Eure Meinung zum OSCP

Hallo Hackerboard-Community!

Ich bin während dem Surfen durch das Internet öfter mal auf die Zertifizierung OSCP von Offensive Security gestoßen, bei der es sich ja um eine praxisorientierte Zertifizierung zu Penetration Tests, unter dem Betriebssystem Kali Linux handelt.

Dieses Zertifikat, was eine bestandene 24 stündige Penetration-Testing Prüfung voraussetzt, wird ja im Internet, vor allem in englischsprachigen Foren, ziemlich gehypet.
Einige behaupten ja sogar das sei das einzig sinnvolle Zertifikat, wenn es um Pentests geht und dass die teure, praktische Vorbereitung darauf und der ebenfalls praktische Test sogar Spaß machen sollen.

Nur in deutschen Foren habe ich so gut wie nichts zum OSCP gefunden.

Deshalb wollte ich euch mal fragen was ihr davon haltet.
Ist dieses Zertifikat in Deutschland etwas wert oder ist das nur Internet-Hype?
Oder habt ihr selbst schon Erfahrungen bezüglich des OSPCs sammeln können?

Ich frage nur aus Interesse, bin selbst ja erst am Anfang meines Bachelorstudiums und konzentriere mich erstmal darauf. :)
 
Zuletzt bearbeitet:
Es ist wie mit allen Zertifikaten in allen Branchen: Es ist niemals schädlich, eins/welche zu haben.
 
Es ist wie mit allen Zertifikaten in allen Branchen: Es ist niemals schädlich, eins/welche zu haben.

Stimmt. Für den Anbieter.

OSCP ist ein vergleichsweise junges Zertifikat. Dementsprechen stark wird dafür die Werbetrommel gerührt, gerade aufm dem amerikanischen Heimmarkt, gerade in der einseitigen Blogszene. Selbst der englische Wikipedia-Artikel liesst sich wie Werbung. Sucht man sich Erfahrungen zusammen, dann ist es auffällig, dass scheinbar alle beim ersten Versuch bestehen. Man liesst nichts von Durchfallquoten oder hohem Schwierigkeitsgrad. Es ist auch merkwürdig, dass man nichts von konkreten Inhalten hört oder liesst. Hier drängt sich einem ein typischer Satz aus früheren Tagen auf: "A fool with a tool is still a fool".
 
Ja das stimmt SchwarzeBeere, das klingt alles schon ziemlich nach Werbung.
In den Beiträgen wird ja unterschwellig die Botschaft vermittelt dass dieses Zertifikat ein must-have, für angehende Penetration Tester sei.

Zu den Kursinhalten gibts auf der offiziellen Seite von Offensive Security eine pdf-Datei mit den Inhalten des Kurses: https://www.offensive-security.com/documentation/penetration-testing-with-kali.pdf

Aber wenn der Kurs auf dem gleichen Niveau wie das kostenlose Metasploit Unleashed Tutorial von Offensive Security ist, würde ich mir davon auch nicht allzuviel versprechen. Ist ja nur ein "stinknormales" Tutorial.
Wobei der hohe Preis ja durch die Kosten für die Trainingsumgebung gerechtfertig werden soll, zu der man ja zwischen 30 bis zu 90 Tagen Zugang bekommt, abhängig davon wieviel man bezahlt.

Naja, wie gesagt ich wollte mich mal erkundigen was es damit so auf sich hat.
Wäre es wirklich so gut wie es die Blogs schildern, hätte ich es in der Zukunft vielleicht ja mal versucht :)
 
Vielleicht sollte ich noch hinzufügen, dass man Zertifikate nicht nach ihren Inhalten auswählen sollte, sondern nach ihrer Nachfrage am Markt. Gerade, wenn es selbst bezahlst, solltest du unternehmerisch an die Sache ran gehen: Welchen Benefit habe ich in monetärer Hinsicht davon? Bekomme ich damit einen besseren Job, bessere Aufträge? Handelt es sich wirklich um eine Investition, oder ist es rausgeschmissenes Geld?

Die Kursinhalte deuten im übrigen auf sehr grundlegendes Wissen hin, was hier vermittelt und schlussendlich nachgewiesen werden soll. Vieles davon lässt sich aber auch mit 2-3 Fragen im Job-Interview überprüfen. Darüber hinaus bringen die die Tools ohne Erfahrung und ständiger Auseinandersetzung nicht viel. Das führt dazu, dass das angesammelte Wissen nach 1-2 Jahren wieder obsolet ist. Die Erfahrung muss aber nicht nachgewiesen werden, z.B. durch CPEs, Rezertifizierung, o.ä. Ein OSCP ist damit nach 2 Jahren keinen Pfennig mehr wert, wenn du nicht Erfahrung nachweisen kannst - und wenn du die nachweisen kannst, brauchst du keinen OSCP.
 
Hallo,

ich würde an dieser Stelle mal einen Einwand einwerfen :D

Der OSCP ist definitiv sein Geld wert.
Ich beschäftige mich seit ca. 2000 rum mit IT-Sicherheit. Habe die ein oder andere Zertifizierung z. B. CEH, ECSA zum IT-Sicherheitsbeauftragten, interne Live-Hacking Schulungen etc. und eben den OSCP. Und dieser war für mich der einzige, der sein Geld wert war. Er setzt genau da an, wo die anderen aufhören / scheitern. An der Praxis. Die Labs sind gefüllt mit "Real Life" Szenarien. Manche etwas trivial, die anderen anspruchsvoll. Die Kursmaterialien decken theoretisch die Masse ab, aber man wird gezwungen selbst zu lernen und zu recherchieren. Das ist auch so gewollt.
Es gibt dort viele, die andere Zertifizierungen von SANS oder den CISSP haben und die sind der selben Meinung. Mit 50 Multiplechoice Fragen kann man höchstens die Fähigkeit des auswendig Lernens nachweisen. Der Test ist ein real Life Pentest. Man bekommt 5 IP Adressen und darf dann innerhalb von 24 Stunden sein können beweisen. In den darauf folgenden 24 Stunden muss man seinen Report ein schicken und wird dann bewertet. Durchfallquoten gibt es, werden aber nicht veröffentlicht. Er wird definitiv nicht beim ersten mal zu bestehen sein, wenn man nicht eine bestimmte "Reife" erlangt hat. Ich habs z. B. beim zweiten Anlauf geschafft.

