freiberufler IT Architect (AI, Big Data, Cloud, Apps, Enterprise, Security), Agile Coach/Project Management/Product Owner, CyberSecurity auf freelance.de

IT Architect (AI, Big Data, Cloud, Apps, Enterprise, Security), Agile Coach/Project Management/Product Owner, CyberSecurity

zuletzt online vor 8 Tagen
  • 175‐250€/Stunde
  • 76437 Rastatt
  • Weltweit
  • de  |  en  |  fr
  • 09.02.2024

Kurzvorstellung

Meine 7 Tätigkeits-Schwerpunkte:
1.) AI/Big Data/Data Science
2.) Architektur (Java/JEE, C++, C#, Netzwerk)
3.) IT-Security (teilw. Programmierung)
4.) Projektleitung
5.) eCommerce
6.) Mobile Apps: Architekt und Projekt-Manager
7.) HTML5/JavaScript

Qualifikationen

  • Big Data
  • Business Intelligence (BI)
  • Computer Vision
  • Datawarehouse / DWH
  • IT Sicherheit (allg.)
  • KNIME
  • Maschinelles Lernen
  • Oracle Business Intelligence (BI)
  • Predictive analytics
  • R (Programmiersprache)
  • Teradata

Projekt‐ & Berufserfahrung

Business-Strategie und Marketing-Strategie erweitert, dann Lead IT- und KI-Architekt, Projektmanager, Sourcing
WSS, Homeoffice + Kalifornien, USA
9/2022 – offen (1 Jahr, 7 Monate)
IT & Entwicklung
Tätigkeitszeitraum

9/2022 – offen

Tätigkeitsbeschreibung

Aufbau der IT des Startups WSS zur Beschleunigung der F+E-Prozesse mit Beispiel eines Portals für ef-fizientere Green-Transformation-Projekte und Dekarbonisierung.

1. Konzeption eines Portals für effizientere Green-Transformation-Projekte und Dekarbonisierung: Click Dummy, dann minimale funktioniale Version sowie diverse Erweiterungen (Lean Startup Prinzip) für CO2- und Methan-Kompensationen, Zertifikate, Grüne Investments, Grüne Transitions-strategien und nötige Investments sowie deren Verkauf mit OpenCart, Zahlungs-Integration mit Stripe. UI-/UX-Design mit Mobile-First für Mobile App sowie Web Portal. Scraping von Green-Projekt-Dokumenten (z.B. von Verra.org) zur NLP-basierten KPI-Extraktion mit LLMs/spaCy. Er-stellung von zwei Bewertungssystemen mit Hilfe von Freelancern:
a. Ca. 50 Kriterien zur Identifikation der besten Offset und Green-Invest-Kategorien und darin der besten Projekte für einige Hunderte mittels Decision Tree auch zur Überwin-dung der Informationslücken.
b. Allumfassendes Modell zur Bewertung aller Green Projects incl. ESG mit allen Data Sci-ence Informationen und Tools wie XGBoost.
2. Konzeption einer Plattform zur Beschleunigung und Optimierung der F+E-Prozesse von Konzer-nen und NGOs durch KI, Visualisierungen, psychologische Analysen und diverse darauf aufbauen-de Analysen und Coachings mit einem Schwerpunkt auf Lösungen zur Klimakrise / Green-Transition:
a. KI-basierte psychologische Analysen der Teilnehmer (möglich in den USA): Ängste, Moti-vationen, Persönlichkeitstyp, Persönlichkeitsstörungen, spiraling Dynamics basierend auf umfassender Analyse von Personen in Meetings: Audio, Video mit vielen Details wie Micro Movements, Puls, Schwitzen, Tonfall, textuelle Inhalte, Gesprächsdynamiken, etc.
b. Data Science/Datenanalyse und Datenvisualisierung, optimiert für grüne Themen wie Klimaschutz, Klimamodelle, Weltmodelle, Simulationssysteme, etc.
c. Eigene Wissensrepräsentationen, Notion.so, Notion AI, LLMs/OpenSource Foundation Models (Llama 2, Falcon 180B, diverse HuggingFace Models)/Deep Learning, Fine Tuning.
d. KI-basiertes Zusammenarbeitssystem: Verwenden der Analyse-Ergebnisse zum Coachen der MItarbeiter, als smarter Moderator, Mediator, Brainstorming, intelligente Kreativi-tätstechniken, etc.
e. E-learning-Integration: ILIAS, Moodle, virtuelle Assistenten zum Ler-nen/Automatisierung, Intelligent Robotic Process Automation (IRPA) basierend auf ro-botframework/rpaframework etc.
f. Integration von DMS, KMS, LMS, ERP (SAP, Monday), Payment und E-Commerce-Systems (OpenCart, xt:Commerce v6).
3. Konzeption und Implementierung von KI PoCs/Kernfunktionalität mit Startup Credits in AWS und Azure: AWS SageMaker mit AWS Neptune ML basierend auf Graph Neural Networks und Know-ledge Graphs sowie Azure ML/Azure AI Machine Learning Studio mit Semantic Kernel + Chat Copi-lot und Azure Cognitives Services:
a. Generierung/Verbesserung von Embeddings und Speicherung in Vektor Datenbanken (DB: OpenSearch (fork von Elastic/elasticsearch), Test von faiss und milvus, Posteg-reSQL).
b. Integration und Dockerisierung verschiedener Tools wie langchain, opensource founda-tion models, PyTorch, MLflow, anaconda, SpaCy, Apache Spark, etc. API-Integration von otter.ai (Spracherkennung), OpenAI ChatGPT, etc.
c. Fine-tuning / Machine Learning / Deep Learning in Richtung psychologische Analyse, Gestik-/Mimik-Analyse, Gesprächsanalyse, gewaltfreie Kommunikation, Conscious Colla-boration, entsprechendes Teilnehmer-Coaching.
d. Bot-basierte Software-Entwicklung (ChatDev etc.): Sehr präzise detaillierte Eingabeauf-forderungen/Interaktionen an LLMs, das Feedback von Compilern/Interpretern/Kunden integrieren und dann den Fortschritt aus der Perspektive der verschiedenen Software-entwicklungs-Stakeholder betrachten. Dann ein LLM in den verschiedenen Rollen an den Details und Fehlermeldungen/Testfehlern arbeiten, um eine großartige Software zu erstellen.
e. Extraktion logischer/zeitlicher/modaler Beziehungen sowie von Zahlen/Statistiken aus Texten mit LLMs und spaCy und deren Visualisierung mit Python.
f. Wirtschaftliche Szenario-Analyse und Szenario-Management mit KI/NLP und Data Sci-ence, Longtermism-Kriterien und -Strategien.
4. Konzeption/Implementierung eines Plug-in-Systems für Wissensrepräsentationen (Kern + Erwei-terungen, Vektor DB + Lexical DB) sowie für deren Visualisierung mit GodotEngine, Unreal sowie Elementen von Ryzom: Diagramme, Zeitlinien, kausale Zusammenhänge, Wissenslücken, Unsi-cherheiten, Risiken, Chancen, SWOT, et.
5. Aufsetzen eines lokalen ML-Clusters mit High-End Servern mit je 4-8 GPUs um Kosten für Cloud-basiertes ML zu sparen: Kubernetes-Docker-Cluster mit Kubeflow/MLflow/Horovod (PoCs), Airflow, PyTorch, Anaconda, Apache Spark unter Ubuntu Linux/RHEL.
6. Erstellen von Pitch Decks und Zielgruppenanalysen (Kunden, Investoren, Spender) und Optimie-rung der Strategie-Dokumente für deren Informationsstand und Interessen, insbesondere ver-schiedene vereinfachte oder fokussierte IT-Architekturen und Strategie-Unterlagen.
7. Sicherheitskonzeption, GDPR-Konzeption sowie KI-Ethik-Konzeption der Gesamtstrategie, Hoch-verfügbarkeit, Business Continuity, Failover, Disaster Reovery.
8. Recherche und Vorschlag eines Systems und einer Strategie zur umfassenden grünen Transition und deren Finanzierung basierend z.B. auf Projekt DrawDown und Potentialism/PerConFlow mit Upgrade-Vorschlägen für den Kapitalismus, staatliche Förder- und Finanzierungsmodelle, Steuer-modelle/Zertifikate/Investments zur grünen Transition.

DS-Ansatz (Data Science) 1. Decision Trees (XGBoost) sowie Standard-Data-Science Tools (Python Anaconda Toolchain) zur Analyse der Effizienz von Green Transition-Projekte und Dekarbonisierung, Kohlenstoff-Emissionszertifikate/Kompensationen/Offfsets.
2. Deep Learning mit PyTorch sowie LLMs (Large Language Models) wie GPT4All, Llama 2, Falcon 180B, ChatGPT (via API).
3. Retrieval Augmented Generation (RAG), um wissenschaftliche Quellen für z.B. psychologische Diagnostik, KI-basierte Moderation etc. zu referenzieren.
4. Austesten und Evaluieren von zero-shot vs one-short vs few-shot Lern-Techniken.

Bibliotheken / Tools Microsoft Azure, AWS SageMaker mit AWS Neptune ML, Azure ML/Azure AI Machine Learning Studio, Azure Cognitive Services, MS Office, HTML5 + CSS, JavaSript/TypeScript, React, XGBoost, CATBoost; Docker, Kubernetes, Kubeflow, Scala, Java, Python, C++, Go/Golang, Airflow, CeleryExecutor, PyTorch + Auto-PyTorch + AddOns, MLFlow, Kedro, Sparx Enterpreise Architect (Sparx EA), Apache Spark Stack mit Spark Streaming, Spark SQL, MLlib, GraphX, Apache Atlas, langchain, spaCy, MS Semantic Kernel + Chat Copilot, Jupyter, Zeppelin, RabbitMQ, Github Copilot, IBM/Red Hat OpenShift, Kafka, Ansible, OpenTSDB, CNTLM, Red Hat Identity Manager / FreeIPA, keycloak, Samba, Nginx, Grafana, Jenkins, Databricks, Snowflake, Vector Databases (DB: OpenSearch (fork von Elastic/elasticsearch), faiss, milvus, PostegreSQL), RHEL, Ubuntu, IntelliJ IDEA, Visual Studio Code, Wix, Notion, Canva, Figma, Kumu, Miro, MailChimp, WordPress + WooCommerce, Webflow, SmartSheet, MS Project + Visio, Stripe, Scrum + Design Thinking + SAFe.

Eingesetzte Qualifikationen

Big Data, Business Intelligence (BI)

Cloud Architekt
Atruvia (Merger von Fiducia + GAD), VR-IT-Tochter, Karlsruhe, Homeoffice
5/2022 – 9/2022 (5 Monate)
Finanzdienstleister
Tätigkeitszeitraum

5/2022 – 9/2022

Tätigkeitsbeschreibung

Konzeption des Datenbankteils der Cloud-Migrationsstrategie

1. Erstellung von Architektur-Blueprints für Redis-, PostgreSQL-, MySQL/MariaDB und DB2-Cloud-Installationen. Besonderer Schwerpunkt auf die Erhöhung der Redis-Datensicherheit in der Cloud bei höchster Performance, Erstellung eines Failover- sowie Data-Recovery-Konzeptes (High Availability).
2. Erstellung eines Architektur-Blueprints und eines Master-Plans (Streategien, AIOps, Skripte, Kon-figuration) für das Migrieren und hochverfügbare Betreiben obiger Datenbanken in den führen-den Clouds (Amazon AWS, MS Azure, Google GCP, IBM Cloud, Red Hat OpenShift) mit Fokus und Master-Blueprint für Kubernetes-Docker-Clouds mit Redis OSS und Redis Enterprise.

Bibliotheken / Tools Amazon AWS, MS Azure, Google GCP, IBM Cloud, Red Hat OpenShift, Redis OSS/Enterprise, PostgreSQL, MySQL/MariaDB, IBM DB2, IBM DataStage, IBM Cloud Pak for Data, IBM/Red Hat OpenShift, Linux, Scrum + Design Thinking + SAFe.

Eingesetzte Qualifikationen

IT Sicherheit (allg.)

IT-Architekt, Security Architekt, Hauptverantwortlicher für 1-Millarde-Euro-pro-Jahr-Zahlungssystem
Telefonica Deutschland (O2, E+, Hansenet), Homeoffice
5/2021 – 4/2022 (1 Jahr)
Telekommunikation
Tätigkeitszeitraum

5/2021 – 4/2022

Tätigkeitsbeschreibung

Migation der IAM-, Voice Authentitifzierungs- und Payment-Infrastruktur von Atos zu TCS – Know-ledge Transfer, Reverse Engineering, Konzeption, Coaching.
rchitekt, Hauptingenieur/Entwickler und Verantwortlicher für die Migration von Atos zu TCS und zu neuen Servern sowie die Wartung der Utimaco-/Sophos-Zahlungssysteme, Aufbau einer neuen Sicherheitsinfrastruktur mit den neuesten Sicherheits- und Kryptographie-Algorithmen und -Prozessen unter Einhaltung der PCI DSS-Standards und -zertifizierten Systemen mit Smart Cards und HSMs (Hardware-Sicherheitsmodulen). Transaktionsvolumen: Mehr als 1 Milliarde Euro pro Jahr an Umsatz durch Prepaid-System, 10 Mio. Euro pro Wochende, d.h. höchste Hacking-Risiken und Sicherheitstandards und Sicherheits-Prozesse.
2. Migration der Control SA (CTSA) IAM-, Voice-Authentifizierungs- und Zahlungsinfrastruktur von Atos zu TCS - Echtzeit-Übersetzung des Wissenstransfers, Reverse Engineering, Konzeption, Coaching.
3. Konzeption der Anbindung des IAM-Systems über LDAP und Datenbanksysteme an die führen-den Clouds: AWS, GCP, Azure, IBM Cloud, IBM/RedHat OpenShift.
4. Konzeption von Migrationen von CTSA und LDAP zu SailPoint IAM und obigen Clouds, Erweite-rungen und Integrationen.
5. Risikomanagement und Aufwandsschätzungen.
6. Wissensannahme von Atos auf Deutsch anfangs teilweise sowie später weitere Übergabe an TCS-Experten auf Englisch, Simultan-Dolmetschen.
7. KI- und Automationsbasierte Migration (Konzeption + Programmierung + Betrieb und Übergabe) der alten Sicherheitsserver und alten Krypto-Algorithmen auf neue PCI-DSS zertifizierte So-phos/Utimaco-Server mit Spezial-PinPads, Smartcards und komplexem Rollen- und Rechtemodell unter höchsten Sicherheitsstandards (1-Mrd-Euro-Zahlungssystem), Diskussion mit den beteiligten Banken: Bankverlag/Privatbanken, Finanz-IT, Atruvia, T-Systems.

Bibliotheken / Tools BMC Control-SA (IDM), BMC Control-M (RPA/DevOps), SAP Success Factors, CWA HR System, Sophos/Utimaco CryptoServers, LumenVox (ex: VoiceTrust), Oracle DB, Toad, Oracle Directory Server (LDAP), AWS, GCP, Azure, Oracle IAM Suite, Sparx EA, MS Office, Visio, IBM DB2, IBM DataStage, IBM Cloud Pak for Data, IBM/Red Hat OpenShift, AWS, GCP, Cisco Splunk, Azure, Scrum.

Eingesetzte Qualifikationen

IT Sicherheit (allg.)

IT-Architekt, Product Owner, Produktmanager, Coach
Compris Technologies AG, Zug
5/2020 – 4/2021 (1 Jahr)
IT & Entwicklung
Tätigkeitszeitraum

5/2020 – 4/2021

Tätigkeitsbeschreibung

Konzeption/Entwicklung eines Intelligent Automation Tools, strategisch-gesteuert mit neuen KI-Techniken wie z.B. Planung, probabilistischen Modellen, etc.: Intelligentes RPA (Robotic Process Au-tomation), Computer Vision/OCR (Optical Character Recognition), ICR (Intelligent Content Recogniti-on), IDP (Intelligent Document Processing) sowie natürlicher Sprachverarbeitung (NLP, Natural Langu-age Processing).
Zweck: Automatisierung von Tätigkeiten:
Initialer Fokus: Automatisierung von Internet- und Intranet-Tätigkeiten: Web-Scraping, Formulare ausfüllen, Social-Media-Automatisierung, E-Mails automatisch erstellen (NLP), versenden und Ant-wort-E-Mails analysieren und wiederum beantworten. Vorteile: Viel produktiver durch hoch-wiederverwendbare Automatisierungen, anwendbar in Echtzeit für viele neue Use Cases (Behebung von Security-/Performance-Incidents), robuster durch automatisierte Diagnose und Troubleshooting, geringere Kosten, Plattform-übergreifend, über Produktversionen und deren Bugs/Besonderheiten abstrahierend.
Für DevSecOps/DevOps: Einsatz von freien Tools wie robotframework und rpaframework sowie eige-nen KI-gestützten Weiterentwicklungen auf der Basis der KI-Disziplinen Planning, probabilistisches Programmieren, Deep Learning, NLP (Natural Language Processing), Computer Vision. Damit lassen sich die meisten Administrations-Tätigkeiten incl. Fehler- und Exception-Handling automatisieren und in Echtzeit ausführen, z.B. zur Behebung von Sicherheits- oder Performance-Problemen.
Für Verwaltungstätigkeiten: Infos lesen, bearbeiten, extrahieren und anderweitig in IT-Systeme ein-geben: In Dateien, APIs, (Web-)Formulare, UIs von Apps, etc.)
Für agile Prozesse: Möglichst viel automatisieren und Situationen für die Anwendung von mittlerweile über 1000 agilen Praktiken erkennen und empfehlen, insbesondere im Risiko- und Konflikt-Management, im Ergreifen von Chancen, Erkennung von Entscheidungspunkten, etc.
Für eLearning: Automatisiertes Vorschlagen von Tipps, Korrekturen, Übertragen von Daten, psycholo-gische Elemente zur Motivation einbringen, etc. u.A. durch Injektion von JavaScript (z.B. als Avatar), das analysiert, Tipps gibt, Lernfragen stellt, etc.
Für Marktanalyse (Kunden, Lieferanten, Konkurrenten, Finanz- und Personalmarkt): Web-Mining, Web-Scraping, Informationsaufbereitung, SWOT, Chancen / Risiken.
Für Social Media und Personenanalyse: Psychologische und Motivations-Faktor-, Bedenken-Analysen.
Für Marketing-/Vertriebstätigkeiten: Markt- und Event-Analyse (Ereignisse im [Kunden-]Markt) sowie möglicher Vorteile/Synergien und automatisierte Vorteils-/Nutzen-Argumentation per Text-Generierung (NLP).
Vorteile: Viel produktiver durch hoch-wiederverwendbare Automatisierungen, anwendbar in Echtzeit für viele neue Use Cases (Behebung von Security-/Performance-Incidents), robuster durch automati-sierte Diagnose und Troubleshooting, geringere Kosten, Plattform-übergreifend, über Produktversio-nen und deren Bugs/Besonderheiten abstrahierend.
Erstellung einer Go-to-Market- bzw. Markteintritts-Strategie unter Verwendung einer Buch-Veröffentlichung zu KI-gesteuerte agile und intelligente Automatisierung/RPA, durch öffentliches Sprechen, (Social Media-)Marketing, KI-basiertes Marketing, DMPs (Datenmanagement-Plattformen) und darauf basierende Verkäufe und Weiterempfehlungen.
1. Erstellung einer Gesamt-Architektur über die Komponenten und wesentlichen Prozesse eines komplett neuen intelligent (Robotic Processs) Automation Tools zum Deployment sowohl in Data Center oder der Cloud über die Containierisierung mit Docker und Kubernetes/K8s mit Micro-services, Web-APIs oder Serverless. Diese spezielle Gesamt-Architektur diente u.A. zur Diskussion mit externen Partnern / Startups über mögliche Kooperationen / Integrationen.
2. Data- und ML-Workflow-Konzept erstellt mit Knative Eventing und Kubeflow.
3. Partnerschaftsgespräche mit führenden und innovativen RPA- und Automationsfirmen sowie In-fluencern: UI Path, Automation Anywhere, Blueprism, Jacada, Kofax, Pega, Progress Corticon, Softomotive (Robin), NICE, WorkFusion, Nividous, Antworks, Thoughtonomy, Edgeverve As-sistEdge, Kryon/VirtualAI, Another Monday, AgreeYa, Robotframework.org, RPAframework (by Robocorp), OpenRPA.
4. Kernarchitektur erstellt basierend auf non-linear Planning Komponenten erweitert um probabilis-tische Regeln mit MIT’s Gen.jl + Julia MLJ.jl, Pyro, ProbLog und In-Memory- und Tiered-Memory- Architektur mit Apache Pulsar, Spark, Alluxio and Redis/PostgreSQL/Aerospike.
5. Verwendete/getestete/adaptierte non-linear Planning and Control Libraries: Control Toolbox, AIKIDO, ROS Navigation2+ROS Behavior-Tree, Open Motion Planning Library (OMPL).
6. MVP-Konzeption (Minimal Viable Product nach Lean Startup) und Implementierung mit Fokus auf web-basierte Techniken: Fokus auf TypeScript-/JavaScript-basierte Webseiten-Analyse, Extraktion und das Formular-Ausfüllen mit diesen Tools: CasperJS, PhantomJS, Slimer.js sowie GreaseMon-key/Tampermonkey (JS Code Injection), Selenium.
7. Datenspeicherung und Suche mit Solr (Semantic Knowledge Graphs, Filtering, Scoring, Synonyms, Stemming); Datenextraktion / Web-Scraping u.A. mit Apache Tika / Gora / Nutch.
8. Optische Zeichenerkennung (Optical Character Recognition) integriert mit STN-OCR und neuen Computer Vision Techniken/Algorithmen.
9. (Web-)Formular-Ausfüll-Funktionalität für Internet/Intranet erstellt mit JavaScript (eingesetzt über Web-Proxies wie Zed Attack Proxy (ZAP), Charles Proxy, Paros Proxy, Andiparos, ProxyStri-ke) oder Code-Injection Tools wie GreaseMonkey/Tampermonkey/Bookmarklets)
10. React-basiertes UI erstellt React-basiertes UI erstellt – mit ReactNative auch für Android und iOS Apps erstellt – für deklarative visuelle Automations-Spezifikationen (visuelle Verbindung von Schritten, Data Mapping) oder Implementierung in Robin RPA oder JavaScript.
11. Erstellung eines React-basierten UI für verteiltes Brainstorming und eLearning, in das Teilneh-mer verteilt Rich-Texts und Concept Graphs/MindMaps erstellen können, um Themen zu diskutie-ren. Erweiterung um Auto-Korrektur, Kontext-basierte Vorschläge, Nachschlagen in Wi-kis/Wissensbasen, Unternehmens-Apps, Suche in E-Mails und sonstiger Smart Input, etc.
12. Injecten eines Analyse- und Avatar-JavaScript-Codes in eLearning Tools wie Moodle, ILIAS, We-bUntis, etc. um Tipps zu geben, Kontrollfragen zu stellen, das Durchdenken der Inhalte zu fördern und diese zu wiederholen, z.B. nach dem Dreiske-Ansatz, der bei ca. 80% der Kinder ca. 70% ver-besserte Denkfähigkeiten höherer Ordnung bringt: Inferentielles Denken, kritisches Denken und Metakognition – insbesondere durch Fragen nach den Zusammenhängen, Hintergründen, emoti-onalen/psychologischen Aspekten wie Einfühlungsvermögen und Konflikt-Verstehen & Konfliktlö-sung; weiterhin wird das Vergessen in den Sommerferien adressiert: Alles zunehmend automati-siert mit KI- und NLP-Techniken.
13. Erstellung eines React-basierten UI für die Analyse und Verbesserung von agilen Entwicklungs-prozessen (AI-driven Agile) durch Analyse von Wikis, Dokumenten, E-Mail-Verkehr und auf dieser Basis Gabe von Empfehlungen. Hierfür wurden über 1000 Agile Best Practices aus dem Internet extrahiert und in eine Wissens-Datenbank aufbereitet, z.B. mindsettlers.com, myagile5.com, soci-ocracy30.org, holacracy.org, management30.com, Disciplined Agile Delivery (DAD) Bücher, De-sign Thinking Bücher wie (Das große Handbuch Innovation: 555 Methoden und Instrumente; 77 Tools für Design Thinker; Das Design Thinking Toolbook), etc.
14. RPA-basierte Automatisierung von mobilen Applikationen (Android mit Kotlin, iOS mit Swift) so-wie PC-Applikationen (C++, Python) unter Windows und Linux.
15. Vorschlag/Konzeption und Integration von Data Science und KI-Algorithmen (mit SQL, ODBC, JDBC, etc.), insbesondere auch aus NLP (Google BERT und Nachfolger) und Computer Vision.
16. Akquise und (technische) Koordination von Offshore-Entwicklungspartnern.
17. Erstellung von Online-Bots in JavaScript zur Markierung, Extraktion, Speicherung und Weiterver-wendung von Informationen, etwa für Social Media Marketing.
18. Zielgerichtete Analyse potentieller Kunden in verschiedenen Quellen (Websites, Datenbanken, Patente, Bewertungsportale, Jobportale, etc.) und strategisch bzgl. spezieller Fragestellungen (sortiert nach Prognose-Fähigkeit für positive Outcomes) zwecks möglichst detaillierter Kunden-Segmentierung und zielgenauer personalisierter Ansprache in E-Mails, Briefen, Telefonaten und in Chatbots; semantisches Content Marketing (Kunden-Push).
19. Systematische Konkurrenz- und Marktanalyse (Kunden, Lieferanten, Konkurrenten, Finanz- und Personalmarkt; Porters 5 Kräfte erweitert auf 9): Web-Mining, Web-Scraping, Informationsaufbe-reitung in relationale Strukturen, Triggern von regelbasierten und semantischen Alerts: Erken-nen, Einschätzen und Reporten von Bedrohungen, Risiken, Chancen, wichtigen Events, Fördermit-teln, etc.
20. Zielgerichtetes Content-Aggregation- und News-Sammel- und News-Verteil-System bzgl. für die Organisation relevanter Themen an die relevanten Personen. Content Aggregation für interne Wikis/Wissens-Datenbanken/relationale Datenbank-Aufbereitung/eBooks wie auch für Content Marketing (Kunden-Pull; z.B. mit OpenAI GPT-2, Huggingface Transformers).
21. NLP-basierte Content-Generierung zu den eigenen Beratungsthemen mit GPT-2, GPT-3 und den Huggingface-Tools, d.h. um gefunden zu werden (SEA/SEO) und Anfragen zu erhalten.
22. Semantische automatisierte E-Mail-Versendung und E-Mail-Beantwortung mit MS Outlook, MS Exchange und sendmail/postfix/mbox/GNOME Evolution unter Unix sowie vielen NLP-Tools wie Google BERT, Huggingface-Tools, etc.
23. Insgesamt automatisiertes auf die jeweils relevanten Features und Vorteile abgestimmtes In-bound- und Outbound-Marketing mit NLP/KI sowie Telefonats- und Vertriebs-Gesprächs-Vorbereitung.
24. Markt- und Publikationsanalyse im Gesundheitswesen/Biomedizin mit spaCy/scispaCy, Metamap, Huggingface, BERT, cTakes.
25. Automatisierte Marktanalyse für den Maschinenbau (Lieferketten schließen, neue Lieferanten finden, neue Kunden finden).
26. Test der Kernfähigkeiten in und gegen die 3 führenden Cloud-Anbieter:
a. AWS: AWS Lambda, AWS Step Functions, AWS SageMaker
b. Microsoft Azure Logic Apps, Microsoft Graph API, OData, Microsoft Power Automate (ex Softomotive WinAutomation + Flow + Graph API etc.) mit AI Builder, RPA, Microsoft Dataverse (ex: Common Data Service), Power BI, Power Apps, Power Virtual Agents.
c. GCP Google Cloud Dataflow, Cloud AI, Google Datalab, Google Colab (Colaboratory)
d. Cloud-Integration mit Morpheus und Ansible
27. Blockchain: RPA-basierte Automatisierung für die Generierung von digitaler NFT-Kunst, insbe-sondere von mesmerisierenden Multimedia-Inhalten, Op-Art, Reflektionen, Glanz, Glühen, Fun-keln, Beleuchtungs-, Textur- und sonstigen Effekten und weiteren digitalen 2D-/3D-Effekten. Al-gorithmisches Zusammensetzen von 2D-/3D-Bildelementen von Künstlern (Unity3D und godoten-gine.org) und automatisierte Weiterverarbeitung und Aufwertung. Automatisierung der zugrun-deliegenden Versteigerungs-, Verkaufs- und Zahlungsprozesse durch Einbindung von APIs wie So-lana, Ethereum, Smart Contracts, Metaplex und NowPayments.io.

Spezielle Kunden-Projekte SAP SE: Erstellung von IT-Sicherheits-Blueprints für neueste IAM-Systeme und deren Anbindung durch externe Partner und IT-Komponenten, insbesondere innerhalb von RPA-Systemen (Robotic Process Automation) in denen volle Verantwortlichkeit von Menschen für alle (halb-)automatisierten Jobs gelten soll: Identity Provider (IdP), Multi-Factor Authentication (MFA), Authentication Provider, Rollen- und Berechtigungssyssteme wie SAP IDM sowie Partner-Systeme wie SAP Analytics Cloud (SAP SAC), Identity Federation (OpenID Connect OIDC, SAML), OAuth, Access Management (RBAC, PBAC, ABAC, etc.), Integration mit allen gängigen kommerziellen Systemen), minbar Security-Forderungen und Vorschläge für alle Sicherheits-Aspekte von Anwendungen/Apps, insbesondere Zero-Trust-Architektur (ZTA)-Forderungen, Decision-Tree, Entscheidungstabellen, Multi-Tenancy, Microservice- und monolithische Konzepte und Forderungen für alle diese Systeme.

ALDI Gruppe mit Hofer (Österreich) und Trader Joe’s (USA): Aufsetzen eines RPA-automatisierten Big Data und Data Science Systems rund um Master Data Management (MDM) mit SAP Tools, Supply Chain Management (SCM), Marketing und Vertrieb mit Descriptive, Predictive und Prescriptive Analytics incl. Wetter, Feiertage, Saisonalität, sonstige Randbedingungen mit POS (Point of Sales) Analysen und Vorhersagen, Data intelligence. Data Layers von oben nach unten: OL = Optimized Layer, SL = Shared Layer, DL = Discovery Layer, LA = Landing Layer.
Tools: Cloudera Hadoop mit Cloudera Manager, Oozie, Impala, Hive, YARN, Zeppelin, Hue, HDFS Datalake, SAP Developer for Eclipse, Visual Studio, SQLServer, Oracle Developer, Kerberos tools, SAP BW, SAP CAR (Customer Activity Repository 3.0) powered by HANA, SAP Vora, SAP Data Hub, SAP S/4 HANA, SAP SCP (Supply Chain Portal), SAP BW, SAP Analytics Cloud (SAP SAC), SAP Business Objects, SAP TM, SAP EM, SAP F&R, SAP CAR, SAP Ariba, Hybris, SalesForce, Adobe Marketing Cloud, Workfront, Informatica Suite: Informatica Intelligent Data Management Cloud (IDMC), Axon Enterprise Data Catalogue (EDC), Data Integration, Data Quality, Data Security/TDM, Enterprise Unified Metadata Intelligence (CLAIRE), Governance and Privacy, iPaaS: Data, API & Application Integration, Master Data Management (MDM) & 360 Solutions (BI); Elastic, Kibana, Grafana, Gitlab, Bitbucket, maven, Java/JDK, Scala, Akka, Kubernetes, Docker, SonarQube, Jenkins, DevOps/DevSecOps, SAML, Tableau.

Baloise Versicherungs-Gruppe (in Deutschland Merger aus Deutscher Ring + Basler-Versicherung):
Tätigkeiten: Automatisieren des Schriftverkehrs mit verbessertem ICR (Intelligent Content Recognition) mit semantischer Verarbeitung mit neuesten NLP-Techniken sowie intelligente Automatisierung der Verarbeitungsschritte. Speziell:
1. Weiterführung und Dokumentieren der Architektur
2. Sicherheitsanalysen
3. Kommunikationsmatrix mit Firewall- und Routingregeln ableitbar
4. Vorschlag und Einführung von Projektstandards: Use Case 2.0, Robustness Diagrams, Microservices, Clean Architecture.
5. Analyse und Vorschlag von Serialisierungs-Standards: JSON Schema, Avro, Thrift
6. Analyse und Vorschlag von Java-Microservice-Frameworks: Vert.x, QBit, Apache CXF, Netflix Stack, Spring Boot, Dropwizard, WildFly Swarm, Eclipse MicroProfile, Micronaut, kleine JAX-WS/JAX-RS Frameworks wie Apache Jersey, Restlet
7. Konzeption einer Schnittstellen-Registry, die WSDL/SOAP wie auch JSON/WADL/RAML/Swagger unterstützt sowie die Code-Generierung für Clients.
IT Libraries: ServiceNow, Huggingface Suite, Google BERT, Camunda BPM, Camunda Studio, JBoss, Swagger, WADL, RAML, SOAP/WSDL, Java/JEE, Angular 8 (Indexer, Dok-Nachverarbeitungs-UI), OpenShift, Kubernetes, Docker, Citrix Netscaler, Abbyy OCR, RPA, USU Valuemation (CMDB), Jira, Confluence, Python KI-Toolchain: Anaconda, Conda, numPy, spaCy, PyTorch, TensorFlow, Paradatec ProKey, Accel, Doku-Erzeugungs-Tools: Sparx EA, Draw.io, jTracert, SDEdit.

Brainlab: Kurzberatung zur Verbesserung der Erstellung von Angeboten als Kombination von Problemen aus der Konfiguration, Case-Based Reasoning (CBR), Data Science (XGBoost mit Feature Interaction Constraints, Market Basket Analysis, etc.), Machine Learning (Deep Learning: PyTorch), probabilistischen Netzwerken (Bayes etc.), Knowlege Discovery in databases (KDD), Bill of materials (BOM, Stücklisten) Analyse, symbolischen KI-Verfahren mit OpenCog, Decision Tables, Rule Engines/Rule Processing, Constraint Processing, Text-Analysen mit NLP (GloVe, word2vec), Stochastic programming (Pyro, Gen.jl). Weiteres generelles Consulting zur Verbesserung der Ergebnisse, kontrolliert über u.A. die Confusion Matrix.

ENBW: Kurzberatung zum Einsatz von Automation Anywhere als RPA-Tool sowie Upgrade-Möglichkeiten, weiterhin zu Meta-Bots, dem Aufruf von WebServices und Datenbank-Zugriffe, Integration mit dem Credential- Vault, Verbesserung der Ladezeiten.

Investmentbank BVCP: Erstellung einer Studie zum Vergleich der Stärken und Schwächen der führenden In-Memory Computing (IMC) Anbieter incl. mathematischem Scoring nach Stärken und Schwächen entsprechend der möglichen Erfolgswahrscheinlichkeiten: Aerospike, Alluxio, Geode, RocksDB, SAP Hana, Apache Ignite, Apache Geode, GridGain, Hazelcast, Oracle Coherence, Red Hat JBoss Data Grid, GigaSpaces, MemSQL, Redis, Horovod, Apache Pulsar,memcached, Pivotal GemFire, IBM WebSphere eXtreme Scale, VoltDB, Spark/DataStax.

Bibliotheken / Tools AWS, SageMaker, Glue, IBM DB2, IBM DataStage, IBM Cloud Pak for Data, IBM/Red Hat OpenShift, Docker, UIPath, Progress OpenEdge, Automation Anywhere, blueprism, Jacada, Kofax, Pega , Robotframework.org, RPAframework (by Robocorp), OpenRPA, JavaScript, TypeScript, Selenium, KNIME, Docker, Kubernetes, Docker Swarm (managers and workers), MTR, Go/Golang, Java, Scala, Kotlin, Python, Airflow, Kubeflow, TileDB, Couch DB, Uber AresDB, M3DB, YugabyteDB, Apache Hudi, Hazelcast, Soundcloud Roshi, Microsoft Power BI, MS Azure Cosmos DB, Redis Enterprise, Apache Atlas (GDPR, Psydonymization), CeleryExecutor, RADOS + Ceph, TensorFlow-Stack mit Keras, AutoKeras oder PyTorch + Auto-PyTorch + AddOns, Uber Horovod, MLFlow, Kedro, Apache Spark Stack mit Spark Streaming, Spark SQL, MLlib, GraphX, Alluxio, TransmogrifAI, Siddhi CEP, Esper + Norikra CEP, TensorFlowOnSpark, PySpark mit Optimus, Apache Flink, Jupyter, Zeppelin, PyTorch, MXNet, Chainer, Keras, Horovod, XGBoost, CatBoost, RabbitMQ, ONNX, Hydrosphere Serving (model management), Zephyr (Continuous Testing Agility), Red Hat OpenShift, Elastic/ElasticSearch, SAP Integration Suite, SAP NetWeaver Process Integration(SAP PI), SAP Analytics Cloud (SAP SAC), SnapLogic, MS Azure Hybrid Cloud, Kafka, Kafka-REST Proxy, KafkaCat, Confluent, Chukwa, Ansible, OpenTSDB, Apache Ignite DB mit TensorFlow/ML-Integration, MLFlow, Kedro, CollectD, CXP (Huntswood, ex: CX-People voice recognition and interaction), Python 3.x, Flask (Python Microframework: REST, UI), Coconut Functional Programming für Python, Robot Framework (Python acceptance test-driven development (ATDD)), CNTLM, Red Hat Identity Manager / FreeIPA, keycloak, Samba, Nginx, Grafana, Jenkins, Nagios, Databricks (Spark, Kafka, Connectors to R, TensorFlow, etc.), OpenCV, Snowflake, RTLinux, RHEL, Ubuntu, Scrum + Design Thinking + Value Stream Mapping.
Protokolle: AES, RSA, SHA, Kerberos, SSL/TLS, Diffie-Hellman
DBs: HBase + Phoenix, Hive, PostgreSQL, Druid, Aerospike, Hive, Lucene/Solr/Elasticsearch, SploutSQL
NLP-Stack mit Deep NLP (Natural Language Processing: Google BERT/Sling, ALBERT, spaCy, GPT-2, ALBERTA, ROBERTA, Rasa chatbot, IBM Watson Assistant, Node-Red, Transfer Learning, OpenNMT, OpenAI Transformer, AllenNLP, Stanford CoreNLP), OpenEphyra, DELPH-IN PET Parser, Enju, Grammix, OpenAI GPT-2, Huggingface Transformers.
Bayes- bzw. Stochastik-Libraries / Probabilistic programming (PP) / Programmable Inference: Stan (mc-stan.org), PyMC3/PyMC4, Soss.jl, Julia + MIT Gen, Pyro, Edward on TensorFlow, Microsoft Infer.Net
Probabilistic Logic Networks (PLNs, Pyro-Programmiersprache), Differentiable Programming, Cloned Hidden Markov Models (CHMM).

Eingesetzte Qualifikationen

Sun Java System Directory Server

IT-Architekt, Technologie-Scout und Strategie-Berater
Porsche (32 500 Mitarbeiter), Tochter von VW, San Francisco
2/2020 – 5/2020 (4 Monate)
Automobilindustrie
Tätigkeitszeitraum

2/2020 – 5/2020

Tätigkeitsbeschreibung

Architektur, Strategie- und Markteinführungs-Beratung im Bereich Autonomous-Vehicle-AI-Gesamt-Architektur und speziell Data Ingestion für Forschungsfahrzeuge sowie Integrations-Möglichkeiten für aktuelle Ideen/Prototypen von Startups.
1. Erstellung einer speziellen Gesamt-Architektur über die Komponenten und wesentlichen Prozes-se in Autonomous-Vehicles (AV), Edge-Processing-Systemen (zur Weiterleitung & Vorverarbei-tung der Daten von den Forschungsfahrzeugen für die Verarbeitung im Data Center oder der Cloud. Diese spezielle Gesamt-Architektur diente zur Diskussion mit externen Partnern / Startups über mögliche Kooperationen / Integrationen und Hilfe bei Governance-/Kontroll-Aufgaben, d.h. legt den Schwerpunkt auf hierfür relevante Komponenten und Aspekte während andere gehei-me firmen-interne Details nicht gezeigt werden.
2. Erweiterung der Architektur eines parallelen Data Ingestion Systems von Forschungsfahrzeugen (für autonomes Fahren) ins Datacenter bzw. die AWS-Cloud mit Renovo: Zero-Trust-Architektur mit IAM/IdM und SSO über OAuth und OpenID Connect; Kubernetes & Docker-basiertes cloud-neutrales Hosting.
3. Erweiterung eines Kubernetes-Docker-basiertes Kosten-Minimierungs-Konzept über AWS-Spot-Instanzen und GPU-Sharing mit Knative, Knative real-time Eventing und kfserving InferenceSer-vices; Start der EKS-Cluster über AWS Lambda. Optionen mit AWS SageMaker für AI-/ML-Tasks sowie AWS Outpost eruiert.
4. Erstellung eines Data-Lake- und Data Vault-Konzepts mit Apache Hudi, Delta Lake, Netflix Iceberg, Parquet/ORC/Avro/Protobuf/ROSbag/ADTF Formate, Ceph + BeeGFS + Lustre Filesystem, MinIO, SkyHook (Query Pushdown), PostgreSQL, InfluxDB, TimeScaleDB, Cassandra, Aerospike. Betrach-tete Aspekte: Behandlung von heißen/warmen/kalten Daten, Behandlung von Zeitreihendaten (Zahlen/Zeichenketten), Behandlung von Sensordaten (Blob), Ereignis-/Beschriftungsdaten, die mit Kerndaten verknüpft werden können, Möglichkeit, Metadaten mit Kerndaten zu verknüpfen, welche verschiedenen Arten der Verarbeitung darauf angewandt/durchgeführt werden können, verfügbare/unterstützte Datenformate. Conflict-free Replicated Datatypes (CRDT), Operational Transformation (OT).
5. Erweiterung eines Data- und ML-Workflow-Konzepts und dazu Toolrecherche und Vergleich: Air-flow, Knative, Flyte, Prefect.io, Netflix Conductor, LinkedIn Azkaban, AWS Step Functions, Kedro, MLflow, Kubeflow, eventd.org.
6. Erweiterung eines IaM/IdM-Konzepts für alle Systeme mit Multi-Tenancy und Datenflüssen mit-erstellt/komplettiert mit lückenloser Authentifizierung (AuthN) und Autorisierung (AuthZ), insbe-sondere auch für die neue K8s/Kubernetes-Docker-Architektur mit Workflow-Management.
7. API/Microservice/Serverless-Architektur erstellt für neue Funktionalitäten, z.B. für Data Ingesti-on, Governance, neue Services, etc. Prototypische testweise Implementierung mit WSO2 Enter-prise Integrator als zentralem Integrationspunkt zwischen klassischem Java-basiertem ESB mit XML und modernen API-basierten Microservices mit JSON/Avro/Protobuf sowie effizienter Low-Code Implementierung mit WSO2 Integration Studio nach Open Banking API.

Eingesetzte Qualifikationen

Docker

IT-Architekt und fachlicher Projekt- & Team-Leiter von 10 Personen
Deutsche Bahn AG (331 600 Mitarbeiter), Frankfurt/Main, Homeoffice
4/2019 – 2/2020 (11 Monate)
Logistikdienstleister
Tätigkeitszeitraum

4/2019 – 2/2020

Tätigkeitsbeschreibung

1. Cisco Splunk: Installation, Konfiguration, Analyse und Anbindung an Input-Quellen, Erstellung von Splunk-Analyse- und Visualisierungs-Use Cases mit SPL (Search Processing Language).
2. Zukunftsvision der SOC-Architektur erstellt auf Basis von Apache Metron + Kafka + Spark + Elas-tic/ELK Stack (ElasticSearch, LogStash, Kibana) und Konzeption ihrer Komponentenarchitektur - möglichst mit Open-Source-Tools, um Kosten zu sparen. Dazu viele konkrete Vorschläge zur Ver-besserung des SOCs (Security Operations Center), Erstellen einer neuen SOC-Architektur mit KI-Elementen: Big Data/Data Science Ansatz zur Angriffs-/Malware-/APT-Erkennung mit Machine Learning und Fokus auf False-Positives-Reduzierung. Visualisierungskonzept zu Angriffs-Verdachtsfällen mit den jeweiligen Security-Kontexten per Design Thinking.
3. Erstellung einer Zero-Trust-Sicherheits-Blueprint-Netzwerk- und Applikations-Architektur für die Neupro- und SOC-Testumgebungen mit Bestandteilen wie Software-defined perimeters (SDPs), Software-Defined Firewalls (SDFs), Micro-Perimeters (Virtualization + Checks), Data Acquisition Network (DAN), Remote Browser Isolation (RBI).
4. Aufsetzen + Starten des agilen Open Source SOC Projekts: Strategische Planung, Coaching: Zu-nächst SAFe + Design Thinking zur Beantragung der Projektfinanzierung, dann vereinfachte Durchführung als Scrum-Prozess; Coaching zur Verbesserung der Produktivität und Zusammenar-beit.
5. Recherche, Test und Analyse der führenden Open Source SIEM/SOC Systeme: Apache Metron / HCP (Hortonworks Cybersecurity Platform), Apache Spot, dataShark, Alienvault OSSIM, Graylog, SIEMonster, Hunting ELK (HELK), RockNSM, Wazuh, MozDef, OSSEC, Prelude OSS, Snort, Quad-rantSec Sagan, Suricata, OpenStack Vitrage.
6. Requirements Engineering, Use Case 2.0 Engineering der SIEM-/SOC-Features allgemein und im Bahnkontext mit Walking-Skeleton-Ansatz. Analyse der Kosten-/Nutzen-Aspekte der Use Cases und deren Abhängigkeiten als Input für agiles Kunden-Wert-basiertes Produktmanage-ment/Product Owner Tätigkeiten.
7. Detail-Vergleich von Elastic mit Solr, der führenden JavaScript-Frameworks: React, Angular und Vue.js, die jeweiligen Native-Frameworks (Ionic etc.) sowie Electron Platform sowie der führen-den Clouds: Amazon AWS, Google GCP und Microsoft Azure sowie Docker/Kubernetes, Webso-ckets vs REST, GraphQL vs Odata vs ORDS, Vergleich geeigneter DBs, z.B. für Range-Scans, AWS RedShift vs Athena.
8. Erstellung einer SOC-Gesamtarchitektur mit Umfängen für Minimal-, Basic-, Advanced- und Pre-mium-Konfiguration mit bis zu 100 Komponenten. Auf dieser Basis Analyse und Präsentation der Chancen/Kosten/Risiken zur Erfüllung von Requirements und Use Cases gegenüber Management und Engineering-Gruppen.
9. Erstellung der SOC Open Source SOC PoC (Proof of Concept) Architektur basierend auf Zero-Trust-Security und auf 3 Säulen: Log-Verarbeitung mit Solr/Elastic, Open Source SOC Elementen (RegEx, Match Expressions mit Spark, Kafka, Solr etc.) sowie einer KI-Säule bestehend aus Data Science und Regel-basierter KI mit Spark sowie Deep Learning mit TensorFlow und PyTorch.
10. Erstellung und Abstimmung des Open Source SOC PoC Projektplans und der Architektur mit dem Top-Management der Bahn (CISO, Technik-Vorstands-Bereich), Erstellung von ca. 10 Job-Profilen und Staffing/Job-Interviews auf dieser Basis.
11. Beschaffung von Deep Learning GPU PC- und Server-Hardware und von Cloud-Zugängen (AWS+Azure).
12. AWS-Cloud-Architektur und Sizing mit SageMaker, Glue.
13. Konzeption und Entwicklung zur Einführung von Docker/Kubernetes für TensorFlow- und Py-Torch-Machine-Learning: Vergleich mit der Alternative containerd mit GRPC, Docker Registries mit YAML für Kubernetes, Flannel (layer 3 network config). Kubernetes Tools: kubelet (primary node agent), kube-proxy, Container Runtime, (High Availability) HA endpoints, kubernetes-ha, Ku-be-apiserver, kubeadm, cluster autoscaler, scheduler, Helm (Kubernetes Package Manager, Microservices), Tiller (Helm server part), Ingress (load balancing, SSL termination, virtual hosting), kube-keepalived-vip (Kubernetes Virtual IP addresses using keepalived), Kubespray (Deploy a Production Ready Kubernetes Cluster). Analyse von Kubernetes & Airflow Failure Stories auf Risi-ken und Ableitung von Best Practices/Empfehlungen.
14. Evaluierung von Memory-Centric-Tools: Apache Pulsar (schnellere Alternative zu Kafka), memcached, Ignite, GridGain, Alluxio, Redis, Hazelcast, Ehcache, Red Hat JBoss Data Grid, Pivotal GemFire, ActiveMQ, RabbitMQ mit AMQP, MQTT.
15. Auf maximale Performance und Durchsatz optimierte Apache Spark basierende Scheduling-Konzepte mit Memory-Centric Computing, Data-Locality-Optimierung und Minimierung datenin-tensiver Operationen: Custom Spark Scheduler/Spark Task/DAG/SubDAG Combiner für Dynamic Workflows (In-Memory-Optimierungen), Deep Learning Pipelines, Horovod, TensorFlowOnSpark, TensorBoards, TensorFrames, Data Lineage Optimierungen.
16. Erstellung eines umfassenden Testmanagementkonzeptes zur Verbesserung der Stabilität von entwickeltem Code mit den Schwerpunkten Datenaufnahme, KI, DevOps, CI/CD-Pipeline (Conti-nuous Integration/Deployment mit Jenkins und Sonar(Qube)), Metadaten und IT-Sicherheit zur Kanalisierung und Verbesserung von Code durch Developer-Test-, Integrationstest-, Pre-Prod- zu Prod-Umgebungen).
17. Analyse von möglichen Deep Learning Nachfolgetechnologien wie Hierarchical Temporal Memory (HTM), Graph/Memory/Transformer ConvNets (Convolutional Networks) incl. deren frei verfügba-ren Implementierungen sowie PLNs (Probabilistic Logic Network): [Naive] Bayesian Belief Net-works (BNNs), Markov Logic Networks (MLNs), Conditional Random Fields (CRFs), Direct Graphical Models (DGMs), Statistical Relational Learning (SRL), Stochastic And-Or Grammars (AOGs/SAOGs), Probabilistic Relational Models (PRMs), Markov Logic Networks (MLNs), Relational Dependency Networks (RDNs), Bayesian Logic Programs (BLPs), Probabilistic Graphical Models (PGMs), Markov Random Fields (MRFs), Contextual Graph Markov Models (CGMMs), Hidden Markov Models (HMMs), Human brain neurons (HBNs).
18. Konzeption + Entwicklung eines neuen Explainable AI (XAI) Verfahrens, das Deep Learning ablö-sen kann durch Verbindung und Weiterentwicklung mehrerer anderer Modelle und Techniken, darunter ICE, PDP, SHAP, LIME, LOCO, LRP, GAM, Counterfactual, Causality, Rationalization, An-chors, Learn to Explain.
19. Förderantrag ausgearbeitet zur Beantragung der Förderprogramme KI-für IT-Sicherheit und Er-klärbare KI (Explainable AI, XAI) der Bundesregierung: Innovative Ideen entwickelt, neueste KI-, Data Science und Big Data Verfahren und Weiterentwicklungen vorgeschlagen zur Erkennung von ungewöhnlichem Verhalten/Angriffen/Malware sowie neueste NLP-Verfahren zur automatisier-ten Analyse von textuellen Angriffs- und Malware-Beschreibungen im Internet oder in E-Mails/Wikis sowie der Umsetzung der Cyber Grand Challenge Elemente über Deep Learning, RNNs, CNNs. Hierzu Entwicklung der Geschäftsstrategie und des Geschäftsplans zur separaten Vermarktung der damit geplanten Innovationen.
20. Erstellen von Sicherheitskonzepten für Windows- und Linux PCs und Sever u.A. bzgl. zahlreicher Sicherheitseinstellungen, IAM mit Red Hat Identity Manager / FreeIPA (Identity, Policy, Audit), keycloak, mehr Logging, etc. sowie durch Installation von bis zu 50 Analyse- und Überwachungs-Tools zur Generierung eigener Logging- und Incident-Daten mit Tools wie Sigar, Config. Discovery, File Integrity Checker (Afick), CGC Tools: BinaryAnalysisPlatform bap, angr, s2e, KLEE, Strace, ZZUF, BitBlaze.
21. Konzeption von klassischen Data Science Analysen bzgl. verdächtiger Aktivitäten mit GBM(Gradient Boosting Machine), XGBoost, CatBoost, LightGBM, stacked ensembles, blending, MART (Multiple Additive Regression Trees), Generalized Linear Models (GLM), Distributed Rand-om Forest (DRF), eXtremely Randomized Tree (XRT), Uplift Modelling, Labeling/Labelling, Bootstrap aggregating (bagging), Receiver Operating Characteristic (ROC)/AUC.
22. Analyse der besten Deep Learning Netzwerk-Architekturen in den jeweiligen Teilfeldern: Res-Net, ResNext, DenseNet, MSDNet (Multi-Scale DenseNet), RepMet, EfficientNet sowie der folgen-den NLP-Implementierungen (z.B. zur Extraktion strukturierter Beschreibungen aus textuellen IoC – Indicators of Compromise): BERT, FastBert, SenseBERT, RoBERTa, ALBERT, GPT, GPT-2.
23. Konzeption/Entwicklung von neuronalen Deep Learning Netzwerk-Architekturen für TensorFlow, Keras, PyTorch mit diesen Elementen: (De-)Convolution, [Dimensional][Min/Max/Average] (Un-)Pooling, Activation Functions, ReLUs (Rectified Linear Units), ELU (Exponential Linear Unit), SELU (Scaled Exponential Linear Unit), GELU (Gaussian Error Linear Unit), SNN (Self Normalizing Net-work), LSTM (Long Short-Term Memory), GRU (Gated Recurrent Units), Differentiable Associative Memory (Soft RAM/Hash Table), Episodic Memory, Memory Networks, Self-Attention, Multi-Head-Attention, (Masked Multi) Self Attention, NAC (Neural Accumulator), NALU (Neural Arithmetic Lo-gic Unit), Squeeze-and-Excitation (SE) / SENet, SPN (Sum-Product Network), VAE (Variational Auto-Encoders), FCLs (Fully Connected Layers), PLNs (Probabilistic Logic Networks), GANs (Generative Adversarial Networks), Capsule Networks, gcForest, Differentiable Programming, Neural Architec-ture Search (NAS), Differentiable Neural Networks, [Transposed](De-)Convolutions, ETL (Extract, Transform, Load) with Input/Output Embedding, (Layer) Normalizing, Softmax, Automatic Machine Learning, Episodic Memory, Differentiable Associative Memory, Large Memory Layers with Pro-duct Keys, Deep (Double) Q-Learning, Msc (Adding, Concatenation, Segmentation, Linearization, (Convol.) Filters), Reinforcement Learning, Q-learning, Convolutional Models/Learning, Google Dopamine.
24. Konzeption der Deep Learning Architekturen u.A. über erzeugte Grafiken/Computer Vision für folgende Use Cases / Use Case Slices: Ausbreitung von Malware durch Security-Zonen (Ausbrei-tungs-Grafik), Erkennung des (Check-, Verbreitungs-, Ausleitungs-)Verhaltens von Malware, häufi-ger Angriffe, insbesondere OS-API-Angriffe, Code Injection, etc., von gestohlenen CPU-Zyklen durch Malware, z.B. durch Hooks in Event-Queues zur Erkennung von deren Abarbeitung, von ROP (Return Oriented Programming) mit ROPNN-Variante auf Standard-Libraries durch Vergleich der üblichen mit den zu beurteilenden Einsprungpunkten; Modelle erstellt für Meta-Level: Netz-werk-Metadaten-Analyse; Detail-Level: Nutzdaten-Analyse auf Exploit-Code/-Daten etc., aktuelle Bedrohungen, bekannt gewordene IoCs, Afick-/tripwire-Daten neuronal analysieren (oft als Gra-fik), Erkennung von Verschlüsselung und von Schlüssel-Austauschen, SNMP Anomalie-Detektion, Rogue Device Detection, Erkennung bösartiger URLs/IP-Adressen, Erkennung von DNS-Exfiltration, Erkennung von Aktivität sonst inaktiver Konten, E-Mails an fragwürdige Empfän-ger/Exfiltration, verdächtige Netzwerk-Aktivitäten/ungewöhnliche Protokolle/Ports, Echtzeit-Scannen von Downloads und Kombination von dynamischer Dekompression (Laufzeit-Packer), Vi-ren- und Anomalie-Erkennung (statisch und dynmisch in Cuckoo Sandbox).
25. Nutzung von Computer Vision Muster-Erkennungsverfahren speziell zur Erkennung von Unre-gelmäßigkeiten bzw. Malware-/Hacking-Indikatoren: Prozess- und API Aufrufketten, ungewöhnli-che API-Nutzung, Indikatoren für Hacker-Bewegungen im Netzwerk, Indikatoren für Malware-Aktivität auf Datei- oder Prozess-Ebene, Nutzung von Laufzeit-Packern, etc.
26. Detail-Konzeption der folgenden Elastic-/Solr-Aspekte (Parallelnutzer beider Systeme wegen a) Integration von Elastic in Metron und seinen vielen Adaptern/Konnektoren/Beats und b) besserer Skalierbarkeit von Solr z.B. wegen kontrollierbarem dynamischem Shard-Rebalancing): Elasticse-arch mit Significant Terms Aggregation und Solr mit Semantic Knowledge Graphs, Filtering, Sco-ring, Synonyms, Stemming; SolrCloud/HDP Search, Integration mit Apache Ranger + Sentry + Atlas, Performance-optimierter SolrJ Client mit parallelen Queries, Distributed Indexing, Index Sharding, Shard Splitting und Rebalancing (auch zur Laufzeit), Cross Data Center Replication (CDCR), Solr Security (Kerberos, AD-Anbindung, SASL, SSL), Versionierung mit Avro & LDP (Linked Data Plat-form) & Apache Marmotta/RFC 7089, Stretched Cluster vs synched Multi-Cluster, Sizing, Definiti-on der Solr Index Identifier (UID), High Availability (HA) und Disaster Recovery (DR) Mechanismen, Solr HA, Load-Balancing-Konzept (HW-basiert über F5, Ping gegen SolrCloud Node, solr health-check, Zookeeper, Content-Query gegen Test-Collection, SolrJ Client), Q Replikation, Konzeption von Overlay-Netzen (SDN, Software-Defined Networking).
27. Konzeption der parallel genutzen Amazon AWS Cloud-Architektur sowie parallel der Azure Archi-tektur mit Migrationskonzept in die Cloud (möglichst cloud-unabhängig durch Nutzung von Do-cker/Kubernetes) unter Nutzung vond Microservices/Serverless (AWS Lambda), Risiko-Vermeidungsstrategie, Virtualisierung, effizientem JavaScript-UI mit React, Cloud-Sicherheitskonzept, Microservice-Architektur, Microservice-Versionierungsstrategien, optimier-tem Datenaustausch, Nutzung des AWS Storage Gateways, AWS Redshift, Relational Database Ser-vice (RDS), Simple Queue Service (SQS), Simple Notification Service (SNS), S3, Glue, Kinesis, Athe-na, DDD (Domain-Driven Design) and Bounded Contexts, Product Line Architecture, Single-Sign-On-Konzept (SSO), Spring Boot und Reactor Microservices, etc.
28. Recherche und Analyse verfügbarer Sicherheits-Incident- und Hacking-Daten als Input für klassi-sches Machine Learning (Spark MLlib etc.) sowie für Deep Learning (TensorFlow, PyTorch). Es gibt ca. 100 verschiedene Quellen, aber mit Labeling in unterschiedlicher Qualität, unterschiedlichem Konvertier- und Anpassungsaufwand, etc.
29. Generierung eigener IT-Sicherheits-Trainingsdaten für Machine Learning (ML) über voll-instrumentierte Linux- und Windows-basierte Umgebungen (PC, vmWare), in denen dann ca. 50 PenTesting Tools wie MetaSploit, AutoSploit etc. ausgeführt wurden. Anleitung zur Normalisierung und zum Labeling der so erstellten sowie der externen Daten. Erstellung/Extraktion von regulären Ausdrücken sowie Generierung von ähnlichen Angriffen/Payloads auf dieser Basis.
30. Konzeption+Entwicklung einer Kontroll- und Steuerungs-Library in Scala für Erkennung und KI, die alle Kernelemente des SOCs monitored und steuert.
31. Konzeption+Entwicklung einer UI- und Query-Library in Scala, die intelligente Analysen im Kiba-na-Dashboard mit React visualisiert sowie nach unten über Apache Drill mit Drillbits Query-Mapping in SQL, HQL, Solr und ähnliche Dialekte durchführt. Hierbei haben wir weitgehend Splunk’s SPL (Search Processing Language) als unsere OPL (Open Processing Lanaguage) nachge-bildet. Dabei handelt es sich im Wesentlichen um SQL erweitert um Infos zur Darstellung im UI.
32. Entwicklung/Nutzung einer Kombination von datensparsamen Lernverfahren als Antwort auf mangelnde Trainingsdaten. So lassen sich anfänglich aufgrund Datenmangel noch nicht per Deep Learning lernbare Gewichte/Zusammenhänge manuell / halbautomatisch oder datensparsam ler-nen:
a. Entwicklung probabilistischer Regeln durch Code-Generierung zur Anbindung von MS Excel bzw. PyTorch/PyProb mittel StringTemplate/VBA an Factorie, ProbLog und Probabi-listic Soft Logic (PSL). Diese werden dann später – nach Produktivsetzung – ersetzt durch aus Massendaten gelernte Regelsysteme/Autoencoder.
b. Probabilistische Programmierung, Bayes- bzw. Stochastik-Libraries, (PP) / Programmab-le Inference: Stan (mc-stan.org), PyMC3/PyMC4, Soss.jl, Julia + MIT Gen.jl oder Pyro, Edward oder Microsoft Infer.Net, Microsoft Power BI.
c. (SSL) Semi-Supervised Learning/Self-Supervised Learning
d. Intelligentes Tokenizing, intelligente selektive Feature-Extraktion (hieraus Log- oder Security-Warning-Daten)
e. Case-Based Reasoning (CBR)/Memory-Based Reasoning (MBR): CRATER, ProCAKE, COLIBRI, etc.
f. Constraint-based Reasoning, Theory of Constraints (TOC) Frameworks, Hierarchical Cons-traint Logic Programming (HCLP): Open Policy Agent (OPA) Constraint Framework (OPA CF), Java Constraint Library(JCL), IASolver, BackTalk, POOC, YACS, Integrity
g. Classical/Probabilistic Rule Engines / Probabilistic Finite Automata / probabilistische endliche Automaten: Virus Scanning Engines wie ClamAV
h. (Heuristic non-linear) Optimization oder Operations Research Software wie ALGLIB, Ca-sADi, Ceres Solver, Dlib, GEKKO, MIDACO, OpenMDAO, SciPy, GNU Octave, Scilab
i. Non-linear Planning and Control Libraries: Control Toolbox, AIKIDO, ROS Navigati-on2+ROS Behavior-Tree, Open Motion Planning Library (OMPL)
j. SinGAN (Single Input GAN)
k. Reinforcement Learning, Convolutional Models/Learning, Google Dopamine, Policy Op-timization (Policy Gradient, A2C/A3C, PPO, TRPO, DDPG, TD3, SAC), Q-Learning (DDPG, TD3, SAC, DQN, C51, QR-DQN, HER), Deep (Double) Q-Learning, Learn the Model (World Models, I2A, MBMF, MBVE), AlphaZero
l. klassische KI-Verfahren wie CBR, Constraints, Rules, RDF, OWL,
m. Gesamte Liste der klassischen datensparsamen Lernverfahren: Causality, lo-gic/deduction systems, deductive databases, semantic networks, heuristics, collective in-telligence, automata/state machines, blackboard systems, nonstandard logics/temporal logic, (knowledge) representation, automatic programming, genetic programming, quali-tative reasoning, agents, fuzzy logic, model-based reasoning, ontology, quantum compu-ting, analogy, pattern recognition/comparison, decision theory, cognitive science, con-trol system theory, dynamical systems, self-organizing systems, hybrid AI, modularity, op-timization, goal-oriented systems, feature extraction/detection, utili-ty/values/fitness/progress, formal grammars and languages, classifiers/concept formati-on, problem solving, argumentation/informal logic, common sense reasoning, cohe-rence/consistency, relevance/sensitivity analysis, semiotics, game theory, automation, behaviorism, knowledge engineering, semantic web, sorting/typology/taxonomy, coope-ration theory, systems theory.
33. NLP-Analyse und-Generation (Natural Language Processing) von Log- und Web-Inhalten und Kommandos zur Suche oder zur weiteren Verarbeitung auf diesen:
n. Extraktion von Fließtext-IoC-Inhalten (Indicator of Compromise) ins STIX-Format zur teil-automatischen Weiterverarbeitung, etwa automatisierte Suche nach Dateihashes, Analy-se & Sperren von offenen Ports und ein-/ausgehenden Verbindungen.
o. Semantische Kategorisierung (Problem-Kategorie, Schwere des Fehlers und möglicher Auswirkungen/Risiken, Dringlichkeit) und textuelle NLP-Analyse von Log-Inhalten mit genSim, spaCy und in Teilen auch mit Deep NLP (Natural Language Processing: BERT, AL-BERTA, ROBERTA, Rasa chatbot, IBM Watson Assistant, Node-Red, Transfer Learning, O-penNMT, OpenAI Transformer, AllenNLP, Stanford CoreNLP, GPT, Graph-ConvNets mit Octavian, Google Sling, TensorFlow graph_nets & gcn (Graph Convolutional Networks)), PyTorch Geometric.
p. Für NLP-Analyse und-Generation: OpenAI GPT/GPT-2 (Generative Pre-trained Transfor-mer), Facebook XLM (Cross-lingual Language Model Pretraining), Google BERT (Bidirecti-onal Encoder Representations from Transformers)), ALBERT.
q. NLP zur Bewertung des Schweregrads und der Auswirkungen verschiedener textlicher Log-Einträge: Hinweise, Statusmeldungen, Warnungen, Fehler usw. zu allem, was auf mögliche Sicherheitsangriffe oder -probleme hindeutet.
34. Data Science-Beratung sowie Management-und Konvertierungskonzepte für Machine-Learning-Modelle mit ONNX (Open Neural Network Exchange : High-performance optimizer and inference engine for machine learning models and converter between TensorFlow, CNTK, Caffe2, Theano, PyTorch, Chainer formats).Für NLP-Analyse und-Generation: OpenAI GPT/GPT-2 (Generative Pre-trained Transformer), Facebook XLM (Cross-lingual Language Model Pretraining), Google BERT (Bidirectional Encoder Representations from Transformers)), ALBERT.
35. Recherche/Analyse/Erweiterung aktueller Ideen/Tools zu technischen Knackpunkten in den (Teil-)Projekten oder direkter Vorschlag der Lösungen:
r. Analyse von Semantik-Tools, Symbolic AI und Explainable AI für das KI-Security-Förderprogramm sowie für neue Arbeitspakete: KL-ONE: Protégé, LOOM, Knowledge Engineering Environment (KEE), Pellet, RacerPro, FaCT++ & HermiT, Non-Linear Planner, CBR (Case-Based Reasoning), RDF (Resource Description Framework)/ SPARQL (SPARQL Protocol and RDF Query Language), OpenCog (AtomSpace, Atomese, MOSES/MetaCog, Link-Grammar), Induktions-/Deduktions-Technologie wie OWL/OWL-DL (Ontology Web Language Description Logics), führende Implementierung: Apache Jena OWL, HPSG (Head-driven Phrase Structure Grammar) Parsing: DELPH-IN PET Parser, Enju, Grammix, Stanford CoreNLP, OpenEphyra, Frame-Logik, Explainable AI mit LOCO (Leave-One-Covariate-Out).
s. NLP (Natural Language Processing) / Computerlinguistik Forschung & Auswertung: Ana-lysieren/Parsen von Screenshots mit OCR/ICR-Techniken (Computer Vision Ansätze mit Deep Leearning, Verarbeitung mit probabilistischen Regeln) zusammen mit dem textuel-len Parsen von Bildunterschriften/Beschreibungen aus dem Internet zum Trainieren von Machine Learning (ML) modellen; Stanford CoreNLP-Ansatz integriert; Klassifizieren von Trouble Tickets / Texten in Kategorien/Aktualitäten; Wartung / Gelernte Lektionen: Ana-lyse textueller Berichte von Technikern über IT-/Fahrprobleme und autonome Fahrten-schwierigkeiten (falsche Klassifizierungen/Reaktionen) für Erkenntnisse/Feedbacks auf NLP-Ebene.
Tools/Algorithmen: OpenAI GPT/GPT-2 (Generative Pre-trained Transformer), Facebook XLM (Cross-lingual Language Model Pretraining), Facebook PyText (NLP Modeling Framework, auf PyTorch), Google BERT (Bidirectional Encoder Representations from Transformers), Kombinierte Multi-Task-Modell-NLP, Vortraining kompletter (Sprach-/Tiefenlernen) Modelle mit hierarchischen Darstellungen, Aufmerksamkeitsmodelle, DLNLP (Deep Learning NLP: Embed, Encode, Attend, Predict), Hierarchical Multi-Task Learning Model (HMTL), semi-supervised Lernalgorithmen zur Erstellung von Proxy-Labels auf unmarkierten Daten, BiLSTM, SalesForce MetaMind-Ansatz, DeepMind, Deep Transfer Learning for NLP, vortrainierte Sprachmodelle, Worteinbettungen / Wortta-schen, Sequenz-zu-Sequenz-Modelle, Gedächtnis-basierte Netzwerke, Gegensätzliches Lernen, Verstärkungslernen, semantische Rollenkennzeichnung, Repräsentationslernen, Textklassifizierung mit TensorFlow Estimatoren, word2vec, Vektor-Raum-Modell/Mapping von Features zu Einbettungen, Skip-Grammen, Seq2seq Encoder-Decoder, ULM-FiT, ELMo, OpenAI Transformer / GPT, Google BERT, BERT, ALBERT, Trans-fer Learning, OpenAI Transformer, spaCy + Cython zur Beschleunigung, genSim, O-penNMT (Neural Machine Translation), Deep NLP (Natural Language Processing: BERT, ALBERTA, ROBERTA, Rasa chatbot, IBM Watson Assistant, Node-Red, Transfer Learning, OpenNMT, OpenAI Transformer, AllenNLP, Stanford CoreNLP), Verstärkungslernen zum Erlernen korrekter Klassifizierungen/Labelzuweisungen/Fragen & Antworten, tief latente Variablenmodelle, Visual Commonsense Season Reasoning, Modell-agnostisches Meta-Learning (MAML), Multi-Hop-Denken, Aufmerksamkeitsmasken für (Self-Attention) GANs (SAGAN), TensorFlow Lingvo (NLP sequence models), OpenEphyra (Teil von IBM Watson).
t. KI/AI/Data Science/Big Data: Algorithmen und Tools: LSTM vs. GRU, Feast AI Feature Store, K8s Sidecar Injector, TensorFlow 2.0 (Vorteile von Update/Migration), Tensor Comprehensions, Neural Ordinary Differential Equations, Visual Common Sense Reason-ing, Deep Learning, RNNs, CNNs for Self-Driving Cars / Logically/temporally consistent vir-tual 3D city generation, Deep Labelling for Semantic Image Segmentation mit Ke-ras/TensorFlow, Design Patterns for Deep Learning, RNN, CNN Architectures, DeepMind (Kapitan, Scalable Agent, Learning to Learn, TF Reinforcement Learning agents), Uber’s QALM (QoS Load Management), Fusion.js (JS framework supporting React, Redux & pre-configured optimized boilerplate, hot module reloading, data-aware server-side ren-dering, bundle splitting, plugin-architecture, observability, I18n), Horovod (distributed training framework for TensorFlow, Keras, PyTorch), Ludwig (train and test deep learning models without coding), AresDB (Uber's GPU-powered real-time analytics engine), U-ber‘s Sparse Blocks Network (SBNet, TensorFlow algorithm), Google Dopamine rein-forcement learning framework based on TensorFlow, Kubernetes Operator für Apache Spark, FastAI Deep Learning, Polygon-RNN++, Flow Framework: Project to Product Agile Process, IntelAI OpenVINO (inference serving component for AI models), IntelAI Nauta (distributed computing environment for running DL model training), TensorFlow Exten-ded (TFX), Salesforce Einstein TransmogrifAI (machine learning automation with AutoML), OpenCV (Open Computer Vision Library), GluonCV, Angel-ML (handling higher dimension ML models), Acumos AI (design, integration and deployment of AI models; AI Model Marketplace), (Paddle EDL: Elastic Deep Learning framework: optimizes deep learning job and waiting time in the cluster: Kubernetes controller & fault-tolerable deep learning framework: PaddlePaddle & TensorFlow), Pyro (Deep Probabilistic Programming Langu-age), Jaeger (OS distributed tracing system, optimized for microservices).
u. Vorschläge zur Deep-Learning-Beschleunigung u.A. mit aktuellen Publikationen (z.B. Mo-dell-Kompression, Nutzung von HW-Eigenschaften) sowie der Integration von Domänen-Wissen/Semantik/Regeln/Entscheidungstabellen/Ontologien/Erklärbare-KI-Ergebnissen in Deep Learning; Entwicklung von optimierten Hybrid-Learning-Modellen (Deep [Rein-forcement] Learning mit klassischen Lernverfahren kombiniert).
v. Konzept für AIops (Artificial Intelligence Operations) / KI-basierte Betriebs-Optimierung im Kontext Metadatamanagement und Ingest:
i. Konzept für die Einführung eines CMS (Config Management System)/ISMS zur Minimierung menschlicher Fehler bei der Programmierung / Ausführung der Skripte: Alle relevanten fest programmierten Parameter wurden in eine separa-te CMS-Datenbank oder minimal in umgebungsspezifische Konfigurations-/Property-Dateien extrahiert. D.h. ein Parametersatz für die Entwicklungsumge-bung, einer für die Testumgebung,.... bis zur Produktionsumgebung (Python NetworkX, Snowflake, …).
ii. Konzept zur Skalierung und Beschleunigung von KI-Workloads, Verwaltung komplexer Workloads, Beschleunigung der Entwicklung und Bereitstellung sta-tistischer Modelle, Voroptimierung in Plattformen für KI-Workloads: Datenauf-nahme und -aufbereitung, Datenmodellierung und -schulung, Datenbereitstel-lung und -betrieb, Integration von maschinellem Lernen mit vorgefertigten Blu-eprints für Ansible/Airflow, automatisierte Speicherkapazitätsbereitstellung, vo-rausschauende Speicheroptimierung (in hyperkonvergierten Umgebungen), KI, die hyperkonvergierte Hardware zur Anwendungsbeschleunigung konfiguriert, Passwort und "PII-Discovery" (PII = Personally Identifiable Information), wann Lasten mit hohen CPU-/GPU-Anforderungen und -Nutzungsdauern zu starten sind (die z.B. zu Deadlocks/Timing-Problemen oder dazu führen können dass andere Jobs warten müssen), wann Deep Learning/KI-Jobs mit geringerer Priori-tät zu starten sind und wann Ressourcen auf hochpriore Jobs/Lasten verscho-ben werden müssen, wann Diagnostik-Sammelprozesse nach Warnun-gen/Fehlern/Ausfällen gestartet werden, …

Eingesetzte Qualifikationen

Docker, Kubernetes

Architekt und Technical Lead Meta Data Management (MDM) & Ingest
DXC für Daimler + BMW: Autonomous Driving Programm, Homeoffice
11/2018 – 3/2019 (5 Monate)
Automobilindustrie
Tätigkeitszeitraum

11/2018 – 3/2019

Tätigkeitsbeschreibung

Tätigkeit: 1. Security-Konzept für Docker/Kubernetes/K8s: kubectl, Docker Authentication on Kubernetes pods, AuthN/AuthZ Methods wie UMA 2.0 (Federated Authorization for User-Managed Access), OpenID Connect mit keycloak über Translations, Kubernetes RBAC & User Impersonation, Volume Type Whitelisting, SELinux/seccomp/AppArmor, System Call Filter, Kubernetes Helm Sicherheitslimits & Verbesserungen, DEX vs Keycloak, SSSD PAM module (POSIX) für MapR Filesystem/HDFS, MapR Container Location Database (CLDB), etc.
2. Konzeption der Microservices/APIs, u.A. für die Metadatenverwaltung, Machine Learning Parameter, ...
3. Optimierung der Real-time Data Ingestion Verfahren für hochauflösende Self-Driving Car Video- und Sensor-Daten (TB-PB Datenmengen) in einen MapR Hadoop Datalake mit MapR-DB und Ceph Storage (Reliable Autonomic Distributed Object Store (RADOS)), etcd (distributed key value store) mit LoadBalancer (LB), Real-Time Monitoring mit Prometheus und Elastic/ELK.
4. Konzeption der Einführung von Docker/Kubernetes für TensorFlow-MachineLearning: Vergleich mit der Alternative containerd mit GRPC, Docker Registries mit YAML für Kubernetes, Flannel (layer 3 network config). Kubernetes Tools: kubelet (primary node agent), kube-proxy, Container Runtime, (High Availability) HA endpoints, kubernetes-ha, Kube-apiserver, kubeadm, cluster autoscaler, scheduler, Helm (Kubernetes Package Manager, Microservices), Tiller (Helm server part), Ingress (load balancing, SSL termination, virtual hosting), kube-keepalived-vip (Kubernetes Virtual IP addresses using keepalived). Analyse von Kubernetes Failure Stories auf Risiken und Ableitung von Best Practices/Empfehlungen.
5. Scheduling-Konzepte mit Airflow, LocalExecutor, Celery (Distributed Task Queue), CeleryExecutor, RabbitMQ, Dynamic Workflows mit DAGs/SubDAGs mit PythonOperator/BashOperator, upstream/downstream/X-COM, Backfill, Catchup, Kubeflow, Seldon Core.
6. Parallelisierung/Optimierung/Skalieren/Wiederaufsetzen/Fortführen von Deep Learning und speziell TensorFlow-Pipelines und supervised Optimierungszyklen, u.A. mit Spark: Horovod (Training + HorovodEstimator für TensorFlow, Keras, and PyTorch), TensorFlowOnSpark, TensorBoards, TensorFrames.
7. Auf maximale Performance und Durchsatz optimierte Apache Spark basierende Scheduling-Konzepte mit Alluxio-Caching, Data-Locality-Optimierung und Minimierung datenintensiver Operationen: Custom Spark Scheduler/Spark Task/DAG/SubDAG Combiner für Dynamic Workflows (In-Memory-Optimierungen), Deep Learning Pipelines, Horovod, TensorFlowOnSpark, TensorBoards, TensorFrames, Data Lineage Optimierungen.
8. Review aller Security-Aspekte: Airflow, Kubernetes, Docker, Zeppelin, Spark, Java-Sicherheit mit Apache Shiro/Spring Security, sichere Speicherung von Anmeldeinformationen im Unix-Dateisystem, Github, Soft/Hard PSE (Personal Security Environment) mit z.B. SSO (Single Sign On with CA SiteMinder, PAI, OpenId Connect), CyberArk PW Vault API, SSO oder GPG + Ansible Vault, etc.
9. Hilfe/Review bei Angular-basierten Visualisierungen, insbesondere für Grafana (zunächst in Angular, dann in React weil Grafana von Angular auf React migriert wurde).
10. Recherche/Analyse/Erweiterung aktueller Ideen/Tools zu technischen Knackpunkten im Projekt und Vorschlag der Lösungen samt passenden Autonomous-Driving-Use-Cases an die relevanten Ansprechpartner in den Teilprojekten:
a. NLP (Natural Language Processing) / Computerlinguistik Forschung & Auswertung: Analysieren/Parsen natürlicher Szenenbilder zusammen mit dem textuellen Parsen von Bildunterschriften/Beschreibungen aus dem Internet zum Trainieren von Bildverarbeitungsmodellen (Stanford CoreNLP-Ansatz); Klassifizieren von Trouble Tickets / Texten in Kategorien/Aktualitäten; Wartung / Gelernte Lektionen: Analyse textueller Berichte von Technikern über IT-/Fahrprobleme und autonome Fahrtenschwierigkeiten (falsche Klassifizierungen/Reaktionen) für Erkenntnisse/Feedbacks auf NLP-Ebene; Generieren von a) Beschreibungen für Fahrer, welche Art von Trainings-Situationen im Straßenverkehr anzustreben sind, b) Um welche Art von Fehlerursachen es sich bei gegebenen Symptomen handeln könnte als Liste oder Text.
Tools/Algorithmen: OpenAI GPT-2 (Generative Pre-trained Transformer), Facebook XLM (Cross-lingual Language Model Pretraining), Facebook PyText (NLP Modeling Framework, auf PyTorch), Google BERT (Bidirectional Encoder Representations from Transformers), Kombinierte Multi-Task-Modell-NLP, Vortraining kompletter (Sprach-/Tiefenlernen) Modelle mit hierarchischen Darstellungen, Aufmerksamkeitsmodelle, DLNLP (Deep Learning NLP: Embed, Encode, Attend, Predict), Hierarchical Multi-Task Learning Model (HMTL), semi-supervised Lernalgorithmen zur Erstellung von Proxy-Labels auf unmarkierten Daten, BiLSTM, SalesForce MetaMind-Ansatz, DeepMind, Deep Transfer Learning for NLP, vortrainierte Sprachmodelle, Worteinbettungen / Worttaschen, Sequenz-zu-Sequenz-Modelle, Gedächtnis-basierte Netzwerke, Gegensätzliches Lernen, Verstärkungslernen, semantische Rollenkennzeichnung, Repräsentationslernen, Textklassifizierung mit TensorFlow Estimatoren, word2vec, Vektor-Raum-Modell/Mapping von Features zu Einbettungen, Skip-Grammen, Seq2seq Encoder-Decoder, ULM-FiT, ELMo, OpenAI Transformer / GPT, Google BERT, BERT, Transfer Learning, OpenAI Transformer, spaCy + Cython zur Beschleunigung, OpenNMT (Neural Machine Translation), AllenNLP (auf PyTorch), OpenNLP, Verstärkungslernen zum Erlernen korrekter Klassifizierungen/Labelzuweisungen/Fragen & Antworten, tief latente Variablenmodelle, Visual Commonsense Season Reasoning, Modell-agnostisches Meta-Learning (MAML), Multi-Hop-Denken, Aufmerksamkeitsmasken für (Self-Attention) GANs (SAGAN).
b. KI/AI/Data Science/Big Data: Algorithmen und Tools: LSTM vs. GRU, Feast AI Feature Store, K8s Sidecar Injector, TensorFlow 2.0 (Vorteile von Update/Migration), Tensor Comprehensions, Style GANs, Neural Ordinary Differential Equations, Visual Common Sense Reasoning, Deep Learning for Self-Driving Cars / Logically/temporally consistent virtual 3D city generation, Deep Labelling for Semantic Image Segmentation mit Keras/TensorFlow, Design Patterns for Deep Learning Architectures, DeepMind (Kapitan, Scalable Agent, Learning to Learn, TF Reinforcement Learning agents), Uber’s QALM (QoS Load Management), Fusion.js (JS framework supporting React, Redux & pre-configured optimized boilerplate, hot module reloading, data-aware server-side rendering, bundle splitting, plugin-architecture, observability, I18n), Horovod (distributed training framework for TensorFlow, Keras, PyTorch), Ludwig (train and test deep learning models without coding), AresDB (Uber's GPU-powered real-time analytics engine), Uber‘s Sparse Blocks Network (SBNet, TensorFlow algorithm), Google Dopamine reinforcement learning framework based on TensorFlow, Kubernetes Operator für Apache Spark, FastAI Deep Learning, Polygon-RNN++, Flow Framework: Project to Product Agile Process, IntelAI OpenVINO (inference serving component for AI models), IntelAI Nauta (distributed computing environment for running DL model training), TensorFlow Extended (TFX), Salesforce Einstein TransmogrifAI (machine learning automation with AutoML), OpenCV (Open Computer Vision Library), GluonCV.
c. Data Science-Beratung sowie Management-und Konvertierungskonzepte für Machine-Learning-Modelle mit ONNX (Open Neural Network Exchange : High-performance optimizer and inference engine for machine learning models and converter between TensorFlow, CNTK, Caffe2, Theano, PyTorch, Chainer formats).
DS-Ansatz (Data Science) TensorFlow für Bild-/Video-Analyse: Labeling und überwachtes Lernen zur korrekten Klassifizierung, verteiltes Hyper-Parameter-Tuning mit TensorFlow, Keras. ML Debugging/Erklärbare KI im Kontext von LIME, SHAP, partielle Abhängigkeitsdiagramme[Modellleckagen, Entscheidungserklärungen in if-Anweisungen, ....]; Modellspeicherung in PMML mit OpenScoring.io und HBase/MapR-DB + Apache Phoenix.
Bibliotheken / Tools MapR Hadoop, MapR-DB, MapR Control System (MCS) , MapR POSIX Clients, MapR expandaudit, Mesos, Hive, Ceph, RADOS, TensorFlow, Apache Spark, Alluxio, TensorFlowOnSpark, Docker, Kubernetes, Airflow, Kubeflow, CeleryExecutor, Jupyter, Zeppelin, PyTorch, MXNet, Chainer, Keras, Horovod, XGBoost, Keras, PyTorch, RabbitMQ, ONNX, Zephyr (Continuous Testing Agility), Red Hat OpenShift, Elastic/ElasticSearch, MS Azure Hybrid Cloud, , Kafka, Kafka, Kafka-REST Proxy, Confluent, Ansible, migriert nach SaltStack, OpenTSDB, CollectD, Python 3.x., DaSense 2&3, DaSense GPU Scheduler, CNTLM, Samba, Nginx, Grafana, Jenkins, Nagios, Scrum mit Elementen aus dem Flow-Framework (Project to Product).

Eingesetzte Qualifikationen

Big Data

Full Stack IT Architekt: Applikationen, Netzwerk, Security/DSGVO, APIs, Cloud, B
HSBC Trinkaus & Burkhard AG / HSBC Deutschland, gr, Düsseldorf, Homeoffice
12/2017 – 11/2018 (1 Jahr)
Banken
Tätigkeitszeitraum

12/2017 – 11/2018

Tätigkeitsbeschreibung

Projekt: Aufbau des SOCs (Security Operations Centers) sowie die engere Verzahnung/Integration der Tools, Vulnerability Management, Security Assessments/Bewertungen/Security-Architektur und Vorgehens-Empfehlungen, insbesondere bei der Einführung von Blockchain-Technologie (We.Trade auf R3/Corda für Zahlungen + Voltron auf HyperLedger für Handels-Dokumente + Utility Settlement Coin (USC)) sowie SAP für Kernbanking (Deposits Management, Collateral Management, Loans Management, Financial Supply Chain Management, SAP Bank Analyzer) bei gleichzeitiger Betrachtung der DSGVO-/GDPR-Anforderungen.

Tätigkeit:
1. Konzeption der Security-Maßnahmen für das neue SAP Core Banking System als Security Architect.
2. Überprüfung von Use Cases auf Relevanz für DSGVO/Datenschutz und Erstellung entsprechender Bewertungen, Ausfüllen von DSGVO-Formularen.
3. IAM (Identity and Access Management): SAP NetWeaver Identity Management (IdM) eingeführt mit SAML, OAuth, OpenId Connect, Kerberos; Konsolidierung der IAM-/IdM-Funktionalität, die vorher über verschiedene Technologie-Inseln verteilt waren wie LDAP, Active Directory (AD) Federation Services (ADFS), RACF, Oracle Enterprise Directory Server (OEDS), Lotus Notes Domino, etc.
4. Vorschlag von abgeleiteten IT-Security-Architektur- und DSGVO-Maßnahmen auf Basis der vorhandenen Grob-Architektur, Konzept für Privileged Account Management (PAM) und weitergehende Sicherheits-Maßnahmen.
5. Zukunftsvision der SOC-Architektur und Konzeption ihrer Komponentenarchitektur - mit möglichst vielen Open-Source-Tools, um Kosten zu sparen und neuesten KI/AI (Künstliche/Artificial Intelligence) und Machine Learning Frameworks: Spark + MLLib, XGBoost, ….
6. (Weiterer) Aufbau des SOCs (Security Operations Center) als Architekt/PM mit am Ende ca. 60 Security-Tools. Davon wurden ca. 15 Tools neu eingeführt. Deren Einführung sowie die Integration und Automatisierung eines Großteils der Tools habe ich insbesondere konzipiert und in Teilen programmiert: Automatisierte Echtzeit-Datenflüsse und Reduktion von False-Positives.
7. Red-Blue-Team Testing / Penetration Testing / PenTesting und Verteidigung, insbesondere bzgl. der Verwundbarkeit gegenüber aktuellen Exploits und den Indikatoren im SIEM und den Folgen/Risiken für die IT und der Optimierung der möglichst schnellen Erkennung mit wenigen False Positives.
8. Evaluierung der Risk Management Frameworks IRAM2, FAIR, OCTAVE, COSO gegen den MaRisk-Standard von 2017 und BAIT (Bankaufsichtlichen Anforderungen an die IT).
9. Erweiterung und Umsetzung von Vulnerability Management, Patch Management und Security-Standards-Compliance sowie Dokumentation dazugehöriger Risiken.
10. Patching-/Risk-Projektmanager Germany bzgl. Meltdown/Spectre (CPU Bugs).
11. Mitarbeit bzgl. IT-Sicherheit an der R3/Corda Blockchain Implementierung der HSBC in Kotlin mit über 100 anderen Banken und Vorbereitung der Herausgabe des Utility Settlement Coins (USC) der Großbanken sowie der Anbindung der Big Data basierenden Bank-eigenen Fraud Detection Lösung, z.B. bzgl. Security-Anbindung per BlueTalon + Ranger.
12. Integration von Security-Systemen per Serverless-Architektur über Google Cloud Functions per REST APIs mit Go: Automatisierte Integration von Configuration Management, Nessus- + Tripwire-Security Scans (Windows/Linux Datenbanken: Verwundbarkeiten und Compliance-Einstellungen) sowie der datenbankbasierten Auswertung der Scans (manuelle Gewichtungen) und Weiterleitung/Eskalation der Ergebnisse.
13. Mitentwicklung von Mobile-App- und Cloud Security Standards, insbesondere für Hybrid Clouds mit dem Google Cloud Stack, z.B. der Software-Defined Perimeter Ansatz.
14. Architektur obiger APIs nach Open Banking Standard mit Mulesoft AnyPoint Platform (API Gateway, App execution, API Repository & Portal, API Designer, Runtime Manager, CloudHub, Private Cloud, AnyPoint Studio).
15. Beratung der Architekten und Entwickler-Teams bzgl. sicherer Konzeption/Entwicklung, sicherer Anbindung von Security Libraries (z.B. Spring Security, SAML, OAuth, LDAP, OpenId Connect), Patchen von Library-Verwundbarkeiten (Vermeiden/Minimieren der Verwendung von anfälligen Versionen: Lösungen und Workarounds) und Security Code-Review mit Tool-Unterstützung (ConQAT + Teamscale von CQSE, Support Query Framework (SQF) und Code Inspector von SAP (ABAP), Micro Focus Fortify, LGTM, Semmle, FindBugs, PMD, SonarQube, Checkstyle, etc.) im Rahmen von TQE (Total Quality Engineering).
16. Beratung bei der Weiterentwicklung der Asset Management und Configuration Management Datenbanken/Systeme um priorisierte Risiko- und Gegenmaßnahmen-Einschätzung in Richtung des statistischen Common Criteria Ansatzes.
17. Internal Reviews/Assessments, Erstellen von Management Self-Identified Issue (MSII) Berichten als Vorbereitung für offizielle Reviews/Assessments.
18. Business Impact Analysis (BIA) und Global Application Security Risk Assessments (GASRA).
19. Business Process Definition / Optimization / Re-Engineering: Network Based Intrusion Prevention (NIPS), Vulnerability Management, Privileged Access Management, Testing & Patching, Anlegen/Anpassen von Beantragungs-/Entziehungs- und Überwachungsprozes-sen mit Neocase Advanced BPM Suite / NEO Process Manager.
20. Security-Architektur für einen Amazon-Cloud- und Serverless-PoC: AWS, Fargate, S3, EC2, VPC (Virtual Private Cloud), IAM, RDS, RedShift, Aurora, DynamoDB (Rel. DBs), Neptune (Graph DB), ElastiCache (In-Mem-DB), Elastic Beanstalk (Orchestration Srv), CloudTrail (Sec. Log), STS (Secure Token Srv), EKS (Elastic Kubernetes Service), EBS (Elastic Block Store), OpsWorks (Config Mgmt), SQS (Simple Queue Srv), CloudWatch (Billing/Metrics), Docker, Kubernetes, Kubeless, Go.
21. Security-Architektur für PoCs mit Blockchain for trade (We.Trade, Voltron, R3/Corda), Biocatch, Microplatforms, Eclipse Microprofile (Hammok, Red Hat Wildfly Swarm, Open Liberty/WebSphere Liberty), JWT, OpenTracing, MicroNaut, ThreatMetrix, UNSilo, Skytree, TidalScale, DataRobot, data iku, Ayasdi (AML), Quantexa, Seldon.io, gVisor.
22. Unterstützung bei der Einführung agiler Prozesse: Design Thinking (Empathie-Maps, Personas, User Profile Canvas, Value Proposition Canvas, Business Model Canvas, Business Ecosystem Canvas, Customer Journeys, HOOK (Trigger, Action, Variable Reward, Investment), SCAMPER (Substitute, Combine, Adjust, Modify, Put to other uses, Eliminate, Rearrange), MVP, MVE (Minimum Viable Ecosystem), Virtuous Loops, Systems Thinking, Business Ecosystem Design, Lean Canvas, NABC (Needs Approach Benefits Competition), SWOT) in Kombination mit DAD (Disciplined Agile Delivery) und SAFe (Scaled Agile Framework) – insbesondere Coaching und Halten von Präsentationen zu den Risiken agiler Verfahren – u.A. durch das Entfallen der Architektur-Phase (siehe meine Social Media Accounts), Mit-Einführen von WorkHacks (= LifeHacks für den Beruf).
23. Konzeption + (Teil-)Implementierung einer automatisierten Microservice/Serverless System-Security- und Vulnerability-Assessment und Reporting-Komponente in Python3 und JavaScript (mit PhantomJS, CasperJS, Bootstrap, a2ps), die automatisiert HTML- und PDF-Reports erzeugte aus Statistical Common Criteria Bewertungsergebnissen, Nessus- + Tripwire-Scan-Ergebnissen, CMDB-Infos (Config Mgmt DB namens ITDoku) etc. mit Integration zu diversen Systemen (Lotus Notes, CMDB, Excel-Dateien, Oracle-DB, CyberArk Password Vault, Inventory-Systemen zum Check der Kritikalität (BIA/GASRA), Installationsstatus von Security-Tools, etc.) per REST APIs, SysCalls und OAuth.
24. Insgesamt ca. 50 Verbesserungsvorschläge unterbreitet/umgesetzt, vor allem zur Verbesserung des SOCs / der effizienten Erkennung, Priorisierung und Beseitigung von Risiken/Angriffen.
25. Erstellung/Erweiterung/Schärfung von ca. 150 QRadar SIEM Use Cases für zielgerichteteres Security-Monitoring mit weniger False Positives oder weniger manuellem Nachrecherche-Bedarf bei Alerts (Minimierung der manuellen Aufwände).
26. SIEM-Alternativen: Evaluation von
a. ElasticSearch + Norikra Schemaless Stream Processing + Esper CEP (Complex Event Processing) + Apache Nifi + Kafka + Fluentd für SIEM Use Cases/Alerting, Datenextraktion aus Protokollen per WireShark-Plugins (z.B. bzgl. SMBv1 + v2 Exploits [EternalRomance, EternalBlue, EternalChampion, WannaCry]),
b. Apache Metron (ex: Cisco OpenSOC) + Blitz Incident Response + Apache Nifi + Hadoop + Apache Solr/HDP Search + Ranger + Atlas, Technologie-Workshops. Konzeptionen zu:
i. Dokumenten-Id-Vergabe und expliziter Verteilung der Dokumente auf Shards/Replicas und dessen Tracking.
ii. Parallelisiertem SolrJ-Client optimiert auf Antwort-Geschwindigkeit.
iii. Loadbalancer-Switching-Logik.
iv. Schutz gegen bösartige Ambari-Administratoren.
v. Integration der Lösung in das Single Sign On (SSO) Konzept mit Identity & Access Management per LDAP, SASL, explicit TLS.
27. Konzeption/Implementierung eines Apache Spark + MLlib + Kafka basierenden Data Science und Machine Learning Systems zur Erkennung von Incidents/Malware/Netzwerk Anomalien mit H2O.ai.
DS-Ansatz (Data Science) zur Erkennung von Incidents/Malware/Netzwerk-Anomalien Eine Mischung aus Hauptkomponentenanalyse, Nearest Neighbor Methoden, neuronale Netze, Zeitreihenanalyse, Anomalie-Erkennung, Assoziationsanalyse, Maximum-Likelihood-Schätzer, Random Forest, Gradient Boosting (GBM, xgboost), Cubist (Erweiterung von Quinlan’s M5 model tree), C4.5, Assoziationsanalyse, (Nicht)lineare Regression, Multiple Regression, Apriori-Analyse, Überwachte Klassifizierung, Link-Analyse-Netzwerke.
Bibliotheken / Tools SAP Basis, FI/CO, DM, CM, LM, FSCM, FS, FS-BA, SAP NetWeaver Iden-tity Management (IdM), IBM FileNet, SAP Business Objects, Mulesoft AnyPoint Platform (API Gateway, App execution, API Repository & Por-tal, API Designer, Runtime Manager, CloudHub, Private Cloud, AnyPoint Studio), Symantec DCS, Symantec DLP, Symantec PGP Server, Syman-tec SSLVA, TrendMicro Deep Discovery + Antivirus (AV), Cisco Router, ASA, Switches, CheckPoint Firewalls/IDS/IPS, Barracuda WAF, Windows & SAP PKI & IAM, IBM QRadar, IBM Resilient, IBM InfoSphere Guar-dium (Monitoring: DB, etc.), IBM Vanguard, IBM RACF, IBM EventAction, Nessus Vulnerability-Scanner, ForeScout (vulnerable IoT), Proofpoint (E-Mail Security), CrowdStrike (Endpoint Protection), McAfee (Antivirus + HIPS + Drive Encryption + E-Mail Gateway + ePolicy Orchestrator ePO), Skyhigh (Web Browser isolated in the Cloud, Secure Cloud Services), MenloSecurity (DLP, Absichern von E-Mail- und WebLinks), Cisco Open DNS, BlueCoat Proxy/SSL Decryption/AV, CyberArk Password Vault + Privileged Threat Analytics (PTA), Tufin (Network Security Policy + Firewall Management), Ivanti Application Control (ex: AppSense), En-case Endpoint Security/Forensics, Lumension Endpoint Security, Micro-soft Baseline Security Analyzer (MBSA), RSA enVision, SCCM Windows Compliance, Trustwave DbProtect, DB SAT, Avecto Defendpoint, Centrify DirectAudit, Dark Trace (UEBA: User & Entity Behavior Analytics / NGAV: Next-generation antivirus platforms / DER: Endpoint Detection and Response), DFLabs (SOAR: security orchestration, automation and response), AutoSploit, MetaSploit, Cuckoo Malware Analysis (in virt. Sandbox), MS Visual Studio, Eclipse + Java 1.8, Keycloak, Snort, Python 3.7, p0f, Cluster SSH, Open Workbench, viele Open Source Tools (Fuz-zer, Exploits, Utilities, …), Vizolution, Google Cloud Platform (GCP: Cloud Functions/Datastore/Storage, Cloud Pub/Sub, Endpoints, RSocket, Tools: gVisor (User Space Kernel), Apigee, Cloud Dataflow, BigTable, BigQuery (DWH), BigQuery ML (BQML), Firestore, Firebase, Memo-rystore, Datastore, Cloud Spanner, Cloud Launcher, Cloud SQL, BigCom-pute, Cloud ML Engine, Apache Beam, bdutil, Dataproc (Managed Hadoop), Stackdriver (Systems Management), AutoML, Google Kubernetes Engine (GKE)), Apache Spark + MLlib + Kafka, H2O.ai, We.Trade, Volt-ron, R3/Corda), Biocatch, Microplatforms, Eclipse Microprofile (Ham-mok, Red Hat Wildfly Swarm, Open Liberty/WebSphere Liberty), JWT, OpenTracing, MicroNaut, ThreatMetrix, UNSilo, Skytree, TidalScale, Da-taRobot, data iku, Ayasdi (AML), Quantexa, Seldon.io, gVisor.

Eingesetzte Qualifikationen

Cyber Security

Coach: Big Data Architektur, Data Science, Test Management
Schwarz-Gruppe (Lidl & Kaufland), Heilbronn, Homeoffice
9/2017 – 12/2017 (4 Monate)
Handel
Tätigkeitszeitraum

9/2017 – 12/2017

Tätigkeitsbeschreibung

Tätigkeit: 1. Zwecks Einarbeitung & Coaching-Grundlage: Erhebung der Ist-Situation bzgl. Tools, Algorithmen und IT-Umgebungen; Mitarbeit bei der Erstellung von Ab Initio Graphen/Lineages als ETL-Pipelines unter Integration von Teradata BTEQs/ActiveBatch/SQL, R, Python, Spark, Hive, SAP, MicroStrategy.
2. Big Data und Data Science Architekturberatung: R on Spark mit SparklyR vs. SparkR, Hive/Beeline Query Optimierung, Integration mit Teradata QueryGrid/Teradata Connector for Hadoop (basierend auf Sqoop).
3. Konzeption/Entwicklung von AbInitio ETL-Pipelines mit GDE/TRMC/EME, Express>It (BRE), Conduct>It (CC), Query>It, Metadata Hub (EME).
4. Vorschlag und Mit-Auswahl von BI & Analytics Use Cases: Promotions (Angebote/Preisveränderungen (PV)), Dynamic Pricing, Backschema, Category Management, Palettenfaktor, Kollisortierung, Shopping Missions, Einkaufs-Planung, Logistik-Planung, Rücksende-/Rückläufer-/Remittenden-Planung.
5. Mitarbeit im Predictive Modelling von Marketing- und Logistik-Prozessen und der Vorhersage des Effektes von Sonderangeboten und diversen Werbemaßnahmen.
6. Beratung zur Auswahl eines Workflow-Management-Tools Oozie, ActiveBatch, Azkaban (LinkedIn), Airflow (Airbnb), Scripting.
7. Berechtigungskonzept mit Apache Ranger, Rechte-Datenbank & LDAP für Hortonworks Hadoop miterstellt.
8. Erstellung von Cross-Platform Packaging-, Versioning-, Deployment- und Dependency-Management-Konzepten für Python, R, Big Data (Spark, Hive, etc.), Teradata, SAP, Ab Initio, MicroStrategy mit Conda/Anaconda, Python, sbt, Java 9 Platform Module System (JPMS) = Project Jigsaw, etc.
9. Virtualisierungskonzepte erstellt für alle Tools mit VMware, Docker, Rancher und Kubernetes, einschließlich Netzwerkkonnektivität, Debugging, Tracing und Monitoring-Funktionen.
10. Erstellung eines 400-seitigen Test-Management-Konzepts incl. ETL- und BI-Testing mit IT-Security für 6 Test-Umgebungen sowie für Python, R, Big Data (Spark, Hive, etc.), Teradata, SAP, Ab Initio, MicroStrategy, Continuous Integration/Deployment mit Jenkins und Sonar(Qube).
DS-Ansatz (Data Science): Random Forest, Gradient Boosting (GBM, xgboost), Cubist (Erweiterung von Quinlan’s M5 model tree), Zeitreihenanalyse, Assoziationsanalyse, (Non-)Linear Regression, Multiple Regression, Anomalie-Erkennung, Apriori-Analyse, Warenkorbanalyse, Überwachte Klassifizierung, Link-Analyse-Netzwerke, Maximum-Likelihood-Schätzer, klassische und mehrstufige Verfahren zur Betrugserkennung (siehe gesonderten Abschnitt), ML-Debugging/Explainable AI im Kontext von LIME, SHAP, partial dependency plots [model leakages, decision explanations in if-statements, …]; Model-Storage in PMML mit angepasstem OpenScoring.io (mit Spring) und Apache Phoenix.
Bibliotheken / Tools Red Hat OpenShift, Docker, Kubernetes, Rancher, R, Big Data (Spark, Hive, Oozie, etc.), Teradata, SAP CAR (Customer Activity Repository 2.0), SAP HANA, SAP BW (Business information Warehouse), SAP BO (Business Objects Business Intelligence), Bex Analyzer, Analysis for Office (AfO), Ab Initio (GDE/TRMC/EME, Express>It (BRE), Conduct>It (CC), Query>It, Metadata Hub (EME)), MicroStrategy, QlikView, MS Visio, Java 9 mit Java Platform Module System (JPMS) = Project Jig-saw, maven, Risk-Based Testing, Apache Ranger, Python: Airflow, Nose2 test suite, Egg packaging, SparkR/SparklyR, webMethods (ESB der Software AG), Scrum, SoS (Scrum of Scrums), LeSS (Large Scale Scrum).

Eingesetzte Qualifikationen

Big Data

Coach: Big Data Architektur & Data Science
Avira, Tettnang, München, Homeoffice
6/2017 – 9/2017 (4 Monate)
Medienbranche
Tätigkeitszeitraum

6/2017 – 9/2017

Tätigkeitsbeschreibung

Tätigkeit: 1. Konzeption und Implementierung von Inspectrum, einem Big Data & Apache Spark Data-Flow-Instrumentation & Configuration Framework in Scala: Über JSON/HOCON (Human-Optimized Config Object Notation) Konfigurationsdateien konnten am Ende beliebige Datenflüsse über Spark und sein Ökosystem (incl. Umsystemen) konfiguriert statt programmiert werden mit erheblicher Zeitersparnis. Anbindungen wurden konzipiert für Hive, HBase, Couchbase sowie eine Daten-Filter-Komponente und Virtualisierungen der Komponenten mit Docker, Kubernetes, Rancher.
2. Architekturberatung bzgl. Real-time Use Cases und deren Umsetzung, Datenbanken, Data Science Algorithmen; Architektur von HBase-Datenstrukturen; Pro-Contra-Beratung zum Einsatz von Apache/Cloudera Kudu.
3. Natural Language Processing (NLP): Analyse von Kunden-Feedback/Stimmungen mit spacy.io, Apache OpenNLP (Natural Language Processing), NLTK (Natural Language ToolKit: tagging/chunk parsing), Apache UIMA (Unstructured Information Management architecture/applications).
4. Data Science Beratung: Vorschlag von Verfahren zur Informationsgewinnen fürs Marketing, für Produkt-Analyse und Security-Analysen sowie für den Avira Boot Optimizer. Vorschlag von Algorithmen für die Nutzung/Analyse der gewonnenen Infos, etwa durch das In-Product-Messaging, den Antivirus, etc.
5. Datenschutz Grundverordnung (EU-DSGVO) / General Data Protection Regulation (EU-GDPR) (Regulation (EU) 2016/679): Beratung zur Legalität der Verbindung von Nutzungs- und Kundendaten und deren Nutzung zu Marketing-Zwecken.
6. Integration von SailPoint IAM mit Big Data über Apache Sentry.
DS-Ansatz (Data Science): Zeitreihenanalyse, Anomalie-Erkennung, Apriori-Analyse, Überwachte Klassifizierung, Gradient Boosting (xgboost), Assoziationsanalyse, Abhängigkeitsanalyse zur Optimierung der Boot-Zeiten, Maximum-Likelihood-Schätzer bzgl. Marketing-Maßnahmen-Effizienz und Konvertierung vom Free-Antivirus-Nutzer zum zahlenden Kunden.
Bibliotheken / Tools OpenShift, Cloudera Hadoop, Apache Spark, Couchbase, HBase, R, Python, SparkR, CentOS, Intellij IDEA, git, Github, Docker, Kubernetes, Rancher, Apache Sentry, Ubuntu, Scrum-Prozess.

Eingesetzte Qualifikationen

Big Data

Coach: Big Data Architektur, Data Science Aspekte sowie Use-Case-Bewertungen
BNP Paribas Personal Investors (Consorsbank, DAB), Nürnberg, München, Homeoffice
5/2017 – 8/2017 (4 Monate)
Banken
Tätigkeitszeitraum

5/2017 – 8/2017

Tätigkeitsbeschreibung

Projekt: Make or Buy Entscheidungs-Vorbereitung im Marketing bzgl. einer In-House Customer Intelligence (CI) und Programmatic Advertising Lösung für Cross-Selling über verschiedene Kunden-Touchpoints hinweg, Dynamic Offering, Net Promoter Score (NPS) Optimierung und Data-driven Sales (DDS) per Data Management Platform (DMP).
Eigene Rolle: Coach: Big Data Architektur, Data Science Aspekte sowie Use-Case-Bewertungen
Tätigkeit: 1. Marketing-Strategie Beratung per Design Thinking mit Customer Journey Mapping und Dokumentation der Kunden-Firmen-Touchpoints bzw. Interaktionen, Vermittlung des relevanten Wissens zu den neuesten Programmatic Marketing Ansätzen und den entsprechenden Data Science Grundlagen. Einführung in Customer Data Platforms (CDPs) und Marketing Automation Platforms (MAP). SWAT-Diskussionen (Strengths/Weaknesses/Opportunities/Threats) dazu initiiert und geleitet.
2. Recherche von möglichen Anbietern in obigen Bereichen mit Schwerpunkt auf Customer Intelligence (CI), Customer Data Platforms (CDPs) und Marketing Automation Platforms (MAP) und Kontaktieren der Anbieter: IBM Interact, Oracle Real-Time Decisioning (RTD), SAS Customer Decision Hub, Pega Customer Decision Hub, Adobe Marketing Suite/Cloud, Prudsys, SC-Networks Evalanche, PIA/Dymatrix DynaCampaign, DynaMine, CrossSell, ComArch, FIS Global, DMP-Produkte (AdForm, The Adex, Annalect, Otto, Xaxis Turbine, Acxiom, ...).
3. Erarbeitung der Use-Cases nach Use Case 2.0 Ansatz (inclusive MVP – Minimal Viable Product) mit dem Marketing-Fachteam (besonderer Fokus auf mögliche Echtzeit-Anforderungen/Use Cases) und Bewertung der möglichen Cash Flows sowie der verschiedenen KPIs wie ROI, NPV (Net Present Value), IRR (Internal Rate of Return), WSJF Verspätungskosten (Weighted Shortest Job First), NPS (Net Promoter Score), NBI (Net Banking Income). Anschließende Einführung von weiteren Lean-Startup-Prinzipien sowie Microservices, Evolutionary Architecture, Mobile App Anbindung und passendem Versioning.
4. Datenschutz Grundverordnung (EU-DSGVO) / General Data Protection Regulation (EU-GDPR) (Regulation (EU) 2016/679): Beratung zur Legalität der Verbindung von Nutzungs- und Kundendaten und deren Nutzung zu Marketing-Zwecken.
5. Erstellung einer Baseline-Hadoop-Architektur mit Aufwands-Schätzungen als mögliche Make-Lösung auf Basis von Apache Spark mit Streaming, Alluxio Caching, QBit Microservices, Aerospike DB, Cassandra DB, jBPM, Drools, Oryx 2, WEKA, MOA, Sqoop 1/2, SAS. Diese diente dann auch dem Einkauf zur Preis-Verhandlung.
6. Beratung zu möglichen Data Science Algorithmen rund um das KNIME-System zur Kundensegmentierung und der Ableitung von Produkt- bzw. Marketing-relevanten Affinitäten/möglichen Kundeninteressen und Kundenpfaden: DynaMine, Gradient Boosting (xgboost), Nichtlineare Regression, Random Forests, C4.5, etc.
7. Beratung des Parallelprojekts „Corporate Data Hub“ (Digital Transformation / Digital eXperience (DX) Plattform) auf Basis von Spark, Cassandra DB und PostgreSQL, insbesondere bzgl. Anbindungs-Möglichkeiten mit den Marketing-Lösungen und wie diese als PoC (Proof of Concept) für den Data Hub verwendet werden können.
8. Konzeption einer Dynamic Offering Erweiterung HintLog für Dymatrix DynaCampaign: Mit minimalem Aufwand konnten so alle Teilnehmer an Bonus- oder Marketing-Programmen Nachrichten erhalten, wenn irgendwelche Fehler auftauchten oder sie aufgrund von Detail-Regelungen Gefahr liefen, aus dem Programm herauszufallen: Kunden haben dann meist Nachfristen bekommen und so konnte durch das Vermeiden ärgerlicher Situation der NPV-Wert (sprich: die Kundenzufriedenheit) stark gesteigert werden.
9. Review der bestehenden BPM-Modelle in Camunda und Erweiterung dieser Modelle in Camunda um neue Marketing/Kampagnen Use Cases.
10. Konzept erstellt zum semantischen Analysieren und Steuern von Marketing-Kampagnen nach z.B. Kundeninteressen, Kundensituationen, aktuellen Markttendenzen sowie Firmen-Interessen, z.B. als kombinierte/konzertierte Rabattaktionen über verschiedene Teile des Angebots hinweg oder um übergeordnete Marketing-Aussagen in untergeordneten Aktionen immer wieder zu re-iterieren und insgesamt Konsistenz und Stringenz in den Aussagen zu erreichen. Erkannte Kunden-Sitationen/Segmente, Interessen und Unterstützungsbedarf kann so möglichst zielgenau eingesetzt werden, so dass es von den Kunden als hilfreich geschätzt wird und später aus einer Vertrauensbasis heraus (Produkt-/Service-)Empfehlungen gegeben werden können.
11. Natural Language Processing (NLP): Analyse von Kunden-Feedback/Stimmungen mit spacy.io in Python (Net Promoter Score (NPS) Erhebung und Verbesserung).
12. Mitarbeit beim Digital David Projekt als Technologie- und NLP-Berater, der Erstellung eines Chatbots mit IBM Watson Technologie (mittlerweile bei consorsbank.de im Kundenbereich online): Vision: Chatbot der alle Invest- und Banking-Präferenzen der Kunden kennt incl. Konto-, Depot- und WKN-/ISIN-Nummern mit Charts/Trends/Abhängigkeiten und alle Suchen nach Anlagemöglichkeiten durchführt (mit RoboAdvisor im Hintergrund) und daher hohe Kundenbindung und hohe Verkaufskennzahlen erzielt. Meine Arbeit: Analyse der zu erwartenden Text-Dialog-Scripting Aufwände (aufgrund der technisch veralteten Funktionalitäten für Chatbot-Entwickler) und der Total Cost of Ownership (TCO) der IBM-Watson-Lösung und Gegenüberstellung mit einer neuen DLNLP-Architektur (Deep Learning Natural Language Processing) basierend auf Open Source zwecks Preisverhandlungen der Beschaffung: Elemente meiner Open Source Chatbot-Architektur mit DLNLP Tools (Deep Learning Natural Language Processing): Seq2seq, word2vec, ULM-FiT, ELMo, OpenAI Transformer / GPT, Transfer Learning, OpenAI Transformer, spaCy, Stanford CoreNLP, AllenNLP und Virtualisierung mit Docker/Kubernetes zum Training in der Cloud.
DS-Ansatz (Data Science): Zeitreihenanalyse, Anomalie-Erkennung, Apriori-Analyse, Überwachte Klassifizierung, Assoziationsanalyse, Maximum-Likelihood-Schätzer, Kunden-Segmentierungstechniken z.B. nach Personas mit KNIME, DynaMine, Gradient Boosting (xgboost), Nichtlineare Regression, Random Forests, C4.5.
Bibliotheken / Tools RedHat OpenShift, Red Hat 3scale API Management, IBM Watson, Cloudera Hadoop, Apache Spark mit Streaming und MLlib, Cassandra DB und PostgreSQL, Aerospike, KNIME, DynaMine, SAS, DynaCampaign, MS Visio, Sparx Enterprise Architect, Camunda, JBoss Drools, Scrum-Prozess, LeSS (Large Scale Scrum.

Eingesetzte Qualifikationen

Big Data

Couch mit Schwerpunkt Big Data Architektur, IT Projektmanagement und teilweise S
Credit Suisse, Zürich
2/2017 – 5/2017 (4 Monate)
Banken
Tätigkeitszeitraum

2/2017 – 5/2017

Tätigkeitsbeschreibung

Erstellung eines bankweiten Cloudera-Hadoop basierenden Business Transaction Stores (Speicher für alle Finanztransaktionen als Digital Transformation / Digital eXperience (DX) Plattform) mit einem ka-nonischen leistungsfähigen Datenformat (zum Speichern aller Details aller erwartbaren Transaktionen) mit verlustfreien Import- und Export-Filtern sowie Auswertungsfeatures in den folgenden Bereichen: Kontobewegungen, Aktien, Zinsinstrumente, Derivate, ETFs, Fonds (d.h. beliebige “Securities” bzw. Wertpapiere), Berechnung von Bestands-, Kosten- und Risiko-Kennzahlen, Übersichten für’s Wealth Management sowie Steuern, Reporting, Betrugserkennung und Vorbereitung der Möglichkeit des Heraustrennens der Funktionalitäten einer Wertpapier-Transaktionsbank.
Typ/Dauer: Weil CS zum 2. Mal hintereinander einen Verlust von ca. 2,5 Mrd. CHF eingefahren hatte, wurde das Projekt kleiner als geplant umgesetzt und es sollte der Rest Offshore umgesetzt werden. Durch professionelles Coaching sollte nur das professionelle Aufgleisen und Ausrichten des Projekts sichergestellt werden incl. Etablierung einer professionellen Kommunikationsstruktur.

1. Review und Verbesserung der vorgeschlagenen Grob-Architektur, Ausarbeitung des FeinArchitektur-Dokuments auf Basis zahlreicher Meetings und E-Mails mit dem Fachbereich;
2. Konzeption von Datenmodellen zur redundanzfreien Konvertierung/Speicherung/Aufbereitung und Auswertung aller bestehenden Bank-Transaktionen mittels logischer/physischer Datenmodelle.
3. Konzepte erstellt für Back-Office-Verarbeitungsverfahren (Reconciliation, Transaktions-Bäume/Graphen als Struktur und bzgl. Aufbau aus zeitlich versetzt und nur teilweise eintreffenden Informationen, Link-Resolution auf dieser Basis); POCs bzgl. komplexer Punkte selbst in Java/Scala programmiert.
4. Konzeption einer IT-Basis für Finanz-Planungs-Modelle/Investment-Strategien incl. Steueroptimierung für Wealth Management, Investment-Manager sowie strategische Investitionen.
5. Konzeption der initialen Amazon AWS-Umgebung (benötigt solange die Bank-Umgebung nicht fertig war) und Umsetzung mit AMInator.
6. Security: Anbindung von Apache Sentry an das zentrale IAM-System (Identity & Access Management) der Bank bzw. initial an LDAP. Härtung der Systemkomponenten bzgl. IT-Sicherheit.
7. Konzeption der Spark/Kafka Exactly-Once Verarbeitungsfunktionalität sowie der Gesamt-Business Continuity Funktionalität.
8. Erstellung eines Data Mapping und Versionierungskonzepts mit Umsetzung über ein Switchboard-Pattern: Abwägen der Möglichkeiten der Konvertierung/des Upgrades von Datenformaten/Protokollen/Microservices vs Lazy/Eager Migration von Daten; HBase-Avro-basiertes Versionieren, Bitemporale Logik, Semantisches Versonieren, versionierte lokale/verteilte Microservices mit QBit/Lagom/Spring Boot; DDD-Datenmodelle mit Bounded Context, Context Maps, Self Contained Systems (SCS). Change Management/Versionierung mit Oracle Data Relationship Management (DRM).
DS-Ansatz (Data Science): Rekonstruktion aller Transaktionsbäume mit allen Zweigen, Zeitreihenanalyse, Anomalie-Erkennung, Überwachte Klassifizierung, Apriori-Analyse, Gradient Boosting, Multi-Level-Methoden (Transaktion / Konto / Kaufmann / Konzern), Assoziationsanalyse, Link-Analyse-Netzwerke, Maximum-Likelihood-Schätzer, Berechnung eines Verdachts-Scores, sonstige klassische und mehrstufige Verfahren zur Betrugserkennung (siehe gesonderten Abschnitt).
Cloudera Hadoop 5.8 mit HBase + Phoenix, Spark Streaming, MLlib, Alluxio, Kafka mit Camus/Goblin, HDFS, Hive, Flume, Impala, PostgreSQL, Zookeeper, YARN, Hue, Grafana, Cloudera Manager, Apache Sentry, Solr, Splunk, IBM WebSphere MQ, Oracle Weblogic, Sparx Enterprise Architect, Visio, Informatica Data Integration, IBM Integration Bus (IIB) Graphical Data Mapping Editor, JT400/JTOpen, MS Office, Scala, Java, Python.

Eingesetzte Qualifikationen

Apache Hadoop

Architekt eines Blueprint-Dokuments zur Integration von Microservices mit mobile
Cisco Systems mit AOK Nordost und AOK Systems als, Berlin, Homeoffice
12/2016 – 1/2017 (2 Monate)
Gesundheitswesen
Tätigkeitszeitraum

12/2016 – 1/2017

Tätigkeitsbeschreibung

Zusammentragen der führenden publizierten Techniken und Tools zu Microservices und Mobile Apps & Big Data sowie der integrativen Erstellung von Software mit allen Aspekten in Form eines ca. 250-seitigen Architektur Blueprints mit folgenden Inhalten: Architekturziele, Architekturprinzipien, Architekturstandards, Patterns, Neuentwicklung von Konzepten für lokale und vereinfachte Microservices (Neukonzeption eines Code Generierungs-Modells, um viele Microservices in Java/Scala als ein JAR/WAR/EAR oder als mehrere Deployment-Module bauen und debuggen/tracen/testen zu können), Microservice Best Practices, API Management, Datenkonvertierung/Serialisierung, Logging/Tracing, IT-Sicherheit/IAM, Modellierung per Domain-Driven Design (DDD) mit Bounded Context, deren Building Blocks und Responsibility Layers, Self Contained Systems (SCS) und Integration der Mobile-App Komponenten, KPI (Key Performance Indicators), Migrationsschritte von Monolithen hin zu Microservices, Software Load-Balancing, Infrastructure as Code, DevOps-Praktiken wie Continuous Integration und Continuous Deployment.
Im praktischen Teil wurde der Code-Generator entwickelt für die Kombination mehrerer Versionen eines oder verschiedener Microservices in ein Deployment-Paket oder in je ein JAR-Paket. Die unten genannten führenden Microservice-Bibliotheken für Java, Scala und Node.JS mit AngularJS 2 und Ionic Framework (Mobile Apps) wurden getestet/evaluiert.
Standard-Tools: Spring Boot, Spring Cloud (RESTful WebServices in Java), Spring Boot Devtools [hot reload], Lagom (Microservices in Scala), Akka, Apache Gearpump (real-time big data streaming engine over Akka), Apache Flink (actor model, hierarchy, Deathwatch mit libs: CEP, Table, FlinkML, Gelly), spray (HTTP/REST), Spark, HashiCorp Nomad (Clustermanager & Scheduler), SenecaJS, swagger-codegen, Scraml, RAML tools wie JAX-RS Codegen, API Designer, JHipster (yeoman.io, Java & AngularJS microservice generator mit BrowserSync, Liquibase, Generator for Ionic framework), Axon Framework (Java Microservices), OData Microservices mit Apache Olingo, Zipkin/OpenZipkin, OpenTracing, HTrace, Fluentd (data collector for unified logging), DropWizard, Hashicorp-Tools wie Serf, Consul, Nomad (Clustermanager & Scheduler), DevOps- und Continuous Integration/Deployment Tools wie Jenkins, Sonar(Qube), Git, Github, Docker, Kubernetes, Rancher, Chef, Puppet, Prometheus (Monitoring), Ubuntu.
Big Data Stack: Thrift, Avro, Spark, Flink, HBase, Cassandra, Hadoop, Cloudera, Hortonworks, Grafana, Hue, VMware, kvm.
Netflix-Stack: Hystrix (Failure Isolation, Circuit Breaker), Hollow (small to moderately sized in-memory datasets passing from a single producer to many consumers for read-only access), Netflix Conductor (microservices orchestrator), Nebula Gradle plugins, Governator (Guice extensions), Zuul (dynamic routing, monitoring, resiliency, security), Genie (job orchestration), Dyno, Dynomite (storage layer for key-value storage engines), Dyno Queues (Task Queues on Dynomite), Hollow (caching for small read-only in-memory datasets), Astyanax (resilient Cassandra client), EVCache (AWS EC2 memcache), Atlas (In-memory dimensional time series database), Spectator (instrumenting code to record dimensional time series), Vector (performance monitoring framework), Chaos Monkey/Simian Army (failure testing and resilience tools), Spinnaker (continuous delivery platform), Message Security Layer (MSL), Falcor (represent remote data sources as a single domain model via a virtual JSON graph), Restify (node.js/NodeJS REST web service API framework), RxJS (reactive programming library for JavaScript), Aminator (create custom AMIs - Amazon Machine Images), RxNetty (reactive extensions for Netty: asynchronous event-driven network application framework), Ribbon (IPC with software load balancers), Stethoscope (Security analysis).
Zalando Mosaic9.org Stack: Tailor (assembling GUI fragments), Skipper (extendable HTTP router for service composition), Shaker (UI components library), Quilt (template/layout storage for Tailor), Innkeeper (RESTful API that stores routes for Skipper).

GE (General Electric) Renewable Energies, Frankfurt/Main, Homeoffice
10/2016 – 12/2016
Digital Windfarm: Konzeption einer „on premise“ und AWS Cloud Architektur für die effiziente massiv-parallele in-memory Berechnung der Dimensionierung von Windrädern (Alterung, Regen, Leistungsoptimierung am jeweiligen Standort) basierend auf den GE-Flex5-Tools.
Big Data Architekt
Fachlich:
1.) Analyse der bestehenden Flex5-Tools in Pascal/Delphi sowie der zugrundeliegenden Mathematik, insbesondere bzgl. Parallelisierungs-, Verteilungs- und Caching-Möglichkeiten.
2.) Sammlung und Erarbeitung von evolutionären Verbesserungsmöglichkeiten der bestehenden Flex5-Lösung, z.B. durch mehr In-memory Processing und explizites Caching von Zwischenergebnissen.
3.) Erstellung einer Zielarchitektur basierend auf im Kern Spark mit Alluxio sowie Ergänzungen für den Einsatz im Intranet (on premise) und in AWS (Amazon Web Services, EC2) mit entsprechenden IT-Sicherheitsmaßnahmen und mit Migrationsstrategie.
4.) Abstimmung der Anbindung der parallel erarbeiteten AngularJS 2.1 Web-Benutzeroberfläche an das Backend.
5.) Analyse der Performance der bisherigen Lösung unter Windows/Linux mit procmon.exe sowie eigenem Win-API-Hooking-Tool und Python-Auswerte-Skripten. Export nach Excel in Excel-Pivot-Tabellen und Erstellung VBA-basierter komplexer Auswertungen.
6.) Wirtschaftlichkeitsberechnung der Migration in MS Excel per Formeln, VBA nach einem neu-entwickelten nicht-linearen Keep-/Replace-/Modernization-Szenarien-Verfahren, das sich auf ca. 20 nicht-lineare Kosten-Nutzen-Verläufe von ca. 50 Einflussgrößen stützt, die separat modelliert wurden.
Technisch:
Ad 3: Darin enthalten war auch eine kurze Betrachtung der besten Alternativlösungen (Flink, YARN, Storm + Trident, FastR, etc.) und Beschreibung von deren Vor- und Nachteilen.
Bzgl. IT-Sicherheit war neben dem Schutz gegen Hacker durch ein Bündel von Maßnahmen vor allem die korrekte Autorisierung und Zuordnung der Daten und Datenflüsse wichtig, was über Virtualisierung mit VMware oder Docker, Kubernetes, Rancher sowie über die Security-Toolkits Apache Sentry/Shiro, Knox, Falcon, Atlas erfolgte.
Die Migrationsstrategie basierte Bottom-Up auf verschiedenen Loop-Unrolling bzw. Schleifen-Parallelierungs-Strategie über Thread-Parallelisierung und das Herausziehen und Caching von Zwischenergebnissen, aufgeführt prototypisch am Beispiel der Delphi nach Scala Portierung für die Datenverarbeitung mit Spark.
Ad 5: Da procmon.exe aber für längere verteilte Läufe mit einigen GBs an Daten abstürzte: Entwicklung einer Zeus-Rootkit basierenden API-Hooking-Methode für Win-API-Methoden wie ReadFile, WriteFile, Process Start, Process Exit, Thread Start, Thread Exit, CreateFile, MapViewOfFile und direkte Auswertung nur der relevanten Daten. Daraus Ableitung der Optimierungspotentiale und des Skalierungsverhaltens.
Ad 6: Etablierte Verfahren der Wirtschaftlichkeitsberechnung wie Discounted Cashflow, ROI/ROSI (Return on [Security] Investment), NPV (Net Present Value), Internal/External Rate of Return (IRR/ERR) können nicht-lineare Verläufe der zugrundliegenden Faktoren nicht berücksichtigen. Hier ging es jedoch neben eher konstanten Werten wie Inflationsrate, Interner Zinsfuß, Prozent pro Jahr veränderter Quelltexte durch CRs(Change Requests), effektive Firmen-Steuer-Rate weitgehend um Konjunktur- und Technologie-Wellen-abhängige Kosten- und Risiko-Faktoren wie (auf engl.): Hardware Upgrade/Repair, Scaling / Bigger data amounts, Administration, Inflexibility (e.g. no virtualization, no mandator capability), Development of Extensions/CRs, Errors due to Knowledge/People Loss, Time to hire Contractors, Training Time for Team Members, CPU/IO Utilization Inefficiencies, End User waiting Time, Reputation cost due to old Technology, Immature Technology/Toolset, Old Technology/Toolset, Lack of Motivation due to old Technology / old Age of Employees, Not being able to take advantage of latest Tech's Features in CRs, Poor interoperability, Workarounds due to technological deficiencies, Sudden technological dead End and Cost of immediate Technology Switch, Revolutionary sudden change costs.
Hierzu habe ich sehr aufwändige nichtlineare Kosten-Nutzen-Analysen für Keep-/Replace-/Modernization-Szenarien erstellt nachdem ich den Stand der Wissenschaft recherchiert hatte. Kern war die Approximation/Schätzung der Eingangsfaktoren über Datenreihen und Interpolation mit kubischen Splines. Dann wurde die Zeit in Tages-/Monats-/Quartals-/Jahres-Schritten hochgezählt und die Eingangswerte entsprechend per Spline-Interpolation geschätzt, kumuliert, abgeschrieben, abgezinst und zwischen den Keep-/Replace-/Modernization-Szenarien verglichen – jeweils mit Best-, Medium- und Worst-Case-Analyse in VBA. Ich habe eine graphische interaktive Auswertung hierzu mit TreeView und Pivot-Tabellen erstellt. Es ist eine wissenschaftliche Publikation hierzu geplant, denn das Verfahren kann generell für die Wirtschaftlichkeitsberechnung solcher nicht-linearer Keep-/Replace-/Modernization-Szenarien verwendet werden, insbesondere für Big-Data-Projekte.
Projektende: GE entschied sich schließlich, die Alt-Architektur selbst evolutionär mit In-Memory-Processing Technologien weiterzuentwickeln und wegen der Amortisierung erst nach 5-7 Jahren in diesem Projekt noch nicht Big Data zu nutzen.
Cloudera Hadoop, mit Spark (SQL, DataFrames, MLlib) + Alluxio (ex: Tachyon), SMACK (Spark, Mesos, Akka, Cassandra und Kafka), Amazon AWS mit Spark, testweise Apache Flink, PuTTY, VMware, Ubuntu.

Eingesetzte Qualifikationen

Apache Hadoop, Big Data

Big Data Architekt
GE (General Electric) Renewable Energies, Frankfurt/Main
10/2016 – 12/2016 (3 Monate)
High-Tech- und Elektroindustrie
Tätigkeitszeitraum

10/2016 – 12/2016

Tätigkeitsbeschreibung

Fachlich:
1.) Analyse der bestehenden Flex5-Tools in Pascal/Delphi sowie der zugrundeliegenden Mathematik, insbesondere bzgl. Parallelisierungs-, Verteilungs- und Caching-Möglichkeiten.
2.) Sammlung und Erarbeitung von evolutionären Verbesserungsmöglichkeiten der bestehenden Flex5-Lösung, z.B. durch mehr In-memory Processing und explizites Caching von Zwischenergebnissen.
3.) Erstellung einer Zielarchitektur basierend auf im Kern Spark mit Alluxio sowie Ergänzungen für den Einsatz im Intranet (on premise) und in AWS (Amazon Web Services, EC2) mit entsprechenden IT-Sicherheitsmaßnahmen und mit Migrationsstrategie.
4.) Abstimmung der Anbindung der parallel erarbeiteten AngularJS 2.1 Web-Benutzeroberfläche an das Backend.
5.) Analyse der Performance der bisherigen Lösung unter Windows/Linux mit procmon.exe sowie eigenem Win-API-Hooking-Tool und Python-Auswerte-Skripten. Export nach Excel in Excel-Pivot-Tabellen und Erstellung VBA-basierter komplexer Auswertungen.
6.) Wirtschaftlichkeitsberechnung der Migration in MS Excel per Formeln, VBA nach einem neu-entwickelten nicht-linearen Keep-/Replace-/Modernization-Szenarien-Verfahren, das sich auf ca. 20 nicht-lineare Kosten-Nutzen-Verläufe von ca. 50 Einflussgrößen stützt, die separat modelliert wurden.
Technisch:
Ad 3: Darin enthalten war auch eine kurze Betrachtung der besten Alternativlösungen (Flink, YARN, Storm + Trident, FastR, etc.) und Beschreibung von deren Vor- und Nachteilen.
Bzgl. IT-Sicherheit war neben dem Schutz gegen Hacker durch ein Bündel von Maßnahmen vor allem die korrekte Autorisierung und Zuordnung der Daten und Datenflüsse wichtig, was über Virtualisierung mit VMware oder Docker, Kubernetes, Rancher sowie über die Security-Toolkits Apache Sentry/Shiro, Knox, Falcon, Atlas erfolgte.
Die Migrationsstrategie basierte Bottom-Up auf verschiedenen Loop-Unrolling bzw. Schleifen-Parallelierungs-Strategie über Thread-Parallelisierung und das Herausziehen und Caching von Zwischenergebnissen, aufgeführt prototypisch am Beispiel der Delphi nach Scala Portierung für die Datenverarbeitung mit Spark.
Ad 5: Da procmon.exe aber für längere verteilte Läufe mit einigen GBs an Daten abstürzte: Entwicklung einer Zeus-Rootkit basierenden API-Hooking-Methode für Win-API-Methoden wie ReadFile, WriteFile, Process Start, Process Exit, Thread Start, Thread Exit, CreateFile, MapViewOfFile und direkte Auswertung nur der relevanten Daten. Daraus Ableitung der Optimierungspotentiale und des Skalierungsverhaltens.
Ad 6: Etablierte Verfahren der Wirtschaftlichkeitsberechnung wie Discounted Cashflow, ROI/ROSI (Return on [Security] Investment), NPV (Net Present Value), Internal/External Rate of Return (IRR/ERR) können nicht-lineare Verläufe der zugrundliegenden Faktoren nicht berücksichtigen. Hier ging es jedoch neben eher konstanten Werten wie Inflationsrate, Interner Zinsfuß, Prozent pro Jahr veränderter Quelltexte durch CRs(Change Requests), effektive Firmen-Steuer-Rate weitgehend um Konjunktur- und Technologie-Wellen-abhängige Kosten- und Risiko-Faktoren wie (auf engl.): Hardware Upgrade/Repair, Scaling / Bigger data amounts, Administration, Inflexibility (e.g. no virtualization, no mandator capability), Development of Extensions/CRs, Errors due to Knowledge/People Loss, Time to hire Contractors, Training Time for Team Members, CPU/IO Utilization Inefficiencies, End User waiting Time, Reputation cost due to old Technology, Immature Technology/Toolset, Old Technology/Toolset, Lack of Motivation due to old Technology / old Age of Employees, Not being able to take advantage of latest Tech's Features in CRs, Poor interoperability, Workarounds due to technological deficiencies, Sudden technological dead End and Cost of immediate Technology Switch, Revolutionary sudden change costs.
Hierzu habe ich sehr aufwändige nichtlineare Kosten-Nutzen-Analysen für Keep-/Replace-/Modernization-Szenarien erstellt nachdem ich den Stand der Wissenschaft recherchiert hatte. Kern war die Approximation/Schätzung der Eingangsfaktoren über Datenreihen und Interpolation mit kubischen Splines. Dann wurde die Zeit in Tages-/Monats-/Quartals-/Jahres-Schritten hochgezählt und die Eingangswerte entsprechend per Spline-Interpolation geschätzt, kumuliert, abgeschrieben, abgezinst und zwischen den Keep-/Replace-/Modernization-Szenarien verglichen – jeweils mit Best-, Medium- und Worst-Case-Analyse in VBA. Ich habe eine graphische interaktive Auswertung hierzu mit TreeView und Pivot-Tabellen erstellt. Es ist eine wissenschaftliche Publikation hierzu geplant, denn das Verfahren kann generell für die Wirtschaftlichkeitsberechnung solcher nicht-linearer Keep-/Replace-/Modernization-Szenarien verwendet werden, insbesondere für Big-Data-Projekte.
Projektende: GE entschied sich schließlich, die Alt-Architektur selbst evolutionär mit In-Memory-Processing Technologien weiterzuentwickeln und wegen der Amortisierung erst nach 5-7 Jahren in diesem Projekt noch nicht Big Data zu nutzen.
Cloudera Hadoop, mit Spark (SQL, DataFrames, MLlib) + Alluxio (ex: Tachyon), SMACK (Spark, Mesos, Akka, Cassandra und Kafka), Amazon AWS mit Spark, testweise Apache Flink, PuTTY, VMware, Ubuntu.

Eingesetzte Qualifikationen

Big Data, Apache Spark

Architekt Spark, Hive, Java, Scala
Deloitte Consulting mit Daimler Financial Services, Stuttgart
1/2016 – 9/2016 (9 Monate)
Banken
Tätigkeitszeitraum

1/2016 – 9/2016

Tätigkeitsbeschreibung

Fachlich: Erstellung einer Architektur für ein Corporate Memory als Digital Transformation / Digital eXperience (DX) Plattform, insbesondere die möglichst schnelle Erkennung von negativen Bonitätsveränderungen der eigenen Kreditnehmer bzw. Leasing-Kunden. D.h. wenn Kunden ihre Kredit- und Leasingraten kaum noch bezahlen können, soll dies möglichst schnell gemeldet werden, um als Bank darauf reagieren zu können.
Subtask 1: Erstellen eines Tools für die effiziente unbürokratische Anlage von durch Benutzer/Analysten zur Laufzeit neu eingefügten Datenbank-Strukturen (neue Tabellen und Attribute in Tabellen bzw. als Graph) für neue analytische Ansätze wie Vertrags-/Kundenanalyse, Credit Risk, Fraud Prevention/Fraud Detection und Machine Learning.
Subtask 2: Erstellen von Markt-Analysen und Zusammentragen von Best Practices für einen Corporate Memory.
Subtask 3: Konzeption/Implementierung von Bonitäts-Alerting Use Cases: a) Auskunftei wie Creditreform/Bürgel meldet Bonitätsreduktion, b) Leasing- oder Kreditrate konnte nicht abgebucht werden, c) geändertes Nutzungsverhalten des Autos (Connected Car Daten), die z.B. auf Bewerbungsgespräche schließen lassen (bei zuvor 9-to-5-Bürotag) oder langes Ausschlafen zuhause (Arbeitslosigkeits-Indikator), d) Geänderte Daten aus sozialen Netzwerken wie vermehrt Kontakte zu Festanstellungs-Recruitern, e) Infos aus der computerlinguistischen Analyse (Bedeutungsextraktion aus Texten/Dokumenten) von E-Mails, Verträgen, Memos, Handelsregistern und sonstigen textuellen Infos mit Apache Stanbol und Apache OpenNLP.
Subtask 4: Konzeption/Implementierung von Anti-Money Laundering (AML) und Anti-Fraud Use Cases auf Basis von Data Science Techniken sowie Computerlinguistik.
Technisch:
Ad 1) Konzeption eines effizienten Speicher-Formats für Graph-basierte Datenbank-Strukturen und auch Vererbung für die Nutzung mit Spark/Hive und Gegenüberstellung mit anderen Speicherungsstrukturen bzgl. Performance und Nutzbarkeit für verschiedene Use Cases. Dazu Implementierung verschiedener Use Cases mit Hive, Spark SQL, als Hive Makro und als Hive UDF mit Java/Scala und Messen/Vergleichen der Performance.
Ad 2) Marktanalyse und Proof-of-Concept (PoC) Konzeptionen/Entwicklungen zu
a) Hadoop-ETL-/BI-Technologien und Tool-Kombinationen, insbesondere Sqoop/JDBC, Falcon/Oozie, Hortonworks Dataflow, StreamSets, syncsort, Flume/Kafka/Flafka, Chukwa, Talend BD, Pentaho BD, IBM InfoSphere with IBM DataStage for BD, Trifacta, Informatica BD, Waterline Data Science, Rapid Miner, Intelligent Miner, Datameer, Paxata, platfora, Trillium, SploutSQL/Pangool, Apache Drill + Arrow, Cascading, Crunch, Twill, REEF, RHadoop, SAS, H2O, KNIME, Tableau, SAP Business Objects, Zoomdata,
b) Hadoop XML Verarbeitungs-Technologien und Tool-Kombinationen: Talend, Relational/ORC, JSON, Avro, Protobuf/Protostuff, XML->Relational, Graph-DB-Addon, Hive + ORC/Parquet, XML->HBase-Attribute, HyperJAXB, Relational DBs, HBase Phoenix, HAWQ, Simplified XML, Datanucleus, PostgreSQL.
c) Auswertung unterschiedlicher Persistenzbibliotheken hinsichtlich (De) Serialisierungsgeschwindigkeit, komprimierte Größe und wie effizient sie mit den verschiedenen Technologien integriert werden können: Avro, Profobuf, Protostuff, JSON mit Jackson & Alternativen, BSON, ...
d) Anbindungsmöglichkeiten (Spark-Driver, Storm-Driver, Flink-Driver, etc.) für Datenbanken/Caches/Query-Engines wie Hive, HBase, Cassandra, Cloudera Impala, Drill, Scylla DB, Aerospike, Alluxio, Druid, Splout SQL.
e) Daten-Bereinigung (Data Cleansing) und Performance der Hadoop-Tools speziell im Bereich Graph-basierter Daten: Spark mit GraphX, Storm-Graph mit Trident, Flink Graph (Gelly) sowie die relevantesten der zuvor analysierten weiteren Tools.
Ad 3) Konzeption und Implementierung der oben genannten Kern-Use Cases mit Spark & GraphX, Avro, Alluxio sowie Talend for Big Data sowie mit Hive-Graph-Addon als UDF-Implementierung (User-Defined Function).
Change Management/Versionierung mit Oracle Data Relationship Management (DRM).
DS Ansatz: Eine Mischung aus Hauptkomponentenanalyse, Nearest Neighbor Methoden, neuronale Netze, Zeitreihenanalyse, Anomalie-Erkennung, Assoziationsanalyse, Maximum-Likelihood-Schätzer, ...
Hortonworks Hadoop 2.3, insbesondere Spark mit SQL + DataFrames, Spark-Hive-Integration, Hive mit Tez, HCatalog, Beeline Shell, PuTTY, VMware, Spring Boot, SAP FS-BA, SAP HANA SAP BO (Business Objects), Cloud Foundry, OpenStack, Ubuntu.

GfK – Gesellschaft für Konsumforschung, Nürnberg (Marktforschung)
09/2015 – 01/2016
Konzeption des pace Systems als zentrales IT-System der Marktforschung und Ablösung von StarTrack zur Erstellung von Panel-Produkten zunächst für die Distributor-Märkte, d.h. die weltweiten Groß- und Einzelhandelsmärkte mit Perspektive auf andere Märkte wie Optik-Produkte, Media, etc.
Technischer Architekt Production Lines
Cloudera Hadoop, Spark mit SQL + DataFrames, Streaming, MLlib Oryx 2, RDDs + Caching (RocksDB/Tachyon), HBase, Oozie, HDFS, Docker, git, gerrit, gradle, IntelliJ IDEA, Sparx Enterprise Architect, Konfig.-Serialisierung mit Jackson, Java-Entwicklung, Testing mit Mockito und MRUnit; UI: HTML5 + AngularJS + Kendo-Framework; einheitliches Logging-/Tracing-Framework in Java/JavaScript mit ELK-Stack (Elasticsearch, Logstash, Kibana) + Redis, ActiveMQ, Icinga System Management, BI mit Cognos + Exasol DB, Monitoring mit Grafana, BPM mit Axon Ivy, externe Services mit Jboss + MySQL + Hibernate, LDAP-Anbindung; Evaluierung von Alternativen mit Storm + Trident, Cascading auf Basis von Tez, Crunch + HBase, Pivotal-Tools Geode + HAWQ, Anbindung an SAP BO (Business Objects), Ubuntu.
Erstellung der Building Blocks (Komponenten) bis hin zu den Klassendiagrammen + Code-Generierung. Konzepte erstellt für bi-temporale Versionierung und Verarbeitung der Daten, Differenz-Verarbeitung, optimiertes In-Memory Processing/Caching/Minimierung von Save-Load-Zyklen, flexibles Management und Laufzeit-Erweiterbarkeit von dynamischen Typen und Klassen, Umgang mit Streaming-Daten, deren Vereinheitlichung/Prüfung/Korrektur/Anonymisierung, Speicherung und häufigen Aktualisierungen von Zuordnungen wie Key-Code-Assignments, Umgang mit komplexen n-dimensionalen Datenräumen, BI-Analysen (Star-/Snowflake-Schema) mit einer Vielzahl heterogener interner und externer Datenquellen und Referenz-Datenbanken. Berücksichtigung neuer Use Cases wie Werbe-Effizienz-Analyse, Trend- und Sale-Erkennung, Produkt-Lebenszyklus-Erkennung, Konsequenzen von Branding vs. White-Label-Verkauf, Anbindung von Data Science Schnittstellen/Tools (Mahout, WEKA/MOA, Geode mit MADlib + HAWQ, LIBSVM, Spark mit MLlib + Oryx 2). Datenfluss-Analyse erstellt mit Empfehlung der verwendbaren Data Science Algorithmen zu erkennbaren Aufgabenstellungen. Konzeption von Logging, Monitoring und Reporting. Agiler Crystal Clear Prozess.
DS-Ansatz: Eine Mischung aus Hauptkomponentenanalyse, Nearest Neighbor Methoden, neuronale Netze, Zeitreihenanalyse, Anomalie-Erkennung, Apriori, Assoziationsanalyse, Maximum-Likelihood-Schätzer, ...
Projektende: Die Zielarchitektur wurde fertigkonzipiert. Das Requirements Engineering konnte – wegen fachlicher Komplexitäten und Abstimmungsprozessen - nicht genügend Input für die Weiterentwicklung bereitstellen und aufgrund stark rückläufiger Geschäftsentwicklung bei GfK wurde in 2015 weniger Budget für Externe in 2016 genehmigt.

Eingesetzte Qualifikationen

Big Data

Technischer Architekt Production Lines
GfK – Gesellschaft für Konsumforschung (Marktforsc, Nürnberg
9/2015 – 12/2015 (4 Monate)
Medienbranche
Tätigkeitszeitraum

9/2015 – 12/2015

Tätigkeitsbeschreibung

1. Erstellung der Building Blocks (Komponenten) bis hin zu den Klassendiagrammen + Code-Generierung
2. Konzepte erstellt für bitemporale Versionierung und Verarbeitung der Daten, Differenz-Verarbeitung, optimiertes In-Memory Processing/Caching/Minimierung von Save-Load-Zyklen, flexibles Management und Laufzeit-Erweiterbarkeit von dynamischen Typen und Klassen, Umgang mit Streaming-Daten, deren Vereinheitlichung/Prüfung/Korrektur/Anonymisierung, Speicherung und häufigen Aktualisierungen von Zuordnungen wie Key-Code-Assignments, Umgang mit komplexen n-dimensionalen Datenräumen,
3. BI-Analysen (Star-/Snowflake-Schema) mit einer Vielzahl heterogener interner und externer Datenquellen und Referenz-Datenbanken
4. Berücksichtigung neuer Use Cases wie Werbe-Effizienz-Analyse, Trend- und Sale-Erkennung, Produkt-Lebenszyklus-Erkennung, Konsequenzen von Branding vs. White-Label-Verkauf
5. Anbindung von Data Science Schnittstellen/Tools
6. Datenfluss-Analyse erstellt mit Empfehlung der verwendbaren Data Science Algorithmen.
IT-Umgebung: Cloudera Hadoop, Spark mit Streaming und Mllib, RDDs, Spark SQL + DataFrames + Caching, HBase, RocksDB, Oozie, Tachyon, HDFS, Docker, git, gerrit, gradle, IntelliJ IDEA, Sparx Enterprise Architect, Konfig.-Serialisierung mit Jackson, Java-Entwicklung, UI: HTML5 + AngularJS + Kendo-Framework; einheitliches Logging-/Tracing-Framework in Java/JavaScript mit ELK-Stack (Elasticsearch, Logstash, Kibana) + Redis, ActiveMQ, Icinga System Management, BI mit Cognos + Exasol DB, Monitoring mit Grafana, BPM mit Axon Ivy, externe Services mit Jboss + MySQL + Hibernate, LDAP-Anbindung; Evaluierung von Alternativen mit Storm + Trident, Cascading auf Basis von Tez, Crunch + HBase, Pivotal-Tools Geode + HAWQ.

Eingesetzte Qualifikationen

Datawarehouse / DWH

Software Architekt
KPT/CPT Krankenversicherung, Bern
7/2015 – 9/2015 (3 Monate)
Versicherungen
Tätigkeitszeitraum

7/2015 – 9/2015

Tätigkeitsbeschreibung

1. Business Process Optimization Konzept erstellt für den SW-Entwicklungsbereich.
2. Konzeption eines Tools zur stark automatisierten Verarbeitung von Kündigungen.
3. Einführung des Archiv-Systems T-Systems ImageMaster.
4. Modernisierung/Upgrade-Planung des OpenText Metastorm Business Process Management Systems (MBPM).
5. Verbesserung der IT-Sicherheit & des Datenschutzes bei VitaClic.ch, der elektronischen Patientenakte der KPT/CPT.
IT-Umgebung: MS Visual Studio 2013 mit C#, C++, ASP.NET, BizTalk, SharePoint, T-Systems ImageMaster, Visio, OpenText MBPM, Enterprise Architect, MS Office.

Eingesetzte Qualifikationen

Datenschutz, IT Sicherheit (allg.), Microsoft SharePoint Server, Enterprise Architect (EA), Visual Studio, C#, C++, C, ASP.NET, Prozessoptimierung, Management (allg.), Prozessmanagement, Archivierung, Public Relations, Forschung & Entwicklung (allg.)

Hadoop Architekt
Havas Media Gruppe (Siebtgrößte Medienagentur Euro, Frankfurt/Main
5/2015 – 7/2015 (3 Monate)
Medienbranche
Tätigkeitszeitraum

5/2015 – 7/2015

Tätigkeitsbeschreibung

Projektziele Big Data Projekt im Bereich zielgerichtete Online- und Mobile-Werbung durch Erstellung von Kundenprofilen. Konzeption einer Data Management Platform (DMP) in Kooperation mit TheADEX, Berlin. Datenaustausch mit diversen Medienpartnern und Zusammenführen dieser Daten zu Nutzerprofilen, Ableitung von Kunden-Interessen sowie Negativ-Merkmalen offline und in Echtzeit (Lambda-Architektur).

Aufgaben 1. Konzeption der Hadoop-Landschaft mit Anbindung an SAS incl. Hive/HCatalog, YARN-Algorithmen, Datenmodelle erstellt, Performance-Optimierung durch intelligente Verteilung, Java-Entwicklung.
2. Sicherheitskonzept erstellt zur Absicherung der Big Data Systeme sowie für die Daten-Anonymisierung.

IT-Umgebung Entwicklung/Konzeption unter Windows, Produktionsumgebung unter Linux (Hadoop, Teradata, SAS).
Tools: Pig, Avro, Sqoop2, Mahout, Kafka, Spark / Spark Streaming, Cascading, Tez, KNIME, Weka, Oozie, Chukwa, Ganglia, Sigar, Zookeeper, ORC, Parquet.
Protokolle/Formate: RESTful Webservices, WADL, http(S), OBD-II, CAN-Bus, Qualcomm-Tools (IoE – Internet of Everything, Protocol Analyzer), aber auch XML/XML Schema (XSD)/XSLT.
Libraries/Frameworks: MS RegExp.

Eingesetzte Qualifikationen

Waikato Environment for Knowledge Analysis (Weka), KNIME, Weka (Waikato Environment for Knowledge Analysis), Teradata, IT Sicherheit (allg.), Mobile Entwicklung (allg.), XML, Java (allg.), Internet / Intranet, HTTP, Webservices, XSLT (XSL Transformation), XSD (XML Schema Definition), Medien (allg.), Forschung & Entwicklung (allg.)

Hadoop Architekt
Siemens Corporate Technology / Healthcare IT, München
12/2014 – 6/2015 (7 Monate)
High-Tech- und Elektroindustrie
Tätigkeitszeitraum

12/2014 – 6/2015

Tätigkeitsbeschreibung

Projektziele Big Data Projekt zu Predictive Maintenance von Medizin-Geräten, vor al-lem im Radiologie-/Röntgen-Bereich (CTs, MRTs, C-Bogen, Spect-CTs, etc.), d.h. es sollen Service-Techniker möglichst vor dem Versagen ei-ner Komponente diese austauschen, um maximale Verfügbarkeit für die Patienten sicherzustellen.

Aufgaben 1. Konzeption der Hadoop-Landschaft mit Anbindung an Teradata und SAS incl. Hive/HCatalog, YARN-Algorithmen, Datenmodelle portable umge-setzt mit DataNucleus, Performance-Optimierung durch intelligente Ver-teilung, Java-Entwicklung, Arbeiten mit ORC und Parquet-komprimierten Daten.
2. Sicherheitskonzept erstellt zur Absicherung der Big Data Systeme sowie für die Daten-Anonymisierung

IT-Umgebung Entwicklung/Konzeption unter Windows, Produktionsumgebung unter Linux (Hadoop, Teradata, SAS).
Tools: Pig, Avro, Teradata QueryGrid/TDCH, Sqoop1/2, Mahout, Kafka, Spark / Spark Streaming, Cascading, Tez, KNIME, Weka, Oozie, Chukwa, Ganglia, Sigar, Zookeeper, ORC, Parquet.
Protokolle/Formate: RESTful Webservices, WADL, http(S), OBD-II, CAN-Bus, Qualcomm-Tools (IoE – Internet of Everything, Protocol Analyzer), aber auch XML/XML Schema (XSD)/XSLT.
Libraries/Frameworks: MS RegExp.

Eingesetzte Qualifikationen

KNIME, Weka (Waikato Environment for Knowledge Analysis), Teradata, IT Sicherheit (allg.), XML, C, C#, C++, Java (allg.), IT-Techniker (allg.), Internet / Intranet, HTTP, Webservices, XSLT (XSL Transformation), XSD (XML Schema Definition)

Sicherheits-Architekt und Entwickler
Bio-Identification Firmen Dermalog/FingerPayment,, Hamburg
10/2014 – 12/2014 (3 Monate)
Banken
Tätigkeitszeitraum

10/2014 – 12/2014

Tätigkeitsbeschreibung

Projektziele Erstellen eines Sicherheitskonzepts für die Nutzung von Fingerabdruck-Scannern für Bank-Automaten (ATM) und Mobile Banking, Umsetzung von Kernelementen dieses Konzepts im Rahmen eines Prototyps für Kunden-Showcases.

Aufgaben 1. Erstellen eines nach Wirtschaftlichkeit der Maßnahmen priorisierten Sicherheitskonzepts basierend auf der eigenen statistischen Sicherheits-Datenbank zu Gefährdungen/Gegenmaßnahmen (nach BSI/Common Criteria), erweitert um Gefährdungen/Gegenmaßnahmen im Bank und Fingerabdruck-Sensor-Bereich, insbesondere nach ISO 27745 2011 und ISO 19092.
2. Implementierung des Showcases für sichere Übertragung (ATM/Mobile Banking) mit Schlüsselverteilung, sicherem Schlüsselspeicher, PKI, RSA / IDEA, AES-GCM, DiffieHellman / FHMQV-C, SHA-2 / SHA-3, scrypt / bcrypt / PBKDF2.
3. Erweiterung auf Mobile Payment / Smartcards: Mifare Classic/Mobile, Global Platform (GP), Association Française du Sans Contact Mobile (AFSCM), Near Field Communication (NFC).
4. Demonstration der Sicherheit mit WireShark sowie eigenen Plugins, die verschiedene Datenformate im Datenstrom herauslesen und darstellen können.
5. Dokumentation und Vorbereitung/Planung der Weiterentwicklungen auf Software- und Hardware-Seite (Tamper Proofing, Integration in Bank-IT-Landschaften, etc.).

IT-Umgebung Windows/Embedded Linux.
Tools: MS Visual Studio und C++, boost Library, Krypto-Algorithmen: PKI, RSA / IDEA, AES-GCM, DiffieHellman / FHMQV-C, SHA-2 / SHA-3, scrypt / bcrypt / PBKDF2.
Protokolle/Formate: RESTful Webservices, WADL, http(S), OBD-II, CAN-Bus, Qualcomm-Tools (IoE – Internet of Everything, Protocol Analyzer), aber auch XML/XML Schema (XSD)/XSLT, WS-* Standards.
Libraries/Frameworks: MS RegExp.

Eingesetzte Qualifikationen

Hardware Entwicklung, BSI-Standards, IT Sicherheit (allg.), Betriebssysteme (allg.), Mobile Entwicklung (allg.), Visual Studio, XML, C, C#, C++, Telekommunikation / Netzwerke (allg.), ATM, Internet / Intranet, HTTP, Webservices

Konzeption der neuen Werbesteuerung, Verbesserung der bisherigen Werbe-steuerung
Chip Digital GmbH (Teil der Hubert Burda Media Gru, München
9/2014 – 10/2014 (2 Monate)
Medienbranche
Tätigkeitszeitraum

9/2014 – 10/2014

Tätigkeitsbeschreibung

Projektziele Weiterentwicklung und teilweise Neukonzeption einer Online-Werbesteuerung, d.h. jedem Besucher der Webseite möglichst viel passende Werbung einzublenden und dabei eine möglichst hohe Klickrate zu erzielen (Online-Werbung, Affiliate Marketing, Profil- und Interessenanalyse).

Aufgaben 1. Erfassen der Kundenanforderungen, der diversen technischen Browser-Features (Flash, Adblocker, HTML5, etc), Ansätze der Kundenprofilierung und Auswertung der Klickraten.
2. Daraus aufbauend Erstellen eines Konzeptes für eine Werbesteuerung abhängig von Visitor-Interessen-/-Profilen.
3. Test-Automationskonzept mit JavaScript, Scala und Docker Containern.

IT-Umgebung Linux, Entwicklung unter Windows.
Tools: JavaScript, node.js, bower, grunt, depend, mustache, angular.js, jquery, Google Analytics, zanox, Scala, PureScript, etc.
Protokolle/Formate: RESTful Webservices, WADL, http(S), OBD-II, CAN-Bus, Qualcomm-Tools (IoE – Internet of Everything, Protocol Analyzer), aber auch XML/XML Schema (XSD)/XSLT, WS-* Standards.
Libraries/Frameworks: MS RegExp.

Eingesetzte Qualifikationen

Linux (Kernel), Linux Entwicklung, XML, Scala, Java (allg.), Internet / Intranet, HTTP, Webservices, XSLT (XSL Transformation), XSD (XML Schema Definition), AngularJS, jQuery, JavaScript, ActionScript / Flash, Forschung & Entwicklung (allg.)

Konzeption der Big Data (Hadoop/IBM Big Insights) und der SAS Migration auf Eben
Allianz Versicherung, eine der größten Versicherun, München
7/2014 – 9/2014 (3 Monate)
Versicherungen
Tätigkeitszeitraum

7/2014 – 9/2014

Tätigkeitsbeschreibung

Projektziele Allianz Data Center Consolidation / Data Center Migration: Viele verteilte und oft kleine Data Centers sollen in weltweit nur 4 große und hochver-fügbare Data Centers migriert werden.

Aufgaben 1. Erfassen der Kundenanforderungen, Durchführung von Kundenworkshops.
2. Technische Analyse der zu migrierenden Systeme (ca. 6000 Systeme) auf Dokumentationslücken, Migrierbarkeit und mögliche Migrationsprobleme.
3. Erstellen der detaillierten technischen Migrationspläne (Word-Dokumente) unter Berücksichtigung der jeweiligen Best Practices in der Migration und im Betrieb von SAS und IBM Big Insights / Hadoop.
4. Planung des Einsatzes zusätzlicher IBM Tools (Blue Wash)
5. Dokumentation und Weitergabe des Wissens.

IT-Umgebung Tools: IBM-Produktpalette unter Linux/Windows/zOS: IBM Tivoli mit TADDM (Auto-Discovery), Security/IAM/ISMS (IBM Security (ex: Tivoli Federated) Identity Manager / Access Manager (ISIM/ISAM, ex: ITIM/ITAM)), IBM QRadar SIEM, IBM Appscan, IBM Integration Bus, IBM Migrationstools, VMware, IBM Integration Broker (IIB, früher als WebSphere Message Broker bekannt), IBM SPSS.
Protokolle/Formate: RESTful Webservices, WADL, http(S), OBD-II, CAN-Bus, Qualcomm-Tools (IoE – Internet of Everything, Protocol Analyzer), aber auch XML/XML Schema (XSD)/XSLT, WS-* Standards.
Libraries/Frameworks: MS RegExp.

Eingesetzte Qualifikationen

Access, ISAM, BSI-Standards, IT Sicherheit (allg.), z/OS, WebSphere, IBM WebSphere Application Server (WAS), IBM Tivoli Software, XML, Migration, Internet / Intranet, HTTP, Webservices, XSLT (XSL Transformation), XSD (XML Schema Definition)

Chief-API-Architect mit dem Schwerpunkt auf API-Funktionalität (Application Prog
Delphi, einer der größten Automobil-Zulieferer der, Großraum Hannover, Niederlande, USA, UK und Homeof
11/2013 – 6/2014 (8 Monate)
Automobilindustrie
Tätigkeitszeitraum

11/2013 – 6/2014

Tätigkeitsbeschreibung

Projektziele: Neuentwicklung eines MS Azure basierten internen Backend API für RESTful Webservices für das „Connected Car“ Projekt im After-Sales-Markt für europäische Märkte basierend auf einer bestehenden Version aus den USA, der zugehörigen iOS/Android App Backends sowie der APIs der On-Board-Units für die Fahrzeuge (Pkw, Lkw) und die Schnittstellen mit den Mobilfunkanbietern.
Fachlich:
1. Entwicklung von Geräte-APIs der On-Board-Units (OBU) unter Nutzung des OBD-II-Protokolls für die Fahrzeuge (Pkw, Lkw) und die Schnittstellen mit den Mobilfunkanbietern.
2. Architektur von MS Azure basierten internen Backend APIs für RESTful Webservices für europäische Märkte basierend auf einer bestehenden Version aus den USA.
3. Architektur von MS Azure basierten externen Cloud-Backend APIs für iOS/Android App Entwicklung für beliebige App Entwickler.
4. Architektur von MS Azure basierten externen Backend APIs für den Daten- und Kommandofluss sowie diverse Mehrwertfunktionen zwischen OBUs und Cloud-Backend (Car-to-Cloud-Kommunikation), Kompatibilität zu den eCall-Standards, Anbindung von Vodafone’s M2M-Plattform z.B. für das Durchleiten von SMS sowie Billing-Funktionalität.
5. Ausarbeitung der Architekturen für die Use Cases: Eco Driving, Car Health (Trouble Diagnostics) mit der Einholung von Reparatur-Angeboten in Echtzeit, Predictive Maintenance/Planen von Wartungsterminen, Erkennen von Diebstahl, Driving Log (Fahrtenbuch), Verkehrs- und Wettermeldungen bzw. Warnungen dazu, Behaviour-based Insurance, Augmented Reality mit virtuellen Stadtführungen bzw. intelligenteren Mehrwert-Navigationsfunktionen bis hin zur Parkplatzsuche und -Reservierung, Benzinpreis-Infos/nächste Tankstellen, Personal Radio, Heatmaps/Hotspots zu Events/Lokalitäten, Teilen von Daten auf unterschiedlichen Geräten, sonstige Fahrerassistenzsysteme, Personalisierung all dieser Dienste nach Nutzerinteressen und Nutzung für After-Sales-Services sowie weiterer ähnlicher Funktionen wie angeboten durch Apple CarPlay, Google Android Open Automotive Alliance (OOA), Windows Embedded Automotive, Qualcomm Adreno SDK, VW Car-Net, mercedes.me, GM Onstar, Automatic Link, MirrorLink, GENIVI Alliance.
6. Ausarbeitung der Sicherheitskriterien und Vorbereitung der Safe Harbour Datensicherheits-Zertifizierung.
Technisch:
1. Applikations- und Netzwerkarchitektur mit Windows Servern, Biztalk, sowie .NET Messaging Anwendungen (MSMQ), Firmware-OTA (FOTA). Erstellung von API-Konzept-Dokumenten und UML-Diagrammen zu oben genannten APIs. Implementierung durch Lieferanten: Lieferantenmanagement und Betreuung für Fragen/Testmanagement.
2. Sicherheits-Konzeption nach Common Criteria/BSI Grundschutz nach Bedrohungszenarien/Bedrohungskatalogen und deren Gegenmaßnahmen/ Sicherheits-Richtlinien auf Applikations-Ebene und Betriebssystems-Ebene nach statistischen Gewichtungen. Damit konnten die Gegenmaßnahmen unter Berücksichtigung der möglichen Gefahr (d.h. des Erwartungswertes der Verluste) und einer Kosten-Nutzen-Analyse der einzelnen Gegenmaßnahmen priorisiert werden innerhalb eines gegebenen Budgets.
3. Berücksichtigung von Sicherheits-Standards wie ISO 2700x, Open Source Security Testing Methodology (OSSTMM), OWASP Testing Guide, Web Application Attack and Audit Framework (W3AF), BSI WebApp-Sicherheitsbaustein (basiert auf/integriert ÖNORM A 7700), PCI DSS (Kartenterminals, Smartcards, Bezahlsysteme) und deren Umsetzung in Form von Sicherheits- und (Penetration-)Test-Konzeptionen.
4. Technische Begleitung von Referenzprojekten mit Kunden (ADAC, niederländischer ANWB, Vodafone, Telefonica/O2/EPlus) als Architekt und später als technischer Projektmanager/Testmanager. Nutzung der Qualcomm Tools QxDM (eXtensible Diagnostics Monitor) und QPST (für den UMTS Chipset) sowie PuTTY & WinSCP.
5. Über die eigenen und die Netzwerk-Segmente der Partner hinweg Abgleich von Kern-Nutzer-Daten sowie domänen-übergreifende Autorisierung mit OAuth.
IT-Umgebung: MS Azure (Cloud), Win64, C#, Microsoft .NET Framework 4.5.
Tools: Microsoft Biztalk, MS Visio, MS Office, Sparx Enterprise Architect, MS Visual Studio, Team Foundation Server (TFS), Qualcomm Tools QxDM (eXtensible Diagnostics Monitor) und Qualcomm QPST.
Protokolle/Formate: RESTful Webservices, WADL, http(S), OBD-II, CAN-Bus, Qualcomm-Tools (IoE – Internet of Everything, Protocol Analyzer), aber auch teilweise XML/XML Schema (XSD)/XSLT, WS-* Standards.
Libraries/Frameworks: MS RegExp.

Eingesetzte Qualifikationen

Microsoft SQL-Server (MS SQL), Microsoft Azure

IT-Architekt mit dem Schwerpunkt auf IT-Sicherheit, Kryptographie IT-Architekt m
Gematik, Regierungsprojekt / Gesundheitswesen, Berlin und Homeoffice, DE
8/2013 – 10/2013 (3 Monate)
Gesundheitswesen
Tätigkeitszeitraum

8/2013 – 10/2013

Tätigkeitsbeschreibung

Projektziel: Spezifikation der IT-Landschaft für Arzt-Praxen, Krankenhäuser und zentrale Telematik-Infrastruktur (TI) für die elektronische Gesundheitskarte (eGK) mit Schwerpunkt auf IT-Sicherheit.
Fachlich:
1. Konzeption einer Certificate Authority (CA) sowie einer PKI (Public Key Infrastruktur) zu Testzwecken und mit Unterstützung für Testautomatisierung.
Technisch:
1. Requirements Engineering für Certificate Authorities (CA)/ Public Key Infrastructures (PKI).
2. Erstellung und Präsentation einer Entscheidungsvorlage bzgl. teilweisem/vollständigem Make-or-Buy.
3. Architektur der CA/PKI im Rahmen der Make-Lösung unter besonderer Berücksichtigung von Test-Anforderungen zur Erzeugung diverser Klassen von Fehlern, Echtzeitfähigkeit, RESTful WS Schnittstelle.
4. Konzeption und Implementierung fehlender Features im Bereich Elliptical Curve Cryptography (ECC), Card Verifiable Certificates (CVC) sowie Gematik-spezifischer Standards für Smartcards/eGK sowie die Telematik-Infrastruktur (TI) für die gewählte EJBCA. Implementierung von Features wie sie von der Nexus CA bekannt sind und bislang genutzt wurden.
5. Pen-Test- und Acceptance-Test-Konzeption basierend auf Security Scannern & Tools: MetaSploit, Burp Suite, NeXpose, Nessus, Nmap, Acunetix-Websecurity Scanner, PeakflowX von Arbor, NTOSpider, NTODefend (DAST Tools), Skipfish, Fuzzing Tools, Burp Nessus, SoapUI (für WebServices), Core Impact, Google Skipfish, OWASP WebScarab, JBroFuzz, Zed Attack Proxy (ZAP), Scrubbr, SQLiX, Paros Proxy, IronWASP, W3AF, Syhunt Mini, N-Stalker, Watobo, VEGA, Netsparker, Andiparos, ProxyStrike, Wapiti, Grendel Scan, arachni, WebCruiser, JSky, jScan, ProxyStrike, PowerFuzzer, Sandcat, Ammonite, safe3wvs, WebGoat (unsich. App), Fiddler, ModSecurity.
6. Spezielle Berücksichtigung von Sicherheits-Standards wie ISO 2700x, Open Source Security Testing Methodology (OSSTMM), OWASP Testing Guide, Web Application Attack and Audit Framework (W3AF), BSI WebApp-Sicherheitsbaustein (basiert auf/integriert ÖNORM A 7700), PCI DSS (Kartenterminals, Smartcards, Bezahlsysteme) und deren Umsetzung in Form von Sicherheits- und (Penetration-)Test-Konzeptionen.
IT-Umgebung: Win32/Linux, Java, JBoss AS, Apache CXF WebServices.
Tools: Eclipse, Subversion/SVN, JBoss, Jama Contour (Requirements Engineering).
Protokolle/Formate: JDBC, WSDL, http(S), XML/XML Schema (XSD)/XSLT, WS-* Standards.
Libraries/Frameworks: RegExp, JAX-WS, JAXB, Apache CXF, AXIS2, slf4j/logback.

Architekt und teilweise Entwickler
BG Phoenics (Berufs-Genossenschaften- (BG)-Tochter, Hannover, DE und Homeoffice
2/2013 – 8/2013 (7 Monate)
Versicherungen
Tätigkeitszeitraum

2/2013 – 8/2013

Tätigkeitsbeschreibung

Projektziel: Erstellung einer neuen Architektur für ein flexibles Versions- und Änderungsmanagement. Konzeption und teilweise Umsetzung diverser Erweiterungen eines Eclipse-RCP- und LibreOffice-basierten Dokumenten- und Text-Baustein-Verwaltungssystems.
Fachlich:
Konzeption einer neuen zentralen Business-Logik- und Entity-Klassen-Schicht zum flexibleren Management von Änderungen, Versionen, Baselines, Releases sowie entsprechender Migrationsstrategien. Verbesserung der IT-Sicherheit sowie konzeptionelle Umsetzung diverser Change Requests.
Hintergrund: Die BG Phoenics ist zentraler IT-Dienstleister der Dt. Berufsgenossenschaften und deren 100%ige Tochter. Die weiterentwickelte Software dient hauptsächlich der komfortablen graphischen Verwaltung von juristisch korrekt formulierten Textbausteinen, die dann über viele Hierarchie- und Wiederverwendungsebenen zu Musterbriefen zusammengebaut werden. So wird sichergestellt, dass Sachbearbeiter keine großen Schulungen und juristische Kompetenzen benötigen, um dennoch rechtssichere Briefe ohne nennenswerte nachgelagerte Prüf- oder Korrekturaufwände erstellen zu können. Da es häufig um sechsstellige Summen im Zusammenhang mit Betriebsunfällen und Berufsunfähigkeit geht, was später nicht selten vor Gericht verhandelt wird, ist entsprechende Rechtssicherheit bei geringen Verwaltungskosten sehr wichtig.
Technisch:
1. Konzeption der Architektur mit dem MID Innovator 2012, LibreOffice Designer sowie bouml - Architekturbeschreibung mit MS Word bzw. LibreOffice.
2. Umsetzung eines Proof-of-Concept (POC) zur Umstellung der Office-Integration von OpenOffice 3.1 mit NOA-Library (Nice Office Access) auf LibreOffice 4.1 mit UNO-Library (Unified Network Objects, eine CORBA-ähnliche Library mit IDL-Syntax). OpenOffice bzw. später LibreOffice waren auch die Editoren des Dokumenten- und Text-Baustein-Verwaltungssystems.
3. Umstellung vom ins Produkt integrierten alten OpenOffice 3.1 auf LibreOffice 4.1 entsprechend des POC.
4. Automatisiertes Erzeugen von Logging- und Trace-Statements mittels eines selbstentwickelten Tools.
5. Verbesserung der IT-Sicherheit, der Speicherungs-, Archivierungs- und Migrationsmechanismen sowie der Erkennung von Inkonsistenzen und Verbesserung der Usability.

IT-Umgebung Eclipse RCP, Win32, Java/JEE, Remote Desktop, MS SQL Server, (Apache) Open Office, LibreOffice.
Tools: Eclipse, IBM Clearcase, Subversion/SVN, Maven, Maven Tycho (RCP-Integration), Jenkins, Sonar, MS Visio, Bouml.
Protokolle/Formate: JAX-RS, JAX-WS, JDBC, WSDL, http(S), XML/XML Schema (XSD)/XSLT, WS-* Standards.
Libraries/Frameworks: Spring 3.x, Hibernate, slf4j/log4j, Tomcat, Dojo.

Integrations-Architekt
European Patent Office (EPO), Den Haag, NL
9/2012 – 12/2012 (4 Monate)
Öffentliche Verwaltung
Tätigkeitszeitraum

9/2012 – 12/2012

Tätigkeitsbeschreibung

Integrations-Architektur zur Ablösung von 90% der IT-Systeme durch ein modernes Fall-Management-System mit DMS zur Bearbeitung der Patentanträge.

Fachlich:
Konzeption von Migrationsstrategien zur Einführung eines neuen Fall-Management-Systems (Case Management System) für den Patent-Lebenszyklus, Analyse der Vor- und Nachteile schwer- und leichtgewichtiger Java Enterprise Architekturen (SOA/ESB und REST) und Definition von Standards, Tools/Komponenten und Methodiken zur Ausgestaltung der Nutzung dieser Technologien.
Konzeption einer Zwischenschicht (Mediation Layer) zur Entkopplung der Legacy-Systeme gegenüber dem Case Management System und zur Durchführung der Migration von 90% der Legacy-System-Funktionalität hin zu Komponenten im Case Management System.

Technisch:
1. Aufnahme von Anforderungen (Requirements Engineering) und darauf basierend Evaluation von Technologie-Alternativen, insbesondere REST vs. SOA/ESB (MuleSoft, Apache ServiceMix), API Management Systeme (Apigrove, Vordel, Layer7, Apigee), Java Libraries (Spring REST, RESTlet, RESTEasy, Jettison, Apache CXF).
2. Erstellung eines RESTful Coding Styleguides mit Schwerpunkt auf Spring REST und JBoss RESTEasy.
3. Erstellung einer SOA-Strategie basierend auf TOGAF, einer REST-Strategie, von Konzepten & Design Guidelines für Mediation Layer, Enterprise-Architektur und Migration.
4. Basierend auf einer selbst erstellten Typologie der bestehenden Systeme, Konzeption einer Master-Architektur und einer Migrationsstrategie je Typus.
5. Aufwandsschätzung nach COCOMO2.
6. Konzeption eines Code-Analyse- und Code-Generierungs-Ansatzes zum Einlesen bestehender Java und COBOL Interfaces und zur Generierung von Java RESTful/SOA Web Services bzw. von Facaden daraus. Konzept zur graphischen Erstellung/Generierung von Adapter-Klassen über die Modellierung mit TalenD Open Studio. Integration von Facade und Adapter-Klassen in Wrapper-Libraries und Nutzung zur Entkopplung, Datenanalyse (Flüsse, Formate) und Systemmigration.
7. Konzeption der verlustfreien XML JSON Konvertierung und Integration in JEE-Apps über Annotations mit selbstentwickeltem Order-Maintaining Badgerfish-Algorithmus.
8. Konzeption von REST HATEOAS über standardisierte Content Rel(ations) sowie das Atom Publishing Format.
9. Erstellung eines Versioning-Konzeptes mit maximaler Robustheit gegen Änderungen in APIs: Neue Annotationen wie @LastSemanticChangeInVersion und @Since konzipiert und integriert in Maven Dependency Checking für nur inhaltliche/semantische (und sonst nicht erkennbare Änderungen) und offensichtliche Änderungen, deren Einführungsversion festgehalten wird. Verwendung von XPath und JSON-Path-basierten automatisierten Marshallern mit Spring 3.x zur Zuweisung von REST-Input-Parametern an Java-Methoden-Parameter.
10. Sicherheits- und Verfügbarkeits-Konzeption, IT-Security mit OAuth 1.0a/2.0 (alternativ teilweise SAML 2.0) sowie SPNEGO/Kerberos als bestehendem Mechanismus, Content Security, Logging/Tracing/Monitoring, Governance, Code Injection Checking Library mit BeanValidation Interface, ESAPI, Antisamy, CSRFGuard, AppSensor und Embedded SQL (ESQL).
11. Erstellen eines Logging/Monitoring/Tracing-Konzeptes basierend auf einem zweigleisigen Mechanismus über Java Instrumentation oder alternativ Code Generierung, die die bedarfsorientierte effiziente DB-/Text-Ausgabe, Analyse und visuelle Darstellung (Sequenz-Diagramme) aller Parameter aller Methoden mit allen ihren Embedded Types ermöglicht. In Kombination mit obigen Sicherheitstools sind so auch alle Teile eines übergeordneten verteilten Code Injection Angriffs erkennbar, auch wenn gegen einen einzelnen RESTful Service nur Fragmente eines Angriffs eingesetzt werden. Weiterhin lassen sich so Root Causes (ursprüngliche Ursachen) von Fehlern automatisiert erkennen und missbräuchliche Nutzungen (z.B. Massen-Download von verteilten IP-Adressbereichen) erkennen.
12. Identifikation und Vorschlagen von Komponenten/Techniken zur Umsetzung von Anforderungen an RESTful Systeme, die wegen der REST-Einschränkungen nicht direkt umsetzbar sind: Transaktionen, asynchrones/Event-basiertes Messaging, Routing, komplexe Content Transformationen, Format/Content/Protocol Mediation, gleiche und detaillierte Fehler-Behandlung, Unterstützung von Nicht-HTTP-Protokollen, Auditing/Monitoring/Logging/Tracing/Analytics, sicheres Schlüssel-/Token Management & Verteilung, komplexe per Regeln beschriebene Prozesse mit asynchronem Fremd-Input, komplette Testbarkeit mit Time-Travelling, Standard Kommunikations-Patterns (wie fire-and-forget, publish-subscribe,...), Batch Jobs / Scheduled Tasks mit Ausführungs-Kontrolle, ReliableMessaging.

IT-Architekt
Gematik (Regierungsprojekt im Gesundheitswesen), Berlin
4/2012 – 8/2012 (5 Monate)
Gesundheitswesen
Tätigkeitszeitraum

4/2012 – 8/2012

Tätigkeitsbeschreibung

Spezifikation der IT-Landschaft für Arzt-Praxen, Krankenhäuser und zentrale Telematik-Infrastruktur (TI) für die elektronische Gesundheitskarte (eGK) mit Schwerpunkt auf IT-Sicherheit.

Fachlich:
1. Konzeption der Konnektor-Funktionalität auf Anwendungs-Ebene: Verschlüsseln, Signieren, Hashen, Verifizieren für die Datenformate binär, PDF/A, XML, S/MIME, Text unter Anbindung von Kartenterminals, Smartcards.
2. Zuarbeit bzgl. Sicherheit zur Konnektor-Funktionalität auf Netzwerk-Ebene.
3. Konzeption der IT-Sicherheit (Gefährdungen/Gegenmaßnahmen) und Sicherheits-Test-Konzeption, Vorbereitung der Zertifizierung nach BSI Grundschutz mit dem BSI.
Technisch:
1. Aus-Spezifikation der Nutz- und Kontroll-Datenflüsse und Datenformate bis ins letzte Bit für alle denkbaren Krypto-Operationen: Verschlüsseln, Signieren, Hashen, Verifizieren, Anbindung an PKI unter Nutzung der existierenden Standards: PKCS#7, CMS, XaDES, XML-DSig, S/MIME, PC/SC, PDF-Crypt, PDF-Sign, Signaturgesetz und Signaturverordnung, GnuPG/GPG.
2. Sicherheits-Konzeption nach Common Criteria/BSI Grundschutz nach Bedrohungsszenarien/Bedrohungskatalogen und deren Gegenmaßnahmen/ Sicherheits-Richtlinien auf Applikations-Ebene (Informationssicherheits-Management-Systeme (ISMS), AntiVirus, AntiSpam, Content Verification mit Internet Connection Adaptation Protocol (ICAP) XML-Security (XSpRES), Canonical XML) und Netzwerk-Ebene (diverse Netzwerkprotokolle, Firewall-/VPN-Technologien, IDS/IPS/WAF Systeme und Virtualisierung, WLAN- und Mobile-Sicherheit). Nutzung von PKI mit X.509 und LDAP/Active Directory sowie Identity and Access Management (IAM).
3. Pen-Test- und Acceptance-Test-Konzeption basierend auf Security Scannern & Tools: MetaSploit, Burp Suite, NeXpose, Nessus, Nmap, Acunetix-Websecurity Scanner, PeakflowX von Arbor, NTOSpider, NTODefend (DAST Tools), Skipfish, Fuzzing Tools, Burp Nessus, SoapUI (für WebServices), Core Impact, Google Skipfish, OWASP WebScarab, JBroFuzz, Zed Attack Proxy (ZAP), Scrubbr, SQLiX, Paros Proxy, IronWASP, W3AF, Syhunt Mini, N-Stalker, Watobo, VEGA, Netsparker, Andiparos, ProxyStrike, Wapiti, Grendel Scan, arachni, WebCruiser, JSky, jScan, ProxyStrike, PowerFuzzer, Sandcat, Ammonite, safe3wvs, WebGoat (unsich. App), Fiddler, ModSecurity.
4. Berücksichtigung von Sicherheits-Standards wie ISO 2700x, Open Source Security Testing Methodology (OSSTMM), OWASP Testing Guide, Web Application Attack and Audit Framework (W3AF), BSI WebApp-Sicherheitsbaustein (basiert auf/integriert ÖNORM A 7700), PCI DSS (Kartenterminals, Smartcards, Bezahlsysteme) und deren Umsetzung in Form von Sicherheits- und (Penetration-)Test-Konzeptionen.

Sicherheits-Architekt
Deutsche Post/DHL, Darmstadt/Bonn/Homeoffice
3/2012 – 8/2012 (6 Monate)
Logistikdienstleister
Tätigkeitszeitraum

3/2012 – 8/2012

Tätigkeitsbeschreibung

Erstellung einer Sicherheitsarchitektur für das Projekt PostPaket 2012, Schwerpunkt Handscanner-Integration (HASCI) vom Zusteller beim Kunden bis hin zur Backend-IT, Umsystemen und der Paket-Verfolgung.

Fachlich:
Erstellen von sicherheits-relevanten Vorschlägen für die Architektur des Systems sowie Erstellung des Sicherheitskonzeptes unter Berücksichtigung zahlreicher Konzern- und Sicherheitsstandards. Durchführen von Sicherheits-Workshops und Beantwortung von sicherheitsrelevanten Fragen für alle Ansprechpartner im Projekt.

Technisch:
1. Sicherheits-Konzeption nach Common Criteria/BSI Grundschutz nach Bedrohungsszenarien/Bedrohungskatalogen und deren Gegenmaßnahmen/ Sicherheits-Richtlinien auf Applikations-Ebene (Informationssicherheits-Management-Systeme (ISMS), AntiVirus, AntiSpam, Content Verification mit Internet Connection Adaptation Protocol (ICAP) XML-Security (XSpRES), Canonical XML) und Netzwerk-Ebene (diverse Netzwerkprotokolle, Firewall-/VPN-Technologien, IDS/IPS/WAF Systeme und Virtualisierung, WLAN- und Mobile-Sicherheit). Nutzung von PKI mit X.509 und LDAP/Active Directory sowie Identity and Access Management (IAM), Attack-Tree-Erstellung und darauf aufbauende Analysen, Schutzbedarfsanalysen, End-to-End-Systemübersicht, Sicherheitskonzept und Analyse. Aufstellung von Assets, Vulnerabilities, Attacks, Threats, Mitigations, Policies nach Common Criteria/BSI GS und Ermittlung verbleibender Schwachpunkte sowie deren Ranking nach Wahrscheinlichkeiten/Erwartungswerten. Security-Maßnahmen auf Ebene von Architektur und Entwicklung, z.B. umfangreiche Daten(fluss)-Validierungen, Ergreifen der Gegenmaßnahmen mit dem besten Kosten-Nutzen-Verhältnis gegen die 250 wichtigsten Angriffstypen nach den 10 wichtigsten Security-Portalen wie OWASP.org, WebAppSec.org, cwe.mitre.org, etc. Für jeden der 250 wichtigsten Angriffe Sammeln/Konzipieren der Gegenmaßnahmen mit allen Details. Bewertung jedes Szenarios nach den oben genannten Kategorien. Dann wurden die Gegenmaßnahmen unter Berücksichtigung der möglichen Gefahr (d.h. des Erwartungswertes der Verluste) und einer Kosten-Nutzen-Analyse der einzelnen Gegenmaßnahmen priorisiert. Nach der endgültigen Entscheidung über die Maßnahmen, wurde das Restrisiko berechnet. Gegenmaßnahmen gegen neue Bedrohungen wurden in ähnlicher Weise neu bewertet und verwaltet.
2. Pen-Test- und Acceptance-Test-Konzeption basierend auf Security Scannern & Tools: MetaSploit, Burp Suite, NeXpose, Nessus, Nmap, Acunetix-Websecurity Scanner, PeakflowX von Arbor, NTOSpider, NTODefend (DAST Tools), Skipfish, Fuzzing Tools, Burp Nessus, SoapUI (für WebServices), Core Impact,, Google Skipfish, OWASP WebScarab, JBroFuzz, Zed Attack Proxy (ZAP), Scrubbr, SQLiX, Paros Proxy, IronWASP, W3AF, Syhunt Mini, N-Stalker, Watobo, VEGA, Netsparker, Andiparos, ProxyStrike, Wapiti, Grendel Scan, arachni, WebCruiser, JSky, jScan, ProxyStrike, PowerFuzzer, Sandcat, Ammonite, safe3wvs, WebGoat (unsich. App), Fiddler, ModSecurity.
3. Berücksichtigung von Sicherheits-Standards wie ISO 2700x, Open Source Security Testing Methodology (OSSTMM), OWASP Testing Guide, Web Application Attack and Audit Framework (W3AF), BSI WebApp-Sicherheitsbaustein (basiert auf/integriert ÖNORM A 7700), PCI DSS (Kartenterminals, Smartcards, Bezahlsysteme) und deren Umsetzung in Form von Sicherheits- und (Penetration-)Test-Konzeptionen.

Enterprise Architect und Solution Designer
Llyods Banking Group: Versicherungs-Zweig: Clerica, Heidelberg, Frankfurt/Main (DE), Bristol (EN), Lux
4/2011 – 3/2012 (1 Jahr)
Versicherungen
Tätigkeitszeitraum

4/2011 – 3/2012

Tätigkeitsbeschreibung

Modernisierung der Unternehmens-IT, Integration der verschiedenen IT-Welten aus der Zeit vor der Fusion, die Umsetzung gesetzlich geforderter Änderungen

1. Hauptaufgaben: Enterprise-/System-Architekt/Solution Designer für Verbesserungen und neue Lösungen, z. B. das Schreiben von Architekturen für Ausschreibungen/Lieferanten-Vorgaben (Outline Solution Design, OSD), die bei Lieferanten verfeinert werden. Wo möglich, war die Implementierung der Arbeitspakete ausgelagert. Ein angepasster PRINCE2-Standard wurde für das Projektmanagement eingesetzt.
2. Dokumentation der bestehenden Enterprise-Architektur per UML und anschaulicher Beschreibungen. Konzeption eines eTOM-Modells (electronic Target Operating Model) unter Berücksichtigung von TOGAF. Erstellung und Erweiterung von Datenmodellen mit Sparx Enterprise Architect. Integra-tion/Anpassung von SOX-und GxP-konformen Prozessmodellierungen mit BizAgi. Erarbeitung eines Corporate Dokumenten-Management-Prozesses und eines Architektur-Nutzungs- und Architektur-Update-Prozesses. Recherche und Dokumentation von Anforderungen in Bezug auf die IT-Systeme von Banken und Versicherungen, z. B. von MA Risk-VA, SOX (Sarbanes Oxley), GxP. Auf dieser Grundlage Erstellung von Vorschläge für die LBG-Architektur. Evaluation / Review von Architekturen sowie von Vorschlägen von Lieferanten.
3. Business Prozess-Analyse und Prozess-Optimierung mit dem Ziel der Kostenersparnis: Alle Systeme (HW/SW), Kontroll- und Datenflüsse, die relevant für geplante Änderungen waren, wurden auch auf Optimierungspotential betrachtet und Optimierungen konzipiert, z.B. anhand der "IT Cost Saving" Checklisten der Universitäten Cornell und Princeton. Häufige Maßnahmen: Virtualisierung oder Ablösung von Systemen, Vereinheitlichungen (HW/SW), Verfolgen des Flusses der Papier-Dokumente und deren Automatisierung z.B. durch DMS/Collaborative Editing/Workflow Management, Streamlining von Prozessen durch Automatisieren/Vereinfachen von Prozessketten oder die Delegation höherer Entscheidungskompetenz an Mitarbeiter. Technisch konnte dies z.B. häufig über den Einsatz von Echtzeit-Messaging (statt Batch-Jobs), Automatisierung, Konverter-Tools/Checker-Tools, De-Scoping sowie Offshoring stattfinden.
4. Erstellung eines Business Continuity Management (BCM) und Disaster Recovery Management (DRM) Konzeptes für den Desaster-Fall: Konzeption von Redundanz-Mechanismen mit Abhängigkeitsdiagrammen und einen physischen Disaster Recovery-Standort, also mit insgesamt 2 Standorten, mehreren Clustern, Failover-Mechanismen, VPNs, Zoning-Konzept (Access / Service / Backend / Admin-Zonen), WAF (Web Application Firewalls), IPS (Intrusion Prevention Systeme), selektive Fehlererkennung und Recovery-Mechanismen.
5. Konzeption / Transition-Management für ein Corporate eLearning-System basierend auf ILIAS 4.1.5 bzw. dem SCORM-2004-Format, Sicherheits-Bewertung von ILIAS und Argumentation der Sicherheit bzgl. der Konzern-IT.
6. Konzeption von / Transition-Management für ein firmeneigenes Intranet auf Basis von SharePoint 2010 Enterprise Edition. Verwenden von SharePoint, Integration von Mitarbeiter-/Gruppen-Suche, Newsletter, Interner Marktplatz, geschützter Bereich für Manager, Buchung von Geschäftsreisen, Taxis, etc. Extraktion von Daten aus dem alten Intranet und Beratung bei der Konvertierung in die SharePoint-Formate.
7. Konzeption des "Annual Statements Projekts" (jährliche Auskunft über das Versicherungskonto), das eine aktualisierte Version des Kunden-Reportings in Bezug auf die Werte ihrer Verträge, die Performance ihrer Fonds, die zu erwartenden Leistungen, etc. liefert.
8. Konzeption und grundlegende Umsetzung einer Quellcode-Analyse-Lösung mit spezieller Unterstützung für die Analyse von SQL / DDL, Perl, Java, C # und Cold Fusion Quelltexten zu UML-Klassen-und UML-Sequenzdiagrammen (als Teil der Gesamt-Architektur-Dokumentation).
9. Konzeption des Kommissions-Projektes, um die Provisionen für unabhängige Makler zu berechnen in einer neuen und optimierten Art und Weise mit SAP-CD (collec-tion/disbursement), Oracle GL (Hauptbuch), Life/400 und COR & FJA LF3/LF4 sowie einem Partner-Management-System.
10. Konzeption eines SAP-Upgrade-Projekts und Diskussion / Ausarbeitung mit ConVista (SAP Beratungsfirma) von 4.6 auf 6.0.4 bezüglich hauptsächlich FI/CO, CD mit SEPA und Riester-Rente Anpassungen.
11. Konzeption des SEPA/EBICS/ISO20022 Zahlungs-Projektes, um die neuen XML-basierten Zahlungen in 27 europäischen Ländern zu unterstützen mit IBAN / BIC bzgl. SDD (SEPA-Lastschriften; Direct Debit), SCT (SEPA Credit Transfer), EBICS (CCC, CCT, CDD, CDB), ETEBAC (Frankreich), DTA als grundlegende Format und erweitert um IBANs (Schweiz), MT940, CSV-, R-Transaktionen (Rückruf, Rücküberweisung, Absagen, Erstattungen, Ablehnungen, Retouren / revocations, reversals, rejections, refunds, refusals, returns) Management, die Fehlerbehandlung und Mandats-Management (Nachfolger Einzugsermächtigungen). Voraussetzung war der SAP-Releasewechsel und die Integration mit Oracle-GL (General Ledger, Hauptbuch), Life/400 und COR & FJA LF3/LF4/ZUL/TaxConnect.
12. Konzeption + Umsetzung aktualisierter/erweiterter Berechnungen in SQL unter Einbeziehung von Änderungen/Anpassungen und Interpretationen bzgl. der österreichischen Versicherungssteuer für die Systeme Life/400 und die Tarifberechnungs-Engine (Rechen-Kern + BIPRO Web-Services / Web-Frontend). Besondere Herausforderungen waren eine kurze gesetzliche Zeitspanne für viele Steuer-Varianten und steuerlichen Modelle für verschiedene flexible Versicherungsbedingungen, vielleicht die Flexibelsten Bedingungen auf dem österreichischen Markt (z. B. hinsichtlich der Aussetzung von Zahlungen, Zuzahlungen, Entnahmen und anderer Vertragsänderungen).
13. Architektur eines DMS-Addons für die konsistente Konsolidierung verschiedener Dokumente und Versionen unter Nutzung von Liferay als Portal-System sowie von Etherpad / TinyMCE als Rich-Text-Editoren. Das Addon erlaubt links das Laden/Erstellen/Bearbeiten/Speichern einer inhaltlichen Struktur für das Zieldokument sowie die Darstellung der Quelldokumente mit ihrer Struktur. Durch Anklicken wird jeweils das entsprechende Kapitel im Rich-Text-Editor angezeigt. Satz-, Absatz- oder Abschnitts-weise können Inhalte per Drag & Drop in die Ziel-Dokument-Struktur abgebildet werden. Bereits vorhandene Passagen werden farblich markiert zur Erkennung von Doppelungen oder Unterschieden zwischen Versionen. Auch das direkte Editieren der Passagen im Zieldokument ist möglich. So konnten hunderte Entwicklungs-Dokumente aus verschiedenen Teams bzw. von älteren Ständen schnell und kostengünstig integriert werden.
14. Konzeption einer SIP-/VoIP-Callcenter-Integration mit Asterisk / Sipgate und einer Homeoffice-Integration mit DD-WRT/OpenWRT und Asterisk. Konzeption / Programmierung gegen eine TAPI-Schnittstelle in C + + / C # unter Verwendung von SIP TAPI / AstTapi. Evaluierung von Yate, Asterisk, Sipek2, Twinkle, Starface, Si-phon, PJSIP, JSIP, Jain, SIP.NET, Konnectic SIP. Umsetzung der RFCs 3261, 3265, 3515, 3665, 3725, 3853, 4235, 4320, 4916 direkt oder durch Nutzung von Bibliotheken z. B. für TAPI. Telefonate können vom PC/Laptop aus gestartet werden und werden kostengünstig über SIP abgewickelt und direkt im web-basierten CRM-System zugeordnet, auch wenn sie direkt über das Telefon gestartet wurden oder es sich um eingehende Anrufe handelt. So werden 100% der Kundenkontakte erfasst.
15. Konzeption / Erstellung eines Prototyps zur interaktiven Eingabe von Zahlungen in Online-Banking-Schnittstellen (im Konzept ähnlich sofortueberweisung.de) zum Einrichten von klassischen oder SEPA-Zahlungen für einen Vertrag für die einfache und interaktive Auflösung von R-Transaktionen. Dies war Teil der schlanken Prozess-Management-Initiative. Die JEE / Grails App verwendet HBCI4Java, Web Mining/Scraping und Groovy / Grails mit jQuery, YUI, Hibernate, Captcha, Spring Security.
16. Co-Konzeption des italienischen Anti-Money-Laundering (AML) Projekts mit NameSafe, KYC (Know Your Customer), WinTar und Listen von PEPs (politisch exponierten Personen), Blacklists und maßgeschneiderten Regelsätzen.
17. Beurteilung / Co-Konzeption / Erweiterung für eine Dynamic Hybrid Versicherungs-Vertrags-Line für alle drei Stufen (Basisrente / Rürup, Riester-Rente, private Rentenversicherung). Dies bedeutet, dass Garantien für Mindestleistungen bzw. den Grad des Erhalts der Kunden-Einlage gegeben werden, aber zusätzlich eine wesentliche Beteiligung an steigenden Aktienkursen vereinbart wird: Sicherheit für investiertes Geld kombiniert mit der Teilnahme an steigenden Börsentrends (bessere Leistung).
18. Als Testmanager/Projektmanager Erstellung eines konzernweiten Last- und Performance-Testing-Konzeptes: Evaluation der Produkte/Tools: Linux Test Project (LTP) für OS Load Testing; JMeter, The Grinder, HP Quick Test Professional/HP Quality Center für (Web-)Anwendungs-Last-Testen; DBMonster für Datenbank-Last-Tests; Spezial-Test-Programmen/Plugins für LDAP- E-Mail-, SSL-/JDBC-/ODBC-/FTP-/Security-Testing. Evaluation der weiteren Tools MS Visual Studio Test Professional/Visual Studio Test Manager, Perl Testing Modules (Test-Harness, Test-DBIx, Test-C2FIT, Test::FIT), Fitnesse, Test Code-Generierungs-Tools. Erstellung und Halten von Präsentationen zu den Best Practices, Prinzipien, Herausforderungen und Lösungen im Last-/ Performance-Testing.

Mobile Architect, Projektleitung Offshore Entwicklung
iOs/Android App Stores / Endkunden, Homeoffice
1/2011 – 3/2014 (3 Jahre, 3 Monate)
Medienbranche
Tätigkeitszeitraum

1/2011 – 3/2014

Tätigkeitsbeschreibung

Projektziel: Entwicklung von Android/iOS Apps (iPhone, iPad), hauptsächlich im Bereich Lernsoftware und Krypto-Tools.
Aufgaben Typische fachliche Aufgaben: 2D- und 3D-Visualisierung für Lernsoftware: Sprachlernen und assoziatives Lernen, Konzeption wiederverwendbarer C++/Objective C/Java/JavaScript Frameworks.
Typische technische Aufgaben:
1. Erstellung von Architektur-Dokumenten (Word-Dokumente mit UML-Diagrammen).
2. Kommunikation/Abstimmung mit Offshore-Entwicklern.
3. Recherche geeigneter kommerzieller oder Open Source Frameworks sowie Austesten/Prototyping mit diesen Tools.
4. Code Review der gelieferten Quelltexte.
5. Akzeptanz-Testing der erstellten Software.
6. Integration von Komponenten, Beseitigung von Fehlern, Refactoring.
7. Internationalisierung von Texten, Audio- und Video-Dateien mithilfe von selbstrekrutierten internationalen Freiberuflern.
8. Integration von 2D-/3D- oder Sound-/Video-Dateien in die Anwendung.
Basis-Toolkits für die Anwendungserzeugung:
• (Objective) C/C++, Grafik-Fokus (2D/3D), intensiv benutzt: Cocos2d-x, Irrlicht (alle Open Source), Unity3D; angetestet: Unreal Engine, Coronalabs, SIO2.
• Java (nur angetestet), Grafik-Fokus (2D/3D): Coronalabs, Shiva Engine/ShiVa3D, Gideros Mobile.
• JavaScript/HTML5 (nur angetestet): Appcelerator/Titanium Mobile, PhoneGap, RhoMobile, MoSync (können jeweils native Apps erzeugen obwohl Web-Technologien mit hoher Produktivität zur Programmierung verwendet wurden; geeignet für alle Apps sofern keine großen Performance- und/oder komplexe 2D-/3D-Grafik-Anforderungen gestellt werden).
• Cross-platform general-purpose mobile Libraries, intensiv benutzt: MoSync, Corona SDK, Qt & mobile Portierungen, JUCE.
Produktlinien-Architektur: Erstellung einer hoch-wiederverwendbaren Bibliothek basierend auf einer Produktlinien-Architektur für 2D-App mit Pseudo-3D-Effekten. Die Bibliothek unterstützt die Digitalisierung aller klassischen Spiele mit Karten, (Domino- oder Spiel-)Steinen, Spielfiguren, usw. Das bedeutet, dass jedes klassische Spiel umsetzbar ist mit minimalem Aufwand unter Benutzung der hoch-wiederverwendbaren Produktlinien-Architektur.
Mobile Test Frameworks: Monkey Talk (komplettestes Event-Capturing), Nativedriver, Calabash, SeeTest, Selenium.
Tools/Libraries: Autodesk Maya3D, Adobe Photoshop, Adobe Illustrator, Corel Draw, Corel Photopaint, Crystal Space, Open Scene Graph (OSG), OpenGL ES (API), MonkVG, SVGL, Inkscape, Open Asset Import, As3swf.
IT-Umgebung MacOS mit XCode, iOS, Android mit Java oder NDK (Native Development Kit, C/C++), Eclipse, JavaScript, teilweise Windows mit MS Visual Studio, MS Office, MS Visio: Subversion, CVS, make, g++, MySQL, PostgreSQL, NoSQL, Apache Tools, XML.

Architekt & Security-Spezialist
Alliance Boots Group: ANZAG, MegaPharm, Sankt Augustin
8/2010 – 3/2011 (8 Monate)
Life Sciences
Tätigkeitszeitraum

8/2010 – 3/2011

Tätigkeitsbeschreibung

Analyse und Verbesserung der Architektur sowie der IT-Sicherheit (Security) eines Praxis- & Tumor-Dokumentationssystems basierend auf JEE, Google Web Toolkit (GWT), GXT, Hibernate, Spring, Dozer, Batik, Atomikos, Drools sowie Testautomatisierung mit JMeter, Selenium und EasyMock.

1. Ausarbeitung eines Sicherheitskonzeptes für Architektur, Entwicklung und die Test-Automatisierung, basierend auf Common Criteria, BSI Grundschutz sowie diversen ISO-Standards. Umsetzung der wichtigsten Security-Maßnahmen auf Ebene von Architektur und Entwicklung, z.B. umfangreiche Daten(fluss)-Validierungen, Ergreifen der Gegenmaßnahmen mit dem besten Kosten-Nutzen-Verhältnis gegen die 250 wichtigsten Angriffstypen nach den 10 wichtigsten Security-Portalen wie OWASP.org, WebAppSec.org, cwe.mitre.org, etc. Für jeden der 250 wichtigsten Angriffe Sammeln/Konzipieren der Gegenmaßnahmen mit allen Details. Bewertung jedes Szenarios nach den oben genannten Kategorien. Dann wurden die Gegenmaßnahmen unter Berücksichtigung der möglichen Gefahr (d.h. des Erwartungswertes der Verluste) und einer Kosten-Nutzen-Analyse der einzelnen Gegenmaßnahmen priorisiert. Nach der endgültigen Entscheidung über die Maßnahmen, wurde das Restrisiko berechnet werden und die Ergebnisse wurden für die Vermarktung der Lösung verwendet. Nach der Implementierung von Gegenmaßnahmen wurde auf Basis der erzielten Qualität trotz Budget-Kürzungen z.B. bzgl. Penetration Tests eine erneute Bewertung vorgenommen und mögliche Verbesserungsmaßnahmen priorisiert. Gegenmaßnahmen gegen neue Bedrohungen wurden in ähnlicher Weise neu bewertet und verwaltet.
2. Pen-Test- und Acceptance-Test-Konzeption basierend auf Security Scannern & Tools: MetaSploit, Burp Suite, NeXpose, Nessus, Nmap, Acunetix-Websecurity Scanner, PeakflowX von Arbor, NTOSpider, NTODefend (DAST Tools), Skipfish, Fuzzing Tools, Burp Nessus, SoapUI (für WebServices), Core Impact, Google Skipfish, OWASP WebScarab, JBroFuzz, Zed Attack Proxy (ZAP), Scrubbr, SQLiX, Paros Proxy, IronWASP, W3AF, Syhunt Mini, N-Stalker, Watobo, VEGA, Netsparker, Andiparos, ProxyStrike, Wapiti, Grendel Scan, arachni, WebCruiser, JSky, jScan, ProxyStrike, PowerFuzzer, Sandcat, Ammonite, safe3wvs, WebGoat (unsich. App), Fiddler, ModSecurity. Dabei erfolgte die Berücksichtigung von Sicherheits-Standards wie ISO 2700x, Open Source Security Testing Methodology (OSSTMM), OWASP Testing Guide, Web Application Attack and Audit Framework (W3AF), BSI WebApp-Sicherheitsbaustein (basiert auf/integriert ÖNORM A 7700), PCI DSS (Kartenterminals, Smartcards, Bezahlsysteme) und deren Umsetzung in Form von Sicherheits- und (Penetration-)Test-Konzeptionen.
3. Design und Implementierung einer Validierungs-Bibliothek für die Client-und Server-basierte Validierung der Client-Seite mit Support für GWT (GXT) in einem Modus mit JavaScript (Programmierung einer Validierungs-Komponente in JavaScript) oder mit GWT-JavaScript-Verbindung via JSNI für aus Performance-Gründen, weil JavaScript bzgl. Regular Expressions nicht direkt von GWT unterstützt wird. Auf der Serverseite dies ist in Java implementiert und wird GWT-konform gehalten.
4. Erstellung eines Web-Anwendungs-Test-Konzepts, das explizit die 50 wichtigsten Angriffs-Techniken auflistet, insbesondere mit allen gängigen Arten von XSS / XSRF, Code-Injection und andere Arten von Angriffen in so vielen Beispielen/Varianten wie möglich. Dieses Konzept wird zum Testen der Validierungs-Library und der sonstigen Sicherheitsmaßnahmen eingesetzt.
5. Design / Überwachung der Umsetzung der identifizierten Gegenmaßnahmen und Eindämmungsmaßnahmen im Rahmen der Umsetzung des Sicherheitskonzeptes gemäß Common Criteria (CC).
6. Erstellung einer Java Security Library unter Nutzung/Integration der Best-Practice-Sicherheitsbibliotheken, z. B. von OWASP sowie ScalaCheck (über Java und Scala).
7. Datenkonvertierungs-Konzept für klinische/onkologische Daten / Coaching bzgl. Talend Open Studio (ETL).
8. Verwendung von UML Lab, ein Eclipse-basiertes UML Round-Trip-Tool von Yatta in einem freundlichen User Test basierend auf Open ArchitectureWare (OAW): Verwendung / Anpassung von Analyse / Generation-Vorlagen in OAW: Xtext, Xpand, JET.

Software-/System-Architekt im Kernteam mit Schwerpunkt Security & Transition Man
Dt. Telekom/T-Systems: De-Mail-Projekt, Darmstadt + Frankfurt/Main, DE
7/2010 – 10/2011 (1 Jahr, 4 Monate)
Telekommunikation
Tätigkeitszeitraum

7/2010 – 10/2011

Tätigkeitsbeschreibung

Konzeption, Abschätzung der Machbarkeiten und Zusammenhänge, Realisierung, Test; Delivery und Zertifizierung eines E-Mail- und Dokumenten-Speicherungs-Systems nach De-Mail-Gesetzesvorlage & Security-Vorgaben von der Behörde BSI. Hierdurch erlangen De-Mails gleiche Beweiskraft wie eingeschriebene Briefe und können für die verbindliche Behördenkommunikation verwendet werden. Slogan: Verbindlich, vertraulich, verlässlich.

1. Haupaufgaben: Software-/System-Architekt: Netzwerkstruktur (Zonenkonzept: Access-, Service- und Backend-Bereiche, Admin-LAN), Security, Storage, Datenbanken, VPN, Konnektoren, Gateways, Application Server, Services, Applikationen, Frontends, Krypto-Konzept (Schlüssel-Lebenszyklus, Algorithmen, Zertifikatsprofile, OTP, Secure Tokens, Smartcards); Host-/Network-based Intrusion Detection Systems (HIDS/NIDS) mit Active Bypass Units (ABPU), Nutzer- und Rechte-Konzepte, Prozessentwurf/Prozessdesign, Prozessimplementierungen bzgl. Krypto-Material, Disaster Recovery, Compliance (mit gesetzlichen und Security-Auflagen), Anbindung Elektronischer Personalausweis (ePA/nPA), Zuarbeit Projektmanagement: Schnüren von Arbeitspaketen, Zeit- und Kostenschätzungen; Technologie der Web-Applikationen: GWT, ExtGWT/GXT/Vaadin RIA frameworks, HTML5 (canvas, SVG, etc.), BST media player (video support), GWT graphics, Gwtrpc-spring, Spring (lightweight IOC container), GWTEventService, Hibernate (ORM), Envers (Auditing), Lucene (fulltext search), Apache CXF (webservices), EhCache, Dozer (object mapping), JasperReport (reporting), Jasypt (encryption), JBoss Drools (workflow and rules engine), Atomikos Transaction Essentials (JTA manager), Apache Tomcat.
2. Erstellung eines Clustering-Architektur-Konzeptes mit günstiger Standard-Hardware nach Vorbild von Google und LinkedIn (Search, Network, Analytics SNA): Hadoop, Google File System (GFS), Google Distributed Systems, verteilte Datenbanken Voldemort und Sensei; wesentliche Algorithmen & Datenstrukturen: Map-Reduce, BigTable/Hypertable, Sawzall, Compression, Encryption.
3. Projekt-Management: Abstimmung der Lösungsideen und Vorgehensweisen als Architekt im Core-Team mit ca. 20 anderen Teams innerhalb der Telekom sowie von Software- und Hardware-Lieferanten, insgesamt ca. 300 Mitarbeiter umfassend. Organisation von Meetings, Telkos, Präsentation und Abstimmung von Lösungen, Führen von Diskussionen bei diversen Zielkonflikten zu Lösungen: am schnellsten umzusetzende, am schnellsten laufende, sicherste, am leichtesten zu zertifizierende, preisgünstigste, kompatibelste, risikoarmste, aus renommiertesten Komponenten bestehende, mit bestem Support versehene. Umgehen mit hohem Arbeits- und Zeitdruck unter Erzeugung möglichst weniger Desillusionierungen, Verlusten an Produktivität und mit minimaler Notwendigkeit bereits erarbeitete Teilergebnisse verwerfen zu müssen.
4. Transition Management Entwicklung -> Betrieb: Konzipieren/Mitumsetzen der Entwicklungs-, Test- und Produktivumgebungen nach TSI-Standards (z.B. Hitnet, Blade, eTOM (Enhanced Telecom Operations Map), TOGAF, GDM (Group Domain Model)…) sowie mit neuen Komponenten als zukünftige Betriebsstandards; Prozessoptimierung, Begleitung Testmanagement, Changemanagement, Releasemanagement.
5. Erstellung von Security-Zertifizierungs-Unterlagen nach BSI-Grundschutz/ Common Criteria, z.B. Attack-Tree-Erstellung und darauf aufbauende Analysen, Schutzbedarfsanalysen, End-to-End-Systemübersicht, Sicherheitskonzept und Analyse. Aufstellung von Assets, Vulnerabilities, Attacks, Threats, Mitigations, Policies nach Common Criteria und Ermittlung verbleibender Schwachpunkte sowie deren Ranking nach Wahrscheinlichkeiten/Erwartungswerten.
6. Konzeption/Überwachung der Implementierungen der identifizierten Gegenmaßnahmen im Rahmen eines Sicherheitskonzeptes nach Common Criteria (CC). Anspruch, des De-Mail-Systems ist, das sicherste IT-System in Deutschland zu sein, denn bei einer Kompromittierung würde damit auch das vom Grundgesetz geschützte Postgeheimnis verletzt. Schließlich werden auch besonders brisante Inhalte wie Steuer- und Strafbescheide, Krankenberichte, etc. über De-Mail zugestellt werden. Die Zertifizierung erfolgt nach den höchsten BSI-Standards in breitestmöglicher Auslegung, wie dies wohl noch nie für ein solch großes System geschah. Eine besondere Tätigkeit war die Analyse erfolgreicher Hacks, wobei insbesondere die Analyse/die Hintergrundrecherche des Diginotar-Hacks (Niederlande) zeigte, dass der Abgleich unter den HSMs per SSL unzureichend bzgl. Session-Refresh-Angriffen gesichert war.
7. Erstellung von (Schulungs-)Unterlagen für den Betrieb; Kompetenztransfer
8. Erstellen eines Sicherheitskonzeptes für Web-Frontends allgemein nach dem Baukastenprinzip basierend auf den wesentlichen Frontend-Komponten: WebApp allgemein, JavaApp, GWT-App, JavaScript-/AJAX-App. Das konkrete Sicherheitskonzept umfasste insgesamt das Vaadin-GWT-basierende Frontend sowie die Backend-Anbindung, das alle sinnvollen detaillierten Vorgaben/Bewertungen auf Management- und Technik-Ebene in separaten Excel-Eingabefeldern berücksichtigt. Dann werden unter Hinzuziehung der 10 wichtigsten Security-Portale (OWASP.org, WebAppSec.org, cwe.mitre.org, etc.) jeweils über 100 der wichtigsten Angriffs- und Gegenmaßnahmen mit all ihren Bewertungs-Details aufgelistet und auf das jeweilige Szenario angepasst bewertet sowie nach den o.g. Kategorien sortiert und zu einem Gefährungspotential (Erwartungswert des Schadens) sowie einer Kosten-Nutzen-Analyse der einzelnen Gegenmaßnahmen kondensiert. Nach abschließender Entscheidung über die Maßnahmen kann das verbleibende Restrisiko berechnet werden und die guten Ergebnisse für das Marketing der Lösung verwendet werden. Nach Umsetzung/Implementierung der Gegenmaßnahmen kann im Zuge von Qualitäts- und Penetration-Tests ein Re-Assessment durchgeführt werden und Verbesserungsmaßnahmen und Gegenmaßnahmen gegen neue Bedrohungen wieder gleich exakt bewertet und gemanagt werden.
9. Konzeption und Implementierung einer Validierungslibrary für Client- und Server-basierte Validierung sowie anschließendes Testmanagement; clientseitig mit Unterstützung für GWT (GXT+Vaadin) sowie in einem Modus nur mit JavaScript (Programmierung einer Validierungskomponente in JavaScript) bzw. mit GWT-JavaScript-Anbindung via JSNI aus Performance-Gründen, weil GWT die JavaScript-RegularExpressions nicht direkt unterstützt. Serverseitig in Java implementiert und GWT-konform gehalten. Ergänzung um Check-Funktionen in Scala sowie ScalaCheck.
10. Erstellen eines Web-Application-Testkonzeptes, das die ca. 50 wichtigsten Angriffstechniken insbesondere mit allen wichtigen Arten von XSS/XSRF, Code Injection und sonstigen Angriffsvarianten in möglichst vielen Darstellungsvarianten explizit aufführt. Nutzung der Security Scanner & Tools: MetaSploit, Burp Suite, NeXpose, Nessus, Nmap, Acunetix-Websecurity Scanner, PeakflowX von Arbor, NTOSpider, NTODefend (DAST Tools), Skipfish, Fuzzing Tools, Burp Nessus, SoapUI (für WebServices), Core Impact, Google Skipfish, OWASP WebScarab, JBroFuzz, Zed Attack Proxy (ZAP), Scrubbr, SQLiX, Paros Proxy, IronWASP, W3AF, Syhunt Mini, N-Stalker, Watobo, VEGA, Netsparker, Andiparos, ProxyStrike, Wapiti, Grendel Scan, arachni, WebCruiser, JSky, jScan, ProxyStrike, PowerFuzzer, Sandcat, Ammonite, safe3wvs.
11. Berücksichtigung von Sicherheits-Standards wie ISO 2700x, Open Source Security Testing Methodology (OSSTMM), OWASP Testing Guide, Web Application Attack and Audit Framework (W3AF), BSI WebApp-Sicherheitsbaustein (basiert auf/integriert ÖNORM A 7700), PCI DSS (Kartenterminals, Smartcards, Bezahlsysteme) und deren Umsetzung in Form von Sicherheits- und (Penetration-)Test-Konzeptionen.
12. Evaluation von Techniken/Toolkits/Standards für die Konsolidierung von Dokumenten sowie für Dokumenten-Management-Systeme (DMS) sowie Portale. Evaluiert als DMS: Liferay, Alfresco, OpenCMS, Drupal, WordPress, Joomla, Typo3, Polarion 2011, Logicaldoc, phpwcms, Booki.cc; als zentrales Dateiformat: XML, RTF, HTML, DocBook, DITA, ODF, OOXML, Wiki Formate (MediaWiki, DocBookWiki); als Ajax-RichText-Editoren: Etherpad, Tlerik RadEditor, TinyMCE, CKEditor, FreeTextBox, (j)HTMLArea, Xinha, BitFluxEditor, Dijit Editor, jQuery Rich Text Editor (RTE), Ekit.; als Kollaborative Plattformen: TWiki, LaTeXLab, TeamLab, Feng Office, Nuxeo, EXo Platform, OpenKM, Telligent evolution/enterprise, Zoho Writer/Zoho Docs, Ramius Engagement, ShowDocument, DocScape, MindTouch Core, TmsEKP; als Konvertier-Tools: Herold, HTML2DocBook.xsl, ROBODoc, Pod-2-DocBook, DocBook Tools, Apache FO, XES, LaTeX2RTF, L2HTML, RTFConverter, UnRTF, WVware, Drupal Import/Export; als Terminologie/Translation Memory Systeme: openTMS, opentm2, Anaphraseus, OmegaT+, SUN Open Language Tools, Transolution XLIFF Editor.
13. Architektur eines DMS-Addons für die konsistente Konsolidierung verschiedener Dokumente und Versionen unter Nutzung von Liferay als Portal-System sowie von Etherpad / TinyMCE als Rich-Text-Editoren. Das Addon erlaubt in einem linken Bereich das Laden/Erstellen/Bearbeiten/Speichern einer inhaltlichen Struktur für das Zieldokument sowie die Darstellung der Quelldokumente mit ihrer Struktur. Durch Anklicken wird jeweils das entsprechende Kapitel im Rich-Text-Editor rechts angezeigt. Satz-, Absatz- oder Abschnitts-weise können Inhalte per Drag & Drop in die Ziel-Dokument-Struktur abgebildet werden. Bereits vorhandene Passagen werden farblich markiert zur Erkennung von Doppelungen oder Unterschieden zwischen Versionen. Auch das direkte Editieren der Passagen im Zieldokument ist möglich. So konnten hunderte Entwicklungs-Dokumente aus verschiedenen Teams bzw. von älteren Ständen schnell und kostengünstig integriert werden.
14. Erstellen des Krypto-Konzeptes nach BSI-Standard: Konzeption aller Maßnahmen bzgl. Verschlüsselung, Signatur, Hashing, Integritätsschutz und Authentifizierung. Nutzung von Hardware Security Modules (HSMs, Safenet Luna SA, Thales TEMS), TCOS Smart Cards (Telesec), Telesec One-Time-Password (OTP), Web Application Firewalls (WAF, Barracuda), Intrusion Detection und Prevention Systemen (IDS/IPS), Firewalls, Virtual Private Networks (VPN, Cisco ASA), Verbindungsverschlüsselung (SSL/OpenSSL/Java-SSL/IPSec), Schlüsselaustausch (Diffie-Hellman), Schlüssel- und Zertifikatserzeugung, Verwaltung, Entsorgung (gesamter Krypto-Material-Lebenszyklus), Definition erlaubter Krypto-Verfahren und deren Parametrisierung, Maßnahmen zum Integritätsschutz wie z.B. der Erkennung von Manipulationen oder Malware (tripwire).
15. Erstellung eines Business Continuity Management (BCM) und Disaster Recovery Management (DRM) Konzeptes sowie Test-Manager für das Testen der Umsetzung: Single Point of Failure (SPoF) Analyse und Konzeption von Redundanz-Mechanismen, um Anforderungen nach Null-Daten-Verlust und Verfügbarkeiten von mindestens 99,99% zu erfüllen. Nutzung von Abhängigkeitsdiagrammen & weiteren Business Continuity Institute (BCI) Good Practices Guidelines (GPG), 2 Standorte, mehrere Cluster, Oracle DataGuard zur Umsetzung synchroner und verzögerter Daten-Replikation, Konzeption von Failover-Mechanismen einschließlich 4-fach redundandem Datenspeicher (DB/Filesystem) mit Redo-Logs und Snapshot-Support, HSMs (Hardware Security Module), VPNs, Zonenkonzept (Access-/Service-/Backend-/Management-Zonen), WAF (Web Application Firewall-Wände), IPS (Intrusion Prevention-Systeme), selektive Fehlererkennungs- und Recovery-(Rückaufsetzungs-)Mechanismen.
16. Big-Data Architekturkonzept (Hadoop, Cloudera-Distribution) mit Proof-of-Concept Implementierung): HBase, Cassandra, Redis, HCatalog, Hive, Shark /Stinger, Impala/Drill, Sqoop, HDFS, Pig, Oozie, Zookeper, Nagios, Kafka, Hue, RabbitMQ, Protobuf, Ganglia, Kafka, Ambari/Ganglia, Mesos.

