Nützen einem tiefgehende Kryptographie-Kenntnisse als Angestellter im IT security Bereich etwas?

[Petrus98]

Hallo,

ich beende dieses Semester meinen Bachelor in Mathematik. Ich habe im Nebenfach Informatik und finde IT security ziemlich interessant. Ich will an der TU Darmstadt einen interdisziplinären Mathe Master machen(2/3 Mathe, 1/3 Informatik) und würde mich im Informatikbereich auf IT security vertiefen. Ich weiß, dass sicherlich jeder, der in diesem Bereich arbeitet, was mit Kryptographie anzufangen weiß, aber wie nützlich ist wirklich tiefgehendes Verständnis? Im Informatik-Teil meines Studiums kann ich natürlich nicht alles wählen und werde hin und wieder entscheiden müssen, ob ich jetzt eine etwas "allgemeinere" Vorlesung besuche oder eine Vorlesung in der es noch tiefer in die Kryptographie-Theorie geht. Ich lese diesbezüglich öfters sowas wie: "Du musst grob wissen was Kryptographie ist aber ansonsten brauchst du es nicht wirklich". 

Ich weiß, dass ich nicht damit rechnen soll irgendwelche neuen Algorithmen zu entwickeln( darum kümmern sich ja paar wenige Genies auf der Welt) aber würde es mir irgendwas bringen tiefgehendes Verständnis in diesem Gebiet zu haben ?

 

Ich hatte auch noch eine zweite nicht so wichtige Frage, die ich einfach hier stelle, da das sicherlich schon öfter durchgekaut wurde und ich dafür kein neues Thema erstellen will.

Wie gut sind die Berufsaussichten für den Bereich IT security ?

Ich muss sagen, dass ich nach meiner Recherche vorwiegend auf die folgenden zwei Ansichten gestoßen bin:

1."Der IT Sicherheitssektor bietet exzellente Aussichten. Die Digitalisierung schreitet voran und es werden in Zukunft noch viel mehr Leute in dem Bereich gesucht werden."

2."Geh nicht in den Bereich. Für die meisten Unternehmen ist IT Sicherheit nur ein Klotz am Bein, da es nicht aktiv Geld einspielt. Entsprechend sind auch die Aussichten"

 

 

Bearbeitet 5. Mai 2021 von Petrus98

[allesweg]

vor 8 Stunden schrieb Petrus98:

Wie gut sind die Berufsaussichten für den Bereich

Meine Kristallkugel muss leider immer noch eine FFP2-Maske tragen, wodurch Aussagen über die wirtschaftliche Lage in mehreren Jahren derzeit nicht möglich sind.

Du wirst weiterhin sowohl 1. als auch 2. zu hören bekommen - je nach Umfeld. Und die Meinungen werden näher an schwarz-weiß sein und kaum Meinungen in der Mitte...

 

Ob dir $Studieninhalt etwas bringen wird? Das hängt von der konkreten Stelle beim konkreten Arbeitgeber ab. Bei Kryptofirma1 brauchst du es in RolleA zwingend, beim Wettbewerber Kryptofirma2 in dieser RolleA nicht, in RolleB vielleicht, ...

Schaden wird es aber höchstwahrscheinlich nicht.

[KeeperOfCoffee]

vor 9 Stunden schrieb Petrus98:

aber wie nützlich ist wirklich tiefgehendes Verständnis? Im Informatik-Teil meines Studiums kann ich natürlich nicht alles wählen und werde hin und wieder entscheiden müssen, ob ich jetzt eine etwas "allgemeinere" Vorlesung besuche oder eine Vorlesung in der es noch tiefer in die Kryptographie-Theorie geht.

Ganz ehrlich...warum fragst du nur nach einem kleinen Teilbereich der IT-Security? Der Bereich ist so viel größer als das bisschen Kryptographie. Vor allem: Alles in Sachen Kryptographie wird doch sowieso schon von Tools die es seit X Jahren gibt nahezu voll abgenommen. Am Ende musst du nur wissen, was du wie anwendest.

