Cyber / IT Security Consultant

6/2017 – 12/2017

Um aufsichtsrechtliche Feststellungen zu beheben, wurde durch die Bank ein Security Remediation Programm aufgesetzt.

Aufgabe ist die Tätigkeit als SME in Form einer Durchführung von Gap-Analysen sowie der Beratung bei der Erstellung eines Ziel-Zustandes für die folgenden bankinternen Lösungen:
Penetration Testing
Vulnerability Scanning / Testing
Code Scanning
Monitoring / SIEM
Datenbanksicherheit

Netzwerk-Sicherheit, Cyber Security, IT Sicherheit (allg.), DIN ISO/IEC 27001, Penetrationstest, Risikomanagement

1/2017 – 3/2017

Im Rahmen eines großen EZB-Finding-Remediationprogramms habe ich für den Kunden das interne Kontrollsystem für IT-Sicherheitsmanagement sowie IT-Risikomanagement neu aufgebaut. Die elementaren Projektschritte waren:
Aufnahme der Prozesslandschaft des Unternehmens
Aufnahme der Anforderungen von CISO und CRO an die Geschäftsprozesse
Entwicklung von Kontrollen für IT-Sicherheit sowie IT-Risikomanagement zur Einarbeitung ins Prozessframework
Übergabe der Kontrollen an die Prozessdesigner

Cyber Security, DIN ISO/IEC 27001, Risikomanagement

11/2016 – 2/2017

Um die steigenden regulatorischen Anforderungen an Identity & Access gerecht zu werden, mussten mögliche Lösungen für den Identity Lifecycle für Kunden-Benutzer in bankinternen Anwendungen identifiziert werden. Ergebnis des Projektes war eine Case Study mit 3 möglichen Lösungen sowie einer Entscheidungsvorlage für das seniore Management.

Cyber Security, IT Sicherheit (allg.)

2/2016 – 3/2016

Für die sichere Bereitstellung einer hochkritischen Anwendung hat der Kunde eine smartcardbasierte Authentifizierung durch den Hersteller der Anwendung implementieren lassen. Um sicherzustellen, dass kein unberechtigter Zugriff auf die Anwendung erfolgen kann, wurde ein Penetrationstest auf die diese Authentifizierungslösung durchgeführt. Dabei konnten verschiedene Schwachstellen im Zertifikatsmanagement, der Signaturprüfung sowie kryptographischer Sicherungsverfahren identifiziert werden, die sich in Summe dazu ausnutzen ließen, unberechtigten Zugriff auf die Anwendung zu erhalten. Im Anschluss wurden mögliche Verbesserungen an der Anwendung sowie dem Authentifizierungsverfahren mit dem Hersteller besprochen und nachgetestet.

Certified Ethical Hacker (CEH), Cyber Security, Penetrationstest

7/2015 – 8/2015

Im Rahmen einer M&A Transaktion für den Betreiber von Reiseportalen wurde eine IT Due Diligence durchgeführt.
Inhalte des Projektes waren:
Wertanalyse des Codes durch COCOMO II
Bewertung der IT-Sicherheitsmaßnahmen
Bewertung des Software Stacks
Bewertung der Skalierbarkeit der Lösung
Bewertung der Codequalität

Cyber Security, IT Sicherheit (allg.), Risikomanagement

8/2014 – 2/2015

Durchführung einer forensischen Analyse zur Aufarbeitung eines Advanced Persistent Threat Cyberangriffes auf ein DAX Top 30 Unternehmen. Projektbestandteile waren unter anderem:
Malwareanalyse
Loganalysen
Root-Cause-Analysen
What-If-Analysen
Angriffspfadermittlung
Weiterhin wurden nach der Aufarbeitung des Vorfalls ein Penetrationstest sowie eine Schwachstellenanalyse zur Verhinderung weiterer Angriffe durchgeführt.

Certified Ethical Hacker (CEH), Cyber Security, Penetrationstest

10/2013 – 9/2016

Für eine große Einzelhandelskette wurden die Online Shops bei Inbetriebnahme sowie bei neuen Releases getestet. Die Penetrationstests umfassten unter anderem:
Information Gathering / Informationsbeschaffung
Schwachstellenanalyse (OWASP Top 10)
Prüfung der Checkout-Logik
Prüfung der Sicherheit der Paymentanbindungen

Certified Ethical Hacker (CEH), Cyber Security, Penetrationstest

10/2013 – 9/2016

Der Kunde unterliegt hohen regulatorischen Anforderungen an den IT-Betrieb sowie das Risikomanagement. Als Unterstützung der internen Revision habe ich über mehrere Jahre Prüfungen im Bereich IT-Sicherheit und IT-Risikomanagement durchgeführt, unter anderem in den Bereichen:
Mainframe z/OS
Netzwerkinfrastruktur
Systemsicherheit Windows und UNIX
Middleware, u.a. IBM WebSphere
Sicherheitsdesign
projektbegleitende IT-Prüfungen
Weiterhin habe ich das Unternehmen bei der Vorbereitung sowie während einer aufsichtsrechtlichen Prüfung der Europäischen Zentralbank unterstützt.

CISA (Certified Information Systems Auditor), Cyber Security, IT Sicherheit (allg.), Netzwerk-Sicherheit, Penetrationstest, DIN EN ISO 27001

11/2011 – 9/2013

Für diverse Kunden aus dem Finanzsektor (Banken, Versicherungen,
Leasinggesellschaften) wurden IT Security Audits in verschiedenen
Bereichen durchgeführt:
Überprüfung des Netzwerkdesigns
Durchführung von Architekturreviews
Sicherheit von Betriebssystemen (Windows, UNIX)

Netzwerk-Sicherheit, Cyber Security, CISA (Certified Information Systems Auditor), IT Sicherheit (allg.), DIN ISO/IEC 27001

11/2011 – 9/2013

Für diverse Kunden verschiedener Branchen (u.a. Banken, Unterhaltungsindustrie,
Automobilzulieferer) wurden verschiedene Penetrationstests
durchgeführt. Diese umfassten unter anderem:
Information Gathering / Informationsbeschaffung
Schwachstellenanalyse (OWASP Top 10 und andere)
Analyse möglicher Angriffswege für APT
Privilege Escalation

Certified Ethical Hacker (CEH), Cyber Security, Penetrationstest

6/2007 – 10/2011

Für diverse Kunden verschiedener Branchen wurden IT-Systeme betrieben,
unter anderem:
Microsoft Windows
Microsoft Exchange
Linux Webserver / sicheres CMS-Hosting
Linux Mailserver
Optimierung der Sicherheit bestehender Systeme

Netzwerk-Sicherheit, IT Sicherheit (allg.), Systemadministration (allg.)