Stell dir vor, du stehst vor einer verschlossenen Hochsicherheitstür und hast einen offiziellen Ausweis um den Hals, der dich als Meister der Schlösser ausweist. Doch als du das Werkzeug ansetzt, merkst du, dass du nur gelernt hast, wie man die Seriennummer des Schlosses liest, nicht aber, wie man den Mechanismus unter Stress manipuliert. Genau dieses Paradoxon begegnet mir immer wieder, wenn ich mit IT-Verantwortlichen über die Certified Ethical Hacker CEH Certification spreche. In der Theorie verspricht dieser Titel den Ritterschlag für digitale Verteidiger. Er soll den Nachweis erbringen, dass man die Werkzeuge der Angreifer beherrscht, um Systeme zu schützen. Die Realität in deutschen Rechenzentren sieht jedoch häufig ernüchternd aus. Wer glaubt, dass ein Multiple-Choice-Test jemanden automatisch dazu befähigt, einen versierten staatlichen Akteur oder eine hochspezialisierte Ransomware-Bande aufzuhalten, erliegt einem gefährlichen Trugschluss. Es ist ein klassisches Beispiel für Zertifizierungs-Inflation, bei der das Auswendiglernen von Tool-Namen und Port-Nummern mit echtem taktischem Verständnis verwechselt wird.
Das Geschäftsmodell mit der Angst und die Certified Ethical Hacker CEH Certification
Hinter dem glänzenden Logo des EC-Council steckt ein gigantischer Markt, der davon lebt, dass Unternehmen eine messbare Metrik für Sicherheit suchen. Personalabteilungen in Frankfurt oder München lieben diese Kürzel. Sie bieten eine vermeintliche Sicherheit bei der Einstellung. Wenn ein Bewerber die Certified Ethical Hacker CEH Certification vorweisen kann, wandert die Mappe auf den Stapel der Qualifizierten. Das Problem dabei ist die Struktur der Prüfung selbst. Wir reden hier von einer Abfrage, die stark auf Theorie basiert. Wer genug Zeit mit Karteikarten verbringt, kann die richtigen Antworten ankreuzen, ohne jemals eine Shell in einer feindlichen Umgebung stabilisiert zu haben. Das ist so, als würde man einen Führerschein vergeben, nachdem der Prüfling lediglich die technischen Daten eines Motors auswendig gelernt hat. In der echten Welt der IT-Sicherheit zählen aber Instinkt und die Fähigkeit, über den Tellerrand der Standard-Tools hinauszuschauen.
Die Illusion der Tool-Beherrschung
Wenn ich mir die Lehrpläne ansehe, fällt auf, wie sehr das System auf den Einsatz spezifischer Software fokussiert ist. Man lernt, welcher Schalter bei einem bestimmten Scanner welche Wirkung erzielt. Das klingt erst einmal logisch. Doch was passiert, wenn der Angreifer gar keine Standard-Tools verwendet? Was, wenn er eine eigene Schwachstelle ausnutzt, für die es noch keinen Menüpunkt in einer grafischen Benutzeroberfläche gibt? Hier zeigt sich die Schwäche dieser Ausbildung. Sie vermittelt ein Rezeptbuch, aber sie macht niemanden zum Koch. Ein echter Hacker – und ich meine das im positiven, konstruktiven Sinne – zeichnet sich durch eine fast schon obsessive Neugier aus, Systeme zu verstehen, bis er deren inhärente Logik gegen sie selbst wenden kann. Diese Neugier lässt sich nicht in einem viertägigen Bootcamp in ein Gehirn pressen. Es ist ein Handwerk, das Jahre der Übung erfordert, oft in dunklen Kellern oder bei nächtelangen Debugging-Sitzungen, weit weg von offiziellen Lehrbuch-Szenarien.
Warum die Industrie trotzdem an diesem Standard festhält
Skeptiker werden nun einwerfen, dass es ohne solche Standards gar keine Vergleichbarkeit gäbe. Sie haben recht, zumindest teilweise. In einer Welt ohne Zertifikate wäre es für Unternehmen unmöglich, die Spreu vom Weizen zu trennen, bevor der erste Schaden entsteht. Die Certified Ethical Hacker CEH Certification dient als kleinster gemeinsamer Nenner. Sie stellt sicher, dass eine Person zumindest die grundlegende Terminologie versteht. Wenn dein Admin nicht weiß, was ein SQL-Injection-Angriff ist, hast du ein Problem. Das Zertifikat garantiert, dass er das Wort schon einmal gehört hat. Aber wir dürfen den Fehler nicht begehen, dieses Basiswissen als Kompetenz-Gipfel zu verkaufen. Es ist das Fundament, nicht das Dach. Viele Behörden und Konzerne fordern diese Qualifikation in ihren Ausschreibungen, weil sie rechtlich abgesichert sein wollen. Es geht um Compliance, nicht um Kreativität. Wenn etwas passiert, kann die Führungsebene sagen, dass sie zertifiziertes Personal eingesetzt hat. Das schützt die Karriere des Managers, aber nicht unbedingt den Server.
Die Diskrepanz zwischen Prüfung und Praxis
Ich habe mit Testern gesprochen, die nach ihrer Zertifizierung zum ersten Mal in einem echten Penetrationstest saßen. Ihre Verwirrung war greifbar. In der Prüfungssituation ist das Ziel klar definiert, die Umgebung ist statisch und die Lösungen sind eindeutig. In der freien Wildbahn stößt man auf veraltete Systeme, die beim ersten Scanversuch abstürzen könnten, oder auf Sicherheitslösungen, die jeden Standardangriff sofort blockieren. Da hilft kein Auswendiglernen. Da hilft nur Erfahrung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) betont in seinen Leitfäden immer wieder die Bedeutung von Praxiserfahrung. Ein Zertifikat kann eine Tür öffnen, aber durchgehen muss man mit eigenen Füßen. Die Branche hat sich eine Scheinwelt aufgebaut, in der wir glauben, Sicherheit sei eine Checkliste, die man abarbeitet. Das ist sie nicht. Sicherheit ist ein Prozess, ein ständiger Kampf gegen die Entropie und gegen Angreifer, die sich nicht an die Regeln eines Lehrbuchs halten.
Die Evolution des Angreifers gegenüber dem zertifizierten Verteidiger
Während wir uns in Europa oft in bürokratischen Prozessen verfangen, entwickeln sich die Bedrohungen im Osten oder in spezialisierten Foren rasant weiter. Dort fragt niemand nach einem offiziellen Dokument. Dort zählt nur der Erfolg eines Einbruchs. Ein Angreifer verbringt Wochen damit, die Verteidigung eines spezifischen Ziels zu analysieren. Er sucht die eine Lücke, die niemand auf dem Schirm hatte. Ein Verteidiger, der sich rein auf sein Zertifikats-Wissen verlässt, wird diesen Kampf verlieren. Er sucht nach den Mustern, die er im Kurs gelernt hat. Der Angreifer hingegen kreiert neue Muster. Diese Asymmetrie ist das eigentliche Risiko. Wir wiegen uns in Sicherheit, weil unsere Mitarbeiter glänzende Urkunden im Büro hängen haben, während die Gegenseite bereits die nächste Generation von Angriffstechniken implementiert, die in keinem aktuellen Lehrplan stehen.
Man muss sich vor Augen führen, dass Cyberkriminalität heute wie ein effizientes Unternehmen geführt wird. Es gibt Support-Hotlines für Ransomware-Opfer, es gibt Qualitätssicherung für Schadsoftware und es gibt eine Arbeitsteilung, die jedes traditionelle Firmenkonstrukt vor Neid erblühen ließe. Dagegen setzen wir eine Ausbildung, die in weiten Teilen noch auf dem Stand von vor ein paar Jahren verharrt. Die Zeitspanne zwischen der Entdeckung einer neuen Methode und ihrer Aufnahme in offizielle Prüfungsfragen ist viel zu lang. Bis ein Thema in einer Prüfung landet, ist es in der Hacker-Community oft schon wieder ein alter Hut. Das macht das Wissen zwar nicht wertlos, aber es raubt ihm die Schärfe, die notwendig wäre, um an der vordersten Front zu bestehen.
Der Wert der praktischen Erfahrung über den Zertifikaten
Es gibt eine Bewegung in der Szene, die sich weg von reinen Theorie-Zertifikaten und hin zu sogenannten Hands-on-Zertifizierungen bewegt. Dort muss man tatsächlich Systeme hacken, um zu bestehen. Keine Kreuzchen machen, sondern Code schreiben, Sicherheitslücken finden und Berichte verfassen, die auch ein technischer Laie versteht. Das ist der richtige Weg. Dennoch bleibt die Kritik am Status Quo bestehen. Wir haben eine ganze Generation von IT-Security-Profis herangezogen, die exzellent darin sind, Prüfungen zu bestehen, aber Schwierigkeiten haben, ein Netzwerk-Diagramm zu lesen und die darin verborgenen logischen Fehler zu finden. Das ist eine systemische Schwäche unserer Bildungskultur im technischen Bereich. Wir bevorzugen das Messbare gegenüber dem Verstehbaren, weil es einfacher zu verwalten ist.
Ich erinnere mich an einen Fall, bei dem ein mittelständisches Unternehmen stolz darauf war, dass seine gesamte IT-Abteilung zertifiziert war. Dennoch gelang es einem Angreifer, über eine simple Fehlkonfiguration in einem Drucker-Server das gesamte Netzwerk zu übernehmen. Keiner der zertifizierten Profis hatte diesen Vektor auf dem Schirm, weil er in ihrem Training nur am Rande vorkam. Das zeigt deutlich: Ein Zertifikat ist kein Schutzschild. Es ist ein Startsignal. Wer nach der Prüfung aufhört zu lernen, wird zum Sicherheitsrisiko für sein eigenes Unternehmen. Die echte Arbeit beginnt erst, wenn das Zertifikat an der Wand hängt und man erkennt, wie wenig man eigentlich weiß.
Ein neuer Blick auf die digitale Verteidigung
Wir müssen weg von der Vorstellung, dass Cybersicherheit ein Zustand ist, den man durch den Erwerb von Titeln erreichen kann. Es ist eine Daueraufgabe, die ein hohes Maß an Intuition und technischer Tiefe erfordert. Wenn du das nächste Mal jemanden triffst, der stolz auf seine Qualifikationen verweist, frag ihn nicht nach seiner Punktzahl in der Prüfung. Frag ihn nach dem letzten System, das er ohne Anleitung verstanden hat. Frag ihn nach dem Fehler, der ihn eine ganze Nacht gekostet hat. Dort liegt die wahre Kompetenz vergraben. Die Branche braucht Leute, die Systeme lieben und hassen zugleich, die wissen, wie man sie baut und wie man sie bricht. Ein Stück Papier kann das Interesse dokumentieren, aber niemals die Leidenschaft ersetzen, die nötig ist, um in diesem digitalen Wettrüsten zu bestehen.
Die Zertifizierungsstellen werden natürlich weiterhin behaupten, ihre Programme seien der Goldstandard. Das ist ihr gutes Recht, schließlich verdienen sie Milliarden damit. Und für einen Berufseinsteiger ist es sicherlich ein sinnvoller erster Schritt. Aber für erfahrene Profis und für Unternehmen, die wirklich sicher sein wollen, darf das nicht das Ende der Fahnenstange sein. Wir müssen eine Kultur fördern, in der das Finden kreativer Lösungen mehr zählt als das Auswendiglernen von Handbüchern. Nur so haben wir eine Chance gegen Angreifer, die sich an keine Lehrpläne halten und deren einzige Prüfung der erfolgreiche Datendiebstahl ist. Wahre Sicherheit entsteht im Kopf, nicht im Prüfungszentrum.
Ein Zertifikat beweist nur, dass du die Fragen der Vergangenheit beantworten konntest, aber niemals, dass du die Angriffe der Zukunft überlebst.
