Prüfungscode: PEN-200
Die angesehenste praktische Penetrationstest-Zertifizierung. Beweisen Sie Ihre Fähigkeit, Schwachstellen zu finden und Systeme zu kompromittieren.
OSCP (Offensive Security Certified Professional) wird weithin als Goldstandard für Penetrationstest-Zertifizierungen angesehen. Im Gegensatz zu theoriebasierten Prüfungen erfordert OSCP, dass Sie während einer anstrengenden 24-stündigen praktischen Prüfung tatsächlich in Systeme eindringen.
Das OSCP-Motto lautet "Try Harder" - was die Entschlossenheit widerspiegelt, die zum Bestehen erforderlich ist.
Die Änderung, die man verinnerlichen muss, ist der OSCP/OSCP+-Split vom November 2024: Wer PEN-200 besteht, bekommt jetzt beides – OSCP (lebenslang, der Markenname, nach dem Recruiter weiterhin fragen) und OSCP+ (drei Jahre gültig, erneuerbar über das OffSec CPE-Programm, eine Recert-Prüfung oder eine andere qualifizierende OffSec-Prüfung). Das Prüfungsformat bleibt 2026 unverändert: 23 Stunden 45 Minuten Hands-on, 24 Stunden für den Report, 70/100 zum Bestehen – und das Active-Directory-Set ist nach wie vor verpflichtend, 40 Punkte wert, ohne Bonuspunkte, die einen verfehlten AD-Chain abfedern könnten. Die Preise stehen in USD, weil OffSec in USD abrechnet: Das PEN-200 Bundle kostet 1.749 USD (90 Tage Labs + ein Versuch), Learn One 2.749 USD/Jahr (zwei Versuche), Learn Unlimited 6.099 USD/Jahr. ZipRecruiter-Daten vom April 2026 nennen einen US-Durchschnitt für OSCP-getaggte Stellen von 119.895 USD/Jahr – passt zur 120K-Post-OSCP-Benchmark, mit der wir an anderer Stelle dieses Guides arbeiten. Aber der eigentliche Grund, OSCP zu schreiben, ist nicht der Gehaltsstempel: Der Report, den man dabei produziert, ist das, was einem Junior-Pentester-Deliverable am nächsten kommt – und das landet in der Bewerbungsmappe.
OSCP ist konzipiert für:
Voraussetzungen: Obwohl nicht erforderlich, sollten Sie haben:
Die OSCP-Prüfung ist ein 24-stündiger praktischer Test:
| Hintergrund | Empfohlene Lernzeit |
|---|---|
| Aktiver Pentester | 3-4 Monate |
| Sicherheitsfachmann | 4-6 Monate |
| Entwickler/Sysadmin | 6-9 Monate |
| Anfänger | Nicht empfohlen (erst Grundlagen aufbauen) |
Der PEN-200 (OSCP) Kurs beinhaltet:
| Zertifizierung | Stil | Schwierigkeit | Ideal für |
|---|---|---|---|
| OSCP | 100% praktisch | Fortgeschritten | Pentester |
| CEH | Multiple Choice | Mittel | Breites Wissen |
| PenTest+ | MC + PBQ | Mittel | Einstieg offensiv |
Die OSCP-Prüfung ist einzigartig in der Zertifizierungswelt. Sie erhalten ein VPN-Verbindungspaket per E-Mail zur geplanten Startzeit. Einmal verbunden, erhalten Sie Zugang zu einem Netzwerk von Zielmaschinen. Sie haben genau 23 Stunden und 45 Minuten, um möglichst viele Ziele zu kompromittieren und Beweisdateien (local.txt und proof.txt) zu sammeln. Nach der Hacking-Phase haben Sie weitere 24 Stunden, um einen professionellen Penetrationstest-Bericht zu verfassen und einzureichen.
Die Prüfungsumgebung wird per Webcam und Bildschirmfreigabe überwacht. Ihre Kamera muss die gesamten 24 Stunden aktiv bleiben. Pausen für Essen, Kaffee und Schlaf sind erlaubt.
