Sr. Cyber Security Expert (Consulting, Management und Architekturlösungen)

Thematik Verantwortlich für das Management und für die Implementierung der Gruppen
IT-Sicherheitsstrategie zum Schutz der Geschäftsinformationen. Sicherstellen,
dass Sicherheits- und Geschäftskontinuität Risiko-Entscheidungen ausgewogen
sind und den externen regulatorischen und gesetzlichen Anforderungen
entsprechen:

* Schaffung von Datenschutz und sicherheitsbewusster Kultur, Implementierung eines
umfassenden Programms für Unternehmensinformationssicherheit und
IT-Risikomanagement.
* Entwicklung von Sicherheitsrichtlinien, -initiativen und -standards zur
Unterstützung der Einhaltung von Vorschriften, Verlusten und Betrugs-prävention
sowie von Verletzungen der Sicherheit und des Datenschutzes.
* Beratung zu potenziellen Bedrohungen, Schwachstellen und Kontrolltechniken.
* Untersuchen von Sicherheitsverletzungen, Kommunikation mit dem lokalen
Datenschutz- und der Geschäftsleitung (CIO/CEO).
* Beratung der Geschäftsleitung bei der Entwicklung, Implementierung und Wartung
eines starken Sicherheitsprogramms und einer starken Infrastruktur für den
Datenschutz und die Datensicherheit, einschließlich Netzwerkzugriffe und
Überwachungsrichtlinien.
* Überwachung der Sicherheitsstandards, -richtlinien und -verfahren des
Unternehmens; Entwicklung von Verfahren zur Reaktion auf Sicherheitsvorfälle;
fungiert als Kontrollstelle bei wichtigen Datenschutz- und
Sicherheitsvorfällen.
* Agiert als Chief Information Security Officer, um eine starke Brücke zwischen
allen Beteiligten zu schlagen und Gruppen zusammenzubringen, um Informationen
und Ressourcen auszutauschen und bessere Entscheidungen und Praktiken für das
Unternehmen zu schaffen.
* Budgetverantwortlicher für Informationssicherheit, Budgetkontrolle - sowie
Überwachung der Leistung der Abteilungen.
* Zusammenarbeit mit den Bereichen Recht, Compliance, Sicherheit und Datenschutz
des Unternehmens.
* Unterstützung bei der gesamten Businessplanung, die ein aktuelles Wissen und eine
Zukunftsvision von Technologien und Systemen vermittelt.

Thematik Übernahme der Rolle als TOM Manager innerhalb des Teams:
* Bewertung des lokalen Standes der IT-Sicherheitsfunktionen gegenüber
regulatorischen, qualitäts- und globalen Anforderungen und der zugrunde
liegenden technischen Sicherheitsarchitektur
* Analyse des Aufwands und der Kosten; Standortstrategie einschließlich Ausbau
von Ressourcen in Ländern basierend auf der Datenschutzanalyse
* Identifizierung von den wichtigsten Lücken in der Sicherheitslage der Bank und
dazu Empfehlungen abgeben
* Optimierung und Nutzung von globalen Cyber-Sicherheitsressourcen, Prozessen und
Technologien
* Entwicklung eines ganzheitlichen Ansatzes zur Erhöhung der
Cyber-Sicherheitsreife nach internationalem NIST-Standard
* Implementierung eines lokalen IT-Sicherheitsmodells (Target Operating Model) in
Übereinstimmung mit der globalen Organisation
* Demonstrieren zu den Regulierungsbehörden, Auditoren & Assurance, wie man
global, nach Region & nach Land agiert

Thematik Übernahme der Rolle als SPOC innerhalb des Teams zu:
* Beheben technischer Probleme und liefern endgültige Validierung von
Änderungen (Anwendungs- und Infrastruktur-Sicherheit)
* Risiko- und Gefährdungsanalysen für die Vermögenswerte (Assets)
* Beratung operativen Teams über Sicherheitsfragen (Incident Handling)
* Sicherheitsausnahmebehandlung und Einführung von Sicherheitsüberwachung
* Kontrolle der Einhaltung von IT-Sicherheitsrichtlinien und Eskalationsprozess
* Koordination und verfolgen von Pen-Tests und Scan-Prozesse
* Disaster Recovery Pläne (Erstellen/Prüfen) & Test Teilnahme
* Pflege-Strategie mit Schwerpunkt auf regulatorische und Compliance
* Sammlung der Zulassungen von SAB (Security Architektur Board) für Änderungen
an der Architektur, Aktualisierung und Anpassung der erforderlichen Artefakte

Thematik
* Definition von IT Sicherheitsrichtlinien (Risiko- & Compliance getrieben)
innerhalb der Bank
* Design & Implementierungen von Sicherheitskontrollen (Detektive- & Präventive
Kontrollen) zur internen Netzwerkkommunikation
* Aufbau einer Monitoring-Lösung (mit Korrelation) innerhalb der IT-Infrastruktur
* Planung der Netzwerksegmentierung mit dem Ziel die Sicherheit der IT-Systemen
zu erhöhen und mehr Performanz zu gewinnen
* Maßnahmen zur Kontrolle der (Admin)Zugriffsrechte von Desktop-Benutzern in
Richtung Produktion
* Evaluierung und Review von Lösungen (Produkte) diverser Anbieter zum Thema
Sichere Netzwerk-Virtualisierung (u. a. NFV/SDN)
* Aufbereitung zur langfristigen Einführung von Host-basierten
Sicherheits-kontrollen (Fokus auf Schutz der Produktion)
* Erstellung von Projekt-Artefakten (Anforderungen, Anwendungsfälle, Architektur
Blue-Print, Lösungsentwürfe, Prozess Workflows, etc.)
Technisches
Umfeld: Enterprise Architect, ArcSight, Splunk, Netflow, Firewalls, SDN Solutions

Thematik Ein gemeinsames UI für alle vorhandene Technologien (Ellipse, Mobil Fieldreach,
Reports, GIS, etc.) wird aufgestellt. Jeder Geschäftsprozess, der nicht in den
Kernsystemen behandelt werden kann, wird in der WebSphere-Portal Umgebung als
Portlet oder als Modul (Geschäftslogik) implementiert. Die neuen Anforderungen
werden in enger Abstimmung mit dem Kunden definiert um eine komplette Lösung
sicherzustellen.

Erstellung eines Konzeptes für das eingesetzte WebSphere-Portal, dass darauf fokussiert ist,
wie darunter eine sichere und effiziente Web Seite gebaut werden sollte/musste.
Dabei werden (u. a.) folgende sicherheitsrelevante Themen berücksichtigt:
Security Configuration, Authentication, Authorization, Session Management,
HTTPS, and external Security Managers.

bei "Kundenname ist vertraulich!" / Banken
Position/Rolle (Teil)Projektleiter, IT Sicherheitsberater (CSC GmbH)

Thematik Die Bank hat den Wunsch geäußert, Unterstützung bei der strukturierten Einführung
von Sicherheitsaspekten in die eigene Anwendungsentwicklung zu erhalten
* Festlegung des Schutzbedarfs (Methodik für die Bank technologieunabhängig)
* Ermittlung der IT Sicherheitsanforderungen
* Bewertung der potenziellen IT-Risiken & Feststellung von Maßnahmen
* Klassifizierung des erreichten Schutzes und Bewertung der IT Restrisiken
* Definition des "Standard-Sicherheits-Level" in der Anwendungsentwicklung
* Durchführung von diversen Sicherheitstests (Review der Architektur und des
Quelltexts, funktionale- und Penetrations- Tests)

Thematik CSC PTS/MMG bietet SEPA-Mandatsmanagement für Banken und Kreditoren. Es ist ein
standardisiertes, mandantenfähiges Produkt, welches sich mittels moderner
Architektur leicht in bestehende ZV-Landschaften integrieren lässt
(Drop-In-Lösung).

Im diesem Projekt wurde die vorhandene Schnittstelle erweitert um Java
Stored Procedures und eine neue API programmiert. So kann PTS/MMG Fremd-produkte SEPA-konforme
Mandantenverwaltung anbieten.

* Umsetzung der neun Produkt-Features gemäß Anforderungen
* Ziele-Spezifikation, Aufwandsschätzungen, PL & Controlling
* Beratung bei der Optimierung der SW-Architektur (Refactoring)
* Unterstützung bei der Implementierung einer neuen API
* Durchführung von Code- und Security-Reviews
Technisches
Umfeld: Java, IBM DB2, Oracle, Stored Procedures

Thematik Durchführung von Implementierungen & Tests (inklusive Qualitätssicherungen) im
Rahmen des Projekts "Implementation Identity and Access Management (IAM)"

* Durchführung von Workshops mit den Fachbereichen
* Qualitätssicherung der implementierten IAM-Prozessen
* Unterstützung bei der Erstellung von Test-Szenarien & Test-Cases
* Einrichtung der Test-Umgebungen im "Quality Center"
* Durchführung der definierten Test-Fällen
* Dokumentieren der Test-Ergebnisse (inkl. Test-Defects)
* Wiederholung & Dokumentieren der gefixten Defects
* Sicherstellen der Funktionalitäten von den modifizierten Modulen
Technisches
Umfeld: Quest One Identity Manager (Dell), HP Quality Center

Thematik Security in Applications (Beratung & Support):
Das Ziel war die Anwendungslandschaft der MR hinsichtlich Security- und
Compliance-Anforderungen zu überprüfen, Maßnahmen zur Sicherstellung dieser
Anforderungen zu definieren und umzusetzen.

Security in Application Lifecycle:
* Definition der Security und Compliance-Gates im Application Lifecycle
* Aktualisierung der Prozessdokumentation "Security in Application Lifecycle"
* Rollout des aktualisierten Prozesses "Security in Application Lifecycle" in die
IT der Munich Re

Security Plan for Applications
* Erstellung der Security Guideline und des Templates für den Security Plan
* Abstimmung der Security Guideline und der Security-Templates mit den
Stakeholdern
* Definition und Koordination der Ablage (Repository) für die Security-Pläne

Business Impact Analysis
* Vorschlag für eine BIA Guideline und der BIA-Matrix
* Abstimmung der BIA Guideline mit den Stakeholdern
* Anwendung & Anpassung der BIA Guideline für die Pilot-Applikationen

Data Protection Measures (Datenschutzmaßnahmen)
* Koordinierung der technischen Maßnahmen, die zur Sicherstellung des
Datenschutzes gemäß BDSG erforderlich sind
* Definition von Maßnahmen zur Maskierung-, Anonymisierung-, Verschleierung- &
Verschlüsselung von besonderen sensiblen Daten

Thematik Im diesem Security Service wurden u. a. folgende Leistungen erbracht:

* Beratung der IT-Projekte (Anwendungsentwicklung) zur Information Security:
Design, Implementierung, erforderliche Sicherheitschecks, Einhaltung der
Security Policies
* Initiieren und koordinieren von spezifischen Security-Konzepten (inkl. Reviews)
* Planung, Beauftragung, Koordinierung, Follow-Up von VA/PTs
(Vulnerability Assessments / Penetration Tests) & Risk Assessments für
eigenentwickelte und zugekaufte Anwendungen.
* Incident Handling in der Anwendungsentwicklung ( Bearbeitung von
Sicherheitsvorfällen )
* Durchführung von Security Awarenessmassnahmen für .NET - Entwickler
* Durchführung von Security Code Reviews (Fortify Source Code Analyse)
* Unterstützung bei der Implementierung und Weiterentwicklung eines ISMS nach ISO
27001

Thematik Guard (Global User Access Rights Distribution) ist die zentrale, verbindliche
Autorisierungskomponente für alle Nicht SAP-Anwendungen bei Münchener Rück
Versicherungen.

* Bearbeitung der Anfragen an Guard aller Art
* Unterstützung der Fachbereiche bzgl. neuen Anbindungen
* Guard Webseiten-Überwachungen durch den OpsManager
* Security Themen (Umstellung der Kommunikation mit Guard auf HTTPS
* Guard Issue Liste pflegen (neue ToDo's identifizieren, priorisieren und
anschließend beauftragen)
* Diverse andere Unterstützungsaufgaben (z.B. Tool Installationen,
Dokumentationen, Klärungsarbeit, Bearbeitung von I3S Tickets)
Technisches
Umfeld: .NET, Visual Studio 2008/2010, SQL Server 2005/2008, Adonis

Thematik Im diesem Projekt wurden folgende Leistungen erbracht:

* Integration von EAI (Enterprise Application Integration) mit SUN CAPS
* Implementierung & Tests von etwa 10 Schnittstellen (SAP-Inbound & -Outbound)
* Überwachung des Schnittstellen-Ablaufs zwischen SAP und nicht-SAP Systemen
* Koordination und Kommunikation zwischen dem SAP Projektteam und dem EAI-Team
* Code & System Security Monitoring
Technisches
Umfeld: Java CAPS, Netbeans, Glasfish, MS SQL Server

Thematik Entwicklung eines Webauftritts für BMW - Storage Area Network (SAN) nach Storage on
Demand Modell (SoD):
* Konzeption von Softwarearchitekturen sowie Modellierung von Geschäftsprozessen
* Beratung und Betreuung des Kunden hinsichtlich fachlicher und technischer
Fragestellungen
* Programmierung einer Webschnittstelle, die den Status, freie Kapazitäten,
Storage-Volumina, Verfügbarkeiten, bestehende Anbindungen und die benötigten
SAN Infrastruktur aller SUN Storage-Systeme bei BMW darstellt.
* Umsetzung der geltenden Code- & Architektur-Sicherheitsmaßnahmen innerhalb BMW
Technisches
Umfeld: Entwicklung auf Basis von Java, PHP, Apache und MySQL

Thematik Umsetzen der fachlichen Anforderungen bzgl. der Erweiterung des Systems LeiMIS
(Workflowunterstützung in der Berufsunfähigkeitsversicherung)

Erweiterung der LeiMIS-Basisversion um die neuen Anforderungen, Ergänzung von
bilanzrelevanten Daten, Erhöhung der Qualität von Informationen und Daten,
Kontrolle der Auszahlungen, Manuelle Fehlerkorrektur, Beschleunigung der
Arbeitsschritte, Anpassung an VVG-Reform
Technisches
Umfeld: .NET-Entwicklung auf Basis von C# und DB2

Ausschreibungsverfahren
für Beschaffungsamt des Innern / Bundesministerium
Position/Rolle Applikation Architekt, Cryptographic Analyst (CSC GmbH)

Thematik Im diesem Projekt wurden folgende Leistungen erbracht:
* Durchführung von Anforderungsanalysen, Erstellung eines
Implementierungskonzepts, Management von Change Requests
* Verlegung der Funktionalitäten zur Verwaltung der Benutzerdaten, zur Pflege von
Vertretern und Nachfolgern sowie die Funktionalitäten des Kartenwechsels für
den Bieter aus dem Web-Client in den AnA-Client.
* Weiterentwicklung und Pflege einer bestehenden digitalen Signatur-komponenten
zur rechtssicheren Abwicklung (rechtsgültig wie die eigenhändige Unterschrift).
Teilnehmer der e-Vergabe benötigen entweder ein fortgeschrittenes
Softwarezertifikat oder eine qualifizierte Signaturkarte, die beide durch eine
PIN geschützt sind, und die Signaturkomponente jSign®.
Technisches
Umfeld: Entwicklung auf Basis von Java (SWT), J2EE, Jboss und Oracle

Thematik Im diesem Projekt wurden folgende Leistungen erbracht:
* Konzeption und Entwicklung eines webbasierten Moduls, das für die Erfassung und
Verfolgung aller Anforderungen des Kunden innerhalb der Plattform KLUSA
zuständig ist.
* Unterstützung bei der Entwicklung und Bereitstellung neuer Features im
Tool zusammen mit einem externen Team und Koordination der Arbeiten.
* Weiterentwicklung eines bestehenden Dienstes zum automatischen Versand der
E-Mails
* Code-Anpassungen bei der Migration von .NET1 auf .NET2
* Unterstützung bei der Umstellung des VCS von Visual SourceSafe auf Subversion
Technisches
Umfeld: ASP.NET, C#, Oracle, Subversion, JScript, (X)HTML/CSS

Thematik Web-basierte Lösungen im Bereich IT Service Management:
Weiterentwicklung und Anpassung der bestehenden Plattform

Thematik PLM für BMW AG: Konzeption und Einführung von Produkt-Daten-Management Lösungen.

Thematik Knowledge Management: Entwicklung eines webbasierten Systems für elektronische
Abwicklung des Entwicklungsauftrags innerhalb AIXTRON AG.

Thematik Optimierung der Spracherkennungsparameter für den Trainings- und Erkennungsvorgang.

Thematik Entwicklung und Implementierung eines neuen Produktes zur Online-überprüfung von
eBay-Neukunden (Bereitstellung eines eCommerce-Zugangs).

Thematik Entwicklung mit JAVA, Anbindung an DB2 über JDBC: Anpassung und Verbesserung der
Zugriffs- und Transaktionssicherheit der einzelnen Prozesse.

Thematik Implementierung einer Anwendung mit Java gemäß Anforderungen des Kunden.

Thematik Netzwerk-Administration unter Novell /Unix/MS Exchange, Erstellung
abteilungsspezifischer Office-Anwendungen.

Thematik Programmierung einer Bewerbermanagement Anwendung im Internet mittels Visual
InterDev 6.0 zum Erfassen von Onlinebewerbungen und SQL- Recherchen

Thematik Betreuung der Anwender im Benutzerservice. Wartung der Arbeitsplatz-PCs und
Notebooks (Systeminstallationen, Programminstallationen,
Lotus-Notes-E-Mail-Clients einrichten etc.) sowie der angeschlossenen Geräte
(Scanner, Drucker und weiterer USB-Geräte).

Thematik Planung, Ausführung und Wartung lokaler Netzwerke. Kundenakquisition und
Kundenbetreuung.