Schön, dass du dich für Cybersicherheit interessierst und neugierig auf die Karrieremöglichkeiten bist. Denn: wir sind auf der Suche nach neuen Teammitgliedern. Vielleicht wäre das etwas für dich?

Wir erzählen dir hier mehr über unsere Arbeit und die dazu benötigten Skills - und du kannst dich auch gleich an einer ersten Challenge versuchen!

Who we are?

Auf unserer Webseite findest du viele Infos über unsere Dienstleistungen, daher hier nur eine kurze Zusammenfassung:

Unsere Kernkompetenz ist die Durchführung von Angriffssimulation, auch Ethical Hacking genannt. In Kundenaufträgen simulieren wir zum Beispiel einen anonymen Angreifer aus dem Internet, versuchen einen Trojaner ins interne Netzwerk einzuschleusen oder suchen Schwachstellen in Mobile Apps und Web-Applikationen. Wir beurteilen auch Security-Konzepte und analysieren Konfigurationen, zum Beispiel von Firewalls.

Ziel ist es, unserer Kundschaft ein Bild über den Sicherheitszustand ihrer Applikationen, Netze, Dienste und Geräte zu geben. Die Unternehmen und Organisationen können dann geeignete Massnahmen einleiten, um die Sicherheit ihrer Infrastruktur und Daten zu erhöhen. 

Es gibt verschiedene Wege, wie du Pentetrationstester:in werden kannst..

There's more than one way

Wir nennen uns "IT Security Analyst" oder "Pentester:in". Für diese Funktionen gibt es keinen klar definierten Werdegang. Obwohl es Studiengänge mit Schwerpunkt "Information & IT Security" gibt, führen auch andere (Berufs-)Wege zum Ziel.

Ob Applikationsentwickler:in, Systemtechniker:in, Netzwerkadmin, oder IT-Architekt:in - sie alle bringen gute Voraussetzungen mit, um im Bereich IT Security Fuss zu fassen. Ein solides und breit gefächertes IT-Wissen, eine Affinität für Cyber-Sicherheit, grosse Neugierde und Lernwille runden das Profil von "Quereinsteigern" in unserem Berufsfeld ab. 
 

Schritt für Schritt lernst du unser Handwerk kennen

First steps

Im ersten Monat bei Compass Security lernst du die Grundlagen für externe Penetrationstests und für das Manuelle Hacking von Webanwendungen, sowie das Schreiben von Sicherheitsberichten. Danach sammelst du während mehrerer Monate praktische Erfahrungen, indem du mit erfahrenen Kolleg:innen an Kundenaufträgen arbeitest.

Wir legen sehr viel Wert auf eine fundierte Ausbildung, auf Erfahrungsaustausch und die Dokumentation von Wissen und Informationen. Dies ermöglicht es dir, in kurzer Zeit das notwendige Wissen auf- und auszubauen. Ausserdem kannst du vom grossen Know-how deines Teams profitieren.
 

Daily business

Unsere Kundenaufträge dauern typischerweise zwischen ein paar Tagen und wenigen Wochen. Deine Teamleitung übergibt dir frühzeitig einen Arbeitsauftrag, um welchen du dich allein oder zusammen mit anderen kümmerst.

Mit Ausnahmen von kleineren Vor- und Nachbereitungsarbeiten anderer Aufträge, bearbeitest du nur einen Kundenauftrag aufs Mal. Wir planen etwa 60 - 70% der Auftragsvolumens für das eigentliche Testen ein und die restliche Zeit für das Erstellen des Berichts - wobei du oft auch parallel zum Testen dokumentieren kannst. Ein Teammitglied reviewt deinen Bericht (Qualitätskontrolle), bevor dieser der Kundschaft ausgeliefert und eine Abschlussbesprechung durchgeführt wird.
 

What else?

Damit du dich engagiert und motiviert den Kundenaufträgen widmen kannst, kümmern wir uns um das nötige Drumherum. Du profitierst nicht nur von fairen Arbeitsbedingungen, wertschätzendem Umgang und einem tollen Teamgeist, sondern auch von:

Wir pflegen einen regen Austausch von Know-How. Im monatlichen Monday Meeting präsentieren wir intern die neusten Ergebnisse unserer Forschung, sprechen über aktuelle Entwicklungen, stellen neue Testcases vor oder diskutieren über Besonderheiten aus Kundenaufträgen.

