Cybersecurity-Roadmap: 9 Phasen vom Einstieg bis zur Bewerbung

Diese Roadmap ist kein Versprechen, sondern ein Orientierungsrahmen. Sie geht davon aus, dass du 5-10 Stunden pro Woche investierst und strukturiert arbeitest - nicht sporadisch YouTube-Videos konsumierst. Der realistische Zeitrahmen liegt bei 9 bis 18 Monaten, je nach Vorwissen, verfuegbarer Zeit und Lernintensitaet.

Jede Phase endet mit einem klaren Bereitschaftssignal: einem Kriterium, das dir zeigt, ob du bereit für die nächste Phase bist. Dieses Signal ist wichtiger als eine willkuerliche Zeitvorgabe. Manche absolvieren Phase 2 in sechs Wochen, andere brauchen drei Monate - beide können danach auf einem soliden Fundament aufbauen.

Die Roadmap endet nicht mit einem Abschluss, sondern mit einem Anfang: deiner ersten Stelle oder einem strukturierten Einstieg in Bug Bounty, SOC-Arbeit oder Pentesting als Junior.

Ziel der Phase

Du verstehst, wie ein Computer intern funktioniert, was ein Betriebssystem leistet, wie das Internet Datenpakete transportiert und welche Grundbegriffe in der Cybersecurity immer wieder auftauchen. Diese Phase klingt unspektakulaer, ist aber das Fundament für alles Weitere.

Wichtigste Themen

• Hardware-Grundlagen: CPU, RAM, Speicher, Netzwerkkarte
• Betriebssysteme: Was ein OS tut, Unterschied Windows/Linux/macOS
• Wie das Internet funktioniert: IP-Adressen, DNS, HTTP, Routing
• Grundbegriffe: Server, Client, Port, Protokoll, Firewall
• Sicherheitsbegriffe: Schwachstelle, Exploit, CVE, Patch
• Rollen in der Cybersecurity: SOC, Pentester, GRC, AppSec, Blue Team
• Recht und Ethik: Paragraph 202a StGB, was Responsible Disclosure bedeutet

Konkrete Lernziele

• Du kannst erklären, was passiert, wenn du eine URL im Browser eingibst
• Du kennst den Unterschied zwischen TCP und UDP
• Du kannst Blue Team und Red Team in eigenen Worten beschreiben
• Du weisst, was ein CVE ist und wo du es nachschlagen kannst

Legale Übungsidee

Lege ein digitales Glossar an (Markdown-Datei oder Notion-Seite) und fuege jede Woche 10 neue Begriffe hinzu, die du wirklich verstehst - nicht nur abschreibst.

Typischer Anfängerfehler

Diese Phase zu ueberspringen, weil sie "zu basic" wirkt. Wer später nicht erklären kann, wie DNS-Aufloesung funktioniert, hat im Interview ein Problem - und im Lab ein noch groesseres.

Projektidee fürs Portfolio

Ein GitHub-Repository anlegen. Erste Datei: README mit dem eigenen Lernziel und einem kurzen Selbstportrait. Das Repository wir über alle Phasen hinweg weiterwachsen.

Bereitschaftssignal für Phase 2

Du kannst einem Freund ohne Fachkenntnisse erklären, was passiert, wenn er eine Website aufruft - vom Tastendruck bis zur Anzeige im Browser.

Ziel der Phase

Linux ist das Betriebssystem der Serverwelt und das Werkzeug der meisten Security-Profis. Diese Phase macht dich produktiv auf der Kommandozeile - nicht perfekt, aber selbstständig.

Wichtigste Themen

• Navigation: ls, cd, pwd, find, man
• Dateiverwaltung: cp, mv, rm, mkdir, chmod, chown
• Prozesse: ps, top, kill, systemctl
• Netzwerk-CLI: ip, ss, ping, curl, wget
• Dateiinhalte: cat, less, grep, awk, sed
• Logs: /var/log, journalctl, tail -f
• Benutzer und Rechte: sudo, useradd, /etc/passwd
• Shell-Skripting: einfache Bash-Skripte für Automatisierung

Konkrete Lernziele

• Du kannst eine Ubuntu-VM aufsetzen und dich einloggen
• Du kannst Dateiberechtigungen lesen und ändern
• Du findest laufende Prozesse und beendest einen gezielt
• Du liest Systemlogs und verstehst ihre Struktur
• Du schreibst ein Bash-Skript, das Dateien umbenennt oder Logs filtert

Legale Übungsidee

Installiere Ubuntu in VirtualBox oder via WSL2. Loesche NICHTS mit root-Rechten, was du nicht kennst. Dokumentiere jeden Befehl mit einem kurzen Kommentar, was er tut.

