Wie steige ich als FISI in die IT-Sicherheitsbranche ein?

[Katana272]

Hallo allerseits,
ich befinde mich kurz vor dem Abschluss meiner Ausbildung als FISI und habe ein gewisses Interesse für IT-Sicherheit entwickelt.
Daher würde ich gerne auch darin Fuß fassen und wollte hier mal die Schwarmintelligenz anfragen.

Zu mir:
Abitur ist vorhanden, Kenntnisse in Linux, Azure, Cisco Netacad Badges, Erfahrungen mit Terraform und Microsoft DevOps während der Ausbildung erlangt.

Ich habe den Eindruck gewonnen, dass die IT-Sicherheit ein Gebiet ist, bei dem ein Einstieg nur schwer möglich ist, und die Ausbildung als Fachinformatiker häufig nicht angerechnet wird.
Ein Studium könnte ich natürlich nachholen, obwohl dabei die Finanzierung das Hauptbedenken darstellt.

Nach ein wenig Recherche habe gefunden, dass bei BaföG mindestens 6 Jahre in der Arbeitswelt benötigt wird und der Satz teilweise nicht die Lebenshaltungskosten
in deutschen Unistädten decken würde. Auch das Ausbildungsbafög würde 2 Jahre Arbeit nach der Ausbildung erfordern und in einem Monatssatz von ca. 860€ resultieren.
Ganz nebenbei bräuchte man Bestnoten in den Ausbildungszertifikaten.

Ein Teilzeitstudium wäre die nächste Möglichkeit. Das bieten zwar viele FH's an, würde allerdings den Abschluss des Studiums ziemlich
in die Länge ziehen und einiges an Flexibilität vom Arbeitgeber erfordern.

Ansonsten gibt es natürlich noch die Möglichkeit des dualen Studiums. Dabei frage ich mich wie sehr duale Hochschulen von Arbeitgebern gewürdigt werden.
Von einigen Absolventen dualer Studiengänge wurde mir berichtet, dass es sich um eine glorifizierte Ausbildung handeln und nicht viel vertieft würde.
Natürlich ist hier das Problem der Finanzierung kleiner, allerdings möchte ich ja etwas lernen.

Die dritte Möglichkeit wäre, sich als FISI sozusagen "hochzuarbeiten".
Von einigen Stellen und Personen habe ich auch gehört, dass es nicht zwingendermaßen ein Studium braucht.
Vorstellbar wäre, sich eine Art Roadmap an abzulegenden Zertifizierungen zurechtzulegen und diese dann diszipliniert abzuarbeiten und zu versuchen .
Vorteile wären hier natürlich finanziell und dass bereits Arbeitserfahrung gesammelt würde.
Nachteile wären natürlich der formal weniger qualifizierte Abschluss, was in der Zukunft bei Bewerbungen auffallen kann, je nachdem wo man sich bewirbt.

Was denkt Ihr dazu?
Habt Ihr noch weitere Empfehlungen für mich? Vielleicht habe ich auch noch Möglichkeiten übersehen.
Möglicherweise lesen Experten, oder Menschen, die sich ähnliche Fragen gestellt haben mit und können Tipps geben.

Euch noch ein schönes Wochenende!

[Brapchu]

Wie wäre es mit erstmal Berufserfahrung sammeln? So als Vorschlag..?

[Whitehammer03]

vor 4 Minuten schrieb Brapchu:

Wie wäre es mit erstmal Berufserfahrung sammeln? So als Vorschlag..?

Schließt das eine denn das andere aus? Man kann sich doch auch im voraus Gedanken zu seinem Werdegang machen?

[x0r]

Viele Wege führen nach Rom.

Ein Studium ist kein muss. Suche dir eine Juniorstelle o.ä.

Ein Studium kann aber natürlich eine gute Basis sein. Ich finde es hängt immer von der einzelnen Person + Ziel ab. 

Wenn du wirklich Ambitionen hast in den Bereich einzusteigen, benötigst du nicht zwangsläufig ein Studium.

Schau mal hier rein:

https://roadmap.sh/cyber-security

https://pauljerimy.com/security-certification-roadmap/

[DerITFenrir]

Die Cybersecurity Branche ist riesig. Weißt du überhaupt, in welche Richtung du gehen willst? Es gibt Blue Team(Verteidigungs fokusierte Jobs wie Soc analyst), Red Team(Pentesting), incident response, forensic etc. 

Allgemein würde ich dir erstmal empfehlen zu gucken, ob das überhaupt, was für dich ist. Alle, die ich in dieser Branche kenne, lieben es in ihrer Freizeit sich up to date zu halten über aktuelle Bedrohungen, leaks, breaches etc. und vor allem bei Sachen wie Breaches gucken, die gerne mal wie es überhaupt dazu kam. Es muss ein riesen Eigeninteresse bestehen(Meiner Meinung nach) 

Sonst kann ich dir als Ressourcen Professor Messer auf YT Empfehlen die Comptia Security+ Playlist ist echt Super um Grundwissen aufzubauen. Mad Hat ist auch ein YT der viele Einblicke gibt Richtung Blue Team.

Studium ist in Deutschland der leichteste Weg, aber es gibt schon wie x0r gesagt hat andere Wege, wie z.B. Juniorstellen, wo man halt im Interview Überzeugen muss.

[x0r]

vor 31 Minuten schrieb DerITFenrir:

Alle, die ich in dieser Branche kenne, lieben es in ihrer Freizeit sich up to date zu halten über aktuelle Bedrohungen, leaks, breaches etc. und vor allem bei Sachen wie Breaches gucken, die gerne mal wie es überhaupt dazu kam. Es muss ein riesen Eigeninteresse bestehen(Meiner Meinung nach

Ganz wichtiger Punkt, gefühlt romantisieren viele den Securitybereich.

[Brapchu]

vor 2 Stunden schrieb Whitehammer03:

Schließt das eine denn das andere aus? Man kann sich doch auch im voraus Gedanken zu seinem Werdegang machen?

Klar. Aber ich finde es immer bedenklich wenn ein noch nicht mal ausgelernter Azubi ohne reale Berufserfahrung in hochkomplexe Themengebiete einsteigen will.

Kann man machen.. aber kann man auch mit auf die Nase fallen.

[Wissenshungriger]

vor 3 Stunden schrieb Katana272:

Ich habe den Eindruck gewonnen, dass die IT-Sicherheit ein Gebiet ist, bei dem ein Einstieg nur schwer möglich ist, und die Ausbildung als Fachinformatiker häufig nicht angerechnet wird.

Da hast du einen falschen Eindruck gewonnen.
Je technischer die Arbeit in der IT-Sicherheit ist, desto weniger interessiert sich jemand für einen formalen Abschluss (ja, es gibt auch die berühmten Ausnahmen von der Regel).

Je nach Bereich in der IT-Sicherheit ist die Konkurrenz sehr groß.
Im technischen Bereich geht es weniger um einen formalen Abschluss als die vorhandenen Skills.
Der Vorteil im Bereich IT-Sicherheit ist, dass man die Skills der Bewerber relativ leicht - auch in der Praxis - prüfen kann.
Und das wird auch gemacht!
Wie bereits hier jemand erwähnt hat, haben die erfolgreichen Leute in der IT-Sicherheit eine hohe intrinsische Motivation und saugen alles auf, was sie in die Finger bekommen 😉

Die zwei wichtigsten Fragen:

1. Weshalb willst du in die IT-Sicherheit?

2. Was interessiert dich an der IT-Sicherheit?

Darauf aufbauend kann man dir dann die nächsten Schritte empfehlen.

Ich habe übrigens keinerlei Abschlüsse im IT-Bereich (und auch nicht im MINT-Bereich) und arbeite dennoch in der IT-Sicherheit 😉 

[Tratos]

Natürlich zählt können mehr als ein MS.c  einige der Besten siehe Steve Jobs, Julian Assarge die viel in der Brance bewegt haben sind Leute die weder eine Ausbildung noch ein Studium hatten. Aber irgendwie haben sie es geschafft aus der Masse herauszustechen.

In der normalen Arbeitswelt musste es halt schon gut drauf haben das du bei einem größeren Konzern in der Sicherheitsabteilung rann kommst, die letzten Jahre vor allem mit den verschlüsselten Festplatten inhalten und den Versuchen Geld abzuschöpfen ist das schon ein heißer Ofen, da wenn es Rund geht und die Firma jede Minute Geld verliert da brauchste schon Nerven aus Draht, vor allem wenn du dafür Verantwortung zeichnest.

Aber bei der Polizei oder dem BSI werden auch entsprechend of Stellen ausgeschrieben. Einfach bewerben.

 

[0x00]

vor 9 Stunden schrieb Brapchu:

Klar. Aber ich finde es immer bedenklich wenn ein noch nicht mal ausgelernter Azubi ohne reale Berufserfahrung in hochkomplexe Themengebiete einsteigen will.

Kann man machen.. aber kann man auch mit auf die Nase fallen.

Wenn ich Algorithmenentwickler werden will, dann führt auch oft kein Weg an einem Studium vorbei. Würdest du dann auch raten erstmal Berufserfahrung zu sammeln...?

Abgesehen davon schadet mehr Bildung erstmal nicht und Berufserfahrung kann man auch nebenher sammeln.

[HeinzHugo]

Ich weiß nicht, wie du auf den Trichter kommst, dass der FISI in Hinblick auf Cyber-Security nix zählt. Ich hatte jetzt schon mehrfach Kontakt zu Firmen - sowohl namenhafte, internationale Player als auch klassische Security/Forensik-Dienstleister - und alle Consultants, die alle nen recht patenten Eindruck gemacht haben - waren ausgebildete FISIs. Klar, ab ner gewissen Zeit in der Branche geht es dann darum, das Wissen zu verbreitern und theoretisch zu unterfüttern.

Das hängt dann auch von deinem AG ab, inwiefern er bereit ist, dich dabei zu unterstützen (einer der Consultants hat berufsbegleitend studiert, wobei die Kosten durch seinen AG übernommen worden sind).

Will sagen, wenn dein Interesse da ist, dann finde die Firmen, die das anbieten, was du machen willst und bewirb dich einfach.

[Pixelfuchs]

In der IT-Sicherheit bist du ein "T-Shaped-Professional". Du brauchst einerseits ein sehr breites Wissen und andererseits in deiner IT-Sicherheitsspezialrichtung ein tiefes Wissen. Das Wissen in der Breite ist wichtig, um Themen und Fragestellungen in einem Gesamtkontext einordnen zu können. Dazu zählen dann Themen, wie Client, Server, Netzwerk, Datenbanken, Programierung, Cloud, ..... Dafür hilft es, wenn man (allgemeine) IT-Berufserfahrung hat und schon ein bisschen was von der IT-Welt gesehen hat und weiß, wie Dinge zusammenhängen und laufen.

Daneben brauchst du dann Expertenwissen in deiner IT-Sicherheitsspezialrichtung. Es wurde ja schon geschrieben, dass die IT-Sicherheit ein sehr breites Feld ist. Zwei Beispiele: Du kannst bei einem Großkonzern in der IT-Sicherheit arbeiten und den ganzen Tag nur Sicherheitsrichtlinien schreiben. Du kannst aber auch bei einem Incident Response Dienstleister arbeiten und bei Opfern von Cyberangriffen die Notfallhilfe leisten, wenn es brennt.

Du solltest für dich rausfinden was du machen möchtest und dir dann einen Weg dahin überlegen. Ein Studium kann ein Weg sein. Es gibt in dem Bereich aber auch einige sehr anerkannte (aber leider auch zum Teil sehr teure) Schulungen. Die "CompTIA Security+"-Zertifizierung ist ein solider und günstiger Einstieg (auch, um einen Überblick zu bekommen) und lässt sich auch gut im Selbststudium bewältigen. Vielleicht ist das ja ein guter Startpunkt für dich.

Neben der ganzen Technik darf man aber auch nicht außer acht lassen, dass der Arbeitsbereich noch einige andere Anforderungen stellt: Das sind z.B. Stressresistenz, Kommunikationsgeschick oder einen Überblick über Gesetzgebung/Regulatorik. Man sollte auch vom Kopf her gut mit Risiken umgehen können. Man kann die Sicherheitsrisiken nicht komplett ausschalten und es verbleiben immer mehr oder weniger große Risiken. Das lässt sich nicht vermeiden, da Sicherheit niemals absolut ist und immer in den Unternehmenskontext eingebettet und gegen Geschäftsanforderungen abgewogen werden muss. Mit diesen Risiken kann nicht jeder mental umgehen, wenn er weiß, dass es Menschen gibt, die Versuchen "das eigene" Unternehmen anzugreifen.

Fazit: Es ist ein Thema, dass hohe Anforderungen stellt, aber auch viel Spaß macht und viel Abwechslung bietet.