24.04.2006, 17:51 Uhr

Der Weg zum professionellen Security-Tester

Was sind die Voraussetzungen, um professioneller Security-Tester zu werden und welche Ausbildungsmöglichkeiten sind empfehlenswert? Computerworld-Experte Christoph Baumgartner kennt die Antwort.
Technische Security-Audits (technische Sicherheitsüberprüfungen) werden von vielen Unternehmen und Organisationen als fester Bestandteil des IT-Riskmanagements in regelmässigen Abständen durchgeführt oder in Auftrag gegeben. Der Beruf des Security-Testers hat nichts gemein mit dem Bild pickelgesichtiger und übernächtigter Teenager, welche sich in abgedunkelten Hinterzimmern vor ihren Computern beim Versuch in fremde Computersysteme einzudringen, die Nacht um die Ohren schlagen.
Die Anforderungen an Security-Tester sind vielfältig. Je nach Untersuchungsobjekt werden aus technischer Sicht fundierte Kenntnisse von Firmware, Betriebssystemen, Programmiersprachen, Frameworks, Programmiermethoden und Applikationen benötigt. Konzeptionelles Denken und die Fähigkeit, sich prägnant in Wort und Schrift auszudrücken, werden ebenfalls vorausgesetzt. Ausserdem haben die Auftraggeber hohe Ansprüche an die Integrität und die Vertrauenswürdigkeit des Testers und dessen Arbeitgeber. Somit ist insbesondere in der Banken- und Versicherungsbranche oder der pharmazeutischen Industrie ein tadelloser Leumund zwingende Voraussetzung für die langfristige Ausübung des Security Tester-Berufs.
Eine Informatiklehre und/oder eine höhere technische Ausbildung vermitteln in Kombination mit mehrjähriger Praxiserfahrung eine solide technische und konzeptionelle Grundlage. Darauf aufbauend kann man von (Arbeits-)Kollegen lernen oder sich das benötigte fachliche Spezialwissen autodidaktisch aneignen - selbstverständlich ohne in irgendeiner Form gegen geltendes Recht zu verstossen.
Spezifische Kurse mit Fokus Security Testing und anschliessender Zertifizierungsprüfung wie beispielsweise OPST (OSSTMM Professional Security Tester) oder CPTS (Certified Penetration Testing Spezialist) setzen bereits fundierte Kenntnisse der Netzwerk- und Systemsicherheit und Kenntnisse von Betriebssystemen und den Umgang mit Tester-Tools voraus. Derartige Kurse vermitteln in komprimierter Form Fachwissen und bieten die Möglichkeit, sich mit Gleichgesinnten auszutauschen. Das nach erfolgreicher Prüfung erlangte Zertifikat belegt, dass der Prüfling die mitunter hohen Anforderungen erfüllt.
Weil in Grossunternehmen «Compliance» und deren Sicherstellung die derzeitigen IT-Budgets dominieren, empfiehlt sich die Lektüre der gängigen Normen und Vorgaben, welche die technischen Audits tangieren. Dazu gehören beispielsweise ISO/IEC 27001/17799, IT GSHB, ITIL und SOX. Das Open Source Security Testing Methodology Manual (OSSTMM) ist zu vorgenannten Regelwerken in der aktuellen Version 2.x hinsichtlich der Planung, Durchführung und Dokumentation von technischen Remote Tests konform. Ab Version 3 entfällt die Beschränkung auf Remote-Tests.
Die Kombination der Vermittlung von spezifischen Security Tester- und Security Analysten-Skills und Know-how hinsichtlich der korrekten Anwendung des OSSTMM bietet derzeit nur der OPST beziehungsweise der weniger techniklastige OSSTMM Professional Security Analyst (OPSA). Weitere Informationen zu OSSTMM-spezifischen Kurs- und Zertifizierungsangeboten finden sich auf der Website von ISECOM/OSSTMM http://www.osstmm.org.
Zertifikate dürfen aber nicht darüber hinwegtäuschen, dass erst die Projekterfahrung einen guten Security-Tester ausmacht. In der Praxis arbeiten Security-Tester oftmals in Teams zusammen, bei welchen jedes Teammitglied die eigenen Spezialskills wie beispielsweise Code Reviewing, System Penetration, Exploit-Programmierung, Reverse Engineering oder Reporting einbringen kann.



Das könnte Sie auch interessieren