Schulungen IT-Security

[IT Wikinger]

Moin,

mein Arbeitgeber möchte, dass ich im Bereich IT-Security Schulungen besuche. Diese sollen jetzt erstmal nicht Themenspezifisch sein, sondern allgemein in diesem Bereich bilden. Ich hätte jetzt an Schulungen wie beispielsweise: Security+; Network+; CEH; CASP; CISSP; GCIH; gedacht. Hat jemand bereits solch eine Schulung gemacht und kann eine für sinnvoll empfehlen, oder eventuell von einer abraten. Zu mir, ich bin dieses Jahr mit der Ausbildung zum FISI fertig geworden und verwirkliche meinen Traum in der IT-Security Fuß fassen zu können. Ich habe einen AG gefunden, der mir die Change gibt und die Schulungen auch bezahlt.

Folgende Punkte wären noch wichtig:

• Mein AG und Ich sind uns einig, eine Schulung mit einem Zertifikat, dass am Ende eine Prüfung erfordert ist am sinnvollsten, denn ohne Prüfung sind Zertifikate unseres Erachtens nach unnötig, da es nicht bestätigt ob man das gelernte überhaupt verstanden hat und anwenden kann.
• Die Schulung sollte in Deutschland stattfinden (nicht meine Voraussetzung)
• Ein Budgetgrenze gibt es erstmal nicht
• Die Schulung sollte vor Ort sein, darf aber auch gerne Wahlweise Online stattfinden (ich bin ein Freund von Präsenz)

Ich freue mich über jede Antwort von Euch, am besten wenn ihr habt, auch gleich mit Links zu den Schulungen. Vielleicht könnt ihr ja auch eine Schulung empfehlen, ratet aber von Schulungsträger XY ab und empfehlt einen anderen.

VG
IT-Wikinger

[mylurid]

Hi!

Zitat

Diese sollen jetzt erstmal nicht Themenspezifisch sein, sondern allgemein in diesem Bereich bilden.

Als ich das gelesen habe, habe ich sofort an die ISO 27001 oder BSI IT Grundschutz gedacht. Sehr breit gefächert, wenig technisch Tiefgang, denken dafür aber (nahezu) jedes Spektrum der IT-Security ab und helfen einen guten Überblick.
 

Dann habe

Zitat

Security+; Network+; CEH; CASP; CISSP; GCIH; 

und

Zu mir, ich bin dieses Jahr mit der Ausbildung zum FISI fertig geworden

gelesen und dachte mir - Vorsicht!

Ein paar der Zertifikate, die du da in den Raum geworfen hast sind 2,3 Nummern zu groß für jemand der frisch aus der Ausbildung kommt.
Auch wenn du sie mit Braindumps und viel Bulemielernen bestehen könntest, heißt das auf gar keinen Fall, dass du sie auch verstehst.
Am ehesten sehe ich da noch das Security+ vom CompTIA für dich.

Schau auch gerne mal auf der Security Road Map von Paul Jerimy vorbei.. dort bekommst du nochmal ein Gefühl dafür, an welcher Stelle, welche Zertifikate sinnvoll wären..

[IT Wikinger]

@myluridErstmal vielen Dank für Deinen extrem hilfreichen Beitrag dazu! Auf ein paar Punkte möchte ich gerne kurz mal eingehen.

vor 15 Minuten schrieb mylurid:

ISO 27001 oder BSI IT Grundschutz

Das als Grundlage schaut überhaupt nicht schlecht aus, ich werde den Vorschlag zu ISO 27001 und Security+ definitiv übernehmen.

 

vor 16 Minuten schrieb mylurid:

Vorsicht!

Ein paar der Zertifikate, die du da in den Raum geworfen hast sind 2,3 Nummern zu groß für jemand der frisch aus der Ausbildung kommt.
Auch wenn du sie mit Braindumps und viel Bulemielernen bestehen könntest, heißt das auf gar keinen Fall, dass du sie auch verstehst.

Diese Befürchtung hatte ich ebenfalls, weswegen ich mich gerne unteranderem in diesem Forum beraten lassen wollte. Mir ist bewusst, dass beispielsweise IT-Forensik nicht ohne Grund ein eigener Studiengang ist und dieser sogar einer der schwersten sein soll. Das Thema IT-Security selbst mithilfe von Schulungen zu erlernen ist sehr komplex und wird mir sehr viel Hirnschmalz abfordern. Das bin ich aber bereit einzugehen, da dies mein Traum ist!
Danke aber nochmals für die Warnung, die werde ich auf jeden Fall beherzigen, bringt ja nichts aufgrund der Komplexität diese teuren Schulungen mit mehr Fragen als Antworten zu absolvieren.

vor 20 Minuten schrieb mylurid:

Am ehesten sehe ich da noch das Security+ vom CompTIA für dich.

Ok, ich denke damit und mit kommender Berufserfahrung wird man sehr gut das Wissen aufbauen können. 

 

vor 21 Minuten schrieb mylurid:

Schau auch gerne mal auf der Security Road Map von Paul Jerimy vorbei.. dort bekommst du nochmal ein Gefühl dafür, an welcher Stelle, welche Zertifikate sinnvoll wären..

Diese Roadmap ist ja mal mega gut! Danke!!! Damit werde ich mal an meinen Chef herantreten und mit ihm sprechen.

Hast du bereits Erfahrungen die Du teilen kannst, welche nennenswert bzw. interessant sein könnten?

Über weitere Antworten und Ideen freue ich mich natürlich immer!

Danke und beste Grüße!

[mylurid]

Hey!

Zitat

Das Thema IT-Security selbst mithilfe von Schulungen zu erlernen ist sehr komplex und wird mir sehr viel Hirnschmalz abfordern.

Das ist gar nicht mal das Thema.
Viel mehr ist das Thema Berufserfahrung und ein ganzheitliches Verständnis sind ganz wesentliche Punkte.
Denn - und da unterscheiden sich (IMHO) alle Schulungen und Zertfikate noch voneinander.. man lebt dort in einer Traumwelt.
Eine Traumwelt, mit Traumprozessen und Traumchefs. Alles ist immer logisch und die Kausalketten passen immer irgendwie zu platten Theorie.

Was meine ich damit?

In der Praxis hingegen sieht das je nach Unternehmen komplett beschissen oder auch nur dezent beschissen aus.
Du musst gegen Vorurteile argumentieren, das Geld ist knapp, der Netzwerker hat keine Ahnung (geht dafür mit dem Chef Sonntags golfen) und so weiter.

Das große Thema bei Security ist - es geht jeden etwas an - vom Empfang, über Sachbearbeiter und Admins bis zur C-Level Ebene (eigentlich ganz besonders wichtig).
Du musst dich in allen IT Bereichen gut auskennen und wissen von was gesprochen wird, wie die Zusammenhänge zwischen Themen und Gerätschaften sind. Außerdem solltest du auch die Geschäftsprozesse kennen und verstehen, wie diese IT-mäßig umgesetzt werden. Auch diese müssen geschützt werden.

Zitat

"IT-Sicherheit schützt Informationen und alle Systeme, mit denen Informationen verarbeitet, genutzt und gespeichert werden"

Was viele vergessen, das hierzu auch die Mitarbeiter selbst zählen. Viele Dinge passieren automatisch und die Informationen dazu sind die in Köpfen gespeichert. Oder Informationen auf Papier. Auch das muss geschützt werden.

ISO 27001 Foundation (guter, günstiger Einstieg) und CompTIA Security+ wäre meine Empfehlung für den Anfang.
Und danach kommt es immer darauf an, in welche Richtung DU gehen möchtest..

 

[Wissenshungriger]

vor 1 Stunde schrieb IT Wikinger:

Security+; Network+; CEH; CASP; CISSP; GCIH

Ich gehe als Erstes auf deine genannten Zertifikate ein:

Security+ kann man machen; ebenso wie Network+; vom CEH würde ich dir abraten, da er im DACH-Raum nicht anerkennt ist, ist auch viel auswendig lernen dabei und weniger Verständnis, außerdem ist er rein offensiv ausgerichtet; CASP kenne ich zu wenig um was sagen zu können; CISSP brauchst du 5 Jahre Berufserfahrung, damit du beim ISC2 anerkannt wirst, also nichts für Einsteiger; GCIH ist von SANS und hat eine sehr gute Signalwirkung, würde ich dir auf jeden Fall empfehlen, allerdings nicht als blutiger Anfänger und auch nicht mit einer vorangegangen Schulung

Zusammengefasst kann man die Comptia Zertifikate in Eigenregie machen, da auch relativ günstig. Wenn die Firma als Sponsor herhält, dann unbedingt das eine oder andere SANS Zertifikat machen. Aber ohne Erfahrung (auch private zählt) würde ich dir SANS nicht antun wollen.

Zu den dir gemachten Vorschlägen ISO 27001 und BSI Grundschutz:

Meiner Meinung nach ist eher so eine "high-level" Zertifizierung. Heißt, die geht wenig ins Detail und hat wiederum genauso wenig technische Tiefe. Ist eher für Berater relevant, die dann Checklisten abhaken können 😉 Aber um zu sehen, was in der IT-Sicherheit alles möglich ist, sicherlich ganz gut geeignet.

Welches Zertifikat ich dir auf jeden Fall als Einsteiger empfehlen kann, ist das CC (Certified in Cybersecurity) von ISC2.
Da wirst du dann auch verstehen warum man überhaupt IT bzw. Cyber Security betreibt.
Meiner Meinung nach werden dort alle wichtigen Bereiche abgedeckt und es ist nicht sehr technisch.
Hab das Zertifikat selbst gemacht und kann es dir daher sehr empfehlen.

Wenn es eher in den technischen Bereich gehen soll, dann kann ich dir auch noch ine.com empfehlen.
Die Zertifizierungen dort sind "hands-on" und nicht nur Fragen auswendig lernen.
Am Black Friday hauen die wieder tolle Angebote raus.

Was ich dir auf jeden Fall noch raten würde:

Werde dir klar, in welche Richtung du gehen möchtest.
IT bzw. Cyber Security ist ein weites Feld.
Und anhand der Cyber Security Roadmap kannst du das sehen 😉 
Wähle dann deine Weiterbildungsmaßnahme gezielt aus 🙂 

[Infinity246]

Hallo,

 

ich habe bei meinem AG gerade ein Trainee-Programm abgeschlossen, ebenfalls im bereich Cyber-Security.

 

Bei uns sah es so aus, dass ich zuerst Linux (RHEL) gelernt habe + Zertifizierung, anschließend CCNA für den ganzen Netzwerkkram (hat mir persönlich extrem geholfen, da ich in der Ausbildung leider nicht allzu viel mit Netzwerken zu tun hatte), und als letztes hatte ich dann den Security+ gemacht. Hinzu kam so gut es ging Praktische Erfahrung bei den Security Herstellern (Palo Alto bzw. generell FWs etc.).

Security+ kann ich ebenfalls sehr empfehlen. Es bietet einen super Einstieg in die Marterie und ich fand auch die Trainings cool gemacht (habe die von CompTIA gemacht, kosten einiges, sind dafür aber am besten für die Prüfung).

Nachdem du die grundlegenden Zertifikate hast, würde ich so gut es geht Praktische Erfahrung sammeln wollen, oder du spezialisierst dich auf bestimmte Hersteller falls möglich (bei mir z.B Palo Alto).

Ich habe zudem noch den BSI IT-Grundschutzpraktiker gemacht. Dies ist die Einstiegzertifizierung für den BSI. Empfand ich als in Ordnung, aber gerade für Techies nicht allzu relevant. Wenn du aber in den Bereich GRC (Governance, Risk and Compliance) oder IT-Architektur gehen möchtest, wirst du den BSI, ISO etc. brauchen.

Wenn du in Richtung Pentesting gehen möchtest, kann ich dir den OSCP empfehlen. Den haben bei uns alle Pentester gemacht und haben davon eig. nur gutes berichtet. Hier sei aber gesagt, dass du dafür eine riesige menge Zeit beanspruchen musst.

Hoffe ich konnte dir soweit helfen. Falls du fragen hast, immer her damit.