Hallo zusammen, im Moment befinde ich mich am Anfang meines Master Infromatik Studiums und nach mehreren Semestern als Werksstudent in der Softwareentwicklung möchte ich mich etwas umorientieren. Am meisten im Studium haben mich die Themen Netwerkttechnik und IT Security interessiert und ich habe demenstprechend mein Studium in die Richtung ausgerichtet. Jetzt bin ich auf der Suche nach einem Werksstudentenjob in Richtung IT Security. Wenn ich mir die Stellenanzeigen aber anschaue habe ich das Gefühl dass überall, selbst bei Werksstudentenstellen nur Profis gesucht werden. Mir ist klar dass vieles davon nur Wünsche seitens des Arbeitgebers anstatt verbindliche Skills sind aber irgendwie wirk es trotzdem einschüchternd. Wie sollte ich vorgehen? Einfach mal bewerben und dann schauen oder werde ich da sofort ausgelacht? Wie habt ihr den Einstieg in die IT Security gefunden? Viele Grüße und einen angenehmen Rest Sonntag noch :)
> Einfach mal bewerben und dann schauen
In einem Fallbeispiel darfst du dann 20 Arteitstage a 8.5 h im Monat,
Patche von MS pruefen und fuer die interne Verwendung freigeben.
Rutscht dir was durch, was Probleme macht, gibt es Anpfiff.
Bist du zu langsam, gibt es ... na rate mal ... genau.
Hoert sich doch spannend an...
Motopick schrieb: > Hoert sich doch spannend an... Wie üblich hängt es von Einzelfall ab. Ob man das von dir skizzierte kleine Rädchen in einem riesigen Getriebe mit mehr Häuptlingen als Indianern ist. Oder ob man mit der Zeit diesen Bereich wesentlich mitgestaltet, weil man nicht einer von Hunderten mit dem gleichen Profil ist. Die Chancen sind jedenfalls gross. Wer freilich vor sachlicher Verantwortung Angst hat, ist da falsch.
:
Bearbeitet durch User
Flo schrieb: > Wie sollte ich vorgehen? Mach die einschlägigen Zertifizierungen, ohne die bist du in dem Bereich nichts.
Herbert B. schrieb: > Mach die einschlägigen Zertifizierungen, ohne die bist du in dem Bereich > nichts. Wenn man anfängt, kann das auch Teil der ersten Jahre sein. Zum Experten wird man nicht geboren, schon gar nicht bei diesem Thema. Auch wenn die Unternehmen das gerne hätten.
> In einem Fallbeispiel aendert sich > mit der Zeit hoechstens die Farbe der Bueromoebel. In kleinen und mittleren Unternehmen (nach deutschen Massstaeben), ist IT-Security nur ein negativer Kostenfaktor. Das wird der Besetzer einer entsprechenden Stelle sicher bemerken. Und in groesseren und grossen Unternehmen wuerde "Mitgestaltung" auch wegen fehlender Kenntnis der mittel- und langfristigen Planung und Budgetierung kein Selbstlaeufer werden.
Motopick schrieb: > ist IT-Security nur ein negativer Kostenfaktor. Exakt so lange, bis die Einschläge näher rücken und Chef merkt, dass sein Laden der nächste sein könnte, der ein paar unproduktive Monate oder alternativ eine hübsche Summe Erpressungsgeld einrechnen muss. Das spricht sich nämlich schnell herum, und zwar genau auf dieser Ebene. Dann sind langfristige Budgetplanungen plötzlich irrelevant, es ist Geld da, alte Gewohnheiten können aufgebrochen werden.
