Wie ich meine InfoSec-Reise begann - und wie man das auch erreichen kann

Wie ich meine InfoSec-Reise begann

und wie man das auch erreichen kann

Yann Santschi
von Yann Santschi
am 11. Juli 2024
Lesezeit: 9 Minuten

Keypoints

Überblick der Lernlandschaft der Informationssicherheit. Was man braucht, um erfolgreich zu sein.

  • Eine solide IT-Grundlage ist zwingend nötig, es braucht Leidenschaft für Informationssicherheit, Inspiration soll von Branchenexperten gezogen werden
  • Grundlegende IT-Fähigkeiten über zugängliche Plattformen wie YouTube, Udemy und w3schools aneignen, mit Fokus auf Programmierung, Netzwerke, Betriebssysteme und Webseiten
  • Plattformen wie TryHackMe, HackTheBox und Zertifizierungen wie OSCP und CISSP können genutzt werden, um vertieftes Wissen anzustreben
  • Hervorhebung einer Vielzahl von Ressourcen für alle Lernstufen, von YouTube-Tutorials bis hin zu fortgeschrittenen Informationssicherheitsplattformen
  • Der Spass und das Interesse daran sind das wichtigste

Die Informationssicherheit ist ein breites Feld, das viele Unterbereiche umfasst. Viele der InfoSec-Einsteiger in der Informationssicherheit stehen vor dem Problem, ihr Spezialgebiet zu wählen und ohne Vorkenntnisse einen Anfang zu finden. Dieser Artikel beleuchtet meine persönliche Reise in die Informationssicherheit und wie andere davon profitieren können.

Einführung

Mein Name ist Yann Santschi, und ich bin derzeit das neueste Mitglied des scip-Teams. In diesem Artikel möchte ich meine bisherige Reise in die Informationssicherheit teilen und einige der aktuellen Lernmöglichkeiten aufzeigen. Wichtig ist hier zu beachten, dass dies meine persönlichen Erfahrungen sind. Für jeden ist es anders und es bestehen keine Partnerschaften mit den genannten Plattformen.

Es wurden bereits Artikel zur Lernlandschaft und den Schwerpunkten beim Einstieg in die Informationssicherheit veröffentlicht. Einige Informationen in diesem Artikel basieren auf Andrea Hausers Artikel Security Testing – Möglichkeiten eines Quereinstiegs und Stefan Friedlis Artikel Informationssicherheit – 3 Dinge, die Neueinsteiger wissen sollten. Daher macht es Sinn, diese im Voraus zu lesen. Insbesondere da sich dieser Artikel nicht speziell mit Universitäten oder Ausbildungen befasst, sondern mit dem Selbststudium in der Informationssicherheit. Ausserdem soll ein Update zu einigen der besten aufkommenden Lernplattformen und -lösungen gegeben werden.

Kurz zu meinem beruflichen Werdegang, um den folgenden Informationen Kontext zu geben: Ich begann meine IT-Reise 2015 mit einer Ausbildung bei einem grossen Schweizer Finanzinstitut. Ich bekam einen grossartigen Überblick über alle Aspekte der IT, indem ich verschiedene Stationen in thematisch breit gefächerten Teams durchlief. Danach arbeitete ich im Consulting mit einem eher konzeptionellen Fokus und nun bin ich zurück bei der praktischen technischen Arbeit. In der Zwischenzeit begann ich auch ein Bachelor-Studium in Informations- und Cybersicherheit an der HSLU, wo ich derzeit berufsbegleitend studiere.

Während ich viele Dinge durch praktische Arbeit oder im Bachelorstudium lernte, bereicherte ich diese Erfahrungen auch durch viele andere Lernwerkzeuge, das Wissen von Menschen und Erfahrungen, die ich durch Trial-and-Error sammelte.

Was sind die Voraussetzungen für eine Karriere in der Informationssicherheit?

Kurz gesagt, stimme ich meiner Kollegin Andrea in ihrem bereits erwähnten Artikel zu, dass man die folgenden Voraussetzungen benötigt:

  1. Begeisterung und Enthusiasmus für Informationssicherheit; man muss sich bewusst sein, dass viel Zeit benötigt wird, um die Grundlagen zu verstehen.
  2. Man muss sicherstellen, dass die eigenen Erwartungen an die Arbeit in der Informationssicherheit klar sind und dass jemand diese Erwartungen herausfordern soll, um ein besseres Verständnis dafür zu bekommen, warum man dies tun möchte.
  3. Eine gute Grundlage in allgemeinen IT-Konzepten ist zwingend nötig, um deren Schwachstellen und Verwundbarkeiten zu kennen. Auf diesen Punkt wird als nächstes genauer eingegangen.

Da diese Punkte bereits in Andreas Artikel gut erklärt wurden, wird nachfolgend lediglich auf die Aneignung der IT-Grundlagen eingegangen.

Wo sollte man anfangen?

Wenn noch keine gute IT-Grundlage vorhanden ist, sollte man damit beginnen, etwas über Programmierung, Computernetzwerke, Betriebssysteme und die Funktionsweise von Webseiten zu lernen. Die wichtigsten Schritte dabei sind Fähigkeiten anzuwenden und Spass daran zu haben. Aber wie?

  1. Programmierung: Es gibt tausende von Programmierkursen und -klassen überall. Man kann nach Programmierkursen auf YouTube oder bezahlten Plattformen wie Udemy suchen. Es muss damit begonnen werden, die wichtigsten Konzepte der Programmierung zu lernen. Python ist ein guter Anfang, da es sehr anfängerfreundlich ist. In einer späteren Phase kann man zu C oder C++ wechseln und vielleicht noch um Assembly erweitern, um sein Programmierwissen zu vertiefen. Man kann auch versuchen, andere Sprachen oder Frameworks zu lernen, das wird nur dem Verständnis helfen, obwohl es keine Voraussetzung ist.
  2. Computernetzwerke: Auch hier gibt es viele verschiedene Ressourcen. Meiner Meinung nach ist der CCNA von Cisco der beste. Die gesamte Zertifizierung ist sehr teuer, alternativ kann man YouTube-Videokurse machen und virtuelle Labore mit dem Cisco Packet Tracer aufbauen, einem sehr guten Netzwerksimulations-Tool. Man muss hierbei lediglich ein Konto erstellen, aber es ist keine Zahlung erforderlich. Man wird lernen, was Switches, Hubs, Router und vieles mehr sind, ebenso wie diverse Protokolle und Netzwerksicherheitslösungen wie NIDS oder Firewalls funktionieren.
  3. Betriebssysteme: In der IT wird man auf Linux, Windows, verschiedene Server-Betriebssysteme, manchmal auch MAC OS oder sogenannte embedded OS stossen. Um zu wissen, wie man sie verwaltet, muss man die Grundlagen verstehen. Wie machen sie Zugriffskontrolle oder Verwaltung privilegierter Konten? Um sie am besten zu verstehen, sollte man sie in virtuellen Maschinen installieren und verschiedene Aufgaben ausprobieren. Man sollte sich gründlich über Windows und Linux informieren. Das Konzept der Virtualisierung und Containerisierung durch Docker sollte man ebenfalls lernen. Auch hier gibt es viele verschiedene YouTube-Videos, die die Kernkonzepte erklären.
  4. Webseiten: Man muss lernen, wie Webseiten funktionieren. Beginnend bei Front-End und Back-End: Wie interagieren sie? Was sind Datenbanken und wofür werden sie verwendet? Was kann man mit einer Webseite machen? Ein guter Ausgangspunkt ist hier das Erlernen des Front-Ends, also HTML, CSS, JS etc. Das gibt einem Lernenden die Werkzeuge, etwas zu erschaffen und sofortiges Feedback zu erhalten. Dies ist sehr motivierend und von dort aus kann man sich in alle anderen Themen verzweigen. Dies lernt man am besten wieder durch YouTube-Videos oder alternativ durch w3schools Tutorials. Es gibt ähnliche Tutorials, hier ist es eine Frage der persönlichen Vorliebe.

Etwas, das mir auch sehr geholfen hat, waren unterhaltsame Videos mit vielen grossartigen Informationen von verschiedenen YouTubern. Meine Favoriten sind NetworkChuck, The Morpheus und Fireship, da alle grossartige Inhalte mit hoher Qualität und Unterhaltung bieten. Man sollte nur so lange bei einem Thema bleiben, wie man Spass daran hat und wechseln, sobald es langweilig wird. Man wird nicht mehr oder besser lernen, indem man sich durchkämpft, sondern indem man Spass hat und mit Dingen experimentiert.

Zertifikate, Kurse und andere Tools?

