Arbeitsalltag als IT Sicherheitsbeauftragter / IT-Sicherheitsberater / IT Security Operator aus?

[TopSecurity]

Moin,

ich wollte mal Nachfragen, wie so ein typischer Arbeitsalltag als IT Sicherheitsbeauftragter / IT-Sicherheitsberater / IT Security Operator aussieht? Was haben die so zu tun? Können diese Stellen auch Home Office machen usw.? 

[charmanta]

Das ist kein genormter Beruf fürchte ich. Namen und Bezeichnungen waren schon immer ein Problem in der IT ....

Mit Datenschutz haben die eher nix zu tun, vermutlich bilden die Angriffs- und Abwehrteams (Red und Blue)

[TopSecurity]

Warum kein genormter Beruf? Es gibt zahlreiche Stellenausschreibungen. 

[Gast]

Ein IT-Sicherheitsbeauftragter setzt die gesetzlichen Vorgaben, was die IT Sicherheit angeht um

[TopSecurity]

Aber wie kann ich mir so einen typischen Alltag vorstellen?

[Chief Wiggum]

Eine Stellenbeschreibung ist nicht identisch mit einem erlernten Beruf. Ich vom Beruf Fachinformatiker, eingestellt wurde ich als Systemadministrator. Genauso ist das bei deinen ganzen Security-Stellenbezeichungen.

[TopSecurity]

Das ist klar. 

Ich meine nur, wie kann ich mir einen Arbeitsalltag vorstellen, wenn die Stellenbeschreibung folgendermaßen ist?: 
https://www.google.com/search?sxsrf=ALeKk015kVqHt7iCIBj8Zh3d7P9hS5ow_A:1599574059990&ei=K5BXX83-O86AkwWGooLYAg&q=it+sicherheit+jobs&oq=it+sicherheit+jobs&gs_lcp=CgZwc3ktYWIQDFAAWABg4rYBaABwAXgAgAEAiAEAkgEAmAEAqgEHZ3dzLXdpeg&sclient=psy-ab&ibp=htl;jobs&sa=X&ved=2ahUKEwiC7e7o3dnrAhVLDuwKHXXCBPAQiYsCKAJ6BAgKEDs&sxsrf=ALeKk03dFopIwBl-K84C6fgF3KGJYqVkvQ:1599574084670#htivrt=jobs&htidocid=Zbo8gUJ5KNitzmxEAAAAAA%3D%3D&fpstate=tldetail

 

[Zaroc]

Man kann mit einer Stellenbeschreibung keinen Arbeitsalltag richtig "simulieren". In einer Stellenbeschreibung werden oft "Wunschanforderungen" gestellt. Du solltest A, B und C können, aber in der Realität machst du vl. A und der genaue "Arbeitsablauf" erfährst du meistens erst im Bewerbungsgespräch.

Bei KPMG wirst du oft zu Kunden fahren und dort machst du auch dass, was die wollen bzw. was der Kunde will.

Es ist Hauptsächlich eine Consultant (nicht interne) Stelle. Du kannst davon ausgehen dass du oft unterwegs bist und beim Kunden XYZ Probleme lösen/beraten musst. Was die noch anbieten weiss keiner von uns.

 

[jingleshell]

Du kannst ja mal der in der Anzeige genannten Ansprechpartnerin schreiben. 

Normalerweise sind Aufgaben so aufgelistet, dass die wichtigsten / häufigsten Tätigkeiten oben stehen.

Dazwischen ein paar Tassen Kaffee und eine Mittagspause und dann hast Du einen Arbeitsalltag  

[Maniska]

vor 22 Stunden schrieb TopSecurity:

Können diese Stellen auch Home Office machen usw.? 

Bei einer Consultingbude wohl eher nein.

Da wird man eher zum Kunden fahren das Netzwerk oder was auch immer gefordert ist auf Herz und Nieren prüfen (kann auch gerne mal mehrere Tage dauern) und dem Kunden die Ergebnisse aufbereitet vorstellen inkl. Empfehlungen was wie dringend zu erledigen ist.

Wenn ein Kunde einen akuten Sicherheitsvorfall hat ist man für die Analyse zuständig, schaut wer kam wo wie rein, was wurde ggf. abgeschnorchelt/verändert, wo sitzt derjenige vielleicht noch in einer dunklen Ecke... Erst mal unauffällig Spuren sichern und prüfen, dann Sicherheitslücken stopfen und ggf dem Kunden beim DR helfen.

Unternehmen hier in der ecke macht regelmäßig einen Pen-test mit einer Scuritybude, die kommen dann X Mann hoch und prüfen gefühlt ALLES. Angefangen von Zutrittskontorllen/rumlaufen in Gebäudeteilen in denen Fremde nichts zu suchen haben (komm ich hin, wie verhalten sich die MA wenn sie mich sehen....), USB Sticks auf dem Parkplatz "verlieren"... Dann so Spiele wie "Laptop mal an einen Netzwerkport klemmen und gucken was passiert" sowohl freie Ports, als auch welche mit Endgerät dran. Unter Tastaturen schauen wegen Passwortzetteln, bissi Social Engineering bei den MAs... Und dann den spaßigen Teil mit Pentest Firewall...

[Gast]

IT-Sicherheitsbeauftragter hat nur seltenst die Finger an Rechnern. Der arbeitet konzeptionell, also mehr Verwaltungstätigkeit.

Home-Office im Bereich Security evtl. als Selbstständiger.

 

[TopSecurity]

Hm ok. Danke für eure Antworten. 

Denn mein derzeitiges Problem ist ein wenig, ich habe extreme Lust auf Mobile Software Engineering (vor allem iOS), allerdings ist halt die Sache, dass ich mir diese Tätigkeit mit spätestens 50+ Jahren nicht mehr vorstellen kann. Um ehrlich zu sein möchte ich dann auch nicht bei so einer Projektleiter Rolle landen, sondern wenn schon dann in diesem Bereich eher als Teamleiter / Tech lead. 
Denn wenn ich dennoch später als Projektleiter enden sollte, würde ich mir dann eher an dieser Stelle vermutlich wünschen IT Sicherheitsbeauftragter sein, weshalb ich derzeit stark überlege, ob ich nicht einfach direkt in diesen Bereich gehe. Aber ich bin mir da echt unsicher. 
Natürlich könnte vielleicht mir ja jemand noch erklären, in welche Richtung sich das als Entwickler entwickeln kann. 

vor 24 Minuten schrieb Maniska:

Unternehmen hier in der ecke macht regelmäßig einen Pen-test mit einer Scuritybude, die kommen dann X Mann hoch und prüfen gefühlt ALLES.

Mich würde da mal Interessieren, sind das eher junge Leute oder eher "ältere" Leute, also ich rede halt davon ob das "nur" gefühlt 20 - 30 Jährige sind oder sind da bspw. auch welche ü45+ oder so dabei. 

 

[TopSecurity]

Eine weitere Frage wäre dann noch, wie schwer ist es denn mit einem "normalen" Informatikstudium in die IT Sicherheit zu kommen (mit den verschiedenen Bereichen, wie IT-Forensik, Pen Testing usw. (mir ist es auch Bewusst, dass es nicht nur darum geht))

Bearbeitet 8. September 2020 von TopSecurity

[eneR]

Wie alt bist du eigentlich, dass du dir schon Gedanken über deinen Job mit 50+ machst? Und wer soll auf deine Fragen ernsthaft antworten? Niemand kann hier Hellsehen. Es gibt auch Leute die den Job ohne Studium machen.. vielleicht sogar ohne Ausbildung als Quereinsteiger... Studium alleine heißt also nichts..

[TopSecurity]

Ich bin derzeit noch 17. 
Ich überlege einfach derzeit schon, in welche Richtung ich Einschlagen möchte, Software Entwickler oder IT Sicherheit, weil mehr oder weniger muss ich mich ja dann für eins Entscheiden. 

[Chief Wiggum]

Wenn man sich so deine Fragen hier anschaut kommt es mir vor, als ob du ziemlich orientierungslos durch die Gegend stiefelst. Mal geht es dir um die Softwarentwicklung im Mobile-Bereich, dann um irgendwelche Backends, dann wieder Security, manchmal dann auch noch KI.

Hast du dich denn schon einmal um ein Praktikum in deinen Wunschbereichen absolviert? Nur um einfach mal in das "echte Leben" im Arbeitsumfeld reinzuschnuppern...

