Cybersecurity/Pentesting Roadmap?
Moin. Ich starte in 2 Wochen mit einer Umschulung zum Fachinformatiker - Anwendungsentwicklung. 18 Monate Theorie, 6 Monate Praktikum, IHK Prüfung. Da es mein Wunsch ist in Richtung Cybersecurity/Ethical Hacking zu gehen, habe ich sehr viel recherchiert und mir daraus eine Beginners Roadmap zurecht gelegt, die ich neben dem Umschulungsstoff abarbeiten möchte. Diese Roadmap sieht wie folgt aus und erstreckt sich bis zu dem Punkt an dem man quasi Junior Ethical Hacker (hoffe ich zumindest?😂) ist und dann mit den Intermediate Skills weiter machen würde.
Zertifizierungen während der Roadmap:
LPIC-1, CompTIA Security+
Ziel ist es mit dem Wissen und den beiden Zertifizierungen ein Top Praktikum bei einem Cybersec Consulting Unternehmen zu ergattern. Es bleiben also 12 Monate (6 Monate vor Praktikum fange ich an mit Bewerbungen) um das Wissen zu erlangen und die Zertifizierungen zu schaffen.
Jetzt zur Frage an die Profis: Ist das in euren Augen machbar? (Ja, ich bin extrem motiviert und bereit 10 - 12 Stunden pro Woche, neben der Vollzeitumschulung, zu investieren).
Außerdem bin ich dankbar für alle Ratschläge und Ergänzungen hinsichtlich der Roadmap.
2 Antworten
Das mit der Umschulung klingt gut, eine IHK-Prüfung würde dir definitiv den Jobmarkt öffnen denke ich. Guck am besten schon früh nach einem Praktikumsplatz, soweit ich gehört habe kann es daran am ehesten scheitern.
Ich kann dir nix zu den Zertifizierungen sagen, keine Ahnung. Am besten bewertet man sowas, indem man darauf guckt, wie viele Stellenausschreibungen nach sowas fragen.
Zu den Punkten auf dem Bild: Sei mir nicht böse aber das ist nicht, was man von einem Junioren erwarten würde. Was in der Liste steht ist im Endeffekt einfach nur die normale Benutzung eines Betriebssystems (Umgang mit Daten und Verzeichnissen) und die rudimentäre Bedienung von ein paar Tools (Anzeigenfilter in Wireshark oder Metasploit). Was da komplett fehlt: Verständnis. Wie funktionieren kritische Teile von komplexen Systemen? Was für Auth-Arten gibt es, wie funktionieren sie, und was sind ihre Stärken und Schwächen? Im Endeffekt ist das nur die „Ich kann ein Tool von einem anderen bedienen, ohne zu verstehen was passiert“ Herangehensweise.
Das was du vorhast, kannst du definitiv erreichen. Aber ich denke da gehört mehr dazu.
Jeder fängt auf genau dieser Stufe mal an. Und das ist auch nix schlimmes. Aber Junioren sind bei uns die, die gerade aus ihrem IT-Security-Studium kommen, nicht die, die ein Betriebssystem bedienen können und auf den „Start“-Button von Armitage drücken können.
Vielen Dank erstmal, das ist schonmal eine erste Hilfestellung. Sicher werde ich mit dieser Roadmap nicht das Level und den Wissensstand eines Studierten erreichen. Dennoch bin ich überzeugt, dass ich mit diesem Wissen und den Zertifizierungen aus der Masse heraus stechen kann. Wichtig für mich ist, dass ich ein Praktikum in einem Unternehmen machen kann, welches in der Beratung rund um IT-Sicherheit tätig ist, da ich von Andang an den richtigen Weg einschlagen und keine Zeit verschwenden möchte. Einzig und allein dazu dient mein Plan. Grundlage für das Verständnis bildet unter anderem die CompTIA Sec+ Zertifizierung. Die Roadmap beschreibt nur sehr grob die Themenbereiche.
Das sind überwiegend punkte die eine grundvoraussetzung sind um überhaupt darüber nachzudenken zu „dürfen“ sich an ethisches hacken heranzutasten. Die Linux basics sind das absolute minimum um zb tools bedienen zu können, aber es bringt dir eben nichts nur tools bedienen zu können.
Dein erster schritt sollte sein dass du dich spezialisierst, sonst kannst du das vorhaben (fast schon) vergessen. Willst du software angreifen? willst du linux oder windows systeme angreifen? wie willst du diese systeme angreifen aka was willst du bezwecken (willst du zerodays finden oder einfach nur die systeme von kunden infiltrieren?)? willst du webhacking betreiben? weil manche es zum hacken dazu zählen: willst du reverse engineering betreiben? willst du hardware angriffe durchführen?…. Wie du siehst sind die bereiche die man erlenen kann quasi unbegrenzt und sie bestimmen maßgeblich was du lernen musst, denn du kannst nicht alles beherrschen auch wenn es auf youtube so leicht aussieht;)
bevor du anfängst dich ans hacken ranzutasten:
- Leg dich auf einen themenkomplex den du erlernen willst fest
- Lern C
- lern python
- befass dich mit den gängigen protokollen: ip (+routing generell), tcp, udp, ip, smtp, ftp, http, https (entsprechend auch die verschiedenen tls varianten)
- beschäftige dich mit der architektur von windows und linux
- nice to know: wie funktioniert docker und virtualisierung
Wenn du das alles verstehst und weißt dann kannst du darüber nachdenken dich ans hacken ranzutasten. zudem bilden die von mir genannten themen eine gute grundlage für die diversen spezialisierungen. Alles andere ergibt keinen sinn, denn sonst lernst du nur wie man scriptkiddy-mäßig tools ausführt ohne das eigentliche handwerk zu verstehen
Übernimm dich nicht. du wirst sehr viele neue und komplexe dinge lernen und es ist wichtiger die grundlagen zu beherrschen als direkt zur nächsten station auf der roadmap zu springen
Das werde ich definitiv beherzigen, ich persönlich denke auch das es sehr wichtig ist gerade Themen wie die Netzwerktechnik astrein zu beherrschen und vorallem auch zu verstehen wie Netzwerke funktionieren. Danke für die Hilfestellung!
Danke für deine Antwort! Das mit dem Themenkomplex ist ein wichtiger Hinweis. Zu den anderen Dingen: Netzwerktechnik (also auch gängige Protokolle) ist ein komplettes Lernfeld der Ausbildung, genau so wie OS Architekturen und Python. Mein Ziel ist es den Ausbildungsinhalt gezielt mit Material im Bereich von Ethical Hacking/Pentesting zu ergänzen um die Grundlage zu schaffen. Niemals nicht möchte ich nur Tools bedienen ohne zu verstehen was ich da eigtl mache, so a la Youtube Scriptkiddie.