CompTIA PenTest+

Einordnung & Kontext

Der CompTIA PenTest+ (aktuell PT0-003) prüft maximal 90 Fragen in 165 Minuten mit einem Passing Score von 750 (Skala 100–900). Neben klassichen Closed-Book-Fragen setzt das Format auf Performance-Based Questions (PBQs). CompTIA positioniert diese als praxisnahe Simulationen, die tatsächliche operative Tiefe jedoch nur eingeschränkt abbilden. Tatsächlich handelt es sich um deterministische, eng geführte Sandbox-Szenarien (z.B. das isolierte Anpassen einer Firewall-Regel oder das Ausführen von CLI‑Befehlen). Sie prüfen technische Grundfertigkeiten in isolierten Szenarien, ersetzen jedoch keine realitätsnahe Hands-On-Umgebung. Zentrale Elemente realer Angriffe wie Pivoting, das iterative Verfolgen von Angriffspfaden oder der Umgang mit unerwarteten Systemzuständen fehlen vollständig. Die Prüfung wird als standardisiertes, proctored Pearson-VUE-Assessment durchgeführt.

Während praxisbasierte Zertifikate fast exklusiv die technische Kompromittierung fokussieren, deckt der PenTest+ den gesamten Prozess nach Industriestandards (NIST SP 800-115, PTES) ab:

• Planning & Scoping: Rechtliche Rahmenbedingungen, Rules of Engagement (RoE) und der Umgang mit Third-Party-Cloud-Infrastrukturen.
• Schwachstellenmanagement: Die Einordnung und Priorisierung von Scan-Ergebnissen via CVSS-Metriken.
• Reporting & Kommunikation: Die regulatorische Aufbereitung von Funden für unterschiedliche Stakeholder-Ebenen.

Technische Ausrichtung & methodische Defizite

Der Lehrplan ist thematisch extrem breit gefächert und deckt mit der aktuellen Version moderne Trends wie Cloud-Architekturen, Container-Escapes und sogar Angriffe auf KI-Systeme (Prompt Injection) ab. Das Defizit liegt jedoch in der rein theoretischen Überprüfung: Es wird kein manuelles Exploiting in einer Live-Umgebung verlangt. Beim Scripting etwa müssen Code-Snippets in Python, PowerShell oder Bash lediglich gelesen, logisch verstanden und an die Anforderungen angepasst werden. Das aktive Schreiben von Exploits, das Anpassen von Payloads an Speicherarchitekturen oder das Umgehen von EDR-Systemen wird nicht geprüft.

CompTIA listet Reporting explizit als Ziel (Engagement‑Management, 13 %), doch die eigentliche Überprüfung findet im Multiple‑Choice‑ und PBQ‑Teil statt: Kandidaten müssen z. B. CVSS‑Metriken zuordnen, Angriffsnarrative auswählen oder Executive‑Summary‑Teile ergänzen. Ein langer, frei formulierter Bericht mit Priorisierung und Remediation‑Empfehlungen ist kein Prüfungsbestandteil.

Im Unterschied zu rein praktischen Zertifizierungen wie OSCP oder CPTS entsteht keine echte Notwendigkeit für strikte Enumeration Discipline. Da die Prüfungsaufgaben voneinander isoliert sind, entsteht nicht derselbe operative Druck wie in realen Assessments, in denen fehlerhafte Enumeration oder Sackgassen ganze Angriffspfade blockieren können. Bricht eine Kette in einer realen Umgebung ab, scheitert der gesamte Penetrationstest; beim PenTest+ betrifft dies lediglich eine isolierte Punktebewertung innerhalb eines Fragenblocks.

CompTIA positioniert den PenTest+ im eigenen Marketing offensiv gegen den Certified Ethical Hacker (C|EH) des EC-Councils. Unter Senior Pentestern gilt der PenTest+ als handwerklich solidere, modernere und prozessorientiertere Alternative zum theoretischen C|EH-Standard, da sie mit dem reinen Auswendiglernen von Tools und Befehlen bricht. Dennoch: Für dediziert operative Pentesting-Rollen liegt sie qualitativ hinter echten, laborbasierten Zertifizierungen (OSCP, PNPT, CPTS), da sie das "Hacker-Mindset" durch ihr isoliertes Fragen-Design strukturell nicht abbilden kann.

Marktwert

Wie relevant der PenTest+ ist, hängt stark vom jeweiligen Zielmarkt ab. Im US-amerikanischen und internationalen Umfeld herrscht eine primär compliance-getriebene Dynamik: Durch das offizielle Alignment mit konkreten DoDM-8140.03-Work-Roles fungiert die Zertifizierung dort als valides HR-Signal. Besonders im Behördenkontext und bei Dienstleistern dient sie als standardisierter Filter. Im deutschsprachigen Raum hingegen verfügt der CompTIA Pentest+ im offensiven Sektor über kaum regulatorisches Gewicht. Technische Teamleiter und Hiring Manager bewerten das primär theoretische Prüfungsformat defensiv. Für dedizierte Pentesting-Rollen fordern sie handfeste, operative Praxisnachweise: Hier zählen anerkannte Laborzertifikate wie die OSCP, nachweisbare Bug-Bounty-Erfolge, eigene GitHub-Repositories mit Security-Tools oder ein validierbares Profil auf Plattformen wie Hack The Box und TryHackMe deutlich mehr als ein bestandenes Multiple-Choice-Assessment.

Fazit & Bewertung

Der CompTIA PenTest+ sitzt technisch und didaktisch zwischen klassichen Theorie-Zertifikaten und echten Hands-On-Labs. Inhaltlich bildet sie den Penetration-Testing-Prozess methodisch vergleichsweise vollständig ab: von Scoping, rechtlichen Rahmenbedingungen und Kommunikationsprozessen bis hin zu Enumeration, Exploitation, Reporting und grundlegender Remediation. Gerade diese ganzheitliche Perspektive unterscheidet sie positiv von vielen rein tool- oder exploitfokussierten Einstiegszertifizierungen.

Gleichzeitig bleibt die praktische Aussagekraft der Zertifizierung begrenzt. Die Prüfung validiert vor allem strukturiertes Fachverständnis innerhalb eines standardisierten Prüfungsrahmens. Zwar existieren Performance-Based Questions, diese bewegen sich jedoch weiterhin innerhalb stark kontrollierter und simulierter Szenarien. Frei geführte operative Tiefe, wie sie in realen Assessments erforderlich ist — etwa iterative Angriffspfade, situatives Troubleshooting, komplexe Privilege-Escalation-Ketten oder eigenständige Methodikentwicklung — wird nur eingeschränkt überprüft.

Für erfahrene IT-Fachkräfte kann der PenTest+ dennoch ein sinnvoller strukturierter Einstieg in offensive Security-Themen sein. Im technischen Recruiting — insbesondere im DACH-Raum — werden für operative Pentesting-Rollen jedoch meist laborbasierte Zertifizierungen wie PNPT oder OSCP höher bewertet, da sie praktische Hands-On-Kompetenz direkter nachweisen. Entsprechend ist die PenTest+ eher als methodische Einstiegs- oder Ergänzungszertifizierung zu verstehen, weniger als belastbarer Nachweis praktischer Pentesting-Kompetenz.