Websites: Schutz vor Hacker-Angriffen

Über das Berufsbild des Penetration Tester

Carsten J. Pinnow im Gespräch mit James Lyne, Trainer beim SANS Institut und Manuel Schönthaler, Direktor Deutschland des SANS Instituts

[datensicherheit.de, 07.08.2014] Die Sicherheit von Websites ist diversen Gefährdungen ausgesetzt, so z.B. ist durch DDoS-Attacken (Distributed Denial of Service) mit steigender Tendenz die Verfügbarkeit bedroht. Carsten J. Pinnow, Herausgeber von datensicherheit.de (C.J.P.) sprach über das Berufsbild des Penetration Testers mit James Lyne (J.L.), Trainer beim SANS Institut und Manuel Schönthaler (M.S.), Direktor Deutschland des SANS Instituts.

C.J.P.: Was ist unter dem Begriff „Penetration Testing“ zu verstehen?

M.S: Per Definition bezeichnet Penetration Testing einen Sicherheitstest für Netzwerke und Webseiten. Dies meint, dass ein Sicherheitsexperte in alle Bestandteile der zu prüfenden Anwendungen und Netzwerke mit allen ihm zur Verfügung stehenden Mitteln einzudringen versucht. Der Experte wird in diesem Fall zum Guten, zum sogenannten White-Hat Hacker.

C.J.P.: Wie entwickelt sich die Zahl der Hacker-Angriffe auf Websites?

© SANS Institut

Manuel Schönthaler, Direktor Deutschland des SANS Instituts

M.S: Im letzten Jahr haben Hacker-Angriffe auf diverse Institutionen und große Unternehmen weltweit für Aufsehen gesorgt. Zahlreiche Sicherheitsvorfälle wurden bekannt, die Dunkelziffer, so vermuten viele Spezialisten, ist allerdings noch wesentlich höher, denn nicht alle Unternehmen melden Angriffe und einige wissen noch nicht einmal, dass sie überhaupt gehackt wurden. Nur eines ist sicher, der Markt für IT-Sicherheit und Informationssicherheit brummt, so auch das Thema berufliche Weiterbildung.

C.J.P.: Berufliche Weiterbildung ist ein gutes Stichwort. Wie sieht es mit dem Berufsbild des „Penetration Testers“ und der Ausbildung dazu aus?

M.S: Es ist ein noch relativ junger, aber bereits etablierter Berufszweig, der von der zunehmenden Nachfrage nach IT-Sicherheit profitiert, ist das Penetration Testing. Diese Spezialisten, Pen Tester genannt, werden in der Regel dann gerufen, wenn ein Sicherheitsvorfall passiert ist und die zuvor getroffenen Sicherheitsmaßnahmen überprüft werden sollen. In den meisten Fällen werden sie dank ihres Expertenwissens schnell fündig und müssen nicht lange nach den betroffenen Schwachstellen suchen. Doch wie wird man eigentlich ein Penetration Tester und welche Möglichkeiten gibt es für Quereinsteiger sich dazu aus- oder weiterbilden zu lassen?

C.J.P.: Welches Vorwissen ist zur Ausübung des Berufes notwendig? Wird z.B. ein erfolgreiches absolviertes Studium der Informatik vorausgesetzt?

M.S: Ein Studium der Informatik mit entsprechenden Schwerpunkten ist für eine spätere Karriere als Penetration Tester nicht zwingend erforderlich. Es gibt genügend herausragende Penetration Tester, die lediglich eine Ausbildung als Fachinformatiker absolviert haben. Gleichwohl haben viele Informatik mit dem Schwerpunkt Informationssicherheit studiert. In der IT gibt es immer mehr Spezialisierungen, so ändert sich nicht nur der spätere Arbeitsplatz, sondern auch das Studium und die Ausbildung. Die Universitäten sind zwar immer mehr bestrebt, diesem Expertentum Rechnung zu tragen und spezielle Kurse anzubieten, allerdings gibt es noch keine dezidierten Studiengänge wie z.B. im Bereich Computer-Forensik.

J.L.: Grundsätzlich ist die Ausbildung sehr unterschiedlich. Es kommt viel auf die eigenen Interessen und auf den späteren Beruf an. Nicht alle Experten, die sich in unseren Kursen schulen lassen, haben auch tagtäglich mit Pen Testing zu tun. Manche wollen einfach nur reinschnuppern und einige Grundlagen erlernen. Was jedoch die meisten miteinander verbindet, ist die Neugier darauf in ein System einzudringen und sich im Wettstreit miteinander zu messen.

C.J.P: Also gute Aussichten für interessierte „Nerds“?

