IT Sicherheitsberater
Information Security Consulting
Schlagwörter
Kontrollziele für Informations- und Verwandte Technologien
Informationssicherheit
Governance-Risikomanagement und Compliance
ITIL
Identitätsmanagement
Iso 2700X
Pci DSS
National Institute Of Standards And Technology (NIST)
Marisk
Skills
Ich biete Ihnen umfassende Beratungen im Bereich der Architektur & Design von Sicherheitskontrollen, Sicherheitskonzeption, Risikomanagement, Sicherheitsmonitoring, Sicherheitsanalysen, Incident-Response, GRC, IAM/PAM, Datenschutz, Sicherheitsaudit und sicheres Testen an. Das Begleiten der Projekte von der ersten Idee bis zur sicheren Umsetzung gehört ebenfalls zu meiner Tätigkeit.
Erfahrung in der Arbeit an großen IT-Projekten mit Anwendung verschiedener Methoden (ISO 2700x, BSI-Grundschutz, NIST, CoBIT, PCI-DSS, BAIT, MaRisk, SWIFT, ITIL, etc.). Leitung und Management von Cybersicherheitsinitiativen mittleren Projekten in globalen verteilten Teams, die Unternehmen bei der Verbesserung ihres Reifegrads für Cybersicherheit unterstützen.
Im Bereich der operativen Informationssicherheit unterstütze ich Sie bei dem Aufbau und Etablierung von IT-Schutzmaßnahmen (State-of–the-art Lösung) zur Behandlung bzw. Minderung der Cyber-Risiken (Defense-In-Depth Strategien). Dabei werden Gefährdungen des Informationsverbundes möglichst frühzeitig identifiziert und damit Prozesse und technische Mechanismen definiert, um zeitnah etwaige Anomalien in den Systemen und Anwendungen zu detektieren und darauf entsprechend zielgerichtet reagieren zu können.
Erfahrung in der Arbeit an großen IT-Projekten mit Anwendung verschiedener Methoden (ISO 2700x, BSI-Grundschutz, NIST, CoBIT, PCI-DSS, BAIT, MaRisk, SWIFT, ITIL, etc.). Leitung und Management von Cybersicherheitsinitiativen mittleren Projekten in globalen verteilten Teams, die Unternehmen bei der Verbesserung ihres Reifegrads für Cybersicherheit unterstützen.
Im Bereich der operativen Informationssicherheit unterstütze ich Sie bei dem Aufbau und Etablierung von IT-Schutzmaßnahmen (State-of–the-art Lösung) zur Behandlung bzw. Minderung der Cyber-Risiken (Defense-In-Depth Strategien). Dabei werden Gefährdungen des Informationsverbundes möglichst frühzeitig identifiziert und damit Prozesse und technische Mechanismen definiert, um zeitnah etwaige Anomalien in den Systemen und Anwendungen zu detektieren und darauf entsprechend zielgerichtet reagieren zu können.
Projekthistorie
01/2023
-
bis jetzt
Thematik Aktuelle Themenfelder (im Kundenauftrag):
* Erfassung technischer und organisatorischer Kundenanforderungen, Ableitung und
Konzeption geeigneter Maßnahmen
* Prozess- und Architekturberatung zur Integration von sicherheitsrelevanten Systemen
* Begleitung von Kundenprojekten im IT-Security-Kontext in der Rolle eines Trusted Advisors
* Unterstützung der Kunden bei Aufbau oder Weiterentwicklung eines SOC/CSIRT
* Beratung bei der Entwicklung und Integration des Security Incident Managements in die umgebende
Prozesslandschaft / Entwicklung von Use Cases zur Detection & Response
* Beratung zu Zero-Trust-Anwendungs- und -Netzwerk-Zugriffskonzepten
* Beratung bzgl. sicherer Integration verschiedener on-premise und Cloud-basierter Applikationen
* Kommunikation auf Augenhöhe mit den Stakeholdern, u.a. Vertretern des Business, IT-Betriebs,
IT-Providern, etc.
* Erfassung technischer und organisatorischer Kundenanforderungen, Ableitung und
Konzeption geeigneter Maßnahmen
* Prozess- und Architekturberatung zur Integration von sicherheitsrelevanten Systemen
* Begleitung von Kundenprojekten im IT-Security-Kontext in der Rolle eines Trusted Advisors
* Unterstützung der Kunden bei Aufbau oder Weiterentwicklung eines SOC/CSIRT
* Beratung bei der Entwicklung und Integration des Security Incident Managements in die umgebende
Prozesslandschaft / Entwicklung von Use Cases zur Detection & Response
* Beratung zu Zero-Trust-Anwendungs- und -Netzwerk-Zugriffskonzepten
* Beratung bzgl. sicherer Integration verschiedener on-premise und Cloud-basierter Applikationen
* Kommunikation auf Augenhöhe mit den Stakeholdern, u.a. Vertretern des Business, IT-Betriebs,
IT-Providern, etc.
01/2021
-
12/2022
Cyber Resilience Manager
Cyber Resilience & Disaster Recovery Fondsdepot Bank GmbH - Hof an der Saale (Bayern)
Thematik Übernahme der Rolle als Cyber Resilience Manager im CIO-Team:
* Definition & Umsetzung einer IT-Security-Defense und -Response Strategie im Rahmen der
heutigen und zukünftigen technologischen Herausforderungen der Bank
* Definition und Einführung eines Security-Engineering-Prozesses in Zusammenarbeit mit
dem Information Security Officer (ISO)
* Koordination der Analyse von Cyber-Security-Bedrohungen sowie von entsprechenden
IT-Security-Mitigations
* Kommunikation und Reporting von Security Incidents im Rahmen der Meldepflichten (u. a.
MaRisk, BAIT, DSGVO) in Zusammenarbeit mit dem ISO
* Konzeption und Aufbau eines Security Operation Center (SOC), operationale Verantwortung
für Sicherheitsmonitoring (SIEM), Sicherheitsanalysen und Incident-Response Maßnahmen
* Unterstützung bei der Weiterentwicklung der Krisenkonzepte (Notfall- und
Reaktionspläne) für verschiedene Krisenszenarien aus Perspektive der IT
* Etablierung und Weiterentwicklung des IT Service Continuity Managements unter
Einbindung relevanter Dienstleiter für ausgelagerte IT Services und übergreifende
Harmonisierung und Professionalisierung des Disaster Recovery Capabilities
* Planung, Überwachung und Einübung der notwendigen Maßnahmen (Notfallübungen) zur
schnellen Wiederherstellung der Betriebsbereitschaft je nach Krisenszenario
* Sensibilisierung der Mitarbeiter und Schulung in Prävention und Reaktion im Krisenfall
* Koordination von technischer Bedrohungs- und Schwachstellenanalysen für Applikationen
und/oder Systemarchitekturen und Penetrationstests sowie von Design und Umsetzung von
technischen Sicherheitskonzepten für Cloud-, Infrastruktur, Applikations-, und
System-lösungen
* Bewertung, Definition und Umsetzung von Benutzer- und Berechtigungsmanagement-systemen
und -prozessen
* Definition & Umsetzung einer IT-Security-Defense und -Response Strategie im Rahmen der
heutigen und zukünftigen technologischen Herausforderungen der Bank
* Definition und Einführung eines Security-Engineering-Prozesses in Zusammenarbeit mit
dem Information Security Officer (ISO)
* Koordination der Analyse von Cyber-Security-Bedrohungen sowie von entsprechenden
IT-Security-Mitigations
* Kommunikation und Reporting von Security Incidents im Rahmen der Meldepflichten (u. a.
MaRisk, BAIT, DSGVO) in Zusammenarbeit mit dem ISO
* Konzeption und Aufbau eines Security Operation Center (SOC), operationale Verantwortung
für Sicherheitsmonitoring (SIEM), Sicherheitsanalysen und Incident-Response Maßnahmen
* Unterstützung bei der Weiterentwicklung der Krisenkonzepte (Notfall- und
Reaktionspläne) für verschiedene Krisenszenarien aus Perspektive der IT
* Etablierung und Weiterentwicklung des IT Service Continuity Managements unter
Einbindung relevanter Dienstleiter für ausgelagerte IT Services und übergreifende
Harmonisierung und Professionalisierung des Disaster Recovery Capabilities
* Planung, Überwachung und Einübung der notwendigen Maßnahmen (Notfallübungen) zur
schnellen Wiederherstellung der Betriebsbereitschaft je nach Krisenszenario
* Sensibilisierung der Mitarbeiter und Schulung in Prävention und Reaktion im Krisenfall
* Koordination von technischer Bedrohungs- und Schwachstellenanalysen für Applikationen
und/oder Systemarchitekturen und Penetrationstests sowie von Design und Umsetzung von
technischen Sicherheitskonzepten für Cloud-, Infrastruktur, Applikations-, und
System-lösungen
* Bewertung, Definition und Umsetzung von Benutzer- und Berechtigungsmanagement-systemen
und -prozessen
08/2019
-
09/2020
Berater / Security Incident Manager
Finanz Informatik Technologie Services - München (Haar)
Thematik Unterstützung bei der Einführung und dem Betrieb eines Security Operations Centers
(SOC), Einsatz von Sicherheitsmonitoring (SIEM) & Einführung eines geeigneten
Security Incident Management Prozesses:
* Unterstützung beim Design und bei der Architektur von SOC/CDC Services
* Mitarbeit bei der Definition und Auswahl von Anwendungsfällen (Use Cases) und
deren Verprobung
* Abstimmung von Verfahren und Abläufe mit den technischen Fachabteilungen
* Umsetzung von Kunden-Anforderungen im Bereich Sicherheitsmonitoring
* Abstimmung mit den technischen Fachbereichen zur Reduktion von False-Positiv
Meldungen & bei der technischen Anbindung von Logfiles an diverse Systemgruppen
* Unterstützung bei der Koordination und Dokumentation der technischen Response von
Sicherheitsvorfällen (Prozesse, Playbooks, SOPs, etc.)
* Unterstützung bei der Erstellung von Risikoanalysen und Identity Checks
* Prozess-Dokumentation / Prozess-Schulung / Begleitung von Kunden-Audits
(SOC), Einsatz von Sicherheitsmonitoring (SIEM) & Einführung eines geeigneten
Security Incident Management Prozesses:
* Unterstützung beim Design und bei der Architektur von SOC/CDC Services
* Mitarbeit bei der Definition und Auswahl von Anwendungsfällen (Use Cases) und
deren Verprobung
* Abstimmung von Verfahren und Abläufe mit den technischen Fachabteilungen
* Umsetzung von Kunden-Anforderungen im Bereich Sicherheitsmonitoring
* Abstimmung mit den technischen Fachbereichen zur Reduktion von False-Positiv
Meldungen & bei der technischen Anbindung von Logfiles an diverse Systemgruppen
* Unterstützung bei der Koordination und Dokumentation der technischen Response von
Sicherheitsvorfällen (Prozesse, Playbooks, SOPs, etc.)
* Unterstützung bei der Erstellung von Risikoanalysen und Identity Checks
* Prozess-Dokumentation / Prozess-Schulung / Begleitung von Kunden-Audits
02/2018
-
08/2019
Cyber Security & IT-Risk Officer (CISO)
Cyber Security & IT-Risk Management bei Consors Finanz BNP Paribas
Thematik Verantwortlich für das Management und für die Implementierung der Gruppen
IT-Sicherheitsstrategie zum Schutz der Geschäftsinformationen. Sicherstellen,
dass Sicherheits- und Geschäftskontinuität Risiko-Entscheidungen ausgewogen
sind und den externen regulatorischen und gesetzlichen Anforderungen
entsprechen:
* Schaffung von Datenschutz und sicherheitsbewusster Kultur, Implementierung eines
umfassenden Programms für Unternehmensinformationssicherheit und
IT-Risikomanagement.
* Entwicklung von Sicherheitsrichtlinien, -initiativen und -standards zur
Unterstützung der Einhaltung von Vorschriften, Verlusten und Betrugs-prävention
sowie von Verletzungen der Sicherheit und des Datenschutzes.
