CompTIA PenTest+

CompTIA PenTest+ (PT0-003) validiert die Fähigkeiten, die erforderlich sind, um Penetrationstests zu planen, einzugrenzen und durchzuführen, Ergebnisse zu analysieren und diese effektiv an Stakeholder zu kommunizieren. Die Zertifizierung deckt den gesamten Lebenszyklus von Penetrationstests ab, einschließlich Reconnaissance, Enumeration, Schwachstellenerkennung, Exploitation, Post-Exploitation und Lateral Movement in traditionellen, Cloud-, Hybrid-, Webanwendungs-, API- und IoT-Umgebungen.

Die Version PT0-003 wurde am 17. Dezember 2024 veröffentlicht und erweitert die Abdeckung um KI-basierte Angriffe, erweiterte Cloud- und API-Exploitation, moderne Post-Exploitation-Techniken sowie aktualisiertes Tooling. Sie ist die einzige Zertifizierung, die sich speziell auf Penetrationstests mit einem praxisorientierten, leistungsbasierten Ansatz konzentriert.

PenTest+ gilt als Zertifizierung auf mittlerem Niveau, angesiedelt oberhalb von Security+ und ergänzend zu CySA+ (welches sich auf defensive Sicherheit konzentriert). Sie wird Fachleuten mit 3–4 Jahren praktischer Erfahrung in Penetrationstests empfohlen.

Die Prüfung besteht aus maximal 90 Fragen, die in 165 Minuten zu beantworten sind. Die Fragen umfassen sowohl Multiple-Choice- als auch performance-basierte (Simulations-)Aufgaben. Performance-basierte Fragen erfordern, dass Kandidaten Probleme in simulierten Umgebungen lösen, wie etwa das Ausführen von Befehlen, das Analysieren von Tool-Ausgaben oder das Konfigurieren von Exploits.

Multiple-Choice-Fragen umfassen sowohl Single-Answer- als auch Multiple-Response-Formate. Einige Fragen können Szenarien präsentieren, die die Analyse von Netzwerkdiagrammen, Log-Ausgaben oder Tool-Ergebnissen erfordern. Drag-and-Drop-Fragen testen die Fähigkeit, Angriffsphasen zu sequenzieren oder Techniken bestimmten Szenarien zuzuordnen.

Die Bestehensgrenze liegt bei 750 auf einer Skala von 100 bis 900. Die Fragen werden unterschiedlich gewichtet, wobei performance-basierte Fragen in der Regel stärker ins Gewicht fallen als herkömmliche Multiple-Choice-Aufgaben.

Häufige Stolpersteine für PenTest+-Kandidaten sind:

1. Vernachlässigung des Engagement Managements: Viele Kandidaten konzentrieren sich stark auf die technische Exploitation und unterschätzen dabei die Bedeutung von Scoping, Rules of Engagement, rechtlichen Aspekten und Compliance-Anforderungen. Domäne 1 (Engagement Management) und das Reporting werden häufig unterschätzt.

2. Tool-Kenntnis ohne Verständnis: Tool-Namen zu kennen (Nmap, Burp Suite, Metasploit), ohne zu verstehen, was die Ausgabe bedeutet oder wann welches Tool einzusetzen ist. Die Prüfung testet angewandtes Wissen, nicht bloßes Wiedererkennen.

3. Überspringen der Methodik: Direkter Einstieg in die Exploitation ohne ordnungsgemäße Reconnaissance und Enumeration. Die Prüfung folgt einer strukturierten Penetrationstest-Methodik und erwartet, dass Kandidaten verstehen, warum jede Phase wichtig ist.

4. Verwechslung von Vulnerability Scanning und Penetrationstests: Das Verständnis des Unterschieds zwischen automatisierter Schwachstellenbewertung und manuellem Penetrationstest ist entscheidend.

5. Schwache Reporting-Fähigkeiten: Die Prüfung testet Ihre Fähigkeit, Ergebnisse zu kommunizieren, Executive Summaries zu verfassen und Abhilfemaßnahmen zu empfehlen. Technische Fähigkeiten allein reichen nicht aus.

6. Vernachlässigung von Cloud- und API-Tests: PT0-003 hat die Abdeckung von Cloud-Umgebungen, API-Tests und modernen Angriffsflächen erweitert. Kandidaten, die sich nur auf traditionelle Netzwerk-Pentests vorbereiten, werden Schwierigkeiten haben.

CompTIA PenTest+ PT0-003 wird weltweit über Pearson VUE-Testcenter oder per Online-Proctoring von zu Hause oder aus dem Büro durchgeführt. Die Prüfung ist auf Englisch, Französisch, Japanisch und Portugiesisch verfügbar.

Der Prüfungsgutschein kostet ungefähr 404 USD (die Preise können je nach Region variieren). Kandidaten müssen für jeden Versuch die volle Prüfungsgebühr zahlen. CompTIA bietet keine kostenlosen Wiederholungen oder Rabatte auf Retakes an.

Es werden keine formalen Voraussetzungen verlangt, CompTIA empfiehlt jedoch die Zertifizierungen Network+ und Security+ oder gleichwertiges Wissen sowie 3–4 Jahre praktische Erfahrung in Penetrationstests.

Die Zertifizierung ist ab dem Erwerbsdatum drei Jahre gültig. Für die Verlängerung sind innerhalb des Dreijahreszyklus 60 Continuing Education Units (CEUs) zu erwerben sowie die jährliche CE-Gebühr zu entrichten. CEUs können durch Schulungen, Branchenkonferenzen, Lehrtätigkeit, Veröffentlichungen und andere anerkannte Aktivitäten erworben werden. Alternativ verlängert das Bestehen einer höherwertigen CompTIA-Zertifizierung PenTest+ automatisch.