Hi, I'm Jonas and I started at RedTeam Pentesting almost two years ago as a career changer. After my Abitur (university entrance qualification), I wavered between studying computer science and physics, but decided in favour of the latter. However, I always kept computer science as a hobby and worked on IT security in my spare time.

At some point, this gave rise to the idea of working as a penetration tester because, to put it colloquially, it's a lot of fun to get paid for what you would otherwise go to prison for... And then I made an application to RedTeam Pentesting and have been doing just that ever since.

In penetration testing, it is very important to cater to the specific needs of each customer. Therefore, the first step is to talk to the customer in advance to find out what is to be attacked. This could be web applications, mobile applications, IoT devices or company networks themselves, for example. So-called "attacker targets" are also defined at this point: For example, is the aim to obtain customer data, compromise systems in the long term or disrupt operations? Certain requirements are also defined: Is the attack taking place from the internet or has a device, such as a Raspberry Pi, already been connected to the internal network? Are assumed attackers perhaps even already in possession of access data?

The pentest itself then takes place. It usually takes between one and three weeks. Based on the prerequisites, we try to reach the attacker targets. We always work in three-person teams. There is no standardised approach in the pentest, creativity is required here. Everything is permitted in order to achieve the defined attack target, as long as the limits set by the customer are not exceeded. Known vulnerabilities are utilised as well as new vulnerabilities uncovered if they help us get closer to our goal.

All results are recorded in a written report and also presented in a live demonstration at the customer's premises. We impart the necessary knowledge and provide tools so that the customer can understand and rectify weak points independently.

Penetrationstests werden bei uns als sehr vertraulich behandelt, daher bleiben unsere Kunden stets anonym. Generell lässt sich jedoch sagen, dass ein Penetrationstest als Ergänzung eines bestehenden Sicherheitskonzepts zu sehen ist und daher primär für Unternehmen ab einer bestimmten Größe oder mit besonders schützenswerten Daten Sinn ergibt. Da digitale Technologien mittlerweile in allen Branchen Einzug erhalten haben, kommen auch unsere Kunden aus vielen verschiedenen Branchen. So erreichen wir einen breiten Mix von kleinen mittelständischen Unternehmen bis hin zu Fortune-500-Konzernen.

Die Anpassung des Penetrationstests auf die Kundenbedürfnisse hat bei uns höchste Priorität. Zu Beginn betrifft dies die oben vorgestellten Angreiferziele und -perspektiven, die je nach Unternehmen völlig unterschiedlich aussehen: Womit verdient das Unternehmen Geld? Handelt es sich bei dem Testziel um ein System, auf das jeder im Internet Zugriff hätte oder ist es nur für einen ausgewählten Mitarbeiterkreis erreichbar? All das wird auch während des Tests in enger Koordination mit einem Ansprechpartner des Kunden abgestimmt.

Auch die Risikoeinschätzung einer Schwachstelle ist äußerst individuell: Gelingt es uns beispielsweise, Befehle auf einem System auszuführen, was jedoch nicht aktiv genutzt wird oder keinen Zugriff auf wertvolle Daten hat, so kann die Risikoeinschätzung geringer ausfallen als bei einem schwachen Benutzerpasswort in einem kritischen System. Solche Einschätzungen können nur mit Wissen über das Unternehmen getroffen werden, das kann keine Software oder Checkliste leisten. Daher ist eine Standardisierung von Pentests nicht sinnvoll – nicht zuletzt auch, da es weder „Standard-Angreifer“ noch „Standard-Ziele“ gibt.  

Zunächst einmal ist Aachen eine Stadt, in der meine Kollegen und ich uns sehr wohl fühlen. So etwas wirkt sich natürlich auch positiv auf unsere Arbeit aus. Außerdem ist Aachen ein sehr technologischer Standort: Mit zwei Hochschulen, etlichen jungen Unternehmen und nicht zuletzt durch Unterstützung der Politik wird hier Fortschritt vorangetrieben, von dem wir alle profitieren. Doch auch strategisch liegt Aachen sehr günstig: Die Nähe zu den Niederlanden und Belgien, die Anbindung an den Schnellzug nach Paris, sowie die Autobahnanbindung und Erreichbarkeit von großen internationalen Flughäfen wie Köln und Düsseldorf ermöglichen uns beispielsweise, effizient zu Kundengesprächen zu reisen.

Die Spezialisierung auf Penetrationstests und die dabei eingesetzte Herangehensweise ist in Deutschland einmalig. Für Menschen, die wirklich Spaß an dieser Tätigkeit haben, führt sozusagen gar kein Weg um uns herum. Durch die Menge und Vielfältigkeit der Penetrationstests bringt die Tätigkeit ständig neue Erkenntnisse mit sich, sodass eine persönliche Weiterentwicklung ermöglicht und aktiv gefördert wird.

Auch das „Team“ in „RedTeam“ ist uns extrem wichtig: Interne Entscheidungen treffen wir stets gemeinsam, dabei steht das Wohl der Mitarbeiter an höchster Stelle. Dies wirkt sich sehr positiv auf das Arbeitsklima aus, sodass hier nicht nur Kollegen, sondern auch echte Freunde zusammenarbeiten.

Studierende sollten ein gründliches Verständnis von Computern, Netzwerken und Software mitbringen. Hier gilt: je mehr desto besser, aber man muss auch nicht auf jedem Teilgebiet Spezialist sein. Des Weiteren ist es erforderlich, IT-Infrastruktur kritisch betrachten zu können und dabei die Sichtweise eines echten Angreifers einnehmen zu können. Hierbei kann ein technischer Hintergrund, beispielsweise ein Informatikstudium oder eine Ausbildung, hilfreich sein, ist jedoch nicht zwingend erforderlich. Auch langjährige Berufserfahrung wird nicht vorausgesetzt.

Nicht zuletzt sollten Bewerber Spaß daran haben, mit Kunden zu kommunizieren und die Ergebnisse des Penetrationstests vorzustellen, denn das ist, wie zuvor erwähnt, ein wichtiger Bestandteil unser Vorgehensweise.