Einblicke in die Welt des Pentesting
Interview mit Erlend Depine, Head of Pentesting bei BearingPoint in Graz
Interview mit Erlend Depine, Head of Pentesting bei BearingPoint in Graz
Im Bereich der IT-Security gibt es kaum eine Disziplin, die so dynamisch und herausfordernd ist wie das Pentesting. Wir haben mit Erlend Depine, Head of Pentesting bei BearingPoint in Graz, gesprochen. Mit über 26 Jahren Erfahrung gibt er spannende Einblicke in seinen Werdegang, die Herausforderungen im Pentesting und warum regelmäßige Sicherheitsüberprüfungen für Unternehmen essenziell sind.
Erlend Depine ist seit über 26 Jahren bei BearingPoint tätig. Aktuell wird die Rolle des Head of Pentesting am Standort Graz von ihm ausgeübt. Dabei wird die Koordination des Teams sowie der laufenden Projekte verantwortet. Zum Aufgabenbereich zählen unter anderem das Scoping gemeinsam mit Kunden, die Erstellung von Preisindikationen, die finale Ausarbeitung der Reports sowie die Präsentation der Ergebnisse. Zudem wird die technische Ansprechperson für Kunden gestellt – insbesondere bei der Übersetzung komplexer, technischer Inhalte für das Management. Damit wird die Funktion eines zentralen Sparring-Partners für Kunden über den gesamten Projektverlauf hinweg übernommen.
Einen klassischen Karrierepfad zum Pentester gibt es laut Erlend nicht. Zu Beginn seiner Karriere war er defensiv tätig, mit Schwerpunkten wie Voice-over IP, digitale Signaturen, Systemarchitekturen, Firewalls und Segmentierungskonzepte. Doch durch ein Projekt innerhalb des BearingPoint-Konzerns wechselte er auf die offensive Seite. Seine Aufgabe: Von BearingPoint entwickelte Software-Produkte einer Tech Due Diligence zu unterziehen. Diese spannende Herausforderung führte zur Entwicklung des Pentesting+ Services und dem Aufbau seines eigenen Teams.
„Erfahrung, Begeisterung und praktische Fähigkeiten“, fasst Erlend zusammen. „Es reicht nicht nur Tools zu kennen und diese einzusetzen. Man muss die Tools im Detail verstehen, wissen, wann man welche Tools sinnvoll einsetzt, und die ‚Klaviatur der Tools‘ richtig bespielen.“
Pentester sollten außerdem in der Lage sein, Tools anzupassen oder neue Tools und Exploits zu entwickeln. Erlend betont auch die Wichtigkeit von Plattformen wie Hack-the-Box und CTF-Wettbewerben, um Fähigkeiten zu schärfen. Dazu kommen Zertifizierungen wie der „Offensive Security Certified Professional“ (OSCP), die das Profil eines erfahrenen Pentesters abrunden.
„Es reicht nicht nur Tools zu kennen und diese einzusetzen. Man muss die Tools im Detail verstehen, wissen, wann man welche Tools sinnvoll einsetzt, und die ‚Klaviatur der Tools‘ richtig bespielen. Pentester sollten außerdem in der Lage sein, Tools anzupassen oder neue Tools und Exploits zu entwickeln."
- Erlend Depine, Head of Pentesting Graz im Interview
„Die Vielfalt und Dynamik der Aufgaben machen das Pentesting für mich so reizvoll“, erklärt Erlend. Jedes Szenario ist einzigartig, was ein agiles und kreatives Vorgehen erfordert. Besonders spannend ist für ihn auch der Bereich Phishing, wo technische Raffinesse und kreative Problemlösungen gefragt sind.
Pentests sind ein essenzieller Bestandteil jedes Sicherheitskonzepts. Sie überprüfen bestehende Maßnahmen und zeigen zusätzlichen Verbesserungsbedarf auf. Angesichts gesetzlicher Vorgaben wie NIS2 und DORA sowie den Anforderungen von Cyber-Versicherungen sind regelmäßige Pentests mittlerweile Pflicht. „Je mehr Neuerungen, desto dringender ist ein erneuter PenTest“, betont Erlend. Insbesondere nach größeren Veränderungen – etwa neuen Major Releases von Applikationen, wesentlichen Anpassungen im Active Directory oder der Einführung neuer Systeme wie einer CRM-Applikation – sollten Unternehmen ihre IT-Systeme durch Penetrationstests auf potenzielle Schwachstellen überprüfen lassen.
Nein, zumindest nicht ausschließlich. Ein externer Pentester bringt einen unvoreingenommenen Blick und findet oft Schwachstellen, die interne Teams übersehen – sei es durch betriebliche Blindheit oder weil bestimmte Szenarien nicht bedacht wurden.
Erlend erklärt den typischen Ablauf eines Pentests, von der Vorbereitung und dem Scoping über den eigentlichen Test bis hin zur Berichtserstellung und dem Debriefing. Besonders wichtig: Kritische Schwachstellen werden sofort gemeldet, während weniger dringende Probleme im Abschlussbericht detailliert erläutert werden.
Einige seiner spannendsten Fälle umfassen Angriffe auf Buchungssysteme, Quality Assurance Portale oder sogar den Zugriff auf interne Netzwerke über manipulierte Telefonbuchsen. Diese Beispiele zeigen, dass Sicherheitslücken nicht immer offensichtlich sind und kreative Ansätze erfordern.
„Wir handeln stets auf Basis klar definierter Vereinbarungen (LOA) und sind uns unserer ethischen Verantwortung bewusst“, erklärt Erlend. Reports werden doppelt verschlüsselt gespeichert und anschließend gelöscht, um zu verhindern, dass BearingPoint selbst zum Ziel wird.
KI wird im Pentesting zunehmend bedeutender. Während AI-gestützte Systeme bereits für Incident Detection und Logfile-Analysen verwendet werden, experimentiert Erlends Team auch mit AI-generierten Exploits und Phishing-Kampagnen. „Der Balanceakt wird sein, dass sowohl Angreifer als auch Verteidiger KI einsetzen.“
Erlend Depine gibt mit seiner langjährigen Erfahrung faszinierende Einblicke in die Welt des Pentesting. Klar wird: IT-Sicherheit ist ein fortlaufender Prozess, bei dem es auf einen Mix an Know-how, Kreativität und Leidenschaft ankommt.
