Eure Meinung zum OSCP

Nur damit ihr die Realität nicht vergesst.

In sehr vielen großen und mittelständischen Firmen sitzen teilweise Personaler, die von den den Tätigkeiten in den Spezialbereichen nicht die geringste Ahnung haben. Ein Personaler ist häufig nicht in der Lage die Qualifikation zu beurteilen. Um auf der Sicheren Seite zu sein, nimmt man da sehr gerne Zertifikate an - ob sie sinnvoll sind oder nicht, spielt dabei eine untergeordnete Rolle. Das ist, wie in vielen anderen Bereichen auch, das Phänomen, dass sich persönliche Verantwortung in strukturellem Einvernehmen auflöst, denn niemand kann einem Personaler einen Vorwurf machen, wenn sich die Anstellung eines total bekloppten Mitarbeiters auf seine Schulnoten und Zertifikate stützt. Und es gibt genug Idioten, die Zertifikaten und Schulnoten eine nicht angemessene Bedeutung beimessen. Ist zwar blöd - aber eine Tatsache und dayli business.

In einer kleinen Softwareschmiede hat man es idR mit Leuten zu tun, die auch Ahnung haben, von dem was sie tun. Da hat der Geschäftsführer am Anfang noch selbst Code geschrieben und/oder Netze gebaut etc.
Deswegen kommt jemand wie ich, immer sehr viel leichter dort unter als in einem großen Unternehmen. Ein Frischling von der Uni hat es (so ist meine Erfahrung) dann eher in Unternehmen Chancen, wo es gewisse Strukturen für Einschätzungen der Qualifikation gibt und allgemein wenig pragmatisch gearbeitet wird.

So oder - Zertifikate zu machen und zu haben ist IMMER von Vorteil. Wann und wo man welche Zertifikate erwähnt, ist dann ja ein anderes Thema.

Geht es aber um die Grundsatzfrage, so ist diese eigentlich kaum diskussionswürdig.
 
Da bin ich genau deiner Meinung.
HR-Firewall!

@schwarzebeere

Nö es geht hier ursprünglich um die Meinung zum OSCP. Ob dieser was Wert ist oder nicht, dann gings um Zertifizierungen, die deiner Meinung überflüssig sind. Ich finde deine Meinung verbesserungswürdig ;)

Außerdem können auch Studenten während des Studiums Zusatzqualifikationen erwerben, die Sinn machen. ITIL Foundation z. B. nur um einen Überblick dazu zu haben.
Man kann sich, um beim Thema zu bleiben, durchaus während des Studiums mit dem OSCP oder auch anderen Zertifizierungen qualifizieren. Berufserfahrung steht immer auf einem anderen Blatt. Und wenn man sich im Bereich Pentesting zertifizieren lassen will ist der OSCP eine der wenigen und sogar günstigsten Möglichkeiten. Aber man ist erstmal auf sich gestellt, da kaut einem keiner die Lösungen vor.

Als ich von der Schule abging waren die Hochschulen recht unflexibel und hatten vielleicht mal Schnupperkurse IT-Sicherheit. Das Thema kann man den meisten Abiturienten auch nicht so umfangreich vor die Nase setzen. Nicht umsonst legt man auf Berufserfahrung so viel Wert. Schwerpunkte hin oder her. Auch der Master in IT-Security befähigt dich eher für die ISO 27001 als zum Pentester. Das Augenmerk liegt im Schnitt eher auf solch organisatorischen Normen als auf technischem Know How.
Der CCC ist ein Verein für sich. Ich find ihn gut aber dennoch wird er von der Wirtschaft mehr belächelt als ernst genommen. Im Studium ist auch nicht genug Zeit um das Thema intensiv genug zu behandeln. Dazu müssen zu viele Grundlagen abgedeckt werden. Aber is ja gut, dass es sowas gibt. Die Leute zeichnen sich aber eher dadurch aus, dass sie bei events wie der Cyber Security Challenge auffallen und in der Bewerbung nicht von ihrer Zeit beim CCC erzählen. Da fällt das können dann auf.

Es gibt Zertifizierung mit Ausbildung. Es heißt ja nicht, dass man immer NUR die Prüfung machen muss.

CPE's... ja... Auf den Konferenzen hier zu Lande liegt der Schwerpunkt beim Buffett. Ich habe wenigstens die Wahl eine IT-Sicherheitsfortbildung zu besuchen wo und wann ich will oder nur ein Buch zu lesen. Den OSCP behalte ich. Ein gewisser Punkt von Freiheit. Und ich bin nicht gezwungen einen neuen 40 Fragen MC-Test einzukaufen, weil drei Jahre ablaufen. Das ist jetzt aber eher eine Glaubensfrage. Und ja auch dachen aus dem Studium kann man verlernen. Das wiederspricht sich doch.

Zerlegt man eine Ausbildung oder ein Studium in die Module und Abschnitte stellt man fest, dass es nichts anderes als standardisierte Weiterbildungen mit Zertifizierungen sind.
Du stellst gerade deine Cisco Zertifizierung in Frage. Da lerne ich auch ein Monat vorher die Thematik und werde dann geprüft.

Ja es gibt neue Schutzmechanismen, die aber wieder umgangen werden. Auch ASLR. SQL Injections sind bekannt kommen aber immer wieder vor. Auf dem Vormarsch ist hier nicht viel, vorallem Deutschland hinkt IT technisch um einiges hinter her. Wir laufen demnächst vielleicht auch verzweifelt hinter her. IT-Security = NO Security Made in Germany. Hauptsache ich hab auf dem Papier ein IT-Sicherheitskonzept. Das ist Realität.

Der OSCP ist definitiv in keinem Grundstudium abgebildet, für die Behauptung hadt du einfach zu wenig Ahnung vom OSCP. Da hätten wir ja sonst ein Land voller Pentester ;)

Arbeitszeugnisse werden nicht selten selbst geschrieben und dem Chef oder Vorgesetzten mit personalverantwortung vorgelegt, kurz verbessert und unterschrieben. Hab ich oft genug gesehen. Und dann ruf mal bei der Firma an.

Ja es wird Erfahrung z. B. in Form von Zertifizierungen abverlangt.
Keine Erfahrung != OSCP
Man kann den PWK Kurs ohne Erfahrung beginnen. Den OSCP bekommt man dann aber nicht.
Wie schon erwähnt erfordert das Bestehen ein mindestmaß an Fähigkeiten, welche sich nur durch praktische Erfahrung erlernen lassen.
Zielgruppe PWK = Alle
Zielgruppe OSCP = junior Pentester
Durchfallquote nach meiner persönlichen Einschätzung über 70%.
Was orakelst du jetzt daraus?

Vorsicht is ja Gesund. Aber mir würde jetzt auch nichts schlechtes zum OSCP einfallen. Ich fand den einfach toll und er hat Spass gemacht. Hier trifft wohl eher Angst auf Logik. Es gibt keine OffSec Verschwörung :p

Ich geb dir recht Stellenausschreibungen sind ein Punkt für sich und man kann auch ohne Zertifizierung weiter kommen. Aber wie schon erwähnt... eine zu haben kann entscheiden... muss aber nicht.
Und wenns in der Ausschreibung schon aufgelistet ist wird sich das im Anforderungsprofil wieder finden. Und da sind Zertifizierungen immernoch aktuell. Ich würde auch eher jemanden nehmen, der die Zertifizierung schon hat bevor ich sie bezahlen muss, der Typ dann auch noch nicht verfügbar ist und ich dann auf den warten muss. Zeit ist Geld und geiz ist geil.
 
Zuletzt bearbeitet:
Auch der Master in IT-Security befähigt dich eher für die ISO 27001 als zum Pentester.
Ich habe meinen vor einigen Monaten an einer Uni (mit Kursbesuchen bei der benachbarten, eher praxis-orientierten Hochschule) erst abgeschlosen, deine Erfahrung kann ich nicht teilen. Aber gut, belassen wir es dabei.

CPE's... ja... Auf den Konferenzen hier zu Lande liegt der Schwerpunkt beim Buffett.
CPEs hin oder her. Sie verlangen eine kontinuierliche Auseinandersetzung mit dem Thema. Den OCSP hast du auch, wenn du 2 Jahre lang nichts gemacht hast. Ob das gut ist oder nicht, soll die Arbeitgeberin oder der Arbeitgeber entscheiden.

Achja. Ein Studium hast du auch noch, selbst wenn du 2 Jahre nichts gemacht hast, das ist richtig. Aber weisst du was? Das Großartige am Studium ist der Grundlagenbezug, das Generische, Produktunabhängige. Der Fakt, dass man Durchhaltekraft und Organisationsfähigkeiten zeigen muss, um bis zum Ende zu kommen. Das ermöglicht dir auch in 5-10 Jahren noch das Verstehen von Mechanismen. Oder zumindest deren strukturierte Erarbeitung. Ich wiederhole mich gerne: Ein Zertifikat oder eine 2 Monatige Online-Schulung hat nichts, aber auch garnichts mit einem 3-7 jährigen Studium zu tun. Auch nichts, wenn du das Studium in seine Einzelteile zerlegst, denn die Einzelteile müssen trotzdem noch als Ganzes gesehen werden, um am Ende Sinn zu ergeben (und um Akkreditiert zu werden...).

Hier trifft wohl eher Angst auf Logik.
Hier trifft eher Vorsicht auf eine Industrie von Verkaufsmenschen, die einem um jeden Preis die Ware Zertifikat schmackhaft machen wollen. Juniors brauchen keine Zertifikate, Seniors können sie mit Erfahrung auch so nachweisen. Und die Professionals dazwischen - die können von mir aus welche machen. Hier stehen aber auch nicht mehr die Inhalte im Vordergrund, sondern die Zertifizierung an sich.

Anders ausgedrückt: Zertifikate an Juniors zu verkaufen ist ein gutes Geschäftsmodell. Hier treffen Löwinnen und Löwen auf eine große Herde junger, unbedarfter und unerfahrener Gazellen. Was gibts besseres, ne? ;)

Und wenns in der Ausschreibung schon aufgelistet ist wird sich das im Anforderungsprofil wieder finden.
Guter Witz zum Ende deines Posts :D

Aber hilf mir doch bitte auf die Sprünge, denn die im dritten Post verlinkten Kursinhalte hatte ich spätestens im 6. Semester als Praxisaufgabe vorliegen: Was kann ein OCSP-zertifizierter Mensch, das ein Mensch mit ITSec-Master-Abschluss nicht kann?
 
Zuletzt bearbeitet:
Ich frag mich grad wie erfahren du eigentlich bist? Ohne Ausbildung und Zertifizierungen kannst du das ja nicht mal nachvollziehen. Mur kommts auch so vor, dass du entweder noch nicht so viel Arbeitsluft geschnuppert hast oder in einer anderen Welt arbeitest :p

Nur auf dem Campus gelernt zu haben heißt auch noch nichts. Ich hab vorhin mal google zum IT Master befragt und so den Unterschied hab ich da nicht feststellen können. Liegt vielleicht daran, dass man da auch mit nem BWL Studium anfangen kann. Da fängt man dann wieder bei Grundlagen an. Wenn ich mein Studium betrachte ist das 1:1 ne IHK Berufsausbildung mit dem einzigen Unterschied, dass man sich wieder mit Mathe beschäftigen muss. Ansonsten kenn ich alles aus der Ausbildung und JA aus ZERTIFIZIERUNGEN.

CPE's sind oft so ausgelegt, dass man diese über Kurse des Verbandes erhält. Alles drum rum mit Konferenzen oder Bücher lesen ist meist so begrenzt, dass es allein nicht ausreicht.

Wenn ich 2 Jahre nichts mache fällt das vielleicht auf. Aber wie gesagt, die Grundlagen sind seit jahren die gleichen. Ok es gibt stärkere passwörter. Da muss man umdenken. Statt April2016 ist es April2016+

Du willst mir jetzt nicht erzählen dass Studenten Superhelden sind und nie was vergessen? Auch ein Akademiker verlernt Dinge. Das sieht man meistens bei größeren Firmen, wo das Management die Realität nicht mehr wahr nimmt, weil sie zu lange raus sind. Also vergöttliche mal das Studium nicht ;) Es gibt gute alternativen und wer nicht am Ball bleibt ist so oder so raus mit oder ohne studium..

Klar Weiterbildungen können im Studium angerechnet werden ;)
Und auch da kann man das ganze betrachten.

Ich würde mich nicht als Gazelle bezeichnen ;) Auch die Hochschulen langen bei dem Kuchen ordentlich zu ;)

Na wie schon gesagt die HR-Firewall exsistiert und gleicht dein Bewerberprofil ab, das war kein Witz.

Die Inhalte sind die Kursinhalte, nicht die Prüfungsinhalte.

Ok dann frag ich mal so Mr. Master in IT Security. Ich geb dir 5 IP Adressen und ein paar Bedingungen (z. B. keine automatisierten tools ala sqlmap, kein metasploit, keine vulnerability scanner) und du schickst mir am nächsten Tag nen vollständigen Pentestreport?
 
... oder in einer anderen Welt arbeitest :p
Da ich nicht den Weg über IHK und Co. gegangen bin, wird es das wahrscheinlich sogar sein.

Ich hab vorhin mal google zum IT Master befragt und so den Unterschied hab ich da nicht feststellen können. Liegt vielleicht daran, dass man da auch mit nem BWL Studium anfangen kann. Da fängt man dann wieder bei Grundlagen an.
Unser Master IT-Sicherheit hier ist so ausgelegt, dass du faktisch einen Informatik-Bachelor gemacht haben musst. Mit BWL kommst du da nicht besonders weit ;)
Weitere Infos gibts hier, Vorlesungsverzeichnis mit Inhalten hier.

Klar Weiterbildungen können im Studium angerechnet werden ;)
Im heutigen Bachelor/Master-System ist diese Anrechnung üblicherweise nicht möglich, da sie nicht in die Akkreditierung einfliessen oder die Uni in irgendeiner Form Einfluss auf die Qualität nehmen kann. Das Hochschulrechenzentrum hat hier den CCNA angeboten und sich mehrere Jahre darum bemüht, den im Studium anrechenbar zu machen. Keine Ahnung, ob das inzwischen erlaubt ist.

Die Inhalte sind die Kursinhalte, nicht die Prüfungsinhalte.
Erzähl doch bitte etwas über die Inhalte. Darüber findet man wenig bis nichts im Internet. Unterschreibt ihr denn alle NDAs vor den Prüfungen oder warum gibts hier nur so spärliche Informationen?

Ok dann frag ich mal so Mr. Master in IT Security. Ich geb dir 5 IP Adressen und ein paar Bedingungen (z. B. keine automatisierten tools ala sqlmap, kein metasploit, keine vulnerability scanner) und du schickst mir am nächsten Tag nen vollständigen Pentestreport?
Wie gesagt: Lass uns die Inhalte abgleichen, dann sehen wir ja, wo die Unterschiede liegen ;)
 
Naja der Weg durch die Arbeitswelt ist i. R. überall ähnlich, außer du hast die Uni nie verlassen :p Dann fehlt dir aber definitiv der Bezug zur Realität ;)

Auch bei deiner Uni steht "oder vergleichbar" sprich alles auf selben DQR Niveau kann man theoretisch anrechnen. Wie z. B. meinen operativen Professional, der sogar in Bayern das Studium verkürzen kann und an manchen Unis den direkten Einstieg ins Master Studium ermöglicht.
Also ich würde vermuten ein BWLer mit IT Zertifikaten würde zugelassen werden :p ob es ihm liegt steht auf nem anderen Blatt

Ok über deine uni bin ich auch gestolpert und ich sehe aber nicht in welchem Modul der Pentester geschmiedet wird. Ich vermute nur, dass das eins von den freiwilligen Programmen ist.

Der Schwerpunkt liegt immer nur auf dem IT-Sec Bezug bei Organisation, Konzeption, Architektur und Entwicklung usw. Wer über den Tellerrand schauen will macht das meist eigenmotiviert in nem Zusatzmodul beim CCC :p Wenn du meinst, dass dich das in der Wirtschaft ohne Nachweis zum Pentester erklärt. Good luck.
Wenn der CCNA nicht angerechnet wurde, wird das in der Hochschul Lobby wohl eher ne politische Entscheidung gewesen sein. Vielle wollen ja nicht, dass man an deren Status kratzt ;) Wie kann denn nur ein Hauptschüler bei uns studieren? OMG :p

Nun ja es gibt genug Reviews im Netz an denen man sich den Ablauf rauslesen kann. Dass es sich um eine Hand voll Hosts handelt und man root/admin Zugriff erlangen muss ist kein Geheimnis. Dazu gibt es Einschränkungen bei den Tools, man muss quasi fast alles mit der Hand machen. Ein autopwn Button ist quasi verboten. Dann gibt man seinen Report ab. Da muss neben den Nachweisen in form von Screenshots auch ne Struktur und ne Methode wie z. B. OSSTMM erkennbar sein. Also was möchtest du denn konkret wissen? Beispiele werd ich keine nennen. Denn es ist nicht gewollt Prüfungslösungen zu veröffentlichen. Ich kenn auch nicht alle. Wenn ich wie bei vielen anderen die Fragen und Antworten im Netz finde wird die Erfolgsquote die Qualität beeinträchtigen. Das ist nicht im Sinne der Zertifikatsinhaber. Und wie auch bei allen anderen werden die Prüfungen nicht für jeden Prüfling individuell überarbeitet. Das heißt ein Host aus der heutigen Prüfung kann in drei Wochen erneut dran kommen. Find ich ein Walktrough durch google wäre diese "charge" an OSCP's wohl weniger Wert. Was die Frage beantwortet... es ist ein Pentest... nicht mehr und nicht weniger... wenn du nichts damit anfangen kannst lies dir OSSTMM durch.
Mehr zu den Regularien erfährt man nach der Anmeldung im Forum.
 
Zuletzt bearbeitet:
Naja der Weg durch die Arbeitswelt ist i. R. überall ähnlich, außer du hast die Uni nie verlassen :p Dann fehlt dir aber definitiv der Bezug zur Realität ;)
Meine Realität gefällt mir ganz gut, insofern sehe ich da kein Problem. Nur soviel: Ich habe in den letzten 5 Jahren in >10 Unternehmen in der Größenordnung zwischen 2 und 500.000 Mitarbeiter, sowohl auf Hardcore-IT-, als auch auf Managementebene als BeraterIn und IntegratorIn reinschnuppern können. Zertifikate waren für mich dort nirgens ein Thema. Weder im Bewerbungsgespräch, noch im Doing. Diesem Schwanzvergleich musste ich mich somit noch nie stellen. Vielleicht kommt auch daher meine ablehnende Meinung. Vielleicht kommt sie aber auch von der Industrie, die mit allen Mitteln versucht, Geld zu verdienen und nicht merkt, wie sie immer weiter in den Hintergrund rückt. Mein Tipp: Die Diskussion rund um den CISSP, die leider maßgeblich in den USA geführt wird, ist sehr bezeichnend für den Zustand der gesamten Industrie ;)

Dass du nichts über Inhalte erzählen willst, passt für mich auch ein Stück weit ins Bild der Industrie und insbesondere der Zertifizierung. Viel Aussagekräftiges gibt es allgemein nicht zu erfahren. Ob das daran liegt, dass es schlicht nichts dazu zu sagen gibt, dass du einen NDA unterschreiben musstest, dass der Anbieter amerikanischer Hersteller - Tipp: Das Business läuft in den USA etwas anders ab, als in Deutschland ;) - und kein Berufsverband ist, oder dass die Materie für so eine dumme studierte Beere (und damit keine wahre Pentesterin) wie mich vermutlich zu komplex und vielschichtig ist, das bleibt dem Leserin und dem Leser überlassen. Ich denke, ich habe meine Meinung hier klar gemacht. Dass du deine hast, ist für mich in Ordnung. Den Nachgeschmack, den deine euphorischen Auschweife ohne konkrete Inhalte hinterlassen hatten, habe aber bekanntlich nicht nur ich bemerkt.

Der/Die aufmerksame LeserIn wird auch nicht überlesen haben, dass du auch selbst einige Kritikpunkt genannt hast, wie z.B sich wiederholende Prüfungsfragen. Und ja, die gibt es überall - und überall werden sie kritisiert. Auch im Studium. Ändert aber nichts am Problem.

In diesem Sinne: Einen schönen Abend und viel Spaß mit dem Zertifikat. Ich halte mich hier zukünftig raus ;)
 
Zuletzt bearbeitet:
Naja in 5 Jahren in >10 Firmen heißt dann wirklich nur reinschnuppern... da kannst nicht von Erfahrung sprechen.
Schwanzvergleich? Hmm musst ja nicht gleich beleidigend werden ;) Ich hab kein NDA unterschrieben. Und bei erfolgreich ohne Erfahrung vermute ich mal Quote :p
Wie du sagst auch ein Studium ist nicht perfekt und gehört zur selben Industrie ;)

Viel Glück :p
 
Zurück
Oben