mikrocontroller.net

Forum: Ausbildung, Studium & Beruf Von Softwareentwicklung zur IT-Security?


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
Autor: ellipticline (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Also ich bin schon länger im Bereich der Softwareentwicklung (Java, eher 
"langweilige" Konzern-Software...) tätig und möchte nun gerne in der 
IT-Security-Welt Fuß fassen.

Also nicht nur technische Aspekte, sondern auch regulatorische. 
Datenschutz, Compliance, Audits etc.

Die Frage ist, wie ich sinnvollerweise als reiner Entwickler in diesen 
Bereich vorstoßen kann. Und zwar so, dass man nicht massive 
Gehaltseinbußen hat (bspw. bei Junior-Positionen). Das ist für mich 
aktuell DIE große Barriere.

Langfristig (irgendwann mit 35+) will ich eh keine Software mehr 
entwickeln. Das wird leider immer mehr zum Billiglohnsektor.

Danke.

Autor: Dussel (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Sowas habe ich mich letztens auch gefragt (für einen anderen Bereich).
'Drin' ist man, wenn man eine Stelle in dem Bereich hat und die 
Probezeit überstanden hat. Wie bekommt man eine solche Stelle? Indem man 
irgendwas vorzeigen kann, das einen für die Stelle qualifiziert.
Wenn du an einem Projekt in dem Bereich mitgearbeitet hast und im 
Arbeitszeugnis nicht nur 'hat sich stets bemüht' steht, wäre das 
schonmal ein guter Pluspunkt. Ansonsten vielleicht Fortbildungen oder 
Zertifikate?

Du könntest vielleicht als erstes zu einer Stelle wechseln, bei der 
Sicherheit eine größere Rolle spielt. Da würdest du an obengenannten 
Projekten mitarbeiten, ohne direkt schon der Sicherheitsverantwortliche 
zu sein. Mit der Erfahrung könntest du dich weiter spezialisiert 
bewerben (oder in der Firma aufsteigen).
Das ist aber jetzt nur meine Meinung, ohne allzuviel Erfahrung zu haben.

Autor: Boris O. (bohnsorg) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Es hilft, etwas über die Themen der eigenen beruflichen Zukunft zu 
wissen. Und der Sicherheitsbereich ist ein ungeliebtes Kind. Niemand 
möchte Sicherheitslücken auf einem Papier sehen. Ab dem Zeitpunkt wird 
nämlich gehaftet.

Vielleicht suchst du dir eine Firma, die auf Sicherheit zwangsläufig 
Wert legt. Werksspionage ist ein beliebtes Feld, resp. der Schutz von 
Geheimnissen.

Es geht auch mit pro-aktivem Management, d.h. in die Lieblingssoftware 
einbrechen und dann mit dem Eigentümer teilen. Als Einstieg gibt es div. 
Ausschreibungen, sogar der EU, in verschiedenen Programmen Fehler zu 
finden. Die zahlen sogar Bug Bounty.

Autor: Carter Karlo (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Gibt es etwas zu dieser Anzeige vergleichbares im deutschen/europäischen 
Raum?

https://news.ycombinator.com/item?id=20588522

Autor: Susi Sorglos (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Für Sicherheit wird nur dann gern Geld ausgegeben, wenn das Kind bereits 
in den Brunnen gefallen ist. So gesehen hast Du 2 Baustellen: eine 
fachliche und eine monetäre.

Autor: Hannes J. (pnuebergang)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Die IT-Security Typen, die mir im Job über den Weg laufen, sind im 
Normalfall Scharlatane. Schlangenölverkäufer, selbsternannte "Experten", 
die bestenfalls mal ein Handbuch, aber maximal eins, über IT-Sicherheit 
gelesen haben.

Das heißt, fachlich sollte der Wechsel kein Problem sein. Eventuell 
vorhandenes Wissen kann man sich notfalls wegsaufen.

Allerdings muss die Persönlichkeit passen. Man braucht das Auftreten 
eines  Gebrauchtwagenverkäufer oder Anlagebetrüger. Um die eigene 
Inkompetenz zu tarnen muss man sich aufführen, als ob man der geilste 
Stecher unter der Sonne wäre und alle anderen blöd sind.

: Bearbeitet durch User
Autor: Ist doch so (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hannes J. schrieb:
> Um die eigene
> Inkompetenz zu tarnen muss man sich aufführen, als ob man der geilste
> Stecher unter der Sonne wäre und alle anderen blöd sind.

Damit kennst du dich ja auch bestens aus, solltest ihn diesbezüglich 
beraten. Danach noch einen Aufbaukurs geben wie man Leute in der 
Werkshalle verprügelt.

Autor: Cyblord -. (cyblord)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Boris O. schrieb:
> Und der Sicherheitsbereich ist ein ungeliebtes Kind. Niemand
> möchte Sicherheitslücken auf einem Papier sehen. Ab dem Zeitpunkt wird
> nämlich gehaftet.

DAS ist ein wichtiger Punkt. Mit IT-Security kann sich niemand positiv 
hervortun. Entweder alles ist ok, dann herrscht schweigen im Walde, oder 
die Kacke dampft, dann ist man der Buhmann weil die Probleme benannt 
werden und es wird um jede Formulierung gefeilscht. Gegenmaßnahmen 
kosten Geld und bringen keine Umsatz.

Autor: Penetrationstester (Gast)
Datum:

Bewertung
3 lesenswert
nicht lesenswert
Google nach Penetrationstest, schau wer aus den top 10 Stellen 
ausgeschrieben hat und bewirb dich!
Bin seit 8 Jahren in der Branche und kann das negative Feedback nur bei 
Security Typen im Konzern bestätigen. Wer hands-on arbeitet bekommt auf 
die Finger wenn die Leistung nicht stimmt.

Die Arbeit ist abwechslungsreich, spannend und fordernd. Man sieht viele 
coole Sachen. Bin sehr happy und die Bezahlung ist auch nicht völlig 
unfair.

Autor: A. K. (prx)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Susi Sorglos schrieb:
> Für Sicherheit wird nur dann gern Geld ausgegeben, wenn das Kind bereits
> in den Brunnen gefallen ist.

Die DSGVO hat Aufgaben definiert, für die man entsprechend geschultes 
Personal benötigt. Ob man will oder nicht.

Autor: A. K. (prx)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Hannes J. schrieb:
> Die IT-Security Typen, die mir im Job über den Weg laufen, sind im
> Normalfall Scharlatane. Schlangenölverkäufer, selbsternannte "Experten",
> die bestenfalls mal ein Handbuch, aber maximal eins, über IT-Sicherheit
> gelesen haben.

Jene, die mir im Job bisher über den Weg liefen, waren es nicht.

Autor: Claus W. (claus_w)
Datum:

Bewertung
-2 lesenswert
nicht lesenswert
Alles Lug und Trug
==================

Vor einiger Zeit leistete ich in einem Landesministerium ein 
IT-Praktikum ab. Dort gab es einen promovierten und einen anderen MA: 
Beide IT-Sicherheitsexperten. Meine Büro-MA waren Quereinsteiger bis auf 
eine Ausnahme: Ein FH Absolvent für die schweren Windows-Admin-Aufgaben 
war auch noch dabei. In der Morgenrunde zitierte ich das Merkblatt 
"Alles Lug und Trug" aus Graz. Inhalt: Betrüger spionieren zunächst eine 
Firma aus und schicken dann Rechnungen mit falscher Kontonummer. 
Krankenstand war stets hoch und kurze Zeit später war der FH-Kollege 
auch noch krank. In einem seiner Krank-Tage kamen falsche Rechnungen an 
diesen oder jenen Beamten - bis dann schließlich der Sammelverteiler 
feuerte. Am letzten Freitag Mittag meines Praktikums erfuhr ich, dass es 
für mich nur noch mit 6 Monaten Befristung weitergehen sollte. Darauf 
beschwerte ich mich wegen untreuen Umgang mit Steuergeldern... Sie 
machen dann immer "Fahrstuhl" (in meinem Haus fällt einmal in mehrere 
Jahren der Fahrstuhl für längere Zeit aus, auch wenn ich mal umgezogen 
bin). Eine Runde sozusagen für alle gehbehinderten Nachbarn.

Neuerdings bucht mich die Hochschule RheinMain (angewandte 
Wissenschaften) direkt beim Arbeitgeberservice. Das coole daran: Die 
Auswahlkommission fragt jedesmal: "Warum haben Sie sich beworben?" 
Zuletzt ging es um die Verlegung von LAN-Kabel und um "Ausleuchtung". 
IT-Sicherheits-Verantwortlicher dort ist ein Dipl. Physiker den die FH 
logischerweise nicht selbst ausbilden kann. Seine E-Mail-Autoresponse 
sagte mir dann: "Ruf das Helpdesk an, denn ich bin bis 11.9. (= Ende der 
Bewerbungsfrist) nicht erreichbar". (Als Ansprechpartner in der 
Stellenaussprechung mit Name, Telefon und Email selbst angegeben). Im 
Helpdesk ging um 10:00 Uhr morgens natürlich auch keiner mehr ran.

=== Danke für das Thema als Steilvorlage ===

Autor: Ingenieur (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Penetrationstester schrieb:
> und die Bezahlung ist auch nicht völlig unfair.

Genaue Zahlen bitte, diese Aussage ist mir zu schwammig.

Autor: Latschenkiefer (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Ich halte es für ein Gerücht mit IT-Security pauschal besser bzw. mehr 
Geld zu verdienen als mit Softwareentwicklung IN einem IGM-Konzern. Eher 
das Gegenteil dürfte i.d.R. der Fall sein:

"IT" an sich ist für fast alle Firmen, die nicht gerade Google oder 
Amazon heißen, erstmal nur ein "notwendiges Übel", das nichts zur 
Wertschöpfung beiträgt. Sie muss halt da sein und funktionieren, genauso 
wie die Strom- und Wasserversorgung. Insbesondere Controller haben diese 
Sichtweise und lagern alles IT-beziehbare an irgendwelche externen 
Dienstleister aus, ähnlich wie Sicherheitsdienste oder Putzkolonnen.

"IT-Sicherheit" wird dabei immer vorausgesetzt. Niemand will unsichere 
IT, daher kann man für sichere IT keinen Aufpreis verlangen. Sicherheit 
ist zudem ein Prozess, kein Produkt. Damit ist es in einer großen Firma 
grundsätzlich eine zähe und bürokratische Angelegenheit ohne 
Erfolgsgarantie, die das Gegenteil vom Trend der agilen Methoden in der 
F&E repräsentiert und dort daher vor allen als "Bremse" bekannt ist.

Am besten fährt man wohl als externer  Berater in einem 
IT-Beratungsunternehmen. Dann reist man aber IMMER durch die Welt. 
Ansonsten vielleicht noch als Spezialexperte mit AT-Vertrag, für 
irgendein Spezialthema, das NICHT der IT untersteht sondern F&E!

Autor: Penetrationstester (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Ingenieur schrieb:
> Penetrationstester schrieb:
> und die Bezahlung ist auch nicht völlig unfair.
>
> Genaue Zahlen bitte, diese Aussage ist mir zu schwammig.

Einstieg bei ca. 45k. Nach 3 Jahren können es 60k sein. Nach 8 Jahren 
auch über 74k fix.
Dafür, dass man unglaublich viel Spaß hat und sehr gute exits in der 
Industrie haben könnte (ca. 3 sinnvolle Headhunteranfragen im Monat, die 
letzte war 90k, Reisezeit = Arbeitszeit und 36 Tage Urlaub) finde ich 
die Bezahlung wie gesagt nicht unfair und wenn man sich doch schlecht 
behandelt fühlt gibt es andere Optionen.
IGM-Unternehmen suchen ja auch in dem Bereich.
Diese Zahlen sind übrigens nicht  hochgestapelt.

Autor: Carter Karlo (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Was ist dein Hintergrund? ITsec Master aus Bochum oder generische 
Informatik einer anderen Uni? Was hattest du vorher für Erfahrungen? 
CTFs, veröffentlichte Sicherheitslücken, Bug Bounties auf HackerOne, 
etc.?

Was passiert, wenn die Firma für eine von dir gefundene Lücke eine Bug 
Bounty erhält? Feuchter Händedruck, (Teil der) Bug Bounty wird 
durchgereicht?

Autor: oszi40 (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Penetrationstester schrieb:
> Headhunteranfragen im Monat, die letzte war 90k

Das kann auch kleines Schmerzensgeld sein? Man sollte die Bedingungen 
kennen. Tag und Nacht und überall macht nicht ewig Spaß.

Autor: Ingenieur (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
oszi40 schrieb:
> Penetrationstester schrieb:
> Headhunteranfragen im Monat, die letzte war 90k
>
> Das kann auch kleines Schmerzensgeld sein? Man sollte die Bedingungen
> kennen. Tag und Nacht und überall macht nicht ewig Spaß.

Eben, das ist dann Schmerzensgeld. Ich lege auch sehr viel Wert auf 
geregelte Arbeitszeiten und möglichst keine Dienstreisen.

Autor: Penetrationstester (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Carter Karlo schrieb:
> Was ist dein Hintergrund? ITsec Master aus Bochum oder generische
> Informatik einer anderen Uni? Was hattest du vorher für Erfahrungen?
> CTFs, veröffentlichte Sicherheitslücken, Bug Bounties auf HackerOne,
> etc.?
>
> Was passiert, wenn die Firma für eine von dir gefundene Lücke eine Bug
> Bounty erhält? Feuchter Händedruck, (Teil der) Bug Bounty wird
> durchgereicht?

Bugbounties bekommt man zu 100%. Habe auch schon ein paar Advisories 
veröffentlicht.
Vorwissen und Interesse war da, das meiste hab ich aber im Job gelernt.

Autor: Kriseninterventionsspezialist (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
> Am besten fährt man wohl als externer  Berater in einem
> IT-Beratungsunternehmen.

Schon falsch, weil:

> Dann reist man aber IMMER durch die Welt.

Als Selbstständiger kann man Aufträge auch mal ablehnen.
Dann arbeitet man ein Vierteljahr und hält den Rest des
Jahres einen geruhsamen Winterschlaf.

Wer nun aber partout den dritten Daimler und noch einen Tesla
in der Garage will, muss halt knüppeln.

Autor: oszi40 (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Kriseninterventionsspezialist schrieb:
> einen geruhsamen Winterschlaf

IT ist eine schnell verderbliche Ware. Gemüsehandel ist gemütlicher. :-)

Autor: Kriseninterventionsspezialist (Gast)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
> IT ist eine schnell verderbliche Ware

Naja, mal sind die Knöpfe rot und dann wieder blau.
Aber es sind noch immer selben.

Eine gewisse Flexibilität wird natürlich vorausgesetzt.

Und das Wasser bleibt sowieso das selbe womit gekocht wird.

Autor: seoul soul (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Stimmt es eigentlich, dass einem der Rückweg versperrt ist, wenn man als 
Softwareentwickler in die IT-Sicherheit wechselt?

Die Entwickler-Fähigkeiten wendet man ja meist nicht mehr an, sondern 
wird eher zum fachlichen Dünnbrettbohrer, der mit Buzzwords jongliert, 
wenn ich das so mitbekommen habe.

Autor: ellipticline (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Ich denke dass das technische Niveau von Sicherheitsexperten sehr hoch 
ist und auch sein muss. Jedenfalls höher als beim 0815-Entwickler.

Autor: Ingenieur (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
ellipticline schrieb:
> Ich denke dass das technische Niveau von Sicherheitsexperten sehr
> hoch ist und auch sein muss. Jedenfalls höher als beim 0815-Entwickler.

Sein müsste. In dieser Branche tummeln sich leider sehr viele 
Schwätzer und Blender.

Autor: oszi40 (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Mit dem Wissen wächst der Zweifel (daß heute einer ALLES wissen kann).

Autor: Iro (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Was macht ein Consultant im Bereich Informationssicherheit denn 
eigentlich so, von Tag zu Tag?

Autor: F. B. (finanzberater)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Ingenieur schrieb:
> Sein müsste. In dieser Branche tummeln sich leider sehr viele
> Schwätzer und Blender.

In der gesamten IT tummeln sich die Schwätzer und Blender.

https://pbs.twimg.com/media/CEz-c1SW8AAum34.png

Autor: MaWin (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
F. B. schrieb:
> Ingenieur schrieb:
> Sein müsste. In dieser Branche tummeln sich leider sehr viele Schwätzer
> und Blender.
>
> In der gesamten IT tummeln sich die Schwätzer und Blender.
>
>

Dann muss ich unbedingt in die IT wechseln

Autor: Zocker_55 (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> F. B. schrieb:

> > Ingenieur schrieb:
> > Sein müsste. In dieser Branche tummeln sich leider sehr viele Schwätzer
> > und Blender.

> In der gesamten IT tummeln sich die Schwätzer und Blender.

Nicht nur dort !

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Latschenkiefer schrieb:
> Ich halte es für ein Gerücht mit IT-Security pauschal besser bzw. mehr
> Geld zu verdienen als mit Softwareentwicklung IN einem IGM-Konzern. Eher
> das Gegenteil dürfte i.d.R. der Fall sein:

Natürlich sind Pauschalaussagen nicht einklagbar, aber IT-Sicherheit hat 
mehr Zukunft als Vergangenheit, während es bei manchem IGM-Konzern 
andersrum sein könnte.

> "IT" an sich ist für fast alle Firmen, die nicht gerade Google oder
> Amazon heißen, erstmal nur ein "notwendiges Übel", das nichts zur
> Wertschöpfung beiträgt.

Das Thema Sicherheit eignet sich vorzüglich für negative Wertschöpfung.

Autor: Alex G. (dragongamer)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Sicherheit ist natürlich erstmal "negative Wertschöpfung" wenn man das 
so ausdrücken will, aber sie ist essenziell um die Wertschöpfung aus 
anderen Bereichen zu wahren!

Glaube inzwischen ist es nicht mehr so schwierig die Verantwortlichen 
davon zu überzeugen dass die Investition sein muss. Man sieht ja wie 
Medien und Internet auf jedes Unternehmen eindrischt das Daten verliert, 
egal wie.

Autor: A. K. (prx)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Ok, das war offenbar zu undeutlich formuliert. Das Thema Sicherheit 
birgt erhebliches Potential für Rufschaden, Entschädigung, Strafzahlung. 
Was mitunter zu erheblichem finanziellen Verlust führen kann. Was ich 
kurzerhand als negative Wertschöpfung bezeichnete, wenngleich 
potenzielle, also durch fehlende Sicherheit.

Alex G. schrieb:
> Glaube inzwischen ist es nicht mehr so schwierig die Verantwortlichen
> davon zu überzeugen dass die Investition sein muss.

Eben. Genau das meinte ich.

Was ich aus betrieblicher Erfahrung auch konkret bestätigen kann. So hat 
die DSGVO ziemlich durchgefegt und Sensibilität auch ohne vorherigen 
Schaden geschaffen.

: Bearbeitet durch User
Autor: A. K. (prx)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
ellipticline schrieb:
> Die Frage ist, wie ich sinnvollerweise als reiner Entwickler in diesen
> Bereich vorstoßen kann.

In Bereiche, die, weil vergleichsweise neu, noch keine festgezurrten 
Berufswege definieren, kann so ungefähr jeder vorstossen. Man muss 
halt jene Leute, die einen bezahlen, davon überzeigen können, dass man 
das Geld wert ist.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.