 

Das ist als ob du Spitzenkoch werden willst, aber eigentlich nur daran interessiert bist wie man ein Steak nicht vermasselt.

 

vor 9 Stunden schrieb Petrus98:

1."Der IT Sicherheitssektor bietet exzellente Aussichten. Die Digitalisierung schreitet voran und es werden in Zukunft noch viel mehr Leute in dem Bereich gesucht werden."

Ja.

vor 9 Stunden schrieb Petrus98:

2."Geh nicht in den Bereich. Für die meisten Unternehmen ist IT Sicherheit nur ein Klotz am Bein, da es nicht aktiv Geld einspielt. Entsprechend sind auch die Aussichten"

Ja.

 

Warum sollen sich deine Punkte 1 und 2 denn gegeneitig ausschließen? Zur Info: Jeder Laden der nicht gerade mit IT sein Geld verdient sieht die IT oft als notwendiges Übel. Das ist egal in welchem Bereich zu bist. Wenn du IT Security machen willst, dann guck halt auch, dass du in Unternehmen landest die sich darauf spezialisieren, bzw. in Konzernen die dafür eine Abteilung haben.

[Whiz-zarD]

vor 2 Minuten schrieb KeeperOfCoffee:

Warum sollen sich deine Punkte 1 und 2 denn gegeneitig ausschließen? Zur Info: Jeder Laden der nicht gerade mit IT sein Geld verdient sieht die IT oft als notwendiges Übel. Das ist egal in welchem Bereich zu bist. Wenn du IT Security machen willst, dann guck halt auch, dass du in Unternehmen landest die sich darauf spezialisieren, bzw. in Konzernen die dafür eine Abteilung haben.

IT Security ist aber noch weitreichender als "nur" Kryptografie und das wird auch Kunden immer wichtiger. Was bringt es, wenn zwar die Verbindung zum Server TLS-Verschlüsselt ist, aber durch einfache XSS-Attacken oder SQL Injections die Datenabgreifen oder sogar löschen kann? Und da kann es sogar noch weitaus mehr Schwachstellen geben. Erst neulich habe ich von Angriffen über XML erfahren, falls die Software XML-Dateien parst.

Ich erlebe derzeit, dass Kunden vermehrt danach fragen und es auch als Anforderung sehen. So pochen einige Kunden, dass wir Zertifikate nachweisen, andere wollen ein Audit mit uns machen und wiederum andere geben uns einen mehrseitigen Fragekatalog mit 200+ Fragen zum Thema IT-Sicherheit.

[TooMuchCoffeeMan]

Wie tiefgehend sind denn tiefergehende Kenntnisse? Ich finde schon, dass man grob verstanden haben sollte welche gängigen Verschlüsselungen es gibt und wo deren Unterschiede und vor allem Schwächen liegen.

Wirklich tiefgreifendes Wissen wird nur in Teilbereichen der IT Security benötigt. Zum Beispiel wenn du an der Programmierung von IT Security Tools mit Verschlüsselungsalgorithmen arbeitest. Dann solltest du das Thema entsprechend tief durchdrungen haben. Im Vulnerybility Management bzw. Threat Detection Bereich hilft tiefergehendes Wissen ebenfalls, ist aber weniger wichtig als z.B. bei der Programmierung.

Daher solltest du dir vielleicht erstmal Gedanken machen in welchen Teilbereich der IT Security du dich entwickeln möchtest, bevor du fragst welche Anforderungen dieser Bereich hat.

[Petrus98]

Danke erstmal an alle die geantwortet haben!

Ich werde möglichst versuchen auf alle Fragen einzugehen.

 

In welchem Bereich der IT Security möchte ich arbeiten ?