:
Bearbeitet durch User
Flo schrieb: > habe ich das Gefühl dass überall, selbst bei Werksstudentenstellen > nur Profis gesucht werden. Ja den Eindruck habe ich auch. Vermutlich haben die Firmen kein Personal und keine Zeit, Nachwuchs auszubilden. Jedenfalls habe ich es bisher stets so erlebt. > Wie sollte ich vorgehen? > werde ich da sofort ausgelacht? IT Sicherheitsexperte zu sein erfordert zig Jahre Erfahrung und permanente Fortbildung. Wenn du noch keine 50 Jahre alt bist, dann mache dich nicht lächerlich, dich auf so eine Stelle zu bewerben. > Wie habt ihr den Einstieg in die IT Security gefunden? Vorab-Info: Zu meiner Zeit hatte Vodafone keine Software selbst entwickelt. Alles wurde von externen Firmen gekauft und dann selbst betrieben. Ich hatte bei Vodafone Tools geschrieben, die Statistiken grafisch aufbereiteten (für "die da oben"). Darauf baute ich eine Überwachung auf, die verdächtige Werte automatisch erkannte, bevor Kunden genervt anriefen um uns zu sagen, wie lange bei uns dies und das schon ausgefallen sei. Als dann eine Abteilung zur Entwicklung von Protoypen und Testballons gegründet wurde, bekam ich die Gelegenheit, dorthin zu wechseln. Alles Weitere war Learning by Doing. Aus den meisten Prototypen wurden permanente Projekte, die wir dann auch weiter pflegten. Ich hatte Unterstützung durch zwei großartige erfahrene Freelancer, die in dieser Zeit Dauergast im Hause waren.
Stefan F. schrieb: > Ja den Eindruck habe ich auch. Vermutlich haben die Firmen kein Personal > und keine Zeit, Nachwuchs auszubilden. Jedenfalls habe ich es bisher > stets so erlebt. Fachkräftemangel. Nicht der beliebteste Begriff im Forum, aber auf diesen Bereich trifft er zu, und zwar sowas von. Wenn man berufsbedingt ein wenig mithört, was so los ist, dann kommen mittlerweile die Einschläge in D wie in der Ukraine, nur nicht so tödlich. Natürlich wird gesucht. Man braucht eigentlich die Experten, mangels Zeit. Aber die fallen nicht von den Bäumen, sind ausserdem teuer. Was auch einschlägig vorgebildeten Frischlingen eine Chance einräumt, sich beispielsweise im Zusammenhang mit gemieteter Unterstützung durch beauftragte Sicherheitsfirmen entwickeln zu können. Aber auch solche Sicherheitsfirmen könnten auf personelle Erweiterung aus sein.
(prx) A. K. schrieb: > Fachkräftemangel. Nicht der beliebteste Begriff im Forum, aber auf > diesen Bereich trifft er zu, und zwar sowas von. Allerdings sind die betroffenen Firmen keine armen Opfer, sondern die Verursacher. In den letzten 30 Jahren hat ja fast keine Firma Softwareentwickler ausgebildet.
Stefan F. schrieb: > Allerdings sind die betroffenen Firmen keine armen Opfer, sondern die > Verursacher. In den letzten 30 Jahren hat ja fast keine Firma > Softwareentwickler ausgebildet. Mit Softwareentwicklung hat das Thema IT Security allenfalls sehr am Rande zu tun. Es geht z.B. um IT-Strukturen, Anwenderverhalten, Erfassung und Dokumentation.
(prx) A. K. schrieb: > Mit Softwareentwicklung hat das Thema IT Security allenfalls sehr am > Rande zu tun. Es geht z.B. um ... Ja stimmt, aber auch da habe ich in den letzten 30 Jahren keinen einzigen Ausbildungsplatz gesehen.
(prx) A. K. schrieb: > Aber auch solche Sicherheitsfirmen könnten auf personelle Erweiterung > aus sein. PS: Ist nur eine Vermutung, aber Blindbewerbungen bei solchen Unternehmen sehe ich gerade jetzt nicht als absurd an, wenn man von der Ausbildung her etwas vorweisen kann.
Stefan F. schrieb: > Ja stimmt, aber auch da habe ich in den letzten 30 Jahren keinen > einzigen Ausbildungsplatz gesehen. Ich kenne keinen Ausbildungszweig als Fachinformatiker speziell dafür. Das läuft entweder über akademische Ausbildung wie beim TE. Oder als Fachinformatiker Systemintegration mit viel Talent und Entwicklung in diese Richtung. Oder als Quereinsteiger von überall her - ich bin in der Branche auch schon einem ausgebildeten Journalisten begegnet.
:
Bearbeitet durch User
Stefan F. schrieb: > Wenn du noch keine 50 Jahre alt bist, dann mache > dich nicht lächerlich, Auch bei Stellen die explizit für Werksstudenten ausgeschrieben sind?
Flo schrieb: >> Wenn du noch keine 50 Jahre alt bist, dann mache >> dich nicht lächerlich, > Auch bei Stellen die explizit für Werksstudenten ausgeschrieben sind? Schwierig zu beantworten. Frage doch mal nach, ob du Unterstütztung von erfahrenen IT Experten bekommen wirst. Also ob es darum geht, vorhandenen Experten zu helfen bzw. zu einem Experten ausgebildet zu werden. Wenn du dort der einzige IT Security Mann sein wirst, dann lass es besser.
Im Bereich der IT-Security gibt es keine breite in der Ausbildung. Eine Basis wären Programmierbasiskenntnisse von Assembler bis zu höheren Programmiersprechen. So interessante Bücher, wie von Jan Travis, waren vor über 15 Jahren nicht mehr hier zu bekommen, die eine weitere Basis wären. Meiner bescheidenen Ansicht nach reduziert sich daher das Angebot auf Personen, die sich jahrelang im Darknet tummelten und wieder zurückfanden oder Personen, die durch berufliche Aufgaben die Chance hatten bei den seltenen Firmen entsprechende Kurse belegen zu können. Nach solche Firmen würde ich mit den Schlagworten "Fokus auf Informationssicherheit", "Audits" & "Pentests" im Internet suchen.
:
Bearbeitet durch User
> vorhandenen Experten zu helfen Womit wir genau wieder beim > In einem Fallbeispiel waeren. In "akuten" Bedarfsfaellen, werden dann einfach Externe eingekauft. Je Groesser das Unternehmen, umso Mehr und Viel. Durch die wird dann so viel "Security" ins Unternehmen gekippt, dass sich kaum noch etwas ruehrt. :) Die interne IT ist, und waere ohnehin bereits so weit abgehaengt, dass sie keine sinnvollen Beitraege leisten koennte. Als Externer macht man dann seinen Job, und ist wenn alles wieder einigermassen im Lot ist, wieder weg. Man sollte es sich gut ueberlegen in diesem Bereich zu arbeiten.
Flo, schau Dir bitte mal diese Firma hier an: https://sec-consult.com/de/blog/detail/top-5-der-simpelsten-und-effektivsten-massnahmen-um-hackerangriffen-vorzubeugen/ Die suchen auch Praktikanten und sollen nen guten Umgang mit den Angestellten pflegen. Dafür sind sie sogar zertifiziert. ;-) Schau Dich auf deren Site um! Dein Namensvetter, der in Stralsund ein Hackerspace betreibt, arbeitet bei der Firma. Das Hackerspace hat die Seite WWW.port39.de vielleicht kontaktierst Du den mal. mfg
> die sich jahrelang im Darknet tummelten und wieder > zurückfanden oder Personen, die durch berufliche Aufgaben die Chance > hatten bei den seltenen Firmen entsprechende Kurse belegen zu können. Solche Meinungen regen eher zum Lachen an. Als Absolvent einer Hochschule sollte man selbst in der Lage sein, entsprechendes Wissen zu erwerben und ggfs. sogar im eigenen Labor zu testen und evaluieren. Der Ruf nach "Lehrgaengen" resultiert wohl aus der Vollkaskomentalitaet deutscher Arbeitskraefte. Es kommt aber gut, wenn man in einem entsprechenden Projektgespraech darauf verweisen kann, man koenne eine Firewall auch auf einem FPGA implementieren. Wenn der Kunde dafuer genug Geduld hat.
Dieter D. schrieb: > Im Bereich der IT-Security gibt es keine breite in der Ausbildung. Eine > Basis wären Programmierbasiskenntnisse von Assembler bis zu höheren > Programmiersprechen. Jetzt wäre es vielleicht an der Zeit, den Begriff zu klären. Für mein Verständnis von IT-Security handelt es sich um jene Richtung, die Sicherheit in Organisationen herstellen und bewahren soll. Programmierkenntnis ist dafür nicht entscheidend. Die vom TE erwähnte Netzwerktechnik hingegen schon. An was dachtest du dabei? Hacker, ob weisser oder schwarzer Hut? Code Auditor? Gehört auch dazu, scheint der TE aber nicht zu meinen.
