Forum: Ausbildung, Studium & Beruf Einstieg in die IT Security

Flo schrieb:
> Wie sollte ich vorgehen? Einfach mal bewerben und dann schauen

Ebendies.

> Einfach mal bewerben und dann schauen

In einem Fallbeispiel darfst du dann 20 Arteitstage a 8.5 h im Monat,
Patche von MS pruefen und fuer die interne Verwendung freigeben.

Rutscht dir was durch, was Probleme macht, gibt es Anpfiff.
Bist du zu langsam, gibt es ... na rate mal ... genau.

Hoert sich doch spannend an...

Motopick schrieb:
> Hoert sich doch spannend an...

Wie üblich hängt es von Einzelfall ab. Ob man das von dir skizzierte 
kleine Rädchen in einem riesigen Getriebe mit mehr Häuptlingen als 
Indianern ist. Oder ob man mit der Zeit diesen Bereich wesentlich 
mitgestaltet, weil man nicht einer von Hunderten mit dem gleichen Profil 
ist. Die Chancen sind jedenfalls gross. Wer freilich vor sachlicher 
Verantwortung Angst hat, ist da falsch.

Herbert B. schrieb:
> Mach die einschlägigen Zertifizierungen, ohne die bist du in dem Bereich
> nichts.

Wenn man anfängt, kann das auch Teil der ersten Jahre sein. Zum Experten 
wird man nicht geboren, schon gar nicht bei diesem Thema. Auch wenn die 
Unternehmen das gerne hätten.

> In einem Fallbeispiel
aendert sich
> mit der Zeit
hoechstens die Farbe der Bueromoebel.

In kleinen und mittleren Unternehmen (nach deutschen Massstaeben),
ist IT-Security nur ein negativer Kostenfaktor.
Das wird der Besetzer einer entsprechenden Stelle sicher bemerken.

Und in groesseren und grossen Unternehmen wuerde "Mitgestaltung"
auch wegen fehlender Kenntnis der mittel- und langfristigen Planung
und Budgetierung kein Selbstlaeufer werden.

Motopick schrieb:
> ist IT-Security nur ein negativer Kostenfaktor.

Exakt so lange, bis die Einschläge näher rücken und Chef merkt, dass 
sein Laden der nächste sein könnte, der ein paar unproduktive Monate 
oder alternativ eine hübsche Summe Erpressungsgeld einrechnen muss. Das 
spricht sich nämlich schnell herum, und zwar genau auf dieser Ebene. 
Dann sind langfristige Budgetplanungen plötzlich irrelevant, es ist Geld 
da, alte Gewohnheiten können aufgebrochen werden.

Stefan F. schrieb:
> Ja den Eindruck habe ich auch. Vermutlich haben die Firmen kein Personal
> und keine Zeit, Nachwuchs auszubilden. Jedenfalls habe ich es bisher
> stets so erlebt.

Fachkräftemangel. Nicht der beliebteste Begriff im Forum, aber auf 
diesen Bereich trifft er zu, und zwar sowas von. Wenn man berufsbedingt 
ein wenig mithört, was so los ist, dann kommen mittlerweile die 
Einschläge in D wie in der Ukraine, nur nicht so tödlich. Natürlich wird 
gesucht.

Man braucht eigentlich die Experten, mangels Zeit. Aber die fallen nicht 
von den Bäumen, sind ausserdem teuer. Was auch einschlägig vorgebildeten 
Frischlingen eine Chance einräumt, sich beispielsweise im Zusammenhang 
mit gemieteter Unterstützung durch beauftragte Sicherheitsfirmen 
entwickeln zu können.

Aber auch solche Sicherheitsfirmen könnten auf personelle Erweiterung 
aus sein.

Stefan F. schrieb:
> Allerdings sind die betroffenen Firmen keine armen Opfer, sondern die
> Verursacher. In den letzten 30 Jahren hat ja fast keine Firma
> Softwareentwickler ausgebildet.

Mit Softwareentwicklung hat das Thema IT Security allenfalls sehr am 
Rande zu tun. Es geht z.B. um IT-Strukturen, Anwenderverhalten, 
Erfassung und Dokumentation.

(prx) A. K. schrieb:
> Aber auch solche Sicherheitsfirmen könnten auf personelle Erweiterung
> aus sein.

PS: Ist nur eine Vermutung, aber Blindbewerbungen bei solchen 
Unternehmen sehe ich gerade jetzt nicht als absurd an, wenn man von der 
Ausbildung her etwas vorweisen kann.

Stefan F. schrieb:
> Ja stimmt, aber auch da habe ich in den letzten 30 Jahren keinen
> einzigen Ausbildungsplatz gesehen.

Ich kenne keinen Ausbildungszweig als Fachinformatiker speziell dafür. 
Das läuft entweder über akademische Ausbildung wie beim TE. Oder als 
Fachinformatiker Systemintegration mit viel Talent und Entwicklung in 
diese Richtung. Oder als Quereinsteiger von überall her - ich bin in der 
Branche auch schon einem ausgebildeten Journalisten begegnet.

Stefan F. schrieb:
> Wenn du noch keine 50 Jahre alt bist, dann mache
> dich nicht lächerlich,

Auch bei Stellen die explizit für Werksstudenten ausgeschrieben sind?

Im Bereich der IT-Security gibt es keine breite in der Ausbildung. Eine 
Basis wären Programmierbasiskenntnisse von Assembler bis zu höheren 
Programmiersprechen. So interessante Bücher, wie von Jan Travis, waren 
vor über 15 Jahren nicht mehr hier zu bekommen, die eine weitere Basis 
wären.

Meiner bescheidenen Ansicht nach reduziert sich daher das Angebot auf 
Personen, die sich jahrelang im Darknet tummelten und wieder 
zurückfanden oder Personen, die durch berufliche Aufgaben die Chance 
hatten bei den seltenen Firmen entsprechende Kurse belegen zu können.

Nach solche Firmen würde ich mit den Schlagworten "Fokus auf 
Informationssicherheit", "Audits" & "Pentests" im Internet suchen.

> vorhandenen Experten zu helfen

Womit wir genau wieder beim
> In einem Fallbeispiel
waeren.

In "akuten" Bedarfsfaellen, werden dann einfach Externe eingekauft.
Je Groesser das Unternehmen, umso Mehr und Viel.
Durch die wird dann so viel "Security" ins Unternehmen gekippt,
dass sich kaum noch etwas ruehrt. :)
Die interne IT ist, und waere ohnehin bereits so weit abgehaengt,
dass sie keine sinnvollen Beitraege leisten koennte.
Als Externer macht man dann seinen Job, und ist wenn alles wieder
einigermassen im Lot ist, wieder weg.

Man sollte es sich gut ueberlegen in diesem Bereich zu arbeiten.

Flo, schau Dir bitte mal diese Firma hier an:
https://sec-consult.com/de/blog/detail/top-5-der-simpelsten-und-effektivsten-massnahmen-um-hackerangriffen-vorzubeugen/
Die suchen auch Praktikanten und sollen nen guten Umgang
mit den Angestellten pflegen. Dafür sind sie sogar zertifiziert. ;-)
Schau Dich auf deren Site um!

Dein Namensvetter, der in Stralsund ein Hackerspace betreibt,
arbeitet bei der Firma.
Das Hackerspace hat die Seite

WWW.port39.de

vielleicht kontaktierst Du den mal.

mfg

> die sich jahrelang im Darknet tummelten und wieder
> zurückfanden oder Personen, die durch berufliche Aufgaben die Chance
> hatten bei den seltenen Firmen entsprechende Kurse belegen zu können.

Solche Meinungen regen eher zum Lachen an.

Als Absolvent einer Hochschule sollte man selbst in der Lage sein,
entsprechendes Wissen zu erwerben und ggfs. sogar im eigenen
Labor zu testen und evaluieren.

Der Ruf nach "Lehrgaengen" resultiert wohl aus der Vollkaskomentalitaet
deutscher Arbeitskraefte.

Es kommt aber gut, wenn man in einem entsprechenden Projektgespraech
darauf verweisen kann, man koenne eine Firewall auch auf einem
FPGA implementieren. Wenn der Kunde dafuer genug Geduld hat.

Dieter D. schrieb:
> Im Bereich der IT-Security gibt es keine breite in der Ausbildung. Eine
> Basis wären Programmierbasiskenntnisse von Assembler bis zu höheren
> Programmiersprechen.

Jetzt wäre es vielleicht an der Zeit, den Begriff zu klären. Für mein 
Verständnis von IT-Security handelt es sich um jene Richtung, die 
Sicherheit in Organisationen herstellen und bewahren soll. 
Programmierkenntnis ist dafür nicht entscheidend. Die vom TE erwähnte 
Netzwerktechnik hingegen schon.

An was dachtest du dabei? Hacker, ob weisser oder schwarzer Hut? Code 
Auditor? Gehört auch dazu, scheint der TE aber nicht zu meinen.

Motopick schrieb:
> In "akuten" Bedarfsfaellen, werden dann einfach Externe eingekauft.

Wenn der Krisenfall eingetreten ist, benötigt man Externe. Interessant 
ist das Thema aber schon lange vorher. Weil dazu gehört, Schwachstellen 
aller Art zu finden und abzustellen. Man muss ja nicht alle Fenster und 
Türen dauerhaft offen stehen lassen. Und dazu gehören dann Interne. Es 
sei denn, man will die IT gleich komplett outsourcen.

> Die interne IT ist, und waere ohnehin bereits so weit abgehaengt,
> dass sie keine sinnvollen Beitraege leisten koennte.

Die kennen beispielsweise die Strukturen. Haben all das im Kopf, was 
keiner dokumentiert hat. Mindestens diesen Beitrag können sie sehr wohl 
leisten.

Motopick schrieb:
> Der Ruf nach "Lehrgaengen" resultiert wohl aus der Vollkaskomentalitaet
> deutscher Arbeitskraefte.

Wenn es gut läuft, transportieren Lehrgänge die Erfahrungen anderer 
Leute. Das sei sinnlos, sei Vollkasko? Ich meine nicht.

> Wenn es gut läuft, transportieren Lehrgänge die Erfahrungen anderer
> Leute. Das sei sinnlos, sei Vollkasko? Ich meine nicht.

Das ist so, als wenn man als Beifahrer in einem Taxi zu einem
Zielort gefahren wird. Man sieht den Weg, kann ihn auch auf einem
Navi verfolgen, aber wenn selber fahren muss, findet man ihn nicht.

Ich hatte mal einen Kunden im Ort X, den ich vor 20 Jahren
einmal persoenlich beehren durfte. Dann, 10 Jahre spaeter
durfte ich ihn wieder mit meiner Anwesenheit erfreuen.
Und, es war ueberhaupt kein Problem, den mittlerweile ca.
10 Jahre zurueckliegenden Weg wiederzufinden.
Auch ohne Karte oder Navi.

In einem Lehrgang wird, schon der Kosten wegen, alles in kurzer
Zeit und epischer Breite einmal angerissen, dann womoeglich
sogar noch Zusammenhaenge aufgezeigt und optimalerweise auch
praktisch in Uebungen vom Teilnehmer nachvollzogen.
Und nur ganz gelegentlich, laesst ein Dozent auch eigene Erfahrungen
einfliessen, die ueber das Lehrgangspensum hinausgehen.

Selbst erworbenens Wissen sitzt in der Praxis. Da muss man
allenfalls mal Details nachschlagen.
Lehrgangswissen hat dagegen die Halbwertzeit einer reifen Melone.

Motopick schrieb:
> Das ist so, als wenn man als Beifahrer in einem Taxi zu einem
> Zielort gefahren wird. Man sieht den Weg, kann ihn auch auf einem
> Navi verfolgen, aber wenn selber fahren muss, findet man ihn nicht.

Konsequent gedacht, müsstest du damit auch Schulen aller Art für 
überflüssig halten. Oder worin besteht der Unterschied?

Ich verwies nicht ohne Grund auf "wenn es gut läuft". Das bedeutet dann 
nämlich auch, dass die Kommunikation im Lehrgang in beiden Richtungen 
stattfindet. Man nicht einfach das ganze auf sich niedergehen lässt und 
gleich wieder vergisst, sondern es versteht, mitdenkt und fragt. Und das 
bringt sehr wohl etwas.

(prx) A. K. schrieb:
> Für mein Verständnis von IT-Security handelt es sich um jene Richtung, ...

Es kommt darauf an, wo man positioniert ist. Ob man sich um die 
Erstellung von IT-Sicherheitskonzepten kümmert, die organisatorischen 
Vorgaben versucht einzuführen, die Systeme härtet oder Forensik zur 
Wiederherstellung betreibt.

(prx) A. K. schrieb:
> Wenn der Krisenfall eingetreten ist, benötigt man Externe.

Und da werden nicht Papiertiger (Schreiberlinge für 
IT-Sicherheitskonzepte) benötigt, sondern IT-Spezialisten. Insbesondere 
wenn es sich um individuelle Befälle handelt.

> Konsequent gedacht, müsstest du damit auch Schulen aller Art für
> überflüssig halten. Oder worin besteht der Unterschied?

In der Schule habe ich "Schoenschreiben" gelernt. Mit dem Fueller!
Lesen konnte ich schon vorher.
Das war wohl der Unterschied. Ich kann auch heute noch einigermassen
leserlich fuer andere schreiben.

Das heute ein beachtlicher Teil der Schueler, auch in 4. Klasse
weder sinnverstehend Lesen noch Schreiben kann, ist fuer die
die Schule wohl in einem anderen Sinne dann doch ueberfluessig.

Ich habe zu meinen Angestelltenzeiten ganz ueberwiegend Lehrgaenge
besucht, deren Inhalte mir aus eigener praktischer Arbeit bereits
umfassend und tiefgruendig :) bekannt waren.
Der Zweck war reduziert auf das "Erlangen des Zertifikats".
Damit konnte der, der die Lehrgaenge bezahlt hat, naemlich bessere
Konditionen fuer sich erzielen.

Und wie ich in den Praktika feststellen durfte, war der Lehrgangsinhalt
an den uebrigen Teilnehmern recht spurlos vorbeigezogen.
Die waren von ihren Firmen ebenfalls mit dem Ziel des Zertifikats
zu diesen Lehrgaengen geschickt worden. Ob das bei ihnen geklappt
hat, weiss ich nicht.

Aber vermutlich haetten sie, ohne den besuchten Lehrgang, sich
aus eigenem Antrieb nie mit Theorie und Praxis des Lehrgangsthemas
auseinandergesetzt.

(prx) A. K. schrieb:
> Dieter D. schrieb:
>> Im Bereich der IT-Security gibt es keine breite in der Ausbildung. Eine
>> Basis wären Programmierbasiskenntnisse von Assembler bis zu höheren
>> Programmiersprechen.
>
> Jetzt wäre es vielleicht an der Zeit, den Begriff zu klären. Für mein
> Verständnis von IT-Security handelt es sich um jene Richtung, die
> Sicherheit in Organisationen herstellen und bewahren soll.
> Programmierkenntnis ist dafür nicht entscheidend. Die vom TE erwähnte
> Netzwerktechnik hingegen schon.
>
> An was dachtest du dabei? Hacker, ob weisser oder schwarzer Hut? Code
> Auditor? Gehört auch dazu, scheint der TE aber nicht zu meinen.

So ganz genau was ich noch nicht was ich beim Thema ITSec am 
spannendsten finde. Bis jetzt hatte ich nur im akademischen Bereich 
damit zu tun und hab Vorlesungen wie Security Engineering (hauptsächlich 
auf Programmentwicklung bezogen), Netzwerksicherheit und den allgemeinen 
Kurs IT Sicherheit besucht. In praktischeren Kursen in Richtung 
Netzwerktechnik haben wie aber auch viele bekannte Attacken 
nachgestellt, also Richtung Pentesting?Das fand ich auf jeden fall auch 
richtig interessant.

Auch deshalb würde ich gerne mal als Werkstudent Erfahrungen sammeln um 
zu sehen welche Themen mir mehr liegen und mich am meisten 
interessieren.

Flo meinte:

> Auch deshalb würde ich gerne mal als Werkstudent Erfahrungen sammeln um
> zu sehen welche Themen mir mehr liegen und mich am meisten
> interessieren.

