IT Security - Welchen Job wählen?

[NIKTO]

Hallo zusammen,

 

ich habe derzeit zwei Jobangebote als Werkstudent mit Chance auf Übernahme nach dem Studium. Leider kann ich mich nicht wirklich entscheiden, da beide Jobs für mich erstmal super klingen.

JobNr1 wäre eine Stelle als SOC Analyst bei einer großen Bank. Schwerpunkt SIEM Systeme und eventuell auch mal ein wenig Pentesting.

JobNr2 wäre eine Stelle als Pentester mit Schwerpunkt OWASP Top 10, aber auch ein paar anderen Dingen, bei einem der Big Four.

Beide Jobs wären in Frankfurt. Leider weiß ich nicht, welcher von den beiden Jobs mir zum einen mehr WIssen vermittelt und mich zudem noch karrieretechnisch weiter bringt.

Vielleicht kennt sich ja hier jemand im Security Umfeld gut aus und kann mir sagen, worauf es ankommt.

Dank schon Mal im Voraus!

[allesweg]

Andere Frage: Reisebereitschaft? Was hälst du davon, die ganze Woche im Hotel bzw einer Projektwohnung zu wohnen und maximal am Wochenende daheim zu sein?

[NIKTO]

Gerade eben schrieb allesweg:

Andere Frage: Reisebereitschaft? Was hälst du davon, die ganze Woche im Hotel bzw einer Projektwohnung zu wohnen und maximal am Wochenende daheim zu sein?

Generell kein Problem, wobei im Pentesting Bereich dort wohl hauptsächlich über VPN etc. gearbeitet wird und Reisen eher selten sind. Als Werkstudent darf ich dort sowieso nicht reisen. Geht also vorwiegend erstmal darum, welche der beiden Stellen mich nach dem Studium weiter bringt. Ich kann mir danach ja immer noch woanders etwas neues suchen.

[TooMuchCoffeeMan]

Beide Angebote finde ich nicht schlecht. Wenn es dir um die Übernahme nach dem Abschluss deines Studiums geht, stehen die Chancen dafür bei den Big 4 in der Regel recht gut. Die haben immer einen Bedarf an Junior Consultants.

Ich würde eher nach der Aufgabe und den Zukunftsperspektiven entscheiden. Die Big 4 sind auch heute noch ein guter Name im Lebenslauf und die Lernkurve ist vor allem zu Anfang angenehm hoch. Banken sind in der Regel etwas eingerostet in ihren Prozessen. SOC Analysten derzeit stark nachgefragt. Mir persönlich wäre das Umfeld SOC/SIEM allerdings zu eintönig auf Dauer bzw. bin ich kein Fan davon im SOC zu arbeiten. Als Consultant bei den Big 4 hast du vermutlich mehr Möglichkeiten dich zu entwickeln, wenn dir Reisen und der Consultant Lifestyle nichts ausmachen. Es kann dir allerdings passieren, dass du thematisch eher an der Oberfläche bleibst, da die eher technischen Projekte selten bei den Big 4 landen.

Je mehr ich darüber nachdenke, desto schwieriger finde ich es dir eine Empfehlung zu geben. Vor allem ohne die Bank und deren Arbeitsumfeld zu kennen (bei den Big 4 kenne ich mich besser aus). Da es erstmal nur um eine Stelle als Werksstudent geht kannst du auf lange Sicht vielleicht sogar beides ausprobieren (je nachdem wie lange dein Studium noch dauert).

[NIKTO]

Ich finde leider auch beide Angebote sehr gut. Die Übernahme ist mir nicht allzu wichtig, zumal auch die Bank signalisiert hat, dass es im Idealfall in diese Richtung gehen soll.

Von den Aufgaben klingt für mich Pentesting auf jeden Fall interessanter. Wobei auch die Bank eine Abteilung für Pentesting hat, in welcher ich ab und an tätig werden könnte. Bei der Zukunftsperspektive kann ich leider nicht einschätzen welche Stelle mehr Potential hat. Big4 im Lebenslauf ist natürlich super, aber die Gehälter dort liegen auf jeden Fall deutlich unter denen der Banken. Ist bereits jetzt bei der Werkstudentenstelle so. Im Optimalfall hätte ich nach dem Studium gerne einen Job, welcher mir Spaß macht und gleichzeitig sehr gut bezahlt ist. Zumindest bei der Bezahlung sehe ich die Banken vorn. Der Spassfaktor wäre natürlich bei den Big4 sehr hoch, wobei das meiner Meinung nach nichts für die Ewigkeit ist. Nach ein paar jahren sucht man sich dort in der Regel etwas neues.

