Profilbild von Michael Mayer IT Security Consultant / Architect aus Wien

Michael Mayer

teilweise verfügbar

Letztes Update: 06.09.2022

IT Security Consultant / Architect

Firma: NSA IT Consulting e.U.
Abschluss: nicht angegeben
Stunden-/Tagessatz: anzeigen
Sprachkenntnisse: Deutsch (Muttersprache) | Englisch (verhandlungssicher) | Italienisch (Grundkenntnisse) | Amharisch (Grundkenntnisse)

Skills

IT Security Consulting: Extreme Härtung von Windows Systemen; Verhinderung und frühzeitige Erkennung von Pass-The-Hash Attacken und APTs; Erstellen von Konzepten, Methoden und Richtlinien für Hochsicherheitsbereiche; Verfolgen des tagesaktuellen Geschehen der IT Security Branche (0day Exploits); Active Directory Security und Gruppenrichtlinien, Daten- und Kommunikationsverschlüsselung; Vulnerability und Compliance Management, Blue Team, CISO coaching
IT Security Projects: Technische Projektberatung und Umsetzung für Microsoft und Security Produkten von Drittanbietern, sowie allgemeine Security Themen
IT Security Trainings: Sicherer Umgang mit hochsensiblen Daten; Angriffe durch Social Engineering; allgemeine IT Security Einschulungen; auf Unternehmen maßgeschneiderte IT Workshops
IT Security Audits: Mehrstufige Penetration Tests für Unternehmen, Systeme und Netzwerke, Red Team
 

IT Security Consulting: Extreme hardening of windows systems; prevention and early detection of pass-the-hash attacks and APTs; Creation of concepts, methods and guidelines for high security areas; following of topical news in the IT security industry (0day exploits); Active Directory security and Group Policy, data and communication encryption; vulnerability and compliance management, CISO coaching
IT Security Projects: Technical project consultancy and implementation for Microsoft and 3rd party security products, as well as general security topics
IT Security Trainings: Secure handling with highly sensitive data; attacks involving social engineering; general IT security trainings; custom tailored IT workshops for enterprises
IT Security Audits: Multi layered penetration tests for enterprises, systems and networks

Projekthistorie

11/2020 - 10/2021
Active Directory / Windows Hardening
(Sonstiges, >10.000 Mitarbeiter)

For this customer I hardened classified Active Directories and Windows systems to DISA STIG and beyond. The focus was set on persistent and automated integration of the system hardening to ensure an overall compliance across the different environments. Operation of the highly sensitive hard- and software had to be given at any time.

A central management was technically not possible, as the systems were air-gapped and not connected to any other networks. The challenge was to keep all different systems always on the same integration progress with minimum effort. This included the whole landscape of common infrastructure and security management, e.g., Application- and Patch-Management, Vulnerability- and Compliance-Scanning, Identity Management etc.

I established CI/CD lifecycle processes with the integration team to perform structured testing and persistent and even integration across all environments. I developed orchestration tools in PowerShell to allow a fully automated, but localized deployment and management of the environment. I trained the project team on the operations and usage of the tools.

04/2018 - 04/2020
IT Infrastructure Carve-Out
(Automobil und Fahrzeugbau)

Der Kunde musste unter großem Zeitdruck und mit begrenzten Ressourcen einen vollständigen IT Carve-Out durchführen. Im Zuge dessen, wurde die gesamte IT Infrastruktur modernisiert und die Server-Landschaft in mehrere Public Cloud Rechenzentren migriert.

Der Schwerpunkt meiner Aufgabe lag darin, das Active Directory und andere Identitätsdienste wie AD FS, AD CS (PKI) und Azure AD zu trennen und ein vollständiges Konzept für die neuen Anforderungen auszuarbeiten, als auch umzusetzen. Dies inkludierte unter Anderem Architektur, Design, Security, Namenskonvention, Rechte- und Rollen, Administration so wie Cloud-Readyness. Die Koordinierung und Kommunikation mit vielen Akteuren und externen Dienstleistern spielte hier eine zentrale Rolle, da es verschiedene Interessen und etliche Altlasten gab. Nach der Trennung wurden massive Aufräumprozesse gestartet, um verwaiste Objekte zu identifizieren und schlussendlich auch zu entfernen. Dies ebnete den Weg zur Umstrukturierung in die neue Architektur.

Migrierte Business-Applikationen und Infrastruktur-Dienste wurden in das eigens konzipierte Rechte- und Rollenkonzept eingegliedert, um den neuen Sicherheitsstandards gerecht zu werden. Sensible Systeme wurden gehärtet und administrative Konten mittels Mehrfachauthentifizierung geschützt. Dies inkludierte auch ServiceNow als ITSM Tool, welches zur automatisierten Orchestrierung von AD Objekten herangezogen wurde.

