Seit 2018 gibt es das BACPP-Zertifikat der binsec academy GmbH, jetzt folgt der offizielle „Ritterschlag“: „Ritterschlag“: Der BACPP (Binsec Academy Certified Pentest Professional) wird ab sofort vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als qualifizierter Nachweis für die Kompetenz von Penetrationstestern anerkannt und entsprechend gelistet.
Was wir seit Jahren praktizieren, hat nun das behördliche Siegel: Echte Pentest-Kompetenz lässt sich nicht durch Theoriefragen messen, sondern nur durch die Performance am System.
Realismus statt Capture-the-Flag-Romantik
Der Fokus des BACPP liegt radikal auf der Realität. Während viele Zertifizierungen sich wie ein „Capture the Flag“ (CTF) anfühlen, bei dem man von System zu System springt, bricht der BACPP mit diesem Muster:
- Keine Theorie, keine Multiple-Choice: Wer das Zertifikat will, muss arbeiten. Es gibt keine Kreuzchen-Tests, sondern ein echtes Szenario in einer simulierten Unternehmensumgebung.
- Methodik vor Masse: Es geht nicht darum, jedes System mit Gewalt zu knacken. Genau wie im echten Kundenprojekt sind manche Systeme gehärtet bzw. einfach „sicher“ – und genau das ist realistischer Pentester-Alltag.
- End-to-End Prozess: Von der Analyse über die Identifikation bis zur professionellen Dokumentation und Risikobewertung. Wer besteht, beweist nicht nur, dass er hacken kann, sondern dass er einen Pentest fachgerecht durchführen kann.
Das Feedback vieler Absolventen spricht hier eine klare Sprache: Im direkten Vergleich wird der BACPP oft als deutlich anspruchsvoller bewertet als gängige Branchen-Zertifizierungen – selbst der renommierte OSCP wirkte für viele Teilnehmer dagegen tatsächlich einfacher, da er weniger Wert auf die reale methodische Tiefe und die vollständige Dokumentationskette legt.
Durch die Anerkennung beim BSI ist der BACPP nun offiziell in der Riege der relevanten Nachweise für die Kompetenzfeststellung angekommen. Das ist besonders für Pentester wichtig, die in KRITIS-Umfeldern oder für Bundesbehörden tätig sind.
Wir kombinieren hier frische, realistische Ansätze mit der nötigen formellen Akzeptanz. Im Gegensatz zu typischen CTF- oder HackTheBox-Ansätzen zwingt der BACPP zu einem methodischen Vorgehen: Da nicht alle Systeme übernommen werden können, rücken Priorisierung und Zeitmanagement in den Vordergrund: exakt wie bei einem realen Pentest-Auftrag.
Fazit
Wer den BACPP trägt, hat bewiesen, dass er in einer komplexen Unternehmensumgebung methodisch vorgehen und Ergebnisse liefern kann, die weit über einen simplen Root-Exploit hinausgehen. Es ist die Zertifizierung für Profis, die in der realen Welt bestehen wollen.