Natürlich kann man sich alles selbst beibringen, aber das kann man überall. Dann bräuchte man nie eine Zertifizierung.

Ich kann mir auch gut vorstellen, dass jeder OSCP Zertifizierte seine Vorgesetzten entsprechend bearbeiten wird, diese Zertifizierungen einem CEH oder CISSP zu bevorzugen, wenn hand angelegt werden soll. Ich werde da definitiv ein Auge drauf werfen.

Nebenbei mal erwähnt, Zertifizierungen mache ich nicht um meinen Arbeitgeber zu beeindrucken, sondern um mein können nachzuweisen. Daher wähle ich meine Zertifizierung nach meinen Fähigkeiten, um diese in der Bewerbung wieder zu spiegeln. Und versuche mich nicht nach etwas zertifizieren zu lassen was eine handvoll Arbeitgeber sehen will und die anderen nicht.

Die Sache mit dem Wissenserhalt ist meiner Meinung nach reine Geldmacherei. Bei EC-Council reicht mir ein Book-Review mit zwei drei mal internen IT-Security Weiterbildungen. Das würde wohl der ein oder andere Arbeitgeber zum Zertifikats erhalt "Blind" bestätigen. Oder ich kaufe mir einen weiteren Multiplechoice Test ein und beweise mein Wissen. Da ist einschlägige Berufspraxis mehr wert.

Ich für mich persönlich investiere mein Geld seit dem OSCP lieber in die Trainings von OffSec. Die Live-Trainings sind auf der Black-Hat nicht umsonst immer ausverkauft. In nicht allzu ferner Zukunft wirds der OSCE werden.

Frag dich einfach selbst was du deinem Arbeitgeber mit dem Zertifikat sagen willst und was du dir von dieser Schulung erhoffst.

MfG
 
Zuletzt bearbeitet:
Hallo lama0815.
Vielen Dank für deine ausführliche Antwort, aber ich muss dir ganz ehrlich sagen dass ich deinem Post etwas misstrauisch gegenüberstehe.
Immerhin hast du dich anscheinend extra auf dem Board hier angemeldet um den OSCP zu "verteidigen" und dieser Post ist bis jetzt auch dein einziger Post hier auf dem Board.
Natürlich kann ich gerade auch einfach nur paranoid sein und es scheint suspekt dass ich dir gegenüber so misstrauisch bin, denn warum sollte sich jemand auf einem Board anmelden nur um ein Zertifikat zu verteidigen?
Aber nichtsdestotrotz ist dein Kommentar genau so durchweg positiv wie die englischsprachigen Forenbeiträge zu dem Thema, was mich wie gesagt etwas misstrauisch macht.
Immerhin ist ja genau dieses Misstrauen gegenüber den Lobeshymnen des OSCPs der Grund warum ich diesen Thread hier gestartet habe.
Ich hoffe du nimmst mir mein Misstrauen nicht übel.
Kann/möchte denn keiner der aktiven User etwas zum OSCP sagen der damit schon Erfahrung hat oder weiß was es damit auf sich hat?
 
Zuletzt bearbeitet:
War wohl Zufall :p Bin auf der Suche nach ner deutschsprachigen Community und das war der erste und bisher einzige Beitrag zu dem ich etwas schreiben wollte. Ein gesundes Misstrauen ist nie verkehrt :D Aber was ist denn schlimm, wenn man nur positives über eine Zertifizierung findet?
Ich werde nicht von denen bezahlt und falls du dich dort registrierst wird wohl nichts mit mir in Verbindung gebracht... also gibts auch keine Prämie für mich.
Ich bin einfach nur jemand, der den Kurs mal gebucht hat weil er 100% online,100% "Hands on" war und ich von 5 Tage Schulungen schon enttäuscht wurde aber das doppelte/dreifache gekostet haben. Beim OSCP gabs eben den wow Effekt. Es gibt aber auch einfach nicht viel vergleichbares. Eine Zertifizierung von CREST, die vergleichbar scheint, und ein Haufen rein theoretische Schulungen/Prüfungen. Ich versteh grad nicht warum du paranoid wirst? Es ist nur ne Schulung. Du kannst dich ja entscheiden wie du lustig bist. CISSP + HackingDojo, CEH bis LPT oder kindle unlimited und alles im Selbststudium mit vulnhub & co. Ich wollte nur sagen, dass der OSCP zu empfehlen ist. Man sollte nur bedenken, dass er ohne Vorbildung nicht im Mindestpaket von 30 Tagen zu schaffen ist. Was dann schon die Anbieter in den Schatten stellt, die dich in 5 Tagen zum "Hacker" machen. Da du noch im Studium bist gehe ich davon aus, dass du noch nicht allzu viel Erfahrung in der Berufswelt gesammelt hast und hab dir auch dazu geraten deine Fähigkeiten zertifizieren zu lassen und nicht irgendwelche Zertifikate abzugreifen, die grad gefragt sind. Dann wirkst du bei der Bewerbung und vorallem danach beim "ersten Eindruck" im Alltag authentischer.

Es könnte aber auch alles eine OffSec Verschwörung sein :p
 
Zertifikate?

" Ich versteh grad nicht warum du paranoid wirst?" Na na, v2.0 scheint mir überhaupt nicht paranoid zu sein. Ich persönlich halte von Zertifizierungen nicht viel. Zertifizierungen sind kommerzielle Gockelfedern, die man sich nach einem Durchlauferhitzer-Kurs an den Hintern stecken kann. Wenn v2.0 im Studium ist, soll er einfach gut und engagiert sein Studium ausführen. Das beste "Zertifikat" ist ein glänzendes Abschlusszeugnis seiner Hochschule. Falls da leider nicht genug Kompetenz in IT-Sicherheit angeboten werden sollte, kann er ja einen der hervorragenden, kostenfreien Kurse bei Coursera belegen ( Coursera - Free Online Courses From Top Universities ). Die Kurse von der University of Washington finde ich besonders empfehlenswert, bei der University of Maryland sind ein paar etwas zu platte dabei. Ein Highlight sind sicher die Kurse von Dan Boneh(Stanford). Wenn v2.0 dann ein Masterstudium dranhängen will, kann er ja einen Master in IT-Sicherheit dranhängen. Gibt's z.B. bei der Fh-Wedel. Lieber v2.0, mach lieber sowas, als Geld für windige Zertifikate herauszuwerfen.
 