Das kann ich eigentlich nicht genau sagen, weil es einfach so viele verschiedene Möglichkeiten gibt. Ich habe bei meiner Recherche schon von zig verschiedenen IT Security Jobs gelesen und kann jetzt nicht wirklich direkt sagen: "Oh ja, genau in den Bereich X will ich". Schon allein wenn ich so ein bisschen in StepStone mal die Stellen für "IT-Sicherheit" durchforste, hat gefühlt jede Stelle ein anderes Anforderungsprofil. Ich blicke da einfach nicht so richtig durch. Vielleicht könnte mir mal jemand nur so ganz grob einen Überblick über die verschiedenen Berufsfelder in der IT Security Branche geben und auch vielleicht in welchem dieser Berufsfelder man mehr mit Kryptographie zu tun hat. Ich kann bis jetzt nur ungefähr sagen, was ich denn interessant fände:

1. Überprüfen von Software/IT-Systemen auf Ihre Sicherheit. Sicherstellen, dass alles geschützt ist.
2. Implementierung von den entsprechenden sicherheitstechnischen Aspekten. Entwicklung von Sicherheitstools fände ich auch cool.
3. Entwicklungsprozess von Software bzgl. der Sicherheit "überwachen".

 

Wieso habe ich konkret nach Kryptographie gefragt ?

Also mir ist schon klar, dass IT Security noch viel viel mehr ist, als nur Kryptographie, aber ist das nicht gerade irgendwo der Kern von IT Security ? Ich habe mich bisher immer an die Empfehlung gehalten: "Im Studium solide Basics schaffen und die Spezialisierung dem Beruf überlassen". Ich weiß nicht wie gut man damit fährt, aber irgendwie ist ja Kryptographie genau das, was alle Bereiche gemeinsam haben und ich dachte, dass es sicherlich Sinn macht solide Grundkenntnisse in Kryptographie zu haben(damit meine ich auch die Mathematik dahinter zu verstehen) und diese nicht nur als "Black Box" zu sehen, wie ich das schon öfters auf Reddit gelesen habe.

Deswegen war ich in erster Linie etwas überrascht, dass ich oftmals sowas gelesen habe wie: "....in den meisten IT Security Berufen braucht man leider fast überhaupt keine Kryptographiekenntnisse..."

Ein weiterer Grund ist, dass mir sowas als Mathematiker einfach entgegenkommt. Mich im Beruf mit Kryptographie und den Algorithmen zu beschäftigen, wäre mir nicht ganz fremd, da ich schon Kontakte mit Algebra und Zahlentheorie im Bezug auf Computeralgorithmen hatte. Nichtsdestotrotz ist mir absolut klar, dass ich neben Kryptographie noch viel mehr lernen muss...

 

Berufsaussichten

Ich muss bei Ansicht 2 immer an die Situation denken, wie ein Mann sich entscheidet, ob er Teilkasko oder Vollkasko wählt. "Hmm...Teilkasko ist günstiger aber vielleicht baue ich mal selbst einen Unfall...da wäre Vollkasko vielleicht besser, aber dann kann ich ja einfach sicherer Fahren und spare mir das Geld für Vollkasko..."

Hab hier und da Threads gesehen, wo sich Mitarbeiter über die Geschäftsführer ausgelassen hatten, die sich den Risiken nicht bewusst waren und auch nicht bereit waren ein gutes Stück an Geld für die IT-Sicherheit in die Hand zu nehmen. Es wäre gut denkbar, dass dann gerade an dieser Stelle gespart wird und das würde ja den Arbeitnehmern nicht wirklich zugutekommen. Wenn man dann deswegen noch ein relativ niedriges Gehalt kriegt, dann würde ich Ansicht 1 nicht mehr komplett zustimmen.

 

[Whiz-zarD]

vor einer Stunde schrieb Petrus98:

Also mir ist schon klar, dass IT Security noch viel viel mehr ist, als nur Kryptographie, aber ist das nicht gerade irgendwo der Kern von IT Security ?

Nein. Ich würde sagen, dass Kryptografie nur einen geringen Teil ausmacht, da man die Kryptografie eh nicht wirklich umgehen kann, wenn man sie richtig einsetzt. Vielmehr geht es um das Erkennen von Schwachstellen von Software und IT-Systemen. Selbst der Heartbleed-Bug im TLS-Protokoll hatte ja nichts mit Krypografie zu tun, sondern es war schlicht und ergreifend ein Fehler in der Programmierung der Heartbeat-Erweiterung. Es wurde die Größe der Datenpakete nicht überprüft, sodass der Angreifer bei einer Nachricht 64 kB des Arbeitsspeichers auslesen konnte. Die Verschlüsselung war nicht betroffen.

Es geht aber auch um die Punkte Datenschutz und Datensicherheit. Auch Datensicherung und Verfügbarkeit von Daten spielen eine Rolle. Du kannst dir ja gerne den Wikipedia-Artikel zum Thema Informationssicherheit durchlesen. Da ist eigentlich alles recht gut beschrieben.

Bearbeitet 6. Mai 2021 von Whiz-zarD

[TooMuchCoffeeMan]

vor 14 Stunden schrieb Petrus98:

Also mir ist schon klar, dass IT Security noch viel viel mehr ist, als nur Kryptographie, aber ist das nicht gerade irgendwo der Kern von IT Security ? 

IT Security oder auch Cyber Security (*würg*) leiten sich im Grunde aus dem Überbegriff der Informationssicherheit ab. Die Informationssicherheit denkt in (zu schützenden) Informationen auf Assetklassen, für die bestimmte Risiken bestehen. Um diesen Risiken zu begegnen, werden Schutzziele definiert. Die bekanntesten und wichtigsten drei Schutzziele sind Vertraulichkeit, Integrität und Verfügbarkeit (kurz CIA). Kryptographie als Sicherheitsmechanismus findet sich nur im Schutzziel Vertraulichkeit wieder. Grob gesagt, mithilfe einer Verschlüsselung möchte ich den Verlust des Schutzziels "Vertraulichkeit der Information" vermeiden. 

Ich kann mich erinnern, dass wir im Studium mal den RSA Algorithmus auf Papier knacken sollten. Natürlich bei einer sehr kurzen Schlüssellänge. Das war durchaus interessant. Aber letztendlich hat es mir bei meiner Tätigkeit im Informationssicherheitsbereich (sowohl organisatorisch als auch technisch) nicht geholfen. Man braucht nicht exakt zu wissen wie der Algorithmus mathematisch funktioniert. Man sollte grob wissen was er tut und wie er sich von anderen Algorithmen unterscheidet. Wo liegen seine Stärken / Schwächen und für welche Einsatzzwecke eignet er sich.

Das Feld der Informationssicherheit lässt sich meiner Meinung nach grob in zwei Bereiche unterteilen: technisch und organisatorisch. Unter den technischen Bereich fällt dann zum Beispiel die Infrastruktursicherheit. Man versucht Systeme vor dem Verlust definierter Schutzziele zu schützen indem man Sicherheitsmaßnahmen ergreift. Das kann alles Mögliche sein, wie z.B. die Segmentierung eines Netzwerks, Network Access Controls, Firewalling, Threat Detection, Threat Prevention etc. Die Berufe in denen man Angriffe analysiert nachdem sie passiert sind (IT Forensik) würde ich auch hier verorten.

Im organisatorischen Bereich ist man meistens auf höherer Flugebene unterwegs. Man formuliert Risiken und überlegt sich adäquate Schutzmaßnahmen, ist aber nicht Derjenige der sie umsetzt. Hierunter fallen zum Beispiel die Tätigkeiten als (Chief) Information Security Officer und der Betrieb eines Information Security Management Systems (ISO 27001).

Als besonderer dritter Bereich wäre noch die Softwareentwicklung im Informationssicherheitsbereich zu nennen. Z.b. die Entwicklung kryptographischer Software zum Schutz von Hochsicherheitsbereichen im Verteidigungsministerium. Es gibt Unternehmen, die sich nur darauf spezialisieren.

 

[Petrus98]

Danke für den Überblick.

Ich hab öfter gelesen, dass auch maschinelles Lernen in Zukunft wohl immer wichtiger werden wird im Bereich der IT-Sicherheit. Möglicherweise wird heute schon Data Science in dem Bereich gemacht. Ist auch dieses Gebiet im "technischen" Bereich angesiedelt ?

Im organisatorischen Bereich arbeiten wohl die Leute mit mehr Erfahrung in dem Bereich oder ? Als Berufseinsteiger kommt man wohl erstmal in den technischen Bereich.