:
Bearbeitet durch User
Leute ihr mit euren nostaligem Hackerwissen seid alle auf dem Holzweg. Ohne Zertifkate geht in der Branche gar nix. Wer da mit irgendwelchem selbst angelerntem Hackerwissen daherkommt hat den Schuss noch nicht gehört, genauer mehrere Schüsse. IT Sec im kommerziellen Umfeld ist was anderes, ohne entspr. Zertifikate wirste nicht auf Kunden losgelassen. Da hilft auch keine Werkstudentenjob, setzt dich hin und bereite dich auf entspr. Zertifizierungen vor. Wer die nicht hat bekommt keinen Fuss in seriöse Firmen, die Zeiten wo selbsternannten Securitykasper gebucht wurden sind schon lange vorbei. Da darfste nicht mal mehr als hirnloser Penetrationtester ran.
Motopick schrieb: > In "akuten" Bedarfsfaellen, werden dann einfach Externe eingekauft. Wenn der Krisenfall eingetreten ist, benötigt man Externe. Interessant ist das Thema aber schon lange vorher. Weil dazu gehört, Schwachstellen aller Art zu finden und abzustellen. Man muss ja nicht alle Fenster und Türen dauerhaft offen stehen lassen. Und dazu gehören dann Interne. Es sei denn, man will die IT gleich komplett outsourcen. > Die interne IT ist, und waere ohnehin bereits so weit abgehaengt, > dass sie keine sinnvollen Beitraege leisten koennte. Die kennen beispielsweise die Strukturen. Haben all das im Kopf, was keiner dokumentiert hat. Mindestens diesen Beitrag können sie sehr wohl leisten.
:
Bearbeitet durch User
Motopick schrieb: > Der Ruf nach "Lehrgaengen" resultiert wohl aus der Vollkaskomentalitaet > deutscher Arbeitskraefte. Wenn es gut läuft, transportieren Lehrgänge die Erfahrungen anderer Leute. Das sei sinnlos, sei Vollkasko? Ich meine nicht.
:
Bearbeitet durch User
> Wenn es gut läuft, transportieren Lehrgänge die Erfahrungen anderer > Leute. Das sei sinnlos, sei Vollkasko? Ich meine nicht. Das ist so, als wenn man als Beifahrer in einem Taxi zu einem Zielort gefahren wird. Man sieht den Weg, kann ihn auch auf einem Navi verfolgen, aber wenn selber fahren muss, findet man ihn nicht. Ich hatte mal einen Kunden im Ort X, den ich vor 20 Jahren einmal persoenlich beehren durfte. Dann, 10 Jahre spaeter durfte ich ihn wieder mit meiner Anwesenheit erfreuen. Und, es war ueberhaupt kein Problem, den mittlerweile ca. 10 Jahre zurueckliegenden Weg wiederzufinden. Auch ohne Karte oder Navi. In einem Lehrgang wird, schon der Kosten wegen, alles in kurzer Zeit und epischer Breite einmal angerissen, dann womoeglich sogar noch Zusammenhaenge aufgezeigt und optimalerweise auch praktisch in Uebungen vom Teilnehmer nachvollzogen. Und nur ganz gelegentlich, laesst ein Dozent auch eigene Erfahrungen einfliessen, die ueber das Lehrgangspensum hinausgehen. Selbst erworbenens Wissen sitzt in der Praxis. Da muss man allenfalls mal Details nachschlagen. Lehrgangswissen hat dagegen die Halbwertzeit einer reifen Melone.
Motopick schrieb: > Das ist so, als wenn man als Beifahrer in einem Taxi zu einem > Zielort gefahren wird. Man sieht den Weg, kann ihn auch auf einem > Navi verfolgen, aber wenn selber fahren muss, findet man ihn nicht. Konsequent gedacht, müsstest du damit auch Schulen aller Art für überflüssig halten. Oder worin besteht der Unterschied? Ich verwies nicht ohne Grund auf "wenn es gut läuft". Das bedeutet dann nämlich auch, dass die Kommunikation im Lehrgang in beiden Richtungen stattfindet. Man nicht einfach das ganze auf sich niedergehen lässt und gleich wieder vergisst, sondern es versteht, mitdenkt und fragt. Und das bringt sehr wohl etwas.