* Beratung zu potenziellen Bedrohungen, Schwachstellen und Kontrolltechniken.
* Untersuchen von Sicherheitsverletzungen, Kommunikation mit dem lokalen
Datenschutz- und der Geschäftsleitung (CIO/CEO).
* Beratung der Geschäftsleitung bei der Entwicklung, Implementierung und Wartung
eines starken Sicherheitsprogramms und einer starken Infrastruktur für den
Datenschutz und die Datensicherheit, einschließlich Netzwerkzugriffe und
Überwachungsrichtlinien.
* Überwachung der Sicherheitsstandards, -richtlinien und -verfahren des
Unternehmens; Entwicklung von Verfahren zur Reaktion auf Sicherheitsvorfälle;
fungiert als Kontrollstelle bei wichtigen Datenschutz- und
Sicherheitsvorfällen.
* Agiert als Chief Information Security Officer, um eine starke Brücke zwischen
allen Beteiligten zu schlagen und Gruppen zusammenzubringen, um Informationen
und Ressourcen auszutauschen und bessere Entscheidungen und Praktiken für das
Unternehmen zu schaffen.
* Budgetverantwortlicher für Informationssicherheit, Budgetkontrolle - sowie
Überwachung der Leistung der Abteilungen.
* Zusammenarbeit mit den Bereichen Recht, Compliance, Sicherheit und Datenschutz
des Unternehmens.
* Unterstützung bei der gesamten Businessplanung, die ein aktuelles Wissen und eine
Zukunftsvision von Technologien und Systemen vermittelt.
IT-Sicherheitsstrategie zum Schutz der Geschäftsinformationen. Sicherstellen,
dass Sicherheits- und Geschäftskontinuität Risiko-Entscheidungen ausgewogen
sind und den externen regulatorischen und gesetzlichen Anforderungen
entsprechen:
* Schaffung von Datenschutz und sicherheitsbewusster Kultur, Implementierung eines
umfassenden Programms für Unternehmensinformationssicherheit und
IT-Risikomanagement.
* Entwicklung von Sicherheitsrichtlinien, -initiativen und -standards zur
Unterstützung der Einhaltung von Vorschriften, Verlusten und Betrugs-prävention
sowie von Verletzungen der Sicherheit und des Datenschutzes.
* Beratung zu potenziellen Bedrohungen, Schwachstellen und Kontrolltechniken.
* Untersuchen von Sicherheitsverletzungen, Kommunikation mit dem lokalen
Datenschutz- und der Geschäftsleitung (CIO/CEO).
* Beratung der Geschäftsleitung bei der Entwicklung, Implementierung und Wartung
eines starken Sicherheitsprogramms und einer starken Infrastruktur für den
Datenschutz und die Datensicherheit, einschließlich Netzwerkzugriffe und
Überwachungsrichtlinien.
* Überwachung der Sicherheitsstandards, -richtlinien und -verfahren des
Unternehmens; Entwicklung von Verfahren zur Reaktion auf Sicherheitsvorfälle;
fungiert als Kontrollstelle bei wichtigen Datenschutz- und
Sicherheitsvorfällen.
* Agiert als Chief Information Security Officer, um eine starke Brücke zwischen
allen Beteiligten zu schlagen und Gruppen zusammenzubringen, um Informationen
und Ressourcen auszutauschen und bessere Entscheidungen und Praktiken für das
Unternehmen zu schaffen.
* Budgetverantwortlicher für Informationssicherheit, Budgetkontrolle - sowie
Überwachung der Leistung der Abteilungen.
* Zusammenarbeit mit den Bereichen Recht, Compliance, Sicherheit und Datenschutz
des Unternehmens.
* Unterstützung bei der gesamten Businessplanung, die ein aktuelles Wissen und eine
Zukunftsvision von Technologien und Systemen vermittelt.
07/2017
-
01/2018
Senior Cyber Security Manager
Cyber Security - Target Operating Model (TOM)
Thematik Übernahme der Rolle als TOM Manager innerhalb des Teams:
* Bewertung des lokalen Standes der IT-Sicherheitsfunktionen gegenüber
regulatorischen, qualitäts- und globalen Anforderungen und der zugrunde
liegenden technischen Sicherheitsarchitektur
* Analyse des Aufwands und der Kosten; Standortstrategie einschließlich Ausbau
von Ressourcen in Ländern basierend auf der Datenschutzanalyse
* Identifizierung von den wichtigsten Lücken in der Sicherheitslage der Bank und
dazu Empfehlungen abgeben
* Optimierung und Nutzung von globalen Cyber-Sicherheitsressourcen, Prozessen und
Technologien
* Entwicklung eines ganzheitlichen Ansatzes zur Erhöhung der
Cyber-Sicherheitsreife nach internationalem NIST-Standard
* Implementierung eines lokalen IT-Sicherheitsmodells (Target Operating Model) in
Übereinstimmung mit der globalen Organisation
* Demonstrieren zu den Regulierungsbehörden, Auditoren & Assurance, wie man
global, nach Region & nach Land agiert
* Bewertung des lokalen Standes der IT-Sicherheitsfunktionen gegenüber
regulatorischen, qualitäts- und globalen Anforderungen und der zugrunde
liegenden technischen Sicherheitsarchitektur
* Analyse des Aufwands und der Kosten; Standortstrategie einschließlich Ausbau
von Ressourcen in Ländern basierend auf der Datenschutzanalyse
* Identifizierung von den wichtigsten Lücken in der Sicherheitslage der Bank und
dazu Empfehlungen abgeben
* Optimierung und Nutzung von globalen Cyber-Sicherheitsressourcen, Prozessen und
Technologien
* Entwicklung eines ganzheitlichen Ansatzes zur Erhöhung der
Cyber-Sicherheitsreife nach internationalem NIST-Standard
* Implementierung eines lokalen IT-Sicherheitsmodells (Target Operating Model) in
Übereinstimmung mit der globalen Organisation
* Demonstrieren zu den Regulierungsbehörden, Auditoren & Assurance, wie man
global, nach Region & nach Land agiert
01/2016
-
06/2017
Technical Information Security Officer
Cyber Security - Information Vulnerability Management bei der deutschen Bank
Thematik Übernahme der Rolle als SPOC innerhalb des Teams zu:
* Beheben technischer Probleme und liefern endgültige Validierung von
Änderungen (Anwendungs- und Infrastruktur-Sicherheit)
* Risiko- und Gefährdungsanalysen für die Vermögenswerte (Assets)
* Beratung operativen Teams über Sicherheitsfragen (Incident Handling)
* Sicherheitsausnahmebehandlung und Einführung von Sicherheitsüberwachung
* Kontrolle der Einhaltung von IT-Sicherheitsrichtlinien und Eskalationsprozess
* Koordination und verfolgen von Pen-Tests und Scan-Prozesse
* Disaster Recovery Pläne (Erstellen/Prüfen) & Test Teilnahme
* Pflege-Strategie mit Schwerpunkt auf regulatorische und Compliance
* Sammlung der Zulassungen von SAB (Security Architektur Board) für Änderungen
an der Architektur, Aktualisierung und Anpassung der erforderlichen Artefakte
* Beheben technischer Probleme und liefern endgültige Validierung von
Änderungen (Anwendungs- und Infrastruktur-Sicherheit)
* Risiko- und Gefährdungsanalysen für die Vermögenswerte (Assets)
* Beratung operativen Teams über Sicherheitsfragen (Incident Handling)
* Sicherheitsausnahmebehandlung und Einführung von Sicherheitsüberwachung
* Kontrolle der Einhaltung von IT-Sicherheitsrichtlinien und Eskalationsprozess
* Koordination und verfolgen von Pen-Tests und Scan-Prozesse
* Disaster Recovery Pläne (Erstellen/Prüfen) & Test Teilnahme
* Pflege-Strategie mit Schwerpunkt auf regulatorische und Compliance
* Sammlung der Zulassungen von SAB (Security Architektur Board) für Änderungen
an der Architektur, Aktualisierung und Anpassung der erforderlichen Artefakte
06/2015
-
12/2015
Information Security Architect
deutschen Bank
Thematik
* Definition von IT Sicherheitsrichtlinien (Risiko- & Compliance getrieben)
innerhalb der Bank
* Design & Implementierungen von Sicherheitskontrollen (Detektive- & Präventive
Kontrollen) zur internen Netzwerkkommunikation
* Aufbau einer Monitoring-Lösung (mit Korrelation) innerhalb der IT-Infrastruktur
* Planung der Netzwerksegmentierung mit dem Ziel die Sicherheit der IT-Systemen
zu erhöhen und mehr Performanz zu gewinnen
* Maßnahmen zur Kontrolle der (Admin)Zugriffsrechte von Desktop-Benutzern in
Richtung Produktion
* Evaluierung und Review von Lösungen (Produkte) diverser Anbieter zum Thema
Sichere Netzwerk-Virtualisierung (u. a. NFV/SDN)
* Aufbereitung zur langfristigen Einführung von Host-basierten
Sicherheits-kontrollen (Fokus auf Schutz der Produktion)
* Erstellung von Projekt-Artefakten (Anforderungen, Anwendungsfälle, Architektur
Blue-Print, Lösungsentwürfe, Prozess Workflows, etc.)
Technisches
Umfeld: Enterprise Architect, ArcSight, Splunk, Netflow, Firewalls, SDN Solutions
* Definition von IT Sicherheitsrichtlinien (Risiko- & Compliance getrieben)
innerhalb der Bank
* Design & Implementierungen von Sicherheitskontrollen (Detektive- & Präventive
Kontrollen) zur internen Netzwerkkommunikation
* Aufbau einer Monitoring-Lösung (mit Korrelation) innerhalb der IT-Infrastruktur
* Planung der Netzwerksegmentierung mit dem Ziel die Sicherheit der IT-Systemen
zu erhöhen und mehr Performanz zu gewinnen
* Maßnahmen zur Kontrolle der (Admin)Zugriffsrechte von Desktop-Benutzern in
Richtung Produktion
* Evaluierung und Review von Lösungen (Produkte) diverser Anbieter zum Thema
Sichere Netzwerk-Virtualisierung (u. a. NFV/SDN)
* Aufbereitung zur langfristigen Einführung von Host-basierten
Sicherheits-kontrollen (Fokus auf Schutz der Produktion)
* Erstellung von Projekt-Artefakten (Anforderungen, Anwendungsfälle, Architektur
Blue-Print, Lösungsentwürfe, Prozess Workflows, etc.)
Technisches
Umfeld: Enterprise Architect, ArcSight, Splunk, Netflow, Firewalls, SDN Solutions
08/2014
-
03/2015
Portal Analyst / Solution Architect
CSAMS, Civil Strategic Asset Management System bei NETWORK RAIL (UK) / Rail Infrastructure Engineering
Thematik Ein gemeinsames UI für alle vorhandene Technologien (Ellipse, Mobil Fieldreach,
Reports, GIS, etc.) wird aufgestellt. Jeder Geschäftsprozess, der nicht in den
Kernsystemen behandelt werden kann, wird in der WebSphere-Portal Umgebung als
Portlet oder als Modul (Geschäftslogik) implementiert. Die neuen Anforderungen
werden in enger Abstimmung mit dem Kunden definiert um eine komplette Lösung
sicherzustellen.
Erstellung eines Konzeptes für das eingesetzte WebSphere-Portal, dass darauf fokussiert ist,
wie darunter eine sichere und effiziente Web Seite gebaut werden sollte/musste.
Dabei werden (u. a.) folgende sicherheitsrelevante Themen berücksichtigt:
Security Configuration, Authentication, Authorization, Session Management,
HTTPS, and external Security Managers.
Reports, GIS, etc.) wird aufgestellt. Jeder Geschäftsprozess, der nicht in den
Kernsystemen behandelt werden kann, wird in der WebSphere-Portal Umgebung als
Portlet oder als Modul (Geschäftslogik) implementiert. Die neuen Anforderungen
werden in enger Abstimmung mit dem Kunden definiert um eine komplette Lösung
sicherzustellen.