Das beste "Zertifikat" ist ein glänzendes Abschlusszeugnis seiner Hochschule.

Das beste Zertifikat sind Referenzen: Selber Bugs gefunden, Bug- und Malware Analysen, irgendein Programm oder Code in dem Bereich, sowie gut rezensierte Veröffentlichungen oder Mitarbeit/Credits bei repräsentativen Papers (zb. Specs, RFCs, etc.) ;)
 
v2.0 sagt doch selbst, dass er da wohl etwas paranoid ist :)
Zerifikate sind nur so viel Wert wie das eigene können. Das kann man aber nur durch solche nachweisen oder man hat Jahre
lange Berufspraxis nachgewiesen und sich evtl. einen Namen gemacht oder man arbeitet ein >= halbes Jahr auf Probe. Arbeitszeugnisse werden zur Zeit skeptisch beäugelt, Studenten haben nicht unbedingt
aussagekräftige und
Probearbeiten solls geben hab ich aber noch nie als Bewerberauswahlverfahren life erlebt oder von bekannten gehört. In der Regel muss man
sich bei der HR-Firewall mit Qualifikationen beweisen. Und eine Note im Zeugnis mag zwar ein Kriterium sein, aber eigen motivierte Weiterbildungen gewichten einfach mehr. Ich würde fast mein Monatsgehalt drauf verwetetten, dass der Informatik Student mit Note 2.0 + Zertifizierungen dem 1.0 Absolventen bevorzugt wird einfach nur weil er die Bereitschaft zeigt zusätzliches zu leisten. Coursera ist da das selbe in Grün. Egal ob man dafür bezahlt oder nicht. Die Frage ist nur ob man dann einen Nachweis bekommt oder nicht. Vorallem hier in Deutschland zählt erstmal nur die Papierlage.
Hinzu kommt, dass die IT-Berufe auch noch nicht soo alt sind und davor alles mit Zertifizierungen nachgewiesen wurde. Von denen sitzen auch noch genug im Management und legen wert drauf. Manche Aufträge werden nur mit entsprechenden Zertifizierungen vergeben. Also würde ich behaupten, dass diese neben einer guten fundierten Ausbildung oder einem Studium sehr wichtig sind.

By the way: Der OSCP ist einer von den seltenen nicht Durchlauferhitzer-Zertifizierungen. Deswegen wird er auch so gehypet.
 
Zuletzt bearbeitet:
Zum Thema Zertifizierung habe ich heute was interessantes von Saumil Shah (InfoSec Trainer) gelesen:

Every discussion on training eventually brings up the unavoidable topic of certification. The entire IT industry is obsessed with certification. Here I shall quote the Saumil Shah theorem on IT certifications – “The value of a certification program is inversely proportional to the number of students certified annually,” and its corollary – “Mass manufactured certification is not even worth the paper it is printed on.”

Quelle: What 17 years as an infosec trainer have taught me - Help Net Security
 
Das liegt meiner Meinung nach nicht direkt an der Masse sondern eher daran, dass viele Bildungseinrichtungen schon eine Zertifizierungsgarantie anbieten mit kostenloser Wiederholung... was dazu führt, dass die Vorbereitungskurse eher ein durchackern der Prüfungsfragen sind, damit ja alle bestehen z. B. bei ITIL (Foundation) ganz schlimm. Wenn eine niveauvolle Ausbildung mit anspruchsvoller Prüfung zum Zertifikat führen ist es egal wieviele dieses Zertifikat haben, weil es dann für Qualität steht. Nichts anderes ist ja ein Studium oder eine Berufsausbildung.
Ausbildung -> Prüfung + Abschlussarbeit -> Zettel in der Hand. Ist einfach nur umfangreicher und zeitintensiver.

Zertifizierungen sind manchmal auch der einzige oder bessere Weg für Quereinsteiger. Bleiben wir bei Studenten und bedenkt, dass in Stellenausschreibungen für IT Jobs oft Mathematiker, Physiker und auch BWL Absolventen gesucht werden. Studieren die jetzt Informatik neu oder lassen die sich Zertifizieren? MCSx und Cisco CC irgendwas gibts wie sand am mehr, dennoch find ich die nicht schlecht. Dann hat auch noch der 35 jährige Milchbauer die Chance bei der IHK operative Professional zu werden indem er Papier vorlegen kann.
 
Zuletzt bearbeitet:
Ich denke das es im Artikel eher um Zertifizierungen geht die man auf gut Deutsch gesagt hinterhergeworfen bekommt. Aber da hast du recht, ein vergleich nur mit der Quantitaet sagt nicht viel aus.

Das beste "Zertifikat" ist ein glänzendes Abschlusszeugnis seiner Hochschule.

Ich bevorzuge da auch eher das was Chromatin geschrieben hat, das man sich aus eigenem Antrieb heraus mit den Inhalten befasst. Mein Problem mit einem Abschlusszeugnis ist das ich damit nicht nachvollziehen kann wie bestimmte Noten zustande gekommen sind. Jeder der studiert hat wird es auf die eine oder andere Art erlebt haben: Klausuren veraendern sich nicht oder nur gering, Musterloesungen werden kopiert, Mitglieder einer Gruppe bekommen alle die selbe Note obwohl nur ein kleiner Anteil was getan hat usw. usw.

Wollte damit jetzt nicht das studieren schlecht reden, ein Studium ist immer noch das was man daraus macht.
 
Naja, ich sag mal so:
Ich würde (hätte ich schon ein IT-Unternehmen) eher die Person einstellen die so ein Zertifikat hat als die, die keins hat.
 
Erfahrung und Selbststudium is ganz klar hoch anzurechnen, nur kommt das erst zur Geltung wenn man eingestellt wurde.
 
Hier werden grundlegende Dinge durcheinander geworfen, die man getrennt voneinander betrachten muss.

Da du noch im Studium bist gehe ich davon aus, dass du noch nicht allzu viel Erfahrung in der Berufswelt gesammelt hast und hab dir auch dazu geraten deine Fähigkeiten zertifizieren zu lassen und nicht irgendwelche Zertifikate abzugreifen, die grad gefragt sind.

Ein Studium befähigt zum Ausüben eines Berufs in einem bestimmten Gebiet. Es ermöglicht dazu das Erlangen einer Wissens- und Erfahrungsgrundlage, die in vielen Jobs vorausgesetzt wird.
Ein Zertifikat und die damit verbundene Schulung sind dagegen Aspekte einer beruflichen Weiterbildung. Sie sollten optimalerweise das Wissen, das im Rahmen des Berufs erworben wurde, festigen und damit die Professionalität der zu zertifizierenden Person bestätigen. Eine Zertifizierung setzt damit berufliche Erfahrung voraus.

Für Studierende sind Zertifizierungen damit in der Regel unsinnig und rausgeschmissenes Geld, denn sie verfügen nicht über die notwendige berufliche Erfahrung. Was genau soll da zertifiziert werden? Erfahrung ist es nicht, denn das gibt auch der OSCP nicht her. Es gibt einen Grund, warum wirklich angesehene praktische Zertifizierungen, z.B. der Cisco CCIE, mehrere Jahre Erfahrung und nachgewiesene Erfolge als Voraussetzung verlangen.

Und eine Note im Zeugnis mag zwar ein Kriterium sein, aber eigen motivierte Weiterbildungen gewichten einfach mehr.
Ja, sofern die Weiterbildung das Gesamtpaket und die berufliche Eignnung einer Bewerberin oder eines Bewerbers abrundet. Auslandssemester, Sprachkurse oder interdisziplinäre Kursbesuche sind Beispiele für universitäre "Weiterbildungen", die einen Vorteil beim Berufsanfang verschaffen können, denn sie zeigen eine persönliche Reife unabhängig der fachlichen Kenntnisse. Fachliche Zertifzierungen, gerade im technischen Bereich, stellen dich heute vielmehr als Fachidiotin oder Fachidioten dar. Im Rahmen einer Weiterbildung während dem Studium sollte daher auf eine Verbesserung und Ausbau der Soft- und Socalskills geachtet werden und weniger auf das Fachliche, das mit dem Studium schon weitestgehend abgedeckt wird ("Rechts und Links gucken").

Erfahrung und Selbststudium is ganz klar hoch anzurechnen, nur kommt das erst zur Geltung wenn man eingestellt wurde.
Die Behauptung, man bräuchte als StudienabgängerIn Zertifikate für die Einstellung, halte ich für Verkaufsgelaber, das sich jeglicher Grundlage entbehrt. Eine Einstellung folgt heute üblicherweise auf ein geregeltes Auswahlverfahren (wenn überhaupt, denn statistisch werden die meisten Stellen heute anhand von persönlichen Connections vermittelt, eine aufwändige Suche und Prüfung mit Assessment Center entfällt), das sowohl eine fachliche, als auch ein persönliches Komponente enthält, wobei letztere einen immer größer werdenden Teil einnimmt, denn Teamarbeit, Vertrauen und Sozialkompetenz spielen eine immer wichtigere Rolle im Beruf. Die "HR Firewall" ist dagegen ein Geist aus der Vergangenheit, der sich äusserst widerspenstig in den Köpfen der Bewerbinnen und Bewerber zu halten scheint - auch aufgrund solcher Aussagen.

Wer sich nicht mit 1000 anderen Bewerbern weltweit auf einen Job bewirbt, so wie das bei Google oder Facebook in Kalifornien der Fall ist, der hat gute Chancen auf einen Arbeitsplatz. Mir ist in den letzten fünf Jahren kein Unternehmen begegnet, dass einen Bewerber oder eine Bewerberin direkt aus der Hochschule aufgrund eines fehlenden Zertifikats abgelehnt hätte. Gerade kleine Unternehmen suchen händeringend nach guten Leuten und da ist ein Zertifikat zweit- oder drittrangig. Sollte es doch mal dazu kommen, dass ein Zertifikat zwingend verlangt wird (z.B. aufgrund von Kundenanforderungen), so wird der Erhalt meist zu Anfang im Rahmen einer Zielvereinbarung beschlossen. Anders gesagt: Wer ein Zertifikat braucht, der bekommt es von seinem Arbeitgeber oder seiner Arbeitgeberin bezahlt.

Es gibt genau einen Fall der Arbeitsvergabe, in dem ich dir zustimme: Für Selbstständige sind Zertifikate nützlich, denn Unternehmen haben oft nicht die Zeit mit aufwändigen Bewerbungsverfahren den besten Bewerber oder die beste Bewerberin auszuwählen. Hier zählt noch, was auf dem Papier steht - auch, da die Konkurrenz auf eine Stelle meist größer ist und man in irgendeiner Form den Preis rechtfertigen muss, auch als Anfänger. Im Falle eines Arbeitnehmers oder einer Arbeitnehmerin ist das jedoch nicht (mehr) der Fall, woran die Zertifikats- und Schulungsindustrie mit ihrem oft wertlosen Müll nicht ganz unschuldig ist.

Achja, Schulungen sind auch eine gute Möglichkeit zum Networking und zum Kennenlernen von anderen, die in diesem Bereich arbeiten. Soweit ich das verstanden habe, ist das beim OSCP aber auch nicht der Fall, es entfällt also auch die soziale Komponente.

Deswegen hier nochmal die Argumente gegen OSCP:
- Keine Aufrechterhaltung und jährliche Rezertifizierung notwendig
- Keine beruflichen Voraussetzung oder Erfahrungen nötig
- "A fool with a tool is still a fool"
- Intransparenz in Bezug auf Durchfallquoten
- Online-Schulungen sollten allgemein kritisch betrachtet werden, da einerseits keine individuelle Betreuung möglich ist und andererseits die Networkingmöglichkeit entfällt.
- Es wird grundlegendes Security Wissen vermittelt, das mit zwei bis drei Fragen im Bewerbungsgespräch abgefragt werden kann
- Nach max. zwei Jahren ist das vermittelte Wissen obsolet.
 
Zuletzt bearbeitet:
Hier werden grundlegende Dinge durcheinander geworfen, die man getrennt voneinander betrachten muss.



Ein Studium befähigt zum Ausüben eines Berufs in einem bestimmten Gebiet. Es ermöglicht dazu das Erlangen einer Wissens- und Erfahrungsgrundlage, die in vielen Jobs vorausgesetzt wird.
Ein Zertifikat und die damit verbundene Schulung sind dagegen Aspekte einer beruflichen Weiterbildung. Sie sollten optimalerweise das Wissen, das im Rahmen des Berufs erworben wurde, festigen und damit die Professionalität der zu zertifizierenden Person bestätigen. Eine Zertifizierung setzt damit berufliche Erfahrung voraus.

Bitte google doch mal die Quereinsteigermöglichkeiten bei der IHK. Das geht anhand von Zertifizierungen auch. Also schwarz weiß denken ist hier nicht möglich. Berufsausbildung, Studium und Zertifizierungen können ganz gut verschwimmen!
z. B. Schreiner (HWK) -> Zertifizierungen -> IT-Administrator (IHK) wird anerkannt -> operative Professional -> Masterstudium Informatik

Die Summe von Schulungen und Zertifizierungen = Berufsausbildung

Würde ich mal behaubten und ist auch möglich.

Für Studierende sind Zertifizierungen damit in der Regel unsinnig und rausgeschmissenes Geld, denn sie verfügen nicht über die notwendige berufliche Erfahrung.

Das ist grundsätzlich falsch. Ich studiere gerade.

Was genau soll da zertifiziert werden? Erfahrung ist es nicht, denn das gibt auch der OSCP nicht her. Es gibt einen Grund, warum wirklich angesehene praktische Zertifizierungen, z.B. der Cisco CCIE, mehrere Jahre Erfahrung und nachgewiesene Erfolge als Voraussetzung verlangen.

Fähigkeiten... wie immer... man kann in deren labs doch etwas Erfahrung sammeln. Wie gesagt ist relativ realitätsnah und auch die user interaktion für z. B. client side attacks wird simuliert. Je nach Vorbildunng gibt es welche die > 1 Jahr da drin ihr Glück versuchen. Die die mit Erfahrung rein kommen schaffen den Test vielleicht blind. Bewertungen und Beurteilungen macht man in der Regel erst im nachhinein. Hattest du schon einen OSCP Anlauf?

Cisco? Wie jetzt? Ich dachte Zertifizierungen sind nichts wert? Wenn du aufmerksam liest war hier niemand der Meinung, dass Durchlauferhitzer-Kurse gut sind und cisco is schon top.

Ja, sofern die Weiterbildung das Gesamtpaket und die berufliche Eignnung einer Bewerberin oder eines Bewerbers abrundet. Auslandssemester, Sprachkurse oder interdisziplinäre Kursbesuche sind Beispiele für universitäre "Weiterbildungen", die einen Vorteil beim Berufsanfang verschaffen können, denn sie zeigen eine persönliche Reife unabhängig der fachlichen Kenntnisse.

Wie gesagt Weiterbildungen sind immer gut und sie müssen nicht universitär sein.

Fachliche Zertifzierungen, gerade im technischen Bereich, stellen dich heute vielmehr als Fachidiotin oder Fachidioten dar. Im Rahmen einer Weiterbildung während dem Studium sollte daher auf eine Verbesserung und Ausbau der Soft- und Socalskills geachtet werden und weniger auf das Fachliche, das mit dem Studium schon weitestgehend abgedeckt wird ("Rechts und Links gucken").

Falsch fachliche Zertifizierungen spezialisieren dich und heben dich vom allgemeinen Berufszweig ab. Das ist übrigens ein Punkt den die Hochschulen ne Weile schön verschlafen haben und man auf Zertifizierungen/Schulungen angewiesen war. Früher hat man kurz gesagt einfach Informatik studiert. Deswegen bin ich erstmal über die IHK gegangen um sich was vernünftiges zertifizieren zu lassen :p

Die Behauptung, man bräuchte als StudienabgängerIn Zertifikate für die Einstellung, halte ich für Verkaufsgelaber,

Bitte nochmal gründlich lesen. Hat keiner behauptet. Es ist jedoch von Vorteil.

das sich jeglicher Grundlage entbehrt. Eine Einstellung folgt heute üblicherweise auf ein geregeltes Auswahlverfahren

Anforderungsprofil, Stellenprofil und Bewerberprofil werden erstmal angelegt und dann abgeglichen. Das läuft schon fast ab wie ein multiple choice test und wer am Ende zum Vorstellungsgespräch kommt entscheiden Zeugnisse, Zertifikate und Papier Papier Papier.

Ich wurde bei ner Bewerbung übringens schon mal wegen nem fehlenden MCSE abgelehnt. Is grad mal paar Jahre her. Ein Bekannter hat die Stelle bekommen und mir das dann gesteckt. Ich war da Fachinformatiker mit Berufserfahrung ITSystemadministrator als Spezialistenprofil der IHK und hatte noch ein paar von solchen Zetteln.
Man möchte meinen da sollte der MCSE egal sein. Dafür war der Kaffee bei denen gut :p

(wenn überhaupt, denn statistisch werden die meisten Stellen heute anhand von persönlichen Connections vermittelt,

Ich traue keinen statistiken :p ja connections solls geben... initiativ bewerber auch...
Die Wahrscheinlichkeit, dass wir in einer Computersimulation leben soll auch sehr groß sein. Hab ich vorhin gelesen :)

eine aufwändige Suche und Prüfung mit Assessment Center entfällt), das sowohl eine fachliche, als auch ein persönliches Komponente enthält, wobei letztere einen immer größer werdenden Teil einnimmt, denn Teamarbeit, Vertrauen und Sozialkompetenz spielen eine immer wichtigere Rolle im Beruf.

Klar das erkennt aber kein Mensch in der Bewerbung. Erst bei Anstellung und auch bei Connections erwischt man Pflaumen, die hoch gelobt wurden.


Die "HR Firewall" ist dagegen ein Geist aus der Vergangenheit, der sich äusserst widerspenstig in den Köpfen der Bewerbinnen und Bewerber zu halten scheint - auch aufgrund solcher Aussagen.

Ich kenn da ein paar große Unternehmen, die diese Firewall noch haben. Sich also darauf zu verlassen wäre wie an die Gutmütigkeit im Menschen zu glauben. Aber ich bin da deiner Meinung man sollte diesen Aktenvergleich nicht zu sehr ins Gewicht nehmen. Andererseits hatte ich schon den ein oder anderen echt göttlichen Blender, den man erst im nachinein enttarnt hat. Also was sichert mich in dem Fall ab? Wenn mir der im Gespräch echt überzeugend was erzählt? Und es nicht nachweisen kann? Arbeitszeugnisse sind da nicht so aussagekräftig Wär nicht das erste selbst geschriebene ;)


Wer sich nicht mit 1000 anderen Bewerbern weltweit auf einen Job bewirbt, so wie das bei Google oder Facebook in Kalifornien der Fall ist, der hat gute Chancen auf einen Arbeitsplatz. Mir ist in den letzten fünf Jahren kein Unternehmen begegnet, dass einen Bewerber oder eine Bewerberin direkt aus der Hochschule aufgrund eines fehlenden Zertifikats abgelehnt hätte.

Ja bei dem Fachkräftemangel bekommt man nen Job. Die Frage ist nur bei wem und wo. Hätte man den Job in der angesehenen, heimatnahen firma mit dem MCSE bekommen? Oder muss man jetzt 500km weit in ein Dörfchen in ner Softwareklitsche in ner fremden Welt arbeiten? Manchen is das egal, manchen nicht, manche wären gern Penetrationtester sind jetzt aber Java Entwickler weil sie keine OSCP Zertifizierung hatten :p Bei dem Gedanken kann man sich im Kreis drehen. Fakt ist Zertifizierungen sind noch genug wert und sind in bestimmten Situationen entscheidend.

Gerade kleine Unternehmen suchen händeringend nach guten Leuten und da ist ein Zertifikat zweit- oder drittrangig.

Ja und weil die für die Großen arbeiten brauchen die dann auch PMI oder Prince2. Oder für Behörden BSI zertifizierte Pentester.
Ja und es gibt die, die nichts brauchen. Aber die nehmen dich auch mit Zertifizierung.


Sollte es doch mal dazu kommen, dass ein Zertifikat zwingend verlangt wird (z.B. aufgrund von Kundenanforderungen), so wird der Erhalt meist zu Anfang im Rahmen einer Zielvereinbarung beschlossen. Anders gesagt: Wer ein Zertifikat braucht, der bekommt es von seinem Arbeitgeber oder seiner Arbeitgeberin bezahlt.

Ja u. a. meinen OSCP z. B. :)
Aber auch diese Arbeitgeber suchen sich einen bereits zertifizierten raus, wenn sie in dem anderen nicht gerade irgend etwas besonderes sehen.

Es gibt genau einen Fall der Arbeitsvergabe, in dem ich dir zustimme: Für Selbstständige sind Zertifikate nützlich, denn Unternehmen haben oft nicht die Zeit mit aufwändigen Bewerbungsverfahren den besten Bewerber oder die beste Bewerberin auszuwählen.

Na gerade bei externen achte ich darauf, wen ich mir ins Haus hole. Könnte ja meinen Ruf schädigen. Selbstständige haben meistens die schon erwähnten Referenzen. Da würde ich dann ein größeres Auge darauf werfen.


Hier zählt noch, was auf dem Papier steht - auch, da die Konkurrenz auf eine Stelle meist größer ist und man in irgendeiner Form den Preis rechtfertigen muss, auch als Anfänger. Im Falle eines Arbeitnehmers oder einer Arbeitnehmerin ist das jedoch nicht (mehr) der Fall, woran die Zertifikats- und Schulungsindustrie mit ihrem oft wertlosen Müll nicht ganz unschuldig ist.
Wann holt man sich so einen? Ok es gibt viele Gründe... Aber ich hol mir nen externen, wenn ich die Fähigkeit in meiner Firma nicht abdecken kann oder sie nur temporär brauche z. B. Da hol ich mir dann einen von diesen Fachidioten? Wenn ich mich nach ITIL ausrichten will? Und gebe das alles in die Hände von "schlechteren" ITlern? Überleg mal. ISO 20000, ISO 27001 wer kann das? Wie bekommt man das? Und warum ist das wichtig das zu haben? Projizier das einfach mal auf die Automobilindustrie und deren Zulieferer. Dann stell dir vor ob das in Zukunft eine evtl gesetzliche Rolle werden könnte? Verschwörungstheorie: TÜV für IT-Sicherheit

Und das alles mit Zertifizierten?


Achja, Schulungen sind auch eine gute Möglichkeit zum Networking und zum Kennenlernen von anderen, die in diesem Bereich arbeiten. Soweit ich das verstanden habe, ist das beim OSCP aber auch nicht der Fall, es entfällt also auch die soziale Komponente.

Ja da geb ich dir recht, für mich war das nur ein Kriterium, weil ich endlich mal zu Hause sein wollte. Wer möchte kann sich auch ein Ticket bei der BHUSA kaufen und sozial komponenten.

Deswegen hier nochmal die Argumente gegen OSCP:
- Keine Aufrechterhaltung und jährliche Rezertifizierung notwendig

Hat eine Ausbildung und ein Studium auch nicht. Das ist auch reine geldmacherei, wenn ein Verband mir vorschreibt was ich zu lernen habe!

- Keine beruflichen Voraussetzung oder Erfahrungen nötig
Richtig... die hab ich bei der Ausbildung, beim Studium und vielen anderen Zertifizierungen auch nicht!
Abi != berufliche Voraussetzung
Davon abgesehen ist der OSCP für jeden offen... Bildung sollte niemandem verwehrt werden... bestehen wird man den Test jedoch nicht. Irgendwo stehen da auch so eine Art empfohlene Kenntnisse.

- Intransparenz in Bezug auf Durchfallquoten
was sagt das über die Qualität aus? Das wäre nice to know. Diese Quote ist auch stark vom Bildungsstand der Teilnehmer abhängig. Da er für alle offen ist tummeln sich dort auch entsprechend unterschiedliche Personen rum. Die Quote würde so gut wie nichts sagen.

- Online-Schulungen sollten allgemein kritisch betrachtet werden, da einerseits keine individuelle Betreuung möglich ist und andererseits die Networkingmöglichkeit entfällt.

Falsch es gibt sehr erfolgreiche E-Learning Veranstaltungen, Fernstudiengänge etc. Es kommt immer auf den Veranstalter an und wieviele Betreuer es für die Masse gibt, wie und mit welcher Technologie das aufgezogen wurde. Beim OSCP gibts zwar ein System dafür + Forum + IRC hab ich aber nie benutzt. Man bekommt dort sowieso nichts vorgekaut und ich lebe nach dem Motto do it/find it yourself.

- Es wird grundlegendes Security Wissen vermittelt, das mit zwei bis drei Fragen im Bewerbungsgespräch abgefragt werden kann
Das ist kein Theorie Kurs. Die Courseware ist mehr eine Hilfestellung. Der Focus liegt auf der Praxis. Pentests zum Üben in den labs und ein anspruchsvoller Pentest als Test mit anschließender Dokumentation.
Die Fragen würde ich gerne hören? Ich kenne genug IT'ler die einen Bufferoverflow und den Exploit dazu im Prinzip erklären können. Aber einen finden und den Exploit dazu schreiben sind zwei verschiedene Paar Schuhe. Viele scheitern daran Metasploit zu bedienen und dann ohne auskommen? Wie fragt man denn danach? Ich würde selbst eher ein image von vulnhub ziehen und ihm vor die Nase setze bevor ich ihn "exploit" buchstabieren lasse.

- Nach max. zwei Jahren ist das vermittelte Wissen obsolet.
[/quote]

nö. wie gesagt ich beschäftige mich seit 16 Jahren damit und die Basics sind gleich geblieben... mal kommt was dazu.... wlan... mal schwankt ein Trend... password = password seit Anbeginn der Zeit und klebt auch noch unter der Tastatur. Programmierfehler sorgen für Chaos und Menschen klicken alles an... damals wie heute. OWASP Top 2013... und eigentlich ists nur bisschen rumgeschoben worden oder zusammengefasst.

Das gilt ja dann auch für Ausbildung und Studium?
Als TCP/IP erfunden wurde spielte ich mit Matchbox Autos ind ich hör ständig davon

Also ich würde sagen ich habe genug Berufserfahrung, bin die Karriereleiter schon etwas hinauf geklettert. Die IHK hab ich eigentlich durch. Auch das ein oder andere Zertifikat besitze ich. Hab schlechte und gute Schulungen hinter mir. Ich glaube ich kann behaupten, dass Zertifikate doch etwas wert sind und bitte macht welche. Nicht Blind sondern bedacht am besten mit Schulung. LERNEN IST NIE SINNLOS.

Und ich kann die Qualität vom OSCP ganz gut vergleichen und beurteilen.

Wie das andere Unternehmen sehen ist denen überlassen, da war man dann evtl auch auf der falschen uni usw.
 
Weil ich grad zufällig drüber gestolpert bin:

Pentester Stellenangebote:

IT Security Firma
Sie haben eines oder mehrere Zertifikate erfolgreich absolviert:
CISSP, OSCE, OSEE, GIAC

bekannter Fernsehsender

Zertifizierung als Anforderung: CEH, CISSP, ISO 27001 oder andere Security Zertifizierungen.

weltbekanntes Unternehmen:
Erfahrungen im Bereich Forensik (z.B. Zertifizierungen von GIAC oder vergleichbares)

usw.

Aber da achtet keiner mehr drauf ;)
 
Jetzt schweifst du aber ab. Hier gings um den Sinn einer Zertifizierung während eines Bachelor-Studiums, höchstwahrscheinlich mit dem Ziel erster berufsqualifizierender Abschluss (Bachelor).

Das gilt es strikt abzugrenzen vom Weg über IT Specialists und Operative Professional. Hier hast du schon einen berufsqualifizierenden Abschluss und bewegst dich ausschliesslich im Rahmen der beruflichen Fortbildung. Dass hier Zertifikate Sinn machen können, insbesondere zum Nachweis der Qualifikation bei der Zulassung zum OP, bestreite ich nicht. Das hat aber mit dem o.g. Fall nichts zu tun.

[...] fachliche Zertifizierungen spezialisieren dich und heben dich vom allgemeinen Berufszweig ab. Das ist übrigens ein Punkt den die Hochschulen ne Weile schön verschlafen haben und man auf Zertifizierungen/Schulungen angewiesen war.
Nein. Die fachliche Spezialisierung war auch an Universitäten möglich, nur war das nicht im akademischen Titel sichtbar. Man war "Dipl. Inf", so wie man heute "MSc Informatik" ist. Das hat aber vor allem Kostengründe, denn die Akkreditierung und der Betrieb eines Studiengangs sind nicht gerade geringe Ausgaben für die chronisch unterfinanzierten Universitäten. Nichtsdestotrotz konnte man sich immer auch im Studium einem bestimmten oder mehrerer Schwerpunkte widmen, früher sogar noch deutlich stärker als heute. Deswegen gibts heute auch vielerorts spezialisierte Studiengänge.

Auch ist es keineswegs so, dass Buffer Overflows und Co. nur theoretisch erklärt werden. Gerade im Bachelor sind Praxisübungen und Praktika inzwischen an der Tagesordnung, in denen Bugs gefunden, ausgenutzt und behoben werden müssen. In jeder großen Stadt gibt es dazu Ableger des CCC, die oftmals mit der jeweiligen Hochschule kooperieren und Studiengruppen anbieten. Und wer möchte, kann sein Wissen oftmals als HiWi oder Werkstudent auch in der Praxis anwenden.

Im Hinblick auf Weiterbildung sollte man auch darauf achten, was möglich ist. Der Auslandsaufenthalt, der im Studium noch einfach und günstig ist, kann im Berufsleben nur schwer erreichbar werden. Gleiches gilt für Sprachkurse. Daher machen sie im Rahmen eines Studiums auch mehr Sinn, als eine dagegen vergleichsweise teure Zertifizierung.

Und letzten Endes leisten Universitäten Grundlagenbildung. Rezertifizierung ist nicht notwendig, ebenso wenig braucht es hier weitere Voraussetzungen neben der allgemeinen Hochschulreife. Der OSCP ist aber keine Grundlagenschulung, dafür ist sie viel zu kurz. Sie setzt auf vorhandenem Wissen auf, wie du schon selbst sagst. Die Kritikpunkte Aufrechterhaltung (z.B. auch durch Sammeln von CPEs durch Konferenzbesuche u.ä.) und vorausgesetzte Erfahrung (Geführte Projekte, ..) sind damit weiterhin gültig.

LERNEN IST NIE SINNLOS.
Lernen ist nie sinnlos, das ist richtig. Zertifizierungen sind dagegen sinnlos, wenn man ihren Sinn nicht verstanden hat und sie nicht von Aus- und Fortbildung abgrenzt, die ein ganz anderes Ziel verfolgen. Zertifizieren ist dagegen nicht gleichzusetzen mit Lernen, sondern die Bestätigung von vorhandenem Wissen durch eine dritte Partei. Wenn dieses Wissen erst 2 Monate zuvor erwirben wird, was bringt sagt dann die Zertifizierung darüber aus?

nö. wie gesagt ich beschäftige mich seit 16 Jahren damit und die Basics sind gleich geblieben... mal kommt was dazu.... wlan... mal schwankt ein Trend... password = password seit Anbeginn der Zeit und klebt auch noch unter der Tastatur. Programmierfehler sorgen für Chaos und Menschen klicken alles an... damals wie heute. OWASP Top 2013... und eigentlich ists nur bisschen rumgeschoben worden oder zusammengefasst.
Und gegen alles gibt es inzwischen standardmäßig Maßnahmen, die eine Ausnützung massiv erschweren. Schlechte Passwörter werden vielerorts verboten, Stack Overflows werden heutzutage durch ASLR, Canaries oder ähnliches massiv erschwert, SQL Injections und XSS sind inzwischen ebenfalls einem breiten Publikum bekannt und Themen wie Usable Security oder Hardware-unterstützte Maßnahmen sind auch auf dem Vormarsch. Mir ist durchaus bewusst, dass die Realität noch anders aussieht, aber der OSCP zertifiziert hier Wissen, dass in Universitäten bereits Teil des Grundstudiums ist. Damit ist und bleibt der rausgeschmissenes Geld.

Arbeitszeugnisse sind da nicht so aussagekräftig Wär nicht das erste selbst geschriebene
Selbst geschriebene Arbeitszeugnisse erkennt man relativ leicht an diversen sprachlichen und inhaltlichen Merkmalen. Gute Arbeitszeugnisse erkennt man ebenfalls - und im Zweifel fragt man einfach bei der Quelle des Zeugnisses nach. Insofern sehe ich Arbeitszeugnisse noch als ein wertvolleres Mittel zur Einschätzung einer Person an, als es Zertifikate sind. Bei wem kann ich denn nachfragen, wie gut du wirklich abgeschnitten hast? Woran sehe ich überhaupt, dass wirklich du den Test gemacht hast und niemand neben dir saß?

Wenn ich mich nach ITIL ausrichten will? Und gebe das alles in die Hände von "schlechteren" ITlern? Überleg mal. ISO 20000, ISO 27001 wer kann das? Wie bekommt man das? Und warum ist das wichtig das zu haben? Projizier das einfach mal auf die Automobilindustrie und deren Zulieferer. Dann stell dir vor ob das in Zukunft eine evtl gesetzliche Rolle werden könnte? Verschwörungstheorie: TÜV für IT-Sicherheit
Dann wärst du mit dem TISP am besten ausgerüstet *scnr*
Deine Auflistung spiegelt aber eine ganze Reihe von Anforderungen an Zertifikate im Allgemeinen wieder: Es wird in der Regel eine mehrjährige Erfahrung verlangt, nachgewiesene Projekte und Projektleitungsfunktionen, ganzheitliche Prozesserfahrung außerhalb der fachlichen IT-Seite sowie standardorientierte Arbeitsweisen. Also letzten Endes wieder einer der Punkte, die ich am OSCP bemängelt habe.

was sagt das über die Qualität aus? Das wäre nice to know.
Die Durchfallquote war nur ein Beispiel. Sie würde z.B. etwas über die Teilnehmerinnen und Teilnehmer aussagen und damit zur Zielgruppenbestimmung beitragen. Eine hohe Durchfallquote könnte sowohl auf ein hohen Niveau hindeuten, als auch eine hohe Anzahl an Anfängerinnen und Anfänger. Eine niedrige Durchfallquote dagegen auf ein Durchlauferhitzerzertifikat ohne Niveau.

Zentraler Knackpunkt ist aber allgemein die fehlende Transparenz, sei es in Bezug auf Durchfallquoten oder neutralen Meinungen. Intransparenz entsteht auch schlicht und ergreifend dadurch, dass im so Kritikerfreundlichen Internet eine nahe ausschliesslich positive Meinung zu einem viel diskutierten Thema vorherrscht. Das Ausbleiben von negativen Meinungen im Internet deutet sehr stark auf eine übermäßig große Werbetrommel hin. Auch hier ist also Vorsicht geboten.

In diesem Sinne ist diese Diskussion hier doch endlich mal ein Schritt in die richtige Richtung ;)

edit:
Weil ich grad zufällig drüber gestolpert bin:

Pentester Stellenangebote:

IT Security Firma
Sie haben eines oder mehrere Zertifikate erfolgreich absolviert:
CISSP, OSCE, OSEE, GIAC

bekannter Fernsehsender

Zertifizierung als Anforderung: CEH, CISSP, ISO 27001 oder andere Security Zertifizierungen.

weltbekanntes Unternehmen:
Erfahrungen im Bereich Forensik (z.B. Zertifizierungen von GIAC oder vergleichbares)

usw.

Aber da achtet keiner mehr drauf
Ich habe keine Zertifizierung und bislang jeden Job bekommen, den ich wollte. Deswegen nochmal: Es kommt nicht auf die Zertifizierung an, die man hat oder nicht hat, sondern darauf, was man kann, wie man diese Kenntnisse argumentativ vertreten kann und schussendlich wie man sich verkauft.

btw: Die meisten Job-Ausschreibungen, die solche Passagen enthalten, sind meistens Dauerausschreibungen und derart allgemein formuliert, dass man sich problemlos auch ohne Zertifizierung bewerben kann. Ich habe schon Ausschreibungen gesehen, die einen CISSP für einen "Embedded Security Software Developer" als Anforderung angegeben haben. Neben 5 Jahren Erfahrung, hervorragendem Studienabschluss und Co. Insofern sollten man solchen Passagen wenig Glauben schenken. Genauso wie dem Geist des Fachkräftemangels.

Generell gilt die Regel, dass 60-70% passen sollte. Mehr bringt keinen Vorteil, bei weniger muss man schauen, inwiefern man die fehlenden Anforderungen ausgleichen kann. Wenn die Zertifizierungen nicht drin sind - hey, who cares.
 
Zuletzt bearbeitet:
Zurück
Oben