Wie wichtig sind tiefgehende Kenntnisse in Kryptographie im IT-Sicherheitssektor?
Ich werde zeitnah meinen Bachelor in Mathematik machen und will danach möglicherweise einen interdisziplinären Master in Mathematik beginnen, der eine Vertiefung in einem Informatik-Bereich bietet. Ich finde den IT Security Sektor ganz interessant und habe mich bei der Fächerwahl gefragt, wie wichtig tiefgehende Kenntnisse in Kryptographie sind ?
Jeder der in diesem Bereich arbeitet wird wohl irgendwo eine "Einführung in die Kryptographie" gemacht haben, aber gute Informatik-Unis bieten einem da noch viel mehr: Design von kryptographischen Systemen, Kryptographie und Komplexitätstheorie, symmetrische Kryptographie...
Die Frage ist ob sowas irgendwo nützlich ist oder sich das eher in die Kategorie "nice to have" einordnet. Auf Reddit habe ich sehr viele Kommentare von folgender Form gelesen: "Kryptographie ist nicht so wichtig im späteren Beruf. Es reicht grob zu wissen, worum es geht. Mehr braucht man nicht."
Was sagt ihr dazu ? Ich möchte insbesondere nicht in die Forschung!
3 Antworten
Kommt auf den Job an. In der Entwicklung solcher Verfahren ist das schon wichtig. In der Anwendung reicht natürlich das grobe Wissen.
An Deiner Stelle würde ich da nach persönlichem Interesse an der Materie entscheiden.
Das kommt ganz darauf an, worauf du dich spezialisieren willst. Wenn du berufsmäßig nach Schwachstellen in kryprographie-gesicherter Software suchst, sind sehr gute Kenntnisse bei dem Thema notwendig. Wenn du dagegen Sicherheitsanalysen in Firmen durchführst, nützt die beste Kryptographie nichts, wenn ein erschreckend großer Teil der Abmins die Passwörter verrät, wenn man ihnen vorher eine Tafel Schokolade schenkt.
Die größten Sicherheitsproblem sind Datenbank-Backups die ohne jeden Passwortschutz auf frei zugänglichen NAS-Laufwerken liegen und offene Netzwerkzugänge, teilweise beabsichtigt oder durch fehlende Patchs. Dann reicht es zu wissen, dass man die Kommunikation mit TLS verschlüsseln MUSS und dass TLS 1.1 veraltet ist. Wie der Code genau funktioniert, kann man dann den Entwicklern der Libraries überlassen und es reicht nachzuprüfen, ob sie zufällig auf der Gehaltsliste der NSA stehen.
Das kann man per Penetration-Testing machen. Es gibt weitere Methoden.
Es ist deine Entscheidung, in welche Richtung du dich spezialisierst. Weiterbilden musst du dich in der IT-Branche sowieso dauernd, denn das, was heute noch geheime Kryptographie ist, ist in 10 Jahren in den Kaugummiautomaten eingebaut.
Wenn du in die Forschung willst, dann solltest du diese ganze Theorie natürlich können.
In der Wirtschaft ist das nicht so relevant.
„berufsmäßig nach Schwachstellen in kryprographie-gesicherter Software suchst“- machen das nicht diese Pentester ?