Martin arbeitet als Penetrationstester in der T-Systems MMS – und bekommt damit nicht nur die Erlaubnis, sondern sogar den Auftrag, sich in die Systeme, Internet- und Intranetauftritte unserer Kunden zu hacken. Denn seine Aufgabe ist es Sicherheitslücken zu finden, bevor Andere diese ausnutzen können. Wir wollten wissen, wie der Berufsalltag eines Hackers aussieht – und was man mitbringen muss, um Penetrationstester zu werden.

Wie fing alles an – was war dein Berufswunsch als Kind?

Ganz früher wollte ich klassisch Feuerwehrmann werden. Als Abiturient war es mein Wunsch, Soldat oder Lehrer zu werden. Aufgrund der besseren Verdienstmöglichkeiten wollte ich dann doch in die freie Wirtschaft, und habe mich letztendlich für das Informatikstudium entschieden.

Woher kommt dein Interesse speziell für das Thema IT-Sicherheit?

Während des Bachelorstudiums habe ich einige IT-Sicherheit-Kurse belegt. Zuhause habe ich daraufhin den Router meines Nachbars intensiv auf Sicherheit überprüft. Die ganze Thematik fand ich so interessant, dass ich mich konkret für einen IT-Security Masterstudiengang entschieden habe. Damals gab es nur Bochum oder Darmstadt und ich bin nach Darmstadt gegangen, um mein
Studium entsprechend zu vertiefen.

Wie bist du dann zur MMS gekommen?

Ich habe mich eigentlich in ganz Deutschland umgeschaut. Da ich Dresden ganz gut kenne und auch meine Heimat hier in der Nähe ist, habe ich mich dazu entschieden, zur MMS zu kommen.

Was kommt dir in der T-Systems MMS so unter die Finger, was testest du in der Regel?

Angefangen habe ich mit Webanwendungen, später kamen viele mobile Anwendungen für iOS und Android Betriebssysteme dazu. Anschließend habe ich mich mit Infrastrukturen in Kombinationen mit Webanwendungen und Applikationen beschäftigt. Ebenfalls spannend ist auch das Testen von Kernbankensystemen oder Carpentest, also das Testen der Multimedia Systeme von Autos. Die Vielfalt ist insgesamt sehr hoch, denn pro Projekt haben wir je nach Umfang und Auftraggeber nur einen Tag, teilweise aber auch bis zu zwei Wochen Zeit.


Was gefällt dir an deinem Job besonders?

Die Arbeit selbst ist wirklich interessant und sehr vielseitig, da ich mit vielen unterschiedlichen Technologien zu tun habe. Ich beschäftige mich nicht nur mit gewöhnlichen Websites, sondern bekomme immer wieder neue Themen und Projekte, in welche ich mich auch erst einarbeiten muss – das macht schon Spaß, denn es wird nicht langweilig und ich komme gar nicht erst in einen Alltagstrott.
Darüber hinaus finde ich den Austausch und die Kommunikation mit den Kollegen sehr wertvoll. Vor allem neue tolle Hacks, die wir gefunden haben, teilen wir gern im Team.

Gibt es auch etwas, was du an deinem Job nicht magst?

Ja, den Bericht für den Kunden schreiben, das bedeutet sehr viel Fleißarbeit. Meist schreibe ich den Abschlussbericht freitags, das ist nicht der schönste Wochenabschluss, aber es gehört dazu.

Warum ist die MMS der richtige Arbeitgeber für dich?

Die MMS hat sehr viele Vorteile. Ich kann mir meine Arbeitszeit frei einteilen, da wir Gleitzeit ohne Kernarbeitszeit haben. Ansonsten kommen wir in sehr viele unterschiedliche Projekte, das finde ich sehr wertvoll. Besonders durch die Markenbekanntheit des Telekom-Konzerns hat die T-Systems MMS viele Aufträge von namhaften Kunden. In kleineren Unternehmen oder Agenturen würde man solche Aufträge wahrscheinlich nicht bekommen, das ist schon ein großer Vorteil.

Was muss ein Penetrationstester aus deiner Sicht mitbringen?

Grundlegend sollte ein Penetrationstester ein sehr gutes Verständnis von Informatik an sich, sowie über die üblichen eingesetzten Technologien und im konkreten über typische Stolperfallen in IT-Systemen, also Rechteverwaltung, falsche Härtung von Systemen, Fehlkonfigurationen, etc., mitbringen. Außerdem muss ein Pentester um die Ecke denken können. Viele Angriffe sind gar nicht schwer, aber man muss Kreativität zeigen, um an‘s Ziel zu kommen. Das ist bei einem Entwickler vielleicht nicht so, der kann relativ direkt sein Programm runterschreiben, aber ein Hacker muss verschiedene Ressourcen nutzen, um an sein Ziel zu kommen.

Englischkenntnisse sind ebenfalls wichtig. Die Literatur, um sich in Technologien einzulesen oder um Schwachstellen zu verstehen, ist sehr schlecht oder fast gar nicht in der deutschen Sprache vorhanden. Außerdem haben wir auch internationale Kunden, zum Beispiel Versicherungen, die zwar in Deutschland ansässig sind, aber ihre Berichte in Englisch verfasst haben wollen. Da wird dann vorausgesetzt, dass wir in Englisch dokumentieren und teilweise auch in Englisch vorstellen.

Was würdest du dem Nachwuchs empfehlen, der ebenfalls Penetrationstester werden möchte?

Angehende Pentester sollten schon neben dem Studium oder neben der Ausbildung interessiert an Sachen herangehen und alles hinterfragen. Schaut euch in Blogs oder auf Twitter die neusten Technologien oder Hacks an und versucht sie zu verstehen! Baut die Technologien und Hacks nach, natürlich bitte keine öffentlichen Systeme angreifen, sondern implementiert euch Systeme auf dem eigenen Rechner und versucht diese anzugreifen und nachzuvollziehen, wie Sicherheitslücken funktionieren. Wenn ihr euch damit beschäftigt und selbst ausprobiert, ist das aus meiner Sicht die beste Lernkurve.

Die Frage zum Abschluss: Was würde die Welt ohne Penetrationstester machen?

(lacht) Ich glaube, die Welt würde untergehen. Denn dann würden die Hacker die Macht übernehmen und keiner weiß mehr, wie man seine Systeme absichern muss, um sich vor Angriffen zu schützen.

Und genau deshalb suchen wir euch: Bewerbt euch jetzt als Test Engineer (m/w) Penetrationstest