Bearbeitet 9. September 2020 von Chief Wiggum
Typo

[tTt]

@TopSecurity
Die Aufgaben sind sehr vielfältig, abhängig vom Stand und den Zielen des Kunden bzw. der IT(wenn als Interner).

Die Jobbeschreibung ist von einem Beratungsunternehmen, sodass hier der Fokus auf Beratung des Kunden liegt, sprich es ist eher Projektgeschäft (z.B. Einführung eines SIEM oder einer Endpoint  Detection etc. und alles was dazu gehört).

Die Bandbreite geht von Führungskräften die Notwendigkeit einer funktionierenden IT-Sicherheit und deren Folgen klar zu machen bis hin zum Pentesting.

Zum Beispiel auch konzeptionell dem IT-Sicherheitsbeauftragten unter die Arme zu greifen ist ein häufiger Task.

vor 9 Stunden schrieb Maniska:

Bei einer Consultingbude wohl eher nein.

Da wird man eher zum Kunden fahren das Netzwerk oder was auch immer gefordert ist auf Herz und Nieren prüfen (kann auch gerne mal mehrere Tage dauern) und dem Kunden die Ergebnisse aufbereitet vorstellen inkl. Empfehlungen was wie dringend zu erledigen ist.

Dem würde ich nur teilweise zustimmen, nicht immer ist Präsenz im Unternehmen Pflicht, das zeigt ja auch Corona sehr deutlich.
Es gibt viele Tasks, die garantiert im Homeoffice und nicht beim Kunden erfolgen müssen.

vor 9 Stunden schrieb TopSecurity:

Mich würde da mal Interessieren, sind das eher junge Leute oder eher "ältere" Leute, also ich rede halt davon ob das "nur" gefühlt 20 - 30 Jährige sind oder sind da bspw. auch welche ü45+ oder so dabei. 

Das ist bunt gemischt, es gibt youngsters und seniors! Ich denke gerade im Cloud-Umfeld sind eher etwas jüngere vertreten, in der Managementberatung eher seniors. 
Das ist gewissermaßen abhängig von den Aufgaben und Schwerpunkten. Security ist aber keine Einzelarbeit, sondern nur Gemeinsam zu wuppen.

Aus deiner Sicht ist das wohl nur Alt oder Steinalt 😆

@TopSecurity

Für die Arbeit in der Security sind auf jeden praktische Vorerfahrungen mMn. zwingend notwendig.
Nur so ist es möglich, entsprechende Beratungen zu leisten.

Insofern schließe erstmal dein Studium ab und bilde dich dann zielgerichtet fort bzw. spezialisiere dich in deine Wunschrichtung.

Generell ist Security als eine Service und Beratungsstelle anzusehen.

Security zeigt sich in unterschiedlichen Ausprägungen und dementsprechend sind stets unterschiedliche Handlungsschritte notwendig, das kann man mMn. nur durch entsprechende Praxiskenntnisse erkennen, die Gap von Theorie und Praxis geht da ziemlich weit auseinander und es kommt dann auf die Umsetzbarkeit an.
Das beste Konzept bringt nichts, wenn es sich später nicht umsetzen lässt.
Das heißt aber nicht, dass die theoretischen Kenntnisse zu unterschätzen sind.
Es ist viel Grundlagenwissen und Spezialwissen notwendig, um Security richtig und sauber umzusetzen, abhängig von der angestrebten Philosophie im Haus. 
Mit einem Informatikstudium hast du auf jeden Fall das nötige Rüstzeug um später auch in der Security zu landen.
Als SW-Entwickler ist sauberer Code, Security by Design und Encapsulation sehr wichtig.
Hinzu kommt ein immer stärker werdendes Rollen- und Rechtekonzept. 

Ein (Micro-)Service ist entsprechend besser und somit auch schneller, unabhängig und einfach zu deployen. Das erhöht letztlich auch irgendwie die Sicherheit (-> schnelleres Patchmanagement).

Viele Grüße 

 

Bearbeitet 9. September 2020 von tTt

[TooMuchCoffeeMan]

Wenn ich die Postings von @TopSecurity so lese scheint da viel Halbwissen über Begrifflichkeiten vorhanden zu sein und viel Verwirrung darüber was er später mal machen möchte. Mit 17 ist das allerdings normal. Ich wusste damals auch nicht wo ich hin wollte.

Am 7.9.2020 um 18:03 schrieb TopSecurity:

ich wollte mal Nachfragen, wie so ein typischer Arbeitsalltag als IT Sicherheitsbeauftragter / IT-Sicherheitsberater / IT Security Operator aussieht?

Du wirfst hier drei verschiedene Berufe in einen Topf, daher lässt sich die Frage nicht pauschal beantworten.

IT Sicherheitsbeauftragter: Der IT-SiBe, manchmal auch ISO (Information Security Officer) bzw. CISO (Chief Information Security Officer), wenn er hoch angesiedelt ist, ist im Unternehmen der Zentrale Ansprechpartner für IT-Sicherheitsthemen. Der Verantwortungsbereich der Stelle ist je nach Unternehmen unterschiedlich ausgeprägt. In der Regel hat man allerdings die fachliche Verantwortung für die Gestaltung von Regelwerken für den Umgang mit IT-Sicherheit im Unternehmen. Hinzu kommt häufig noch die Initiierung und Begleitung von Zertifizierungen im IT-Sicherheitsbereich (z.B. ISO 27001). Die Umsetzung der Themen erfolgt in der Regel nicht durch den IT-SiBe direkt. Der legt hauptsächlich das Regelwerk, in Abstimmung mit der Geschäftsleitung und IT, fest und fungiert als Kontroll- und Steuerungsstelle. 

IT-Sicherheitsberater: Ein Berater (Consultant) mit dem Schwerpunktthema IT-Sicherheit. Da dies kein geschützter Begriff ist, nennt sich im Grunde alles, vom BWLer der mal kurz einen Einführungskurs in IT-Sicherheit hatte bis zum zertifizierten Pentester, IT-Sicherheitsberater. Hier eine Aussage über den Arbeitsalltag zu treffen ist schwierig. Von der Vorstellung man würde hier groß Jemanden "beraten" sollte man sich allerdings verabschieden. Als Berater ist man meist für zeitlich begrenzte Projekte bei Kunden vor Ort unterwegs und setzt Themen um, für die im Unternehmen des Kunden das Know-How fehlt. Die Strategie dahinter steht meistens schon fest.

IT Security Operator: Eine Stelle mit eher technischem Hintergrund. Letztendlich derjenige der die Vorgaben des IT-Sicherheitsbeauftragten umsetzt und IT-Sicherheit im Alltag gestaltet. Das geht von der Umsetzung von Projekten, über die Sicherung der eigenen IT Infrastruktur bis hin zu Erkennung und Vermeidung / Bekämpfung von Bedrohungen. Darüber sitzt meist der IT Security Manager, der dann wiederum weniger praktisch arbeitet sondern leitet.

vor 13 Stunden schrieb TopSecurity:

Eine weitere Frage wäre dann noch, wie schwer ist es denn mit einem "normalen" Informatikstudium in die IT Sicherheit zu kommen (mit den verschiedenen Bereichen, wie IT-Forensik, Pen Testing usw.

Falls das dein Wunsch ist, ist der einfachste Weg vermutlich der über den IT-Sicherheitsberater. Auch während eines "normalen" Informatikstudiums werden Schwerpunkte durch die Auswahl von Kursen getroffen. Bei meinem Studium habe ich z.B. alles an IT-Sicherheit belegt was möglich war. Das Studium bereitet dich allerdings nicht auf den Arbeitsalltag vor. Wenn du in den Bereich IT-Forensik oder Pen Testing willst, musst du dich nach dem Studium über Schulungen weiterbilden und vor allen Dingen neben dem Studium / der Arbeit Weiterbildung betreiben. Wenn du Glück hast wirst du auch auf Projekte gestaffed die dir ein "Learning on the Job" ermöglichen.

Generell gilt in der IT, dass man nie aufhört sich fortzubilden. Das kann im ungünstigen Fall auch in der eigenen Freizeit notwendig werden.

Wenn du überhaupt nicht weißt in welche Richtung du dich entwickeln willst, ist ein "normales" Studium der Informatik keine schlechte Idee. Das gibt dir die Möglichkeit in verschiedene Themenbereiche rein zu schnuppern ohne dich direkt festzulegen. Sei allerdings gewarnt, dass das Studium sehr mathematiklastig ist.

