Überblick
Der CompTIA PenTest+ ist eine der wenigen Sicherheitszertifizierungen, die offensives Sicherheitstesting und Vulnerability-Management gleichzeitig abdeckt. Während viele Zertifizierungen entweder auf defensive oder auf offensive Sicherheit fokussieren, bildet PenTest+ den vollständigen Lifecycle eines professionellen Penetrationstests ab — von der Scoping-Phase und rechtlichen Vereinbarungen über die aktive Angriffssimulation bis hin zur professionellen Dokumentation und Berichterstellung. Diese Weiterbildung bereitet gezielt auf die PenTest+-Prüfung vor und kombiniert sie mit der vollständigen Scrum-Zertifizierungsreihe, damit Penetrationstester ihre Arbeit auch in agil organisierten Sicherheitsorganisationen professionell koordinieren können. Fünf Anbieter offerieren dieses Kursformat bundesweit; über 210 Termine stehen zur Auswahl. Das Combined-Learning-Format verbindet Präsenzunterricht mit Online-Selbststudium und praktischen Hacking-Übungen in sicheren Testumgebungen. Optional kann das Paket um Microsoft Office 365 Kenntnisse — Word, Excel, Teams — ergänzt werden, was besonders für Consultants relevant ist, die Pentest-Reports professionell aufbereiten müssen.
Kursinhalte & Lernziele
Der Pentest+-Vorbereitungsteil deckt alle Prüfungsdomänen ab und legt dabei besonderen Wert auf praxisnahe Übungen, die den Transfer in reale Pentest-Projekte ermöglichen. Die Domänen des CompTIA PenTest+ orientieren sich am gesamten Penetrationstest-Prozess und reflektieren die Aufgaben, die professionelle Ethical Hacker täglich ausführen.
- Planung und Scoping: Rules of Engagement, rechtliche Absicherung, Scope-Definition und Kommunikation mit Auftraggebern
- Informationssammlung und Schwachstellenanalyse: Passive Reconnaissance (OSINT), aktive Scans, Enumeration und Vulnerability-Scanning
- Angriffe auf Systeme: Exploitation von CVEs, Passwort-Angriffe, Buffer Overflow-Grundlagen und Metasploit-Einsatz
- Angriffe auf Netzwerke: Man-in-the-Middle, Sniffing, ARP-Poisoning und VLAN-Hopping
- Angriffe auf Webanwendungen: SQL Injection, XSS, CSRF, IDOR und Authentifizierungsschwächen nach OWASP Top 10
- Social Engineering: Phishing-Kampagnen, Vishing und physische Penetrationstests dokumentieren
Die Scrum-Zertifizierungsreihe befähigt PenTest+-Absolventen, ihre Sicherheitsarbeit in moderne agile Organisationsstrukturen einzubetten. Red-Team-Projekte werden zunehmend wie agile Entwicklungsprojekte organisiert; Scrum-Kompetenz ist daher für Penetrationstester in großen Organisationen ein konkreter Karrierevorteil.
- Scrum Foundation: Rollen, Events und Artefakte im Überblick; agile Werte für Sicherheitsarbeit anwenden
- Scrum Product Owner: Security-Backlogs priorisieren, technische Schwachstellen in Business-Risiken übersetzen
- Scrum Master: Red-Team-Sprints planen, Blockaden beseitigen und Stakeholder-Kommunikation steuern
- Agile Sicherheitsprogramme aufsetzen und mit klassischen Compliance-Frameworks verzahnen
- Velocity-basierte Planung für wiederkehrende Pentest-Zyklen und Vulnerability-Management
- Retrospektiven nutzen, um den Pentest-Prozess systematisch zu verbessern
Das optionale Microsoft 365 Modul ist für Penetrationstester und Security Consultants besonders wertvoll, da professionelle Berichte und Kundenpräsentationen einen wesentlichen Teil der Arbeit ausmachen.
- Word 365: Professionelle Pentest-Reports mit Executive Summary, technischen Befunden und Handlungsempfehlungen strukturieren
- Excel 365: Vulnerability-Tracking, CVSS-Scores und Risikomatrizen aufbauen und visualisieren
- Teams 365: Koordination von Red-Team-Projekten und sichere Kommunikation mit Auftraggebern
In einem umfangreichen Praxisteil werden alle PenTest+-Domänen und Scrum-Inhalte durch realitätsnahe Laborübungen, Fallstudien und Prüfungssimulationen gefestigt.
- Vollständige Pentest-Simulation von der Scoping-Phase bis zum finalen Report durchführen
- Nmap-, Nessus- und OpenVAS-Scans in einer Laborumgebung konfigurieren und auswerten
- SQL Injection und XSS-Angriffe gegen eine absichtlich verwundbare Webanwendung durchführen
- Metasploit-Framework für kontrollierte Exploitation-Übungen einsetzen
- CVSS-Scores für entdeckte Schwachstellen berechnen und priorisieren
- Executive Summary und technischen Anhang für einen Pentest-Report strukturieren
- Phishing-Simulation gegen eine Testumgebung planen und auswerten
- Scrum-Sprint für ein fiktives Red-Team-Projekt vollständig planen und durchführen
- OSINT-Recherche zu einem Zielunternehmen (fiktiv) mit Legal-Compliance dokumentieren
- PenTest+-Prüfungssimulationen unter Prüfungsbedingungen absolvieren
- Privilege-Escalation-Techniken in einer kontrollierten Windows-Umgebung üben
- Lateral Movement und Persistence-Mechanismen in Testszenarien analysieren
Die Kombination aus PenTest+-Tiefe und Scrum-Methodik schafft ein Profil, das selten ist: technisch versierte Ethical Hacker mit der Fähigkeit, ihre Arbeit in agilen Strukturen eigenständig zu managen und zu kommunizieren. Dies ist besonders in mittelgroßen und großen Unternehmen gefragt, die Penetrationstesting intern durchführen und in ihre DevSecOps-Prozesse integrieren.
Lernziele:
- Den vollständigen Penetrationstest-Lifecycle planen, durchführen, dokumentieren und professionell berichten
- Reconnaissance-Techniken (aktive und passive Informationsgewinnung) methodisch und rechtssicher einsetzen
- Scanning- und Enumerationstools (Nmap, Nessus, OpenVAS) konfigurieren und Ergebnisse analysieren
- Exploitation-Frameworks und -techniken gegen Webanwendungen, Netzwerke und Betriebssysteme einsetzen
- Social Engineering Angriffe — Phishing, Vishing, Pretexting — in kontrollierten Testszenarien simulieren
- Post-Exploitation-Techniken wie Privilege Escalation und Lateral Movement verstehen und dokumentieren
- Professionelle Pentest-Reports strukturieren, Befunde nach CVSS bewerten und Handlungsempfehlungen formulieren
- Legal und ethische Rahmenbedingungen für Penetrationstests einhalten und in Verträgen absichern
- Das Scrum Framework für die Koordination von Red-Team-Projekten und Vulnerability-Management-Programmen nutzen
- Als Scrum Product Owner Sicherheitsbefunde in ein priorisierbares Backlog übersetzen
- Als Scrum Master Red-Team-Sprints moderieren und interdisziplinäre Sicherheitsteams führen
- Sicherheitslücken in Web-Applikationen (OWASP Top 10) identifizieren, verifizieren und kommunizieren
Zielgruppe & Voraussetzungen
Die Weiterbildung richtet sich an IT-Sicherheitsfachkräfte, die sich im offensiven Sicherheitsbereich spezialisieren, sowie an technische Profile aus der Systemadministration, die in Penetrationstesting oder Vulnerability Management wechseln möchten.
- IT-Sicherheitsanalysten mit Interesse an offensiver Sicherheitsarbeit und Ethical Hacking
- Netzwerk- und Systemadministratoren, die einen Übergang in Red-Team- oder Security-Consulting-Rollen anstreben
- Security Consultants, die ihren offensiven Kompetenznachweis mit einem anerkannten Zertifikat untermauern möchten
- Personen mit CompTIA Security+ oder vergleichbarer Erfahrung, die die nächste Spezialisierungsstufe erreichen wollen
- AppSec Engineers, die Penetrationstesting als ergänzende Qualifikation zu ihrer Anwendungssicherheits-Expertise erwerben
Grundkenntnisse in Netzwerktechnologien (TCP/IP, Subnetting, Firewalls), Linux-Systemverwaltung und allgemeiner IT-Sicherheit werden empfohlen. CompTIA empfiehlt idealerweise CompTIA Security+ als Vorkenntnisgrundlage; diese ist jedoch keine formale Pflichtvoraussetzung. Ein individuelles Beratungsgespräch vor Seminarbeginn klärt den persönlichen Kenntnisstand und erstellt einen maßgeschneiderten Lernplan. Englische Lesekenntnisse sind hilfreich, da Teile des Kursmaterials und die Prüfung selbst in englischer Sprache vorliegen können.
Ablauf & Abschluss
Das Combined-Learning-Format verbindet Präsenzunterricht mit Online-Selbststudium und praktischen Laboren. Die Pentest+-Vorbereitung legt besonderen Wert auf Hands-on-Übungen in sicheren Laborumgebungen, die reale Angriffssimulationen ermöglichen, ohne rechtliche Risiken zu erzeugen. Die Scrum-Module werden in Workshop-Format mit Sprint-Simulationen und realen Teamszenarien durchgeführt. Prüfungssimulationen bereiten auf die tatsächliche PenTest+-Prüfung vor, die aus Multiple-Choice- und Performance-basierten Aufgaben besteht. Karriereberatung und Überarbeitung der Bewerbungsunterlagen werden parallel angeboten.
