Job-Inserat

07. Februar 2019 17:03; Akt: 07.02.2019 17:34 Print

«Auch ein Schauspielkurs kann einem Hacker helfen»

Der Bund sucht einen sogenannten Penetration-Tester. Doch was macht man in diesem Beruf überhaupt? 20 Minuten hat nachgefragt.

Bildstrecke im Grossformat »

Zum Thema
Fehler gesehen?

Auf Admin.ch wurde vor kurzem ein ungewöhnliches Inserat veröffentlicht. Der Bund sucht damit einen Senior-Penetration-Tester für die Führungsunterstützungsbasis FUB, die für das VBS Leistungen erbringt. Was aber macht man in diesem Berufsfeld genau? Der Name verrät es schon. Er versucht, in IT-Systeme einzudringen (auf Englisch: to penetrate). Sprich: Der Bund sucht einen Hacker.

Umfrage
Wie attraktiv finden Sie technische Berufe (Mathematik, Informatik, Naturwissenschaften, Technik)?

«Der ideale Bewerber verfügt über ein breites Informatikwissen und ist auch in der Lage, sich rasch auf verschiedenen Systemen einzuarbeiten», erklärt Delphine Allemand, Sprecherin des VBS. Die Besetzung der neu geschaffenen Position erfolge im Rahmen der Umsetzung des Aktionsplans für Cyber-Defence.

20 Minuten hat bei Bernhard Tellenbach nachgefragt, welche Eigenschaften in einem solchen Beruf wichtig sind. Tellenbach ist Dozent für Informatik mit Spezialgebiet Informationssicherheit an der ZHAW.

Was macht ein Penetration-Tester genau?
Er versucht, als guter Hacker das zu machen, was Cyberkriminelle auch tun. In Systeme einzudringen. Dies aber mit der Absicht, deren Sicherheit zu testen.

Welches sind seine Aufgaben?
Diese können sehr vielfältig sein. Er testet zum Beispiel eine öffentliche Web-Anwendung, etwa eine Steuer-Applikation. Auch die Sicherheit von Hardware kann getestet werden, wie zum Beispiel das Schliesssystem einer Anlage. Auch kann ein Pen-Tester die Mitarbeiter der Firma selbst testen, indem er versucht, diese so zu beeinflussen, dass sie sensible Informationen preisgeben oder Dinge tun, die beim Angriff helfen. Das nennt man dann Social Engineering.

Wie geht man vor, wenn man ein KMU testen muss?
Man klärt zuerst ab, welches das Ziel des Tests ist. Das definiert man auch als Angreifermodell: Weiss der Eindringling nichts über die Firma oder erhält er gewisse Informationen vorab? Man setzt auch Grenzen, zum Beispiel dass Social Engineering nicht eingesetzt werden darf.

Wie lange dauert ein Penetration-Test?
Das hängt stark von der Komplexität und der Art des Penetration-Tests ab. Etwa bei einer aus der Ferne zu testenden Web-Applikation kann er fünf bis zehn Tage dauern. Sobald weitere Angriffsvektoren, wie etwa das heimliche Eindringen vor Ort, um physischen Zugriff auf Systeme zu erhalten, dazukommen, kann es sehr umfangreich und damit auch kostenintensiv werden.

Wie sieht die Ausbildung aus?
Wichtig ist auf alle Fälle eine gute Grundlagenausbildung in der Informatik. Anschliessend kann man sich je nach Einsatzgebiet weiter spezialisieren, etwa bei der Hardware. Für Pen-Tester, die auch Social Engineering einbeziehen, kann auch ein Schauspielkurs oder eine psychologische Grundausbildung nützlich sein.

Was macht einen guten Pen-Tester aus?
Ich sage meinen Studierenden immer, dass sie Out-of-the-Box denken müssen. Pen-Tester sollen ja einen Weg finden, um irgendwo einzudringen. Sie müssen also sicher kreativ sein und Tricks finden, um Sicherheitsschranken zu überwinden. Weiter sollte man gute analytische Fähigkeiten und eine gute Auffassungsgabe haben. Pen-Tester müssen auch bereit sein, zu lernen, da man sich praktisch täglich über neue Schwachstellen, Angriffstechniken und Tools informieren muss, wenn man nicht abgehängt werden will.

(tob)

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Wir bitten um Verständnis.

Die beliebtesten Leser-Kommentare

  • GoatsForFree am 07.02.2019 17:56 via via Mobile Report Diesen Beitrag melden

    Neue Berufe

    Oder wenn deine Berufsbezeichnung dem Gegenüber die Schamesröte ins Gesicht treibt.

  • Pen-Tester am 07.02.2019 17:20 via via Mobile Report Diesen Beitrag melden

    Pen-Tester

    Ich habe an der Hochschule in Luzern mein Master in Information Security Technology abgeschlossen, sehr empfehlenswert. Ich nehme auch private Aufträge entgegen.

  • Benno Sec am 07.02.2019 17:29 Report Diesen Beitrag melden

    Sehr Interessant!

    Für mich leider ein paar Jahre zu spät - habe vor 5 Jahren den CEH und einige weitere Zertifikate gemacht. Security war damals meine grosse Passion. Im Studium hab ich dann auch die unteren 3 Netzwerklayer und Firewalls kennengelernt, was für einen Security Experten ("Penetration Testing" ist eine Disziplin) unabdingbar ist und mein Interesse verloren. Eine Bewerbung kann ich jedem empfehlen, welcher in diesem Bereich tätig ist oder Erfahrungen vorweisen kann! Die Referenz dürfte international sehr relevant sein!

Die neusten Leser-Kommentare

  • GoatsForFree am 07.02.2019 17:56 via via Mobile Report Diesen Beitrag melden

    Neue Berufe

    Oder wenn deine Berufsbezeichnung dem Gegenüber die Schamesröte ins Gesicht treibt.

  • 1 Tap am 07.02.2019 17:56 via via Mobile Report Diesen Beitrag melden

    aber hopple

    Hatten wir das nicht mal vor 2-3 Jahren wo die Migros, Digitec usw alle seiten lahm waren? Da hilft auch kein Pen Test

  • Turicum am 07.02.2019 17:51 via via Mobile Report Diesen Beitrag melden

    Nichts Neues

    Ich bin schon seit Jahren Senior-Penetrator. Das Wissen habe ich mir in harter Praxisarbeit angeeignet!

  • Gabriel am 07.02.2019 17:34 Report Diesen Beitrag melden

    Rui Pinto the hacker from the moment

    Bring doch einfach Rui Pinto her. Ist nicht einfach aber snowden har es auch nach russland geschafft.Er arbeitet so wie so schon für euch gegen den fifa president. Und ich bin mir sicher er hat mehr freude auf die schweiz als in bulgarien.

  • marko 34 am 07.02.2019 17:33 via via Mobile Report Diesen Beitrag melden

    Schrecklich

    Schrecklich