IT Security Berufsfelder die nicht Berater sind

[Falc410]

Ich habe Informatik studiert, sitze noch an meiner Doktorarbeit im Bereich IT Security und habe einschlägige Berufserfahrung und Zertifizierungen in den Bereichen Penetration Testing, Schwachstellenmanagement, SIEM, ISO 27000 (Security Officer), IDS usw. usw.

Nun bekomme ich fast täglich Jobangebote bei Xing / LinkedIn, allerdings immer nur als Berater. In meiner beruflichen Laufbahn habe ich schon mit einigen Beratern zu tun gehabt, auch mit Leuten aus den Big 4 und alle, wirklich alle, waren absolut inkompetente Menschen die nur ihren Anzug anziehen können und sonst nichts. Es mag da draussen in Deutschland vielleicht ein paar fähige Leute geben, aber unter den ein bis zweihundert die ich kennenlernen durfte, war kein einziger dabei. In so einem Umfeld möchte ich nicht arbeiten, auch wenn die Gehälter gut sind.

Mit Dienstreisen habe ich kein Problem, aber ich möchte ungern die ganze Woche im Hotel verbringen weil ich ständig an eine andere Firma in Deutschland ausgeliehen werde - das hört sich für mich eher nach Zeitarbeit an.

In den nächsten 6-12 Monaten werde ich mich aber beruflich neu orientieren und ich bin echt unschlüssig was es überhaupt für Möglichkeiten in Deutschland gibt. Mir würde ja Threat Hunting / Malware Analyse / Entwicklung von Security Tools Spaß machen, aber das findet bei den namhaften Firmen alles in Israel oder Amerika statt. Deutschland scheint wirklich nur das Land der Berater zu sein. Im Sales sehe ich mich auch nicht - ich mache lieber etwas hands-on. Auch die ganzen SE's mit denen ich zu tun hatte, waren im Endeffekt genau wie die Berater und glänzten durch Mangel an Fachwissen - selbst über das Produkt welches Sie verkaufen sollten. Aber nachdem die alle 3-6 Monate auch die Firma wechseln kann ich es Ihnen gar nicht übel nehmen. Auch hier hätte ich lieber einen Job der mir mind. 2 Jahre Sicherheit gibt, anstatt ständig den Arbeitgeber zu wechseln.

Also ich bin für Input dankbar, als was ich mich zukünftig bewerben kann. Eine Position die ich durch meine Skills bereichere und nicht dadurch, dass ich einen Rimowa-Koffer elegant hinter mir herziehen kann. Gehalt spielt eine untergeordnete Rolle. Lieber weniger und dafür glücklich im Job.

Ich wäre auch nicht abgeneigt ins Ausland zu gehen für einige Jahre, aber ich glaube, es ist nicht so einfach einen Job zu finden. Warum sollte eine Firma jemanden aus dem Ausland einstellen, was mit deutlichem Aufwand verbunden ist, im Vergleich zu jemanden der bereits vor Ort ist und die gleichen Skills mitbringt.

 

[Idon]

Neben den Big4, die ich aus anderen Gründen nur ganz speziellen Menschen empfehlen würde, gibt es auch kleinere Boutiquen, die als Berater anders aufgestellt sind.

Ansonsten der Staat. BSI, LKA/BKA, BND usw. Extrem sicherer, solventer und angesehener Arbeitgeber, in dem Bereich auch gute Chancen auf Verbeamtung.

Alternativ, je nach deiner exakten Ausrichtung, Großkonzerne, die bestimmte Dinge intern abdecken.

 

[Falc410]

BSI / LKA und eventuell vielleicht sogar BND / Zitis habe ich wirklich schon ins Auge gefasst. Klar, dort verdient man so gut wie gar nichts, aber ich habe zumindest bei erstereren das Gefühl etwas sinnvolles zu machen.

Ok, dann bleiben echt nur noch Großkonzerne übrig. Ich kann mir nicht vorstellen, dass es bei kleineren Beraterfirmen sehr viel anders zugeht als bei den Big4, oder doch?

 

[Idon]

Asozialer als bei den Big4 ja kann's kaum sein. Hängt vermutlich aber extrem von der jeweiligen Philosophie ab.

Beim Staat verdient man durchaus ordentlich. Es gibt ja reihenweise Zuschüsse und gerader als Beamter bleibt deutlich mehr netto hängen.