Man wähle zuerst das Thema. Dann wähle man sein Niveau. Für mich machte es Sinn, mit Penetration Testing zu beginnen, da ich am neugierigsten darauf war. Wenn andere anfangen möchten und ihr Verständnis der Kernkonzepte stärken möchten, können sie einige TryHackMe-Kurse machen. Dies ist eine teilweise kostenpflichtige Lernplattform, die viele verschiedene Einsteigerkurse und Einführungen in verschiedene Themen bietet. Man kann ein kostenloses Konto haben, um auf einige der Inhalte zuzugreifen. Sie konzentrieren sich darauf, anfängerfreundlich zu sein, und bieten eine breite Palette an offensiven und defensiven Kursen. Eine gute und kostenlose Alternative zu THM könnten die OverTheWire Wargames sein. Sie bieten etwas fortgeschrittenere Labs, bei denen man nicht viel Erklärung erhält, sondern ermutigt wird, verschiedene Angriffe und Probleme durch Ausprobieren zu lernen. Je nach Thema, das man machen möchte, kann man einen Pfad beginnen, und um zum nächsten Level zu gelangen, benötigt man das Passwort des vorherigen Levels. Eine weitere grossartige Option ist die HackTheBox Academy. Diese Kurse sind etwas teuer, aber sie sind es wert. Besonders wenn man tiefer in den CTF-Bereich einsteigen möchte. Die beste CTF-Plattform ist meiner Meinung nach HackTheBox. Sie bieten grossartige Trainings mit vielen praktischen Anwendungen. Nach meiner Erfahrung benötigt man bereits einiges an Wissen, um den Lernpfad zu meistern. Aber man wird ein grossartiges Verständnis für potenzielle Angriffe, deren Verstärkung und deren Abwehr erhalten. Dies war der Weg für mich. Ich arbeite immer noch an meiner HTB CPTS-Zertifizierung. Und nicht zuletzt, wenn man besonders an Webanwendungen interessiert ist, sollte an sich die PortSwigger-Labs anschauen. Sie haben aussergewöhnlich gute Erklärungen und Labs zu Webanwendungen.

Wenn man nun noch fortgeschrittener ist, kann man die OSCP-Zertifizierung von OffSec anstreben. Diese Zertifizierung ist eine Grösse im Bereich der Informationssicherheit. Oder wenn man in eine Management-Richtung gehen möchte, empfehle ich die CISSP-Zertifizierung, die einen sehr breiten Überblick über alle InfoSec-Felder bietet.

Einige weitere Ressourcen, die ich beim Lernen entdeckt und verwendet habe sind:

  1. Rangefore und Immersive Labs: Zwei grossartige Ressourcen, insbesondere für die Ausbildung von Blue Teams.
  2. OWASP Security Shepard und der OWASP Juice Shop und andere OWASP-Projekte im Allgemeinen: Ein Open-Source-Projekt zum Lernen und Verbessern der Sicherheit von Web- und mobilen Anwendungen.
  3. CrackMes: Eine Trainingsplattform speziell für Reverse Engineering.
  4. CodeWars und LeetCode: Zum Lösen verschiedener Programmierprobleme.
  5. Root Me: Eine weitere CTF-Plattform.

Und wenn man wirklich fortgeschritten ist, kann man mit Bug-Bounties auf HackerOne beginnen und bereits damit Geld verdienen, sie haben zusätzlich auch ein Websicherheitstraining.

Fazit

Wie zu sehen ist, gibt es so viele verschiedene Ressourcen zur Auswahl. Dies sind nur Plattformen, mit denen ich bereits interagiert habe, es gibt noch viele mehr, die sicherlich auch sehr gut sind. Man sollte einfach eine ausprobieren und überlegen, ob sie Spass macht. Wenn nicht, probiert man eine andere, bis eine ansprechende gefunden ist. Es geht wieder um den Spass. Es gibt keine perfekte Ressource, aber die Kombination von ihnen wird es perfekt machen. Je fortgeschrittener man wird, umso aktueller muss man bleiben. Daher sollte man anfangen, über neue Techniken zu lesen und sie auszuprobieren. Eine nützliche Quelle dafür könnten unsere Artikel sowie andere Blogposts sein.

Über den Autor

Yann Santschi

Yann Santschi hat eine Systemtechnikerlehre bei SIX abgeschlossen und danach bei einer der Big Four Consulting Firmen als Cyber Security Consultant gearbeitet. Er macht gegenwärtig seinen Bachelor in Information and Cyber Security mit dem Major in Attack Specialist and Penetration Testing an der HSLU. Sein Fokus liegt auf Webapplikationen, Netzwerksicherheit und Social Engineering.

Links

Ihr Blue Team braucht Unterstützung?

Unsere Spezialisten kontaktieren Sie gern!

×
Area41 2024

Area41 2024 - Ein Rückblick

Michael Schneider

Prompt Injection

Prompt Injection

Andrea Hauser

Wie Sie Ihre Online-Konten schützen können

Wie Sie Ihre Online-Konten schützen können

Ian Boschung

Microsoft Cloud Access Tokens

Microsoft Cloud Access Tokens

Marius Elmiger

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv