In der IT-Security-Branche herrscht Fachkräftemangel, und der Impuls vieler Firmen ist es, Junior Penetrationstester direkt in Kundenprojekte einzubinden. Bei der binsec GmbH haben wir uns bewusst gegen diesen Weg entschieden. In unseren wichtigsten Kernbereichen, nämlich Banken, Payment, Versicherungswesen, KRITIS-Kunden, Medizingeräte, ist „Training on the Job“ am Kundenobjekt operativ und haftungsrechtlich nicht vertretbar.
Das Risikoprofil unserer Zielgruppe
Wer die Infrastruktur einer Bank oder eines Zahlungsdienstleisters testet, bewegt sich in einem Umfeld, in dem Fehlertoleranz faktisch nicht existiert oder zumindest sehr gering ist. Hier geht es nicht nur darum, eine Sicherheitslücke zu finden, sondern sie so zu verifizieren, dass die Stabilität kritischer Systeme zu keinem Zeitpunkt gefährdet wird. Zusätzlich ist die Gefahr, dass etwas Kritisches aufgrund mangelnder Praxiserfahrung übersehen wird, viel zu hoch. Gerade auch z.B. bei Medizingeräten, bei denen es um die Sicherheit von Patienten geht.
Compliance Anforderungen
Kunden aus vielen Branchen bezahlen für zertifizierte Expertise und eine professionelle, strukturierte Durchführung. Die Erwartungshaltung ist, dass jeder am Projekt beteiligte Tester über jahrelange Praxiserfahrung in ähnlichen Szenarien verfügt. Ein Junior kann technisch exzellent sein, aber die notwendige Intuition für kritische Infrastrukturen entwickelt man erst nach vielen Penetrationstests.
Unsere Lösung, die Trennung von Expertise und Ausbildung
Das bedeutet nicht, dass wir keinen Nachwuchs fördern. Es bedeutet lediglich, dass wir die binsec GmbH als reine Experten-Unit führen. Um Junioren dennoch einen fundierten Einstieg in die Branche zu ermöglichen und Nachwuchs auch selbst heranzuführen, nutzen wir innerhalb unserer Gruppe die Marke Hackeroo. Die Logik dahinter ist rein operativ:
- Andere Zielkunden: Hackeroo betreut Kunden und Projekte (oft im Mittelstand oder Start-ups), deren Risikoprofil und Komplexität einen strukturierten Lernprozess zulassen und nicht direkt hochkritisch sind.
- Mentoring statt Alleingang: Bei Hackeroo arbeiten Junioren in einem Framework, das durch die Pentest Collective GmbH abgesichert ist. Sie führen manuelle Tests durch, haben aber im Hintergrund ein erfahrenes Team, das die Qualität sichert und bei kritischen Entscheidungen interveniert.
- Transparenz: Wir kommunizieren offen, dass bei Hackeroo ein anderes Teammodell zum Einsatz kommt als bei der binsec GmbH. Das ermöglicht faire Preise für kleine Unternehmen und dennoch die Möglichkeit, den eigenen Nachwuchs auszubilden.
Fazit
Die Trennung der Unternehmen, Marken und Teams ist eine Konsequenz aus den Anforderungen unserer Kunden. Die binsec GmbH bleibt eine Senior-Unit für den Enterprise- und Finanzsektor bzw. für alle anderen Kunden, denen neben Expertise die Erfahrung sehr wichtig ist. Wer bei der binsec GmbH arbeitet, muss das Handwerk bereits langjährig, nachweisbar sicher beherrschen.
Die Ausbildung findet bei Hackeroo statt. Dort, wo Fehler nicht direkt eine Katastrophe auslösen, also ohne dass sofort die kritische Infrastruktur eines Finanzdienstleisters auf dem Spiel steht. Wenn die Lernkurve passt, steht später dem Weg in die binsec GmbH nichts im Wege.
