sheldor
Goto Top

Job bzw. Weiterentwicklung im Bereich der IT-Sicherheit

Hallo zusammen,

ich habe ein etwas anderes Anliegen und hoffe ihr könnt mir mit eurer Erfahrung weiterhelfen face-smile

Derzeit bin ich als interner IT-Revisor tätig und für die IT-Sicherheit in meinem Unternehmen verantwortlich. Gleichzeitig mache ich dual meinen Bachelor-Abschluss in WIrtschaftsinformatik. Den werde ich voraussichtlich noch dieses Jahr erwerben.

Zu meiner Frage:
Da mir die Arbeit als IT-Revisior zu theoretisch ist (man entwickelt eher KOnzepte, schreibt Berichte, prüft Prozesse und tauscht sich mit dem IT-Personal aus, ohne selbst was wirklich praktisches zu machen) und mir der praktische Bezug zur IT-Sicherheit fehlt (z.B. SIEM, Monitoring, Pentesting, Forensik, Vorfallsaufklärung etc.) überlege ich den Bereich zu verlassen und mich mit meinem Bachelor auf eine Position zu begeben, die praktischer orientiert ist. Also quasi als Junior.
Der o.g. Arbeitgeber kam jedoch die letzten Tage auf mich z u und hat mir einen unbefristeten Vertrag angeboten, wobei ich langfristig als IT-Sicherheitsbeauftragter eingesetzt werden soll. Dazu gehören dann auch diverse Zertifizierungen (z.B. würde ich gerne den CISSP machen).

Denkt ihr, dass ich als IT-Sicherheitsbeauftragter genug praktische IT-Sicherheit 'mitnehmen' werde? Oder ist die Arbeit auch wieder theoretischer angesiedelt. Ich habe gelesen, dass man als IT-Sicherheitsbeauftragter eher konzeptionell arbeitet, Berichte schreibt, Schulungen durchführt, aber auch als Schnittstelle zu externen Dienstleistern (z.B. Pentester) fungiert.
Ich denke halt auch, dass die Position im Lebenslauf echt gut aussehen würde. Andersrum glaube ich, dass wenn ich mich nicht frühzeitig in Richtung Praxis begeben werde, die Tür für mich in diesem Bereich immer verschlossen sein wird.

Vielen Dank fürs Lesen face-smile

Content-Key: 496310

Url: https://administrator.de/contentid/496310

Ausgedruckt am: 29.03.2024 um 13:03 Uhr

Mitglied: sabines
sabines 19.09.2019 um 11:33:07 Uhr
Goto Top
Moin,

wie lange Berufserfahrung hast Du aktuell in diesen Bereich?

Gruss
Mitglied: brammer
brammer 19.09.2019 um 12:18:50 Uhr
Goto Top
Hallo,

schau dir die gängigen Qualifikationen wie CISSP, CCSP, CISM und CISA einfach mal online an.
Es gibt diverse Seite, Apps oder FB Gruppen für den CISSP, dort findest du auch Fragen aus den CISSP Prüfungen...

brammer
Mitglied: Sheldor
Sheldor 20.09.2019 aktualisiert um 09:10:45 Uhr
Goto Top
Hi face-smile Danke für eure Antworten

Zitat von @sabines:

Moin,

wie lange Berufserfahrung hast Du aktuell in diesen Bereich?

Gruss

Ich arbeite derzeit etwa 6 Monate in der IT-Revision und habe vorher ganz normal 2,5 Jahre eine Ausbildung zum Informatikkaufmann gemacht.
Wie oben geschrieben, finde ich IT-Revision zwar ganz nett, es ist mir aber viel zu theoretisch. Und ich denke, dass ich zügig den Absprung schaffen sollte bzw. meine Aufgaben ändern sollte, um mir auch praktisches Wissen anzueignen.

Zitat von @brammer:

Hallo,

schau dir die gängigen Qualifikationen wie CISSP, CCSP, CISM und CISA einfach mal online an.
Es gibt diverse Seite, Apps oder FB Gruppen für den CISSP, dort findest du auch Fragen aus den CISSP Prüfungen...

brammer

Ja das würde ich soweit auch machen. Es ist aber erst ein Schritt der später erfolgen würde. Grundlegend stellt sich für mich erstmal die Frage, in welchem Bereich und in welchem Aufgabenspektrum ich mich sehe.
Mitglied: brammer
brammer 20.09.2019 um 09:44:30 Uhr
Goto Top
Hallo,

Grundlegend stellt sich für mich erstmal die Frage, in welchem Bereich und in welchem Aufgabenspektrum ich mich sehe.

