Job in der IT-Security

[S.Kara]

Klar sollte immer alles Protokolliert werden.

Wenn man sich aber (als Zuständiger) dagegen entschieden hat x einzusetzen und dann etwas vorfällt, was x hätte verhindern können, kann man die Schuld nicht mehr auf andere abschieben.

Die Eintrittswahrscheinlichkeit für ein Ereignis ist mitentscheidend dafür, was wann gemacht wird und wieviel dafür ausgegeben wird. Wenn der Sicherheitsexperte meint, dass es zu unwahrscheinlich ist, dann aber doch passiert, ist es mit einem einfachen "es war zu unwahrscheinlich" nicht getan. Da bekommt man dann höchstens ein "Es ist aber eingetreten, so unwahrscheinlich kann es also nicht gewesen sein".

 

[Merle]

Ja klar, aber das ist eine Aussage über jeglichen Beruf mit direkter Verantwortung. Sei es themen- oder personalbezogen.

 

[Onleini]

Da bekommt man dann höchstens ein "Es ist aber eingetreten, so unwahrscheinlich kann es also nicht gewesen sein".

Billiger Trick dagegen: Dinge die man für unwahrscheinlich hält vorher mit dem Chef besprechen und dokumentieren. Auch der Verweis auf Budgetbeschränkungen wirkt Wunder.

Auch wenn es deinen Job in der Firma kostet, rettet es deinen Hintern vorm Arbeitsgericht

 

[PongLenis]

Billiger Trick dagegen: Dinge die man für unwahrscheinlich hält vorher mit dem Chef besprechen und dokumentieren. Auch der Verweis auf Budgetbeschränkungen wirkt Wunder.

Inwiefern hat man denn noch Zugriff auf die Dokumentation, wenn der Chef dein AD Konto dicht macht, nachdem er sich entschiedenen hat dir die Verantwortung zuzuschieben, dass alle Kundendaten bei Torrent gelandet sind?

 

[tek9]

So Jungs das sollte genug Off Topic gequatsche über verantwortlichkeiten gewesen sein

Wie hier schon geschrieben wurde, "IT-Security" ist ein sehr schwammiger Begriff.
Einfach mal Stellenangebote anschauen und gucken ob das wirklich das ist was du willst. In diesem Bereich muss man sich aber auch stätig weiterbilden und immer auf dem aktuellen Stand bleiben.
Da du recht wenig Ahnung zu haben scheinst, empfehle auch ich dir zunächst ein Studium. In dieser Zeit wirst du dann auch Hacken lernen.

Der war gut.

Programmieren sollte man bereits bevor man ein Studium beginnt. In einem Studium ist heutzutage schlichtweg keine Zeit um programmieren oder hacken wieder es nennst einfach mal from scratch zu lernen. Das ist so als wenn man ein BWL/VWL Studium beginnt, aber ab der achten Klasse in Mathe nicht aufgepasst hat.

@TE Schau einfach das du eine Ausbildung oder ein Studium im IT Bereich anfangen kannst und wenn dir security liegt wirst du über kurz oder lang in dem Bereich landen so lange du deine Ziele nicht aus den Augen verlierst. Der kürzeste Weg zum Ziel ist nicht unbedingt der direkte Weg...

 

[drmiu]

Das nenne ich mal resonanz

Der Anfangspost war mit Absicht etwas schwammig, denn ich wollte wissen, welche Skills man von Anfang an mitbringen sollte.

Hier schreiben alle Studium und Programmieren und das war es was ich eben nicht gehofft habe
Ich habe mich damals absichtlich gegen ein Studium entschieden weil mir verschiedenste Arbeitgeber geraten haben, lieber eine sehr gute Ausbildung im Systemhaus zu machen und dann ein breit gefächertes Wissen zu besitzen um dann erfolgreich in der IT zu sein als ein mittelmäßiges bis gutes IT-Studium zu besitzen und dann einer der 500.000 Bachelor zu sein.

Aber für manche Berufe wie die IT Security erfordern eben ein Studium eher als eine praxisorientiere Ausbildung, auch wenn ich mittlerweile auch SCA bin
Ich denke ich weiß alles, was ich wissen möchte und mach weiter bei Plan A2

Dankeschön für die Umfangreichen Posts

 

[e-Funktion]

Hier schreiben alle Studium und Programmieren und das war es was ich eben nicht gehofft habe

Realistisch gesehen: Ohne zumindest Basiskenntnisse im Programmieren zu haben tut man sich als Informatiker schwer beim Verständnis. Im Studium lernt man nicht nur einfach Programmieren sondern die Grundlagen für Rechenmaschinen und co.

als ein mittelmäßiges bis gutes IT-Studium zu besitzen und dann einer der 500.000 Bachelor zu sein.

Wer so dumm ist und sich alleine mit Hochschulabschluss drauf verlässt ist selbst schuld.

 

[drmiu]

Realistisch gesehen: Ohne zumindest Basiskenntnisse im Programmieren zu haben tut man sich als Informatiker schwer beim Verständnis. Im Studium lernt man nicht nur einfach Programmieren sondern die Grundlagen für Rechenmaschinen und co.

Ich denke mal Basiskenntnisse in Java, C++, Assembler und VB.NET sollten ausreichen ^.^ Wenn ich jetzt mal so Sprachen (kann man die so nennen?) wie SQL, HTML und Scripting auslasse.

 

[e-Funktion]

HTML ist keine Programmiersprache sondern eine Auszeichnungssprache SQL ist zwar irgendwo eine Sprache aber sehr begrenzt. Ein bisschen Cpp hat noch niemanden geschadet

 

[Onleini]

@PongLenis: Für sowas gibt's Backups. In wichtigen Fällen auf Papier.
Und im Streitfall muss dein Chef die Doku zugänglich machen. "Zufälliges" Löschen macht vor Gericht keinen guten Eindruck.

 

[PongLenis]

Na, wenn du bereits Fachinformatiker SI bist, dann mach doch einfach die entsprechenden Zertifikate bei Sophos und Cisco und es gibt wohl auch welche für Wireshark.
Wenn dann eine Firma einen Sicherheitsfachmann einstellen will und nicht definitiv jemand studierten sucht, dann sollte das doch klappen oder?

 

[S.Kara]

Der war gut.

Programmieren sollte man bereits bevor man ein Studium beginnt. In einem Studium ist heutzutage schlichtweg keine Zeit um programmieren oder hacken wieder es nennst einfach mal from scratch zu lernen. Das ist so als wenn man ein BWL/VWL Studium beginnt, aber ab der achten Klasse in Mathe nicht aufgepasst hat.

Das ist Unfug.
Bei mir damals im 1. Semester waren viele, vielleicht die Hälfte, die keine Ahnung vom Programmieren gehabt haben. Das lernt man dann schon, so wenig Zeit haben Studenten idR. nicht.

Aber der TE will ja wohl sowieso nicht studieren.

 

[drmiu]

Na, wenn du bereits Fachinformatiker SI bist, dann mach doch einfach die entsprechenden Zertifikate bei Sophos und Cisco und es gibt wohl auch welche für Wireshark.
Wenn dann eine Firma einen Sicherheitsfachmann einstellen will und nicht definitiv jemand studierten sucht, dann sollte das doch klappen oder?

"einfach die entsprechenden Zertifikate bei Sophos und Cisco" ist einfach gesagt wenn man nicht den Blick auf die Preisliste wirft

Naja. Suchen die Securitybeauftragten wirklich eigenständig komplett nach neuen Lücken oder bedienen die sich der CVE Datenbanken?

Nessus habe ich mir auch schonmal angesehen. Top Teil wie ich finde
Eine blöde Frage habe ich vielleicht doch noch. Angenommen ich habe ein Netzwerk welches Perfekt ausgestattet ist mit Firewall, Threat Protection, 0 Warnungen im Nessus, guten Passwörtern, entsprechenden Sicherheitsrichtlinien und Clientsecurity (wie Benutzerschulungen, verschlüsselungen, etc.)
Kann ich mich dann fürs erste im Bereich Security im Unternehmen zurücklehnen, oder was macht man sonst noch so?

 

[Merle]

Naja. Suchen die Securitybeauftragten wirklich eigenständig komplett nach neuen Lücken oder bedienen die sich der CVE Datenbanken?

Das tut keiner außer spezialisierte Firmen, die tatsächlich mit der kompromittierung von Netzwerken vom Inhaber betraut werden. Und selbst die versuchen erst die üblichen Lücken.
Kaum jemand wird selbst 0-Day Exploits suchen/vorhalten, außer vielleicht staatliche Organisationen oder Hacker. Wirkliche Hacker. Im Untergrund vermutlich aktive Hacker, denn ein 0-Day ist viel wert.

Der ganze Rest wird immer informiert.
Ein Beispiel mit IPSec neulich von Cisco (CVE-2016-1287). Cisco informiert seine Kunden. Diese werden je nach Dringlichkeit ihre Kunden informieren, sofort Workarounds anbieten und dann einen Change planen. Bei uns war die Firewall wenige Stunden später gepatcht (in diesem immens kritischen Fall). Aber es war einfach eine Informationskette. Mit Windowspatches ist es ja auch nicht viel anders, in der Praxis wartet man bis zum Patchday, evaluiert, ob sich die Patches mit der Software vertragen, und dann rollt man sie aus. Fertig.

*edit: Alles andere sind, zumindest wenn die Begriffe aus dem Jailbreak übertragbar sind, security researcher. Die suchen Schwachstellen in Algorithmen. Oder systematische Schwachstellen. Keine Ahnung, ob jemand so jemanden einstellt, oder ob die von der bug-bounty und ihren Publikationen leben.

 

[Benji18]

man sucht heute eher selten intern nach lücken, hautpsächlich wird sich auf tools verlassen z.b. Nessus bzw. Scanner die den externen Auftritt auf schwachstellen prüfen.

es gibt Firmen die machen sowas professionell z.b. Radar Services

Zu dem besagten gehören viele Dinge dazu die nichts mit Lücken zutun haben, Anfragen für den Zugriff von extern bzw. umgekehrt, testen neuer Applikationen (Security relevanz), Passwort Richtlinien,etc. dazu gehört auch sehr viel papierkram