Bei Penetrationstests werden Cyberangriffe simuliert, um Schwachstellen in einem System, einem Netzwerk oder einer Webanwendung zu identifizieren und auszunutzen. Dieser proaktive Ansatz ist für Unternehmen von entscheidender Bedeutung, da er dazu beiträgt, ihre Abwehrkräfte gegen reale Angriffe zu stärken, Sicherheitsschwachstellen zu erkennen, bevor sie von böswilligen Akteuren ausgenutzt werden können, und somit potenzielle Datenschutzverletzungen und finanzielle Verluste verhindern.

Effektive Penetrationstester benötigen ein solides technisches Know-how, das Kenntnisse in den Bereichen Netzwerke, Programmierung und Sicherheitsprotokolle umfasst. Zu den gängigen Werkzeugen für Penetrationstests gehören nmap, Metasploit, Burp Suite und zahlreiche weitere Tools und Techniken. Starke Problemlösungsfähigkeiten und Kreativität sind ebenfalls wichtig, um wie ein Hacker zu denken und unkonventionelle Sicherheitslücken erkennen zu können.

Warum sind Pentests unabdinglich für die Gesamtsicherheit der Organisation?

Lt. Studie (Fortinet 2022 Cybersecurity Skills Gap - Global Research Report)

• haben 60% der Unternehmen Schwierigkeiten, Talente für die Cybersicherheit zu rekrutieren, und 52 % haben Schwierigkeiten, diese zu halten

• hatten 80% der Unternehmen einen oder mehrere Sicherheitsverstöße zu verzeichnen, die sie auf einen Mangel an Cybersicherheitskenntnissen zurückführen konnten

• sind 67% der Unternehmen der Meinung, dass der Mangel an qualifizierten Bewerbern im Bereich der Cybersicherheit zusätzliche Risiken für ihr Unternehmen mit sich bringt

Die Ausbildung zum “OffSec Certified Professional (OSCP)” ist bekannt für seinen praxisorientierten Ansatz im Penetration Testing. Kursteilnehmer lernen mit dem Mindset, den Techniken und den Tools eines Angreifers, Sicherheitslücken in Systemen zu erkennen und offensiv auszunutzen. Grundlage des Trainings sind neben dem Kursmaterial viele praktische Übungen, die in einer kontrollierten, aber realistischen Laborumgebung ausgeführt werden können, um die Fähigkeiten und Denkweisen eines erfolgreichen Penetration Testers zu vermitteln.

Hohe Anerkennung in der Branche

Das OSCP-Zertifikat ist in der Cybersecurity hoch angesehen und gilt als Nachweis für fundierte praktische Fähigkeiten im Penetration Testing. Absolventinnen und Absolventen dieser Zertifizierung sind oft besser positioniert für Karrierefortschritte und höhere Gehälter. Für hauptberufliche Pentester ist der OSCP ein Muss. Darüber hinaus benötigen Software-Entwickler, Tester, Auditoren und IT’ler, die externe Pentests beauftragen und koordinieren, dieses Know-how zwingend, um effiziente Ausschreibungen erstellen und berichtete Findings bewerten zu können.

Praktische Erfahrung

Der Kurs umfasst verschiedene Themen wie Informationsbeschaffung, Schwachstellenanalyse, Angriffe auf Webanwendungen und Exploits, die sowohl theoretisch als auch praktisch behandelt werden.

Darüber hinaus haben die Teilnehmer zahlreiche praktische Übungen zu lösen, die auf realen Szenarien basieren. Dies ermöglicht, die erlernten Fähigkeiten in einer sicheren Umgebung zu testen und zu verbessern.

Aus dem klassischen OSCP wird der OSCP+

• Gleiche Kursinhalte: Wer heute den PEN-200 absolviert und anschließend die OSCP-Prüfung besteht, erhält automatisch für 3 Jahre den OSCP und den OSCP+.

• Lebenslang gültig: Der OSCP bleibt – einmal bestanden – lebenslang gültig.

• OSCP+: Zusätzlich bescheinigt der OSCP+, dass Zertifikatsinhaber ihr Wissen aktuell halten.

Erneuerungspflicht:

Um den OSCP+ über die ersten 3 Jahre hinaus zu behalten, sind folgende Schritte nötig:

• Erneute OSCP-Prüfung (mit aktualisierten Inhalten) oder

• Weiterbildung in einem anderen OffSec-Zertifikat (bspw. OSEP, OSWA, OSWE, OSED, OSMR oder OSEE)

• 120 CPEs (Continuing Professional Education) innerhalb von 3 Jahren

• Zahlung einer Annual Maintenance Fee von jährlich 145 USD

Wer diese Anforderungen nicht erfüllt, fällt automatisch auf den klassischen OSCP zurück – und kann jederzeit wieder auf den OSCP+ upgraden.

Warum der OSCP+?

Der neue Titel signalisiert Arbeitgebern und Kunden:

Dieses Wissen ist nicht nur einmal erworben, sondern wird kontinuierlich gepflegt und auf dem neuesten Stand gehalten.

Weitere Details findest du direkt bei OffSec.

General Course Introduction

· Welcome to PWK

· How to Approach the Course

· Summary of PWK Learning Modules

Introduction to Cybersecurity

· The Practice of Cybersecurity

· Threats and Threat Actors

· The CIA Triad

· Security Principles, Controls, and Strategies

· Cybersecurity Laws, Regulations, Standards, and Frameworks

· Career Opportunities in Cybersecurity

Effective Learning Strategies

· Learning Theory

· Unique Challenges to Learning Technical Skills

· OffSec Methodology

· Case Study: chmod -x chmod

· Tactics and Common Methods

· Advice and Suggestions on Exams

· Practical Steps

Report Writing for Penetration Testers

· Understanding Note-Taking

· Writing Effective Technical Penetration Testing Reports

Information Gathering

· The Penetration Testing Lifecycle

· Passive Information Gathering

· Active Information Gathering

Vulnerability Scanning

· Vulnerability Scanning Theory

· Vulnerability Scanning with Nessus

· Vulnerability Scanning with Nmap

Introduction to Web Applications

· Web Application Assessment Methodology

· Web Application Assessment Tools

· Web Application Enumeration

· Cross-Site Scripting (XSS)

Common Web Application Attacks

· Directory Traversal

· File Inclusion Vulnerabilities

· File Upload Vulnerabilities

· Command Injection

SQL Injection Attacks

· SQL Theory and Database Types

· Manual SQL Exploitation

· Manual and Automated Code Execution

Client-Side Attacks

· Target Reconnaissance

· Exploiting Microsoft Office

· Abusing Windows Library Files

Locating Public Exploits

· Getting Started

· Online Exploit Resources

· Offline Exploit Resources

· Exploiting a Target

Phishing Basics

· Phishing 101

· Payloads, Misdirections and Speedbumps

· Hands-On Credential Phishing

Fixing Exploits

· Fixing Memory Corruption Exploits

· Fixing Web Exploits

Antivirus Evasion

· Antivirus Evasion Software Key Components and Operations

· AV Evasion in Practice

Password Attacks

· Attacking Network Services Logins

· Password Cracking Fundamentals

· Working with Password Hashes

Windows Privilege Escalation

· Enumerating Windows

· Leveraging Services Windows

· Abusing other Windows Components

Linux Privilege Escalation

· Enumerating Linux

· Exposed Confidential Information

· Insecure File Permissions

· Insecure System Components

Port Redirection and SSH Tunneling

· Port Forwarding with *NIX Tools

· SSH Tunneling

· Port Forwarding with Windows Tools

Advanced Tunneling

· Tunneling Through Deep Packet Inspection

The Metasploit Framework

· Getting Familiar with Metasploit

· Using Metasploit Payloads

· Performing Post-Exploitation with Metasploit

· Automating Metasploit

Active Directory Introduction and Enumeration

· Active Directory Manual Enumeration

· Manual Enumeration Expanding our Repertoire

· Active Directory Automated Enumeration

Attacking Active Directory Authentication

· Understanding Active Directory Authentication

· Performing Attacks on Active Directory Authentication

Lateral Movement in Active Directory

· Active Directory Lateral Movement Techniques

· Active Directory Persistence

Enumerating AWS Cloud Infrastructure

· Reconnaissance of Cloud Resources on the Internet

· Reconnaissance via Cloud Service Provider's API

· IAM Resources Enumeration

Attacking AWS Cloud Infrastructure

· Leaked Secrets to Poisoned Pipeline

· Enumeration

· Discovering Secrets

· Poisoning the Pipeline

· Compromising the Environment via Backdoor Account

· Dependency Chain Abuse

· Information Gathering

· Dependency Chain Attack

· Compromising the Environment

Assembling the Pieces

· Enumerating the Public Network

· Attacking WEBSRV1

· Gaining Access to the Internal Network

· Enumerating the Internal Network

· Attacking the Web Application on INTERNALSRV1

· Gaining Access to the Domain Controller

Trying Harder: The Labs

· PWK Challenge Lab Overview

· Challenge Lab Details

· The OSCP Exam Information

OffSec-zertifizierte Ausbildung zum OSCP

Wir bieten Ihnen eine intensive Ausbildungszeit über 5 Tage Training plus 12-teiliger Webinar-Reihe. So erhalten Sie einen optimalen Start in Ihre Pentest-Qualifikation und werden in dieser anspruchsvollen Zeit von einem praxiserfahrenen, OffSec-zertifizierten Trainer und Coach begleitet.

Die Ausbildung erfordert einen hohen Praxis- und Zeiteinsatz. Nach dem Studium der Kursmaterialien sind Sie gefordert, die vermittelten Techniken im OffSec Lab (“Proving Grounds Practice”) anzuwenden und selbständig weitere Maschinen und Anwendungen zu kompromittieren.

Die Kurslizenz umfasst neben den offiziellen OffSec-Materialien für den PEN-200-Kurs einen 365-tägigen Zugang zum OffSec Lab sowie 2 OSCP-Prüfungsversuche.

Neben den OSCP-spezifischen Inhalten erhalten Sie zusätzlich einen einjährigen, unbegrenzten Zugang zu den OffSec Lernpfaden. Des Weiteren erhalten Sie für diesen Zeitraum einen Zugang zu den Kursen “PEN-103: Kali Linux Reinvented” und “PEN-210: Foundational Wireless Network Attacks” sowie jeweils einen Prüfungsversuch für die Examen “Kali Linux Certified Professional” (KLCP) und “OffSec Wireless Professional” (OSWP).

Hohe Qualifikation

Schulungen und Zertifizierungen im Bereich der Cybersicherheit sind von entscheidender Bedeutung, da sie für Fachkräfte in diesem Bereich mehrere wichtige Funktionen erfüllen. Sie bestätigen die Fähigkeiten und Kenntnisse eines Experten und dienen Arbeitgebern als Maßstab für die Fähigkeit ihrer Mitarbeiter, reale Sicherheitsherausforderungen zu bewältigen.

Zertifikate wie der OSCP können die Tür zu höheren Positionen, höheren Gehältern und einer größeren Sichtbarkeit auf dem Arbeitsmarkt öffnen.

Zertifizierungen stellen auch sicher, dass Fachleute über die neuesten Technologien, Strategien und Vorschriften auf dem Laufenden bleiben, was in dem sich ständig weiterentwickelnden Bereich der Cybersicherheit von entscheidender Bedeutung ist. Sie erhöhen die Glaubwürdigkeit und zeigen das Engagement und die Einhaltung hoher Standards, was in sensiblen Bereichen, in denen mit vertraulichen Informationen umgegangen wird, von entscheidender Bedeutung ist.

Darüber hinaus erfüllen Zertifizierungen häufig branchenspezifische Compliance-Anforderungen und bieten durch Seminare und Konferenzen Networking-Möglichkeiten, die das berufliche Wachstum fördern und dabei helfen, mit Branchentrends Schritt zu halten.

Try Harder

Als zentrales Element des OSCP-Trainings setzt OffSec das Prinzip “Try Harder”.

Teilnehmer werden ermutigt, hartnäckig zu bleiben und selbständig Lösungen zu finden, um so das Durchhaltevermögen zu stärken und ein erhöhtes Vertrauen in die eigenen Fähigkeiten zu gewinnen.

Allerdings wird “Try Harder” von vielen Teilnehmern auch als zu herausfordernd empfunden. Der Mangel an direkter Unterstützung, daraus folgende Frustration, führt oft zum Abbruch der Reise…

Hier kommt die Manufaktur IT Training für Sie ins Spiel:

Wir begleiten Sie auch nach der Kurswoche mit Webinaren, FAQs, Coaching und Mentoring.

Lösungen erhalten Sie niemals auf dem Silbertablett, aber bei Bedarf schubsen wir Sie gerne in die richtige Richtung, um Ihre Motivation aufrechtzuerhalten und Ihren Lernfortschritt sicherzustellen.

Lesen Sie, was die Industrie über den OSCP sagt

What Is OSCP Certification and Is It Worth It? 2024 Guide

OSCP explained

Lernmodell

· Betreuung vor, während und nach dem Kurs zur optimalen Prüfungsvorbereitung

· offizielle Kursunterlagen und Arbeitsmaterialien (ca. 250 Stunden)

· Individualbetreuung durch Ihren Trainer

· hoher Prüfungsbezug durch intensive Test- und Übungsphasen

Deutschsprachiger Kurs

Der OSCP ist ein internationales Pentesting Zertifikat mit sehr hoher Anerkennung. Wir unterrichten als einer der ganz wenigen Anbieter in deutscher Sprache und setzen OffSec-zertifizierte Trainer mit hoher Praxiserfahrung ein.

Denn:

OffSec is not slides!

OffSec is a 100% hands-on!

Winner Coaching statt Bootcamp

Bootcamp funktioniert bei einer Ausbildung wie dem OSCP nicht. 5 Tage lernen, nachts üben, und am Wochenende in die Prüfung gehen? Unmöglich! Rechnen Sie mit 6 bis 12 Monaten für die Vorbereitung zum Examen, um Angriffstechniken zu verstehen, einzuüben und sich für die bevorstehenden Aufgaben zu wappnen. Während dieser Zeit begleiten wir Sie mit einer mehrmonatigen Webinar-Reihe, in der die Kursinhalte praktisch behandelt und Ihre Fragen in FAQs beantwortet werden.

Wir werden Sie optimal auf das OSCP-Examen vorbereiten.

Exam Voucher

In Zusammenarbeit mit OffSec und Exploit Labs dürfen wir Ihnen die offiziellen, lizensierten Kursmaterialien der OffSec zur Verfügung stellen, inkl. Lab-Zugang und zwei Prüfungsversuchen.

Offizielle Lehrmaterialien der OffSec

• Learning Modules

• Course Videos

• Demonstration Module Exercises

• Applied Module Exercises

• Capstone Module Exercises

• Challenge Labs

Informationsmaterial

Kursinhalte

Allgemeine Kursinformationen

Begründungsschreiben

Unsere "Red Team Field Manuals" (RTFM) sind unverzichtbare Begleiter für alle Pentester und die es noch werden wollen:

Aus diesem Grund erhalten alle Kursteilnehmer unserer OffSec-Kurse diese mit viel Mühe und Sorgfalt von uns erstellten Nachschlagewerke, vollgespickt mit:

• Anleitungen

• Tools

• Techniken

• Referenzen

rund um alle Phasen eines Pentests:

• Reconnaissance

• Shells

• Enumeration

• Payload Generation

• Delivery

• Exploitation

• Persistence

• Privilege Escalation

• Password Cracking

• Post-Exploitation

inklusive:

• Pivoting

• Tunneling

• Active Directory

Werfen Sie einen Blick in die Dokumente:

Das ist bei uns gelebtes Coaching!

Volle Unterstützung für Ihre erfolgreiche Zertifizierung!

Was unsere Teilnehmer dazu sagen: Im Rahmen einer Pentesting-Schulung von ManufakturIT haben wir als Teilnehmer zwei außergewöhnlich umfangreiche und detailreiche Bücher erhalten. Sie beschreiben eine beeindruckende Vielzahl relevanter Methoden, die nicht nur oberflächlich angeschnitten, sondern mit einem Detailgrad erklärt werden, der meine Erwartungen deutlich übertroffen hat. Diese Bücher sind weit mehr als begleitendes Material – sie sind langfristig wertvolle Referenzen und Nachschlagewerke für verschiedenste Vorgehensweisen und Tools, die im beruflichen Alltag zum Einsatz kommen. - L. L.

Zielgruppe

• jeder Cybersecurity-Mitarbeiter

• jeder IT-Mitarbeiter

der Angriffe, Techniken und Tools verstehen, nachbauen und anwenden möchte.

Im Detail:

• Pentester

• Cybersecurity Professionals

• Web Application Tester

• Informationssicherheitsbeauftragte (Information Security Officer)

• ISMS-Programm-Manager

• Netzwerk-Administratoren

• System-Administratoren

• Software-Tester

• Auditoren

• Software Entwickler

• IT-Projektmanager

• IT-Architekten

• IT-Berater

• Systemingenieure (Engineers)

• Mitarbeiter mit der Aufgabe, Pentests zu beauftragen, zu koordinieren und Findings zu bewerten

• Cloud Engineers

• Security Researcher

• Threat Hunter

• SOC Analysts

• Exploit Developer

• Freiberufler

Kursablauf

5-tägiger Intensivkurs plus 12-teilige

Voraussetzung für den Kurs

Teilnehmer benötigen keine besonderen Vorkenntnisse für das Absolvieren des Trainings.

Vorteilhaft sind Kenntnisse in den folgenden Bereichen

• Basiswissen auf der Kommandozeile (Linux, Windows)

• Basiswissen im Bereich der Netzwerkkommunikation (TCP/IP)

• Grundkenntnisse im Scripting (bspw. Python, Bash)

• Beharrlichkeit bei der Suche nach technischen Lösungen

Das Zertifikat wird nach erfolgreicher Prüfung auf Lebenszeit ausgestellt.

Eine Rezertifizierung ist nicht erforderlich.

Jährliche Gebühren zur Aufrechterhaltung des Zertifikats werden nicht erhoben.

Bring Your Own Device

• Computer mit 64-bit CPU, mind. 8 GB RAM, Auflösung 1024x768, 20 GB Festplattenspeicher

• Software: Kali Linux, oder Virtualisierungssoftware mit Kali als virtueller Maschine (bspw. VMware Player, VMware Workstation, Virtual Box)

Examen

Das Examen wird in beaufsichtigter Form (Proctored Exam) an einem Arbeitsplatz Ihrer Wahl durchgeführt. Hierzu ist lediglich die Freigabe Ihrer Kamera, Ihres Mikrofons und Ihres Bildschirms erforderlich.

Die Prüfung dauert 23 Stunden und 45 Minuten.

Während dieser Zeit haben Sie verschiedene Aufgaben auf 3 Maschinen zu lösen, die insgesamt max. 60 Punkte erbringen (jeweils 10 Punkte für Low Privilege Access sowie 10 Punkte für Root/Administrator/SYSTEM-Rechte). Des Weiteren ist eine Domain zu kompromittieren (max. 40 Punkte).

Für eine erfolgreiche Zertifizierung müssen Sie 70 von 100 Punkten erreichen.

Nach Abschluss der o.g. Prüfungsdauer haben Sie 24 Stunden Zeit, einen aussagefähigen Report mit Ihren Findings zu erstellen und an OffSec hochzuladen.

Bitte beachten Sie, dass in der Kursgebühr zwei Prüfungsversuche enthalten sind. Sollten Sie beim ersten Anlauf durchfallen, müssen Sie vier Wochen bis zum zweiten Versuch abwarten (“Cooldown”-Phase).

Planen Sie insgesamt ca. 6-12 Monate für die Ausbildung ein.

Sie erhalten:

• 5-tägiges Intensivtraining durch einen OffSec-zertifizierten Trainer

• mehrmonatige Begleitung bei der Vorbereitung auf das Examen (Webinare, FAQs, Coaching)

• OffSec Learn One PEN-200 Kurslizenz im Wert von $ 2.749 für ein Jahr

• Kursmaterial für ca. 250 Stunden

• 365 Tage Lab-Zugang

• 2 Prüfungsversuche

• zusätzlich: Zugang zu PEN-103 und PEN-210 inkl. jeweils 1 Prüfungsversuch

• zusätzlich: Zugang zu OffSec Learning Paths (für ein Jahr)

Ihre Vorteile als Schulungsteilnehmer:

• fundierte praktische Fähigkeiten im Penetration Testing

• solides technisches Know-how

• Mindset, Tools und Techniken erlernen

• Zeit sparen bei der Zertifizierung

• hohe Erfolgsquote durch begleitetes Lernen (Coaching)

Ihre Vorteile als Organisation:

• Resilienz stärken

• technische Fähigkeiten für die Bekämpfung von Cyberangriffen entwickeln

• Fähigkeiten des Cybersecurity-Teams und der IT-Abteilung insgesamt verbessern

• Schritt halten mit der aktuellen Gefährdungslage

• neueste Schwachstellen und Angriffstechniken richtig bewerten können

• geeignete Schutzmaßnahmen umsetzen können

• Wissenslücken schließen:

- Angriffe, Techniken, Audit-Findings, Auswirkungen verstehen und bewerten

- geeignete, angemessene, effektive Maßnahmen zur Vorbeugung umsetzen

- Daten, Systeme, Prozesse, Standorte, Mitarbeiter, Kunden, Partner, Interessenten

schützen

• Budgets einsparen, indem Pentests intern durchgeführt anstatt extern beauftragt zu werden

• Fachkräftemangel und Engpässen entgegenwirken, durch Qualifizierung interner Mitarbeiter

• Abhängigkeit von externen Anbietern reduzieren

• Strategische Positionierung durch erhöhte Cybersicherheit

• Wettbewerbsvorteile als Marktführer

• beschleunigte Zertifizierung durch Training mit Coaching statt langwierigem Selbststudium

• weniger Audit-Findings durch frühzeitige Tests, Behebung und sicherer Programmierung

• Invest in höhere Compliance, Datenschutz und Security

Termine 2025

06.-10.01.2025 (online)

10.-14.03.2025 (Präsenz/Manufaktur IT) in Bensberg

05.-09.05.2025 (online)

12.-15.05.2025 (online/Exploit Lab)

19.-23.05.2025 (Präsenz/Exploit Lab) in Frankfurt

10.-13.06.2025 (Präsenz/Exploit Lab) in Frankfurt

07.-11.07.2025 (online)

06.-10.10.2025 (online)

Termine 2026

09.-13.02.2026 (Präsenz/Manufaktur IT)

20.-24.04.2026 (Präsenz/Manufaktur IT)

02.-06.11.2026 (Präsenz/Manufaktur IT)

Dauer

5 Tage Intensivtraining

Kursgebühr

Präsenz/Online: 5.499 EUR zzgl. MwSt.

​

Optional zubuchbar bei Präsenz

• Übernachtung/Frühstück (So-Fr.) 500 EUR zzgl. MwSt.

• Vollverpflegung (Mo.-Fr.) 500 EUR zzgl. MwSt.

​

Wir bieten

• OffSec-zertifizierter Kurs (5 Tage)

• 365 Tage Lab-Zugang

• 2 Prüfungsversuche

​

Zusätzliches Winner Coaching

• 12 Webinare und persönliches Mentoring für beste Erfolgschancen, zum Preis von 1.199 EUR zzgl. MwSt.

Wir bieten

• begleitende Webinare durch Ihren persönlichen Trainer

• Insiderwissen und Nudging

• Hacking Rezepte

• Unterstützung per Discord und E-Mail zum vertiefenden Verständnis und zur Prüfungsvorbereitung

​

Wir bieten den Kurs präsenz oder online an, gerne auch Inhouse bei Ihnen vor Ort, wahlweise auf deutsch oder englisch.