Morgenroutine: Kaffee, Mails, Exploits
„Mein Tag startet nicht mit Code, sondern mit Kaffee“, erzählt Marcel. Danach geht’s an den Überblick: Welche Kundensysteme stehen heute im Fokus? Welche Findings vom Vortag müssen dokumentiert werden? Oft kommen auch spontane Anfragen rein: „Könnt ihr mal schnell testen, ob unser VPN wirklich dicht ist?“ – Spoiler: Schnell ist im Pentesting selten. Jeder Test folgt klaren Regeln, abgestimmt mit dem Kunden, dokumentiert bis ins Detail.
Vormittag: Reconnaissance und First Access
Während andere sich ins erste Meeting klicken, scannt Marcel Netzwerke, liest Logfiles und gräbt tiefer: „Reconnaissance ist wie Detektivarbeit. Du suchst nach Spuren – offene Ports, veraltete Software, kleine Konfigurationsfehler.“ Er beschreibt es als Puzzle: Viele Teile sehen unbedeutend aus. Zusammengesetzt ergeben sie aber oft den Weg in ein System. „Manchmal reicht ein unscheinbarer Login-Screen oder ein schlecht gewähltes Passwort, um tiefer reinzukommen.“
Mittag: Pause, tiefes Graben und Aha-Momente
Und wie ist es mit den spektakulären Angriffen? „Klar, manchmal hast du einen Aha-Moment, wo du mit einem Exploit plötzlich Adminrechte hast. Aber 90 % sind Fleißarbeit – und die besteht primär aus manuellen Aktivitäten. Nichts Automatisiertes, wir arbeiten wirklich Schritt für Schritt daran.“ Marcel lacht: „In den Filmen sieht man Hacker in fünf Minuten ein System übernehmen. In echt sitze ich oft stundenlang an Kleinigkeiten mit einem Monster Energy am Schreibtisch, auch wenn mir Tools und sonstiges weiterhelfen – denn darum geht's: das Ganze möglichst realitätsnah anzugehen. Dass wir ganz automatisch Tools für uns arbeiten lassen, ist völliger Blödsinn – das ist ein absolutes No-Go.“
Nachmittag: Exploitation & Reporting
Am Nachmittag geht’s ans Eingemachte: Tests laufen, Schwachstellen werden dokumentiert, Proof-of-Concepts gebaut. „Das Reporting ist fast wichtiger als das Hacking selbst. Der Kunde muss genau verstehen, wo die Lücke liegt und wie er sie schließen kann.“ Marcel beschreibt es so: „Wenn du nur sagst ‚Ihr wurdet gehackt‘, bringt das niemandem was. Wir liefern konkrete Fixes – das ist der Unterschied zwischen Show und echter Security.“
Tages-Recap: Hacking mit Verantwortungsbewusstsein
Am Ende des Tages ist es wichtig, sich noch einmal vor Augen zu führen: „Ethical Hacking bedeutet Verantwortung.“ Wir sind Gäste in fremden Systemen. Es gibt klare Regeln, was wir dürfen und was nicht. Jede Handlung wird vorher abgestimmt.
Marcel nutzt dafür gern einen Vergleich aus dem MMA (Mixed Martial Arts): „Stell dir das Octagon vor: Zwei Kämpfer treten dort mit voller Entschlossenheit an — allerdings nur, weil beide wissen, dass klare Regeln, Fairness und gegenseitiger Respekt den Rahmen setzen. Man testet Grenzen, trainiert hart, aber sorgt gleichzeitig dafür, dass niemand ernsthaft zu Schaden kommt.“
Genauso ist es beim Ethical Hacking: Wir „gehen ins System“, aber niemals, um zu zerstören. Wir testen, um sicherer zu machen. Kontrolle, Disziplin und Verantwortung stehen immer an erster Stelle.
“Für mich ist die Arbeit als Pentester einfach eine sinnvolle Tätigkeit. Wir hacken nicht um Chaos zu stiften oder einfach nur Probleme aufzuzeigen, sondern damit unsere Kunden Probleme beheben können – und genau wissen wie sie offene Türen wieder schließen und danach auch versperren.”
