Learn Ethical Hacking - Become a Pentester Marc Ruef | 17.09.2012 Ich hatte Glück, irgendwie. Als ich mich im Bereich Security Testing professionalisieren wollte, stand die Geburt dieses Bereichs hierzulande (in der Schweiz) kurz bevor. Abgesehen davon, dass ich quasi bei der Begründung dieser Profession dabei sein durfte, führte dies auch noch andere Vorteile mit. Einer davon war, dass eine Arbeit in diesem Bereich keine konkreten und formalisierten Anforderungen voraussetzen sollte. Entweder man hatte das Flair dazu, oder man hatte halt seine Stärken wo anders. Rund 15 Jahre später (Zusammenfassung der Ereignisse (http://www.computec.ch/news.php?item.349)) hat sich die Rezeption in diesem Bereich stark verändert. Plötzlich reden alle von Ausbildungen und Zertifizierungen. Doch was man bei einer solchen konkret voraussetzt, lässt sich nicht wirklich definieren. Wirklich durchsetzen konnte sich bisher nichts. Und wenn etwas ein gewisses Mass an Popularität erreicht hat, dann fällt es sehr schnell wieder in Ungnade - CISSP ist ein gutes Beispiel davon, wenn man die Vielzahl abschätziger Kommentare etablierter Personen im Fachbereich auf Twitter verfolgt (siehe auch diese kritische Analyse (http://attrition.org/security/conferences/why_you_should_not_get_a_CISSP-public.pdf)). Viele Unternehmen mit zwielichtigem Hintergrund versuchen Profit aus diesem Vakuum zu schlagen. Jüngst besuchte ich die Webseite eines polnischen Security-Magazins, wo mir eine grossflächig platzierte Werbung mit dem folgenden Spruch an den Kopf geworfen wurde: "Learn Ethical Hacking - Become a Pentester". Der Begriff "Pentester" wurde gar mit einem Trademark-Logo versehen. Grundsätzlich bin ich der Meinung, dass Security Testing zu einem gewissen Mass gelernt werden kann. Die zentralen Bereiche einer Prüfung können formalisiert werden, so dass die Grundlage für eine generische Analyse gelegt werden kann. Ein guter Penetration Tester geht aber noch einen beachtlichen Schritt weiter. Hier sind Kreativität gefragt. Und Kreativität ist wohl unbestritten einer der Eigenschaften, die man sich nicht einfachso aneignen kann. Die Frage bleibt, ob nun solche Kurse zu empfehlen sind. Welchen Vorteil kann man sich mit ihnen erarbeiten? Befindet man sich im Besitz allgemeiner Computer-Kenntnisse und möchte sich im Bereich Informationssicherheit weiterbilden, dann kann ein solcher Kurs eine gute Ausgangslage sein. Anhand dessen erfährt man einen groben Überblick zu einem Thema, das vor allem zu Beginn unüberschaubar scheint. Ein allfälliges Zertifikat macht sich vielleicht schick in einem Lebenslauf - Sich aber alleine darauf abstützen zu wollen, ist ein bisschen gar naiv. Als weiteren Schritt wird es also unabdingbar, dass man sich für einzelne Fachgebiete begeistern kann und sich selbstständig mit diesen auseinandersetzen beginnt. Netzwerktechnologien, sichere Programmierung, Kryptologie, etc. Die wirkliche Arbeit - und Freude! - beginnt also nach dem Kurs. Denn einmal mehr, ist auch hier der Weg das Ziel.