • Virtualisierung mit VMWare, VirtualBox oder XEN
  • Technisches Schreiben und Dokumentation
  • Threat Modelling
  • Grundlagen der Verschlüsselung und Kryptographie
  • Technologien für den Fernzugriff

Das Vorgehen zum Erwerb der notwendigen theoretischen Kenntnisse und praktischer Skills ist dabei sicherlich sehr individuell. Ebenfalls sei erwähnt, das Pentester häufig mit einem Fokus auf ein Spezialgebiet beginnen, beispielweise Penetrationstests von Webanwendungen, und sich im Laufe ihrer Karriere auch in anderen Gebieten „heimisch werden“.

Nachfolgend sind einige Vorschläge aufgeführt, die sich in der Praxis gut bewährt haben.

1. Starte in einer IT-Einstiegsposition

Viele Penetrationstester beginnen in der IT-Systemadministration, der Anwendungsentwicklung oder einer technischen IT-Sicherheitsrolle, bevor sie sich auf die Durchführung Pentests spezialisieren. Wenn du eine Karriere in diesem Bereich anstrebst, solltest du in einer Position wie Netzwerk- oder Systemadministrator, Programmierer, Web-Anwendungsentwickler oder IT-Security-Analyst beginnen, um deine IT-Kenntnisse zu erweitern.

2. Bilde dich selbst weiter – und spreche darüber

Das ist vielleicht der wichtigste Punkt. In Erweiterung zu den anderen hier aufgeführten Optionen gibt es eine Unmenge an Material im Internet (Google hilft...), Tutorial-Videos sowie Bücher, die das Selbststudium unterstützen. Baue ein eigenes Pentesting-Lab mit virtuellen Maschinen oder bei einem Cloud-Anbieter, und lege einfach los!

3. Nimm an einem guten Pentesting-Kurs teil

Eine der besten Möglichkeiten, sich Fähigkeiten anzueignen, die du als Penetrationstester benötigst, ist die Teilnahme an speziellen Kursen oder einem Trainingsprogramm. Mit solchen Programmen kannst du in einer strukturierteren Umgebung lernen und gleichzeitig mehrere Fähigkeiten auf einmal erwerben.

Es gibt recht viele Angebote dazu auf dem Markt. Die Kurse von Coursera, Cybrary oder von Pentester Academy seien hier stellvertretend erwähnt. Etwas teurer, aber sehr zu empfehlen, sind die Kurse mit den zugehörigen Labs von Offensive Security, z.B. der PEN-200 als Vorbereitung auf die OSCP-Zertifizierung.

4. Lasse dich zertifizieren

Mit einer Zertifizierung im Bereich des Penetration-Testing oder Ethical Hackings zeigst du Personalverantwortlichen, dass du über die erforderlichen Fähigkeiten verfügst, um in der Branche erfolgreich sein zu können. Achte bei der Auswahl der Zertifizierung darauf, dass dein Marktwert als Penetrationstester durch das Erlangen des Zertifikates steigt. Die Relevanz der in Frage kommenden Zertifizierungen lässt sich auch leicht in den Jobportalen selbst prüfen – Zertifikate die explizit gesucht werden sind dabei als wertvoller einzustufen. Grundsätzlich kann ich die folgenden Zertifizierungen als empfehlenswert einstufen – auch wenn das sicherlich keine abgeschlossene Liste darstellt:

  • Offensive Security Certified Professional (OSCP)
  • GIAC Penetration-Tester (GPEN) als zugehörige Zertifizierung zum SANS Kurs 560
  • GIAC Web Application Penetration-Tester (GWAPT) als zugehörige Zertifizierung zum SANS Kurs 542
  • Auch noch empfehlenswert: Certified Ethical Hacker (CEH)

Um eine dieser Zertifizierungen zu erlangen, musst du in der Regel eine Prüfung ablegen. Da diese Zertifizierungen teilweise mit hohen Kosten verbunden sind, unterstützen auch manche Unternehmen ihre Mitarbeiter dabei finanziell.

5. Übe in realen und simulierten Umgebungen.

Viele Unternehmen wollen Penetrationstester mit Vorkenntnissen einstellen. Glücklicherweise gibt es Möglichkeiten, auch außerhalb des Arbeitsplatzes Erfahrungen zu sammeln. Viele Online-Trainingsprogramme für Pentests beinhalten praktische Tests in simulierten Umgebungen.

Eine weitere Möglichkeit, Erfahrungen zu sammeln (und sich im Lebenslauf zu profilieren), ist die Teilnahme an Bug-Bounty-Programmen, beispielweise über Bugcrowd oder HackerOne. Bei diesen Programmen bieten Unternehmen in der Regel Geldprämien für unabhängige Pentester und Sicherheitsforscher an, die Sicherheitslücken oder Fehler in ihrem Code finden und melden. Dies ist eine hervorragende Möglichkeit die eigenen Fähigkeiten zu verbessern und auch Kontakte zu knüpfen.

Es gibt mehrere Websites, die Penetrationstestern die Möglichkeit bieten, auf legale Weise zu üben und zu experimentieren, und zwar auf spielerische Art und Weise. Hier sind einige, die den Einstieg erleichtern:

Und schließlich gibt es die Möglichkeit an Capture-the-Flag (CTF) Hacking-Wettbewerben teilzunehmen. Typischerweise besteht das Ziel von CTF-Aufgaben darin, ein Computersystem zu hacken und eine "Flagge" in Form einer Textdatei zu finden. Eine umfangreiche Liste von CTFs findet sich beispielsweise auf der Website CTF Time.

Brauche ich einen Abschluss, um Penetrationstester zu werden?

Es kann zwar hilfreich sein, einen Abschluss in Informatik oder IT-Sicherheit zu haben, aber nicht für alle Stellen im Bereich Penetrationstests ist ein solcher erforderlich. In der Regel kommt es mehr auf Ihre Erfahrung und Ihre Fähigkeit an, die Aufgabe zu bewältigen, als auf Ihren Abschluss (falls vorhanden). Wenn du im Bereich IT-Sicherheit anfangen willst, ohne einen entsprechenden Abschluss zu haben, kann es jedoch sehr hilfreich sein, eine Zertifizierung anzustreben, um die eigenen Fähigkeiten quasi von externer Seite bestätigen zu lassen.

Gründe ein Pentester zu werden

Eine Karriere als Pen-Tester bietet dir die Möglichkeit, deine Hacking-Fähigkeiten zum Wohle der Allgemeinheit einzusetzen, indem du hilfst, dass sich andere vor Cyber-Kriminellen besser zu schützen. Es handelt sich außerdem um einen gefragten und gut bezahlten Berufsweg.

Berufsaussichten von Pentestern

Da mit zunehmender Digitalisierung der Schutz von IT-Infrastrukturen immer wichtiger wächst die Zahl offener Stellen dieses Jahrzehnt für IT-Sicherheitsanalysten, einschließlich Pentestern, überproportional mit 31%. Nach einer Studie von ISC2 ist das Wachstum fast dreimal so hoch wie für IT-Spezialisten.

Karrierepfad für Penetrationstester

Mit zunehmender Erfahrung als Penetrationstester kannst du zur Leitung eines Pentest-Teams aufsteigen. Einige Penetrationstester werden zu IT-Sicherheitsmanagern und können auch in hohe Führungspositionen von Unternehmen aufsteigen.

Aber um ehrlich zu sein: Durch das hohe technische Verständnis das Pentester erwerben, stehen ihnen fast alle Türen in der IT offen.

Lust auf Penetration Testing?

Wenn das für dich alles spannend klingt, dann schreib und doch mal. Wir sind immer auf der Suche nach neuen Team-Mitgliedern! .

KURZ & BÜNDIG

Weitere Fragen und Antworten

Wie lange dauert es, ein Penetrationstester zu werden?

Kein Karriereweg ist wie der andere, aber es ist möglich, nach ein bis vier Jahren Berufserfahrung in den Bereichen IT und Informationssicherheit in eine Penetrationstest-Funktion zu wechseln.

Welchen Abschluss braucht man, um Penetrationstester zu werden?

Für die Arbeit als Penetrationstester ist nicht unbedingt ein einschlägiger Abschluss erforderlich. Ein Bachelor- oder Master-Abschluss in Informatik, IT-Sicherheit oder Informationssicherheit kann dich zu einem wettbewerbsfähigeren Kandidaten machen.

Können Penetrationstester von zu Hause arbeiten?

Da immer mehr Technologien in die Cloud verlagert werden, ändern sich auch viele der Aufgaben von Penetrationstestern. Häufig ist es in der Praxis ein Mix aus Vor-Ort und remote durchgeführten Tätigkeiten. Der Trend beim Penetration Testing, wie bei vielen anderen Tätigkeiten auch, geht aber weiter deutlich in Richtung Telearbeit.

Auch interessant

Haben wir Ihr Interesse geweckt?

Rufen Sie uns doch einfach an oder schreiben Sie uns eine Nachricht!

Erfolgreich! Wir haben Ihre Anfrage erhalten. Vielen Dank.
Fehler! Es ist ein Fehler beim Versenden aufgetreten. Bitte nutzen Sie eine andere Möglichkeit mit uns Kontakt aufzunehmen!

Wir verwenden Cookies, um die Benutzerfreundlichkeit zu verbessern und den Website-Verkehr zu analysieren. Lesen Sie, wie wir Cookies verwenden und wie Sie sie kontrollieren können, indem Sie hier klicken.

Einverstanden

Einstellungen zum Datenschutz

Wenn Sie eine Website besuchen, kann diese Informationen über Ihren Browser speichern oder abrufen, normalerweise in Form von Cookies. Da wir Ihr Recht auf Privatsphäre respektieren, können Sie wählen, die Datenerfassung von bestimmten Arten von Diensten nicht zuzulassen. Wenn Sie diese Dienste nicht zulassen, kann dies jedoch Ihr Erlebnis beeinträchtigen.