Typischer Anfängerfehler

Sofort Kali Linux installieren, ohne Linux-Grundlagen zu kennen. Kali ist ein Werkzeugkasten - ohne Grundwissen wirst du die Werkzeuge weder verstehen noch sicher nutzen. Starte mit Ubuntu.

Projektidee fürs Portfolio

Ein Cheatsheet-Repository mit kommentierten Befehlen. Nicht von anderen kopiert, sondern selbst dokumentiert - das ist der Unterschied, der im Interview auffaellt.

Bereitschaftssignal für Phase 3

Du navigierst die CLI ohne nachzudenken, kannst Logs analysieren und ein einfaches Bash-Skript schreiben, das ein reales Problem löst.

Ziel der Phase

Fast jeder Angriff und jede Verteidigung findet auf Netzwerkebene statt. Wer Pakete nicht lesen kann, kann Angriffe weder erkennen noch nachvollziehen. Diese Phase gibt dir das noetige Fundament.

Wichtigste Themen

• OSI-Modell: alle 7 Schichten verstehen, nicht auswendig lernen
• IP-Adressen: IPv4, Subnetze, CIDR, NAT
• TCP/IP: Verbindungsaufbau, Flags (SYN, ACK, RST, FIN)
• UDP: wann und warum UDP statt TCP
• DNS: Aufloesung, Typen (A, MX, TXT, CNAME), Zone Transfer
• HTTP und HTTPS: Methoden, Status-Codes, Header, TLS-Handshake
• Ports und Dienste: bekannte Ports, was hinter 22/80/443/3389 steckt
• Routing und Switches: wie Pakete ihren Weg finden

Konkrete Lernziele

• Du kannst ein Subnetz berechnen
• Du erklärst den TCP-Drei-Wege-Handshake ohne Nachschauen
• Du weisst, was bei einem DNS-Lookup passiert
• Du liest einen HTTP-Request-Header und erkennst auffaellige Werte

Legale Übungsidee

Starte Wireshark auf deinem eigenen Rechner und rufe eine Website auf. Annotiere das Capture: Welche Pakete sind TLS-Handshake? Wo ist der DNS-Request? Speichere das Capture mit Kommentaren als Portfolio-Artefakt.

Typischer Anfängerfehler

Wireshark auf fremden Netzwerken starten, weil es "interessanter" ist. Das ist illegal. Dein eigenes Heimnetz und deine eigene VM liefern mehr als genug Lernmaterial.

Projektidee fürs Portfolio

Ein annotiertes Wireshark-Capture (pcap) mit einer Erklärung jeder relevanten Paketgruppe ins Repository. Das zeigt, dass du Pakete wirklich lesen kannst.

Bereitschaftssignal für Phase 4

Du kannst in einem Capture sagen: "Das ist der DNS-Lookup, das der TLS-Handshake, und hier ist der eigentliche HTTP-Austausch."

Ziel der Phase

Die meisten Schwachstellen, die in der Praxis ausgenutzt werden, stecken in Webanwendungen. Wer HTTP, Sessions, Cookies und JavaScript nicht versteht, kann Web-Security nicht erlernen - weder offensiv noch defensiv.

Wichtigste Themen

• HTTP im Detail: Anfrage/Antwort-Zyklus, Methoden, Header, Status-Codes
• Cookies: Aufbau, Flags (HttpOnly, Secure, SameSite)
• Sessions: Wie Webserver Zustand verwalten
• Authentifizierung: Formulare, Token, OAuth-Grundlagen
• JavaScript: Grundlagen, wie der Browser Code ausführt
• Same-Origin Policy und CORS
• Basis-HTML und wie Formulare funktionieren
• Developer-Tools im Browser gezielt nutzen

Konkrete Lernziele

• Du kannst HTTP-Requests manuell mit curl nachbauen
• Du erklärst, was ein Session-Cookie ist und wie er missbraucht werden könnte
• Du weisst, was Same-Origin Policy schützt und was nicht
• Du nutzt die Browser-DevTools, um Netzwerk-Traffic zu lesen

Legale Übungsidee

Installiere Burp Suite und richte es als Proxy für deinen Browser ein. Analysiere den Traffic deiner eigenen Webanwendung oder eines lokalen DVWA-Setups. Notiere, was du siehst.

