gelöst Job bzw. Weiterentwicklung im Bereich der IT-Sicherheit

Mitglied: Sheldor

Sheldor (Level 1) - Jetzt verbinden

19.09.2019 um 08:58 Uhr, 1303 Aufrufe, 11 Kommentare, 1 Danke

Hallo zusammen,

ich habe ein etwas anderes Anliegen und hoffe ihr könnt mir mit eurer Erfahrung weiterhelfen

Derzeit bin ich als interner IT-Revisor tätig und für die IT-Sicherheit in meinem Unternehmen verantwortlich. Gleichzeitig mache ich dual meinen Bachelor-Abschluss in WIrtschaftsinformatik. Den werde ich voraussichtlich noch dieses Jahr erwerben.

Zu meiner Frage:
Da mir die Arbeit als IT-Revisior zu theoretisch ist (man entwickelt eher KOnzepte, schreibt Berichte, prüft Prozesse und tauscht sich mit dem IT-Personal aus, ohne selbst was wirklich praktisches zu machen) und mir der praktische Bezug zur IT-Sicherheit fehlt (z.B. SIEM, Monitoring, Pentesting, Forensik, Vorfallsaufklärung etc.) überlege ich den Bereich zu verlassen und mich mit meinem Bachelor auf eine Position zu begeben, die praktischer orientiert ist. Also quasi als Junior.
Der o.g. Arbeitgeber kam jedoch die letzten Tage auf mich z u und hat mir einen unbefristeten Vertrag angeboten, wobei ich langfristig als IT-Sicherheitsbeauftragter eingesetzt werden soll. Dazu gehören dann auch diverse Zertifizierungen (z.B. würde ich gerne den CISSP machen).

Denkt ihr, dass ich als IT-Sicherheitsbeauftragter genug praktische IT-Sicherheit 'mitnehmen' werde? Oder ist die Arbeit auch wieder theoretischer angesiedelt. Ich habe gelesen, dass man als IT-Sicherheitsbeauftragter eher konzeptionell arbeitet, Berichte schreibt, Schulungen durchführt, aber auch als Schnittstelle zu externen Dienstleistern (z.B. Pentester) fungiert.
Ich denke halt auch, dass die Position im Lebenslauf echt gut aussehen würde. Andersrum glaube ich, dass wenn ich mich nicht frühzeitig in Richtung Praxis begeben werde, die Tür für mich in diesem Bereich immer verschlossen sein wird.

Vielen Dank fürs Lesen
Mitglied: sabines
19.09.2019 um 11:33 Uhr
Moin,

wie lange Berufserfahrung hast Du aktuell in diesen Bereich?

Gruss
Bitte warten ..
Mitglied: brammer
19.09.2019 um 12:18 Uhr
Hallo,

schau dir die gängigen Qualifikationen wie CISSP, CCSP, CISM und CISA einfach mal online an.
Es gibt diverse Seite, Apps oder FB Gruppen für den CISSP, dort findest du auch Fragen aus den CISSP Prüfungen...

brammer
Bitte warten ..
Mitglied: Sheldor
20.09.2019, aktualisiert um 09:10 Uhr
Hi Danke für eure Antworten

Zitat von sabines:

Moin,

wie lange Berufserfahrung hast Du aktuell in diesen Bereich?

Gruss

Ich arbeite derzeit etwa 6 Monate in der IT-Revision und habe vorher ganz normal 2,5 Jahre eine Ausbildung zum Informatikkaufmann gemacht.
Wie oben geschrieben, finde ich IT-Revision zwar ganz nett, es ist mir aber viel zu theoretisch. Und ich denke, dass ich zügig den Absprung schaffen sollte bzw. meine Aufgaben ändern sollte, um mir auch praktisches Wissen anzueignen.

Zitat von brammer:

Hallo,

schau dir die gängigen Qualifikationen wie CISSP, CCSP, CISM und CISA einfach mal online an.
Es gibt diverse Seite, Apps oder FB Gruppen für den CISSP, dort findest du auch Fragen aus den CISSP Prüfungen...

brammer

Ja das würde ich soweit auch machen. Es ist aber erst ein Schritt der später erfolgen würde. Grundlegend stellt sich für mich erstmal die Frage, in welchem Bereich und in welchem Aufgabenspektrum ich mich sehe.
Bitte warten ..
Mitglied: brammer
20.09.2019 um 09:44 Uhr
Hallo,

Grundlegend stellt sich für mich erstmal die Frage, in welchem Bereich und in welchem Aufgabenspektrum ich mich sehe.

