Quereinstieg im Bereich Informatik

  • Themenstarter Gelöschtes Mitglied 28809
  • Beginndatum
G

Gelöschtes Mitglied 28809

Guest
Guten Tag ,
zu mir erstmal heisse Bekim bin 21 Jahre alt und habe paar fragen zum quereinstieg.
Und zwar strebe ich an IT security consultant zu werden.
Meine fragen nun wie ist der Werdegang dazu , Google hatte ich schon dazu einbezogen.
Zu meiner Situation , bin momentan noch als Geselle (Kfz- mechatroniker ) tätig.

Meine Fragen:
1. Fernstudium als It Programmierer , da ich auf das Geld angewiesen bin( eigene Wohnung etc)
2. Danach diverse Schulungen für das TISP Zertifikat besuchen .

Weiteres zu mir .
Interessiere mich schon als kleiner junge für die Technik des Computers.
Bin bereits früh angefangen alles am PC auszuprobieren.
Mit 14 Jahren fing ich an HTML,CSS und PHP mir selbst beizubringen.
Leider muss ich zugeben, war ich früher ein wenig faul in der Schule und hatte nicht die Möglichkeit auf mein Berufswunsch Informatik einzugehen.

Nun möchte ich meine Zukunft flüssig und zielstrebig in die Hand nehmem .

Würde mich über Tipps und antworten freuen.


MFG

Bekim
 
Fleissig * bin grade mit mein Handy am schreiben
Bzw habe ich eine Chance später ein job als pen-tester zu bekommen?
 
Zuletzt bearbeitet von einem Moderator:
Konzentriere dich eher auf Zertifikate. Die sind wesentlich eher gefragt bei Pentester-Jobs als das Studium. Ausserdem kann es nichts schaden, wenn du "in der Szene" aktiv bist und somit ein paar Referenzen für Bewerbungen aufbaust. Schliesslich sind Pentester-Jobs nicht gerade häufig und entsprechend hart ist es, dort in die engere Auswahl bei Bewerbungsprozessen zu kommen. Da kann es ganz hilfreich sein, wenn man deinen Namen irgendwo in dem Zusammenhang schonmal gehört/gelesen hat.
 
OK danke schon mal .
Aber vom Fernstudium des it Programmierer hältst du nichts ?
Ist ja auch nur ein Zertifikat das du C und Assembler beherschst.
 
Nein. Es ist maximal ein Zertifikat dafür, dass du die Syntax der Sprache gelernt hast. Das sagt noch nichts darüber aus inwiefern du das auch anwenden kannst. Und die richtige Anwendung kommt nunmal mit der Erfahrung, also durch Praxis. Die bekommst du nicht durch das Studium.
 
Ja das würde auch per Fernstudium gehen.
Wie gesagt bin auf mein jetzigen Beruf noch angewiesen .
 
bitmuncher hat gesagt.:
Nein. Es ist maximal ein Zertifikat dafür, dass du die Syntax der Sprache gelernt hast. Das sagt noch nichts darüber aus inwiefern du das auch anwenden kannst. Und die richtige Anwendung kommt nunmal mit der Erfahrung, also durch Praxis. Die bekommst du nicht durch das Studium.
Zum Vergrößern anklicken....

Letzten Endes steht man sowohl bei Zertifikaten, als auch bei Hochschul- oder Ausbildungsabschlüssen vor dem Problem, dass man keine Erfahrung vorweisen kann. Dennoch ist ein Studium klar dem Erwerb von Zertifikaten vorzuziehen, da man ein größeres theoretisches Wissen erwirbt, auf dem man in der Praxis aufbauen kann. Ohne ein solides Fundament steht nunmal kein Haus richtig gerade. Darüber hinaus gibt es MCSAs oder CCNAs heute wie Sand am Meer. Ein Jobgarant ist das also nicht.