Typischer Anfängerfehler

Burp Suite sofort auf echte Websites ansetzen. Das ist ohne Erlaubnis illegal, auch wenn du "nur schaust". Verwende ausschließlich DVWA, Juice Shop oder PortSwigger Academy - diese sind für genau diesen Zweck gebaut.

Projektidee fürs Portfolio

Ein annotierter Burp-Mitschnitt eines DVWA-Logins: Was sind die Request-Header? Wo ist das Session-Cookie? Was ändert sich nach dem Login?

Bereitschaftssignal für Phase 5

Du kannst einen HTTP-Login-Vorgang vollständig beschreiben: vom Formular-Submit bis zum gesetzten Session-Cookie.

Ziel der Phase

Jetzt lernst du, wie Schwachstellen konzeptuell entstehen und wie Verteidigung dagegen aussieht. Fokus ist Verstehen - nicht Ausnutzen. Wer weiß, warum SQL Injection entsteht, kann sie später in Labs reproduzieren und in Produktionen verhindern.

Wichtigste Themen

• OWASP Top 10 als gedankliche Landkarte für Web-Schwachstellen
• Injection-Klassen: SQL, Command, LDAP - Mechanismus, nicht Exploit
• Broken Authentication und Session-Schwachstellen
• Cross-Site Scripting (XSS): reflected, stored, DOM-basiert
• CSRF: Warum Same-Origin nicht allein schützt
• Kryptographie-Grundlagen: Hashing, symmetrisch, asymmetrisch, TLS
• Logging und Monitoring: Was sollte geloggt werden, was verraten Logs
• Incident-Begriff: Was ist ein Sicherheitsvorfall, wie wird reagiert

Konkrete Lernziele

• Du kannst alle 10 OWASP-Kategorien in eigenen Worten beschreiben
• Du erklärst, warum MD5 für Passwörter ungeeignet ist
• Du beschreibst, wie ein CSRF-Token funktioniert
• Du weisst, was ein SIEM macht und welche Log-Quellen relevant sind

Legale Übungsidee

Lese die offizielle OWASP Top 10 Dokumentation und schreibe für jede Kategorie eine halbe Seite in eigenen Worten: Was ist es? Wie entsteht es? Wie wird es verhindert?

Typischer Anfängerfehler

Die Security-Grundlagen ueberfliegen und direkt mit Exploitation-Tools anfangen. Ohne konzeptuelles Verständnis wirst du Tools blind kopieren und im Interview keine Antworten haben.

Projektidee fürs Portfolio

Eine "Security-Konzept-Zusammenfassung" als Markdown-Dokument im Repository: OWASP Top 10 in eigenen Worten, mit einem eigenen Beispiel pro Kategorie.

Bereitschaftssignal für Phase 6

Du kannst drei verschiedene Schwachstellenklassen erklären, inkl. eines echten CVE-Beispiels und der zugehörigen Gegenmaßnahme.

Ziel der Phase

Theorie allein reicht nicht. In dieser Phase baust du dir ein eigenes Übungslabor auf und startest mit strukturierten Lernplattformen und Capture-the-Flag-Challenges. Dabei entsteht ein konkreter Erfahrungsnachweis in Form von Write-Ups.

Wichtigste Themen

• TryHackMe: Lernpfade 'Pre Security' und 'Complete Beginner'
• Hack The Box: Starting Point und Tier 1
• PortSwigger Web Security Academy: Lernpfade SQL Injection und Authentication
• Eigenes Heim-Lab: VirtualBox/VMware, Kali Linux, DVWA, Juice Shop
• CTF-Basics: Was sind Flags, Kategorien (Web, Crypto, Forensics, Pwn)
• Write-Ups schreiben: Was habe ich getan? Was habe ich gelernt?

Konkrete Lernziele

• Du hast mindestens eine TryHackMe-Maschine vollständig abgeschlossen
• Du hast ein eigenes Lab-Netzwerk mit mindestens zwei VMs laufen
• Du hast drei Write-Ups geschrieben, die deinen Lösungsweg erklären
• Du erklärst, was du bei einer Aufgabe nicht verstanden hast und wie du es herausgefunden hast

Legale Übungsidee

Richte ein isoliertes VirtualBox-Netzwerk ein: Kali Linux als Angreifer-VM, DVWA als Ziel-VM. Beide dürfen nur miteinander kommunizieren, nicht mit dem Internet. Übe SQL Injection auf DVWA - ohne Tutorials, erst mit eigenem Nachdenken.

Typischer Anfängerfehler

Write-Ups der anderen kopieren statt eigene zu schreiben. Wer eine Lösung nur nachvollzieht, ohne sie selbst erarbeitet zu haben, baut kein tiefes Verständnis auf. Eigene Fehler sind wertvoller als fremde Lösungen.

Projektidee fürs Portfolio

Drei Write-Ups öffentlich auf GitHub: Aufgabe, Vorgehen, Lösung, Lerneffekt. Ehrliche Write-Ups, die auch Sackgassen zeigen, sind überzeugender als perfekte Walkthrough-Kopien.

Bereitschaftssignal für Phase 7

Du hast ein funktionierendes Lab, drei Write-Ups und ein Verständnis dafür, wo deine eigenen Schwaechen liegen.

Ziel der Phase

Nmap, Wireshark und Burp Suite sind Standardwerkzeuge - aber nur dann nuetzlich, wenn du ihre Ausgabe verstehst. Diese Phase vertieft den Umgang mit den wichtigsten Tools und macht dich sicherer in der Interpretation von Ergebnissen.

Wichtigste Themen

• Nmap: Scan-Typen (SYN, TCP, UDP), Ausgabe lesen, NSE-Skripte verstehen
• Wireshark: Display-Filter, Follow TCP Stream, Paket-Anomalien erkennen
• Burp Suite: Intercept, Repeater, Intruder für Lab-Aufgaben
• Metasploit: Grundlagen im eigenen Lab (niemals gegen fremde Ziele)
• Optional: Splunk oder Elastic für SIEM-Grundlagen
• Tool-Dokumentation lesen lernen - man-Pages, --help, offizielle Docs

Konkrete Lernziele

• Du kannst einen Nmap-Scan erklären: Welcher Scan-Typ, warum, was bedeutet die Ausgabe
• Du findest in einem Wireshark-Capture ein bestimmtes Protokoll gezielt heraus
• Du nutzt Burp Repeater, um eine HTTP-Anfrage manuell abzuaendern

Legale Übungsidee

Scanne ausschließlich dein eigenes Lab-Netzwerk mit Nmap. Dokumentiere jeden Scan-Befehl, was du erwartet hast und was du stattdessen gesehen hast. Abweichungen sind Lernmomente.

Typischer Anfängerfehler

Nmap gegen fremde IP-Adressen oder Netze nutzen - auch "nur zum Testen". Das ist in Deutschland ohne Erlaubnis strafbar. Kein Lab-Ziel, kein Scan. Zweiter häufiger Fehler: Tools benutzen ohne die Ausgabe zu verstehen. Ein Scan-Ergebnis, das du nicht erklären kannst, ist wertlos.

Projektidee fürs Portfolio

Ein Tool-Cheatsheet im Repository: Nmap, Wireshark, Burp Suite - je mit kommentierten Beispielbefehlen und einer Erklärung, wann man welches Tool einsetzt.

Bereitschaftssignal für Phase 8

Du kannst alle drei Kerntool-Ausgaben sicher interpretieren und in Write-Ups erklären, was du gesehen und warum du es so gewertet hast.

Ziel der Phase

Ein Junior-Security-Profil ohne Portfolio ist eine Selbstauskunft. Ein Portfolio zeigt: "Ich arbeite strukturiert, ich dokumentiere, ich verstehe, was ich tue." Diese Phase ist kein Schlusspunkt, sondern ein paralleler Prozess, der ab Phase 1 läuft und hier bewusst konsolidiert wird.

Wichtigste Themen

• GitHub-Profil: README, saubere Repositories, Commit-Hygiene
• Write-Ups: CTF-Lösungen, Lab-Beobachtungen, Lernnotizen
• Detection-Regeln oder Hardening-Notizen als Artefakte
• Blog oder Notiz-Seite: Eigene Erklärungen von Konzepten
• LinkedIn: Ehrliches Profil ohne aufgeblasene Skills
• Eigene Lernzusammenfassung: Was kann ich, was will ich, was fehlt noch

Konkrete Lernziele

• Du hast ein GitHub-Profil mit mindestens 3 sauberen Repositories
• Du hast 5+ Write-Ups oder Lernnotizen öffentlich oder auf Anfrage vorzeigbar
• Du kannst deinen Lernweg in 3 Minuten beschreiben

Legale Übungsidee

Schreibe eine "Ich-habe-gelernt"-Zusammenfassung für jede Phase rückblickend. Was war schwierig? Was hat geklickt? Dieser Text ist ehrlicher und wertvoller als jeder generische Skill-Tag auf LinkedIn.

Typischer Anfängerfehler

Das Portfolio auf "später" verschieben. Wer erst am Ende anfaengt zu dokumentieren, hat die frühen Lernschritte vergessen und kann sie nicht mehr authentisch beschreiben.

Projektidee fürs Portfolio

Ein "Learning Journey"-Repository, das deinen Weg von Phase 1 bis heute zeigt: Glossar, Cheatsheets, Write-Ups, Projekte, Erkenntnisse. Das ist dein persoenliches Kompendium.

Bereitschaftssignal für Phase 9

Du hast ein vorzeigbares GitHub-Profil und kannst in einem 15-minuetigen Gespräch erklären, was drin ist und wie du es erarbeitet hast.

Ziel der Phase

Du positionierst dich gezielt für eine erste Stelle. Je nachdem, wohin es dich zieht - SOC Analyst, Junior Pentester, AppSec oder Blue Team - bereitest du Bewerbung, Interview und ggf. Zertifizierung gezielt vor. Diese Phase ist kein Abschluss, sondern ein Übergang.

Wichtigste Themen

• Rollenklarheit: SOC Analyst, Junior Pentester, AppSec, IT-Security Generalist
• Zertifikate gezielt einsetzen: CompTIA Security+, eJPT, CEH, OSCP je nach Ziel
• Stellenanzeigen lesen: Welche Skills werden wirklich gesucht?
• Interview-Vorbereitung: technische Fragen zu Logs, Netzwerken, Web Security
• Anschreiben: konkret, ehrlich, mit Lab-Erfahrung belegt
• Networking: BSides, lokale OWASP-Chapter, Online-Communities

Konkrete Lernziele

• Du hast dich auf mindestens 5 Stellen beworben und Feedback eingeholt
• Du kannst 10 typische Junior-Interviewfragen sicher beantworten
• Du weisst, welches Zertifikat für dein Ziel sinnvoll ist - und welches nicht

Legale Übungsidee

Mock-Interviews mit einem Lernpartner oder in einer Community. Stelle dir selbst die Frage: "Was würde ich fragen, wenn ich jemanden für einen SOC-Job einstellen würde?" - und beantworte sie schriftlich.

Typischer Anfängerfehler

Auf eine perfekte Zertifizierungsliste warten, bevor man sich bewirbt. Die Junior-Stelle ist der erste echte Lernschritt - sie setzt keine Perfektion voraus, sondern Neugier, Grundlagen und Ehrlichkeit über den eigenen Stand.

Projektidee fürs Portfolio

Eine persoenliche "Security-Lernseite" oder ein abschliessender README-Eintrag: Wer bin ich, was habe ich gelernt, wo will ich hin. Das ist dein Anschreiben in Portfolio-Form.

Bereitschaftssignal - Ziel erreicht

Du hast eine Stelle angetreten oder einen klar definierten nächsten Schritt (Bug Bounty, weiteres Zertifikat, Praktikum). Das Ende der Roadmap ist ein Anfang, keine Ziellinie.

Diese Roadmap verspricht keinen Job nach 30 Tagen, kein "Hacker-Zertifikat" und keine Abkürzung durch echtes Handwerk. Sie verspricht auch nicht, dass du nach Phase 9 alles weisst - das Gegenteil ist der Fall: Du weisst dann viel genauer, wie viel es noch zu lernen gibt.

Sie verspricht keine bestimmte Gehaltshoehe und keinen bestimmten Karrierepfad. Cybersecurity ist ein breites Feld mit sehr unterschiedlichen Rollen, Kulturen und Anforderungen. Was sie dir gibt: einen ehrlichen, strukturierten Weg durch die wichtigsten Grundlagen - ohne dich anzuluegen.

Wer schnelle Tricks sucht, um Systeme anderer zu kompromittieren, ist hier falsch. Diese Seite richtet sich an Menschen, die Security wirklich verstehen wollen - defensiv wie offensiv, ethisch, nachhaltig.

Starte heute: Installiere Ubuntu in VirtualBox, logge dich ein und führe fünf Befehle aus (z.B. whoami, ls -la, ip a,cat /etc/os-release, df -h). Dokumentiere jeden Befehl mit einem Satz: Was tut er? Das ist dein erster Portfolio-Eintrag.