Thematisch wäre bei dem Big4 Unternehmen auf jeden Fall alles sehr technisch ausgerichtet. Bei der Bank sieht es allerdings ähnlich aus, da dort aktuell viele neue Systeme angeschafft und in Betrieb genommen werden müssen. Allerdings wäre ich dort etwas weniger eingebunden, da auch einiges an Dokumentationsarbeit auf mich zurückfallen würde.

Mein Studium geht nicht mehr allzu lange, aber ich habe auch bereits überlegt, bei einem Unternehmen als Werkstudent tätig zu werden und beim anderen anschließend meine Abschlussarbeit zu schreiben.

[KeeperOfCoffee]

vor 1 Stunde schrieb NIKTO:

nach dem Studium weiter bringt

Es wäre mal gut zu klären, was du damit überhaupt genau meinst. Wo willst du den genau hin?

[NIKTO]

Gerade eben schrieb KeeperOfCoffee:

Es wäre mal gut zu klären, was du damit überhaupt genau meinst. Wo willst du den genau hin?

Was ich mir für die Zukunft erwarte ist folgendes:

• Ein Job der mich langfristig glücklich macht
  • IT Security interessiert mich privat sehr (vor allem Pentesting), allerdings habe ich beruflich kaum Erfahrung, um es einschätzen zu können
• Ein Job der verhältnismäßig Zukunftssicher ist, da ich nicht unbedingt vor habe alle 5 Jahre das Unternehmen und Fachgebiet zu wechseln, sofern das heutzutage noch halbwegs realistisch ist
  • Falls es allerdings doch mal dazu kommen sollte, wäre es natürlich nicht schlecht, wenn der vorherige Job sich gut im Lebenslauf macht, um schnell wieder etwas neues zu finden, ohne dabei "abzusteigen"
• Natürlich auch ein Gehalt, von dem man auch in der Großstadt komfortabel leben kann, ohne sich viele Gedanken um Geld machen zu müssen

[TooMuchCoffeeMan]

vor 20 Minuten schrieb NIKTO:

Der Spassfaktor wäre natürlich bei den Big4 sehr hoch, wobei das meiner Meinung nach nichts für die Ewigkeit ist. Nach ein paar jahren sucht man sich dort in der Regel etwas neues.

Die Big 4 sind für die Meisten die dort arbeiten ein Sprungbrett und das wissen die Partner dort auch. Entsprechend niedrig sind die Einstiegsgehälter, wie du auch selbst schon bemerkt hast. Wenn du es schaffst in den 3-5 Jahren bei der Big 4 viele Schulungen und viel Wissen aus Pentesting Projekten mitzunehmen, hast du anschließend sehr wahrscheinlich gute Wechselmöglichkeiten. Wie technisch deine Aufgaben wirklich werden hängt von der Big 4 und dem Standort ab. In der Regel gibt es Themenschwerpunkte an den verschiedenen Standorten, daher eignet sich nicht jeder Standort wenn man als Pentester arbeiten möchte.

Die Bank bietet dir von Anfang an ein höheres Gehaltsniveau. Wenn jetzt noch das Aufgabengebiet passt, hast du hier eventuell einen langfristig interessanten Job mit gutem Gehalt, bei dem du über die Jahre auch viel lernen könntest (sofern du nicht zu einseitig eingesetzt wirst). Alles Spekulation.

Von der Vorstellung dein Leben lang beim ersten Arbeitgeber zu bleiben würde ich mich an deiner Stelle allerdings verabschieden. Das ist eher unwahrscheinlich. Es sei denn du landest mit dem ersten Arbeitgeber den absoluten Glücksgriff. In der Regel sind Arbeitgeberwechsel gerade in den ersten 10 Berufsjahren sehr wahrscheinlich und mitunter sogar notwendig um das Gehalt signifikant zu steigern.

vor 31 Minuten schrieb NIKTO:

Mein Studium geht nicht mehr allzu lange, aber ich habe auch bereits überlegt, bei einem Unternehmen als Werkstudent tätig zu werden und beim anderen anschließend meine Abschlussarbeit zu schreiben.

Was heißt denn "nicht mehr allzu lange"?

[NIKTO]

Gerade eben schrieb TooMuchCoffeeMan:

Wie technisch deine Aufgaben wirklich werden hängt von der Big 4 und dem Standort ab. In der Regel gibt es Themenschwerpunkte an den verschiedenen Standorten, daher eignet sich nicht jeder Standort wenn man als Pentester arbeiten möchte.