Erstellung eines Konzeptes für das eingesetzte WebSphere-Portal, dass darauf fokussiert ist,
wie darunter eine sichere und effiziente Web Seite gebaut werden sollte/musste.
Dabei werden (u. a.) folgende sicherheitsrelevante Themen berücksichtigt:
Security Configuration, Authentication, Authorization, Session Management,
HTTPS, and external Security Managers.
10/2013
-
07/2014
Projektleiter, IT Sicherheitsberater
CSC GmbH
bei "Kundenname ist vertraulich!" / Banken
Position/Rolle (Teil)Projektleiter, IT Sicherheitsberater (CSC GmbH)
Thematik Die Bank hat den Wunsch geäußert, Unterstützung bei der strukturierten Einführung
von Sicherheitsaspekten in die eigene Anwendungsentwicklung zu erhalten
* Festlegung des Schutzbedarfs (Methodik für die Bank technologieunabhängig)
* Ermittlung der IT Sicherheitsanforderungen
* Bewertung der potenziellen IT-Risiken & Feststellung von Maßnahmen
* Klassifizierung des erreichten Schutzes und Bewertung der IT Restrisiken
* Definition des "Standard-Sicherheits-Level" in der Anwendungsentwicklung
* Durchführung von diversen Sicherheitstests (Review der Architektur und des
Quelltexts, funktionale- und Penetrations- Tests)
Position/Rolle (Teil)Projektleiter, IT Sicherheitsberater (CSC GmbH)
Thematik Die Bank hat den Wunsch geäußert, Unterstützung bei der strukturierten Einführung
von Sicherheitsaspekten in die eigene Anwendungsentwicklung zu erhalten
* Festlegung des Schutzbedarfs (Methodik für die Bank technologieunabhängig)
* Ermittlung der IT Sicherheitsanforderungen
* Bewertung der potenziellen IT-Risiken & Feststellung von Maßnahmen
* Klassifizierung des erreichten Schutzes und Bewertung der IT Restrisiken
* Definition des "Standard-Sicherheits-Level" in der Anwendungsentwicklung
* Durchführung von diversen Sicherheitstests (Review der Architektur und des
Quelltexts, funktionale- und Penetrations- Tests)
03/2013
-
09/2013
Projektleiter, Applikation Architekt
CSC PTS/MMG Produkterweiterung (SEPA)
Thematik CSC PTS/MMG bietet SEPA-Mandatsmanagement für Banken und Kreditoren. Es ist ein
standardisiertes, mandantenfähiges Produkt, welches sich mittels moderner
Architektur leicht in bestehende ZV-Landschaften integrieren lässt
(Drop-In-Lösung).
Im diesem Projekt wurde die vorhandene Schnittstelle erweitert um Java
Stored Procedures und eine neue API programmiert. So kann PTS/MMG Fremd-produkte SEPA-konforme
Mandantenverwaltung anbieten.
* Umsetzung der neun Produkt-Features gemäß Anforderungen
* Ziele-Spezifikation, Aufwandsschätzungen, PL & Controlling
* Beratung bei der Optimierung der SW-Architektur (Refactoring)
* Unterstützung bei der Implementierung einer neuen API
* Durchführung von Code- und Security-Reviews
Technisches
Umfeld: Java, IBM DB2, Oracle, Stored Procedures
standardisiertes, mandantenfähiges Produkt, welches sich mittels moderner
Architektur leicht in bestehende ZV-Landschaften integrieren lässt
(Drop-In-Lösung).
Im diesem Projekt wurde die vorhandene Schnittstelle erweitert um Java
Stored Procedures und eine neue API programmiert. So kann PTS/MMG Fremd-produkte SEPA-konforme
Mandantenverwaltung anbieten.
* Umsetzung der neun Produkt-Features gemäß Anforderungen
* Ziele-Spezifikation, Aufwandsschätzungen, PL & Controlling
* Beratung bei der Optimierung der SW-Architektur (Refactoring)
* Unterstützung bei der Implementierung einer neuen API
* Durchführung von Code- und Security-Reviews
Technisches
Umfeld: Java, IBM DB2, Oracle, Stored Procedures
08/2012
-
02/2013
Qualitätsmanager / Testmanager
Münchener Rück (MR) / Versicherungen
Thematik Durchführung von Implementierungen & Tests (inklusive Qualitätssicherungen) im
Rahmen des Projekts "Implementation Identity and Access Management (IAM)"
* Durchführung von Workshops mit den Fachbereichen
* Qualitätssicherung der implementierten IAM-Prozessen
* Unterstützung bei der Erstellung von Test-Szenarien & Test-Cases
* Einrichtung der Test-Umgebungen im "Quality Center"
* Durchführung der definierten Test-Fällen
* Dokumentieren der Test-Ergebnisse (inkl. Test-Defects)
* Wiederholung & Dokumentieren der gefixten Defects
* Sicherstellen der Funktionalitäten von den modifizierten Modulen
Technisches
Umfeld: Quest One Identity Manager (Dell), HP Quality Center
Rahmen des Projekts "Implementation Identity and Access Management (IAM)"
* Durchführung von Workshops mit den Fachbereichen
* Qualitätssicherung der implementierten IAM-Prozessen
* Unterstützung bei der Erstellung von Test-Szenarien & Test-Cases
* Einrichtung der Test-Umgebungen im "Quality Center"
* Durchführung der definierten Test-Fällen
* Dokumentieren der Test-Ergebnisse (inkl. Test-Defects)
* Wiederholung & Dokumentieren der gefixten Defects
* Sicherstellen der Funktionalitäten von den modifizierten Modulen
Technisches
Umfeld: Quest One Identity Manager (Dell), HP Quality Center
01/2012
-
07/2012
Projektleiter, IT Sicherheitsberater
Munich Re (MR)
Thematik Security in Applications (Beratung & Support):
Das Ziel war die Anwendungslandschaft der MR hinsichtlich Security- und
Compliance-Anforderungen zu überprüfen, Maßnahmen zur Sicherstellung dieser
Anforderungen zu definieren und umzusetzen.