M.S.: Dass sich ein Studium mit gewissen Schwerpunkten und der Besuch von entsprechenden Veranstaltungen lohnen könnte, belegt nicht nur ein Blick auf aktuelle Stellenausschreibungen, sondern auch die Auslastung von spezialisierten Firmen. Unternehmen haben inzwischen verstanden, dass es nicht mehr ausreicht, sich einfach nur eine Firewall anzuschaffen und darauf zu vertrauen, dass diese alle Angriffe abfängt. Nur wer die Angreifer versteht und Angriffe auch selbst simulieren kann, kann auch einen wirksamen Schutz um sensible Daten herum aufbauen. Im großen Markt der Informationssicherheit ist Pen Testing sicherlich einer der Teilbereiche, der viel Wachstumspotenzial besitzt. Ein interessanter Aspekt hierbei ist, dass entgegen dem allgemeinen Trend in der IT, das Know How an Dienstleister auszulagern, in diesem Bereich immer mehr Wissen in den Unternehmen aufgebaut wird.

J.L.: Derzeit beobachten wir, dass immer mehr unserer Kursteilnehmer von Unternehmen kommen, die zunächst eher keine großen IT-Abteilungen vermuten lassen. Dies bestärkt uns in unserer Annahme, dass gerade im Bereich Penetration Testing eher Wissen in den Unternehmen aufgebaut werden soll. Warum dies so ist, können wir nur vermuten. Sicherlich gibt es dafür viele Gründe, denn der Stundensatz eines Penetration Testers ist nicht gerade gering. Die Gewissheit eigene Kapazitäten geschaffen zu haben und auszubauen, bestärkt viele Unternehmen außerdem darin, selbstbewusster mit Hacker-Angriffen umgehen zu können.

C.J.P: Ist es nicht gerade auch wichtig Expertise im eigenen Unternehmen zu haben?

M.S.: In der nahen Zukunft wird im Bereich Pen Testing mehr und mehr in den Aufbau eigener Teams innerhalb von Unternehmen investiert werden, Talent Management lautet hier das Stichwort. Wünschenswert wäre aus Sicherheitsaspekten außerdem die Einbindung dieser Teams in die Softwareentwicklung, um Schwachstellen schon dort frühzeitig zu erkennen und zu beheben.

C.J.P.: Gerade im Sicherheitsbereich gibt es rasante Entwicklungen. Wie können sich Interessierte gezielt fortbilden?

M.S.: In den letzten Jahren haben sich die Möglichkeiten der gezielten Weiterbildung im Bereich Pen Testing deutlich verbessert. Noch vor einigen Jahren waren viele Spezialisten dazu gezwungen, sich selbst privat fortzubilden. Anbieter haben inzwischen das Potenzial erkannt. Die wenigsten Teilnehmer zahlen die Kursgebühren selbst. In den meisten Fällen kommen Unternehmen dafür auf, bei denen die Experten arbeiten. Trotzdem bleibt vieles inklusive zahlreicher Grundlagen vor allem Learning by Doing und Training on the Job. Ein Grundverständnis für das generelle Vorgehen von Hackern ist elementar. Das Vorgehen von Angreifern lässt sich am besten nachvollziehen, wenn der Hack selbst durchgeführt wurde. Die meisten gebuchten Kurse befinden sich deshalb auch eher auf gehobenem Niveau.
Das Geschäft ist unglaublich schnelllebig, so dass die Kurse ständig aktualisiert werden müssen. Tools, die im letzten Jahr noch weitläufig benutzt wurden, erhalten ständige Updates und dementsprechend ändert sich auch deren Nutzung. Die Teilnehmer bringen in der Regel bereits Grundwissen mit, viele hacken aus Leidenschaft und sind dementsprechend motiviert, so viel Wissen wie möglich mitzunehmen.

J.L.: Die Trainings sind in der Regel hands on, es soll so viel wie möglich selbst probiert werden, um im Berufsalltag möglichst alle in der Fortbildung erlernten Fähigkeiten einsetzen zu können. Aus Büchern zu lernen, ist sicherlich zum Einstieg sinnvoll, doch sollte dann relativ schnell die Umsetzung in der Praxis erfolgen, um sich selbst zu testen.

C.J.P: Was macht einen „guten“ Hacker (in doppeltem Sinn) aus?

M.S.: Gute Penetration Tester sind zugleich auch gute Hacker, dies liegt in der Natur der Sache. Wie in vielen Fachbereichen lässt es sich aber nicht vermeiden, dass dieses Wissen nur für den Schutz von Unternehmensdaten verwendet wird. Nicht zuletzt deshalb wählen Unternehmen ihr Personal auch unter diesem Gesichtspunkt aus. Wie Google aus seinen Hackern richtige Rockstars macht, zeigt ein Porträt von Project Zero der Zeitschrift Wired.1 Hier werden aus Hackern, die vielleicht sogar eine graue also halblegale, halbillegale Vergangenheit haben, nun aber für Google arbeiten, wahre Berühmtheiten, die für ein positiveres Image ihres Arbeitgebers sorgen sollen.

Weitere Informationen zum Thema:

datensicherheit.de, 22.07.2014
Prolexic Global DDoS Attack Report: Akamai veröffentlicht Bericht für das zweite Quartal 2014

datensicherheit.de, 21.05.2014
SANS Institut veranstaltet Pen Test Berlin 2014