Verbringen Sie nicht mehr als 2 Stunden an einer einzelnen Maschine im ersten Durchgang. Beginnen Sie mit dem Active Directory Set (40 Punkte), da es den höchsten Punktwert bietet. Streben Sie 70+ Punkte innerhalb der ersten 12 bis 14 Stunden an. Machen Sie alle 3 bis 4 Stunden eine 15-minütige Pause. Essen Sie richtige Mahlzeiten. Ermüdung ist der Hauptgrund, warum technisch fähige Kandidaten durchfallen.
Der größte Fehler ist Rabbit-Holing: 5+ Stunden an einer einzelnen Maschine verbringen, während einfachere Ziele ignoriert werden. Ein weiterer häufiger Fehler ist schlechte Dokumentation. Wenn Sie Ihre Exploitationsschritte nicht aus Ihren Notizen rekonstruieren können, können Sie den Bericht nicht schreiben.
Die ideale OSCP-Vorbereitung folgt drei Phasen: Grundlagen (1 bis 2 Monate), Kurs (2 bis 3 Monate) und Praxis (1 bis 2 Monate).
Im OSCP enthalten:
Externe Plattformen (wesentliche Ergänzungen):
| Profil | Phase 1 (Grundlagen) | Phase 2 (Kurs) | Phase 3 (Praxis) | Gesamt |
|---|---|---|---|---|
| Aktiver Pentester | Überspringen | 2 Monate | 1 Monat | 3 Monate |
| Sicherheitsfachmann | 1 Monat | 2 Monate | 1 bis 2 Monate | 4 bis 5 Monate |
| Entwickler/Sysadmin | 2 Monate | 3 Monate | 2 Monate | 7 Monate |
OSCP ist die meistgeforderte Zertifizierung in Penetrationstest-Stellenausschreibungen: Penetration Tester, Red Team Operator, Offensive Security Engineer, Application Security Tester und Security Consultant (offensiv).
| Region | Vor OSCP | Nach OSCP | Steigerung |
|---|---|---|---|
| USA | $85.000 | $120.000 | +41 % |
| Europäische Union | 55.000 EUR | 78.000 EUR | +42 % |
| DACH-Region | 60.000 EUR | 85.000 EUR | +42 % |
| Remote (global) | $75.000 | $110.000 | +47 % |
In der offensiven Sicherheit ist OSCP das stärkste Signal auf einem Lebenslauf. Recruiter wissen, dass ein OSCP-Inhaber nachweislich Systeme eigenständig unter Zeitdruck kompromittieren kann. Im Gegensatz zu theoriebasierten Zertifizierungen gibt es keine Möglichkeit, OSCP ohne echte praktische Fähigkeiten zu bestehen.
OSCP öffnet sofort Türen zu mittleren und höheren Pentester-Positionen. Typischer Weg: OSCP (Pentester), dann OSEP/CRTO (Senior Pentester/Red Team Lead), dann Management oder Spezialisierung. Viele OSCP-Inhaber wechseln innerhalb von 3 bis 5 Jahren in die Selbständigkeit, mit Tagessätzen von $1.500 bis $3.000.
OffSec hat die OSCP Preise 2025 aktualisiert. Die 2026 verfügbaren Bundles unten. EUR Beträge ungefähr (OffSec rechnet in USD ab).
| Posten | Kosten 2026 |
|---|---|
| PEN-200 + 90 Tage Lab + 1 Prüfungsversuch | ~1.610 € (1.749 $ USD) |
| Jährliche Learn One Subscription (1 Jahr + 2 Versuche) | ~2.530 € (2.749 $ USD) |
| Jährliche Learn Unlimited Subscription | ~5.610 € (6.099 $ USD) |
| Zusätzliche Lab Zeit (30 Tage) | ~330 € (359 $ USD) |
| Prüfungs Wiederholungsvoucher | ~230 € (249 $ USD) |
| Hack The Box Subscription (3 Monate) | ~39 € (42 $ USD) |
| Proving Grounds Practice Subscription (2 Monate) | ~35 € (38 $ USD) |
| Gesamt (erster Versuch, minimal) | ~1.650 bis 1.685 € |
| Gesamt (mit Extra Lab + Wiederholung) | ~2.245 € |
OSCP läuft nicht ab. Einmal erworben, behältst du sie lebenslang ohne Erneuerungsgebühren und ohne Weiterbildungsanforderungen. Ein erheblicher Vorteil gegenüber CEH oder Security+.
OffSec hat die OSCP+ Designation im November 2024 eingeführt. Wer die OSCP Prüfung nach diesem Datum besteht, erhält automatisch beide Designations. Sie unterscheiden sich nur in Gültigkeit und Erneuerung, nicht in Schwierigkeit oder Anerkennung.
| Aspekt | OSCP | OSCP+ |
|---|---|---|
| Gültigkeit | Lebenslang | 3 Jahre |
| Erneuerung erforderlich | Nein | Ja, vor Ablauf des Plus |
| Erneuerungsoptionen | n/a | Recertification Exam, andere qualifizierende OffSec Prüfung oder CPE Programm |
| Gemeinsam vergeben | Ja (post Nov 2024) | Ja (post Nov 2024) |
Bestehende OSCP Inhaber, die vor November 2024 bestanden haben, behalten ihr lebenslanges Credential. Sie können sich für OSCP+ entscheiden, indem sie einen der Erneuerungspfade abschließen, falls sie die neuere Designation wollen. Wenn du OSCP+ nicht erneuerst, bleibt das lebenslange OSCP Credential erhalten.
Für die meisten aktiven Pentester ist die Wahl klar: einmal bestehen, das lebenslange OSCP behalten und entscheiden, ob du die Plus Designation aufrechterhältst, basierend darauf, ob deine Arbeitgeber, Kunden oder Stellenanzeigen sie ausdrücklich verlangen.
OSCP verlangt Voraussetzungen, die nicht immer vorhanden sind, wenn Quereinsteiger sie direkt angehen. Das Unihackers Cybersecurity Bootcamp baut die Grundlage, die OSCP von einer Mauer in einen realistischen nächsten Schritt verwandelt:
Absolventen, die OSCP anvisieren, versuchen die Prüfung typisch sechs bis zwölf Monate nach dem Bootcamp, nach dedizierter Lab Zeit auf Hack The Box und Proving Grounds. Siehe den Security+ zu OSCP Pfad für die vollständige Progression.
Bei einer durchschnittlichen Gehaltssteigerung von $35.000 pro Jahr und einer Gesamtinvestition von ungefähr $2.000 bietet OSCP einen Ertrag von 1.650 % im ersten Jahr.
Vor dem Kauf von PEN-200 sollten Sie Folgendes können:
OSCP ist ein Test der Ausdauer ebenso wie der Fähigkeit. Sie werden feststecken. Sie werden frustriert sein. Das ist der Punkt. Die "Try Harder"-Mentalität bedeutet nicht Bruteforce; sie bedeutet systematisches Enumerieren jeder Möglichkeit. Während der Prüfung: Wenn Sie feststecken, stehen Sie auf, machen Sie eine Pause und kommen Sie zurück.
Die Prüfungsmaschinen sind mit den in PEN-200 gelehrten Tools lösbar. Wenn Sie obskure 0-Day-Exploits verwenden, sind Sie wahrscheinlich auf dem falschen Weg. Enumeration ist alles. Mindestens 80 % Ihrer Zeit sollte der Informationssammlung gewidmet sein. Ihr Bericht zählt mehr, als Sie denken. OffSec hat Kandidaten durchfallen lassen, die genug Maschinen kompromittiert hatten, aber unzureichende Berichte einreichten.
Planen Sie Ihre Prüfung für Freitag- oder Samstagmorgen. Beginnen Sie um 8:00 oder 9:00 Uhr. Hören Sie 48 Stunden vorher auf zu üben. Bereiten Sie Mahlzeiten und Koffein vor. Schlafen Sie zwei volle Nächte.
Gehalt vor Zertifizierung
61.000 €
Gehalt nach Zertifizierung
86.000 €
Durchschnittliche Erhöhung
25.000 € (+41%)
OSCP gilt als eine der schwersten Sicherheitszertifizierungen. Sie umfasst 23 Stunden 45 Minuten praktisches Hacking gefolgt von 24 Stunden zum Schreiben eines professionellen Berichts. Du musst Systeme kompromittieren, keine Theorie auswendig lernen.
Die Vorbereitung variiert: 3 bis 4 Monate für aktive Pentester, 4 bis 6 Monate für Sicherheitsfachleute, 6 bis 9 Monate für Entwickler und Sysadmins. Anfänger sollten erst Grundlagen aufbauen.
Für Pentesting-Rollen ja. OSCP beweist praktische Hacking-Fähigkeiten, während CEH theoriebasiert ist. CEH ist besser für compliance-orientierte Positionen.
Du kannst zusätzliche Prüfungsversuche für ~230 € (249 $ USD) kaufen. Viele Kandidaten bestehen beim ersten Versuch nicht; das wird erwartet und ist Teil des Lernprozesses.
Das Standard PEN-200 Bundle kostet ~1.610 € (1.749 $ USD) und enthält den Kurs, 90 Tage Lab Zugang und einen Prüfungsversuch. Die jährliche Learn One Subscription ist ~2.530 € (2.749 $ USD) und enthält ein Jahr Zugang plus zwei Prüfungsversuche. Learn Unlimited ist ~5.610 € (6.099 $ USD) pro Jahr. Jeder Wiederholungsvoucher kostet ~230 € (249 $ USD).
OSCP+ wurde im November 2024 eingeführt. Beide Designations werden gemeinsam vergeben, wenn du die Prüfung bestehst. OSCP ist lebenslang gültig. OSCP+ läuft nach drei Jahren ab und muss erneuert werden via Recertification Exam, einer anderen qualifizierenden OffSec Prüfung oder Abschluss des OffSec CPE Programms. Bestehende OSCP Inhaber behalten das lebenslange Credential auch ohne Erneuerung des Plus.
Die Prüfung umfasst 23 Stunden 45 Minuten praktisches Hacking gefolgt von 24 Stunden zum Einreichen des Berichts. Du musst 3 Standalone Maschinen kompromittieren (je 20 Punkte) und 1 Active Directory Set (40 Punkte: 10 für Initial Access plus 10 für je 3 Privilege Escalations). Bestehensgrenze: 70 von 100.
Ein fundamentales Bootcamp baut die Voraussetzungen auf, die OSCP verlangt: Linux und Windows Kommandozeilenbeherrschung, Netzwerk, Basic Scripting und strukturierte Pentesting Methodik. Unit 10 des Unihackers Cybersecurity Bootcamps führt Ethical Hacking und offensive Technik ein, was die SOC seitige Grundlage ist, die einen ernsthaften OSCP Versuch sechs bis zwölf Monate nach Abschluss realistisch macht.
Maßgebliche Quellen für Prüfungsziele, Lernhandbücher und praktische Labore.
Course outline, lab access details, and current pricing from OffSec.
Official rules, scoring, AD set, and report submission requirements.
Hands-on path widely used as supplementary OSCP preparation.
Web vulnerability classification used during the exam web component.
Offizielle Regeln für die OSCP+ Erneuerung über CPE-Credits und jährliche Wartung.
Referenz-Framework für die Initial-Access-Techniken, die du an AD-Zielen ausführen musst.
Methodische Web-Test-Checkliste, die die Web-Exploitation-Phase von PEN-200 widerspiegelt.
Foundation path
OSCP belohnt Praktiker, die bereits über defensive oder offensive Erfahrung verfügen. Das Unihackers Cybersecurity Bootcamp bietet dir 360 Stunden strukturiertes Training, CompTIA Security+ als Basis-Credential und die Labor-Tiefe, die den nächsten Zertifizierungsschritt realistisch macht.
EC-CouncilDie weltweit anerkannteste Zertifizierung für ethisches Hacken. Lernen Sie, wie ein Hacker zu denken, um Organisationen gegen Cyberangriffe zu schützen.
CompTIAPenTest+ validiert praktische Penetrationstest- und Schwachstellenbewertung. Die ideale Brücke zwischen Security+ und OSCP.