Security Testing - Möglichkeiten eines Quereinstiegs

Security Testing

Möglichkeiten eines Quereinstiegs

Andrea Hauser
von Andrea Hauser
am 12. Oktober 2017
Lesezeit: 7 Minuten

Keypoints

  • Security Testing ist im offensiven Bereich einzuordnen
  • Ein Quereinstieg ins Security Testing ist möglich
  • Es braucht gutes Grundwissen in der Informatik
  • Wege ins Security Testing können sehr unterschiedlich sein, möglich ist der Weg via Informatiklehre, Studium oder indem man sich alles selbst beibringt

Als Person, die keine Erfahrungen im Bereich der Informationssicherheit oder der Informatik besitzt, sieht der Einstieg ins Security Testing beinahe unmöglich aus. Dass ein erfolgreicher Quereinstieg möglich ist, kann an meinem eigenen Beispiel aufgezeigt werden.

Wie der Weg dahin möglich ist und was für Tipps es für den erfolgreichen Einstieg gibt, wird nachfolgend genauer behandelt.

Was ist Security Testing

Der Bereich Security Testing bezieht sich auf die “Angriffs”-Seite in der IT-Security Branche. Das heisst als Security Tester führt man unter anderem Penetration Tests oder Social Engineering Kampagnen und noch viele weitere Testformen durch. Wie die effektiven Aufgaben aussehen, kann ganz unterschiedlich ausfallen. Da die Bereiche sehr verschieden sind und sie sich immer weiterentwickeln, kann und muss der Wissenshorizont jederzeit erweitert werden.

Voraussetzungen

Eigene Erwartungen abgleichen

Als aller Erstes muss man für sich selbst herausfinden, ob die Branche das richtige ist. Denn ohne dieses Wissen und den Willen das Ziel (Arbeiten in der IT-Security) zu erreichen, ist der Weg dorthin zu aufwändig. Erst nach diesem langen Weg festzustellen, dass die Arbeit nicht das ist, was man sich vorgestellt oder erhofft hat, wäre schade. Denn so wie es in den Filmen gezeigt ist, wird es sicher nicht. Denn hinter einem Angriff stecken oft viele Abklärungen. Auch zu erwähnen ist, dass die Arbeit nach dem erledigten Angriff noch nicht zu Ende ist. Dann muss nämlich der Bericht für den Kunden erstellt werden, indem festgehalten ist, was getestet wurde, wo die Schwachstellen vorhanden sind und wie diese Schwachstellen angegangen werden können.

Begeisterungsfähig und lernwillig

Man muss definitiv aufgeschlossen und bereit sein, immer wieder etwas Neues zu lernen. Denn in einer sich immer schneller verändernden Umgebung kann man nicht einfach auf einem alten Wissensstand stehen bleiben. Was zum Beispiel vor zwei Jahren die beste Möglichkeit war, eine Schwachstelle auszunutzen, wird in den meisten Fällen heute so nicht mehr funktionieren. Die grundsätzlichen Überlegungen, die dahinterstecken, können durchaus noch dieselben sein; die Technologie hat sich allerdings in diesem Zeitraum stark weiterentwickelt.

Breitflächige grundlegende Kenntnisse

Um den Umstieg zu schaffen, braucht es meiner Meinung nach eine gute Grundausbildung in der Informatik. Man braucht grundlegende Kenntnisse in den folgenden Bereichen:

Man muss allerdings nicht in jedem Bereich ein Profi sein. Doch zumindest ein Verständnis für alle Bereiche sollte man haben. Und in mindestens einem dieser Bereiche sollte man sich gut auskennen. Wie man sich diese Kenntnisse aneignen kann, wird im weiteren Verlauf noch erklärt.

Wege ins Security Testing

Informatiklehre

Wenn noch machbar (genügend Zeit und Wille) wäre das Beste sicher eine Informatiklehre zu absolvieren, denn dann bekommt man viele Grundlagen mit, welche für die tägliche Arbeit nötig sind.

Studium

Falls dies nicht mehr machbar oder gewünscht ist, kann auch ein Studium zum Beispiel an einer Fachhochschule angestrebt werden. Dies ist auch der Weg, den ich gewählt habe. Im Nachhinein kann ich sagen, dass ich teilweise während des Studiums und auch während der Arbeit froh gewesen wäre, wenn ich vorher schon in der Informatik gearbeitet hätte. Wenn ich nochmals wählen könnte, würde ich bereits als erste Lehre die Informatiklehre abschliessen. Es ist klar zu erwähnen, dass das Informatikstudium nicht ohne Aufwand zu bewältigen ist.

Selbststudium

Mit genügend Interesse und Zeit ist es durchaus möglich, sich das ganze selbst beizubringen. Denn viele der bekanntesten Leute in der IT-Security Szene sind als Quereinsteiger in die Branche gelangt. Wobei es in der heutigen Einstellungslandschaft leider so aussieht, als würde immer mehr Wert auf ein entsprechendes Diplom gelegt werden. Diesen Weg würde ich deshalb nicht empfehlen.

Tipps und Tricks

Community

Wie man sich aufs Security Testing vorbereiten kann, auch wenn man erst in der Ausbildung oder im Studium ist.

Sich von Anfang an in die Community mit einbringen. Das kann wie folgt gemacht werden:

Beziehungsnetzwerk aufbauen

Man sollte schon früh beginnen ein Netzwerk aufzubauen. Beginnen kann man damit, Leute aus der Branche auf Twitter zu suchen. Twitter ist besonders erwähnenswert, da sich viele Informationen im IT-Security Bereich sehr schnell darüber verbreiten. Um also die neusten und spannendsten Informationen mitzubekommen, ist es zu empfehlen sich einen Twitter Account anzulegen, falls noch keiner besteht. Wenn schon ein Account erstellt wurde, sollte man den Leuten, die man im besten Fall an Konferenzen bereits kennengelernt hat, auf Twitter zu folgen. Falls man noch keine Leute aus der Branche kennt, kann man damit beginnen, dem lokalen OWASP zu folgen und auch mal IT-Security Veranstaltungen auf Twitter zu suchen. So bekommt man mit, welche Leute sich damit beschäftigen und kann so beginnen sein Netzwerk aufzubauen. Auch im Bereich Anstellungen kann sich Twitter als nützlich erweisen. Es werden darüber nämlich teilweise auch Stellen angeboten.

Ausgeschriebene Stelle auf Twitter

Selber ausprobieren

Um auch schon mal erste Erfahrungen im Ausnutzen von Schwachstellen zu sammeln, können eigens dafür aufgezogene Projekte genutzt werden. Hier gibt es unter anderem WebGoat und das Hacking-Lab welches beides Projekte von OWASP sind. Daneben gibt es noch viele andere Projekte, welche in einem ähnlichen Stil aufgebaut sind.

Fazit

Um den Einstig zu schaffen, ist ein gutes Grundwissen in der Informatik unumgänglich. Verschiedene Wege können eingeschlagen werden, um das Ziel erreichen zu können. In jedem Fall braucht es Passion und den Willen zu lernen, denn in der IT-Security gibt es ständig neue Entwicklungen.

Über die Autorin

Andrea Hauser

Andrea Hauser hat ihren Bachelor of Science FHO in Informatik an der Hochschule für Technik Rapperswil abgeschlossen. Sie setzt sich im offensiven Bereich in erster Linie mit Web Application Security Testing und der Umsetzung von Social Engineering Kampagnen auseinander. Zudem ist sie in der Forschung zum Thema Deepfakes tätig. (ORCID 0000-0002-5161-8658)

Links

Haben Sie Interesse an einem Penetration Test?

Unsere Spezialisten kontaktieren Sie gern!

×
GraphQL

GraphQL

Andrea Hauser

Server-Side-Request-Forgery

Server-Side-Request-Forgery

Andrea Hauser

Policy Analyzer

Policy Analyzer

Andrea Hauser

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv