Forum: Ausbildung, Studium & Beruf Von Softwareentwicklung zur IT-Security?

Sowas habe ich mich letztens auch gefragt (für einen anderen Bereich).
'Drin' ist man, wenn man eine Stelle in dem Bereich hat und die 
Probezeit überstanden hat. Wie bekommt man eine solche Stelle? Indem man 
irgendwas vorzeigen kann, das einen für die Stelle qualifiziert.
Wenn du an einem Projekt in dem Bereich mitgearbeitet hast und im 
Arbeitszeugnis nicht nur 'hat sich stets bemüht' steht, wäre das 
schonmal ein guter Pluspunkt. Ansonsten vielleicht Fortbildungen oder 
Zertifikate?

Du könntest vielleicht als erstes zu einer Stelle wechseln, bei der 
Sicherheit eine größere Rolle spielt. Da würdest du an obengenannten 
Projekten mitarbeiten, ohne direkt schon der Sicherheitsverantwortliche 
zu sein. Mit der Erfahrung könntest du dich weiter spezialisiert 
bewerben (oder in der Firma aufsteigen).
Das ist aber jetzt nur meine Meinung, ohne allzuviel Erfahrung zu haben.

Gibt es etwas zu dieser Anzeige vergleichbares im deutschen/europäischen 
Raum?

https://news.ycombinator.com/item?id=20588522

Für Sicherheit wird nur dann gern Geld ausgegeben, wenn das Kind bereits 
in den Brunnen gefallen ist. So gesehen hast Du 2 Baustellen: eine 
fachliche und eine monetäre.

Hannes J. schrieb:
> Um die eigene
> Inkompetenz zu tarnen muss man sich aufführen, als ob man der geilste
> Stecher unter der Sonne wäre und alle anderen blöd sind.

Damit kennst du dich ja auch bestens aus, solltest ihn diesbezüglich 
beraten. Danach noch einen Aufbaukurs geben wie man Leute in der 
Werkshalle verprügelt.

Google nach Penetrationstest, schau wer aus den top 10 Stellen 
ausgeschrieben hat und bewirb dich!
Bin seit 8 Jahren in der Branche und kann das negative Feedback nur bei 
Security Typen im Konzern bestätigen. Wer hands-on arbeitet bekommt auf 
die Finger wenn die Leistung nicht stimmt.

Die Arbeit ist abwechslungsreich, spannend und fordernd. Man sieht viele 
coole Sachen. Bin sehr happy und die Bezahlung ist auch nicht völlig 
unfair.

Alles Lug und Trug
==================

Vor einiger Zeit leistete ich in einem Landesministerium ein 
IT-Praktikum ab. Dort gab es einen promovierten und einen anderen MA: 
Beide IT-Sicherheitsexperten. Meine Büro-MA waren Quereinsteiger bis auf 
eine Ausnahme: Ein FH Absolvent für die schweren Windows-Admin-Aufgaben 
war auch noch dabei. In der Morgenrunde zitierte ich das Merkblatt 
"Alles Lug und Trug" aus Graz. Inhalt: Betrüger spionieren zunächst eine 
Firma aus und schicken dann Rechnungen mit falscher Kontonummer. 
Krankenstand war stets hoch und kurze Zeit später war der FH-Kollege 
auch noch krank. In einem seiner Krank-Tage kamen falsche Rechnungen an 
diesen oder jenen Beamten - bis dann schließlich der Sammelverteiler 
feuerte. Am letzten Freitag Mittag meines Praktikums erfuhr ich, dass es 
für mich nur noch mit 6 Monaten Befristung weitergehen sollte. Darauf 
beschwerte ich mich wegen untreuen Umgang mit Steuergeldern... Sie 
machen dann immer "Fahrstuhl" (in meinem Haus fällt einmal in mehrere 
Jahren der Fahrstuhl für längere Zeit aus, auch wenn ich mal umgezogen 
bin). Eine Runde sozusagen für alle gehbehinderten Nachbarn.

Neuerdings bucht mich die Hochschule RheinMain (angewandte 
Wissenschaften) direkt beim Arbeitgeberservice. Das coole daran: Die 
Auswahlkommission fragt jedesmal: "Warum haben Sie sich beworben?" 
Zuletzt ging es um die Verlegung von LAN-Kabel und um "Ausleuchtung". 
IT-Sicherheits-Verantwortlicher dort ist ein Dipl. Physiker den die FH 
logischerweise nicht selbst ausbilden kann. Seine E-Mail-Autoresponse 
sagte mir dann: "Ruf das Helpdesk an, denn ich bin bis 11.9. (= Ende der 
Bewerbungsfrist) nicht erreichbar". (Als Ansprechpartner in der 
Stellenaussprechung mit Name, Telefon und Email selbst angegeben). Im 
Helpdesk ging um 10:00 Uhr morgens natürlich auch keiner mehr ran.

=== Danke für das Thema als Steilvorlage ===

Penetrationstester schrieb:
> und die Bezahlung ist auch nicht völlig unfair.

Genaue Zahlen bitte, diese Aussage ist mir zu schwammig.

Ich halte es für ein Gerücht mit IT-Security pauschal besser bzw. mehr 
Geld zu verdienen als mit Softwareentwicklung IN einem IGM-Konzern. Eher 
das Gegenteil dürfte i.d.R. der Fall sein:

"IT" an sich ist für fast alle Firmen, die nicht gerade Google oder 
Amazon heißen, erstmal nur ein "notwendiges Übel", das nichts zur 
Wertschöpfung beiträgt. Sie muss halt da sein und funktionieren, genauso 
wie die Strom- und Wasserversorgung. Insbesondere Controller haben diese 
Sichtweise und lagern alles IT-beziehbare an irgendwelche externen 
Dienstleister aus, ähnlich wie Sicherheitsdienste oder Putzkolonnen.

"IT-Sicherheit" wird dabei immer vorausgesetzt. Niemand will unsichere 
IT, daher kann man für sichere IT keinen Aufpreis verlangen. Sicherheit 
ist zudem ein Prozess, kein Produkt. Damit ist es in einer großen Firma 
grundsätzlich eine zähe und bürokratische Angelegenheit ohne 
Erfolgsgarantie, die das Gegenteil vom Trend der agilen Methoden in der 
F&E repräsentiert und dort daher vor allen als "Bremse" bekannt ist.

Am besten fährt man wohl als externer  Berater in einem 
IT-Beratungsunternehmen. Dann reist man aber IMMER durch die Welt. 
Ansonsten vielleicht noch als Spezialexperte mit AT-Vertrag, für 
irgendein Spezialthema, das NICHT der IT untersteht sondern F&E!

Ingenieur schrieb:
> Penetrationstester schrieb:
> und die Bezahlung ist auch nicht völlig unfair.
>
> Genaue Zahlen bitte, diese Aussage ist mir zu schwammig.

Einstieg bei ca. 45k. Nach 3 Jahren können es 60k sein. Nach 8 Jahren 
auch über 74k fix.
Dafür, dass man unglaublich viel Spaß hat und sehr gute exits in der 
Industrie haben könnte (ca. 3 sinnvolle Headhunteranfragen im Monat, die 
letzte war 90k, Reisezeit = Arbeitszeit und 36 Tage Urlaub) finde ich 
die Bezahlung wie gesagt nicht unfair und wenn man sich doch schlecht 
behandelt fühlt gibt es andere Optionen.
IGM-Unternehmen suchen ja auch in dem Bereich.
Diese Zahlen sind übrigens nicht  hochgestapelt.

Was ist dein Hintergrund? ITsec Master aus Bochum oder generische 
Informatik einer anderen Uni? Was hattest du vorher für Erfahrungen? 
CTFs, veröffentlichte Sicherheitslücken, Bug Bounties auf HackerOne, 
etc.?

Was passiert, wenn die Firma für eine von dir gefundene Lücke eine Bug 
Bounty erhält? Feuchter Händedruck, (Teil der) Bug Bounty wird 
durchgereicht?

Penetrationstester schrieb:
> Headhunteranfragen im Monat, die letzte war 90k

Das kann auch kleines Schmerzensgeld sein? Man sollte die Bedingungen 
kennen. Tag und Nacht und überall macht nicht ewig Spaß.

oszi40 schrieb:
> Penetrationstester schrieb:
> Headhunteranfragen im Monat, die letzte war 90k
>
> Das kann auch kleines Schmerzensgeld sein? Man sollte die Bedingungen
> kennen. Tag und Nacht und überall macht nicht ewig Spaß.

Eben, das ist dann Schmerzensgeld. Ich lege auch sehr viel Wert auf 
geregelte Arbeitszeiten und möglichst keine Dienstreisen.

Carter Karlo schrieb:
> Was ist dein Hintergrund? ITsec Master aus Bochum oder generische
> Informatik einer anderen Uni? Was hattest du vorher für Erfahrungen?
> CTFs, veröffentlichte Sicherheitslücken, Bug Bounties auf HackerOne,
> etc.?
>
> Was passiert, wenn die Firma für eine von dir gefundene Lücke eine Bug
> Bounty erhält? Feuchter Händedruck, (Teil der) Bug Bounty wird
> durchgereicht?

Bugbounties bekommt man zu 100%. Habe auch schon ein paar Advisories 
veröffentlicht.
Vorwissen und Interesse war da, das meiste hab ich aber im Job gelernt.

> Am besten fährt man wohl als externer  Berater in einem
> IT-Beratungsunternehmen.

Schon falsch, weil:

> Dann reist man aber IMMER durch die Welt.

Als Selbstständiger kann man Aufträge auch mal ablehnen.
Dann arbeitet man ein Vierteljahr und hält den Rest des
Jahres einen geruhsamen Winterschlaf.

Wer nun aber partout den dritten Daimler und noch einen Tesla
in der Garage will, muss halt knüppeln.

Kriseninterventionsspezialist schrieb:
> einen geruhsamen Winterschlaf

IT ist eine schnell verderbliche Ware. Gemüsehandel ist gemütlicher. :-)

> IT ist eine schnell verderbliche Ware

Naja, mal sind die Knöpfe rot und dann wieder blau.
Aber es sind noch immer selben.

Eine gewisse Flexibilität wird natürlich vorausgesetzt.

Und das Wasser bleibt sowieso das selbe womit gekocht wird.

Stimmt es eigentlich, dass einem der Rückweg versperrt ist, wenn man als 
Softwareentwickler in die IT-Sicherheit wechselt?

Die Entwickler-Fähigkeiten wendet man ja meist nicht mehr an, sondern 
wird eher zum fachlichen Dünnbrettbohrer, der mit Buzzwords jongliert, 
wenn ich das so mitbekommen habe.

Ich denke dass das technische Niveau von Sicherheitsexperten sehr hoch 
ist und auch sein muss. Jedenfalls höher als beim 0815-Entwickler.

ellipticline schrieb:
> Ich denke dass das technische Niveau von Sicherheitsexperten sehr
> hoch ist und auch sein muss. Jedenfalls höher als beim 0815-Entwickler.

Sein müsste. In dieser Branche tummeln sich leider sehr viele 
Schwätzer und Blender.

Mit dem Wissen wächst der Zweifel (daß heute einer ALLES wissen kann).

Was macht ein Consultant im Bereich Informationssicherheit denn 
eigentlich so, von Tag zu Tag?

F. B. schrieb:
> Ingenieur schrieb:
> Sein müsste. In dieser Branche tummeln sich leider sehr viele Schwätzer
> und Blender.
>
> In der gesamten IT tummeln sich die Schwätzer und Blender.
>
>

Dann muss ich unbedingt in die IT wechseln

> F. B. schrieb:

> > Ingenieur schrieb:
> > Sein müsste. In dieser Branche tummeln sich leider sehr viele Schwätzer
> > und Blender.

> In der gesamten IT tummeln sich die Schwätzer und Blender.

Nicht nur dort !