Was kostet die Einstellung?

Warum Penetration Tester*innen einstellen?

Penetration Tester*innen führen regelmäßige Tests durch, um mögliche Sicherheitslücken in der IT-Infrastruktur aufzuspüren. Dabei simulieren sie realistische Cyberangriffe und analysieren sodann, wie die IT-Systeme darauf reagieren, so dass die Sicherheitsmaßnahmen entsprechend angepasst werden können.

Was gute Penetration Tester*innen für Ihr Unternehmen leisten:

• Sie führen mit Hilfe bestimmter Methoden und Hacker-Tools Sicherheitstests an Hard- und Software sowie in Clouds durch, um Sicherheitslücken zu identifizieren.
• Sie entwickeln immer neue Testmethoden und Tools, um für Cyberangriffe gewappnet zu sein.
• Sie führen Code Reviews durch, um mögliche Schwachstellen im Quellcode festzustellen und frühzeitig zu beheben, damit diese nicht als Einfallstor für böswillige Cyberangriffe dienen können.

Penetration Tester*innen – Vollzeit-Mitarbeiter*in oder Freelancer*in?

Penetration Tester*innen werden meist fest angestellt, da sie mit extrem sensiblen Daten zu tun haben und das Vertrauensverhältnis in einer Festanstellung oft eher gegeben ist. Zudem kennen sie sich mit der gesamten IT-Infrastruktur des Unternehmens aus und erkennen bestimmte Wechselwirkungen möglicherweise schneller als externe Berater*innen.

Andererseits sind Freelancer *innen durch die Einblicke in verschiedene Branchen und Unternehmen vielleicht noch besser auf dem aktuellen Stand in punkto Cybersicherheit und können somit Gefahren unter Umständen schneller erkennen bzw. aufspüren. In jedem Fall sollten Sie mit freiberuflichen Mitarbeitenden klare Regeln aufstellen und im Vertrag darauf achten, dass mögliche Risiken für Ihre IT-Systeme durch deren Arbeit klar benannt werden.

Welche unterschiedlichen Arten von Penetration Tester*innen gibt es?

Penetration Tester*innen können sich auf unterschiedliche Branchen spezialisieren. Da besonders Banken und Versicherungen häufig Ziele von Hackerattacken sind, gibt es in diesem Bereich viele Expert*innen. Aber auch in der Industrie kennt man inzwischen die Bedeutung von Cybersicherheit und beschäftigt dauerhaft oder projektweise Penetration Tester*innen, die die Hard- und Software zur Steuerung von Maschinen und Anlagen überprüfen.

Sie können auch nach folgenden Berufen suchen:

• Ethical Hacker*in: Anders als Penetration Tester*innen folgen Ethical Hacker*innen einem präzise formulierten Auftrag für einen Hackerangriff, der dann dokumentiert wird. Sobald die Sicherheitslücke identifiziert wurde, endet der Auftrag in der Regel.
• Software-Tester*in: Software-Tester*innen sind vor allem dafür zuständig, neue Software gründlich zu testen, bevor sie auf den Markt kommt und mögliche Bugs, also Fehler, zu finden und zu beheben.

Wo finde ich Penetration Tester*innen?

Um die richtigen Penetration Tester*innen für Ihr Unternehmen zu finden, probieren Sie am besten verschiedene Strategien für die Personalsuche aus:

• Stellenanzeige auf Ihrer eigenen Website: Unternehmen unterschätzen oft, wie häufig Stellensuchende sich auf den unternehmenseigenen Karriereseiten umsehen. Platzieren Sie Ihre offenen Stellen dort und halten Sie die Seite immer aktuell.
• Spezialisierte Jobbörsen: Neben Indeed können Sie gerade im IT-Bereich auch spezialisierte Jobbörsen nutzen, um Ihre offenen Positionen für Penetration Tester*innen zu kommunizieren.
• Empfehlungsmarketing: Da Penetration Tester*innen hochspezialisierte Expert*innen sind, verfügen sie meist über ein sehr gutes Netzwerk und kennen die Kolleg*innen gut. Daher empfiehlt es sich, bei einer Neubesetzung zunächst die Mitarbeitenden in der IT nach konkreten Empfehlungen zu fragen.
• Sponsoring: Interessante Kandidat*innen können Sie zudem auf sich aufmerksam machen, indem Sie als Sponsor bei einschlägigen Veranstaltungen auftreten, beispielsweise auf themenspezifischen Barcamps oder bei Hackathons. Denn dort ist zumindest ein Teil Ihrer Zielgruppe aktiv.
• Freelancer-Börsen: Wenn Sie auf der Suche nach Freelancer*innen sind, kann sich ein Inserat auf entsprechenden Freelancer-Börsen anbieten.

Online-Stellenangebot: Posten Sie Ihr Stellenangebot für Penetration Tester*innen auf Indeed, um qualifizierte Kandidat*innen anzusprechen.

Auf diese Kompetenzen sollten Sie bei guten Penetration Tester*innen achten

Geeignete Kandidat*innen für Stellen als Penetration Tester*innen haben die folgenden Kompetenzen und Eigenschaften sowie eine Berufserfahrung, die Folgendes widerspiegelt:

• Vertiefte Kenntnisse der Funktion von Betriebs- und IT-Systemen sowie von Netzwerken und insbesondere der Netzwerksicherheit
• Fundiertes Know-How zu verbreiteten Angriffsmethoden (Code Injections, Buffer Overflows, Bruteforce, Phishing und Exploits)
• Kenntnisse in Bereichen wie Netzwerktechnologien, Web-Entwicklungsframeworks (Backend und Frontend), Cloud-Architekturen und Cloud-Services wie Azure, AWS und GCP
• Einblick in Verschlüsselungstechnologien und Kryptografie
• Analytisches und strukturiertes Vorgehen
• Geduld, Ausdauer und Präzision

Eine Stellenbeschreibung für Penetration Tester*innen verfassen

Eine aussagekräftige Beschreibung ist ein wichtiges Element, um qualifizierte Kandidat*innen für Stellen als Penetration Tester*innen zu finden. Zur Stellenbeschreibung von Penetration Tester*innen gehören eine überzeugende Zusammenfassung der Rolle, eine umfassende Liste der Aufgaben und Verantwortlichkeiten sowie die benötigten und gewünschten Kompetenzen der Stelle.

Erwägen Sie beim Verfassen Ihrer Stellenbeschreibung für Penetration Tester*innen, einige oder alle der folgenden Keywords zu verwenden. Damit erhöhen Sie die Sichtbarkeit Ihres Stellenangebots. Laut Daten von Indeed sind dies die häufigsten Suchbegriffe, die zu Klicks auf Stellen für Penetration Tester*innen führen:

• penetration tester
• junior penetration tester
• oscp
• tester
• cyber security
• it
• junior

Bewerbungsgespräche mit Kandidat*innen für Stellen als Penetration Tester*innen führen

Geeignete Kandidat*innen für Stellen als Penetration Tester*innen sind in der Lage, die folgenden Fragen überzeugend zu beantworten:

• Wo recherchieren Sie die neuesten Sicherheitslücken?
• Haben Sie einen Lieblings-Hacker/Blogger/YouTuber?
• Was halten Sie von ChatGPT für Penetrationstests?
• Wie haben Sie bisher komplexe Ideen mit anderen Teams, Abteilungen oder Kunden diskutiert?
• Erklären Sie den Unterschied zwischen einer Schwachstelle und einem Exploit.
• Was ist der Unterschied zwischen einem Blue Team und einem Red Team?

Benötigen Sie Hilfe im Hinblick auf Fragen im Bewerbungsgespräch? Werfen Sie einen Blick auf unsere Liste von Beispielfragen an Penetration Tester*innen im Bewerbungsgespräch (einschließlich Musterantworten).