Jede:r Analyst:in hat pro Jahr zwei Forschungwochen zur Verfügung. In dieser Zeit recherchierst du zu aktuellen Security-Themen oder entwickelst neue Tools und Testcases. Die Ergebnisse können in Form eines Blogposts, einer Präsentation im Team oder an einem unserer öffentlichen Beer-Talks vorgestellt werden.

Wir haben ein intensives Ausbildungsprogramm für alle neuen Mitarbeitenden. Zusätzlich bieten wir regelmässig interne Schulungen an und organisieren externe Dozenten, um uns gemeinsam weiterzubilden. Ausserdem haben alle Analyst:innen die Möglichkeit, individuelle externe Weiterbildungen zu besuchen, wie z.B. von SANS oder Offensive Security.

Auf Schweizer Sicherheitskonferenzen sind wir quasi Stammgäste. Alle Mitarbeitenden erhalten ein (Zeit-)Budget, um diese während der Arbeitszeit zu besuchen. 

  • Area41 Security Conference
  • Black Alps (mit CTF)
  • Insomni'hack (mit CTF)
  • Swiss Cyber Storm

Wir bieten dir zahlreiche Funktionen und Möglichkeiten zur Weiterentwicklung:

  • übernimm die Projektleitung
  • verstärke das Red Team
  • untersuche Cyber-Angriffe im DFIR Team
  • werde Know-How-Verantwortliche:r für dein Spezialgebiet
  • steige als Kursleiter:in ein
  • oder stehe bald auf der Bühne als Speaker:in

Und: auch unsere Teamleiter, Research Officer und CISO sind/waren Pentester.

Alles kann, nichts muss!

Um einander besser kennenzulernen und die Teams zu stärken, ist eine Reihe an Events eingeplant:

  • An unserem «Coming Home Day» treffen wir die Kolleg:innen aller Compass-Firmen ausserhalb der gewohnten Bürostandorte. 
  • Jedes Team kann selbstständig einen «Fun Day» mit einer gemeinsamen Aktivität und geselligem Beisammensein organisieren.
  • Für das Engagement im zu Ende gehenden Jahr bedanken wir uns bei unseren Teams mit einem Weihnachtsanlass.

Ausserdem ist immer Platz für spontane Aktivitäten, die von unseren Mitarbeitenden selbst initiiert werden: Fondue-Abend, gemeinsam Fussball schauen, Kochen, Feierabend-Bier, Wochenend-Motorrad-Touren usw.

  • Fixlohn
  • Gleitende Arbeitszeiten
  • Möglichkeit für Teilzeitarbeit
  • Möglichkeit für Home Office 
  • Geräumige Büroräumlichkeiten
  • Grosszügiges Spesenreglement (Handy-Abonnement, Anteil öV-Abo etc.)
  • Analystenbudget für arbeitsspezifische Anschaffungen (z.B. Lizenzgebühren für deinen Lieblingseditor, ergonomische Tastatur etc.)
Hier geht's zu deiner ersten Hacking-Challenge

Let's going on

Kannst du dir vorstellen, deine Kenntnisse und Fähigkeiten bei uns einzubringen? 

Mache den nächsten Schritt und suche auf unserer Challenge-Webseite score.1337.team nach versteckten Flags. Sie sind überall dort versteckt, wo wir auch in unserem Arbeitsalltag hinschauen (müssen). Um die Flags zu finden, musst du keine Schwachstellen ausnutzen, aber deine Kreativität einsetzen.

Viel Spass!

Wenn du genügend Flags gefunden hast, hast du vermutlich genau die richtigen Hirnwindungen, die du für deine Arbeit bei uns benötigst. ;-)

Wir freuen uns, wenn du mit uns Kontakt aufnimmst! Schreibe eine E-Mail mit dem Betreff "Hacking-Challenge" an hr(at)compass-security.com und erwähne, dass du die Challenge gelöst hast. Wir laden dich dann direkt zu einem persönlichen Gespräch ein.