Ist die Geschäftskontinuität nicht Teil der Sicherheit?
Andrea Covello
Überblick der Lernlandschaft der Informationssicherheit. Was man braucht, um erfolgreich zu sein.
Mein Name ist Yann Santschi, und ich bin derzeit das neueste Mitglied des scip-Teams. In diesem Artikel möchte ich meine bisherige Reise in die Informationssicherheit teilen und einige der aktuellen Lernmöglichkeiten aufzeigen. Wichtig ist hier zu beachten, dass dies meine persönlichen Erfahrungen sind. Für jeden ist es anders und es bestehen keine Partnerschaften mit den genannten Plattformen.
Es wurden bereits Artikel zur Lernlandschaft und den Schwerpunkten beim Einstieg in die Informationssicherheit veröffentlicht. Einige Informationen in diesem Artikel basieren auf Andrea Hausers Artikel Security Testing – Möglichkeiten eines Quereinstiegs und Stefan Friedlis Artikel Informationssicherheit – 3 Dinge, die Neueinsteiger wissen sollten. Daher macht es Sinn, diese im Voraus zu lesen. Insbesondere da sich dieser Artikel nicht speziell mit Universitäten oder Ausbildungen befasst, sondern mit dem Selbststudium in der Informationssicherheit. Ausserdem soll ein Update zu einigen der besten aufkommenden Lernplattformen und -lösungen gegeben werden.
Kurz zu meinem beruflichen Werdegang, um den folgenden Informationen Kontext zu geben: Ich begann meine IT-Reise 2015 mit einer Ausbildung bei einem grossen Schweizer Finanzinstitut. Ich bekam einen grossartigen Überblick über alle Aspekte der IT, indem ich verschiedene Stationen in thematisch breit gefächerten Teams durchlief. Danach arbeitete ich im Consulting mit einem eher konzeptionellen Fokus und nun bin ich zurück bei der praktischen technischen Arbeit. In der Zwischenzeit begann ich auch ein Bachelor-Studium in Informations- und Cybersicherheit an der HSLU, wo ich derzeit berufsbegleitend studiere.
Während ich viele Dinge durch praktische Arbeit oder im Bachelorstudium lernte, bereicherte ich diese Erfahrungen auch durch viele andere Lernwerkzeuge, das Wissen von Menschen und Erfahrungen, die ich durch Trial-and-Error sammelte.
Kurz gesagt, stimme ich meiner Kollegin Andrea in ihrem bereits erwähnten Artikel zu, dass man die folgenden Voraussetzungen benötigt:
Da diese Punkte bereits in Andreas Artikel gut erklärt wurden, wird nachfolgend lediglich auf die Aneignung der IT-Grundlagen eingegangen.
Wenn noch keine gute IT-Grundlage vorhanden ist, sollte man damit beginnen, etwas über Programmierung, Computernetzwerke, Betriebssysteme und die Funktionsweise von Webseiten zu lernen. Die wichtigsten Schritte dabei sind Fähigkeiten anzuwenden und Spass daran zu haben. Aber wie?
Etwas, das mir auch sehr geholfen hat, waren unterhaltsame Videos mit vielen grossartigen Informationen von verschiedenen YouTubern. Meine Favoriten sind NetworkChuck, The Morpheus und Fireship, da alle grossartige Inhalte mit hoher Qualität und Unterhaltung bieten. Man sollte nur so lange bei einem Thema bleiben, wie man Spass daran hat und wechseln, sobald es langweilig wird. Man wird nicht mehr oder besser lernen, indem man sich durchkämpft, sondern indem man Spass hat und mit Dingen experimentiert.
Man wähle zuerst das Thema. Dann wähle man sein Niveau. Für mich machte es Sinn, mit Penetration Testing zu beginnen, da ich am neugierigsten darauf war. Wenn andere anfangen möchten und ihr Verständnis der Kernkonzepte stärken möchten, können sie einige TryHackMe-Kurse machen. Dies ist eine teilweise kostenpflichtige Lernplattform, die viele verschiedene Einsteigerkurse und Einführungen in verschiedene Themen bietet. Man kann ein kostenloses Konto haben, um auf einige der Inhalte zuzugreifen. Sie konzentrieren sich darauf, anfängerfreundlich zu sein, und bieten eine breite Palette an offensiven und defensiven Kursen. Eine gute und kostenlose Alternative zu THM könnten die OverTheWire Wargames sein. Sie bieten etwas fortgeschrittenere Labs, bei denen man nicht viel Erklärung erhält, sondern ermutigt wird, verschiedene Angriffe und Probleme durch Ausprobieren zu lernen. Je nach Thema, das man machen möchte, kann man einen Pfad beginnen, und um zum nächsten Level zu gelangen, benötigt man das Passwort des vorherigen Levels. Eine weitere grossartige Option ist die HackTheBox Academy. Diese Kurse sind etwas teuer, aber sie sind es wert. Besonders wenn man tiefer in den CTF-Bereich einsteigen möchte. Die beste CTF-Plattform ist meiner Meinung nach HackTheBox. Sie bieten grossartige Trainings mit vielen praktischen Anwendungen. Nach meiner Erfahrung benötigt man bereits einiges an Wissen, um den Lernpfad zu meistern. Aber man wird ein grossartiges Verständnis für potenzielle Angriffe, deren Verstärkung und deren Abwehr erhalten. Dies war der Weg für mich. Ich arbeite immer noch an meiner HTB CPTS-Zertifizierung. Und nicht zuletzt, wenn man besonders an Webanwendungen interessiert ist, sollte an sich die PortSwigger-Labs anschauen. Sie haben aussergewöhnlich gute Erklärungen und Labs zu Webanwendungen.
Wenn man nun noch fortgeschrittener ist, kann man die OSCP-Zertifizierung von OffSec anstreben. Diese Zertifizierung ist eine Grösse im Bereich der Informationssicherheit. Oder wenn man in eine Management-Richtung gehen möchte, empfehle ich die CISSP-Zertifizierung, die einen sehr breiten Überblick über alle InfoSec-Felder bietet.
Einige weitere Ressourcen, die ich beim Lernen entdeckt und verwendet habe sind:
Und wenn man wirklich fortgeschritten ist, kann man mit Bug-Bounties auf HackerOne beginnen und bereits damit Geld verdienen, sie haben zusätzlich auch ein Websicherheitstraining.
Wie zu sehen ist, gibt es so viele verschiedene Ressourcen zur Auswahl. Dies sind nur Plattformen, mit denen ich bereits interagiert habe, es gibt noch viele mehr, die sicherlich auch sehr gut sind. Man sollte einfach eine ausprobieren und überlegen, ob sie Spass macht. Wenn nicht, probiert man eine andere, bis eine ansprechende gefunden ist. Es geht wieder um den Spass. Es gibt keine perfekte Ressource, aber die Kombination von ihnen wird es perfekt machen. Je fortgeschrittener man wird, umso aktueller muss man bleiben. Daher sollte man anfangen, über neue Techniken zu lesen und sie auszuprobieren. Eine nützliche Quelle dafür könnten unsere Artikel sowie andere Blogposts sein.
Unsere Spezialisten kontaktieren Sie gern!
Andrea Covello
Michèle Trebo
Lucie Hoffmann
Michael Schneider
Unsere Spezialisten kontaktieren Sie gern!