Security Consultant....welcher Studiengang

[EL]

Hallo,

ich hoffe der ein oder andere von Euch kann mir vielleicht weiterhelfen. Ich werde dieses jahr noch die Fachhochschulreife erwerben. Allerdings gilt diese nur in Baden Württemberg.
Meine Frage ist, kennt jemand von Euch vielleicht irgendeine Hochschule o.ä. an der man einen Studiengang gezielt auf Security anstreben kann?
Meine Google Recherchen gaben mir bis jetzt erst 2 FH`s an. Allerdings sind diese in der Schweiz und Österreich. Ich hoffe jemand von Euch kann mir da vielleicht ein paar Tips geben.
Auch Schlagwörter für eine weitere Suche wären nicht schlecht. Stellenangebote für Security consultants findet man ja genug, aber einen Weg wie man dieses Ziel anstreben kann finde ich leider nicht...

 

[Elderan]

Hallo,

Original von EL
Hallo,
Allerdings gilt diese nur in Baden Württemberg.

8o

Also das Schlagwort ist 'Security Engineering/Managment', so als Studiengang selbst gibt es das nicht (glaub ich). Da du aber ja eh erst auf Bachlor Studierst, würde ich ein Bachlor-Studiengang der Informatik vorschlagen, evt. mal im Modul-Heft nachgucken, ob du dich auf sicherheitsspezifische Aspekte spezialisieren kannst. An der RWTH Aachen gibt es soweit ich weiß, ein Modul zur Systemsicherheit. Evt. bietet eine Uni/FH auch 'Security Engineering' als Vertiefungsfach/Schwerpunkt des Bachlor-Studiums an.

Dann beim Master hat man deutlich mehr Möglichkeiten. Die FH Brandenburg bietet z.B. ein Master-Studium 'Security Management ' an.

 

[EL]

Danke für deine Antwort!

Ich weiss auch nicht was das soll das die nur in Baden Württemberg gilt....aber wenn man den Bachelor hat kann man doch den Master Deutschlandweit machen, oder?
Der Link von dir ist gut, thx.

 

[ivegotmail]

Original von EL
aber wenn man den Bachelor hat kann man doch den Master Deutschlandweit machen, oder?

Ja, richtig. Genaugenommen kannst du ihn auch weltweit machen.

 

[fetzer]

Dass ein Abschluss nur BW-weit anerkannt ist, ist mir ehrlich gesagt neu. Da würde ich mich nochmal informieren.

?Elderan: Es gibt durchaus einen Studiengang, der sich speziell mit Sicherheit beschäftigt: ITS an der Uni Bochum [1]. Bisher gibt es dort jedoch nur einen Diplom und einen Masterstudiengang mit Fachhochschulabschluss wird das somit nichts. Da müsstest du dann dein Abitur nachmachen.
Eine andere Möglichkeit ist ein Informatikstudium mit Schwerpunkt IT Sicherheit ( "Trusted Systems" ), wie er zum Beispiel an der Universität Darmstadt, aber auch an einigen anderen Universitäten angeboten wird.

Ob es so etwas auch an einer FH gibt weiss ich ehrlich gesagt nicht. Ein Informatikstudium bietet dir aber auf jeden Fall eine solide Grundlage, wenn du später den Master in Bochum noch draufsetzen willst.

[1] http://www.its.rub.de/

 

[EL]

ich danke Euch für Eure Antworten!
Hat mich schon weitergebracht. Ich denke mittlerweile allerdings dass es sich nicht lohnt noch das Abitur nachzuholen.
Da mach glaub lieber ein Jahr länger, also FH und hol mir die fachgebundene Hochschulreife. Rentiert sich meiner Meinung nach glaub mehr weil man da halt am Ball bleibt und danach auch auf die UNI kann.

 

[Elderan]

Hallo,
hab gerade noch was gefunden:
Master Studiengang Sicherheit in der Informationstechnik
Diplomstudiengang Sicherheit in der Informationstechnik
beides an der Uni-Bochum.


Das Problem bei diesen Studiengängen ist zuerst einmal Bochum, hat ja nicht den besten Ruf.
Aber der Stoff, naja. Dort wird, wie ich das nun gesehen habe, Sicherheit mit Kryptographie gleichgesetzt.

Schaut man sich mal die Sicherheitstechnischen-Module im Master-Studiengang an:
1. + 2. Semester:
Einführung in die Kryptographie und Datensicherheit:
- 1. Teil: Symmetrische Kryptographie
- 2. Teil: Asymmetrische Kryptographie
- 3. Teil: Protokolle, Zertifikate, PKI etc.

Netzsicherheit
- Konkrete kryptographische Systeme zur Absicherung von Netzen z.B.
- Pay-TV-Systeme, DVD-Verschlüsselung
- WEP, WPA, WPA2
- SSL
- VPN

Systemsicherheit
- Kryptographische Protokolle zur Authentikation, Schlüsselaustausch
- Beispiele wie SSL, SSH, IPSec
- PKI etc.

3. + 4. Semester:
Kryptographie
- mathematischen Prinzipien moderner kryptographischer Verfahren
- Block-, Strom-, Hashverfahren

Vertiefungsmodule IT-Security, z.B.:
* Beweisbar sichere Verschlüsselung
* Implementierung kryptographischer Verfahren
* Kryptographische Protokolle
* XML- und Webservice-Sicherheit
* Schutz kritischer Infrastrukturen und Informationssicherheit
* Algebraische Codierung für die sichere Datenübertragung
* Komplexitätstheoretische Grundlagen der Kryptologie
* Zahlentheorie


Eigentlich schade, dass relativ wenig auf andere, wichtige Aspekte der IT-Security eingegangen wird.

Aber evt. weiß jmd. mehr über den Studiengang an der Uni-Bochum, oder kennt jmd. evt. eine Uni mit dem Studienschwerpunkt IT-Security?

 

[Dawen]

IT Sicherheit gibt es ( meiner Meinung nach ) nur im Master Studiengänge, neben UNIs gibt es aber auch FHs die sowas machen ( Google : Master Studiengang It Sicherheit hilft da schon ziemlich ).

FH Köln : Information Engineering - Master -
FH Hannover : IT - Sicherheit - Master - ( scheint komplett für IT Sicherheit gedacht zu sein )
- Hier ist nur die erste Google Seite aufgelistet.

 

[menace]

den ITS-Studiengang in Bochum kann man schon sehr empfehlen.
Als Diplomer hat man zwar nicht so viel mit Datenstrukturen zu tun gehabt, und ist nicht gerade der Gott der Informatik, aber das kann man mit Elektrotechnik/Elektronik-kenntnissen ausgleichen.

Wenn man das als Master machen will, sollte man vorher einen mathematischen/informatik-lastigen Studiengang machen (imo)

Dort wird jedenfalls (in bezug auf sicherheit und kryptographie) ein breiteres spektrum (schon in den basis-pflicht-vorlesungen) geboten, als an allen anderen mir bekannten Angeboten.

 

[fetzer]

Elderan
Hallo,
hab gerade noch was gefunden:
Master Studiengang Sicherheit in der Informationstechnik
Diplomstudiengang Sicherheit in der Informationstechnik
beides an der Uni-Bochum.

siehe mein Post

Aber der Stoff, naja. Dort wird, wie ich das nun gesehen habe, Sicherheit mit Kryptographie gleichgesetzt.

Kryptographie, bzw Mathematik bestimmt wohl einen sehr großen Teil des Studium, das ist richtig. Dass es allerdings gleich gesetzt wird, ist so nicht korrekt. Beispielsweise werden im Grundpraktikum schon Standard-"angriffe" gelehrt [1]. Außerdem gibt es ja noch E-Technik.
Mehr Daten zum Stoff findet man auch unter [2] oder auch unter [3].
Allerdings muss ich dir insofern Recht geben, dass man mit einem Informatikstudium besser bedient wäre, da man hier ein etwas breiteres Wissen vermittelt bekommt, falls einen E-Technik nicht so sehr interessiert. Die meisten Unis bieten hier auch Spezialisierungen an, wie ich schon genannt habe die Uni Darmstadt mit ihrer Vertiefungsrichtung "Trusted Systems", die allerdings auch nicht alleine studiert werden kann ( Man braucht mind. 15ETS(?), max. 9 in einer Vertiefungsrichtung ).

menace
Als Diplomer hat man zwar nicht so viel mit Datenstrukturen zu tun gehabt, und ist nicht gerade der Gott der Informatik, aber das kann man mit Elektrotechnik/Elektronik-kenntnissen ausgleichen.

Der Lehrplan ist meiner Meinung nach nicht schlecht. Allerdings hat er wohl auch viele Verbesserungen nötig, da es ein sehr junger Studienplan ist und somit der Lehrplan auch noch in den Kinderschuhen steckt [2].

Wenn man das als Master machen will, sollte man vorher einen mathematischen/informatik-lastigen Studiengang machen (imo)

Wenn man einen Studiengang, der sich hauptsächlich mit der Informatik beschäftigt, weiterstudieren will, d.h. dort den Master machen will, sollte man immer ein Bachelor-Studium mit Bezug zur Informatik wählen. Alles andere wäre ja irgendwie schwachsinnig, oder?


[1] http://www.nds.rub.de/lehre/praktika/grundpraktikum_its/index.html
[2] http://www.christianroepke.de/studium_verbessern.html
[3] http://www.its.rub.de/ITS/stud/module.html

 

[menace]

Der Lehrplan ist meiner Meinung nach nicht schlecht. Allerdings hat er wohl auch viele Verbesserungen nötig, da es ein sehr junger Studienplan ist und somit der Lehrplan auch noch in den Kinderschuhen steckt [2].

Ich seh halt das Problem, dass der Stundenplan der Diplomer so vollgestopft ist, wo will man da bisserl bessere Informatik reinpacken?
Aber angeblich soll ja bei den bachelor das elektronikmodul kleiner und leichter werden.

Wenn man einen Studiengang, der sich hauptsächlich mit der Informatik beschäftigt, weiterstudieren will, d.h. dort den Master machen will, sollte man immer ein Bachelor-Studium mit Bezug zur Informatik wählen. Alles andere wäre ja irgendwie schwachsinnig, oder?

Ich höre immer wieder die Legende vom Bachelor-Architekten, der das Masterstudium auch sehr gut abgeschnitten haben soll und jetzt bei Rohde & Schwarz arbeitet. Insofern kann aber muss das kein "informatischer" Studiengang sein, erfordert halt mehr Eigeninitiative

Und bzgl. der Verbesserungsvorschläge ... ich glaube, so oder so, die neuen kommen erstmal vom regen in die traufe, weil keiner so richtig Ahnung hat, was jetzt eigentlich wichtiger ist. Christian Röpke unterstelle ich da durchaus auch schon eine bestimmte Themengebundenheit/affinität (bzgl zb betriebssystemsicherheit). Nichts gegen ihn, aber die leute haben ja nicht mal die Grundlagen von Betriebssystemen (meines Wissens nach) gehört..

 

[fetzer]

Original von menace
Ich seh halt das Problem, dass der Stundenplan der Diplomer so vollgestopft ist, wo will man da bisserl bessere Informatik reinpacken?

Ich denke mal, das Problem liegt einfach darin, dass viel zu viel Zeug unterrichtet wird, was nur sehr wenig mit dem eigentlich Themengebiet zu tun hat. Z.b. Versteh ich nicht, warum bei ITS auch energietechnische Aspekte behandelt werden. Es kann meinetwegen in einem Fach angesprochen werden, allerdings selbst keine große Unterrichtseinheit bilden.

Aber angeblich soll ja bei den bachelor das elektronikmodul kleiner und leichter werden.

Dazu kann ich leider nichts sagen. Ich studier selbst nicht an der RUB.

Ich höre immer wieder die Legende vom Bachelor-Architekten, der das Masterstudium auch sehr gut abgeschnitten haben soll und jetzt bei Rohde & Schwarz arbeitet. Insofern kann aber muss das kein "informatischer" Studiengang sein, erfordert halt mehr Eigeninitiative

Da liegt wohl das Problem bei einem Studenten: Eigeninitiative ist doch für die meisten eher ein Fremdwort . Allerdings denke ich, dass wenn man die Studienrichtung nach einem schon vorhanden Abschluss wechselt, hat man selbst sehr viel Zeit verschenkt. Auch würde ich es mir vielleicht als Arbeitgeber überlegen, ob ich einen eher "Vollinformatiker" einstelle, als nur einen, der von Architektur Bechlor zu Informatik Master gewechselt hat. Allerdings muss ich zugeben, da habe ich keine Erfahrung. Kann sein, dass es ganz anders gehandhabt wird. Immerhin stellen auch die meisten Masterstudiengänge Vorraussetzungen.

Nichts gegen ihn, aber die leute haben ja nicht mal die Grundlagen von Betriebssystemen (meines Wissens nach) gehört..

Eben desshalb muss solch eine Unterrichtseinheit eingeführt werden, die diese Grundlagen vermittelt. Ich halte ein Studium der Informatik mit Schwerpunkt Sicherheit dadurch für durchaus sinnvoller, als ein schon fast "halber" Studiengang wie ITS, der dazu nicht vollkommen ausgereift ist.

 

[Elderan]

Hallo,
ich glaub auch, dies liegt mit daran, dass die Profs. nicht sehr viel Praxiserfahrung haben. Wie Bruce Schneier in seinem Buch Secrets & Lies schreibt, glaubte er auch früher, dass man alle sicherheitstechnischen Probleme mit Kryptographie lösen kann.
Es gibt so schöne Protokolle für sichere Kommunikation, Datensicherheit etc.

Allerdings ist er von dieser Meinung abgekommen, da diese Modelle in der Praxis einfach nicht (bzw. nicht wie gewünscht) funktionieren. Sicherheit muss man immer im Ganzen sehen, und besonders dem Faktor Mensch kommt eine große Rolle hinzu.

Im Buch vertritt er die Meinung, dass Kryptographie eher eine sehr untergeordnete Rolle zukommt, viel wichtiger sind die, die dieses anwenden oder implementieren.

Das TAN-Verfahren+SSL der Banken an sich ist sicher, allerdings ist das Problem der User. Warum geben diese Konto-Nr., PIN und TAN an eine gefälschte Seite weiter?

Da aber Profs. recht gerne theoretisch bleiben, verteten sie vielleicht auch die Meinung, dass man das meiste mit Kryptographie lösen kann.


@fetzer:

Beispielsweise werden im Grundpraktikum schon Standard-"angriffe" gelehrt

Gut, das war auch eines der wenigen Module mit Praxisbezug (zumindest nach den Beschreibungen). Da man aber Sicherheit immer im Ganzen sehen muss, fehlen für meine Forstellungen sachen wie z.B. Computer Forensic (Spuren sichern und bewerten), Server- und Netzwerksicherheit (IDS, Firewalls, AVs, 'Wie einen Angriff erkennen und abwehren?', Server/Netz-Audits), Entwicklung und Funktionsweise von Sicherheitssoftware (wie funktionieren IDS, Firewalls, AVs?) sowie Grundlagen zur sicheren Programmierung (Leitlinien, Code Audits).
Evt. dann noch Datensicherungen/Gebäudesicherung (ein Backup welches im Serverraum aufbewahrt wird, ist im Falle eines Brandes auch nix wert), Social Engineering/Mitarbeitersensibilisierung und dann evt. noch Rechtsgrundlagen (Wer haftet wenn der Server geknackt wird, welche Methoden sind legal/illegal).


Denn OpenBSD ist nicht durch den extremen Einsatz von Kryptographie bis 2002 ohne Remote-Exploit geblieben, bzw. Windows ist nicht durch ein Mangel an Kryptographie relativ unsicher. Wobei neue Coding-Richtlinien, Code-Audits etc. bei MS dazu geführt haben, dass Neuentwicklungen nun deutlich mehr Sicherheit versprechen.



Für all diese Themen, finde ich 4 Wochestunden über 1 Semester zu wenig.

Gut, Kryptographie ist an sich schon wichtig, muss man aber jetzt jedes Detail wissen über das SSH, das SSL, und das IPSec Protokoll?

 

[menace]

Gut, Kryptographie ist an sich schon wichtig, muss man aber jetzt jedes Detail wissen über das SSH, das SSL, und das IPSec Protokoll?

als sicherheitsspezialist? Meinst du das ernst? Bruce Schneier hat natürlich auch recht, wenn er sagt, wenn man die offline-Sicherheit und Anwendungsaspekte (wie auch im Rest der EDV im übrigen) nicht vernachlässigen darf.(und auch momentan wird, zugegeben, aber das lernt man hier auch) Aber, Schneier wird dir alle Sicherheitsaspekte runterbeten können, der Typ kann dir sagen, wann eine SBox sicher ist, warum $foobar-protokoll keine sichere Übertragung von nounces bereitstellt usw. etc.
sicher ist das auch wichtig