Erfahrungen im Berufsfeld IT-Security

[Armer Kerl]

Hey,

wollte mal fragen wer von euch in der IT im Bereich "Security" arbeitet und welche Erfahrungen ihr bislang gemacht habt. Dass viele von euch in der IT sind habe ich schon mitbekommen.

Mich hat das Thema Sicherheit schon immer interessiert. Bin gerade im lezten Semester Bachelor Informatik und möchte dann den Master IT-Security an der TU Darmstadt machen.

 

Ich möchte in meinem Leben alle Teilgebiete der IT-Security mal machen. Angefangen von Penetrationtesting über IDS bis zur Forensik. Gerade im Bereich Reverse Engineering und Exploit Research hab ich noch einiges nachzuholen.

Meine Bachelorarbeit frisst ganz schön viel Zeit aber ansonsten les ich eigentlich immer wieder mal nen Fachbuch. Die Noten sind gut und das Interesse ist rießig. Habe mich für den "Karriereweg" entschieden.

Ich möchte ein absoluter Speizalist in etwas sein, dass nicht jeder kann.

 

Als Firma für den Berufseinstig habe ich mir die Syss als Ziel gesetzt. Recht kleine Firma, die aber wohl was von ihrem Handwerk versteht.

 

 

Was sind eure Erfahrungen? Was ist eure tägliche Arbeit? Könnt ihr Firmen empfehlen/abraten? Wie sieht es mit dem $ aus?

Bin mal gespannt ob jemand von euch in diesem "Randgebiet" arbeitet und sich zu Wort meldet. :-

[Mr. Jones]

Ich möchte in meinem Leben alle Teilgebiete der IT-Security mal machen.

Dann wirst du alle Teilgebiete nur mal kurz streifen ohne jeden Tiefgang.

 

Angefangen von Penetrationtesting über IDS bis zur Forensik. Gerade im Bereich Reverse Engineering und Exploit Research hab ich noch einiges nachzuholen.

Siehe oben. Intime Kenntnisse über den TCP/IP - Protokollstack und Firewalls bspw. - abseits vom simplen Port öffnen und schließen - und zusätzlich Kenntnisse bspw. im Shellcode schreiben oder Malware-Analysis erfordern auch noch intime Kenntnisse zum Thema PC.

 

Bin mal gespannt ob jemand von euch in diesem "Randgebiet" arbeitet und sich zu Wort meldet. :-

Das Thema ist zu speziell für ein Wertpapier-Forum. Ich denke, die Professoren und Dozenten im entsprechenden Studiengang werden da schon ein paar Adressen kennen bei denen du vor Arbeitsaufnahme mal vorstellig werden kannst.

 

Es grüßt: Knecht Rootrecht

[Armer Kerl]

Was machst du genau? Gibt es was, das dich in der Vergangenheit richtig weitergebracht hat?

[Mr. Jones]

Bin im öD (versandet) und spiele den IT-Generalisten für alles, in Zukunft wohl eher Richtung Linux-Server und was sonst noch anfällt im täglichen User-Dasein.

 

Richtig weiterbringen werden dich nur ordentliche Zertifizierungen für bestimmte Produkte (MS, Cisco, Linux, ...) und nicht notwendigerweise das bisschen, was man im Studium lernt.

 

Du wirst dich mMn. nach schon entscheiden müssen, was du willst: Entweder bspw. Malware-Analysis oder Pentesting, aber nicht alles gleichzeitig.

[Armer Kerl]

Naja noch bin ich ja am studieren. Bis zum Semester-Ende ist noch folgendes Buch geplant: http://www.amazon.de/Reversing-Secrets-Engineering-Eldad-Eilam-ebook/dp/B007032XZK/ref=sr_1_1/276-0900790-5774810?ie=UTF8&qid=1419272663&sr=8-1&keywords=reversing

[useno]

Falls du zwischen den Jahren noch nichts vor hast, schau doch beim 31C3 in Hamburg vorbei:

• Webseite: http://events.ccc.de/congress/2014/wiki/Main_Page
• Fahrplan / Talks: https://events.ccc.de/congress/2014/Fahrplan/

Da sind auf jeden Fall Vorträge und Leute aus allen Bereichen der IT Security. Nur naive Fragen wie "Ich will Security Exporte / Hacker werden, was muss ich tun?" solltest Du Dir verkneifen

 

 

[Armer Kerl]

Jou. Da bin ich am Start. Exkursion mit der Hochschule.

Bin zum ersten mal da. Gibt 1-2 Assemblys, an denen ich teilnehmen möchte. z. B. http://events.ccc.de/congress/2013/wiki/Assembly:25_Years_Attacks_on_Smartcards

[Kobil-Caan]

Nabend,

 

wie sieht es mit Erfahrungen im Bereich ITIL, cobit, ISO27000, o.ä. .. aus?

 

Irgendwelche Fremdsprachen im Bereich, Russisch, Japanisch oder Chinesisch (willst du in bestimmten Themengebieten auf dem laufenden sein, .. nuja irgendein translate tut es auch *g*)?

 

Schon selbst das ein oder andere Tool/Script in dem Bereich geschrieben?

 

Bezahlung als AN gut wenn die Firma (freie Wirtschaft) um der Wichtigkeit bescheid weiß und nicht nur in der Presse rumtönt .

 

Nicht alles was sinnvoll ist ist machbar und umgekehrt *g*.

 

Ansonsten gibt es tausende Dinge mit denen du dich beschäftigen kannst, aber wie mein Vorposter schon schrieb willste wirklich gut werden dann spezialisiere dich eher. Hmm jedenfalls je nach Talent, das musst du selbst wissen und andere Fragen die besser sind als du selbst.

 

Wenns es dir ums Geld geht (s)hit (a)nd (p)ain + security geht gut, ob man sowas machen will/muss für mich eher nicht siehe Abkürzung. Ich entschuldige mich schon jetzt bei allen IT-Consis und Co. . Ansonsten kannste davon ausgehen das im Bereich itsec und medical viel in den nächsten Jahren los ist.

 

Falls du was für deinen Namen tun willst mach bei dem ein oder anderen Wettbewerb mit oder suche nach Lücken in weitverbreiteten Programmen und veröffentliche.

 

Viel Spaß im Beruf wünsche ich.

 

Kobil-Caan

[Holgerli]

Irgendwelche Fremdsprachen im Bereich, Russisch, Japanisch oder Chinesisch (willst du in bestimmten Themengebieten auf dem laufenden sein, .. nuja irgendein translate tut es auch *g*)?

Echt? Kommentieren die Ihren Quellcode soviel besser als wir hier üblicherweise in Deutschland?

 

 

@Armer Kerl:

Spass beiseite: Ich würde mir einen kurzen(!) Überblick durch hineinschnuppern verschaffen und dann recht schnell festlegen was Dich interessiert und was überhaupt nicht (sorry, habe keine Ahnung von der Detailaufteilung bei Security deswegen nur so allgemein).

 

Man kann – wie Mr. Jones – als Generalist unterkommen und auch sein Auskommen haben aber ich für meinen Teil bin zur Überzeugung gekommen, dass es besser ist sich ein eingegrenztes Themengebiet (nur das Schlagwort „Security“ wäre mir definitiv schon zu weit gefasst) bzw. ein Produkt aussucht und dort dann 2 oder 3 Themengebiete als Experte besetzt. In der Literatur findet man Aussagen, dass man etwas 10 Jahre sehr intensiv gemacht haben muss um als Experte zu gelten. Aus meiner ganz persönlichen Erfahrung: Ja, dass stimmt. Ich bin jetzt knapp 7 Jahre in meinem Spezialgebiet dabei. Bei 70% der Sachen denke ich schon gar nicht mehr nach. Bei 20% der Sachen muss ich noch etwas knobeln aber habe zumindest eine Idee. Aber 10% der Probleme da sitze ich vor und ich bekomme graue Haare. Und mein Ziel ist hier ganz klar, dass Knobeln und wirkliche Probleme nur noch 10% ausmachen. Das macht meiner Meinung den Experten aus.

 

Und Du hast m.M.n. noch ein weiteres Problem: Gerade der Gegner im Bereich Security schläft nicht. Dein Leben wird nur noch aus kontinuierlicher Weiterbildung und jeden Tag was neues Lernen bestehen. Und das kann man nicht als „Universal-Dilettant“. Aber Du wirst in 10 Jahren eh in einem komplett anderen Bereich arbeiten, weil: Was in den 90ern die Bootblock-Viren waren, waren in den 2000ern die USB-Stick-Viren, sind heute Phishing-Mails und in 10 Jahren ???

[Kobil-Caan]

Irgendwelche Fremdsprachen im Bereich, Russisch, Japanisch oder Chinesisch (willst du in bestimmten Themengebieten auf dem laufenden sein, .. nuja irgendein translate tut es auch *g*)?

Echt? Kommentieren die Ihren Quellcode soviel besser als wir hier üblicherweise in Deutschland?

Das meinte ich zwar nicht, aber wenn ich da an so manche Erläuterung im Code denke die ich schon gesehen habe respektive nicht gesehen habe . Der Knaller war in irgend einem Teil der J2EE Spezi (JAX*), weiss nicht mehr genau. Jedenfalls stand da in etwa folgendes drin. (frei übersetzt)

Endlich läuft dieser Mist und die Qualität ist mir sowas von egal, sollte jemals jemand das hier lesen es tut mir leid ... das war ungefähr 1 Jahr nachdem SUN von Oracle geschluckt wurde.

 

grüße Kobil-Caan

[Armer Kerl]

Also das Studium fällt mir recht leicht, was daran liegt, dass ich davor ne Ausbildung Fachinformatiker Fachrichtung Anwendungsentwicklung gemacht hab. Ansonsten les ich halt auf heise/golem und den blog von Fefe. Seit nem viertel Jahr jetzt auch Finanz-Blogs wie der-privatanleger, timschaefermedia (oder so) und finanzwesir und hier im Forum. Höre Podcasts wie Logbuch Netzpolitik und die Freakshow (läuft gerade). Und eben hier und da ein Fachbuch. Vorteil sehe ich bei mir, dass ich schon in allem Erfahrungen habe: also Software/Hardware/Netzwerke. Auf SecurityTube hab ich mir n Haufen angeschaut (wlan pentesting, c, buffer overflow, shell code schreiben). Im Studium bin ich auch im Schwerpunkt Information Security.

Hab schon nen paar XSS/SQLi-Schwachstellen an unserer FH gefunden (alles was die fh selbst schreibt ist anfällig )...

 

Nabend,

 

wie sieht es mit Erfahrungen im Bereich ITIL, cobit, ISO27000, o.ä. .. aus?

 

Schon selbst das ein oder andere Tool/Script in dem Bereich geschrieben?

 

Kobil-Caan

 

Ich kann mit Linux umgehen und hab da schon hier und da ein Shell-Script geschrieben. Auf Powershell-Ebene auch. Bin jetzt seit 1,5 Jahren als Werkstudent bei einem IT-Dienstleister. Habe da eben unter anderem Linux gelernt und mach jetzt weng was mit Windows Servern. Meine Bachelorarbeit geht um Cloud (OpenStack vs Azure Pack).

 

Zertifizierungen habe ich noch keine. Ich habe mir aber vorgenommen welche von SecurityTube zu machen.

 

 

Endlich läuft dieser Mist und die Qualität ist mir sowas von egal, sollte jemals jemand das hier lesen es tut mir leid ..

grüße Kobil-Caan

Praxis

[Leisi]

Was würdet ihr sagen wie sehen die Chancen für Quereinsteiger aus?

Gibt es vielleicht gute Fortbildungen zu dem Thema, die einem sowas ermöglichen?

[Armer Kerl]

Kann ich nicht wirklich was zu sagen. Denke das ist wie in anderen Bereichen. Wenn du in der Praxis dich ordentlich weiterbildest geht das auch. Du hast in jedem Betrieb erst mal nen halbes Jahr Einführungszeit.

Solltest halt n sauberes Führungszeugnis haben

[Armer Kerl]

https://www.ing-diba.de/pw/ueber-uns/karriere/jobs/details/index_stellenangebot_11345.html

 

Kann man dafür schon 60k im Jahr verlangen? Bei dem Spezialgebiet + mehrjähriger berufserfahrung + Bank

[Holgerli]

Ich hab' Dir mal die wichtigen Punkte markiert:

 

• Studium der Informatik oder vergleichbare Ausbildung plus mehrjährige Berufserfahrung in genannter Position
• Sehr gute Praxiserfahrung mit IT-Security-Infrastrukturen und Lösungen
• Mehrjährige Projekterfahrung im Bereich IT-Security

Ich weiss, nach dem Studium dachte ich auch, dass ich alles weiss. Aber dem war nicht so. M.M.n. kannst Du Dich als Junior bewerben und dann nicht mit 60k.

 

Aber wenn ich lese: Dabei finden Sie auf komplexe Fragen immer eine einfache Antwort. dann hoffe ich, dass nur ein dämlicher PR-Fuzzie über was geschrieben hat wovon er keine Ahnung hat ansonsten: Ganz schnell die Bank wechseln.

[Armer Kerl]

Die Verkäufer nerven eh überall...Ich hab nich von mir geredet sondern einem, der den Anforderungen entspricht.

[42long]

Am 23.12.2014 um 10:56 von Leisi:

Was würdet ihr sagen wie sehen die Chancen für Quereinsteiger aus?

Gibt es vielleicht gute Fortbildungen zu dem Thema, die einem sowas ermöglichen?

Servus,

die Frage würde mich auch interessieren. Ist hier vielleicht aber nicht die richtige Anlaufstelle. 

 

Kennt jemand vielleicht ein Internet-Cybersecurity-Forum bzw. ein Cybersecurity-Forum (muss nicht deutschsprachrig sein), wo man sich diesbezüglich mal ausführlich austauschen könnte?

 

Servus

[anditft]

Könnte auch meetups mit Fachvorträgen zu dem Thema empfehlen!