Im Bereich der IT-Sicherheit zu arbeiten ist spannend, erfüllend und meist sehr gut bezahlt. Das ist nicht sonderlich überraschend, da man dafür bezahlt wird Hacker zu sein. Das heißt man bricht in Netzwerke und Computer ein, übernimmt die Kontrolle über Websites und findet verborgene Informationen im Internet und das alles ohne dabei Gesetze zu brechen.

Jetzt stellt sich natürlich die Frage:

Wie landet man in so einem Job?

Filme und Serien lassen oftmals vermuten, dass ein großes Wissen über Computer und ein schwarzer Kapuzenpulli ausreichend sind. Sicher sind beide dieser Dinge von großem Vorteil, leider aber nicht ausreichend.

Viele Kollegen, so auch ich, starten ihre Karriere tatsächlich im Bereich der „normalen“ IT und entdecken später die IT-Sicherheit für sich und bilden sich in diese Richtung fort. Ähnlich war es bei mir. Ich habe das erste Mal im Alter von etwa 15 Jahren gegoogelt „Wie kann ich hacken lernen?“ und seit dem hat mich dieses Thema nie wieder losgelassen. Während ich mein Studium in der Wirtschaftsinformatik absolviert habe, entschloss ich mich bereits in meiner Bachelorthesis dazu in den Bereich des Penetrationtesting einzusteigen. Die Gemeinsamkeit aller Hacker-Karrieren ist das ständige Lernen verschiedener Technologien, Themen und Tools. Im Folgenden wollen wir genauer betrachten welche Fähigkeiten man erlernen sollte und wie.

Hacken lernen

Die Rolle von Zertifikaten, Kursen und Abschlüssen

Da man auf seinem Weg zum Penetrationtester nicht an dem Thema „Zertifikate und Abschlüsse“ vorbei kommt, möchte ich direkt zu Beginn ein paar Gedanken zu dem Thema festhalten. Die Diskussionen zu diesem Thema werden mit ähnlicher Intensität wie nano vs. vim geführt, daher der Hinweis, dass es unter Umständen sehr verschiedenen Meinungen zu diesem Gebiet gibt.

Grundsätzlich kann man sagen, dass Zertifikate, Kurse und Abschlüsse einen strukturierten Weg bieten Wissen zu erlangen, oftmals kosten sie daher Geld. Das ist auch verständlich, da die dahinterstehenden Organisationen nicht von Luft und Liebe leben. Des weiteren bieten vor allem Zertifikate und Abschlüsse Arbeitgebern eine gute Möglichkeit die Kenntnisse von Bewerbern vergleichbar und schnell zur verifizieren.

Allerdings ist das Internet eine tolle Erfindung und bietet Zugang zu Unmengen an kostenfreiem Wissen. Dies ermöglicht es theoretisch sich das gesamte, notwendige Wissen kostenfrei anzueignen. Allerdings erfordert dieser Weg unter Umständen ein Vielfaches an Zeit und Aufwand.

Die Antwort auf die Frage „Brauche ich Schulungen und Zertifikate?“ lautet also, wie oft in der Cybersicherheit: „Es hängt davon ab.“
Und zwar hängt es von vielen bestimmten Faktoren ab: dem Budget, der Zeit, dem Vorwissen und dem Ziel. Zum Beispiel ist es unwahrscheinlich, dass eine 8000€ teure Zertifizierung notwendig ist um in diesem Bereich einen Job zu bekommen. Allerdings können ein paar gut investierte Euro den Lernprozess beschleunigen.

Eine Zertifizierung, die mir persönlich sehr geholfen hat ist die Offensive Security Certified Professional (OSCP) Zertifikat und Schulung. Es bietet eine tolle Mischung aus gut erklärter Theorie zu Web-, Netzwerk- und Servertechnologie, sowie den häufigsten Schwachstellen. Dieses Wissen kann man praxisnah in den vielen Übungen und simulierten Netzwerken üben und anwenden. So lernt man alle Phasen eines Penetrationtests von der Informationsbeschaffung bis hin zum Reporting. Die Prüfung dauert 24h und erfolgt in einem simulierten Netzwerk, welches getestet werden muss. Anschließend hat man 24h Zeit einen Report zu verfassen. Sie ist hart und fordernd, aber wenn man sie besteht, ist das eins der besten Gefühle überhaupt. Als ich die Bestätigungsmail erhalten habe, bin ich einmal durch die Wohnung getanzt. Meine persönlichen Erfahrungen mit dem OSCP habe ich in diesem, englischen Blog niedergeschrieben.

Falls man das Budget für solch eine Zertifizierung nicht zur Verfügung hat findet man in diesem GitHub Repo eine Menge an kostenlosen Schulungen und Zertifikaten: https://github.com/her0marodeur/awesome-free-cybersecurity .

Entschließt man sich für ein Zertifikat oder einen Kurs bezahlen zu wollen, dann sollte die Auswahl mit Bedacht erfolgen. Cybersecurity Kurse gibt es wie Sand am Meer und in allen Preisklassen. Kriterien sollten zum Beispiel sein:

  • Gibt es einen hohen, praktischen Anteil?
  • Wird der Inhalt aktuell gehalten?
  • Ist das Zertifikat weder zu schwer noch zu leicht?
  • Welche Bewertungen finde ich zu diesem Kurs?

Die Grundlagen

Um zu wissen, wo man mit dem Lernen anfangen sollte, muss man zuerst analysieren wo man steht. Wie bereits erwähnt erfordert Penetrationtesting einige Grundkenntnisse der IT. Wenn man bereits in einem IT Beruf beschäftigt war, einen Abschluss in dem Bereich hat, oder sich hobbymäßig mit dem Thema auseinandersetzt, dann sind diese Kenntnisse wahrscheinlich vorhanden. Falls nicht, hier eine kleine Liste an sinnvollem Wissen:

  • Grundlagen der Netzwerktechnik
  • Grundlagen der Betriebssysteme Linux und Windows
  • Grundlagen des Aufbaus von IT-Infrastruktur
  • vorteilhaft sind Kenntnisse einer Programmier- oder Skriptsprache

Sollten diese Kenntnisse nicht vorhanden sein, dann ist es empfehlenswert sich diese parallel zu verschiedenen Cybersecurity Themen anzuschauen. Dafür gibt es zum Glück eine Vielzahl an kostenfreien Kursen, YouTube Videos und Blogs. Bei diesen Themen empfiehlt es sich auch wie bei allen Dingen in der Cybersicherheit, dass praktisches Ausprobieren hilfreich und wichtig ist. Diese Kenntnisse lassen sich optimal dadurch lernen eigene Programme zu schreiben, sowie Server und Netzwerke aufzusetzen.

Hands On Hacking

Natürlich kann man damit beginnen zahlreiche Blogs und Videos zu den verschiedenen Schwachstellen zu inhalieren, allerdings besteht ein großer Unterschied zwischen dem Verstehen von SQL-Injections und der Fähigkeit diese für einen Angriff auszunutzen. Daher ist es empfehlenswert das Wissen mit der sofortigen Umsetzung des selbigen zu kombinieren. Websites wie TryHackMe und HackTheBox bieten hierfür eine gute Möglichkeit.

Mein persönlicher Favorit für den Einstieg ist TryHackMe, da sie sehr gute Lernpfade anbieten auf denen Themen Stück für Stück und praxisnah vermittelt werden. Basis Funktionen und Kurse der Plattform sind kostenfrei, aber ein monatliches Premiumabo für kleines Geld steht zur Verfügung und kann sich durchaus lohnen.

Neben den Lernpfaden sollte allerdings zeitnah damit begonnen werden Maschinen ohne vorgegebenen Lösungsweg zu probieren. Denn in echten Penetrationtests gibt es leider (oder zum Glück) auch keinen vorgegebenen Lösungsweg. Die Maschinen sind in verschiedene Schwierigkeitsgrade unterteilt, so dass hier mit „Easy“-Maschinen begonnen werden kann. Wenn man die oben erwähnten Grundkenntnisse hat, empfiehlt es sich mit dem Lernpfad „Jr Penetration Tester“ zu beginnen. Ansonsten bietet TryHackMe auch gute Ressourcen zum Erlernen der notwendigen Vorkenntnisse.

Die verschiedenen Arten des Hackings

Spätestens beim Besuch von TryHackMe fällt auf, dass es nicht nur eine Art des Hackings gibt, sondern dass fast alles mit einem Chip gehackt werden kann. Und diese Bereiche erfordern oftmals unterschiedliche Fähigkeiten.

So gibt es Websites, Mobile Applikationen, Netzwerksicherheit, Serversicherheit, Internet of Things (IoT), Red Teaming (Das Testen ganzer Unternehmen), Operational Technologies (OT – Das Hacken von Industriesteuerelementen), Hardware (Auffinden von Schwachstellen durch Analyse der Hardware), Open Source Intelligence (OSINT – das Analysieren von öffentlichen Informationen), sogar das Einbrechen in Gebäude zum Testen der physischen Sicherheit und noch vieles mehr.

Die Preisfrage ist nun also: „Wo fängt man an?“. Folgt man den Beginner Materialien von TryHackMe, dann beginnt man hier mit den häufigsten Zielen: Websites und wenn diese kompromittiert wurden, dann landet man meist auf der dahinterliegenden Infrastruktur, also einem Server. Angriffe gegen diese Ziele zu kennen ist von großem Vorteil, da viele der anderen Themen oft auf ihnen aufbauen. Allerdings sollte man all die anderen Bereiche nicht vernachlässigen und zumindest eine kurze Recherche betreiben, was sie beinhalten. Grobe Kenntnisse in vielen dieser Bereiche erlauben es die eigenen Präferenzen zu erkunden und steigern die Chancen bei der Jobsuche.

Es bleibt aber zu bedenken, dass die simulierten Umgebungen von TryHackMe und HackTheBox zwar eine super Möglichkeit bieten seine Fähigkeiten zu trainieren. Aber sie simulieren nur selten eine reale IT-Umgebung.

Die Sache mit der Erfahrung

Für einen Job brauchst du Erfahrung und für Erfahrung brauchst du einen Job. Doof gelaufen könnte man meinen. Aber die IT-Sicherheit hat auch hier einen großen Vorteil. Man kann Erfahrung sammeln ohne einen Job und zwar nicht nur in simulierten Umgebungen. Das Stichwort lautet „Bug Bounty“. Hier bieten Firmen die Möglichkeit, dass Hacker unter Einhaltung bestimmter Vorgaben die IT-Systeme eines Unternehmens testen und für das Melden von Schwachstellen bezahlt werden. Eine Win-Win Situation, da man reale Erfahrungen sammeln kann, möglicherweise bezahlt wird und hilft Unternehmen sicherer zu machen.

Plattformen für Bug Bounty sind unter anderem:

Bewerbungen

Wie für fast jeden anderen Job muss man sich auch als Hacker bewerben. Dabei ist es leider oftmals keine legale Alternative sich in das System eines Unternehmens zu hacken und selbst zum Gespräch einzuladen. Allerdings gibt es im Bereich Hacking/Pentesting eine Vielzahl an offenen Stellen, die sich auf den üblichen Jobbörsen finden lassen.

Bei der Jobsuche ist es von Vorteil (online) über seine Kenntnisse und Erfahrungen zu reden und sich mit anderen auszutauschen. Dass kann zum Beispiel das Bloggen auf der eigenen Website oder auf Medium oder LinkedIn sein, auch das veröffentlichen oder weiterentwickeln von Open Source Projekten zeigt zukünftigen Arbeitgebern, dass man engagiert ist. Allerdings ist beim Veröffentlichen von Daten im Internet auch immer etwas Vorsicht angebracht und man sollte die eigene Privatsphäre im Hinterkopf behalten. Obwohl die Klischees es oft anders vermuten lassen, gibt es des Weiteren eine Vielzahl an vor Ort stattfindenden Konferenzen zum Thema Hacking und Cybersicherheit. Diese kann man als Gast oder Redner besuchen, oder als Freiwilliger unterstützen. Sie bieten eine exzellente Möglichkeit neues Wissen zu sammeln und Kontakte zu knüpfen.

Einen kleinen Eigenwerbeblock müssen wir zum Schluss einstreuen: Auch die NSIDE sucht häufig nach neuen Mitarbeitern und du findest unsere Jobs hier: https://www.nsideattacklogic.de/karriere/ .

Fazit

Hacker zu werden ist möglich ohne in dunklen Kellern Straftaten an Computern zu begehen. Sie sind ein wichtiger Bestandteil des Themas Cybersicherheit und ihre Fähigkeiten werden von vielen Unternehmen nachgefragt. Es gibt eine Menge tolle Ressourcen, die einen beim

Lernen dieses spannenden Themas unterstützen, aber es erfordert wie fast jede andere Fähigkeit ein gewisses Maß an Zeit und Übung.