Na dann los, auf die Seite von Sec-Consult.
Die Firma firmiert ja weltweit. die haben in Wien, Berlin, München u.s.w
Niederlassungen.
Es wäre schön, wenn Du hier dann mal posten könntest, was aus der Sache
geworden ist.  Auch wir wollen lernen.

mfg

Netzwerksicherheit Software (und Hardware) ist genau das, was wir unter 
anderem machen. Unsere Studenten müssen noch keine Security-Experten 
sein, da erfolgt dann eine Druckbetankung vor Ort ;-). Kannst ja mal 
hier schauen

https://jobs.secunet.com/

> https://jobs.secunet.com/

@TO:

Wenn du einen Eindruck von den Produkten der Firma Secunet
gewinnen willst, kann ich dir das hier empfehlen:

https://persosim.secunet.com/

Die Entwicklung wurde vom BSI beauftragt und das BSI war auch
federfuehren bei diesem Projekt.

Es gibt keine Security. Es ist nur eine Frage der Zeit wann man gehackt 
wird.
Etwas was mal entwickelt wurde wird einfach weitergepflegt aber die 
Eintwicklung in anderen Bereichen ist schneller .... So wird die 
einfache Lücke gefunden und ausgenützt.
z.B. Rowhammer bug der nicht in Software gefixt werden kann da es sich 
um physikalische Ladungsumladung handelt. Und jetzt machen wird die 
Strukturen noch kleiner ....

Oder es muss massiv Geld welches nicht vorhanden ist ausgegeben werden 
um alles sicher zu machen.
Wenn die Sicherheit auf die Spitze getrieben wird kommt folgendes 
Szenario heraus:
Wie kann der Anwender noch mit dem so abgesicherten System noch 
interagieren, gar nicht da er ja als unsicheres Element nicht mehr 
zugelassen werden darf. Das System hat das Problem erkannt alle die mit 
EDV Systemen interagieren sind ein Sicherheitsrisiko.

Das Sicherheitsrisiko ist immer der Mensch egal ob als Programmierer, 
Administrator oder Anwender. Der Chef kapiert davon fast gar nichts und 
lässt sich alles Mögliche aufschwatzen solange er noch genügend Gewinn 
macht.

https://www.golem.de/news/versicherungsgesellschaft-cyberangriffe-bald-nicht-mehr-versicherbar-2212-170752.html

> die Themen Netwerkttechnik und IT Security interessiert und ich habe
> demenstprechend mein Studium in die Richtung ausgerichtet.

Security ist ein extrem weites Feld.

Strategische Security ist vermutlich ein Themenkranz, den Du noch 
überhaupt nicht am Radar hast. Aktuelle Kuh im Dorf, die in den 
kommenden Jahren einige Jobs beschaffen wird: Wirf "NIS2" in eine 
Suchmaschine.

Operative Security, sei es der Umgang mit diversen Blinkenlight-Kist, 
"red teaming", etc. hat auch viel Spaß und Spannung zu bieten.

Sei offen für alles und schau, was zu Dir passt. Weiterentwicklung ist 
möglich und wahrscheinlich.

Flo schrieb:
> Mir ist klar dass vieles davon nur Wünsche seitens des
> Arbeitgebers anstatt verbindliche Skills sind aber irgendwie wirk es
> trotzdem einschüchternd.

Was wird denn gewünscht - und was ist tatsächlich notwendig, bzw. 
Hausaufgabe?

Flo schrieb:

> im Moment befinde ich mich am Anfang meines Master Infromatik Studiums
Wechsel nach Bochum, mache einen M.Sc. IT-Security. Der 
Aufbaustudiengang ist zwar nur halb so gut wie der "echte" BSc/MSc 
Studiengang, aber immerhin sollte es Dir einen Fuß in die Tür 
verschaffen bei unbedarften künftigen Arbeitgebern.

Ich hatte Lamerkommolitonen, welche den Aufbaustudiengang gemacht haben 
und nie irgendeine Programmiersprache gelernt haben. Die sind dann 
Consultants geworden...

Praxistaugliches know-how musst Du Dir selbst aneignen. Fang an SW zu 
entwickeln oder zu zerstören, kauf Dir einen Chipwhisperer, lerne IDA 
Pro zu nutzen, etc.