Hallo, ich bin Jonas und habe vor fast zwei Jahren als Quereinsteiger bei RedTeam Pentesting angefangen. Nach meinem Abitur schwankte ich zwischen einem Informatik- und einem Physikstudium, habe mich aber für Letzteres entschieden. Nebenbei habe ich Informatik jedoch stets als Hobby beibehalten und mich in meiner Freizeit mit IT-Sicherheit beschäftigt.

Irgendwann entstand daraus die Idee, als Penetrationstester zu arbeiten, weil es, umgangssprachlich ausgedrückt, viel Spaß macht, dafür bezahlt zu werden, wofür man sonst ins Gefängnis wandern würde… Und dann habe ich mich bei RedTeam Pentesting beworben und mache seitdem genau das.

Im Penetrationstest ist es sehr wichtig, auf die speziellen Bedürfnisse jedes Kunden einzugehen. Daher wird im Vorhinein im Gespräch mit dem Kunden zunächst einmal herausgefunden, was angegriffen werden soll. Das können beispielsweise Webanwendungen, mobile Anwendungen, IoT-Geräte oder Firmennetze selbst sein. Außerdem werden zu dem Zeitpunkt sogenannte „Angreiferziele“ festgelegt: Geht es beispielsweise darum, Kundendaten zu erlangen, Systeme nachhaltig zu kompromittieren oder den Betrieb zu stören? Außerdem werden bestimmte Voraussetzungen festgelegt: Findet der Angriff aus dem Internet statt oder ist bereits ein Gerät, beispielsweise ein Raspberry-Pi, an das interne Netzwerk angeschlossen worden? Sind angenommene Angreifer vielleicht sogar schon im Besitz von Zugangsdaten?

Anschließend findet der Pentest selbst statt. Er dauert in der Regel zwischen einer und drei Wochen. Von den Voraussetzungen ausgehend versuchen wir die Angreiferziele zu erreichen. Hierbei arbeiten wir stets in Drei-Personen-Teams. Im Pentest gibt es kein Schema-F, hier ist Kreativität gefragt. Alles ist erlaubt, um das definierte Angreiferziel zu erreichen, solange die vom Kunden festgelegten Grenzen nicht überschritten werden. Dabei wird sowohl auf bekannte Schwachstellen zurückgegriffen als auch neue Schwachstellen aufgedeckt, falls sie uns helfen, dem Ziel näher zu kommen.

Alle Ergebnisse werden sowohl in einem schriftlichen Bericht festgehalten als auch in einer Live-Demonstration vor Ort bei den Kunden vorgestellt. Dabei vermitteln wir das nötige Wissen und geben Werkzeuge an die Hand, sodass der Kunde Schwachstellen selbstständig nachvollziehen und beheben kann.

Penetrationstests werden bei uns als sehr vertraulich behandelt, daher bleiben unsere Kunden stets anonym. Generell lässt sich jedoch sagen, dass ein Penetrationstest als Ergänzung eines bestehenden Sicherheitskonzepts zu sehen ist und daher primär für Unternehmen ab einer bestimmten Größe oder mit besonders schützenswerten Daten Sinn ergibt. Da digitale Technologien mittlerweile in allen Branchen Einzug erhalten haben, kommen auch unsere Kunden aus vielen verschiedenen Branchen. So erreichen wir einen breiten Mix von kleinen mittelständischen Unternehmen bis hin zu Fortune-500-Konzernen.

Die Anpassung des Penetrationstests auf die Kundenbedürfnisse hat bei uns höchste Priorität. Zu Beginn betrifft dies die oben vorgestellten Angreiferziele und -perspektiven, die je nach Unternehmen völlig unterschiedlich aussehen: Womit verdient das Unternehmen Geld? Handelt es sich bei dem Testziel um ein System, auf das jeder im Internet Zugriff hätte oder ist es nur für einen ausgewählten Mitarbeiterkreis erreichbar? All das wird auch während des Tests in enger Koordination mit einem Ansprechpartner des Kunden abgestimmt.

Auch die Risikoeinschätzung einer Schwachstelle ist äußerst individuell: Gelingt es uns beispielsweise, Befehle auf einem System auszuführen, was jedoch nicht aktiv genutzt wird oder keinen Zugriff auf wertvolle Daten hat, so kann die Risikoeinschätzung geringer ausfallen als bei einem schwachen Benutzerpasswort in einem kritischen System. Solche Einschätzungen können nur mit Wissen über das Unternehmen getroffen werden, das kann keine Software oder Checkliste leisten. Daher ist eine Standardisierung von Pentests nicht sinnvoll – nicht zuletzt auch, da es weder „Standard-Angreifer“ noch „Standard-Ziele“ gibt.  

Zunächst einmal ist Aachen eine Stadt, in der meine Kollegen und ich uns sehr wohl fühlen. So etwas wirkt sich natürlich auch positiv auf unsere Arbeit aus. Außerdem ist Aachen ein sehr technologischer Standort: Mit zwei Hochschulen, etlichen jungen Unternehmen und nicht zuletzt durch Unterstützung der Politik wird hier Fortschritt vorangetrieben, von dem wir alle profitieren. Doch auch strategisch liegt Aachen sehr günstig: Die Nähe zu den Niederlanden und Belgien, die Anbindung an den Schnellzug nach Paris, sowie die Autobahnanbindung und Erreichbarkeit von großen internationalen Flughäfen wie Köln und Düsseldorf ermöglichen uns beispielsweise, effizient zu Kundengesprächen zu reisen.

Die Spezialisierung auf Penetrationstests und die dabei eingesetzte Herangehensweise ist in Deutschland einmalig. Für Menschen, die wirklich Spaß an dieser Tätigkeit haben, führt sozusagen gar kein Weg um uns herum. Durch die Menge und Vielfältigkeit der Penetrationstests bringt die Tätigkeit ständig neue Erkenntnisse mit sich, sodass eine persönliche Weiterentwicklung ermöglicht und aktiv gefördert wird.

Auch das „Team“ in „RedTeam“ ist uns extrem wichtig: Interne Entscheidungen treffen wir stets gemeinsam, dabei steht das Wohl der Mitarbeiter an höchster Stelle. Dies wirkt sich sehr positiv auf das Arbeitsklima aus, sodass hier nicht nur Kollegen, sondern auch echte Freunde zusammenarbeiten.

Studierende sollten ein gründliches Verständnis von Computern, Netzwerken und Software mitbringen. Hier gilt: je mehr desto besser, aber man muss auch nicht auf jedem Teilgebiet Spezialist sein. Des Weiteren ist es erforderlich, IT-Infrastruktur kritisch betrachten zu können und dabei die Sichtweise eines echten Angreifers einnehmen zu können. Hierbei kann ein technischer Hintergrund, beispielsweise ein Informatikstudium oder eine Ausbildung, hilfreich sein, ist jedoch nicht zwingend erforderlich. Auch langjährige Berufserfahrung wird nicht vorausgesetzt.

Nicht zuletzt sollten Bewerber Spaß daran haben, mit Kunden zu kommunizieren und die Ergebnisse des Penetrationstests vorzustellen, denn das ist, wie zuvor erwähnt, ein wichtiger Bestandteil unser Vorgehensweise.