Also ich bin schon länger im Bereich der Softwareentwicklung (Java, eher "langweilige" Konzern-Software...) tätig und möchte nun gerne in der IT-Security-Welt Fuß fassen. Also nicht nur technische Aspekte, sondern auch regulatorische. Datenschutz, Compliance, Audits etc. Die Frage ist, wie ich sinnvollerweise als reiner Entwickler in diesen Bereich vorstoßen kann. Und zwar so, dass man nicht massive Gehaltseinbußen hat (bspw. bei Junior-Positionen). Das ist für mich aktuell DIE große Barriere. Langfristig (irgendwann mit 35+) will ich eh keine Software mehr entwickeln. Das wird leider immer mehr zum Billiglohnsektor. Danke.
Sowas habe ich mich letztens auch gefragt (für einen anderen Bereich). 'Drin' ist man, wenn man eine Stelle in dem Bereich hat und die Probezeit überstanden hat. Wie bekommt man eine solche Stelle? Indem man irgendwas vorzeigen kann, das einen für die Stelle qualifiziert. Wenn du an einem Projekt in dem Bereich mitgearbeitet hast und im Arbeitszeugnis nicht nur 'hat sich stets bemüht' steht, wäre das schonmal ein guter Pluspunkt. Ansonsten vielleicht Fortbildungen oder Zertifikate? Du könntest vielleicht als erstes zu einer Stelle wechseln, bei der Sicherheit eine größere Rolle spielt. Da würdest du an obengenannten Projekten mitarbeiten, ohne direkt schon der Sicherheitsverantwortliche zu sein. Mit der Erfahrung könntest du dich weiter spezialisiert bewerben (oder in der Firma aufsteigen). Das ist aber jetzt nur meine Meinung, ohne allzuviel Erfahrung zu haben.
Es hilft, etwas über die Themen der eigenen beruflichen Zukunft zu wissen. Und der Sicherheitsbereich ist ein ungeliebtes Kind. Niemand möchte Sicherheitslücken auf einem Papier sehen. Ab dem Zeitpunkt wird nämlich gehaftet. Vielleicht suchst du dir eine Firma, die auf Sicherheit zwangsläufig Wert legt. Werksspionage ist ein beliebtes Feld, resp. der Schutz von Geheimnissen. Es geht auch mit pro-aktivem Management, d.h. in die Lieblingssoftware einbrechen und dann mit dem Eigentümer teilen. Als Einstieg gibt es div. Ausschreibungen, sogar der EU, in verschiedenen Programmen Fehler zu finden. Die zahlen sogar Bug Bounty.
Gibt es etwas zu dieser Anzeige vergleichbares im deutschen/europäischen Raum? https://news.ycombinator.com/item?id=20588522
Für Sicherheit wird nur dann gern Geld ausgegeben, wenn das Kind bereits in den Brunnen gefallen ist. So gesehen hast Du 2 Baustellen: eine fachliche und eine monetäre.
Die IT-Security Typen, die mir im Job über den Weg laufen, sind im Normalfall Scharlatane. Schlangenölverkäufer, selbsternannte "Experten", die bestenfalls mal ein Handbuch, aber maximal eins, über IT-Sicherheit gelesen haben. Das heißt, fachlich sollte der Wechsel kein Problem sein. Eventuell vorhandenes Wissen kann man sich notfalls wegsaufen. Allerdings muss die Persönlichkeit passen. Man braucht das Auftreten eines Gebrauchtwagenverkäufer oder Anlagebetrüger. Um die eigene Inkompetenz zu tarnen muss man sich aufführen, als ob man der geilste Stecher unter der Sonne wäre und alle anderen blöd sind.
:
Bearbeitet durch User
Hannes J. schrieb: > Um die eigene > Inkompetenz zu tarnen muss man sich aufführen, als ob man der geilste > Stecher unter der Sonne wäre und alle anderen blöd sind. Damit kennst du dich ja auch bestens aus, solltest ihn diesbezüglich beraten. Danach noch einen Aufbaukurs geben wie man Leute in der Werkshalle verprügelt.
Boris O. schrieb: > Und der Sicherheitsbereich ist ein ungeliebtes Kind. Niemand > möchte Sicherheitslücken auf einem Papier sehen. Ab dem Zeitpunkt wird > nämlich gehaftet. DAS ist ein wichtiger Punkt. Mit IT-Security kann sich niemand positiv hervortun. Entweder alles ist ok, dann herrscht schweigen im Walde, oder die Kacke dampft, dann ist man der Buhmann weil die Probleme benannt werden und es wird um jede Formulierung gefeilscht. Gegenmaßnahmen kosten Geld und bringen keine Umsatz.
