Weiter nach der Ausbildung oder: Wie komme ich zur IT-Security?

[jk86]

Hallo liebes Forum,

long time no see :)

Ich habe letzte Woche meine Abschlussprüfung bestanden und kann mich jetzt hochoffiziell Fisöse nennen ? sogar mit gutem Ergebnis - Note 2

Damit endete auch mein Arbeitsvertrag, seit November bin ich aktiv auf Jobsuche und habe derzeit einige Bewerbungen offen. Langfristig möchte ich in die IT-Sicherheit. Als erstes fiel mir da auf, dass fast immer ein Studium verlangt wird. Was Verschlüsselungen etc. angeht macht das auch völlig Sinn, da kann ich mit meiner Mittelstufenmathematik nicht lange mithalten. Die Stellen, die nicht explizit ein Studium voraussetzen, setzen fast immer eine mehrjährige Berufserfahrung voraus. Das macht ja auch Sinn, gerade weil man in der IT-Sicherheit beliebig tief in die Materie gehen kann und manche Probleme sicher erst versteht, wenn man sie aus der Praxis kennt. Der Direkteinstieg in die IT-Sicherheit ohne Studium oder Berufserfahrung ist scheinbar fast unmöglich.

Ich habe einen Arbeitgeber gefunden, bei dem es klappen könnte, aber ich bin auch etwas skeptisch weil mir das alles viel zu schnell geht (Dienstag Vorstellungsgespräch, Arbeitsvertragsmuster + Verschwiegenheitsvereinbarung heute zugeschickt bekommen) und ich über den AG fast nichts herausbekommen habe. Sicher muss man in der Branche verschwiegen sein können und wissen, wie man Daten schützt. Wenig von sich preiszugeben ist da die sicherste Variante. Aber einfach so bei einem Unternehmen einsteigen, das scheinbar völlig unbekannt ist, finde ich etwas shady. Ebenso, dass sie mich im Rahmen der Arbeitnehmerüberlassung in einer anderen Firma einsetzen würden. Zur Einarbeitung, sagte die Person beim Vorstellungsgespräch, wobei das mindestens sechs Monate sind. Besagte Firma habe ich noch nicht kennengelernt, da verhandeln wir noch über einen Termin.

Vielleicht arbeitet ja jemand in der Sicherheitsbranche, kennt seine Pappenheimer und kann mir eine Einschätzung geben? Die Namen der Firmen gibt's per PN.

Vielleicht sagt ihr aber jetzt schon: Ist ok oder Finger weg.

Ich habe ja noch andere Möglichkeiten, z.B. habe ich noch eine Stelle als Netzwerkplanerin angeboten bekommen, die ich mir demnächst anschaue. Das ist sicher auch nicht falsch, um die Netzwerkkenntnisse zu vertiefen, den CCENT/CCNA zu machen und von da aus mich weiter zu spezialisieren.

Was meint ihr?

[charmanta]

eine neue Person gleich in die Arbeitnehmerüberlassung zu schicken finde ich wenig seriös. Man will Dich doch kennenlernen ?

Ich erlebe im Moment aber durchaus einen Boom "angeblicher" Securityfirmen ... ich halte mich da mal dezent zurück, frage mich aber, wie man z.b. innerhalb von einem Monat von ner Webseitenagentur zu Securityspezis mutieren möchte. Der Titel ist halt nicht genormt...

[JimTheLion]

Eine unbekannte Firma ist an sich ja ok... aber die neuen Mitarbeiter zur AÜ in eine andere Firma zu schicken, neeee. Unseriös af.

Dadurch, dass du mindestens 6 Monate weg bist, geht ja auch die Probezeit verloren, oder? Du hättest gar keine Gelegenheit herauszufinden ob dir dein "richtiger" AG gefällt.

vor einer Stunde schrieb jk86:

Ich habe ja noch andere Möglichkeiten, z.B. habe ich noch eine Stelle als Netzwerkplanerin angeboten bekommen, die ich mir demnächst anschaue. Das ist sicher auch nicht falsch, um die Netzwerkkenntnisse zu vertiefen, den CCENT/CCNA zu machen und von da aus mich weiter zu spezialisieren.

Hört sich nach einem guten Plan an.

[Han_Trio]

Erstmal leicht verspäteten Glückwunsch

Ganz grundsätzlich zum Thema "Studium als Voraussetzung": Ich meine - auch hier im Forum - bereits gelesen zu haben, dass das nicht unbedingt SO wörtlich genommen werden sollte, und dass sich mancher Personaler einfach nicht bewusst ist, dass es ggf. auch "ohne" ginge.

Beim speziellen Thema "IT-Sicherheit" mag das nochmal anders sein, aber im Zweifelsfall kannst du dich ja trotzdem bewerben. Was Schlimmeres als ne Absage kann ja nicht passieren, und solange du nicht völlig "nackt" dastehst, also was deine Erfahrungen / Kenntnisse zu dem Thema angeht.. warum nicht?

 

Zum Angebot: Klingt echt ein wenig komisch.. ich mein, du warst ja bereits vor Ort, hattest du denn den Eindruck, dass die viel "drum rum geredet" haben, als es zB um deine bevorstehenden Aufgaben ging? Also nach dem Motto viele schöne Wörter, aber sehr wenig Inhalt.

"Mindestens" 6 Monate..? Aha, gehts vielleicht noch ungenauer von deren Seite aus?

Davon unabhängig, meine persönliche Meinung: Ich halte von Personalleasing / Zeitarbeit (denn nichts Anderes ist es ja de facto) überhaupt nichts. Lohndumping, Konkurrenzverhalten anderer "richtiger" Mitarbeiter (die Angst haben, ersetzt werden zu können), fehlende Integrations- / Identifikationsmöglichkeiten deinerseits.. sind alles so Sachen, die mir da in den Sinn kommen.

Don´t.

[Wissenshungriger]

Erstmal herzlichen Glückwunsch!

IT-Sicherheit ist ein weites Feld.
Letztes Jahr war ich auf einer IT-Security Messe und habe dort mit Firmen gesprochen, die Personal im Bereich Ethical Hacking / Penetration Testing gesucht haben.
Einstimmiges Feedback: Studium wäre schön aber nicht zwingend notwendig wenn Auftreten und die fachlichen Skills (Hacking) passen.
Bei den Firmen gibt es auch ein mehrstufiges Auswahlverfahren mit entsprechenden Tests. Teilweise sind die auch auf den jeweiligen Skill (Junior, "Normal", Senior) abgestimmt.
Bezüglich Zertifikaten kommt der CEH am schlechtesten Weg.
Die Aussagen haben diesbezüglich von einem politisch korrekten "Für uns nicht relevant." bis hin zu einem eindeutigen "Da fragen wir dann im Vorstellungsgespräch schon nach, weshalb der Bewerber so viel Wert auf den CEH legt."
Das Maß aller Dinge ist allerdings der OSCP.
Kein Multiple-Choice-Auswendiglern-Test wie der CEH sondern ein 24 Stunden Livehacking.
Wer den hat, der bekommt überall eine Chance sich vorzustellen...
 

[disarstar]

Ein Ansatz wäre sich bei Firmen zu bewerben die in diesem Bereich unterwegs sind und darüber zu lernen was notwendig ist. Das kann dann der klassische Supportjob sein.

IT Security ist aber ein Begriff der mir zu schwammig ist.

Bin selber zertifizierter IT Security Beauftragter (TÜV) und das bedeutet weniger als es der Name vermuten lässt. Dabei geht es eher um organisatorische Maßnahmen und das technische ist eher grundlegend. Also wie und das womit genau bleibt offen und muss entschieden werden.

Überlege dir daher genau was dich interessiert. Schutz vor Viren, Schutz von Netzwerken, Schutz der Organisation, Firewall Thematiken, Härten von Systemen, sichere Kommunikation von Anwendungen und Diensten, Verschlüsslung, mobile security, etc. Der Bereich betrifft jeden möglichen Aspekt von IT Systemen. Selbst Datenschutz kratzt daran.

Eine weitere Möglichkeit sehe ich im erlernen von Skills. Das kann im Selbststudium erfolgen. Eine IPv6 Firewall von Grund auf aufzusetzen und zu verstehen ist schonmal ein dicker Brocken.

Wenn du ein genaueres Bild hast wohin du willst, kannst du deine nächsten Schritte planen.

Ansonsten gibt es Traineeprogramme bei den großen IT Dienstleistern. Bechtle hatte sowas in verschiedenen Bereichen. Hatte auf Schulungen ein paar kennengelernt die 12 Monate Trainings hatten. Da ist es aber nicht so einfach reinzukommen.

Zum Schluss  ggf. Die Bundeswehr. Auch dort gab es Programme.

 

Bearbeitet 27. Januar 2019 von disarstar

[ErB777]

@jk86

Am 27.1.2019 um 21:55 schrieb disarstar:

 

Bin selber zertifizierter IT Security Beauftragter (TÜV) und das bedeutet weniger als es der Name vermuten lässt. Dabei geht es eher um organisatorische Maßnahmen und das technische ist eher grundlegend. Also wie und das womit genau bleibt offen und muss entschieden werden.

Überlege dir daher genau was dich interessiert. Schutz vor Viren, Schutz von Netzwerken, Schutz der Organisation, Firewall Thematiken, Härten von Systemen, sichere Kommunikation von Anwendungen und Diensten, Verschlüsslung, mobile security, etc. Der Bereich betrifft jeden möglichen Aspekt von IT Systemen. Selbst Datenschutz kratzt daran.

Man sollte das Kind auch beim Namen nennen. Es geht hauptsächlich um Informationssicherheit (ISO 27001) und Grundsatz nach BSI inkl. die Umsetzung. 

Das ist ziemlich trocken Brot. Als Beispiel beschäftigst  du dich ( @jk86 ) mit Dingen wie Zutritts-, Zugangs, Benutzer- und Gruppenrollen. Wie eine Verschlüsselung mathematisch aufgebaut ist, das hat für dich weniger Belangen (im Prinzip gar nicht). Ebenso musst du den Datenschutz sowie die diversen rechtlichen und gesetzlichen Konstellationen kennen (lernen).

Ich wüsste nicht, ob das für einen FiSi gleich zu Beginn so schmackhaft ist nach der Ausbildung. Da geht's wirklich um Organisieren als um die Technik. Aber das wurde vom Vorgänger geschrieben.

[jk86]

Ich bedanke mich nochmal bei allen, die hier geschrieben haben.

Bei der Jobsuche war ich überrascht, wie schnell mir Tür und Tor geöffnet wird, solange ich mich wirklich für IT-Sicherheit interessiere. Und das, obwohl ich nicht mehr die jüngste bin und auch keinen Bachelor habe. Scheinbar werden Leute in der IT-Sicherheit wirklich sehr dringend gesucht. Ich habe jetzt eine Stelle, in der ich sowohl mit dem defensiven als auch dem offensiven Teil der IT-Sicherheit, Big Data und Machine Learning zu tun haben werde. Zeit, meine Python-Kenntnisse aufzufrischen... und mal wieder Kali rauszukramen

Es ist übrigens nicht oben genannter Arbeitgeber geworden, sondern ein anderer. Es dauert noch ne Weile bis es losgeht, ich bin schon sehr gespannt!

Bearbeitet 21. Februar 2019 von jk86