IT-Sicherheits Zertifikate

[whoami312]

Hallo Zusammen,

 

weiß jemand von euch zufällig welche Zertifikate für den Einstieg in die IT-Sicherheitswelt sinnvoll sind und wo man die machen kann?

Über Antworten würde ich mich sehr freuen

[alex123321]

Hi,

von den tatsächlich anerkannten fallen mir ein:
1. Herstellerzertifikate, also beispielsweise AWS Security Speciality

2. Security+

3. Netzwerk zertifikate, wie beispielsweise CCNA oder Network+

4. CEH

 

Bei den meisten Zertifikaten würde ich mich fragen, ob die irgendeinen Wert auf dem Arbeitsmarkt haben. Hast du ein bestimmtes im Kopf?

[KeeperOfCoffee]

vor 9 Minuten schrieb alex123321:

4. CEH

Hat einen schlechten Ruf, jedenfalls wenn man Google glauben schenken mag.

Da fragen die Leute gleich, warum man keinen OSCP oder CISSP macht.

Ansonsten:

Such dich eine Organisation (z.B. CompTIA, ISC2 oder ISACA) und bleib bei deren Zertifikaten, je nachdem welche Richtungen du gehen willst. 

Leg dich am besten einen Plan zurecht.

Netzwerk Certis schaden dazu sicher auch nicht.

[whoami312]

vor 3 Minuten schrieb KeeperOfCoffee:

 

Da fragen die Leute gleich, warum man keinen OSCP oder CISSP macht.

 

Soweit ich weiß ist OSCP eher für schon erfahrene im Bereich Security, oder nicht?

[KeeperOfCoffee]

Yep, deswegen würde ich eher "Einstiegszertifikate" machen, und dann Berufserfahrung sammeln.

z.B. CompTIA Security+ und ähnliches oder den ISC2 Systems Security Certified Practitioner (SSCP).

Aber wie gesagt: Plan aufstellen, dann anfangen

[TooMuchCoffeeMan]

vor 16 Minuten schrieb KeeperOfCoffee:

Hat einen schlechten Ruf, jedenfalls wenn man Google glauben schenken mag.

Ja, das ist so. CEH wird einem quasi hinterher geworfen, entsprechend gering ist der Stellenwert des Zertifikats. Wenn man die Möglichkeit hat es günstig zu bekommen, würde ich es trotzdem für Einsteiger empfehlen. Sieht halt auch blöd aus wenn es Jeder hat, nur man selbst nicht. Und die angeseheneren Zertifikate sind einem als Anfänger meist nicht zugänglich.

vor 16 Minuten schrieb KeeperOfCoffee:

Da fragen die Leute gleich, warum man keinen OSCP oder CISSP macht.

CISSP, CISM und OSCP sind Zertifikate die mehrere Jahre Berufserfahrung voraussetzen und für Anfänger daher nicht geeignet.

"ISO/IEC 27001 Lead Auditor" oder "ISO/IEC 27001 Lead Implementer" werfe ich mal für die organisatorische Seite der Informationssicherheit noch in den Raum. Die Prüfung ist relativ einfach, aber auch nicht günstig. Sollte man sich vom Arbeitgeber finanzieren lassen sofern die Möglichkeit besteht.

 

[whoami312]

Vielen Dank für eure Antworten.

Wie steht ihr zu solchen "Kursen" für den Einstieg?

https://www.wifisalzburg.at/kurs/73191x-online-diplomlehrgang-zum-it-security-manager-online-lernen#

Geht jetzt rein um den Einsteig in die Security-Welt, nicht nur um Zertifikate.

[alex123321]

Wenn man Google glauben schenken mag, dann ist auch CISSP nur ein Wörterbuch Zertifikat das nichts Wert ist. Das trifft mMn für einen Anfänger aber nicht zu und der CEH ist häufig bei Pentesting als preferred angegeben. 

Und CISSP oder OSCP in den Raum zu werfen ist halt vollkommen sinnbefreit. 

 

Ich würde empfehlen dich auf Junior Stellen zu bewerben. Ich hab damals auch keine Zertifikate gebraucht (aber einen Bachelor). Ob der Kurs dir einen Mehrwert auf dem Arbeitsmarkt bietet ist fraglich. Ich glaube es ist rausgeschmissenes Geld

[KeeperOfCoffee]

vor 13 Minuten schrieb alex123321:

CISSP nur ein Wörterbuch Zertifikat das nichts Wert ist

Uhmmm.... CEH ist auch nur ein Multiple Choice Test

[alex123321]

Mein Punkt war dass selbst CISSP nichts wert ist wenn man nach Google geht. Der CEH hat durchaus einen Mehrwert für einen Anfänger

[ZeroZeroZX]

Der CISSP ist ein Zertifikat, für Leute mit Berufserfahrung, die eine Management-Stelle im Bereich der IT-Sicherheit anstreben. Hier wird auch nur theoretisches Wissen abgefragt und man muss nichts "vorführen". Ist aber (im Gegensatz zu den Aussagen der obenstehenden Kommentare) sehr angesehen in den höheren Positionen und gerne mal einem Studium gleichgestellt. Dürfte also rausfallen.

Der OSCP ist für Einsteiger ebenfalls eher ungeeignet, da dieser schon ziemlich anspruchsvoll ist. Dies ist ein rein praktisches Zertifikat. 24 Stunden Zeit zum knacken von verschiedenen Maschinen und anschließendem Write-Up. Fällt also ebenfalls weg.

CEH ist an sich machbar, aber dient i.d.R. nur als Filter für die HR. Technisch versiertere Leute in dem Bereich wissen entsprechend, dass man kein big brain sein muss, um dieses Zertifikat zu erlangen. Ist wie angesprochen auch "nur" ein Multiple-Choice Test. An sich aber nicht verkehrt für den Anfang.

Security+ ist eigentlich auch relativ empfehlenswert für den Einstieg. Besonders im US-Bereich wird das Zertifikat als go-to empfohlen für Einsteiger. Dies wäre eine gute Anlaufstelle für OP.

Ansonsten ist IT-Sicherheit eben ein Bereich, das auf vielen anderen Themen basiert. Themen wie Netzwerktechnik sollten sitzen, weshalb die Empfehlungen von Alex in Richtung Netzwerk-Zertifikate ebenfalls nicht verkehrt sind. Versuchen in eine Junior-Stelle zu kommen und dort Wissen & Erfahrung zu sammeln wird Dir i.d.R. mehr helfen als ein Zertifikat.

Du hast außerdem nicht gesagt, in welche Richtung in der IT-Sicherheit Du Dich bewegen möchtest. Hier variieren die Anforderungen (und Zertifikate) demnach natürlich. Eine 27001 Lizenz wird Dir nicht groß im Pentesting helfen und andersrum wirst Du mit einem OSCP im Bereich Security-Audit nicht den größten Erfolg haben.
Ansonsten, wenn Dich der Bereich Pentesting interessiert (oder Du schauen möchtest, ob Dich der Bereich interessiert), kann ich Dir Webseiten wie TryHackMe oder HackTheBox sehr empfehlen. Hier kannst du das "Hacken" praktisch lernen und Dich je nach Interessen und Niveau auf bestimmte Maschinen stürzen.

[whoami312]

vor 35 Minuten schrieb ZeroZeroZX:

TryHackMe

Habe mir die Seite jetzt mal angeschaut, sieht absolut Interessant aus! Vielen Dank dir

[FBDIMM]

CCNP Security würde ich einwerfen. Der ist echt was wert, und in 3-4 Monaten zu schaffen.

[eneR]

Als Einsteiger? Und dann noch am besten ohne Zugang zu den ganzen Cisco Spielzeugen? Und das in 3-4 Monaten, so mit richtigen Verständnis, ohne Braindumps? Bezweifle ich etwas.

[whoami312]

vor 3 Stunden schrieb ZeroZeroZX:

HackTheBox

Würdest du sagen das Premium Abo lohnt sich?

[KeeperOfCoffee]

Als kompletter Anfänger würde ich erstmal ein paar Wochen üben und lernen, bevor ich Geld ausgebe. Hab zwar nur mit TryHackMe für ne Zeit was gemacht, aber generell solltest du schon innerhalb ein paar Wochen herausfinden, ob dir Premium es wert ist oder nicht.

[alex123321]

Ich würde/habe die paar Euro direkt zu beginn bezahlt. Ansonsten kann man den vorgegebenen Beginner Pfad nicht lückenlos durcharbeiten. Und es sind nur ein paar € ohne mindestlaufzeit.

 

Die eingebaute kali/attacker vm nutze ich nicht, sondern meine eigene kali vm.

[whoami312]

vor 17 Stunden schrieb alex123321:

Ich würde/habe die paar Euro direkt zu beginn bezahlt. Ansonsten kann man den vorgegebenen Beginner Pfad nicht lückenlos durcharbeiten. Und es sind nur ein paar € ohne mindestlaufzeit.

 

Hab die 10€ jetzt auch bezahlt, is ja schließlich ne gute Investition

Jetzt muss ich nur noch die richtigen Zertifikate finden