Google nach Penetrationstest, schau wer aus den top 10 Stellen ausgeschrieben hat und bewirb dich! Bin seit 8 Jahren in der Branche und kann das negative Feedback nur bei Security Typen im Konzern bestätigen. Wer hands-on arbeitet bekommt auf die Finger wenn die Leistung nicht stimmt. Die Arbeit ist abwechslungsreich, spannend und fordernd. Man sieht viele coole Sachen. Bin sehr happy und die Bezahlung ist auch nicht völlig unfair.
Susi Sorglos schrieb: > Für Sicherheit wird nur dann gern Geld ausgegeben, wenn das Kind bereits > in den Brunnen gefallen ist. Die DSGVO hat Aufgaben definiert, für die man entsprechend geschultes Personal benötigt. Ob man will oder nicht.
Hannes J. schrieb: > Die IT-Security Typen, die mir im Job über den Weg laufen, sind im > Normalfall Scharlatane. Schlangenölverkäufer, selbsternannte "Experten", > die bestenfalls mal ein Handbuch, aber maximal eins, über IT-Sicherheit > gelesen haben. Jene, die mir im Job bisher über den Weg liefen, waren es nicht.
Alles Lug und Trug ================== Vor einiger Zeit leistete ich in einem Landesministerium ein IT-Praktikum ab. Dort gab es einen promovierten und einen anderen MA: Beide IT-Sicherheitsexperten. Meine Büro-MA waren Quereinsteiger bis auf eine Ausnahme: Ein FH Absolvent für die schweren Windows-Admin-Aufgaben war auch noch dabei. In der Morgenrunde zitierte ich das Merkblatt "Alles Lug und Trug" aus Graz. Inhalt: Betrüger spionieren zunächst eine Firma aus und schicken dann Rechnungen mit falscher Kontonummer. Krankenstand war stets hoch und kurze Zeit später war der FH-Kollege auch noch krank. In einem seiner Krank-Tage kamen falsche Rechnungen an diesen oder jenen Beamten - bis dann schließlich der Sammelverteiler feuerte. Am letzten Freitag Mittag meines Praktikums erfuhr ich, dass es für mich nur noch mit 6 Monaten Befristung weitergehen sollte. Darauf beschwerte ich mich wegen untreuen Umgang mit Steuergeldern... Sie machen dann immer "Fahrstuhl" (in meinem Haus fällt einmal in mehrere Jahren der Fahrstuhl für längere Zeit aus, auch wenn ich mal umgezogen bin). Eine Runde sozusagen für alle gehbehinderten Nachbarn. Neuerdings bucht mich die Hochschule RheinMain (angewandte Wissenschaften) direkt beim Arbeitgeberservice. Das coole daran: Die Auswahlkommission fragt jedesmal: "Warum haben Sie sich beworben?" Zuletzt ging es um die Verlegung von LAN-Kabel und um "Ausleuchtung". IT-Sicherheits-Verantwortlicher dort ist ein Dipl. Physiker den die FH logischerweise nicht selbst ausbilden kann. Seine E-Mail-Autoresponse sagte mir dann: "Ruf das Helpdesk an, denn ich bin bis 11.9. (= Ende der Bewerbungsfrist) nicht erreichbar". (Als Ansprechpartner in der Stellenaussprechung mit Name, Telefon und Email selbst angegeben). Im Helpdesk ging um 10:00 Uhr morgens natürlich auch keiner mehr ran. === Danke für das Thema als Steilvorlage ===
Penetrationstester schrieb: > und die Bezahlung ist auch nicht völlig unfair. Genaue Zahlen bitte, diese Aussage ist mir zu schwammig.
Ich halte es für ein Gerücht mit IT-Security pauschal besser bzw. mehr Geld zu verdienen als mit Softwareentwicklung IN einem IGM-Konzern. Eher das Gegenteil dürfte i.d.R. der Fall sein: "IT" an sich ist für fast alle Firmen, die nicht gerade Google oder Amazon heißen, erstmal nur ein "notwendiges Übel", das nichts zur Wertschöpfung beiträgt. Sie muss halt da sein und funktionieren, genauso wie die Strom- und Wasserversorgung. Insbesondere Controller haben diese Sichtweise und lagern alles IT-beziehbare an irgendwelche externen Dienstleister aus, ähnlich wie Sicherheitsdienste oder Putzkolonnen. "IT-Sicherheit" wird dabei immer vorausgesetzt. Niemand will unsichere IT, daher kann man für sichere IT keinen Aufpreis verlangen. Sicherheit ist zudem ein Prozess, kein Produkt. Damit ist es in einer großen Firma grundsätzlich eine zähe und bürokratische Angelegenheit ohne Erfolgsgarantie, die das Gegenteil vom Trend der agilen Methoden in der F&E repräsentiert und dort daher vor allen als "Bremse" bekannt ist. Am besten fährt man wohl als externer Berater in einem IT-Beratungsunternehmen. Dann reist man aber IMMER durch die Welt. Ansonsten vielleicht noch als Spezialexperte mit AT-Vertrag, für irgendein Spezialthema, das NICHT der IT untersteht sondern F&E!
Ingenieur schrieb: > Penetrationstester schrieb: > und die Bezahlung ist auch nicht völlig unfair. > > Genaue Zahlen bitte, diese Aussage ist mir zu schwammig. Einstieg bei ca. 45k. Nach 3 Jahren können es 60k sein. Nach 8 Jahren auch über 74k fix. Dafür, dass man unglaublich viel Spaß hat und sehr gute exits in der Industrie haben könnte (ca. 3 sinnvolle Headhunteranfragen im Monat, die letzte war 90k, Reisezeit = Arbeitszeit und 36 Tage Urlaub) finde ich die Bezahlung wie gesagt nicht unfair und wenn man sich doch schlecht behandelt fühlt gibt es andere Optionen. IGM-Unternehmen suchen ja auch in dem Bereich. Diese Zahlen sind übrigens nicht hochgestapelt.
Was ist dein Hintergrund? ITsec Master aus Bochum oder generische Informatik einer anderen Uni? Was hattest du vorher für Erfahrungen? CTFs, veröffentlichte Sicherheitslücken, Bug Bounties auf HackerOne, etc.? Was passiert, wenn die Firma für eine von dir gefundene Lücke eine Bug Bounty erhält? Feuchter Händedruck, (Teil der) Bug Bounty wird durchgereicht?
Penetrationstester schrieb: > Headhunteranfragen im Monat, die letzte war 90k Das kann auch kleines Schmerzensgeld sein? Man sollte die Bedingungen kennen. Tag und Nacht und überall macht nicht ewig Spaß.
oszi40 schrieb: > Penetrationstester schrieb: > Headhunteranfragen im Monat, die letzte war 90k > > Das kann auch kleines Schmerzensgeld sein? Man sollte die Bedingungen > kennen. Tag und Nacht und überall macht nicht ewig Spaß. Eben, das ist dann Schmerzensgeld. Ich lege auch sehr viel Wert auf geregelte Arbeitszeiten und möglichst keine Dienstreisen.
Carter Karlo schrieb: > Was ist dein Hintergrund? ITsec Master aus Bochum oder generische > Informatik einer anderen Uni? Was hattest du vorher für Erfahrungen? > CTFs, veröffentlichte Sicherheitslücken, Bug Bounties auf HackerOne, > etc.? > > Was passiert, wenn die Firma für eine von dir gefundene Lücke eine Bug > Bounty erhält? Feuchter Händedruck, (Teil der) Bug Bounty wird > durchgereicht? Bugbounties bekommt man zu 100%. Habe auch schon ein paar Advisories veröffentlicht. Vorwissen und Interesse war da, das meiste hab ich aber im Job gelernt.
> Am besten fährt man wohl als externer Berater in einem > IT-Beratungsunternehmen. Schon falsch, weil: > Dann reist man aber IMMER durch die Welt. Als Selbstständiger kann man Aufträge auch mal ablehnen. Dann arbeitet man ein Vierteljahr und hält den Rest des Jahres einen geruhsamen Winterschlaf. Wer nun aber partout den dritten Daimler und noch einen Tesla in der Garage will, muss halt knüppeln.
Kriseninterventionsspezialist schrieb: > einen geruhsamen Winterschlaf IT ist eine schnell verderbliche Ware. Gemüsehandel ist gemütlicher. :-)
> IT ist eine schnell verderbliche Ware
Naja, mal sind die Knöpfe rot und dann wieder blau.
Aber es sind noch immer selben.
Eine gewisse Flexibilität wird natürlich vorausgesetzt.
Und das Wasser bleibt sowieso das selbe womit gekocht wird.
Stimmt es eigentlich, dass einem der Rückweg versperrt ist, wenn man als Softwareentwickler in die IT-Sicherheit wechselt? Die Entwickler-Fähigkeiten wendet man ja meist nicht mehr an, sondern wird eher zum fachlichen Dünnbrettbohrer, der mit Buzzwords jongliert, wenn ich das so mitbekommen habe.
Ich denke dass das technische Niveau von Sicherheitsexperten sehr hoch ist und auch sein muss. Jedenfalls höher als beim 0815-Entwickler.
ellipticline schrieb: > Ich denke dass das technische Niveau von Sicherheitsexperten sehr > hoch ist und auch sein muss. Jedenfalls höher als beim 0815-Entwickler. Sein müsste. In dieser Branche tummeln sich leider sehr viele Schwätzer und Blender.
Mit dem Wissen wächst der Zweifel (daß heute einer ALLES wissen kann).
Was macht ein Consultant im Bereich Informationssicherheit denn eigentlich so, von Tag zu Tag?
Ingenieur schrieb: > Sein müsste. In dieser Branche tummeln sich leider sehr viele > Schwätzer und Blender. In der gesamten IT tummeln sich die Schwätzer und Blender. https://pbs.twimg.com/media/CEz-c1SW8AAum34.png
F. B. schrieb: > Ingenieur schrieb: > Sein müsste. In dieser Branche tummeln sich leider sehr viele Schwätzer > und Blender. > > In der gesamten IT tummeln sich die Schwätzer und Blender. > > Dann muss ich unbedingt in die IT wechseln
> F. B. schrieb: > > Ingenieur schrieb: > > Sein müsste. In dieser Branche tummeln sich leider sehr viele Schwätzer > > und Blender. > In der gesamten IT tummeln sich die Schwätzer und Blender. Nicht nur dort !
Latschenkiefer schrieb: > Ich halte es für ein Gerücht mit IT-Security pauschal besser bzw. mehr > Geld zu verdienen als mit Softwareentwicklung IN einem IGM-Konzern. Eher > das Gegenteil dürfte i.d.R. der Fall sein: Natürlich sind Pauschalaussagen nicht einklagbar, aber IT-Sicherheit hat mehr Zukunft als Vergangenheit, während es bei manchem IGM-Konzern andersrum sein könnte. > "IT" an sich ist für fast alle Firmen, die nicht gerade Google oder > Amazon heißen, erstmal nur ein "notwendiges Übel", das nichts zur > Wertschöpfung beiträgt. Das Thema Sicherheit eignet sich vorzüglich für negative Wertschöpfung.
Sicherheit ist natürlich erstmal "negative Wertschöpfung" wenn man das so ausdrücken will, aber sie ist essenziell um die Wertschöpfung aus anderen Bereichen zu wahren! Glaube inzwischen ist es nicht mehr so schwierig die Verantwortlichen davon zu überzeugen dass die Investition sein muss. Man sieht ja wie Medien und Internet auf jedes Unternehmen eindrischt das Daten verliert, egal wie.
Ok, das war offenbar zu undeutlich formuliert. Das Thema Sicherheit birgt erhebliches Potential für Rufschaden, Entschädigung, Strafzahlung. Was mitunter zu erheblichem finanziellen Verlust führen kann. Was ich kurzerhand als negative Wertschöpfung bezeichnete, wenngleich potenzielle, also durch fehlende Sicherheit. Alex G. schrieb: > Glaube inzwischen ist es nicht mehr so schwierig die Verantwortlichen > davon zu überzeugen dass die Investition sein muss. Eben. Genau das meinte ich. Was ich aus betrieblicher Erfahrung auch konkret bestätigen kann. So hat die DSGVO ziemlich durchgefegt und Sensibilität auch ohne vorherigen Schaden geschaffen.
:
Bearbeitet durch User
ellipticline schrieb: > Die Frage ist, wie ich sinnvollerweise als reiner Entwickler in diesen > Bereich vorstoßen kann. In Bereiche, die, weil vergleichsweise neu, noch keine festgezurrten Berufswege definieren, kann so ungefähr jeder vorstossen. Man muss halt jene Leute, die einen bezahlen, davon überzeigen können, dass man das Geld wert ist.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.