Der Standort wäre tatsächlich die "Deutschlandzentrale" für den Bereich Pentesting und IT Security.

vor 2 Minuten schrieb TooMuchCoffeeMan:

In der Regel sind Arbeitgeberwechsel gerade in den ersten 10 Berufsjahren sehr wahrscheinlich und mitunter sogar notwendig um das Gehalt signifikant zu steigern.

Die 10 Berufsjahre habe ich mittlerweile sogar voll, wobei davon nur ca. 2 Jahre auf eine gewöhnliche Anstellung entfallen. Der Rest sind Ausbildung und Werkstudententätigkeiten. Wobei das bisher für kein Unternehmen ein Problem war, ich wurde überall für voll genommen, was ich so anfangs nicht erwartet hätte.

vor 1 Minute schrieb TooMuchCoffeeMan:

Was heißt denn "nicht mehr allzu lange"?

Ich schätze noch so 3-4 Semester.

[Kwaiken]

vor 33 Minuten schrieb NIKTO:

Ein Job der mich langfristig glücklich macht

Das ist das Wichtigste.

vor 33 Minuten schrieb NIKTO:

... vor allem Pentesting ...

Die IT-Security ist ein weites Feld. Ebenso ist Pentesting nicht gleich Pentesting. Einige meinen Kali hochzufahren und OpenVAS mit der neusten Subscription laufen zu lassen, wäre der Gipfel des Möglichen. Diesen Job kann jeder Toolbediener erledigen. Entsprechend wird das bewertet und entlohnt. Frage ist, ob Du damit langfristig glücklich wirst.

Ist ähnlich wie damals mit "Ich will Computerspiele programmieren!", nur weil man Quake die Nächte durchgezockt hat.

vor 33 Minuten schrieb NIKTO:

... nicht unbedingt vor habe alle 5 Jahre das Unternehmen und Fachgebiet zu wechseln ...

IT ist sehr volatil. Du wirst kaum mit Sicherheit wissen, was Du in 5 Jahren machst. Gestern war es noch C#, heute ist es Ruby. Das gilt auch für Unternehmenswechsel, denn meist ist das die einzige Option, um entsprechende Gehaltssprünge machen zu können.

vor 33 Minuten schrieb NIKTO:

Natürlich auch ein Gehalt, von dem man auch in der Großstadt komfortabel leben kann ...

Dann wirst Du um regelmäßige Wechsel kaum herum kommen. Es sei denn, Du kommst in einen guten Tarif und eine gute Tarifgruppe.

Ich würde mir an deiner Stelle anschauen, was dich genau in der IT Security interessiert. Vielleicht hast Du Glück und es ist ein Bereich, der nicht so frequentiert ist (wie Pentesting). Da würde ich drauf hinarbeiten. Meiner Erfahrung nach spricht auch nichts gegen eine Bank; ich würde eine Bank einer Big4 sogar eindeutig vorziehen. Zum einen sitzt das Geld dort sehr locker, zum anderen gibt es externe Regularien, die eingehalten werden müssen (PCI DSS) und das Wissen um die IT in Compliance mit den Regularien sehr gefragt ist. Bei den Fintechs vor allem, aber auch bei den Beratungen, die Leute suchen, die wiederum Banken und Fintechs beraten können. 

Bearbeitet 28. Januar 2020 von Kwaiken

[TooMuchCoffeeMan]

vor 39 Minuten schrieb NIKTO:

Der Standort wäre tatsächlich die "Deutschlandzentrale" für den Bereich Pentesting und IT Security.

Ok, dann wohl nicht die "Blauen".

vor 39 Minuten schrieb NIKTO:

Die 10 Berufsjahre habe ich mittlerweile sogar voll, wobei davon nur ca. 2 Jahre auf eine gewöhnliche Anstellung entfallen. Der Rest sind Ausbildung und Werkstudententätigkeiten.

Naja, nichts für ungut aber Ausbildung und Werksstudententätigkeit fällt für mich nicht unter Berufserfahrung bzw. Berufsjahre. 

vor 39 Minuten schrieb NIKTO:

Ich schätze noch so 3-4 Semester.

Na das sind ja noch gute 2 Jahre. Da würde ich an deiner Stelle wohl die Stelle als Werksstudent bei der Bank antreten und wenn es dir nicht gefällt kannst du immer noch bei der Big 4 anfangen. Die laufen nämlich nicht weg.

Bearbeitet 28. Januar 2020 von TooMuchCoffeeMan

[NIKTO]

vor 46 Minuten schrieb Kwaiken:

Ebenso ist Pentesting nicht gleich Pentesting. Einige meinen Kali hochzufahren und OpenVAS mit der neusten Subscription laufen zu lassen, wäre der Gipfel des Möglichen. Diesen Job kann jeder Toolbediener erledigen. Entsprechend wird das bewertet und entlohnt.

Diese Befürchtung hatte ich auch bereits. Gearbeitet wird dort auch hauptsächlich mit Kali, Burp, Nmap, SQLMap und co. Zusätzlich ist der Bereich Red Teaming dort gerade am aufkeimen.

vor 46 Minuten schrieb Kwaiken:

IT ist sehr volatil. Du wirst kaum mit Sicherheit wissen, was Du in 5 Jahren machst.

Das ist mir natürlich bewusst und damit habe ich absolut kein Problem. Mir geht es nur darum ein Aufgabengebiet zu wählen, auf welches man gut aufbauen kann. Ich würde ungern einen Bereich im Security Umfeld wählen, welcher mir kein Wissen vermittelt, welches ich auch in anderen Bereichen als Grundlage nutzen kann. OWASP Top 10 sind eben schon sehr spezialisiert und wenn dieser Bereich aus welchen Gründen auch immer mal wegfallen sollte, möchte ich ungern von 0 neu beginnen müssen. Mein Wissen/Können sollte nach Möglichkeit immer weiter wachsen und aufeinander aufbauen.

vor 46 Minuten schrieb Kwaiken:

Ich würde mir an deiner Stelle anschauen, was dich genau in der IT Security interessiert.

Alles was relativ praktisch ist und sich auf technischer Ebene abspielt, sowie einen gewissen Anspruch hat. Was mich auf jeden Fall überhaupt nicht reizt, sind Themen in Richtung Governance, Compliance und eben alles was in die rein regulatorische und theoretische Richtung geht.

Gibt es denn im IT Security eine Art Hierarchie bei den Berufen? Also einen klassischen Weg von "unten nach oben"? Ich würde mich ungern in ein Feld einarbeiten, in das jeder mal eben so wechseln kann, um meinen "Wert" etwas höher zu halten.

vor 11 Minuten schrieb TooMuchCoffeeMan:

wenn es dir nicht gefällt kannst du immer noch bei der Big 4 anfangen. Die laufen nämlich nicht weg.

Danke! Ich glaube der Satz hat mir gerade die Erleuchtung und damit die Entscheidung gebracht. Für Studenten sind solche Stellen bei den Banken tatsächlich relativ selten und die Big4 suchen im Grunde wirklich immer. Daher macht es Sinn erst einmal die Stelle bei der Bank anzutreten und Anschließend noch mal zu den Big4 zu wechseln, sei es auch nur für die Abschlussarbeit. Ich denke damit ist die Entscheidung wohl endlich gefallen

Danke für alle die sich an dem Thema beteiligt haben, hat echt geholfen!

Bearbeitet 28. Januar 2020 von NIKTO

[Kwaiken]

vor 30 Minuten schrieb NIKTO:

Gibt es denn im IT Security eine Art Hierarchie bei den Berufen?

Jein. Hierarchie gibt es zwar nicht, aber es gilt die übliche Regel wie auch im Studium: Marketing, Personal und irgendwas mit Medien sind eine schlechte Wahl. Münz das auf die IT Security: alles, was einfach ist und was viele machen, ist vielleicht langfristig nicht der optimale Weg.

Um ein paar Beispiele zu nennen:

• Wenn Dir Entwicklung Freude bereitet, könnte man sich auf Security im Bereich von (Banken-)Anwendungen spezialisieren. Also wirklich Code Security: Application Security Testing. Hier kannst Du dich auch auf best. Sprachen oder sichere Migrationen von X zu Y weiter spezialisieren.
• Wenn Du Freude an Netzwerktechnik hast: Die CISCO Zertifizierungen sind ein guter Einstieg. Dann schauen, was Dir dort genau Freude macht. Kryptographie (alleine SSL over HTTP hält dich lang genug wach), Netzwerkanalyse, Loadbalancing mit WAF und GLBs, etc als Network Security Analyst mit entsprechender Spezialisierung.
• Wenn es noch ekeliger sein darf: Product Security Engineer. Hier kannst Du dich auch in Richtung Hardware spezialisieren. Königsdisziplin wären CPUs. Ansonsten bei Softwareherstellern je nach Produkt, bei Google z. B. gmail, Chrome, Hangouts, etc.
• Weitere Beispiele, die mehrere Bereiche tangieren: Cloud Security Engineer, Threat Researcher (oft bei Antivir-Firmen), Spezialist für Authentifizierung oder bestimmte Protokolle ...  

Nur um mal ein paar zu nennen.

Bearbeitet 28. Januar 2020 von Kwaiken