Von einem Fernstudium als IT Programmierer halte ich auch nichts, insbesondere dann nicht, wenn das Ziel in einem ganz anderen Bereich liegt. Pentester sind keine Programmierer. Pentesting ist auch oft nur ein kleiner Teil des Aufgabengebiets eines IT Security Consultants. Oft geht es auch um die Integration von Sicherheitslösungen in vorhandene Umgebungen und insbesondere um die Konzeption dahinter, in der du den Nutzen für die Organisation darlegst. IT Security Consultants haben daher oft mehr mit System Administratoren gemein, als mit Programmierern. Hier gehören Netzwerk- und Serveradministration dazu, ebenso wie die grundlegende Kenntnis von Skriptsprachen wie Perl, Python, Bash und Co.

Ich würde folgenden Weg empfehlen, wenn du wirklich ins Consulting willst:
1. Fernstudium (Wirtschafts-)Informatik bis zum Bachelor (3-5+ Jahre)
2. 1-3 Jahre in dem Bereich arbeiten, z.B. als Junior IT-Security Consultant oder Security Engineer. Eventuell schaffst du es schon neben dem Studium damit anzufangen, z.B. als Werkstudent in der Entwicklung eines Automobilherstellers, bei denen du als ausgebildeter KFZ Mechatroniker und Informatikstudent derzeit sehr gute Chancen hättest und bei 20h/Woche auch problemlos vom Gehalt leben kannst.
3. Sofern nötig und vom Unternehmen gewollt/bezahlt: Weiterbildung zum Master (2-3 Jahre)
4. Umstieg ins Consulting. 1-2 Jahre arbeiten.
5. Wenn du dir hier sicher bist und das Unternehmen das zahlt: Zertifikat "Certified Information Systems Auditor" (CISA) der ISACA. (vergiss den TISP, der ist im Ausland völlig unbekannt und nichts wert)
6. Ab hier wirst du selbst wissen, wohin es gehen soll ;)

Allgemein solltest du versuchen, so schnell wie möglich in die IT zu kommen und Erfahrung zu sammeln. Es bringt dir nichts, wenn du erst mit Beendigung des Bachelors anfängst nach Jobs zu suchen. Auch kann dir deine bisherige Ausbildung helfen, da in Deutschland die Automobilindustrie der wichtigste Wirtschaftszweig ist. Dann bist du am Anfang eben nicht Consultant, das ist auch nicht schlimm. Wechseln kann man später immernoch. Darüber hinaus fehlt vielen Consultants das Wissen aus dem Alltag eines Großunternehmens, hier hättest du dann sogar einen Vorteil. Und bitte vergiss HTML und CSS. Du willst in die professionelle IT, nicht ins Webdesign *duck*
 
Zuletzt bearbeitet:
Sorry Beere - aber niemand wird respektabler "Security-Experte", wenn er nicht Code schreiben kann..
 
Chromatin hat gesagt.:
Sorry Beere - aber niemand wird respektabler "Security-Experte", wenn er nicht Code schreiben kann..
Zum Vergrößern anklicken....

Ich finde es immer wieder erstaunlich, wie stark IT-Security und Pentesting in der allgemeinen Meinung auf Sourcecode-Analysen, Buffer Overflows oder sichere Programmierung/Porgramme reduziert wird, obwohl der Bereich doch soviel mehr bietet. So muss man als IT-Security-Consultant in den meisten Fällen nicht über einen Proof-of-Concept hinauskommen. Und wenn man sich den Code vieler "respektabler Security-Experten" anschaut, dann wird man auch schnell sehen, dass sie keine ProgrammiererInnen sind, sondern ihr Code meist in kurzer Zeit zusammengehackt wurde.

Darüber hinaus geht es hier nicht um einen Security-Experten, der bei der IETF Protokolle entwickelt oder bei Microsoft für die Entwicklung neuer Technologien verantwortlich ist, sondern um einen Consultant, der "Sicherheit" (oder eher Effizienzsteigerungen und Kostensenkungsmaßnahmen...) bei Kunden implementiert. Viel wichtiger in Hinblick aufs Consulting sind Kommunikationsfähigkeiten und ein sicheres Auftreten, selbst bei völliger Ahnungslosigkeit, anstatt hochspezialisierter Technik- und Methodenkenntnisse. Dafür ist ein gewisses Grundverständnis unabdingbar - ein weiteres Argument für ein allgemeines Informatikstudium, anstatt einem sinnfreien Programmierer-Kurs.

bitmuncher hat gesagt.:
Er will in's Pentesting und gerade in diesem Bereich sind in Deutschland Webtechnologien weitaus mehr gefragt als "normale" Programme zu auditieren.
Zum Vergrößern anklicken....
Aber nicht HTML und CSS.
 
