Überblick
Dieser Kurs zum Ethical Hacker mit CompTIA PenTest+-Vorbereitung vermittelt die methodischen und technischen Grundlagen des professionellen Penetrationstestings. Im Mittelpunkt steht die vollständige Bandbreite des Pentesting-Workflows: von der Auftragsplanung und -abgrenzung über Informationssammlung und Schwachstellenidentifikation bis hin zur Durchführung kontrollierter Angriffe und der Analyse von Quellcode auf Sicherheitslücken. Werkzeuge wie Metasploit, Nmap und Burp Suite werden praxisnah eingesetzt. Der Kurs schließt mit einer gezielten Vorbereitung auf die englischsprachige CompTIA PenTest+-Prüfung ab.
Kursinhalte & Lernziele
Planung, Scoping und rechtliche Grundlagen Professionelles Penetrationstesting beginnt vor dem ersten Scan: mit einer klaren Auftragsabgrenzung, schriftlichen Genehmigungen und einer realistischen Einschätzung von Risiken und Zielen. Dieser Block vermittelt das methodische Fundament für jeden Penetrationstest.
- Testarten unterscheiden (Black Box, Grey Box, White Box)
- Scope-Dokumente und Rules of Engagement erstellen
- Rechtliche Rahmenbedingungen und Haftungsfragen klären
- Kommunikationsprotokoll mit Auftraggebenden definieren
- Grenzen zwischen legalem Pentesting und unbefugtem Zugriff erkennen
- Testumgebungen und Sandboxen korrekt einrichten
Informationssammlung und Reconnaissance In dieser Phase werden öffentlich zugängliche und technische Informationen über das Ziel systematisch gesammelt. Aktive und passive Methoden werden kombiniert, um ein vollständiges Bild der Angriffsfläche zu erhalten.
- Passive Reconnaissance mit OSINT-Werkzeugen und öffentlichen Quellen
- Aktive Netzwerkscans mit Nmap (Host Discovery, Port Scanning, Service Detection)
- DNS-Abfragen, WHOIS und Banner Grabbing
- Technologiestacks und Anwendungsversionen identifizieren
- Ergebnisse strukturiert dokumentieren und für spätere Phasen aufbereiten
- Unterschied zwischen Informationssammlung und aktivem Angriff sicher einhalten
Schwachstellenidentifikation und Exploitation Das Kernstück des Penetrationstests: Schwachstellen werden systematisch gefunden, bewertet und in kontrollierten Szenarien ausgenutzt. Werkzeuge wie Metasploit und Burp Suite kommen dabei zum Einsatz.
- Automatisierte und manuelle Schwachstellenscans durchführen
- CVE-Datenbanken und Exploit-Frameworks (Metasploit) gezielt nutzen
- Webanwendungen mit Burp Suite auf Injections, XSS und Fehlkonfigurationen testen
- Authentifizierungsmechanismen und Sitzungsverwaltung angreifen
- Privilege Escalation und laterale Bewegung in Netzwerken simulieren
- Exploits sicher ausführen, ohne Produktionssysteme zu beschädigen
Code-Analyse und Bericht Dieser Block vertieft das Verständnis von Schwachstellen auf Quellcode-Ebene und schult die Fähigkeit, Testergebnisse verständlich und handlungsorientiert zu kommunizieren.
- Quellcode auf unsichere Muster und bekannte Schwachstellenklassen untersuchen
- Eingabevalidierung, fehlerhafte Fehlerbehandlung und Injection-Risiken im Code erkennen
- Schwachstellenberichte nach Standard (Executive Summary + technische Findings) aufbauen
- Risikoklassifikation (CVSS, Kritikalität) im Bericht einsetzen
- Härtungsempfehlungen konkret und umsetzbar formulieren
- Ergebnisse gegenüber technischen und nicht-technischen Stakeholdern kommunizieren
Vorbereitung auf die CompTIA PenTest+-Prüfung Der abschließende Block konsolidiert alle Kursinhalte im Hinblick auf die englischsprachige PenTest+-Zertifizierungsprüfung und stärkt das Verständnis des offiziellen Prüfungsrahmens.
- Prüfungsdomänen und Gewichtung der CompTIA PenTest+-Prüfung kennen
- Typische Frageformate und Performance-based Questions üben
- Schwachstellenklassen und Exploits prüfungsrelevant einordnen
- Werkzeugwissen (Metasploit, Burp Suite, Nmap) prüfungssicher anwenden
- Reporting-Standards und Compliance-Anforderungen verankern
- Wissenslücken durch gezielte Wiederholung identifizierter Themenbereiche schließen
Lernziele:
- Penetrationstests rechtssicher planen, abgrenzen und dokumentieren
- Ziele und Scope eines Pentesting-Auftrags klar definieren und kommunizieren
- Informationssammlung (Reconnaissance) mit aktiven und passiven Methoden durchführen
- System- und Netzwerkinformationen systematisch erheben und auswerten
- Schwachstellen in Netzwerken, Systemen und Anwendungen identifizieren und priorisieren
- Kontrollierte Angriffe mit Metasploit, Nmap, Burp Suite und weiteren Werkzeugen durchführen
- Sicherheitslücken in realen und simulierten Umgebungen reproduzieren und verifizieren
- Quellcode auf typische Schwachstellen und unsichere Programmierpraktiken untersuchen
- Ergebnisse eines Penetrationstests strukturiert in Berichten aufbereiten
- Gegenmaßnahmen und Härtungsempfehlungen aus Testergebnissen ableiten
- Rechtliche und ethische Rahmenbedingungen des Ethical Hacking einhalten
- Die CompTIA PenTest+-Prüfungsstruktur kennen und sich gezielt vorbereiten
Zielgruppe & Voraussetzungen
Der Kurs richtet sich an Personen mit IT-Hintergrund, die beruflich in die aktive Sicherheitsüberprüfung einsteigen möchten – sei es als Quereinsteiger aus der Systemadministration oder als bestehende IT-Fachkraft, die sich auf Red-Team-Tätigkeiten spezialisieren will.
- IT-Fachkräfte aus Administration, Netzwerkbetrieb oder Softwareentwicklung mit Interesse an Offensive Security
- Angehende Penetrationstester, die eine formale Zertifizierung anstreben
- Security Analysts, die ihre defensiven Kenntnisse um offensive Methoden ergänzen möchten
- Personen, die nach einem beruflichen Neustart im IT-Sicherheitsbereich suchen
- Sicherheitsbeauftragte, die Pentesting-Ergebnisse besser einordnen und bewerten wollen
Gute Kenntnisse in Netzwerkgrundlagen (TCP/IP, DNS, HTTP) und einem Betriebssystem (Linux oder Windows) werden vorausgesetzt. Deutsch in Wort und Schrift ist für den Kursunterricht erforderlich. Da die CompTIA PenTest+-Prüfung ausschließlich auf Englisch stattfindet, sollten die Teilnehmenden über ausreichende Lesekompetenz im technischen Englisch verfügen. Grundkenntnisse in der Kommandozeile erleichtern den Einstieg erheblich.
Ablauf & Abschluss
Der Kurs findet im Vollzeit-Format als Combined Learning statt und kombiniert instruierte Online-Phasen mit angeleiteten Praxisübungen in isolierten Testumgebungen. Hands-on-Labs bilden den Kern der Ausbildung – Teilnehmende führen Penetrationstests unter realistischen Bedingungen durch, von der ersten Reconnaissance bis zum abgeschlossenen Abschlussbericht. Werkzeuge wie Metasploit, Nmap und Burp Suite werden dabei nicht nur theoretisch erklärt, sondern in Übungsszenarien aktiv angewendet. Der gesamte Pentesting-Lebenszyklus – Scoping, Informationssammlung, Exploitation, Reporting – wird als zusammenhängende Abfolge geübt, sodass Teilnehmende nach Kursabschluss einen vollständigen Penetrationstest eigenverantwortlich planen und durchführen können.
Der Kurs wird als Vollzeitlehrgang durchgeführt. Die konkrete Laufzeit und der Stundenumfang werden nach Anmeldung mitgeteilt. Das Vollzeitformat eignet sich besonders für Personen, die sich intensiv und fokussiert auf die Zertifizierung vorbereiten möchten. Die dichte zeitliche Struktur sorgt dafür, dass erlerntes Werkzeugwissen unmittelbar im nächsten Übungsblock vertieft wird, ohne dass der Stoff zwischen Teilzeitblöcken verblasst.
