Warum Portfolios in Security so stark wirken
Hiring-Manager im Security-Umfeld haben meist wenig Zeit. Ein klares Portfolio liefert in fuenf Minuten ein Bild, das Lebenslauf und Anschreiben nicht liefern können. Es zeigt Arbeitsweise, Tiefe, Kommunikationsstaerke und Lernfaehigkeit.
Wer Portfolios scannen kann, bekommt mehr Interviews als jemand mit gleich vielen Zertifikaten ohne sichtbares Werk.
Die wichtigsten Portfolio-Bausteine
| Baustein | Inhalt |
|---|---|
| GitHub-Profil | Sortierte Repos mit gepflegten READMEs. |
| Homelab-Doku | Netzwerk-Diagramm, VMs, Snapshots, Lessons Learned. |
| CTF-Write-Ups | Eigene Lösungen retired Boxen, ohne Flags. |
| Cheatsheets | Wiederverwendbare Notizen zu Tools, Klassen, Workflows. |
| Eigene Tools | Kleine Skripte mit konkretem Nutzen. |
| Blog | Eigene Perspektive auf Themen, die dich interessieren. |
| Community | Talks, Workshops, Beitraege in OSS- oder Security-Projekten. |
Write-Ups, die überzeugen
- Beginne mit Kontext: was war das Ziel, welche Plattform, welcher Schwierigkeitsgrad?
- Zeige Denkschritte, nicht nur Lösungen. Auch Fehlversuche sind wertvoll.
- Verwende strukturierte Befehle und konkrete Outputs statt Screenshot-Wuerfel.
- Schliesse mit Lessons Learned und Verweisen auf weiterführende Quellen.
- Halte dich an Plattformregeln und Responsible-Disclosure-Standards.
GitHub-Profil als Visitenkarte
- README am Profil mit kurzer Vorstellung, Schwerpunkten und Verlinkungen.
- Drei bis fuenf gepflegte Repos sind besser als 30 Forks.
- Jedes Repo hat ein README mit Ziel, Setup, Beispiel und Lizenz.
- Commits zeigen aktuelle Aktivität - nicht "letzte Änderung 2021".
Typische Anfängerfehler
- Fremden Tool-Output 1:1 kopieren.
- "AI-generierten" Content ohne eigenes Verständnis veröffentlichen.
- Sensible Daten in Write-Ups (echte Hostnamen, Tokens) leaken.
- Repos ohne README oder ohne Beispielnutzung.
- Blog ohne Linkstruktur oder Update-Plan.
Missverständnisse
- "Portfolio ist nur für Entwickler" - in Security mindestens genauso wichtig.
- "Ohne CVE keinen Wert" - viele Hiring Manager bevorzugen klare Lab-Doku über Symbolwert.
- "Lieber privat als öffentlich" - dann sieht es niemand. Veröffentliche bewusst, was du veröffentlichen darfst.
Praxisbezug
Legale Übung: Starte heute mit drei kleinen Repos: einem Markdown-Cheatsheet für Linux-Tools, einem Write-Up zu einer TryHackMe- oder PortSwigger-Aufgabe und einem dokumentierten Mini-Tool (z. B. einem einfachen Port-Scanner in Python). Schreibe für jedes Repo ein verständliches README.
Portfolio-Idee: Baue dir ein Blog-Repository mit klarem Tag-System (z. B. Web, Linux, SOC, Reporting). Schon drei gut geschriebene Posts pro Quartal heben dich aus der Masse.
Legal-Hinweis
Veröffentliche niemals Inhalte aus echten Mandaten oder Bug-Bounty-Programmen, ohne dass es ausdrücklich erlaubt ist. Auch anonymisierte Beispiele aus realen Engagements unterliegen meist Vertraulichkeit. Im Zweifel: nachfragen statt riskieren.
Nächste Lernschritte
FAQ
Brauche ich wirklich ein Portfolio?
+
Im Cybersecurity-Bereich ist ein Portfolio fast wichtiger als der Lebenslauf. Es zeigt, was du tatsaechlich kannst, nicht nur was du belegt hast.
Wo veröffentliche ich am besten?
+
GitHub für Code, Repos und Lab-Doku. Ein eigener Blog (statisch, z. B. Hugo / Astro) für Write-Ups und Lessons Learned. Beides reicht voellig.
Was, wenn ich noch keine Projekte habe?
+
Du hast mehr Material als du denkst: Lab-Aufbau, CTF-Lösungen, Cheatsheets, Notizen zu Tools - alles lässt sich strukturieren und veröffentlichen.
Wie sieht ein gutes README aus?
+
Kurz erklären, was das Projekt löst, wie man es nutzt, welche Annahmen und Grenzen gelten. Screenshots oder ein Beispiel-Output helfen, den Nutzen sofort sichtbar zu machen.
Darf ich Findings aus Bug Bountys posten?
+
Nur nach Freigabe durch das Programm oder nach Ablauf der vereinbarten Frist. Im Zweifel: nachfragen, anonymisieren, keine sensiblen Daten zeigen.