Zuletzt bearbeitet:
Auch ein Security-Consultant wird kaum ernst genommen, wenn er nicht programmieren kann. Soweit ich das sehen kann, geht es dem TE aber um den beruflichen Einstieg in's Pentesting. Und auch Pentester laufen nunmal unter dem Label "Security Consultant". Dort wird man aber ohne Programmierkenntnisse kaum weit kommen.
 
Ich glaube du verwechselst hier was mit Datenschutzbeauftragten, die durchaus auch oft als Security Consultants auftreten. Diese sind für Informationssicherheit verantwortlich und auditieren Geschäftsprozesse etc.. Hier geht's aber (wie man im 2. Beitrag lesen kann) um Pentesting.
 
Nein, eigentlich verwechsele ich das nicht mit Datenschutzbeauftragten, die sich üblicherweise weniger um kritische Assets, Effizienzsteigerungen durch Maßnahmen aus dem InfoSec-Business oder Kostensenkung Gedanken machen, sondern vielmehr um Mitarbeiter-/Kundendaten oder anderen Infos, die dem Schutz des BDSG unterliegen.

Man kann das auch leicht anhand diverser Jobbeschreibungen prüfen, z.B. hier, hier oder hier. In keiner der Vakanzen werden explizt Programmierkenntnisse oder gar Programmiererfahrungen aufgeführt. Natürlich kann man auch davon ausgehen, dass man Rahmen eines Informatikstudiums grundlegende Programmiertechniken kennenlernt.
 
Na dann lies dir mal die Anforderungen der Jobs nochmal durch und sag mir, wie man die (abgesehen von der Teamleitungsposition) ohne Programmierkenntnisse umsetzen kann. Da sind so Anforderungen wie "Dazu müssen Sie in deren Netzwerk eindringen (remote, über WLAN etc.)." oder "Application Security Test (static & dynamic)", "Penetration Test" und "Praktische Kenntnisse zu XSS, CSRF, Session Hijacking, Session Fixation, SQLi, etc.". Solche Anforderungen ohne Programmierkenntnisse und Kenntnisse in Programmabläufen zu erfüllen dürfte eher schwierig werden. Es sei denn die suchen jemanden, der tatsächlich nur mit Nessus, Metasploit & Co umgehen, diese aber nicht durch eigene Plugins erweitern kann. Das würde mich aber sehr wundern.

Und dass Teamleiter eher andere Aufgaben haben als ihrem Team die Aufgaben abzunehmen, ist allgemein bekannt.
 
bitmuncher hat gesagt.:
Application Security Test (static & dynamic)
[...] XSS, CSRF, Session Hijacking, Session Fixation, SQLi [...] nur mit Nessus, Metasploit & Co umgehen
Zum Vergrößern anklicken....

Ich glaube, wir reden hier aneinander vorbei. Studierte Informatiker und Informatikerinnen haben durchaus einfaches "Programmierwissen" im Sinne von "sie haben kleinere Programme geschrieben und wissen, welche grundlegenden Fehler auftreten können". Für mich fällt das weder unter Kenntnisse über Libraries und Co., noch unter Programmiererfahrung. Dieses Wissen steht dazu im Gegensatz zu einem "IT Programmierer" nicht im Vordergrund, sondern ist nur Mittel zum Zweck. Im Fokus steht das Erlernen von theoretischem Wissen, mit dem Probleme aus der Informatik strukturiert gefunden und gelöst werden können. Hierzu gehören auch XSS, CSRF usw... Dazu muss man wissen, wie, wann und warum diese Fehler entstehen. Man muss in wenigen Zeilen Code einen Proof-of-Concept erstellen können, ja, vielleicht sogar ein Lösung vorschlagen. Man muss aber nicht den Code, in dem der Fehler aufgetreten ist, neu schreiben können. Man muss ihn lesen können, ja. Aber mehr nicht.

Guckst du dir dagegen übliche "IT-Programmierer" Lehrgänge an, so geht es hier meist um eine Einführung in Java, C# und Co. sowie die in der Praxis genutzten Bibliotheken und Frameworks. Keineswegs geht es hier um strukturierte Suche oder Lösung von sicherheitskritischen Fehlern, um Sicherheitstheoretisches Wissen (z.B. Sicherheitsmodelle, Threat-Modellierung oder konkrete Bugs wie Buffer Overflows, usw..). Auch in der beruflichen Ausbildung zum Anwendungsentwickler/zur Anwendungsentwicklerin spielt Wissen über Sicherheitsmechanismen nur eine untergeordnete Rolle, wie man z.B. am Ausbildungsplan der IHK FFM sehen kann. Hier geht es um die Produktion von Code. Dass der in aller Regel nicht sicher ist, muss ich dir vermutlich jetzt nicht ausführlich darlegen.
 
Zuletzt bearbeitet:
Im Studium sowie in den Ausbildungen "Anwendungsentwickler" und "Systemintegrator" wird ausführlich behandelt wo Fehler und Lücken in Systemen zu finden sind. Es wird mal kurz angerissen und das war es dann auch. Wenn man in der Branche erfolgreich sein möchte muss man sich selber weiter bilden , natürlich sollte sich vorher eine vernünftige Grundlage geschaffen werden. Ein Studium würde ich da auch durchaus empfehlen.

Es geht nicht ohne Kenntnisse in der Programmierung, denn man muss verstehen wo Lücken entstehen können und auch erkennen.
Aber wie Beere schon gesagt hat ist das Gebiet wesentlich umfangreicher und man sollte sich auch hier spezialisieren. Es ist zwar schön, wenn ich mir 5000 Zeilen Code ansehe und genau an dem einen Punkt einen Fehler finde, aber ihn nicht beheben darf, da mir die Rechte dafür fehlen ;)

Also im Grunde muss man als Pentester schon alles beherrschen, wenn man unter die Besten möchte. Ich muss mich mit Netzwerken auskennen, am besten alle Sprachen beherrschen die es gibt, zudem noch mich mit der Hardware auskennen, aus einem zerlegten Chip einen Schaltplan ableiten und daraus einen Hardwarehack zu machen. Kurz gesagt du kannst in allem was mit IT auch nur im entferntesten zu tun hat Fehler finden und diese verwenden.

Du bist zwar erst 21, aber mit deinen bisherigen Kenntnissen und der Zeit die du neben der Arbeit aufwenden kannst wird es schwer werden für dich. Da du dich in so vielen Bereichen weiterbilden musst, das frisst eine Menge Zeit. Wo andere sich einen schönen sonnigen Tag machen, sitzt du Daheim am Rechner mit 5 Büchern und 20 Tab´s offen, weil du dich vllt damit beschäftigt bist was neues zu lernen.
Du hast selber gesagt das du früher faul warst, also gehe ich mal frecher Weise davon aus, das due kein Abitur hast, da wird es mit dem Studium.

Ich stimme Beere im Grunde nur bei ihren Ausführungen zu, auch wenn ich dem Bereich Programmierung einen bisschen mehr Gewichtung geben würde, aber ansonsten hat sie Recht.

Meine Empfehlung für dich: Mach eine Ausbildung zum Fachinformatiker, in der Richtung die dir am meisten Spaß bereitet und mach einen guten Abschluss. Such dir dann eine Firma wo dir das Klima und die Arbeit passt und nutze dann deine Freizeit um dich privat weiterzubilden. Du brauchst keine teuren Lehrgänge oder Zertifizierungen. Baue dir zu Hause Testumgebungen und wenn du soweit bist, kannst du dich auch als Freiberufler verdingen.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben