2021

OSCP – Die Bedeutung der praxisorientierte Zertifizierung!

Veröffentlicht am

Über Zertifizierungen können sich Experten in einem Gebiet gut darstellen und ihre Kenntnisse repräsentieren. Auch in der IT-Sicherheit gibt es viele Zertifizierungen. Heute klären wir die Bedeutung des OSCP in der IT-Sicherheit.

Die Bedeutung des OSCP – Offensive Security Certified Professional

OSCP ist eine sehr bekannte Zertifizierung im Bereich des Ethical Hacking, dem ethischen Hacken. Die Zertifizierung wird von Offensive Security bereitgestellt und testet vor allem die praktischen Fähigkeiten der Teilnehmer.

Preislich ist die Zertifizierung mit $999 relativ günstig im Vergleich zu anderen Zertifizierungen mit einer ähnlich guten Ruf. Die Kosten richten sich je nach der Dauer, die in dem Lab verbracht werden möchte. In einem eigenen Lab werden verschiedene Trainings-Maschinen bereitgestellt, die im Rahmen der Prüfungsvorbereitung gehackt werden können.

Um die angebotenen 5 Bonuspunkte zu erhalten, müssen diverse Maschinen aus dem Trainings-Lab sowie einige weitere Aufgaben erledigt werden. Da diese Aufgaben viel Zeit in Anspruch nehmen, ist der Lab-Zugang mit 30 Tagen (für $999) sehr knapp bemessen.

Falls die Prüfung nicht bestanden wird, also die notwendigen 70 von 100 Punkten nicht erreicht werden, wird man für einen gewissen Zeitraum gesperrt. Eine erneute Prüfungsteilnahme ist mit $150 relativ günstig, da die Erfahrung gezeigt hat, dass die Durchfallquote hoch ist.

Aktives Hacken anstatt auswendig lernen

Der Grund, warum der OSCP eine wichtige Bedeutung in der IT-Sicherheit hat, sind die praktischen Fähigkeiten, die dieses Zertifikat prüft. Anders als bei dem CEH wird in der Prüfungsform des OSCP keine Multiple-Choice Fragen gestellt, sondern der Prüfling erhält 5 Maschinen und 24h Zeit.

Die Aufgabe ist es, die unterschiedlich schwierigen Maschinen zu hacken und jeweils eine Shell auf diesen Systemen zu öffnen. Nach den 24h wird der Zugriff auf die 5 Maschinen geschlossen und der Prüfling muss die gefundenen Schwachstellen dokumentieren, um die Punkte zu erhalten.

Diese Prüfungsform ist anders als bei nahezu allen anderen Zertifizierungen, macht sie aber auch deshalb in der Bedeutung so wertvoll. Wer diese Zertifizierung einmal erhalten hat, verliert diese auch nicht mehr, da sie keine Ablaufzeit oder Ähnliches hat.

Unserer Erfahrung nach sind die Träger des OSCP sehr gut für einen Job im Bereich des Pentesting geeignet, da neben praktischen Fähigkeiten auch Durchhaltevermögen und Dokumentationsarbeit geprüft wird. Diese 3 Eigenschaften bzw. Fähigkeiten sind sehr wichtig, wenn man ein erfolgreicher Penetrationstester werden möchte.

Wie lange dauert die OSCP Prüfung?

Innerhalb von 24 Stunden müssen 70 Punkte erreicht werden. Punkte werden für erfolgreich gehackte Maschinen vergeben. Wer die notwendige Punktzahl erreicht, der hat die Möglichkeit, innerhalb von weiteren 24 Stunden einen Report über die ausgenutzten Schwachstellen zu formulieren. Erst nach der Abgabe des Reports ist die Prüfung beendet.

Ist der OSCP eine bekannte und anerkannte Zertifizierung?

Ja. Der OSCP ist für praktische Pentester eine sehr bekannte Zertifizierung. Sie bescheinigt Know-How auf Praxisebene, ist bezahlbar und anspruchsvoll für Einsteiger:innen im Bereich von offensiven IT-Security Dienstleistungen.

Muss der OSCP aufgefrischt werden?

Wer die OSCP Prüfung einmal bestanden hat, der muss diese nicht wiederholen. Das Zertifikat gilt auf Lebenszeit.

Welche Zertifizierung ist anspruchsvoller als der OSCP?

Der PEN-210 (OSWE) ist als eine Erweiterung zum OSCP (PEN-200) zu sehen. Der PEN-300, der sogenannte OSEP, ist über dem OSCP angesiedelt und auch von der Prüfungsdauer anspruchsvoller. Hier werden einem nicht 24 Stunden, sondern jeweils 48 Stunden eingeräumt.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.