Wie wird man Penetrationstester?

Bei einem Penetrationstest (oft Pentest genannt) testen Penetrationstester, auch Ethical Hackers genannt, die Sicherheit eines IT-Systems. Dabei kann es sich z. B. um ein Computernetzwerk, eine Website oder eine Smartphone-App handeln. Ziel ist das frühzeitige Identifizieren von Schwachstellen in dem System, um es danach gegen Angreifer schützen zu können.

Wieso „Ethical“?

Der Begriff „Hacking“ wird üblicherweise mit Kriminalität assoziiert, und viele Leute wundern sich worin der Unterschied besteht. Das Ziel des Ethical Hackers ist Unternehmen zu helfen ihre Systeme zu verbessern. Ohne ausdrückliche Genehmigung des Eigentümers versuchen Ethical Hackers nie ein System zu kompromittieren. Sie arbeiten also innerhalb von Gesetzen und Ethik.

Wo lernt man so etwas?

Ein Unternehmen ohne dessen Genehmigung zu hacken ist grundsätzlich illegal. Wie lernt man es also ohne einen Zusammenstoß mit der Polizei?

Im Idealfall wäre die Antwort auf diese Frage ganz klar: „Man kann es an der Hochschule studieren“. Leider ist die Antwort hier in Deutschland nicht so einfach, weil es kaum Studiengänge mit Fokus auf Informationssicherheit gibt. Es gibt natürlich die klassischen Informatik-Studiengänge, die eine gute Grundlage bieten, aber wer sich hauptsächlich mit Informationssicherheit beschäftigen möchte, muss oft weit entfernt von seiner Heimat studieren.

Alles klar. Und was genau lernt man da?

In so einem Studium sammelt man Praxiserfahrung in verschiedenen Bereichen der Informationssicherheit. Natürlich bietet kein Studiengang genau das gleiche an, deswegen hier ein kurzer Überblick, was mein Studiengang damals enthielt:

Computer & Cyber Crime Professional (CCCP)

Brügge, das Venedig des Nordens, mit seiner wunderschönen Architektur, der Ort par excellence um das Mittelalter zu erleben. Sie waren vielleicht schon mal da. Was die meisten Leute allerdings nicht wissen ist, dass gleich neben dieser magischen Stadt Studenten zum Ethical Hacker ausgebildet werden. Fünf Minuten von Brügges Hauptbahnhof findet man die „Hogeschool West-Vlaanderen“ und ihren Studiengang „Computer & Cyber Crime Professional“, einzigartig in Flandern.

Programmieren

Genauso wie bei den klassischen Informatik-Studiengängen, ist Programmieren ein wichtiger Teil des Studiums. Die Studierenden lernen, wie man effizient in verschiedenen Sprachen programmieren kann (in meinem Fall C, C#, Java und Python, aber wie alles in der IT-Branche ändert sich das ständig). Man lernt beim Programmieren einen analytischen Blick zu entwickeln, um nachher mit den richtigen Design Patterns eine Lösung zu finden.

Windows- und Linux-Server

Als Penetrationstester kommt man mit Windows- und Linux-Umgebungen am meisten in Kontakt. Es ist deswegen wichtig, dass man sich mit diesen Umgebungen auskennt, um gezielte Angriffe ausführen zu können. Hier lernt man alles von der Benutzerverwaltung im Windows-Active-Directory bis zur Installation und Konfiguration vom Snort, einem Intrusion Detection System, auf Linux-Systeme.

Gesetz

Als Penetrationstester arbeitet man im Graubereich des Gesetzes, weswegen gute Kenntnisse des Gesetzes essentiell sind. Wenn man sich keine Gedanken dazu macht, ist man sehr schnell illegal unterwegs.

Web-Applikation-Testing

Seit einigen Jahren präferieren Entwickler häufiger Web-Applikationen  statt alleinstehende Betriebssystem-gebundene Applikationen. Dieser Umstieg auf das Web bringt natürlich auch verschiedene Sicherheitsprobleme mit sich, insbesondere wenn man die Applikation im Internet zur Verfügung stellt. Im Studium lernen Studierende „OWASP WebGoat“ eine Web-Applikation kennen, die absichtlich unsicher ist. Diese zeigt, was für Schwachstellen es in Web-Applikationen gibt und wie man sie ausnutzen kann.

Kryptografie

Kryptografie, die Wissenschaft der Verschlüsselung von Informationen, ist eines der wichtigsten Themen im Sicherheitsbereich. Seit Ewigkeiten versuchen Menschen Kommunikation vor unbefugten Augen zu verbergen. Dies ist in der Informatik nicht anders. Sie wollen natürlich auch nicht, dass Ihre Bankinformationen in den Händen von Hackern landen. Die Studierenden bekommen in diesem Fach Grundkenntnisse von modernen Verschlüsselungsverfahren vermittelt.

Pentesting

Um das Penetrationstesten zu üben, hat die Hochschule eine Labor-Umgebung zur Verfügung gestellt. In dieser Labor-Umgebung gibt es verwundbare Systeme, die die Studierenden versuchen zu hacken. Das Fach funktioniert in Spielform: für jedes gehackte  System können die Studierenden Punkte bekommen, die sie durch Eingabe von sogenannten „Flags“ (spezifischer Text) auf einer Spielplattform erhalten. Die Studierenden konkurrieren also miteinander, um so viele Systeme wie möglich zu hacken. Als Modulabschlussaufgabe erstellen sie einen ausführlichen Penetrationstest-Bericht, der alle gefundenen Schwachstellen auflistet und erklärt.

Certified Ethical Hacker

Am Ende des Studiums bekommen die Studierenden die Chance das Zertifikat „Certified Ethical Hacker“ vom EC-Council zu erhalten, ein Informationssicherheits-Zertifikat, welches unter anderem vom amerikanischen Department of Defense anerkannt wird.

Die Zukunft

Informationssicherheit ist ein Bereich, der im Moment sehr viel Wachstum erlebt. Es gibt im Vergleich zum klassischen Informatikstudium nur sehr wenige Institutionen, die Informationssicherheit als Vollzeitstudium anbieten. Langsam etabliert sich das Thema aber. In den letzten paar Jahren wurden einige neue Studiengänge im Bereich Informationssicherheit in Deutschland gegründet und ich hoffe, dass die Zahl sich in den nächsten Jahren exponentiell erhöht.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *