Was für den Maschinenbauingenieur die Drehbank oder für die Elektrotechnikerin das Löten von Platinen ist, das ist für den Application Security Spezialisten das Penetrationstesten: Es treibt den Wissensaufbau auf intensive und fesselnde Weise stetig voran und verschafft einem ein solides Fundament an tief-technischem Wissen und Hands-On-Erfahrung – die Grundlage, von der man seine gesamte Laufbahn über zehren wird.

Wir möchten solide Securityexperten ausbilden, denen so schnell niemand etwas vormachen kann. Deshalb steht im Mittelpunkt unseres Wissensaufbaus das Penetrationstesten.

So sieht der Einstieg bei uns aus!

Einstieg in die Application Security
  • Du bekommst einen erfahrenen Kollegen, der dich in die Application Security einführt – deinen Coach -, zur Seite gestellt.
  • Du nimmst an unseren Teamseminaren teil. Im Selbststudium und durch ständigen Austausch im Kollegenkreis erweiterst du dein Wissen.
  • Du lernst unser Berichtserstellungstool Limeviper kennen.
  • Das Pentesten selbst trainierst du in dieser Phase noch an Übungsanwendungen.
Einstieg in die Application Security
  • Über-die-Schulter-Schauen: Du siehst dem erfahrenen Kollegen beim Pentesten zu – ein bisschen so, wie dem Gamer beim Spielen. Natürlich darfst du dich hier mit Fragen und mit eigenen Ideen einbringen.
  • Du bekommst eigene Teilaufgaben in einem echten Kundenprojekt, wo du parallel zum erfahrenen Kollegen nach Schwachstellen suchst. Ihr vergleicht und diskutiert die Ergebnisse.
  • Pentesten ist nicht nur Schwachstellensuche! Es ist auch Berichtserstellung (unser mächtiges Tool erleichtert das enorm!), Organisation und (Kunden-)Kommunikation. Auch hier gibt es vieles, das man sich erst aneignen muss.
Einstieg in die Application Security
  • Der Anteil von passivem Dabeisein verschiebt sich stetig in Richtung des aktiven Beitragens.
  • Du führst zunächst kleinere, dann immer größer werdende Teile eines Pentests eigenverantwortlich durch.
  • Jetzt ist es der Coach, der über die Schulter schaut und dabei sein Wissen und seine Erfahrung aktiv an dich weitergibt.

Schließlich kommt der Punkt, wo du dich als echten Junior Penetrationstester betrachten darfst. Nun führst du komplette Pentests selbständig durch. Bis du das auch umfassend eigenverantwortlich umsetzt, wird aber noch einige Zeit vergehen. Solange wird ein Seniorkollege immer mit dabei sein und dafür sorgen, dass jeder Pentest auf höchstem Niveau abgeschlossen wird.

Wie lange dauern die Phasen?

Das kommt ganz auf deine Vorkenntnisse und den Lernfortschritt an! Ein grober Mittelwert ist rund 1 Monat pro Phase.

Darauf wird sich dein Wissensaufbau stützen

  • Ein über die Jahre gewachsenen und laufend erweitertes und aktualisiertes Repository an Fachwissen – persönlich vermittelt von den Trainern unserer Schulungen.
  • Die Einbettung in das Ökosystem eines Softwarehauses – unsere Mutterfirma, die mgm technology partners GmbH – mit großen, sicherheitskritischen und mit modernen Technologien entwickelten Businessanwendungen.
  • Die Erfahrung von Tausenden getesteten Anwendungen und Systemen.
  • Das Bestehen eines breiten Betätigungsfeldes durch langfristige Verträge großer Auftraggeber.

Was kann ich damit anfangen?

Beim Penetrationstesten geht es darum, sein fundiertes technisches Wissen über die Funktionsweise der beteiligten Systeme auf kreative Weise immer wieder neu anzuwenden – ausgerichtet auf das Ziel, Schwachstellen ausfindig zu machen. Beim Erlernen des Penetrationstestens baust du dieses Wissen auf, und mit jedem neuen Penetrationstest weitest du es aus.

Dies geschieht auf eine in die Tiefe gehende und zumeist auch spielerische Weise. Der geübte Pentester besitzt somit ein solides fachliches Fundament für die Fortsetzung seiner Karriere als ausgewiesener Securityexperte oder als Application Security Berater. Letzteres, je nach Schwerpunkt, beispielsweise mit diesen möglichen Ausrichtungen:

  • Erstellung von Software Security-Konzepten und Security-Architekturen.
  • Beratung beim Aufbau eines Secure Software Development Lifecycle (SDLC).
  • Rolle des Security Experts in Agilen Projekten, der User-Stories auf sicherheitsrelevante Aspekte überprüft und ergänzt sowie während der Umsetzung die Application Security sicherstellt.
  • DevSecOps-Operator oder –Berater.
  • Aufbau und Umsetzung von Application Security Programmen unserer Kunden.

I*:

An Stellen, wo wir allein die maskuline grammatische Form verwenden, verstehen wir diese als das Generische Maskulinum, sprechen also alle Geschlechtsidentitäten an.