Die Frage kannst du dir aber nur selber beantworten.

brammer
Bitte warten ..
Mitglied: sabines
20.09.2019 um 10:25 Uhr
Also sechs Monate Erfahrung.
Wenn Du nicht intern wechseln kannst, dann empfehle ich Dir 12-24 Monate zu bleiben.
Das sieht im Lebenslauf besser aus und mit zwei Jahren Berufserfahrung kannst Du besser punkten, auch wenn's in ein anderes Gebiet wechselt.
Bitte warten ..
Mitglied: Sheldor
20.09.2019 um 11:07 Uhr
Zitat von brammer:

Hallo,

Grundlegend stellt sich für mich erstmal die Frage, in welchem Bereich und in welchem Aufgabenspektrum ich mich sehe.

Die Frage kannst du dir aber nur selber beantworten.

brammer

Zitat von sabines:

Also sechs Monate Erfahrung.
Wenn Du nicht intern wechseln kannst, dann empfehle ich Dir 12-24 Monate zu bleiben.
Das sieht im Lebenslauf besser aus und mit zwei Jahren Berufserfahrung kannst Du besser punkten, auch wenn's in ein anderes Gebiet wechselt.

Genau das ist es ja. Ich würde, wenn ich bleiben würde, zwar weiter Erfahrung im jetzigen Bereich sammeln. Jedoch sehe ich mich auf langer Sicht eben nicht in dem Bereich. Daher habe ich die Idee, bereits jetzt zu wechseln und in der Praxis mehr zu machen und Erfahrungen zu sammeln. Ich denke nicht, dass das so einfach möglich wäre, wenn ich 'nur' Erfahrung im Bereich der IT-Revision hab und dann in die Praxis wechseln möchte.

Allein die Tatsache, dass ich gerade auf der Arbeit sitze und hier posten kann zeigt doch, wie 'spannend' es ist :D
Bitte warten ..
Mitglied: sabines
23.09.2019 um 09:35 Uhr
Ok, wenn Du das so schon eingrenzen kannst, scheint das wenig Sinn zu machen.
Mach' 12 Monate für den Lebenslauf voll und such' Dir was anderes.
Die Entscheidung musst Du aber selbst abwägen und treffen.
Bitte warten ..
Mitglied: Sheldor
25.09.2019 um 08:25 Uhr
Hey,

danke für deine Antwort.
Wenn ich in der jetzigen Firma bleibe, hätte ich ja die Möglichkeit IT-Sicherheitsbeauftragter zu werden. Das ist an sich eine gute Position, aber ich weiß nicht ob die Arbeit da auch eher theoretisch/konzeptionell wäre. Andererseits hätte ich die Chance diverse Anschaffungen/Strategien zu initiieren, zu steuern und ggf. auf praktischer Ebene mitzuarbeiten
Bitte warten ..
Mitglied: panguu
02.10.2019, aktualisiert um 15:26 Uhr
Hi,

du schreibst, dass du gerne den CISSP machen würdest und dass du aber keine Lust mehr auf dieses "theoretische" Zeug hast. Das klingt nach kognitiver Dissonanz

Der CISSP ist mit Abstand der Zertifikatskönig in dieser Kategorie, allerdings würde ich den an deiner Stelle nicht anstreben, weil:

- du musst mindestens 5 Jahre Berufserfahrung in zwei der Domains aus dem CISSP-Inhalt aufweisen
- was du da lernst ist sehr bandbreitig aber mit null Tiefe und erst Recht kein Praxisbezug. Das heißt, der CISSP ist für Kräfte im "Management" gedacht, oder die eben sehr eng mit dem Management oder als Zwischenschicht zwischen Management und der IT arbeiten. Da geht's um Policys, Change Management, Risk Management, Access Control, und so weiter und so fort (den Inhalt kannst du dir in zig Webseiten durchlesen).