In meiner Funktion als IT Security Consultant, wurden etliche IT Prozesse entwickelt und auch etabliert. Weiters wurde eine Zertifizierung nach ISO 27001 und TISAX angestoßen, bei der ich den CISO beratend unterstützte. Die größte Herausforderung hierbei war, der sich laufend wandelnden Infrastruktur nicht hinterherzuhinken und neue Systeme, in die erst sich formenden Sicherheitskonzepte und Maßnahmen einzubinden. Dies inkludierte auch die Durchführung des IT Security Risikomanagement.


10/2016 - 12/2017
Interims CISO / IT Security Risk Management
(Öffentlicher Dienst)

Für diesen Kunden übernahm ich die Rolle als interims CISO und IT Security Risk Manager für KRITIS relevante Systeme, zur Erstellung von IT Security Risikoanalysen für geplante Vorhaben, bevorstehende Änderungen, aber auch bereits im Einsatz befindlichen Lösungen. Die angewandte Methodik zum Risikomanagement ist stark angelehnt an die des BSI IT-Grundschutz, wurde aber vom Kunden weiter optimiert.

Die im ersten Schritt erstellten groben Risikoanalysen dienten als Entscheidungsgrundlage für Vergabeverfahren. Danach wurden an das Produkt angepasste detaillierte Feinanalysen erstellt, die als verpflichtende Vorgabe zur Implementierung in die bestehende IT Infrastrukturlandschaft resultierte. Bestehende Lösungen wurden in Rahmen von Audits neu bewertet und um tagesaktuelle Gefahren und Risiken erweitert.

Durch meine langjährige Hands-on Erfahrung in den Bereichen IT Security und Infrastruktur, wurde mein Input vom Kunden besonders geschätzt. Neben den Standardrisiken, die in gängigen Katalogen abgebildet sind, konnte ich auch Produkt- oder Architekturspezifische Risiken in die Analysen miteinfließen lassen.

Aufgrund der langen Lebenszyklen im öffentlichen Dienst, war eine saubere Durchführung des Risikomanagement essenziell für die Auftraggeber. Ich habe für mehr als 30 verschiedene Projekte Risikoanalysen durchgeführt und diese wurden vom Kunden in Abstimmung mit allen involvierten Fachbereichen abgenommen. Diese Projekte umfassten viele verschiedene Themen aus den Bereichen Mobile Device Management, VPN, Mehrfachauthentifizierung, Schnittstellen für externe und interne Datenquellen, Elektronische Signaturen, Cloud Systeme, Web Services, Kommunikationsdienste, Terminal Umgebungen, Berechtigungskonzepte, ISO 27001, ISMS, etc.


07/2015 - 06/2016
Vulnerability and Compliance Solution
(Pharma und Medizintechnik)

Bei dem Kunden wurde ein Vulnerability und Compliance Scanning Prozess etabliert, um bestehende Sicherheitslücken zu kategorisieren, analysieren, aufbereiten und natürlich auch zu beheben. Ich war für den technischen Part der Hauptansprechpartner und habe Lösungen entwickelt um alle sensiblen Daten vom Scan-Tool bis hin zum verantwortlichen Administrator komplett verschlüsselt zu übermitteln. Die Schwierigkeit darin lag, ein durchgehend sicheres Reporting für das Management und anderen Akteuren zu gewährleisten. Um diesen Prozess bereits in der Pilotphase zu ermöglichen, entwickelte ich einen Prototyp zur Datenverarbeitung. Er wurde anfänglich als Proof-of-Concept verwendet und ging dann als komplette Solution-Plattform in die Entwicklung. Dies wurde ebenfalls von mir konzeptioniert und ich begleitete die Optimierung und Meilensteine bis zur Fertigstellung. Ich klassifizierte und bewertete alle weltweit bekannten Schwachstellen (+100.000) anhand interner Vorgaben und gewährleistete dadurch eine bestmögliche Weiterverarbeitung.

Des Weiteren erstellte ich ein Sicherheitskonzept, um keine hoch privilegierten Domänen Anmeldedaten auf Systemen zu hinterlassen, ohne das Scan-Tool dabei einzuschränken. In EMEA war ich der erste Ansprechpartner für die Verwaltung der Vulnerabilitäten und Compliance Verletzungen und schulte auch die Kollegen aus allen anderen Regionen ein. Hierbei wurden Lösungen für bestehende Schwachstellen und Angriffsszenarien ausgearbeitet und Action-Pläne erstellt, um diese auch anzuwenden.


01/2015 - 06/2015
Windows Server Hardening and Active Directory Security
(Industrie und Maschinenbau)

Bei dem Kunden habe ich bestehende Windows Server gehärtet, eine umfangreiche Hardening Guideline für Administratoren erstellt, Gruppenrichtlinien Templates für das Active Directory etabliert und diese dann dem internationalen Emergency Teams vorgestellt.

Ich führte Penetration Tests im Rahmen einzelner Use-Cases durch, bei denen gezielt versucht wurde in bestehende Systeme einzudringen, um deren Schwachstellen auszuloten. Der Schwerpunkt lag hier auf Active Directory Attacken durch Ausnutzung von Fehlern der Authentifizierungsmethoden NTLM und Kerberos, wie Pass-The-Hash, Golden Tickets, MS14-068, Umgehung von Microsoft Advanced Threat Analytics (ATA) und diversen weiteren Exploits. Die getesteten Systeme reichten von Windows Server 2003 R2 bis Windows Server 2016 TP2, sowie Windows 7 bis Windows 10 Insider Preview.

Ich habe maßgeschneiderte Konzepte zur Risikoverminderung dieser Attacken ausgearbeitet und auch mit Anti-Viren Herstellern und internen Forensik-Teams zusammengearbeitet, um die Erkennungszeit dieser Attacken und der verwendeten Tools deutlich zu verringern.

Zu meiner Tätigkeit gehörte auch die Beobachtung, Aufarbeitung und Evaluierung von 0day-Exploits, also tagesaktuellen Security Themen. Durch meine exzellente Vernetzung innerhalb der Branche war es mir möglich sehr zeitnah auf kritische Lücken und Trends zu reagieren.


04/2009 - 09/2013
Portierung eines Kanzleiorganisationssystems in die Cloud
(Wirtschaftsprüfung, Steuern und Recht)

Die bestehende Version des Kanzleiorganisationssystems wurde in eine Web Version portiert, um unabhängig der Betriebssystem Plattform und den Endgeräten zu sein. Es wurde stark mit Behörden, dem Bundesrechenzentrum und mit einer Treuhand Bank zusammengearbeitet um vorhandene Schnittstellen anzugleichen und zusammenzuführen. Die Schwierigkeit lag darin die drei Hauptakteure, die Entwicklungsfirma, die Supportfirma und die Lizenzfirma aufeinander abzustimmen und gegenseitig zufrieden zu stellen. Ich nahm ebenfalls an den Meetings des Arbeitskreises Rechtsinformatik teil um mit Partnern der Branche den Kontakt aufrecht zu erhalten. Das Produkt wurde dahin gelenkt um sehr flexibel den Anforderungen der Notare, sowohl als auch der Banken und Bundesbehörden gerecht zu werden und ihnen passende Schnittstellen (Middleware) zu bieten.


07/2011 - 07/2013
Aufbau einer Cloud Infrastruktur für den Web-ERV (Elektronischer Rechts-Verkehr)
(Wirtschaftsprüfung, Steuern und Recht)

Hier wurde auf HP BladeServer & StorageSystems sowie Microsoft Server 2008 R2 Datacenter gesetzt. Konzept, Aufbau, Konfiguration, Implementation, Hardening wurden von mir geleitet und Großteils auch durchgeführt. Alle Dienste wurden redundant ausgelegt und hatten ein automatisches Failover. Die Microsoft IIS Webserver hosteten über 300 verschiedene Webseiten und der SQL Server 2008 R2 Cluster umfasste exakt ebenso viele Datenbanken. Abgesichert wurden die Systeme durch Anti Virus sowie die HTTP/HTTPS/SSL Zugänge durch Hardware Firewalls. Parallel dazu befand sich auch ein, auf Hyper-V 2008 R2 Basis, virtualisiertes Testsystem. Hier konnte die Entwicklerfirma die Software Patches unabhängig vom Live System testen.

Es wurde eigens eine Microsoft PKI aufgesetzt um die Nutzer- und Webserver Zertifikate zu verwalten. Die Authentifizierung bei der Applikation konnte somit per Smartcard vom Client PC aus passieren.

Das System wurde 2 Jahre lang durchgehend von mir gewartet, bis es dem Kunden inklusive Dokumentation übergeben wurde. Während dieser Zeit wurden regelmäßig interne Sicherheitschecks und externe Penetration Tests durchgeführt.


10/2012 - 06/2013
Infrastruktur Virtualisierung und Cloud Migration
(Wirtschaftsprüfung, Steuern und Recht)

Im Zuge von Produkt- und Serverupgrades wurde Kunden eine gehostete Cloud-Lösung angeboten. In den Kanzleien befanden sich nach der Umstellung lediglich Switch, Firewall und ThinClients. Diese Variante der Infrastrukturlosen Umgebung war für die Kunden sehr reizend, denn sie hatten keine hohen Anschaffungskosten mehr, mussten keine Server-freundliche Umgebung mehr bereitstellen, ersparten sich hohe Stromkosten und kauften je nach Bedarf Arbeitsplatzlizenzen hinzu oder gaben sie wieder ab.

Im Rechenzentrum wurden HP ProLiant Server & StorageSystems sowie Microsoft Server 2008 R2 Datacenter, Microsoft System Center Configuration Manager 2007 R2 (SCCM) und Microsoft System Center Virtual Machine Manager 2008 R2 (SCVMM) verwendet. Die gesamte Umgebung wurde auf Hyper-V Server 2008 R2 Basis virtualisiert. Es gab zwei redundante Domaincontroller mit dem die Kanzleien über ein raffiniertes Gruppenrichtlinien-Konstrukt verwaltet und voneinander getrennt wurden, sowie einen Microsoft Exchange 2010 Cluster der für die E-Mail Kommunikation und Archivierung Zuständig war. Jede Kanzlei hatte ihren eigenen Microsoft Terminal Server der nach Belieben auf die jeweilige Arbeitsumgebung konfiguriert wurde. Zwischen Rechenzentrum und Kanzlei wurde eine IPSEC VPN Verbindung mit Hardware Firewalls realisiert. Zusätzlich konnten sich noch externe mobile Geräte per SSL VPN in das eigene Netzwerk einwählen um von unterwegs zu arbeiten. Diese Geräte mussten von uns eigens abgesichert und konfiguriert werden: komplette Verschlüsselung der Festplatte, Mehrfachauthentifizierung bei Login sowie einem VPN Token. Die Internet Nutzung der User wurde mit Firewalls stark reglementiert, gefiltert und überwacht.

Das System wurde 9 Monate lang durchgehend von mir gewartet, bis es dem Kunden inklusive Dokumentation übergeben wurde. Während dieser Zeit wurden regelmäßig interne Sicherheitschecks und extern beauftragte Penetration Tests durchgeführt.


09/2012 - 05/2013
Security-Hardening von Notariats-Kanzleien
(Wirtschaftsprüfung, Steuern und Recht)

Bei über 50 Kunden in ganz Österreich wurde die IT Infrastruktur abgesichert und die Mitarbeiter auf Security geschult. Schwerpunkte dieses Projekts waren Datensicherheit durch Diebstahl der Mitarbeiter sowie durch Angriffe von außen, Authentifizierung, mobile Geräte und Backup-Lösungen. Die Kunden wurden über mehrere Wochen beraten und gemeinsame Checklisten ausgearbeitet. Darauf basierend wurden Firewall Richtlinien optimiert, Hardware getauscht, NTFS Dateizugriffe eingeschränkt, Gruppenrichtlinien für Mitarbeiter erstellt und die internen Kanzlei Richtlinien verschärft. Bei größeren Kunden wurde ebenfalls eine komplette PKI installiert. Die Anwender mussten sich mittels Smartcards anmelden, dies wurde mit der Notariats Software gekoppelt und auch in den Microsoft Exchange Server eingebunden. So wurden alle ausgehenden E-Mails signiert und bei Bedarf auch verschlüsselt. Für das Dokumenten-Management-System war somit die Nachverfolgbarkeit bei Änderungen besser gegeben, denn jedem Arbeitsschritt konnte einem Mitarbeiter zugewiesen werden.

Mobile Geräte wurden verschlüsselt und bekamen eine Mehrfachauthentifizierung per Smartcard sowie einen VPN Token.


Reisebereitschaft

Verfügbar in den Ländern Deutschland, Österreich und Schweiz
Reisebereitschaft für Europa bis zu 4 Tage vor Ort beim Kunden pro Woche (80%), vorausgesetzt ein Flughafen ist in der Nähe.
 

Willingness to travel within Europe for up to 4 days per week onsite at the customer (80%), assuming there is an airport nearby.

Sonstige Angaben

12 Jahre Erfahrung als IT Consultant und System Engineer mit Schwerpunkt auf Sicherheit und Infrastruktur
Blue Team, exzellent vernetzt in der IT Security Szene, Perfektionist, offene Persönlichkeit und Autodidakt
 

12 years’ experience as IT consultant and system engineer with focus on IT security and infrastructure
Blue team, excellent connections within the IT security scene, perfectionist, open-minded personality and autodidact
Profilbild von Michael Mayer IT Security Consultant / Architect aus Wien IT Security Consultant / Architect
Registrieren