Die Gesamtdauer beträgt in der Regel ein bis drei Monate, abhängig vom gewählten Format (Vollzeit oder Teilzeit) und den hinzugebuchten Modulen. Vollzeitteilnehmende können alle Module inklusive Prüfungen kompakt durchlaufen; Teilzeitoptionen ermöglichen die parallele Berufstätigkeit während der Weiterbildung.
Nach bestandenen Prüfungen erhalten die Teilnehmenden das CompTIA PenTest+ Herstellerzertifikat, das international anerkannt ist und von CompTIA herausgegeben wird, sowie die drei Scrum-Zertifikate Foundation, Product Owner und Master. Ein Lehrgangszertifikat des Bildungsträgers wird ebenfalls ausgestellt. Das CompTIA PenTest+ Zertifikat ist drei Jahre gültig und kann über Continuing Education Units (CEUs) verlängert werden.
Nutzen & Perspektiven
Penetrationstester mit CompTIA PenTest+ Zertifikat sind auf dem deutschen und internationalen Arbeitsmarkt stark nachgefragt. Mit zunehmender Digitalisierung und wachsender Regulierungsdichte steigt die Nachfrage nach qualifizierten Ethical Hackern und Vulnerability-Analysten konstant. Das PenTest+ Zertifikat ist ein neutraler, herstellerunabhängiger Nachweis, der im Gegensatz zu rein anbietergebundenen Zertifikaten eine breite Anerkennung genießt und in Stellenausschreibungen explizit gelistet wird. Die Kombination mit Scrum eröffnet zusätzlich die Möglichkeit, Red-Team-Programme eigenständig aufzubauen und in agilen Organisationen zu positionieren. Wer als Penetrationstester auch Scrum Master oder Product Owner Fähigkeiten mitbringt, kann zwischen reinen Testing-Rollen und Management-Positionen im Sicherheitsbereich wechseln — was den Karrierehorizont erheblich erweitert. Diese Doppelkompetenz ist in Organisationen gefragt, die offensive Sicherheit intern betreiben und nicht ausschließlich auf externe Dienstleister zurückgreifen wollen. Bei AZAV-zertifizierten Trägern ist die Förderung über einen Bildungsgutschein möglich, sodass die Qualifizierung ohne oder mit geringer Eigenbeteiligung absolviert werden kann. Das Qualifizierungschancengesetz, Leistungen zur Rehabilitation und Förderungen der Deutschen Rentenversicherung stehen ebenfalls als Finanzierungswege zur Verfügung. Für Arbeitsuchende oder Personen im Berufsübergang ist diese Kombination aus geförderter Weiterbildung und hoher Jobmarkt-Relevanz besonders attraktiv.
Häufig gestellte Fragen (FAQ)
Was unterscheidet CompTIA PenTest+ von anderen Sicherheitszertifizierungen?
CompTIA PenTest+ ist die einzige Zertifizierung auf dem Markt, die sowohl Hands-on-Penetrationstesting als auch Vulnerability-Assessment und Management abdeckt. Im Gegensatz zu reinen Red-Team-Zertifizierungen deckt PenTest+ den gesamten Pentest-Lifecycle ab — von der Planung über die Durchführung bis zur Berichterstattung.
Welche Vorkenntnisse werden für PenTest+ empfohlen?
Empfohlen werden Kenntnisse in Netzwerksicherheit, Linux und Windows sowie Verständnis von gängigen Angriffsvektoren. CompTIA empfiehlt als Vorbereitung idealerweise CompTIA Security+ oder vergleichbare Erfahrungen; ein vorheriges Beratungsgespräch klärt den individuellen Kenntnisstand.
Warum ist Scrum als Ergänzung zu PenTest+ sinnvoll?
Penetrationstesting wird zunehmend in agilen Sicherheitsprogrammen organisiert. Wer die Scrum-Zertifikate besitzt, kann Red-Team-Projekte eigenständig leiten, mit Entwicklungsteams auf Augenhöhe kommunizieren und Sicherheitsbefunde in das agile Backlog integrieren.
Ist diese Weiterbildung förderbar?
Bei AZAV-zertifizierten Trägern ist die Förderung über einen Bildungsgutschein möglich. Auch das Qualifizierungschancengesetz und weitere staatliche Förderquellen kommen je nach persönlicher Situation in Betracht.
Beinhaltet der Kurs praktische Hacking-Übungen?
Ja, die Vorbereitung auf PenTest+ beinhaltet praktische Übungen mit Scanning-Tools, Exploits und Berichterstellung. Die Trainingseinheiten simulieren realistische Pentest-Szenarien in kontrollierten Umgebungen.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Informatik (grundständig)4.798 Stellen
- Scrum Master1.118 Stellen
- Softwaretechnik (grundständig)135 Stellen
- Medieninformatik (grundständig)107 Stellen
- Penetration Tester97 Stellen
- Assistent/Assistentin für Informatik (technische Informatik)80 Stellen