Als Person, die keine Erfahrungen im Bereich der Informationssicherheit oder der Informatik besitzt, sieht der Einstieg ins Security Testing beinahe unmöglich aus. Dass ein erfolgreicher Quereinstieg möglich ist, kann an meinem eigenen Beispiel aufgezeigt werden.

Wie der Weg dahin möglich ist und was für Tipps es für den erfolgreichen Einstieg gibt, wird nachfolgend genauer behandelt.

Was ist Security Testing

Der Bereich Security Testing bezieht sich auf die “Angriffs”-Seite in der IT-Security Branche. Das heisst als Security Tester führt man unter anderem Penetration Tests oder Social Engineering Kampagnen und noch viele weitere Testformen durch. Wie die effektiven Aufgaben aussehen, kann ganz unterschiedlich ausfallen. Da die Bereiche sehr verschieden sind und sie sich immer weiterentwickeln, kann und muss der Wissenshorizont jederzeit erweitert werden.

Voraussetzungen

Eigene Erwartungen abgleichen

Als aller Erstes muss man für sich selbst herausfinden, ob die Branche das richtige ist. Denn ohne dieses Wissen und den Willen das Ziel (Arbeiten in der IT-Security) zu erreichen, ist der Weg dorthin zu aufwändig. Erst nach diesem langen Weg festzustellen, dass die Arbeit nicht das ist, was man sich vorgestellt oder erhofft hat, wäre schade. Denn so wie es in den Filmen gezeigt ist, wird es sicher nicht. Denn hinter einem Angriff stecken oft viele Abklärungen. Auch zu erwähnen ist, dass die Arbeit nach dem erledigten Angriff noch nicht zu Ende ist. Dann muss nämlich der Bericht für den Kunden erstellt werden, indem festgehalten ist, was getestet wurde, wo die Schwachstellen vorhanden sind und wie diese Schwachstellen angegangen werden können.

Begeisterungsfähig und lernwillig

Man muss definitiv aufgeschlossen und bereit sein, immer wieder etwas Neues zu lernen. Denn in einer sich immer schneller verändernden Umgebung kann man nicht einfach auf einem alten Wissensstand stehen bleiben. Was zum Beispiel vor zwei Jahren die beste Möglichkeit war, eine Schwachstelle auszunutzen, wird in den meisten Fällen heute so nicht mehr funktionieren. Die grundsätzlichen Überlegungen, die dahinterstecken, können durchaus noch dieselben sein; die Technologie hat sich allerdings in diesem Zeitraum stark weiterentwickelt.

Breitflächige grundlegende Kenntnisse

Um den Umstieg zu schaffen, braucht es meiner Meinung nach eine gute Grundausbildung in der Informatik. Man braucht grundlegende Kenntnisse in den folgenden Bereichen:

• Netzwerke
• Computersysteme
• Programmieren
• Policies

Man muss allerdings nicht in jedem Bereich ein Profi sein. Doch zumindest ein Verständnis für alle Bereiche sollte man haben. Und in mindestens einem dieser Bereiche sollte man sich gut auskennen. Wie man sich diese Kenntnisse aneignen kann, wird im weiteren Verlauf noch erklärt.

Wege ins Security Testing

Informatiklehre

Wenn noch machbar (genügend Zeit und Wille) wäre das Beste sicher eine Informatiklehre zu absolvieren, denn dann bekommt man viele Grundlagen mit, welche für die tägliche Arbeit nötig sind.

Studium

Falls dies nicht mehr machbar oder gewünscht ist, kann auch ein Studium zum Beispiel an einer Fachhochschule angestrebt werden. Dies ist auch der Weg, den ich gewählt habe. Im Nachhinein kann ich sagen, dass ich teilweise während des Studiums und auch während der Arbeit froh gewesen wäre, wenn ich vorher schon in der Informatik gearbeitet hätte. Wenn ich nochmals wählen könnte, würde ich bereits als erste Lehre die Informatiklehre abschliessen. Es ist klar zu erwähnen, dass das Informatikstudium nicht ohne Aufwand zu bewältigen ist.

Selbststudium

Mit genügend Interesse und Zeit ist es durchaus möglich, sich das ganze selbst beizubringen. Denn viele der bekanntesten Leute in der IT-Security Szene sind als Quereinsteiger in die Branche gelangt. Wobei es in der heutigen Einstellungslandschaft leider so aussieht, als würde immer mehr Wert auf ein entsprechendes Diplom gelegt werden. Diesen Weg würde ich deshalb nicht empfehlen.

Tipps und Tricks

Community

Wie man sich aufs Security Testing vorbereiten kann, auch wenn man erst in der Ausbildung oder im Studium ist.

Sich von Anfang an in die Community mit einbringen. Das kann wie folgt gemacht werden:

• In die OWASP Mailing List einschreiben
• Das lokale OWASP Chapter Meeting besuchen
• Konferenzen besuchen (da gibt es unter anderem BSides, Swiss Cyber Storm Conference und noch viele mehr). Auf Meetup können viele weitere Events und Konferenzen gefunden werden.

Beziehungsnetzwerk aufbauen

Man sollte schon früh beginnen ein Netzwerk aufzubauen. Beginnen kann man damit, Leute aus der Branche auf Twitter zu suchen. Twitter ist besonders erwähnenswert, da sich viele Informationen im IT-Security Bereich sehr schnell darüber verbreiten. Um also die neusten und spannendsten Informationen mitzubekommen, ist es zu empfehlen sich einen Twitter Account anzulegen, falls noch keiner besteht. Wenn schon ein Account erstellt wurde, sollte man den Leuten, die man im besten Fall an Konferenzen bereits kennengelernt hat, auf Twitter zu folgen. Falls man noch keine Leute aus der Branche kennt, kann man damit beginnen, dem lokalen OWASP zu folgen und auch mal IT-Security Veranstaltungen auf Twitter zu suchen. So bekommt man mit, welche Leute sich damit beschäftigen und kann so beginnen sein Netzwerk aufzubauen. Auch im Bereich Anstellungen kann sich Twitter als nützlich erweisen. Es werden darüber nämlich teilweise auch Stellen angeboten.

Selber ausprobieren

Um auch schon mal erste Erfahrungen im Ausnutzen von Schwachstellen zu sammeln, können eigens dafür aufgezogene Projekte genutzt werden. Hier gibt es unter anderem WebGoat und das Hacking-Lab welches beides Projekte von OWASP sind. Daneben gibt es noch viele andere Projekte, welche in einem ähnlichen Stil aufgebaut sind.

Fazit

Um den Einstig zu schaffen, ist ein gutes Grundwissen in der Informatik unumgänglich. Verschiedene Wege können eingeschlagen werden, um das Ziel erreichen zu können. In jedem Fall braucht es Passion und den Willen zu lernen, denn in der IT-Security gibt es ständig neue Entwicklungen.

Über die Autorin

Andrea Hauser hat ihren Bachelor of Science FHO in Informatik an der Hochschule für Technik Rapperswil abgeschlossen. Sie setzt sich im offensiven Bereich in erster Linie mit Web Application Security Testing und der Umsetzung von Social Engineering Kampagnen auseinander. Zudem ist sie in der Forschung zum Thema Deepfakes tätig. (ORCID 0000-0002-5161-8658)

Links

• https://twitter.com/le_krogoth/status/911500419729444864
• https://www.meetup.com/de-DE/find/events/?allMeetups=false&keywords=information+security&radius=62&userFreeform=Zurich%2C+Schweiz&mcName=Z%C3%BCrich%2C+CH&lat=47.3667&lon=8.550003
• https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
• https://www.owasp.org/index.php/OWASP_Hacking_Lab