Vorab: der CISSP ist echt heavy und du wirst regelrecht mit Input vollgepumpt. Die Prüfung geht 6 Stunden lang und ist definitiv nicht durch Auswendiglernen zu meistern. Du musst alles verstehen und auch anwenden können. Nochmals --> der CISSP hat absolut keinen Praxisbezug, du lernst also nichts, was dich ja "eigentlich" interessiert. Möchtest du deine Stelle und Gehalt aufbessern und Karriere in deiner jetzigen Position machen, dann kannst du dich sehr wohl auf den CISSP stürzen. Ist wie gesagt das bedeutendvollste und anerkannteste Zertifikat weltweit (auch bei uns in Deutschland). Sieh dir dazu nur mal die Jobbörsen an (monster, stepstone, indeed, arbeitsagentur, usw.). Wenn du CISSP bist, wirst du definitiv nie hungern, bloss du musst dir im Klaren sein, dass es dir auch Spaß machen sollte.

Wenn du sagst, du willst was praxisorientiertes in der Kategorie "IT-Sicherheit" dann würde ich den OSCP empfehlen. Der CEH wird auch mit Praxis beworben, ich selbst habe ihn nicht, aber ich kenne einige die den CEH belächeln und eher schlecht darüber reden. Es kann aber durchaus sein, dass der CEH in schlechten Ruf geraten ist, sich aber seit der aktuellsten v10 einiges geändert hat. Ich las nämlich, dass nun auch der CEH eine Art "Verfallsdatum" besitzt und erneuert werden müsste. Wie gesagt, was besseres als OSCP für den praxisorientierten Einstieg kann ich dir nicht empfehlen. Wobei du dir aber garantiert die Zähne ausbeissen wirst ;) du hast noch wenig Erfahrung, ich kann deinen Wissensstand nicht einschätzen. Aber für den OSCP sollte man ein Shell-Guru sein und alle gängigen Netzwerkprotokolle beherrschen, schon sehr viel Erfahrung mit metasploit, nmap, usw. mitbringen und auch Python beherrschen. Dafür bekommst du ein sehr renommiertes Zertifikat wenn du den OSCP bestehst und insbesondere hast du dabei eine "MENGE" gelernt und verdammt viel Spaß dabei gehabt. Offensive Security bietet dir daraufhin auch weitere Kurse an, aber eins nach dem anderen ;) wenn du was äquivalentes zum OSCP machen möchtest, das wäre dann EC Council’s "LPT Master". Um den zu bekommen solltest du jedoch vorher den CEH machen, gefolgt vom ECSA. der LTA ist sowie OSCP, vollkommen 100% praxisorientiert mit anschliessender Berichterstattung an die Prüfer. Mehr Praxisorientierung geht quasi nicht. Also peil mal lieber OSCP bzw. LPT an ;)

viel Erfolg, aber vor allem VIEL SPASS wünscht dir
panguu
Bitte warten ..
Mitglied: Sheldor
07.10.2019 um 11:07 Uhr
Danke für die ausführliche Antwort.

Die Module vom CISSP habe ich nur grob überflogen. Ich finde sie insgesamt sehr interessant, wobei die Didaktik vermutlich sehr theoretisch ist und man nicht unbedingt Anwendungsfälle für die Praxis erlernt.

Die beiden von dir angebotenen Kurse sind, nach kurzem Überfliegen von Wikipedia, eher auf das Ethical Hacking/Pentesting ausgerichtet. Würde auch dazu passen, was du in deinem Beitrag geschrieben hast
An sich klingen die Zertifikate ziemlich cool, nur ich weiß nicht ob es zu speziell in Richtung Pentesting ist. Wenn ich mir vorstelle beispielsweise mit einem SIEM zu arbeiten und Alarme zu prüfen. Natürlich ist Wissen rundum Angriffstechniken etc. relevant. Aber ob CEH oder OSCP zu 100% auf das kleine Beispiel von mir passen würde weiß ich noch nicht.
Bitte warten ..
Mitglied: panguu
08.10.2019 um 09:08 Uhr
Wenn du mit SIEM arbeiten möchtest, dann wäre Pentesting sicherlich nix für dich. CISSP ist natürlich theoretisch, du sitzt da nicht an einem Lab mit Computern, das ist pure Lernerei. Was aber nicht heißt, dass es langweilig wird. Du wirst da sehr gefordert und es wird schon sehr gut erklärt, was sich dahinter verbirgt. Natürlich können die niemals in die Tiefe absteigen, bei solch vielen Domains. Es ist auf jeden Fall sehr interessant und wie gesagt --> mit CISSP steht dir der Arbeitsmarkt zu Füßen ;) Durchfallrate ist allerdings hoch bei diesem cert, das heißt du musst dich da echt reinknien und das alles verstehen. Diese Zertifizierung kann man auf keinen Fall nur durch Auswendiglernerei bestehen.

viel Erfolg wünsche ich
Bitte warten ..
Heiß diskutierte Inhalte
Router & Routing
VPN Performance durch Mikrotik erhöhen
JseidiFrageRouter & Routing29 Kommentare

Hallo zusammen, ich habe Stand heute zwei Standort die ich per Site-to-Site VPN über zwei Fritzboxen verbinde. Da hier ...

Server-Hardware
Grobes Konzept Hyper-V Storage - Storage für Hyper-V
nachgefragtFrageServer-Hardware19 Kommentare

Hallo Administratoren. Um VHDX-Daten zentral zu halten freue ich mich auf Euren konstruktiven Input. Bisher liegen die VHDX-Daten jeweils ...

Voice over IP
Brother-Fax an Speedport Hybrid funktioniert nicht
gelöst kman123FrageVoice over IP16 Kommentare

Hallo liebes Forum, ich bin neu hier und hätte eine kleine Frage, da ich einfach nicht weiter komme. Sorry ...

Ubuntu
Ubuntu 20.10 "Groovy Gorilla" mit GNOME 3.38 und Kernel 5.8 veröffentlicht
FrankInformationUbuntu13 Kommentare

Canonical hat Ubuntu 20.10 veröffentlicht. Die neue Version mit dem Codenamen "Groovy Gorilla" bekommt lediglich 9 Monaten Sicherheitsupdates, kritischen ...

Windows Userverwaltung
Synology mit Azure Active Directory verbinden
roeggiFrageWindows Userverwaltung13 Kommentare

Ich suche eine Lösung mit der ich ein Synology NAS mit der Active Directory verbinden kann um die Benutzer ...

Windows 10
RFID oder ähnlich Methode zur Sperrung W10pro bei Abwesenheit - Anmeldung nur über PW wieder ermöglichen
UweGriFrageWindows 1013 Kommentare

Hallo Admins, folgende Lösung wird gesucht: W10pro Anmeldung über Bitlocker Freischaltung und PW bei Anmeldung. Gesucht wird: RFID Chip ...

Ähnliche Inhalte
Sicherheit

Erneuerung IT-Infrastruktur mit IT-Sicherheit im KMU Bereich

MasterPhilFrageSicherheit13 Kommentare

Moin, wir ziehen demnächst mit ca 100 Mann (Tendenz steigend) in ein neues Gebäude und möchte da auch die ...

Tipps & Tricks

IT-Sicherheit

gelöst RaucherbeinFrageTipps & Tricks13 Kommentare

Hi Leute. Ich bin seit geraumer Zeit im Netz auf der Suche nach brauchbaren Inhalten zum Thema IT-Sicherheit. Ich ...

Off Topic

Selbstständig im IT-Bereich?

Schroedingers.KatzeFrageOff Topic23 Kommentare

Hallo zusammen, mich beschäftigt zunehmend die Frage, ob ich mich nicht im IT-Bereich selbstständig machen sollte. Wahrscheinlich im Dienstleistungs- ...

Batch & Shell

Weiterentwicklung von Powershell

Penny.CilinInformationBatch & Shell

Anbei ein Artikel im Heise Newsticker bzgl. Powershell: Systemverwaltung: PowerShell goes Cross-Plattform

Ausbildung

Weiterbildung im IT-Bereich, Homepage, Beratungsstellen?

cramtroniFrageAusbildung3 Kommentare

Guten Tag zusammen, ich würde gerne eine Weiterbildung als IT-Security-Manager machen, bisher habe ich allerdings nur 3 Orte gefunden, ...

Erkennung und -Abwehr

IT-Sicherheit: Fake Mail, - Analyse, - Schulungssystem

m4rc.xFrageErkennung und -Abwehr12 Kommentare

Hallo zusammen, für mein Abschlussprojekt hat mir mein Abteilungsleiter eine Projektidee in den Raum geworfen: Ein anderer IT-Leiter eines ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT