Jobwechsel Pentesting Extern/Intern

[vMensch]

Hallo zusammen,

 

ich stehe derzeit vor einer schweren Wahl und wollte hier mal fragen, wie die Meinung der Community dazu ist. Derzeit arbeite ich als Penetration Tester bei einem Dienstleister und prüfe bzw. "penteste" externe Firmen. Ich bin bereits seit 7 Jahren hier tätig (3 Jahre Sysadmin & 4 Jahre Pentester). Sowohl der Vorgesetzte, als auch das Team ist super und jeder hilft dem anderen bei Fragen oder ähnlichem. Nun habe ich ein Angebot erhalten, was eine interne Pentesting Position anbietet. Ich würde somit rein hauseigene Applikationen und Systeme testen, sowie die Ansprechperson für Sicherheitsfragen und aktuelle Bedrohungen werden. Hier sehe ich die Chance auf lange Sicht dem eigenen Unternehmen statt externen bzgl. IT-Sicherheit helfen zu können. Was mir allerdings Sorge bereitet ist die Tatsache, dass das neue Unternehmen die IT-Security (Pentesting, SIEM, ISMS usw.) erst seit 2020 aufbaut und derzeit mit 4 Personen besetzt. Insofern ist kein Mitarbeiter länger als zwei Jahre dabei, was mir das Gefühl geben könnte hier langfristig zu bleiben. Besteht die Möglichkeit, dass die Abteilung ausgelagert oder aufgelöst und die Zuständigkeit an externe vergeben werden könnte? Hat da jemand in der Vergangenheit so eine Erfahrung gemacht? Eine weitere Sorge ist eine Probezeit auf sich zu nehmen und womöglich innerhalb dieser gekündigt zu werden, was meinem CV natürlich schaden würde. 

Derzeitiger Arbeitgeber:
- Mitarbeiter: mehr als 10.000
- Konzern mit Tarifvertrag
- Gehalt derzeit bei ca. 60.000€ (Aufstieg auf 70.000€ in den nächsten Jahren möglich)
- 30 Urlaubstage
- 38,5 Stunden/Woche
- Reisebereitschaft (50%)
- Home-Office
 

Angebot:
- Mitarbeiter: mehr als 1000
- Einzelvertraglich
- Angebotenes Gehalt 80.000€
- 30 Urlaubstage
- 40 Stunden/Woche
- kleine Niederlassung ohne Kantine
- Kritis Unternehmen
- 2 Tage die Woche ins Office 

 

[bigvic]

Ja, die Möglichkeit des Outsourcing besteht in jeder Firma. Ja, ich habe so eine Erfahrung mehrfach gemacht - auf beiden Seiten des Tisches (Kunde / Anbieter). Ja, es kann auch wieder in-sourced werden und man verliert den Auftrag als Outsourcer. Ja, man kann in der Probezeit gekündigt werden bzw. ein Kandidat merkt es passt nicht und kündigt.

Ich vermute das hilft nicht weiter, oder doch? 

Ich vermute auch das neue Angebot lag nicht eines morgens bei dir schwuppdiwupp im Postfach. Du wirst den ganzen Prozess mit Vorstellungsgespräch usw usf ja aus irgendeinem einem Grund mitgemacht haben. Pain points, Langweile, Neugier, ... und jetzt hast leider ein Angebot vorliegen

Deine angesprochen Punkte sind klassische Themen die immer passieren können, wenn man was Neues ausprobiert. Das Sicherheitsbedürfnis ist verständlich, aber kann dir keiner erfüllen (Ausnahme Beamte).  Und wenn du da (noch) nicht bereit für das Risiko bist, dann mach es (noch) nicht. Du kannst ja auf die für dich richtigen Lebensumstände warten (z.B. Umzug, wieder Single, abbezahlte Schulden, ...).

Ein Rat zum Abschluss .. es ist meist besser wenn man selbst den Zeitpunkt frühzeitig wählt weiterzuziehen und nicht abwartet bis a) jemand anderes entscheidet oder b) man so unglücklich ist, dass der Druck enorm hoch bei der Suche ist.

Viel Erfolg.

[awesomenik]

vor 5 Stunden schrieb vMensch:

Was mir allerdings Sorge bereitet ist die Tatsache, dass das neue Unternehmen die IT-Security (Pentesting, SIEM, ISMS usw.) erst seit 2020 aufbaut und derzeit mit 4 Personen besetzt. Insofern ist kein Mitarbeiter länger als zwei Jahre dabei, was mir das Gefühl geben könnte hier langfristig zu bleiben.

In der Zeit nahm der Security Bereich in vielen Unternehmen richtig Fahrt auf. Hier würde ich mir also keine Gedanken machen. Wenn sie erst zu diesem Zeitpunkt den Security-Bereich aufgebaut haben - Firewalling macht man ja als "normaler Admin" einfach noch so mit - ist doch nachvollziehbar, dass erst ab dem Zeitpunkt Fachkräfte da sind.

Wie bigvic schreibt, kann das immer passieren. Auch eine Zusammenarbeit mit einem externen Dienstleister sind hier denkbar, da man mit 4/5 Mitarbeitern kaum 24/7 abdecken kann.

Wichtiger für die Entscheidung wäre, ob du dir die Arbeit im neuen Umfeld vorstellen kannst. Für mich z.B. wäre das nichts, weil ich es zu spannend finde, immer mit neuen Kunden zu arbeiten und keine Lust auf die internen Diskussionen und Rechtfertigungen habe, wieso man nun dies und das unbedingt braucht.

[vMensch]

 

vor 5 Stunden schrieb bigvic:

Ich vermute auch das neue Angebot lag nicht eines morgens bei dir schwuppdiwupp im Postfach. Du wirst den ganzen Prozess mit Vorstellungsgespräch usw usf ja aus irgendeinem einem Grund mitgemacht haben. Pain points, Langweile, Neugier, ... und jetzt hast leider ein Angebot vorliegen

Bisher habe ich mich auf einige Headhunter eingelassen, rein um meinen Marktwert zu ermitteln. Den ganzen Bewerbungsprozess habe ich bisher auch bis zum letzten Gespräch aus Neugier mitgemacht, nur um zu sehen wie weit ich kommen kann. 

vor 5 Stunden schrieb bigvic:

Deine angesprochen Punkte sind klassische Themen die immer passieren können, wenn man was Neues ausprobiert. Das Sicherheitsbedürfnis ist verständlich, aber kann dir keiner erfüllen (Ausnahme Beamte).  Und wenn du da (noch) nicht bereit für das Risiko bist, dann mach es (noch) nicht. Du kannst ja auf die für dich richtigen Lebensumstände warten (z.B. Umzug, wieder Single, abbezahlte Schulden, ...).

Tatsächlich ist es so, dass ich derzeit noch jung bin mit 27 Jahren und gewisse Risiken eingehen kann. Die Lebensumstände lassen es irgendwo auch zu, da derzeit keine Schulden, keine Familie etc. existieren, sowie ein Umzug auch für mich in frage kommen würde.

vor 5 Stunden schrieb awesomenik:

Wichtiger für die Entscheidung wäre, ob du dir die Arbeit im neuen Umfeld vorstellen kannst. Für mich z.B. wäre das nichts, weil ich es zu spannend finde, immer mit neuen Kunden zu arbeiten und keine Lust auf die internen Diskussionen und Rechtfertigungen habe, wieso man nun dies und das unbedingt braucht.

Das ist auch wichtiger Punkt. Ich würde ggfs. die gleichen Applikationen immer wieder aufs neue testen und bewerten. Jedoch ist es die gleiche Situation wie mit externen Kunden, welche immer wieder mit den gleichen oder ähnlichen Applikationen kommen und kaum irgendwas gefixt haben. Dies kommt natürlich nicht immer vor, ist jedoch auch nicht unüblich. Dennoch existiert hier eine Abwechslung, da gebe ich dir Recht.

 

Rundum sehe ich das ganze als neue Chance zu wachsen und mehr Verantwortung zu übernehmen, die ich im derzeitigen Unternehmen nicht habe. Man soll ja auch die Komfortzone verlassen um persönlich zu wachsen. Allerdings wurmt es mich, einen sicheren Arbeitgeber zu verlassen - welcher mir die Chance gegeben hat - als Pentester arbeiten zu können und in die IT-Security Fuß zu fassen (dankbarkeit). Ich muss gestehen, es ist schon ein Kampf mit mir selbst  

Ist es vielleicht ratsam mit dem Vorgesetzten über eine mögliche Rückkehr zu sprechen? 

Bearbeitet 19. März 2023 von vMensch

[bigvic]

vor 40 Minuten schrieb vMensch:

 

Ist es vielleicht ratsam mit dem Vorgesetzten über eine mögliche Rückkehr zu sprechen? 

Doppelter Boden & Netz

Es ist nicht sinnvoll. Es bringt dir nichts. Gute Vorgesetzte sagen das sowieso beim Abschied ... die Türe steht immer offen .. ist der Standardspruch. Gibt allen ein gutes Gefühl. Ob es dann wirklich so ist das wird sich zeigen, wenn es soweit ist. Stelle frei? Vorgesetzter noch da? Rahmenbedingungen passen wieder/noch? Usw. usf. Von daher lass es bleiben. Anklopfen kannst immer auch später - wobei ich davon abrate innerhalb von 3-4 Jahren bzw. 2-3 andere Arbeitgeber nach Kündigung. Man muss dann mal ausprobieren, Erfahrungen sammeln und sehen was passt.

[0x00]

vor 6 Minuten schrieb bigvic:

Anklopfe kannst immer auch später - wobei ich davon abrate innerhalb von 3-4 Jahren bzw. 2-3 andere Arbeitheber nach Kündigung.

Rein aus Interesse: Könntest du den Punkt noch ein wenig weiter ausführen? Würde mich sehr interessieren

[bigvic]

vor 11 Minuten schrieb 0x00:

Rein aus Interesse: Könntest du den Punkt noch ein wenig weiter ausführen? Würde mich sehr interessieren

Wenn bei Mutti ausziehst und deine neue Wohnung ist nicht so toll, dann ziehst wieder bei Mutti ein oder suchst ne neue Wohnung? Richtig, ne neue Wohnung, denn es gab ja einen Grund für den Auszug bei Mutti.

Wenn die neue Feundin nicht so toll ist, gehst dann zur Ex zurück oder suchst ne Neue? Richtig, du suchst ne Neue denn es gab ja einen Grund für die Trennung der ja nicht weg ist. 

Und genauso beim Job (sorry für die Vergleiche, die immer hinken). Es gab ja einen Grund warum man gegangen ist und der ist ja nicht auf einmal weg. Daher kann ich nur raten nicht gleich wieder zurück zu rennen, sondern weitere Erfahrungen zu machen. Da kann dann durchaus die Erkenntnis kommen "Ja, bei Ex-AG war es am besten - da will ich wieder hin." Aber diese Erkenntnis kann meiner Meinung nach nicht nachhaltig kommen, wenn man sofort wieder zurückkehrt. Und daher die o.g Daumenregel.

[be98]

Naja, es kommt halt auch drauf an wie die Trennung abläuft. Wenn das professionell abläuft,  würde ich sagen kann man es nach ein paar Jahren wieder versuchen,  ansonsten würde ich sein lassen.  

[eneR]

vor 12 Stunden schrieb vMensch:

meinem CV natürlich schaden würde

Diese denke ist das Problem. Was soll denn ach so schlimmes passieren?

Wie alt bist du denn und welche sonstigen Verpflichtungen hast du? 

[cortez]

vor 16 Stunden schrieb vMensch:

Besteht die Möglichkeit, dass die Abteilung ausgelagert oder aufgelöst und die Zuständigkeit an externe vergeben werden könnte? Hat da jemand in der Vergangenheit so eine Erfahrung gemacht?

Ja, die Möglichkeit besteht immer. Ist mir auch schonmal passiert. Die Frage ist immer, wie ist das Unternehmen aufgestellt und wo will es hin? Wird es komplett ausgegliedert oder ist nur eine eigenständige Firma als Teil einer Holdingstruktur.

Aufgrund eigener Erfahrungen im Kritisbereich würde ich sagen, es ist sehr unwahrscheinlich das ausgelagert wird. Wozu sollte es eine erstmal eine eigne IT Security Abteilung aufbauen, wenn man sich die Services auch einkaufen kann?  

Dazu kommt das für einige Unternehmen im Kritisbereich Security für lange Zeit keine wirkliche Bedeutung beigemessen haben und erst große Hackingangriffe oder Bußgelder wegen DSGVO Verstößen an der Sicht etwas geändert haben.  

vor 5 Stunden schrieb vMensch:

dass ich derzeit noch jung bin mit 27 Jahren

vor 16 Stunden schrieb vMensch:

(3 Jahre Sysadmin & 4 Jahre Pentester)

vor 16 Stunden schrieb vMensch:

Eine weitere Sorge ist eine Probezeit auf sich zu nehmen und womöglich innerhalb dieser gekündigt zu werden, was meinem CV natürlich schaden würde. 

Du bist dir etwas unsicher. Du magst was du machst. Du kommst mit deinen Kollegen super zurecht, aber du möchtest eine Veränderung. Komplett verständlich, denn so wie es aussieht warst du dein ganzes berufliches Leben nur in dem einen Betrieb. Selbst wenn du nur für 1-6 Monate in einer anderen Firma bist und dann suchen musst (weil eine Seite sagt, es passt nicht ), sollte es kein Problem, denn du kannst den Punkt erklären.  

[tTt]

@vMensch

2020 war absehbar, dass sich die gesetzlichen Rahmenbedingungen für Kritis-Unternehmen ändern mit dem BSI-Gesetz 2.0. Da gab es auch den ersten Grobentwurf.

Ich würde mir daher nicht so viele Gedanken machen, warum die Mitarbeiter  dort noch nicht ganz so lange sind.
Gerade auch im Pentesting-Bereich herrscht auch ein guter Mangel an fähigem Personal. Wenn’s ausgelagert werden sollte (extrem unwahrscheinlich bei Kritis) musst du auch nicht lange auf ein neues Stellenangebot warten, denke ich.
 

Wichtig ist für dich:

Was missfällt dir am aktuellen Arbeitgeber?

Was reizt dich am neuen Arbeitgeber? 
Kläre diese Fragen für dich und erstelle dir für beide Stellen eine Pro-/Contra-Liste.

Vielleicht hilft dir das dann bei der Entscheidungsfindung. 
 

Grundsätzlich ist Demut nicht verkehrt, aber deswegen auf eine wohlmöglich interessante Karriereoption verzichten?

Musst du wissen.
Ob es meinem CV schadet oder nicht, ist mir persönlich völlig egal. Ich entscheide eher danach, ob es mir mit der Entscheidung besser gehen könnte oder nicht.
Und die Probezeit ist auch für dich da. Es bringt nichts, sich rumzuquälen, wenn du dort dann völlig unglücklich bist. 
Was ist dein berufliches Ziel?

Was willst du noch erreichen?

Was wünscht du dir von einem Arbeitgeber oder einer Stelle?

All diese Fragen zu beantworten helfen dir dabei herauszufinden, ob der Wechsel für dich sinnvoll ist oder nicht. 
Da du offensichtlich keine Verpflichtungen hast, sei der Hinweis, dass du erstmal 12 Monate lang Arbeitslosengeld beziehen kannst, um dir eine neue Stelle zu suchen. 
Wie gesagt, im IT-Security Umfeld ist der Markt derzeit hervorragend für AN und du wirst wahrscheinlich nicht lange Arbeitsuchend bleiben.