Security in Application Lifecycle:
* Definition der Security und Compliance-Gates im Application Lifecycle
* Aktualisierung der Prozessdokumentation "Security in Application Lifecycle"
* Rollout des aktualisierten Prozesses "Security in Application Lifecycle" in die
IT der Munich Re
Security Plan for Applications
* Erstellung der Security Guideline und des Templates für den Security Plan
* Abstimmung der Security Guideline und der Security-Templates mit den
Stakeholdern
* Definition und Koordination der Ablage (Repository) für die Security-Pläne
Business Impact Analysis
* Vorschlag für eine BIA Guideline und der BIA-Matrix
* Abstimmung der BIA Guideline mit den Stakeholdern
* Anwendung & Anpassung der BIA Guideline für die Pilot-Applikationen
Data Protection Measures (Datenschutzmaßnahmen)
* Koordinierung der technischen Maßnahmen, die zur Sicherstellung des
Datenschutzes gemäß BDSG erforderlich sind
* Definition von Maßnahmen zur Maskierung-, Anonymisierung-, Verschleierung- &
Verschlüsselung von besonderen sensiblen Daten
Das Ziel war die Anwendungslandschaft der MR hinsichtlich Security- und
Compliance-Anforderungen zu überprüfen, Maßnahmen zur Sicherstellung dieser
Anforderungen zu definieren und umzusetzen.
Security in Application Lifecycle:
* Definition der Security und Compliance-Gates im Application Lifecycle
* Aktualisierung der Prozessdokumentation "Security in Application Lifecycle"
* Rollout des aktualisierten Prozesses "Security in Application Lifecycle" in die
IT der Munich Re
Security Plan for Applications
* Erstellung der Security Guideline und des Templates für den Security Plan
* Abstimmung der Security Guideline und der Security-Templates mit den
Stakeholdern
* Definition und Koordination der Ablage (Repository) für die Security-Pläne
Business Impact Analysis
* Vorschlag für eine BIA Guideline und der BIA-Matrix
* Abstimmung der BIA Guideline mit den Stakeholdern
* Anwendung & Anpassung der BIA Guideline für die Pilot-Applikationen
Data Protection Measures (Datenschutzmaßnahmen)
* Koordinierung der technischen Maßnahmen, die zur Sicherstellung des
Datenschutzes gemäß BDSG erforderlich sind
* Definition von Maßnahmen zur Maskierung-, Anonymisierung-, Verschleierung- &
Verschlüsselung von besonderen sensiblen Daten
01/2011
-
12/2011
Servicemanager / System- & Anwendungssicherheit
Munich Re IT Security / ISO Development
Thematik Im diesem Security Service wurden u. a. folgende Leistungen erbracht:
* Beratung der IT-Projekte (Anwendungsentwicklung) zur Information Security:
Design, Implementierung, erforderliche Sicherheitschecks, Einhaltung der
Security Policies
* Initiieren und koordinieren von spezifischen Security-Konzepten (inkl. Reviews)
* Planung, Beauftragung, Koordinierung, Follow-Up von VA/PTs
(Vulnerability Assessments / Penetration Tests) & Risk Assessments für
eigenentwickelte und zugekaufte Anwendungen.
* Incident Handling in der Anwendungsentwicklung ( Bearbeitung von
Sicherheitsvorfällen )
* Durchführung von Security Awarenessmassnahmen für .NET - Entwickler
* Durchführung von Security Code Reviews (Fortify Source Code Analyse)
* Unterstützung bei der Implementierung und Weiterentwicklung eines ISMS nach ISO
27001
* Beratung der IT-Projekte (Anwendungsentwicklung) zur Information Security:
Design, Implementierung, erforderliche Sicherheitschecks, Einhaltung der
Security Policies
* Initiieren und koordinieren von spezifischen Security-Konzepten (inkl. Reviews)
* Planung, Beauftragung, Koordinierung, Follow-Up von VA/PTs
(Vulnerability Assessments / Penetration Tests) & Risk Assessments für
eigenentwickelte und zugekaufte Anwendungen.
* Incident Handling in der Anwendungsentwicklung ( Bearbeitung von
Sicherheitsvorfällen )
* Durchführung von Security Awarenessmassnahmen für .NET - Entwickler
* Durchführung von Security Code Reviews (Fortify Source Code Analyse)
* Unterstützung bei der Implementierung und Weiterentwicklung eines ISMS nach ISO
27001
04/2010
-
12/2010
Produktmanager /IS Beratung (CSC GmbH)
GUARD Support & Wartung für Munich Re bei Münchener Rück / Versicherungen
Thematik Guard (Global User Access Rights Distribution) ist die zentrale, verbindliche
Autorisierungskomponente für alle Nicht SAP-Anwendungen bei Münchener Rück
Versicherungen.
* Bearbeitung der Anfragen an Guard aller Art
* Unterstützung der Fachbereiche bzgl. neuen Anbindungen
* Guard Webseiten-Überwachungen durch den OpsManager
* Security Themen (Umstellung der Kommunikation mit Guard auf HTTPS
* Guard Issue Liste pflegen (neue ToDo's identifizieren, priorisieren und
anschließend beauftragen)
* Diverse andere Unterstützungsaufgaben (z.B. Tool Installationen,
Dokumentationen, Klärungsarbeit, Bearbeitung von I3S Tickets)
Technisches
Umfeld: .NET, Visual Studio 2008/2010, SQL Server 2005/2008, Adonis
Autorisierungskomponente für alle Nicht SAP-Anwendungen bei Münchener Rück
Versicherungen.
* Bearbeitung der Anfragen an Guard aller Art
* Unterstützung der Fachbereiche bzgl. neuen Anbindungen
* Guard Webseiten-Überwachungen durch den OpsManager
* Security Themen (Umstellung der Kommunikation mit Guard auf HTTPS
* Guard Issue Liste pflegen (neue ToDo's identifizieren, priorisieren und
anschließend beauftragen)
* Diverse andere Unterstützungsaufgaben (z.B. Tool Installationen,
Dokumentationen, Klärungsarbeit, Bearbeitung von I3S Tickets)
Technisches
Umfeld: .NET, Visual Studio 2008/2010, SQL Server 2005/2008, Adonis
08/2009
-
03/2010
IT System Architekt / Projekt-Koordinator
Universal Music Group / Musik- und Film Industrie
Thematik Im diesem Projekt wurden folgende Leistungen erbracht:
* Integration von EAI (Enterprise Application Integration) mit SUN CAPS
* Implementierung & Tests von etwa 10 Schnittstellen (SAP-Inbound & -Outbound)
* Überwachung des Schnittstellen-Ablaufs zwischen SAP und nicht-SAP Systemen
* Koordination und Kommunikation zwischen dem SAP Projektteam und dem EAI-Team
* Code & System Security Monitoring
Technisches
Umfeld: Java CAPS, Netbeans, Glasfish, MS SQL Server
* Integration von EAI (Enterprise Application Integration) mit SUN CAPS
* Implementierung & Tests von etwa 10 Schnittstellen (SAP-Inbound & -Outbound)
* Überwachung des Schnittstellen-Ablaufs zwischen SAP und nicht-SAP Systemen
* Koordination und Kommunikation zwischen dem SAP Projektteam und dem EAI-Team
* Code & System Security Monitoring
Technisches
Umfeld: Java CAPS, Netbeans, Glasfish, MS SQL Server
03/2008
-
03/2009
Projektleiter, Applikation Architekt
BMW AG / Automobile
Thematik Entwicklung eines Webauftritts für BMW - Storage Area Network (SAN) nach Storage on
Demand Modell (SoD):
* Konzeption von Softwarearchitekturen sowie Modellierung von Geschäftsprozessen
* Beratung und Betreuung des Kunden hinsichtlich fachlicher und technischer
Fragestellungen
* Programmierung einer Webschnittstelle, die den Status, freie Kapazitäten,
Storage-Volumina, Verfügbarkeiten, bestehende Anbindungen und die benötigten
SAN Infrastruktur aller SUN Storage-Systeme bei BMW darstellt.
* Umsetzung der geltenden Code- & Architektur-Sicherheitsmaßnahmen innerhalb BMW
Technisches
Umfeld: Entwicklung auf Basis von Java, PHP, Apache und MySQL
Demand Modell (SoD):
* Konzeption von Softwarearchitekturen sowie Modellierung von Geschäftsprozessen
* Beratung und Betreuung des Kunden hinsichtlich fachlicher und technischer
Fragestellungen
* Programmierung einer Webschnittstelle, die den Status, freie Kapazitäten,
Storage-Volumina, Verfügbarkeiten, bestehende Anbindungen und die benötigten
SAN Infrastruktur aller SUN Storage-Systeme bei BMW darstellt.
* Umsetzung der geltenden Code- & Architektur-Sicherheitsmaßnahmen innerhalb BMW
Technisches
Umfeld: Entwicklung auf Basis von Java, PHP, Apache und MySQL
10/2007
-
02/2008
Projektleiter, Senior Anwendungsentwickler
Systems LeiMIS
Thematik Umsetzen der fachlichen Anforderungen bzgl. der Erweiterung des Systems LeiMIS
(Workflowunterstützung in der Berufsunfähigkeitsversicherung)
Erweiterung der LeiMIS-Basisversion um die neuen Anforderungen, Ergänzung von
bilanzrelevanten Daten, Erhöhung der Qualität von Informationen und Daten,
Kontrolle der Auszahlungen, Manuelle Fehlerkorrektur, Beschleunigung der
Arbeitsschritte, Anpassung an VVG-Reform
Technisches
Umfeld: .NET-Entwicklung auf Basis von C# und DB2
(Workflowunterstützung in der Berufsunfähigkeitsversicherung)
Erweiterung der LeiMIS-Basisversion um die neuen Anforderungen, Ergänzung von
bilanzrelevanten Daten, Erhöhung der Qualität von Informationen und Daten,
Kontrolle der Auszahlungen, Manuelle Fehlerkorrektur, Beschleunigung der
Arbeitsschritte, Anpassung an VVG-Reform
Technisches
Umfeld: .NET-Entwicklung auf Basis von C# und DB2
04/2007
-
09/2007
Applikation Architekt, Cryptographic Analyst
CSC GmbH
Ausschreibungsverfahren
für Beschaffungsamt des Innern / Bundesministerium
Position/Rolle Applikation Architekt, Cryptographic Analyst (CSC GmbH)
Thematik Im diesem Projekt wurden folgende Leistungen erbracht:
* Durchführung von Anforderungsanalysen, Erstellung eines
Implementierungskonzepts, Management von Change Requests
* Verlegung der Funktionalitäten zur Verwaltung der Benutzerdaten, zur Pflege von
Vertretern und Nachfolgern sowie die Funktionalitäten des Kartenwechsels für
den Bieter aus dem Web-Client in den AnA-Client.
* Weiterentwicklung und Pflege einer bestehenden digitalen Signatur-komponenten
zur rechtssicheren Abwicklung (rechtsgültig wie die eigenhändige Unterschrift).
Teilnehmer der e-Vergabe benötigen entweder ein fortgeschrittenes
Softwarezertifikat oder eine qualifizierte Signaturkarte, die beide durch eine
PIN geschützt sind, und die Signaturkomponente jSign®.
Technisches
Umfeld: Entwicklung auf Basis von Java (SWT), J2EE, Jboss und Oracle
für Beschaffungsamt des Innern / Bundesministerium
Position/Rolle Applikation Architekt, Cryptographic Analyst (CSC GmbH)
Thematik Im diesem Projekt wurden folgende Leistungen erbracht:
* Durchführung von Anforderungsanalysen, Erstellung eines
Implementierungskonzepts, Management von Change Requests
* Verlegung der Funktionalitäten zur Verwaltung der Benutzerdaten, zur Pflege von
Vertretern und Nachfolgern sowie die Funktionalitäten des Kartenwechsels für
den Bieter aus dem Web-Client in den AnA-Client.
* Weiterentwicklung und Pflege einer bestehenden digitalen Signatur-komponenten
zur rechtssicheren Abwicklung (rechtsgültig wie die eigenhändige Unterschrift).
Teilnehmer der e-Vergabe benötigen entweder ein fortgeschrittenes
Softwarezertifikat oder eine qualifizierte Signaturkarte, die beide durch eine
PIN geschützt sind, und die Signaturkomponente jSign®.
Technisches
Umfeld: Entwicklung auf Basis von Java (SWT), J2EE, Jboss und Oracle
09/2006
-
01/2007
Projektleiter, Senior Anwendungsentwickler
Infineon AG / Halbleiter Industrie
Thematik Im diesem Projekt wurden folgende Leistungen erbracht:
* Konzeption und Entwicklung eines webbasierten Moduls, das für die Erfassung und
Verfolgung aller Anforderungen des Kunden innerhalb der Plattform KLUSA
zuständig ist.
* Unterstützung bei der Entwicklung und Bereitstellung neuer Features im
Tool zusammen mit einem externen Team und Koordination der Arbeiten.
* Weiterentwicklung eines bestehenden Dienstes zum automatischen Versand der
E-Mails
* Code-Anpassungen bei der Migration von .NET1 auf .NET2
* Unterstützung bei der Umstellung des VCS von Visual SourceSafe auf Subversion
Technisches
Umfeld: ASP.NET, C#, Oracle, Subversion, JScript, (X)HTML/CSS
* Konzeption und Entwicklung eines webbasierten Moduls, das für die Erfassung und
Verfolgung aller Anforderungen des Kunden innerhalb der Plattform KLUSA
zuständig ist.
* Unterstützung bei der Entwicklung und Bereitstellung neuer Features im
Tool zusammen mit einem externen Team und Koordination der Arbeiten.
* Weiterentwicklung eines bestehenden Dienstes zum automatischen Versand der
E-Mails
* Code-Anpassungen bei der Migration von .NET1 auf .NET2
* Unterstützung bei der Umstellung des VCS von Visual SourceSafe auf Subversion
Technisches
Umfeld: ASP.NET, C#, Oracle, Subversion, JScript, (X)HTML/CSS
03/2006
-
08/2006
Senior Technical Projektlead
IT Service Management
Thematik Web-basierte Lösungen im Bereich IT Service Management:
Weiterentwicklung und Anpassung der bestehenden Plattform
Weiterentwicklung und Anpassung der bestehenden Plattform
05/2005
-
10/2005
Senior Technologie Berater
BMW bei BMW AG / Automobile
Thematik PLM für BMW AG: Konzeption und Einführung von Produkt-Daten-Management Lösungen.
10/2004
-
12/2004
Projektleiter & Anwendungsentwickler
AIXTRON AG bei AIXTRON AG / Halbleiter Industrie
Thematik Knowledge Management: Entwicklung eines webbasierten Systems für elektronische
Abwicklung des Entwicklungsauftrags innerhalb AIXTRON AG.
Abwicklung des Entwicklungsauftrags innerhalb AIXTRON AG.
07/2003
-
03/2004
Systemintegration im Bereich der Spracherkennung
AIXPLAIN AG / Sprachtechnologien
Thematik Optimierung der Spracherkennungsparameter für den Trainings- und Erkennungsvorgang.
03/2002
-
06/2003
Projektmanager (eCommerce), Softwarearchitekt
Schufa Holding AG /Kreditsicherung
Thematik Entwicklung und Implementierung eines neuen Produktes zur Online-überprüfung von
eBay-Neukunden (Bereitstellung eines eCommerce-Zugangs).
eBay-Neukunden (Bereitstellung eines eCommerce-Zugangs).
05/2001
-
02/2002
IT Berater, Anwendungsentwickler
DaimlerChrysler AG bei T-Systems / System-Integration
Thematik Entwicklung mit JAVA, Anbindung an DB2 über JDBC: Anpassung und Verbesserung der
Zugriffs- und Transaktionssicherheit der einzelnen Prozesse.
Zugriffs- und Transaktionssicherheit der einzelnen Prozesse.
11/2000
-
04/2001
IT Berater, Anwendungsentwickler
Infineon AG bei T-Systems / System-Integration
Thematik Implementierung einer Anwendung mit Java gemäß Anforderungen des Kunden.
07/1997
-
08/2000
Netzwerk-Administrator, Anwendungsentwickler
Heidelberger Druckmaschinen AG
Thematik Netzwerk-Administration unter Novell /Unix/MS Exchange, Erstellung
abteilungsspezifischer Office-Anwendungen.
abteilungsspezifischer Office-Anwendungen.
03/1999
-
08/1999
Web-Entwickler
Ascena IT
Thematik Programmierung einer Bewerbermanagement Anwendung im Internet mittels Visual
InterDev 6.0 zum Erfassen von Onlinebewerbungen und SQL- Recherchen
InterDev 6.0 zum Erfassen von Onlinebewerbungen und SQL- Recherchen
03/1996
-
09/1996
Studentische Hilfskraft (IT-Benutzerservices)
SAP AG
Thematik Betreuung der Anwender im Benutzerservice. Wartung der Arbeitsplatz-PCs und
Notebooks (Systeminstallationen, Programminstallationen,
Lotus-Notes-E-Mail-Clients einrichten etc.) sowie der angeschlossenen Geräte
(Scanner, Drucker und weiterer USB-Geräte).
Notebooks (Systeminstallationen, Programminstallationen,
Lotus-Notes-E-Mail-Clients einrichten etc.) sowie der angeschlossenen Geräte
(Scanner, Drucker und weiterer USB-Geräte).
07/1995
-
12/1995
Kommunikationstechnik
Weglorz & Praetorius
Thematik Planung, Ausführung und Wartung lokaler Netzwerke. Kundenakquisition und
Kundenbetreuung.
Kundenbetreuung.
Reisebereitschaft
Weltweit verfügbar
Sonstige Angaben
Profil (CV) ist beigefügt.