Bearbeitet 9. September 2020 von TooMuchCoffeeMan

[TopSecurity]

Vielen Dank für eure Antworten @tTt und @TooMuchCoffeeMan ! 

vor 9 Stunden schrieb TooMuchCoffeeMan:

Das Studium bereitet dich allerdings nicht auf den Arbeitsalltag vor. Wenn du in den Bereich IT-Forensik oder Pen Testing willst, musst du dich nach dem Studium über Schulungen weiterbilden und vor allen Dingen neben dem Studium / der Arbeit Weiterbildung betreiben.

Ok. Meinst du damit Zertifikate also bspw. sowas wie CEH (Certified Ethical Hacker)? Wenn ja, welche Zertifikate sind unerlässlich für IT Sicherheit (auch angefangen bei sowas wie bspw. CCNA usw.)?

[TooMuchCoffeeMan]

vor 13 Stunden schrieb TopSecurity:

Ok. Meinst du damit Zertifikate also bspw. sowas wie CEH (Certified Ethical Hacker)? Wenn ja, welche Zertifikate sind unerlässlich für IT Sicherheit (auch angefangen bei sowas wie bspw. CCNA usw.)?

Nein, nicht nur. Ich meine damit, dass du dir privat Lesestoff zu dem Thema besorgst, an Online Challenges teilnimmst, generell deinen Horizont und dein Wissen erweiterst. Zertifikate sind dann natürlich ein guter Weg dieses Wissen auch für einen Arbeitgeber nachzuweisen. Der CEH wird in der Branche ziemlich belächelt, weil er sehr einfach ist. Stattdessen würde ich den OSCP (Offensive Security Certified Professional) empfehlen.

Unerlässliche Zertifikate gibt es im IT Sicherheitsbereich meiner Meinung nach nicht. Häufig nebenbei mitgenommen werden Dinge wie ISO 27001 Lead Auditor und ISO 22301 Lead Auditor. Die Prüfungen sind einfach zu bestehen und mehr über ISO Managementsysteme zu wissen kann nie schaden. Allgemeine Dinge wie ITIL oder CCNA kann man auch mitnehmen wenn man sich breiter aufstellen will. Auf lange Sicht sind CISSP (Certified Information Systems Security Professional) und CISM (Certified Information Security Manager) empfehlenswert, da sie den eigenen Marktwert in der Regel heben. Für die beiden Zertifikate braucht man allerdings einige Jahre Berufserfahrung im IT Sicherheitsumfeld. 

[allesweg]

Schau doch einfach mal, womit die Großen der IT-Security werben. Oder welche Einstellungskriterien bei entsprechenden Stellen gefordert werden. 

[TopSecurity]

OK. Alles klar. Vielen Dank für die Antworten. 

vor 7 Stunden schrieb TooMuchCoffeeMan:

Ich meine damit, dass du dir privat Lesestoff zu dem Thema besorgst

Gibt es einen Verlag oder eine Bücherreihe die Empfehelnswert ist?

[Chief Wiggum]

vor 3 Minuten schrieb TopSecurity:

Gibt es einen Verlag oder eine Bücherreihe die Empfehelnswert ist?

Was verstehst du hier nicht?

Zuerst einmal eine generelle Ausbildung machen, damit eine Basis vorhanden ist, dann kannst du Weiterbildungen und Fortbildungen in die Security-Richtung machen.

Jetzt schon auf Teufel-komm-raus Security-Themen pauken ohne jegliche Basis zu verstehen bringt nichts.

[Zaroc]

https://www.rheinwerk-verlag.de/hacking-und-security-das-umfassende-handbuch/

 

*hust* schleichwerbung..... ne Rheinwerk Verlag hat Interessante Bücher

[TopSecurity]

vor 2 Minuten schrieb Chief Wiggum:

Was verstehst du hier nicht?

Zuerst einmal eine generelle Ausbildung machen, damit eine Basis vorhanden ist, dann kannst du Weiterbildungen und Fortbildungen in die Security-Richtung machen.

Jetzt schon auf Teufel-komm-raus Security-Themen pauken ohne jegliche Basis zu verstehen bringt nichts.

Das ist mir klar. Darf ich da nicht trotzdem nach Büchern fragen?