 

[Faizy]

In meiner beruflichen Laufbahn habe ich schon mit einigen Beratern zu tun gehabt, auch mit Leuten aus den Big 4 und alle, wirklich alle, waren absolut inkompetente Menschen die nur ihren Anzug anziehen können und sonst nichts. Es mag da draussen in Deutschland vielleicht ein paar fähige Leute geben, aber unter den ein bis zweihundert die ich kennenlernen durfte, war kein einziger dabei

Irgendwann sollte man sich die Frage stellen, ob man nicht selbst derjenige ist, der inkompetent ist. Meinst du nicht?

Ich habe 2 Bekannte im Freundeskreis, welche in der Branche arbeiten. Beide (Akademiker) in Deutschland mit 6 stelligem Gehalt. Man findet also auch Positionen im Inland, wenn man die entsprechenden Qualifikationen und Soft-Skills hat. Letzteres ist wichtiger als Erstes, insbesondere nach einigen Jahren Berufserfahrung. Und da ist es sehr vorteilhaft, wenn man den Kontakt zu Beratern pflegt...

Was genau die Aufgabe von denen ist, kenne ich nicht im Detail. Ich weiss nur, dass beide Entwickler unterstuetzen und fuer Bibliotheken verantwortlich sind, welche sicherheitsrelevante Protokolle implementieren. Anders gesagt: Verantwortung fuer Programmcode, welcher tagtaeglich von anderen Entwicklern weltweit eingebunden wird. Das ist mindestens genau so viel Engineering, wie auch Fuehrung/Lead. Eine reine Engineering-Position, wie du sie suchst, haben beide nicht.

Ich habe kuerzlich ein Video auf dem Channel von LifeOverflow gesehen, in welchem er erzaehlt, wie er an eine Position in der Branche gekommen ist. Das genaue Video finde ich spontan nicht, aber das schaffst du auch selbst. TLDR: Ehemaliger Kontakt aus einem (ich meine Open-Source) Projekt oder Hackathon.

Dementsprechend solltest du wohl damit anfangen, ein Netz aus Kontakten aufzubauen und dich an Open-Source Projekten zu beteiligen (was widerrum ersters impliziert).

Nachtrag: das ist auch interessant.

 

[Airbag]

Im Prinzip hat jedes größere Unternehmen heutzutage doch eine IT Governanceabteilung. Das geht dann aber eher wieder in die Richtung Cyber Security Manager. Je nach konkreten Einsatzgebiet macht man da von Schreiben von Richtlinie bis zu Pentesting/Sicherheitskonzepte für skalierbare Infrastrukturen und Rechnenzentren alles...

Asozialer als bei den Big4 ja kann's kaum sein.

Ansichtssache, Da die Big4 soviele Leute einstellen, taugt idr 1 von 10 wirklich was.
Davon abgesehen sind sie nicht gerade für lange Arbeitszeiten und gute Bezahlung bekannt. PWC beispielsweise hat einen recht starken Betriebsrat. Daher machen die kaum noch Überstunden und es gleicht eher einem 9 to 5 Job.

 

[mrhanky01]

@Falc410

Mein persönlicher Eindruck weicht fast kaum von deinem ab.

Ich würde an deiner Stelle nur eine Sache machen: Gründe selbst eine Firma du wirst niemals meiner Meinung nach etwas finden was Perfekt für dich ist wenn du es nicht selbst machst.
Deutschland ist was "Cybersecurity" angeht halt ein dritte Welt Land so blöd politisch das klingt.
Klar gibt es auch gute Leute CCC usw. aber bei Beraterfirmen findest du genau das -> Null Ahnung aber viel Bullshitbingo und bevor der Kunde verstanden hat was passiert Kohle abkassieren und weiter.

Also =>
Option 1: Eigenes Unternehmen (mit deiner Qualifikation in meinen Augen das beste was du machen kannst)
Option 2: BND und Co. (Da wirst du nicht arm und machst etwas sinnvolles)
Option 3: USA, da brauchst du halt die übliche verdächtigen die mit deiner Qualifikation ja in einem bis zwei Jahren problemlos erreichbar sind (eJPT/OSCP/CEH usw.) für die Amis auch immer interessant zu schauen was das DOD (Department of Defense) gerade so bewirbt.

Würde gerne wissen wo deine Reise am ende hingeht.

Mit den besten Grüßen
mrhanky01

 

[Falc410]

Irgendwann sollte man sich die Frage stellen, ob man nicht selbst derjenige ist, der inkompetent ist. Meinst du nicht?

Ich habe die Entscheidung nicht getroffen, diese Typen einzuladen. Meistens läuft das so ab, irgendeine Software oder Hardware soll beschafft werden, aber die Hersteller verkaufen nicht direkt. Das geht dann immer über einen Partner und der verkauft dir dann automatisch ein Installations- und Supportvertrag mit.
Wir hatten mal einen PoC mit einer großen Firma die Netzwerkhardware herstellt (aus den USA und mit C anfängt) über eine Security Software von denen. Die Lizenz hätte allein ca. 1 Mio pro Jahr gekostet. Sie haben die Software geschickt und ich wollte das selbst installieren, aber nein, es kamen dann insgesamt 5 Männer die ich den ganzen Tag babysitten durfte. Wir saßen dann vier Stunden in einem Büro um uns per iDRAC Remote Console auf den Server zu verbinden und einem Installationsbalken zuzuschauen. Die machen immer Training on the Job. Unglaublich einfach

Ich habe 2 Bekannte im Freundeskreis, welche in der Branche arbeiten. Beide (Akademiker) in Deutschland mit 6 stelligem Gehalt. Man findet also auch Positionen im Inland, wenn man die entsprechenden Qualifikationen und Soft-Skills hat.

Ich habe ja gesagt, dass man dort gut verdienen kann. Die ganzen Angebote (im Schnitt 1 pro Tag aktuell) flattern alle mit 6-stelligen Gehalt rein

Was genau die Aufgabe von denen ist, kenne ich nicht im Detail. Ich weiss nur, dass beide Entwickler unterstuetzen und fuer Bibliotheken verantwortlich sind, welche sicherheitsrelevante Protokolle implementieren.

Es mag sicher auch gute Leute geben - mit Softwareentwicklern hatte ich bis jetzt nie etwas zu tun. Auf der anderen Seite gibts ja in der Presse genug gescheiterte Softwareprojekte von irgendwelchen Beraterfirmen. Aber da kann ich persönlich trotzdem keine Aussage treffen, ich habe immer nur Projekte im Security Bereich durchgeführt ohne Softwareentwicklung.

Dementsprechend solltest du wohl damit anfangen, ein Netz aus Kontakten aufzubauen und dich an Open-Source Projekten zu beteiligen (was widerrum ersters impliziert).

Die ganzen Headhunter auf Xing / LinkedIn schicken ständig anfragen aber ich bin mir unschlüssig ob ich die annehmen möchte. Wenn dann vernetze ich mit Leuten von den entsprechenden Herstellern direkt, aber nur wenn Sie mir sympathisch sind und auch etwas auf dem Kasten haben.

Im Prinzip hat jedes größere Unternehmen heutzutage doch eine IT Governanceabteilung. Das geht dann aber eher wieder in die Richtung Cyber Security Manager. Je nach konkreten Einsatzgebiet macht man da von Schreiben von Richtlinie bis zu Pentesting/Sicherheitskonzepte für skalierbare Infrastrukturen und Rechnenzentren alles...

Aber anscheinend nur die ganz großen, der Rest sourced das ja eben genau aus. In dieser Richtung bekomme ich nur sehr wenige Angebote leider. Oder die Firma ist so klein und dann ist das Gehalt dementsprechend niedrig - wundert mich dann aber auch nicht, dass sie niemanden bekommen aber mehr als im öffentlichen Dienst müssten die halt schon zahlen.

Option 3: USA, da brauchst du halt die übliche verdächtigen die mit deiner Qualifikation ja in einem bis zwei Jahren problemlos erreichbar sind (eJPT/OSCP/CEH usw.) für die Amis auch immer interessant zu schauen was das DOD (Department of Defense) gerade so bewirbt.

Nachdem ich gerne bei Herstellern von Security Software arbeiten würde, bleibt das wohl echt nur als letzte Wahl. OSCP und CEH hab ich gleich übersprungen und die aktuell höchste Zertifizierung beim SANS gemacht. Ich selber gebe nebenher bereits seit längerem Kurse die vergleichbar mit den Inhalten des OSCP / CEH sind. Hatte auch mal überlegt ob ich da etwas bei Udemy machen sollte aber das lohnt sich wohl nicht leider. Es gibt auch schon jede Menge Material dort für sehr wenig Geld (Qualität ist aber oft auch dementsprechend, habe Interessehalber mir mal ein paar der "Konkurrenz" angeschaut).

Option 1: Eigenes Unternehmen (mit deiner Qualifikation in meinen Augen das beste was du machen kannst)

Da bin ich einfach nicht der Typ für. In meinen Kursen lerne ich oft welche kennen die seit Jahren ein 1-Mann Berater sind und sich dann mit IT Security beschäftigen wollen. Bei fast allen läuft es gut und ich bekomme auch öfters Anfragen für kleine Projekte (1-3 Monate) aber ich bin trotzdem skeptisch ob das stabil läuft. Da ist halt dann auch nichts mehr mit 30 Urlaubstagen im Jahr etc

 

[Ramschbude]

Hi, ewig zu spät, aber CEH und OSCP sind ja nun Welten auseinander. Bei SANS hast du die 760 gemacht?

 

[Falc410]

Hi, ewig zu spät, aber CEH und OSCP sind ja nun Welten auseinander. Bei SANS hast du die 760 gemacht?

Nein, die 660
mittlerweile habe ich sogar einen neuen Job - hatte echt mal bei Xing einem Headhunter geantwortet. Eigentlich abgesagt aber mich dann doch überreden lassen zu einem Kennenlerngespräch und es hat sich ganz gut angehört. Ein sehr vielfältiges Aufgabengebiet, inkl. Pen-Testing. Als der Vertrag kam hab ich dann doch gestaunt, denn der Job Titel ist "Senior Consultant Informationssicherheit" /facepalm
Leider fällt das Pen-Testing Thema im Moment auch fast komplett runter und ich würde gerne mehr Technik machen, aber es ist nicht nur ISMS immerhin. So einen ähnlichen Mix hatte ich zumindest genau gesucht. Ich mache nicht jeden Tag das selbe und habe die Abwechslung.

 

[PHuV]

Ich bin auch seit Jahren nur noch "IT-Consultant", und mache eben alles, DevOps, Admin, Programmierung, Projektleiter, Pentester, Vertrieb, Mitarbeiterführung, Ausbildung,......

Daher, stör Dich nicht an dem Titel. Der ist heute leider Schall und Rauch.

 

[Falc410]

Ja genau, meine Aufgaben sind ähnlich wie deine. Ich fand es nur ironisch, da ich nie "Consultant" sein wollte und jetzt bin ich es doch. Aber halt zum Glück nicht, der für einen Unternehmensberater bei irgendeinem Kunden sitzt. Das war es nämlich genau was ich nicht wollte.

Also ich bin echt sehr zufrieden im neuen Job. Als mir der Headhunter die Stellenausschreibung geschickt hat, habe ich wie gesagt gleich abgelehnt und geantwortet, dass das überhaupt nichts für mich ist. Zum Glück habe ich mich dann zu einem Telefonat (zuerst mit dem Headhunter dann mit der neuen Firma) überreden lassen und siehe da: Die Stellenausschreibung hat so gut wie nichts mit dem eigentlichen Job zu tun gehabt. Probezeit auch schon erfolgreich gemeistert.

Nur die Doktorarbeit hat leider dran glauben müssen. Könnte ich theoretisch noch weiter machen aber im Moment bin ich gut ausgelastet mit Arbeit.

 

[Ramschbude]

Glückwunsch zum neuen Job. Ich hab den 560 gemacht (total einfach) und den OSCP angefangen (absolut hardcore). Kann mir daher schwer vorstellen, dass der 660 schwerer sein soll als der OSCP. Und nach dem OSCP kommen ja noch 1,2 Certs, die im Bereich von wirklichen Pentests (und nicht nur Nessus laufen lassen mit nem sinnlosen Bericht am Ende) richtig gut ankommen.

Ich bin nach 3 Jahren Low-Level Pentesting komplett weg von der Technik. Stand am Weg richtig tief zu gehen (siehe OSCP) oder eben eher in Prozessberatung zu gehen. Hab dann vor allem wegen dem Gehalt den Weg weg von der Technik gewählt und nicht bereut. Verdiene viel mehr und muss nicht mehr so am Puls der Technik sein. Mach mal paar Boxen zum Spaß privat auf, aber nichts tiefes mehr.

 

[Falc410]

Ich schick dir mal eine Zusammenfassung der Übungen als PM. Über die Hälfte vom Kurs ist halt Exploits entwickeln mit einem Debugger, ASLR umgehen, ROP-Chains usw. Hat absolut nichts mit Nessus zu tun oder mal eben ein Python Script eines bekannten Exploits ausführen. Metasploit wird da gar nicht mehr verwendet.

 

[Phrasendreher]

@fishraven
WOT? Dabei seit 2005, zwei Beiträge seitdem, beide in diesem Fred?
Hast Du das CB-Forum gehackt? SCNR
und sry für semi-offtopic, aber BTT:

Nur aus Neugier, weil das Berufsfeld so spannend ist, wie stehen eigentlich die Chancen für Quereinsteiger mit Erfahrungen z.B. in digitaler Forensik? Dass man reichlich Zertifizierungen machen kann ist mir klar, aber sollte man auch? Scheinbar kriegt man ja auch ohne Promotion nen Fuss in die Tür, aber was an Qualifikation ist konkret empfehlenswert?

 

[PHuV]

Ja genau, meine Aufgaben sind ähnlich wie deine. Ich fand es nur ironisch, da ich nie "Consultant" sein wollte und jetzt bin ich es doch. Aber halt zum Glück nicht, der für einen Unternehmensberater bei irgendeinem Kunden sitzt. Das war es nämlich genau was ich nicht wollte.

Es gibt (Anzug)-Consultants, die nur blöde daherlabern, und wir sind eben die Consultants, die arbeiten. 😁

Mit so einem besserwisserischen Laberconsultant habe ich gerade zu tun. Will immer nur schon Folien malen und erzählt was vom Pferd, hat aber sonst 0 praktische Ahnung. 🙄

 

[Ramschbude]

Ich schick dir mal eine Zusammenfassung der Übungen als PM. Über die Hälfte vom Kurs ist halt Exploits entwickeln mit einem Debugger, ASLR umgehen, ROP-Chains usw. Hat absolut nichts mit Nessus zu tun oder mal eben ein Python Script eines bekannten Exploits ausführen. Metasploit wird da gar nicht mehr verwendet.

Danke, aber ich glaube du hast mich da falsch verstanden. Nessus hab ich auf der Arbeit verwendet, nicht im 560. Die Kurse bei SANS sind ja geleitet und aus dem 560 fand ich alles machbar. Nessus und Co hab ich dann auf der Arbeit machen können, wenn pro Tag 30 Maschinen "durchgetestet" wurden. Das war Fließband und ging überhaupt nicht mehr tief.

Ich will den 660 auch gar nicht schlecht reden, klingt auch sehr komplex aber beim OSCP sitzt du halt viel(!) länger dran. Und ich finde man lernt auch sehr viel dabei. Daher, falls du mal die Wahl hast, dir den vom AG finanzieren zu lassen, mach das. Und am besten paar Tage pro Monat dafür dann auch Arbeitszeit aufwenden dürfen.

@fishraven
WOT? Dabei seit 2005, zwei Beiträge seitdem, beide in diesem Fred?
Hast Du das CB-Forum gehackt? SCNR
und sry für semi-offtopic, aber BTT:

Nur aus Neugier, weil das Berufsfeld so spannend ist, wie stehen eigentlich die Chancen für Quereinsteiger mit Erfahrungen z.B. in digitaler Forensik? Dass man reichlich Zertifizierungen machen kann ist mir klar, aber sollte man auch? Scheinbar kriegt man ja auch ohne Promotion nen Fuss in die Tür, aber was an Qualifikation ist konkret empfehlenswert?

Hehe, ja komisch. Wollte mich registrieren um auf den Post zu antworten ..."Ihre E-Mail Adresse wird schon verwendet" ... sosososo ^^

Die Chancen stehen für Quereinsteiger immer gut, wenn die Erfahrung auch nachweis-und belastbar ist. Wenn du Erfahrung mit Encase etc vorweisen kannst oder entsprechende Systeme ist das sicherlich gut. Aber woher bekommt man die als Quereinsteiger?

Ansonsten sind auch Trainee-Stellen mit 40k+ vergütet und man kann entsprechend schnell Erfahrung sammeln. Und sobald man die ersten Zertifikate hat, gehts schnell Richtung 6-stellig

 

[BeBur]

bei den namhaften Firmen alles in Israel oder Amerika

Ich kann Israel bzw. Tel Aviv sehr empfehlen. Ich habe einige Zeit in der Region gearbeitet und Tel Aviv hat wirklich so "Berlin Vibes". Nicht super hübsch, aber sehr offen und vielfältig, außerdem sehr westlich und aber mit Mittelmeer und toller Promenade vor der Tür. Viele Tel Aviver waren auch schon in Berlin da bist du also auch kein Alien als Deutscher.