Die Frage kannst du dir aber nur selber beantworten.

brammer
Mitglied: sabines
sabines 20.09.2019 um 10:25:12 Uhr
Goto Top
Also sechs Monate Erfahrung.
Wenn Du nicht intern wechseln kannst, dann empfehle ich Dir 12-24 Monate zu bleiben.
Das sieht im Lebenslauf besser aus und mit zwei Jahren Berufserfahrung kannst Du besser punkten, auch wenn's in ein anderes Gebiet wechselt.
Mitglied: Sheldor
Sheldor 20.09.2019 um 11:07:49 Uhr
Goto Top
Zitat von @brammer:

Hallo,

Grundlegend stellt sich für mich erstmal die Frage, in welchem Bereich und in welchem Aufgabenspektrum ich mich sehe.

Die Frage kannst du dir aber nur selber beantworten.

brammer

Zitat von @sabines:

Also sechs Monate Erfahrung.
Wenn Du nicht intern wechseln kannst, dann empfehle ich Dir 12-24 Monate zu bleiben.
Das sieht im Lebenslauf besser aus und mit zwei Jahren Berufserfahrung kannst Du besser punkten, auch wenn's in ein anderes Gebiet wechselt.

Genau das ist es ja. Ich würde, wenn ich bleiben würde, zwar weiter Erfahrung im jetzigen Bereich sammeln. Jedoch sehe ich mich auf langer Sicht eben nicht in dem Bereich. Daher habe ich die Idee, bereits jetzt zu wechseln und in der Praxis mehr zu machen und Erfahrungen zu sammeln. Ich denke nicht, dass das so einfach möglich wäre, wenn ich 'nur' Erfahrung im Bereich der IT-Revision hab und dann in die Praxis wechseln möchte.

Allein die Tatsache, dass ich gerade auf der Arbeit sitze und hier posten kann zeigt doch, wie 'spannend' es ist :D
Mitglied: sabines
sabines 23.09.2019 um 09:35:54 Uhr
Goto Top
Ok, wenn Du das so schon eingrenzen kannst, scheint das wenig Sinn zu machen.
Mach' 12 Monate für den Lebenslauf voll und such' Dir was anderes.
Die Entscheidung musst Du aber selbst abwägen und treffen.
Mitglied: Sheldor
Sheldor 25.09.2019 um 08:25:27 Uhr
Goto Top
Hey,

danke für deine Antwort.
Wenn ich in der jetzigen Firma bleibe, hätte ich ja die Möglichkeit IT-Sicherheitsbeauftragter zu werden. Das ist an sich eine gute Position, aber ich weiß nicht ob die Arbeit da auch eher theoretisch/konzeptionell wäre. Andererseits hätte ich die Chance diverse Anschaffungen/Strategien zu initiieren, zu steuern und ggf. auf praktischer Ebene mitzuarbeiten
Mitglied: panguu
panguu 02.10.2019 aktualisiert um 15:26:20 Uhr
Goto Top
Hi,

du schreibst, dass du gerne den CISSP machen würdest und dass du aber keine Lust mehr auf dieses "theoretische" Zeug hast. Das klingt nach kognitiver Dissonanz face-smile

Der CISSP ist mit Abstand der Zertifikatskönig in dieser Kategorie, allerdings würde ich den an deiner Stelle nicht anstreben, weil:

- du musst mindestens 5 Jahre Berufserfahrung in zwei der Domains aus dem CISSP-Inhalt aufweisen
- was du da lernst ist sehr bandbreitig aber mit null Tiefe und erst Recht kein Praxisbezug. Das heißt, der CISSP ist für Kräfte im "Management" gedacht, oder die eben sehr eng mit dem Management oder als Zwischenschicht zwischen Management und der IT arbeiten. Da geht's um Policys, Change Management, Risk Management, Access Control, und so weiter und so fort (den Inhalt kannst du dir in zig Webseiten durchlesen).

Vorab: der CISSP ist echt heavy und du wirst regelrecht mit Input vollgepumpt. Die Prüfung geht 6 Stunden lang und ist definitiv nicht durch Auswendiglernen zu meistern. Du musst alles verstehen und auch anwenden können. Nochmals --> der CISSP hat absolut keinen Praxisbezug, du lernst also nichts, was dich ja "eigentlich" interessiert. Möchtest du deine Stelle und Gehalt aufbessern und Karriere in deiner jetzigen Position machen, dann kannst du dich sehr wohl auf den CISSP stürzen. Ist wie gesagt das bedeutendvollste und anerkannteste Zertifikat weltweit (auch bei uns in Deutschland). Sieh dir dazu nur mal die Jobbörsen an (monster, stepstone, indeed, arbeitsagentur, usw.). Wenn du CISSP bist, wirst du definitiv nie hungern, bloss du musst dir im Klaren sein, dass es dir auch Spaß machen sollte.

Wenn du sagst, du willst was praxisorientiertes in der Kategorie "IT-Sicherheit" dann würde ich den OSCP empfehlen. Der CEH wird auch mit Praxis beworben, ich selbst habe ihn nicht, aber ich kenne einige die den CEH belächeln und eher schlecht darüber reden. Es kann aber durchaus sein, dass der CEH in schlechten Ruf geraten ist, sich aber seit der aktuellsten v10 einiges geändert hat. Ich las nämlich, dass nun auch der CEH eine Art "Verfallsdatum" besitzt und erneuert werden müsste. Wie gesagt, was besseres als OSCP für den praxisorientierten Einstieg kann ich dir nicht empfehlen. Wobei du dir aber garantiert die Zähne ausbeissen wirst ;) du hast noch wenig Erfahrung, ich kann deinen Wissensstand nicht einschätzen. Aber für den OSCP sollte man ein Shell-Guru sein und alle gängigen Netzwerkprotokolle beherrschen, schon sehr viel Erfahrung mit metasploit, nmap, usw. mitbringen und auch Python beherrschen. Dafür bekommst du ein sehr renommiertes Zertifikat wenn du den OSCP bestehst und insbesondere hast du dabei eine "MENGE" gelernt und verdammt viel Spaß dabei gehabt. Offensive Security bietet dir daraufhin auch weitere Kurse an, aber eins nach dem anderen ;) wenn du was äquivalentes zum OSCP machen möchtest, das wäre dann EC Council’s "LPT Master". Um den zu bekommen solltest du jedoch vorher den CEH machen, gefolgt vom ECSA. der LTA ist sowie OSCP, vollkommen 100% praxisorientiert mit anschliessender Berichterstattung an die Prüfer. Mehr Praxisorientierung geht quasi nicht. Also peil mal lieber OSCP bzw. LPT an ;)

viel Erfolg, aber vor allem VIEL SPASS wünscht dir
panguu
Mitglied: Sheldor
Sheldor 07.10.2019 um 11:07:59 Uhr
Goto Top
Danke für die ausführliche Antwort.

Die Module vom CISSP habe ich nur grob überflogen. Ich finde sie insgesamt sehr interessant, wobei die Didaktik vermutlich sehr theoretisch ist und man nicht unbedingt Anwendungsfälle für die Praxis erlernt.

Die beiden von dir angebotenen Kurse sind, nach kurzem Überfliegen von Wikipedia, eher auf das Ethical Hacking/Pentesting ausgerichtet. Würde auch dazu passen, was du in deinem Beitrag geschrieben hast face-smile
An sich klingen die Zertifikate ziemlich cool, nur ich weiß nicht ob es zu speziell in Richtung Pentesting ist. Wenn ich mir vorstelle beispielsweise mit einem SIEM zu arbeiten und Alarme zu prüfen. Natürlich ist Wissen rundum Angriffstechniken etc. relevant. Aber ob CEH oder OSCP zu 100% auf das kleine Beispiel von mir passen würde weiß ich noch nicht.
Mitglied: panguu
panguu 08.10.2019 um 09:08:41 Uhr
Goto Top
Wenn du mit SIEM arbeiten möchtest, dann wäre Pentesting sicherlich nix für dich. CISSP ist natürlich theoretisch, du sitzt da nicht an einem Lab mit Computern, das ist pure Lernerei. Was aber nicht heißt, dass es langweilig wird. Du wirst da sehr gefordert und es wird schon sehr gut erklärt, was sich dahinter verbirgt. Natürlich können die niemals in die Tiefe absteigen, bei solch vielen Domains. Es ist auf jeden Fall sehr interessant und wie gesagt --> mit CISSP steht dir der Arbeitsmarkt zu Füßen ;) Durchfallrate ist allerdings hoch bei diesem cert, das heißt du musst dich da echt reinknien und das alles verstehen. Diese Zertifizierung kann man auf keinen Fall nur durch Auswendiglernerei bestehen.

viel Erfolg wünsche ich