Nach Kursabschluss erhalten die Teilnehmenden ein trägerinternes Zertifikat. Wer die englischsprachige CompTIA PenTest+-Prüfung bei einem akkreditierten Testzentrum besteht, erhält zusätzlich das offizielle CompTIA PenTest+-Zertifikat – eine weltweit anerkannte Zertifizierung für professionelle Penetrationstester. CompTIA PenTest+ ist DoD-8570/8140-konform und wird als Qualifikationsnachweis für sicherheitsoperative Rollen in Behörden und der Verteidigungsindustrie anerkannt.
Nutzen & Perspektiven
Penetrationstesting ist eine der gefragtesten Spezialisierungen in der IT-Sicherheit – und gleichzeitig eine, für die strukturierte Ausbildung entscheidend ist. Wer Schwachstellen legal und systematisch ausnutzen kann, liefert Unternehmen und Organisationen einen konkreten Sicherheitsgewinn, der sich direkt in reduzierten Angriffsrisiken niederschlägt. CompTIA PenTest+ ist dabei eine der wenigen Zertifizierungen, die den vollständigen Pentesting-Lebenszyklus – von der Planung bis zum Abschlussbericht – in einem Prüfungsrahmen abbildet. Der praxisnahe Einsatz echter Werkzeuge wie Metasploit, Nmap und Burp Suite sorgt dafür, dass Absolventen nicht nur wissen, wie Angriffe funktionieren, sondern diese unter realen Bedingungen reproduzieren und dokumentieren können. Diese Kombination aus methodischem Verständnis und operativer Praxis ist es, die Arbeitgeber in der Cybersecurity suchen. Längerfristig öffnet PenTest+ Türen in Richtung Red Teams, Sicherheitsberatung und weiterführende Zertifizierungen wie OSCP oder CEH. Wer diesen Kurs abschließt, hat eine solide Basis für eine Karriere im Bereich Offensive Security – und gleichzeitig ein Zertifikat, das Kompetenz auf dem Papier belegt.
Häufig gestellte Fragen (FAQ)
Was ist der Unterschied zwischen diesem Kurs und dem CEH?
Dieser Kurs zielt auf die CompTIA PenTest+-Zertifizierung ab und legt den Schwerpunkt auf den vollständigen Pentesting-Workflow inklusive Scoping, Reporting und Code-Analyse mit Werkzeugen wie Metasploit, Nmap und Burp Suite. Der CEH-Kurs (Certified Ethical Hacker) deckt dagegen ein breiteres Spektrum aus 20 Themenblöcken ab und ist stärker auf das Framework des EC-Council ausgerichtet.
Welche Werkzeuge werden im Kurs praxisnah eingesetzt?
Im Mittelpunkt stehen Metasploit für Exploitation, Nmap für Netzwerk-Scanning und Port-Enumeration sowie Burp Suite für die Analyse von Webanwendungen. Dazu kommen OSINT-Werkzeuge für die Reconnaissance-Phase und weitere branchenübliche Tools für Schwachstellenscans.
Ist die PenTest+-Prüfung auf Deutsch verfügbar?
Nein, die CompTIA PenTest+-Prüfung findet ausschließlich auf Englisch statt. Gute Lesekompetenz im technischen Englisch ist daher Voraussetzung. Der Kursunterricht kann je nach Anbieter auf Deutsch gehalten werden.
Welche Vorkenntnisse sind sinnvoll?
Grundkenntnisse in Netzwerkprotokollen (TCP/IP, DNS) und der Arbeit auf der Kommandozeile (Linux oder Windows) erleichtern den Einstieg erheblich. Vorkenntnisse in IT-Sicherheit sind hilfreich, aber nicht zwingend – der Kurs setzt mit den methodischen Grundlagen des Penetrationstestings an.
Wird der Kurs in Vollzeit oder Teilzeit angeboten?
Dieser Kurs wird als Vollzeitlehrgang im Combined-Learning-Format durchgeführt. Das Vollzeitformat ermöglicht eine fokussierte, intensive Vorbereitung auf die Prüfung innerhalb eines überschaubaren Zeitraums.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
Berufsbild ist branchenübergreifend einsetzbar. Karrierechancen hängen stark von zusätzlicher Spezialisierung und Region ab.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- IT-Sicherheit (grundständig)1.486 Stellen
- Ethical Hacker52 Stellen
- IT-Forensiker/IT-Forensikerin38 Stellen