(prx) A. K. schrieb: > Für mein Verständnis von IT-Security handelt es sich um jene Richtung, ... Es kommt darauf an, wo man positioniert ist. Ob man sich um die Erstellung von IT-Sicherheitskonzepten kümmert, die organisatorischen Vorgaben versucht einzuführen, die Systeme härtet oder Forensik zur Wiederherstellung betreibt. (prx) A. K. schrieb: > Wenn der Krisenfall eingetreten ist, benötigt man Externe. Und da werden nicht Papiertiger (Schreiberlinge für IT-Sicherheitskonzepte) benötigt, sondern IT-Spezialisten. Insbesondere wenn es sich um individuelle Befälle handelt.
> Konsequent gedacht, müsstest du damit auch Schulen aller Art für > überflüssig halten. Oder worin besteht der Unterschied? In der Schule habe ich "Schoenschreiben" gelernt. Mit dem Fueller! Lesen konnte ich schon vorher. Das war wohl der Unterschied. Ich kann auch heute noch einigermassen leserlich fuer andere schreiben. Das heute ein beachtlicher Teil der Schueler, auch in 4. Klasse weder sinnverstehend Lesen noch Schreiben kann, ist fuer die die Schule wohl in einem anderen Sinne dann doch ueberfluessig. Ich habe zu meinen Angestelltenzeiten ganz ueberwiegend Lehrgaenge besucht, deren Inhalte mir aus eigener praktischer Arbeit bereits umfassend und tiefgruendig :) bekannt waren. Der Zweck war reduziert auf das "Erlangen des Zertifikats". Damit konnte der, der die Lehrgaenge bezahlt hat, naemlich bessere Konditionen fuer sich erzielen. Und wie ich in den Praktika feststellen durfte, war der Lehrgangsinhalt an den uebrigen Teilnehmern recht spurlos vorbeigezogen. Die waren von ihren Firmen ebenfalls mit dem Ziel des Zertifikats zu diesen Lehrgaengen geschickt worden. Ob das bei ihnen geklappt hat, weiss ich nicht. Aber vermutlich haetten sie, ohne den besuchten Lehrgang, sich aus eigenem Antrieb nie mit Theorie und Praxis des Lehrgangsthemas auseinandergesetzt.
(prx) A. K. schrieb: > Dieter D. schrieb: >> Im Bereich der IT-Security gibt es keine breite in der Ausbildung. Eine >> Basis wären Programmierbasiskenntnisse von Assembler bis zu höheren >> Programmiersprechen. > > Jetzt wäre es vielleicht an der Zeit, den Begriff zu klären. Für mein > Verständnis von IT-Security handelt es sich um jene Richtung, die > Sicherheit in Organisationen herstellen und bewahren soll. > Programmierkenntnis ist dafür nicht entscheidend. Die vom TE erwähnte > Netzwerktechnik hingegen schon. > > An was dachtest du dabei? Hacker, ob weisser oder schwarzer Hut? Code > Auditor? Gehört auch dazu, scheint der TE aber nicht zu meinen. So ganz genau was ich noch nicht was ich beim Thema ITSec am spannendsten finde. Bis jetzt hatte ich nur im akademischen Bereich damit zu tun und hab Vorlesungen wie Security Engineering (hauptsächlich auf Programmentwicklung bezogen), Netzwerksicherheit und den allgemeinen Kurs IT Sicherheit besucht. In praktischeren Kursen in Richtung Netzwerktechnik haben wie aber auch viele bekannte Attacken nachgestellt, also Richtung Pentesting?Das fand ich auf jeden fall auch richtig interessant. Auch deshalb würde ich gerne mal als Werkstudent Erfahrungen sammeln um zu sehen welche Themen mir mehr liegen und mich am meisten interessieren.
Flo meinte: > Auch deshalb würde ich gerne mal als Werkstudent Erfahrungen sammeln um > zu sehen welche Themen mir mehr liegen und mich am meisten > interessieren. Na dann los, auf die Seite von Sec-Consult. Die Firma firmiert ja weltweit. die haben in Wien, Berlin, München u.s.w Niederlassungen. Es wäre schön, wenn Du hier dann mal posten könntest, was aus der Sache geworden ist. Auch wir wollen lernen. mfg
Netzwerksicherheit Software (und Hardware) ist genau das, was wir unter anderem machen. Unsere Studenten müssen noch keine Security-Experten sein, da erfolgt dann eine Druckbetankung vor Ort ;-). Kannst ja mal hier schauen https://jobs.secunet.com/
> https://jobs.secunet.com/ @TO: Wenn du einen Eindruck von den Produkten der Firma Secunet gewinnen willst, kann ich dir das hier empfehlen: https://persosim.secunet.com/ Die Entwicklung wurde vom BSI beauftragt und das BSI war auch federfuehren bei diesem Projekt.
Es gibt keine Security. Es ist nur eine Frage der Zeit wann man gehackt wird. Etwas was mal entwickelt wurde wird einfach weitergepflegt aber die Eintwicklung in anderen Bereichen ist schneller .... So wird die einfache Lücke gefunden und ausgenützt. z.B. Rowhammer bug der nicht in Software gefixt werden kann da es sich um physikalische Ladungsumladung handelt. Und jetzt machen wird die Strukturen noch kleiner .... Oder es muss massiv Geld welches nicht vorhanden ist ausgegeben werden um alles sicher zu machen. Wenn die Sicherheit auf die Spitze getrieben wird kommt folgendes Szenario heraus: Wie kann der Anwender noch mit dem so abgesicherten System noch interagieren, gar nicht da er ja als unsicheres Element nicht mehr zugelassen werden darf. Das System hat das Problem erkannt alle die mit EDV Systemen interagieren sind ein Sicherheitsrisiko. Das Sicherheitsrisiko ist immer der Mensch egal ob als Programmierer, Administrator oder Anwender. Der Chef kapiert davon fast gar nichts und lässt sich alles Mögliche aufschwatzen solange er noch genügend Gewinn macht. https://www.golem.de/news/versicherungsgesellschaft-cyberangriffe-bald-nicht-mehr-versicherbar-2212-170752.html
:
Bearbeitet durch User
> die Themen Netwerkttechnik und IT Security interessiert und ich habe > demenstprechend mein Studium in die Richtung ausgerichtet. Security ist ein extrem weites Feld. Strategische Security ist vermutlich ein Themenkranz, den Du noch überhaupt nicht am Radar hast. Aktuelle Kuh im Dorf, die in den kommenden Jahren einige Jobs beschaffen wird: Wirf "NIS2" in eine Suchmaschine. Operative Security, sei es der Umgang mit diversen Blinkenlight-Kist, "red teaming", etc. hat auch viel Spaß und Spannung zu bieten. Sei offen für alles und schau, was zu Dir passt. Weiterentwicklung ist möglich und wahrscheinlich.
Flo schrieb: > Mir ist klar dass vieles davon nur Wünsche seitens des > Arbeitgebers anstatt verbindliche Skills sind aber irgendwie wirk es > trotzdem einschüchternd. Was wird denn gewünscht - und was ist tatsächlich notwendig, bzw. Hausaufgabe?
Flo schrieb: > im Moment befinde ich mich am Anfang meines Master Infromatik Studiums Wechsel nach Bochum, mache einen M.Sc. IT-Security. Der Aufbaustudiengang ist zwar nur halb so gut wie der "echte" BSc/MSc Studiengang, aber immerhin sollte es Dir einen Fuß in die Tür verschaffen bei unbedarften künftigen Arbeitgebern. Ich hatte Lamerkommolitonen, welche den Aufbaustudiengang gemacht haben und nie irgendeine Programmiersprache gelernt haben. Die sind dann Consultants geworden... Praxistaugliches know-how musst Du Dir selbst aneignen. Fang an SW zu entwickeln oder zu zerstören, kauf Dir einen Chipwhisperer, lerne IDA Pro zu nutzen, etc.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.