IT-Umgebung: Red Hat Enterprise Linux, SuSE Enterprise Server 11, IBM AIX, Win32, Java/JEE mit Glassfish, Apache CXF WebServices, IBM GPFS (General Parallel File System), Cisco ASA (VPN/Gateway), strongSwan, Brocade Encryption Switch, Thales TEMS, Sun XFS, Oracle RAC, Oracle Coherence, Luna Box, Utimaco LIMS mit Gateway, Vmware Virtualisierung, Viren- & Malware Scanning, Web Application Firewalls (WAF), Identity Enabling Services (IDES), managed Security Information and Event Management (mSIEM), Network Intrusion Detection System (NIDS), Network Shared Disk (NSD), SAN-Systeme (Storage Area Networks), Mail Transfer Agents (MTA), One Time Password Tokens (OTP), Lifetime Key Management (LKM), Lawful Interception Management System (LIMS), Load Balancer (LB), Hardware Security Modules (HSM), Soft-PSE (Personal Security Environment), Hard Disk Assembly (HDA), NAT-Traversal, DMZ (Demilitarized Zone), Advanced Mezzanine Card (AMC), TCOS 3.0, Triple Key Zertifikate.
Tools: Visio, Enterprise Architect, MS Project, Eclipse, Elliptic Curve Cryptography (ECC), Hitachi Storage Navigator, Hitachi Device Manager, Hitachi HiTrack Monitor, Brocade Data Center Fabric Manager, TrueCopy, Oracle Database, Oracle OpenDS, HP ArcSight Tools (Base, Web, IT Governance, Admin Console), Squid, Exim, James, Liquibase, Oracle Glassfish v3, Oracle JDK 6/7, Oracle 11gR2 mit RAC, Partitioning, Advanced Security, Database Vault, Advanced Compression, Oracle Text, Diagnostic Pack, Tuning Pack), Scala, ScalaCheck.
Protokolle/Formate: JDBC, WSDL, http(S), XML/XML Schema (XSD)/XSLT, WS-* Standards, Online Certificate Status Protocol (OCSP), POP3, SMTP, LMTP, IMAP, LDAP, IPSec, SSL, TLS, S/MIME, DNSSEC, DNSCurve, ZFS, NFSv3, NFSv4, X.509v3 mit Extended Usages, Data Encoding Rules (DER), Certificate Revocation Lists (CRL), G10-Schnittstelle.
Kryptoalgorithmen: Discrete Logarithm Integrated Encryption Scheme (DLIES), Elliptic Curve Integrated Encryption Scheme (ECIES), (Elliptical Curve) Digital Signature Algorithm (EC)DSA, RSA, SHA-2 Hashing, Diffie-Hellman.
Hardware: HP Blade 460 G6, HP Power 750 Systems, Fujitsu RX300 Primergy, Brocade Encryption SAN Switches, Luna SA, Thales TEMS, Cisco ASA (Router/Firewall/VPN), BladeSwitch, Barracuda WAF 860, IBM Proventia Network Intrusion Prevention System, RSA RKM, Certificate Authority (CA: Telesec/V-PKI), Checkpoint/Fortinet/Juniper Firewalls, BigIP Traffic Manager, Load Balancer, RAID-Systeme.
Libraries/Frameworks: JAX-WS, JAXB, Apache CXF, Hibernate, SoapUI, jMeter, Selenium, GWT, ExtGWT/GXT, Vaadin, GWT graphics RIA frameworks, Spring, Dozer, Batik, Atomikos, Drools, jBPM, Selenium, EasyMock, CSP, OpenSSL, HTML5 (canvas, SVG, etc.), BST media player, Gwtrpc-spring, Spring, GWTEventService, Envers, Lucene, EhCache, Dozer, JasperReport, Jasypt, JBoss Drools, Atomikos Transaction Essentials, Apache Tomcat.

Eingesetzte Qualifikationen

Reporting, Oracle RAC (Real Application Clusters), Oracle Data Guard, Oracle Database, Oracle (allg.), JDBC (Java Database Connectivity), Access, dBase, Hardware Entwicklung, Cisco Firewalls, BSI-Standards, IPSec, IPS (Intrusion Prevention System), IDS (Intrusion Detection System), Firewalls

Security-Spezialist & Architekt
Regierung: Bundesdruckerei / Maurer Electronics, Hannover
6/2010 – 8/2010 (3 Monate)
Innere und Äußere Sicherheit
Tätigkeitszeitraum

6/2010 – 8/2010

Tätigkeitsbeschreibung

Wiederaufnahme zweier eingestellter Software-Entwicklungen für die Echtheitserkennung von Reisedokumenten, eine in C++ mit Qt und gSOAP, eine in Java/JEE. Analyse/Verstehen/Debuggen des bestehenden Codes, Integration der Systeme, Erstellen von GUI-Prototypen, Coaching des Entwicklerteams bzgl. der Technologien JEE, JBoss, Seam, RichFaces, Drools, jBPM, Hibernate, Ajax, SmartClient, Grails.

Coach, 6 Team-Mitarbeiter.

Fachlich:
Coaching, Einarbeitung und Anleitung des neuen Teams zur Weiterentwicklung der Gesamtanwendung in JEE, Seam, Hibernate, Ajax, Grails. Neben allgemeinem Coaching, Konzeption/Implementierung von WebServices/Ajax-Schnittstellen zur Kommunikation zwischen den Anwendungsteilen, Erstellen von Tool-Marktübersichten und Diskussion der Entwicklungsrichtung mit dem Management, Erstellen von GUI-Prototypen und besprechen der Ergebnisse/weiterer Marschrichtung mit dem Management.

Technisch:
1. Einrichten/Konfigurieren der Entwicklungsumgebungen für die C++ und die JEE-Anwendungsquelltexte.
2. Analyse der bestehenden Anwendungsdokumente und Quelltexte in C++ sowie in Java/JEE.
3. Konfiguration, Debugging, Logging/Tracing: Coaching und eigenes Debuggen/Fixen der wichtigsten Fehler, vor allem in der JEE-Applikation.
4. Automatisches Einfügen eines systematischen Tracings/Loggings in die JEE-Applikation zum Verständnis der Daten- und Kontrollflüsse sowie zum Trouble-Shooting und zur Einarbeitung/Anpassung des Systems.
5. Erstellen/Anpassen von WSDLs/WebServices zur Integration der Systeme und zum Datenaustausch mit den GUIs mit Apache CXF unter Nutzung von JAXB bzw. XMLBeans (alternativ auch mit Apache AXIS2).
6. Erstellung von Marktübersichten zu GUI Rapid Prototyping Tools, Java/JEE GUI Frameworks sowie Ajax Frameworks.
7. Coaching und eigenes Erstellen von GUI-/Funktions-Prototypen in verschiedenen Technologien: jQuery/Ajax, SmartClient, SmartGWT, Tersus, ExtJS, Adobe Flash/Flex, Groovy/Grails sowie Seam/RichFaces.
8. Dokumentation, Einarbeitung/Schulung des Teams.

Architekt/Projektleiter
Schwäbisch-Hall/Kreditwerk, Schwäbisch-Hall
1/2010 – 5/2010 (5 Monate)
Banken
Tätigkeitszeitraum

1/2010 – 5/2010

Tätigkeitsbeschreibung

Konzeption neuer WebServices im Rahmen eines ESB/SOA-Konzeptes für das Internationale Bausparkassenpaket (insbesondere für Partner-/Tochterunternehmen, davon viele in Osteuropa), beispielhafte Implementierung, Anbindung von Cobol-basierten Backends, Verallgemeinerung bis hin zur Definition von Templates und darauf aufbauend Code-Generierung von Java/Cobol-Quelltexten. Einbau in ein JBoss-basiertes System vorgeschaltet vor SAP DMS (Dokumenten-Management-System) und Data Mining/Business Intelligence (SAP BI).
Architekt/Projektleiter, Muster-Implementierung, 2 Team-Mitarbeiter.
Fachlich:
1. Bausparkassen den Austausch von Informationen (via WebServices, JMS) zu Kunden und Verträgen ermöglichen zwischen den Abteilungen über den ESB sowie auch Informationen mit der Konzernmutter Schwäbisch-Hall. Diese Anbindung zwischen Java-Clients und Java- bzw. Cobol-Backends ist ein wichtiger Schritt zur Nutzung eines ESB (Enterprise Service Bus) im Rahmen eines dabei weiterentwickeltes SOA-Konzeptes.
2. 2.) Einsatz des Frameworks in einem JBoss-basierten JEE-System zur Disposition und Lagerverwaltung für den Einkauf. Insbesondere Integration der WebService-Funktionalität in Dokumentenmanagement-System (SAP DMS) und Data Mining/Business Intelligence System (SAP BI); Entwicklung der relevanten JEE-Applikations-Funktionalität von GUI bis hinunter zur Datenbank.
Technisch:
1. Erstellen generischer Client- und Server-Implementierungen unter direkter Nutzung von XML, http, etc. als Fallback-Lösungen.
2. Definition von WSDL mit ws-* Standards, z.B. ws-addressing, ws-enumeration, ws-security.
3. Code-Generierung mit JAX-WS unter Nutzung von JAXB und XJC.
4. Cross-Validierung und Testing sowie Ausloten von Features unter Nutzung von Tools/Implementierungen auf Basis von SoapUI, tcpmon, SoapMon (AXIS2) sowie Apache CXF/XmlBeans.
5. Direkte Anbindung von AS/400 und iSeries-Systemen mit Implementierungen in Cobol unter Nutzung von IBM WebSphere Development Studio Client (WDSC).
6. Konzeption/Entwicklung von Tracing/Logging/Monitoring/Fehler-Diagnose-Tools für Entwicklung und Betrieb.
7. Konzeption/Entwicklung einer Persistierungsschicht mit HyperJAXB sowie TraceTool gegen XML-Dateien, Datenbanken, Textdump und binäre Datenstrukturen.
8. Entwicklung einer Java-Cobol-Integrationsschicht für die IBM-Server auf Basis von jt400/jtopen mit Programcallbeans (Java->Cobol) unter Nutzung von PCML und Cobol Copystrukturen. Muster-Implementierung als Vorlage für Code-Generierung.
9. Hilfe bei der Integration in Web-Client-Komponenten auf Basis von Spring und JSF RichFaces.
10. Hilfe bei der Migration der neuen WebService-basierten Aufrufe in das bestehende internationale Bausparkassen-Paket.
11. Konzeption weiterer ESB-basierter Kommunikationsstrukturen in Form von WebServices/JMS (Definition der Schnittstellen und Datenformate) für die gesamte in Backend/Frontend benötigte Funktionalität.
12. Definition von Datenmappings/ETL mit WebSphere Transformation Extender bzw. Talend Open Studio.
13. Erstellen von Vorlagen für die Codegenerierung mit open Archictectureware (OAW). Unterstützung von UML, annotierten Java-Klassen, WSDL/XSD sowie von XMI als Masterformate.
14. Hilfestellung bei der Integration in das Code-Generierungs-Systems auf Basis von OAW: Entwicklung von Templates und Anpassungen für die Generierung aller für Clients und Server nötigen Artefakte (Cobol, Java, PCML).
15. Einbindung von WebService-Client und Server-Funktionalität in das JBoss-System für SAP DMS (Document Management System) und SAP Data Mining/Business Intelligence (SAP BI) unter Nutzung einer SAP NetWeaver-Schnittstelle (SAP NetWeaver Development Infrastructure, NWDS).
16. Konzeption und Entwicklung des gesamten Applikations-Stacks unter Nutzung von JBoss RichFaces, Hibernate mit Criteria API, EJB, named Queries, HQL, EJB-Stack für Services (EJBs), DTOs, DAOs, Entities/POJOs, Konzeption der HQL-Queries sowie der JavaScript-basierten AJAX-Funktionalität mit Ajax4jsf.
17. Dokumentation, Einarbeitung/Schulung der Kollegen.

Architekt/Projektleiter
Deutsche Börse: Banking/Wertpapierhandel, Frankfurt/Main
9/2009 – 12/2009 (4 Monate)
Banken
Tätigkeitszeitraum

9/2009 – 12/2009

Tätigkeitsbeschreibung

Fachlich: Architektur, Projektplanung/Aufwands-/Kostenschätzungen und Implementierung eines graphischen Regel-Systems mit Editor in JavaScript und RealTime-C++-Backend zur Berechnung von Finanz-/Börsen-Indikatoren, Bewertungen, Investitions-Modellen und Indizes.

Technisch:
1. Evaluierung von IBM ILOG jRules, JBoss Drools, Bosch/Innovation Visual Rules, Jitterbit Integration Server/Environment, Jamocha, Jess Rules, OpenRules, PowerLOOM/STELLA, Protégé, Jena OWL Framework; Konzeption mit Enterprise Architect, Visio und DreamWeaver.
2. Erstellung von GUI-Konzeptionsvarianten für einen eigenen Regel-Editor/Business Rules Editor/Programmiereditor und SQL Query Editors mit den Editierungs-Modi UML-Aktivitäts und Aktivitäts-Übersichts-Diagrammen, der UML Action Language und Programmablaufplänen (alternativ: Nassi-Shneiderman-Diagrammen). Daraus Konzeption/Implementierung einer angepassten Notation für den Regel-Editor mit praktikabler Schleifen- und Unterprogramm-Syntax und Drag & Drop-basierter Erstellung/Bearbeitung.
3. Business Logik Konzeption/Implementierung: Speicherung der Regelstruktur als AST (Abstract Syntax Tree/Parsebaum: Business-Objekte mit Layout-Information). Serialisierung/Deserialisierung in JSON/XML per JavaScript und C++. Für die erstellten Programme/Regeln Code-Generierung von Javascript und C++ implementiert in Javascript unter Echtzeit-Anforderungen und Ausführung in Client sowie im Server. Anbindung an die serverseitigen Finanzinstrumente-Datenbank per XMLRPC oder WebServices sowie in den Formaten/Protokollen JDBC, XML, CSV, JSON. Einsatzmöglichkeiten eruiert für die Anbindung an BPEL-Systeme sowie die Konzeption von Indizes, Anlagestrategien, Finanzinstrumente-Bewertungen und im Algortihmic Trading/High Frequency Trading Bereich.
4. Review/Erweiterung der Daten(bank)strukturen und DB-Modelle für die Finanzinstrumente.
5. Konzeption/Erstellen einer Datenbank für Investment- und Bewertungsmodelle, Berechnungskomponenten (Selektion, Normierung, Kappung, Sortierung, etc.) mit Versionsverwaltung.
6. Serverseitige Konzeption/Implementation/Integration (EAI): Interpretation (JavaScript mit dem SeaMonkey Interpreter) / Code Generierung (in C++) und Abarbeitung der Funktionen in Echtzeit unter Linux mit den Libraries tntnet, tntdb, cxxtools, platinum, boost, xparse. Rückmeldung von Fehlern, Ergebnissen, Watch-/Trace-Informationen an den browser-basierten Thin-Client.
7. Client-Implementierung des Business Rule Editors und SQL Query Editors als Webbrowser-basierte AJAX-Anwendungen mit Drag & Drop-Konstruktionsmechanismen in JavaScript /HTML/CSS mit jQuery und wz_graphics mit DIV-basierter Gafiklibrary, dojo/dojoX, Raphael Graphik-Bibliothek sowie Canvas/Excanvas unter Einsatz aufwändiger Canvas- und DIV-Platzierung und Event-Handling; Grafik-Design mit Corel Draw/Paint und Adobe Photoshop sowie DreamWeaver & MS Frontpage.
8. Konzeption / graphische Eingabe von Regeln und Bibliotheksfunktionen für die Berechnung von Werten/Börsen-Ticks von: Bonds/Anleihen, Aktien-Portfolios, (angepasste/dynamische) Indizes, (ereignis-basierte) Kauf-/Verkaufs- Kriterien. Erstellen von Infrastruktur/Regeln für die Berechnung vieler Finanzprodukte unter Berücksichtigung der Unternehmensnachrichten: OTC (over the counter) Produkte, Fonds/ETFs (Exchange-Traded Funds), Investment-Banking Portfolios, OTCs mit variablem/fixem Einkommen(Ausschüttung), Foreign Exchange (FX) Trading/Forex (Handel mit ausländischen Währungen), Zins-Swaps (IRS), Currency Carry Trades (Fremdwährungskredite), Strukturierte Wertpapiere, Derivate ([Aktien] Optionen, Futures). Für all diese Verwaltung/Auswertung von Unternehmensnachrichten/Ad-hoc-Mitteilungen. Implementation mit den Libraries boost, quantlib, xlw-lib.
9. Erstellen einer JavaScript-Library zum robusten fehlertoleranten Erzeugen und Einlesen von JSON-Dateien von beliebigen Ajax-Objekten, insbesondere von ganzen JavaScript-Objekt-/Prototyp-Hierarchien, z.B. über das Base2-Framework.
10. Erstellen eines Java-Tools zum automatischen Einfügen von Kommentaren in JavaScript-Dateien im JavaDoc-Format sowie zum automatischen Einfügen von Trace-Statements. Erstellen einer Tracing, Logging und Debugging-Library in JavaScript. Nutzung des jGrouseDoc-Tools zur Erzeugung der Dokumentation für JavaScript im Zielformat HTML.
11. Teil-Projektplanung/Konzeption im Rahmen eines Scrum-Verfahren mit 4-Wochen-Sprints.

Architekt/Projektleiter
PostFinance, Bern, Schweiz
1/2009 – 8/2009 (8 Monate)
Banken
Tätigkeitszeitraum

1/2009 – 8/2009

Tätigkeitsbeschreibung

Erweiterung/Härtung/Modernisierung der zentralen Konzern-Security-Berechtigungskomponenten (Identity Management System: Authentifizierung/Autorisierung und deren Verwaltung) sowie Anbindung von externen Partnern im Rahmen eines SOA/ITIL Konzeptes, Insourcing diverser Applikationen und Anbindung an die zentrale Security-Lösung basierend auf SOA.

1. Fachlich: Erweiterung der Enterprise Security-/Identity Management Lösung um neue SOA (WebService) Funktionen, Audit- und Enterprise-Rollen-Funktionen sowie Weiterentwicklung und Härtung der bestehenden Lösung sowie Weiterentwicklung zur Public-Key-Infrastruktur (PKI) mit Sun Directory Server und LDAP. Berücksichtigung von Berechtigungs-Prozessdefinitionen mit BPEL für die Freigabe-Prozessdefinition sowie der Standards zu Information Security Management Systems (ISMS): ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002. Portierung der Gesamtapplikation von WebLogic 8 nach WebLogic 10.3/11, insbesondere Portierung der WebServices/SOA-Schnittstelle durch Versehen der Webservice-Implementierung mit Annotations und darauf basierend automatische Generierung der WebServices über einen portierten ant-Build (WebLogic 8 nach WebLogic 10.3/11) von ergänzt um MBeans und Jython-Programmierung. Erweiterung des Rechtemodells um Rollen wie funktionale oder organisatorische Hierarchierollen, Kundenberater, Portfolio-Manager, Angel, Assessor/Auditor, Stabsrollen, Beraterrollen für Spezialfunktionen, Compliance, PCI-DSS Compliance, Vertretungsbefugnisse, Erweiterungen/Delegation von Rechten auf Teams.
Technisch: Test-Management von Penetration Tests, Reverse-Engineering der Datenbank- und Klassenstruktur der Anwendung als UML/ER-Diagramme mit Enterprise Architect sowie Sybase PowerDesigner, Konzeption und Applikationsentwicklung in Java/JEE, (Penetrations-/Sicherheits-)Tests der bestehenden J2EE Anwendungen, Identifizierung von Schwachstellen und deren Beseitigung mit Eclipse/Bea Workshop, Oracle/Bea Weblogic 8.x-11.0, automatisiertes (ear/exploded/split) Deployment und Bauen mit ant, Teile in Struts, Teile in JBoss Seam (JSF) sowie jeweils xdoclet, Hibernate, Spring, ClearCase, ClearQuest, Splunk. Einarbeitung und Portierung des komplexen Ant-Builds mit ca. 500 Targets: Visualisierung der Ant-Target-Abhängigkeiten, Einführen von Logging/Tracing auf Ant-Ebene, Berechnen des Ant-Callstacks, Umstellen auf inkrementellen Build und Portieren der Ant-Buildfiles auf WebLogic 11 Tasks mit Ivy und Integration in den Gesamtbuild.
2. Fachlich: Konzeption/Realisierung eines Hybrid-Tools (DB/XML) zur Identifikation, Kommunikation und Verfolgung der Code-Schwachstellen (Abstürze/Fehler/Security-Probleme) sortiert nach Relevanz. Entwickler werden per E-Mail/JSP-Web-Interface über bestehende Schwachstellen/Fehler in von Ihnen erstelltem Code informiert und der Fortschritt wird getrackt. Dazu wurden diverse Open-Source-Tools integriert.
Technisch: Aufruf der Tools PMD, FindBugs, ESC/Java, Hammurapi, Checkstyle, Lint4j, jLint, (Java), ScalaCheck (Integration auch mit Scala), Compiler (Errors/Warnings); Analyse des Outputs und Konvertierung in ein neutrales Format sowie Abspeicherung lokal/serverseitig als XML oder in einer Datenbank via HyperJAXB (Dual-Framework für Persistierung via XML-Dateien und/oder Datenbank). Subversion-Blame/Praise-Berechnung (SvnKit), Annotation der Quelltexte mit Autor/Fehlermeldungen/Warnungen, etc.; automatische Gewichtung jedes Fehlerhinweises pro identifizierendem Tool nach Precision und Coverage, damit die am dringendsten anzugehenden Code-Schwachstellen hochpriorisiert werden, Versenden von E-Mails zu den relevantesten Schwachstellen an die verantwortlichen Entwickler, automatisches Einfügen von Annotationen zur Bewertung der Schwachstellen (Relevanz, Priorität, Bearbeitung) oder Speichern einer Hash-Identifizierung der Schwachstelle; konfigurierbare Speicherungsmöglichkeit für Informationen parallel in XML-Dateien oder in einer Datenbank via Hibernate über HyperJAXB (alternativ: Castor mit Spring OXM, EclipseLink), Verfolgen des Fortschritts des Behebens der Schwachstellen über Datenbank oder (lokale) XML-Datenspeicherung; JEE-basierte serverseitge Business-Logik und User-Interface mit Captain Casa (Dual-Framework JSF für Thin-Clients/Swing für Fat-Clients bei einheitlicher Programmierung) und teilweise jQuery zum Anzeigen/Verwalten (Priorisieren/ Zuweisen) der diversen Fehlerhinweise.
Schwerpunkt Security-Standards: CERT Secure Coding, OWASP, OSSTMM, strenge Personenbeförderungs-Luftfahrt-Standards von Airbus/ARINC.
3. Fachlich: Insourcing von J2EE-Anwendungen eines externen Lieferanten sowie Integration mit dem zentralen Identity-Management-System (EAI).
Technisch: Reverse-Engineering der Datenbank- und Klassenstruktur der Anwendung als UML/ER-Diagramme mit UML-Tool Enterprise Architect sowie Sybase PowerDesigner, Umstellen des Build-Systems auf Maven2/Maven3 unter Nutzung von XDoclet/Annotations, Entwicklung/Anpassung von Maven Mojos/Plugins, Artifcatory, Sonatype Nexus, Migration von WebLogic 8.1.6 nach WebLogic 10.3/11.0. Automatisierungen für den Betrieb mit nur minimaler Wartung. Weitere Tools: Struts, xdoclet, Hibernate, LDAP. Integration mit dem IDM-System über WebServices / LDAP / Sun Directory Server.
4. Fachlich: Konzeption/Weiterentwicklung SOA-/ITIL-Zukunft (EAI)
1. Weiterentwicklung eines Konzeptes einer gemeinsamen Security-Schicht für Client- und Server-Anwendungen sowie Web-Services und JMS-Systeme zwecks einheitlicher Authentifizierung/Autorisierung sowie Caching der Berechtigungen.
2. Weiterentwicklung eines Konzeptes der konzernweiten Berechtigungsvergabe und Entzug für Personen/Applikationen/Ressourcen auf Basis von BPEL/BPM.
3. Konzept zum Schaffen einer gemeinsamen Basis für Rich- und Thin-Clients mit AJAX durch Code-Generierung mit JET (Java Emitter Templates) bzw. mit GUI-Framework Captain Casa (Erzeugt parallel Thin-Clients mit JSF sowie Thick-Clients mit Swing) sowie alternativ über Eclipse RCP/RAP ausgehend von UML-modellierten/generierten Business-Klassen in Java (Domain-Driven-Design).


Qualifikationen:
Win32/Unix (AIX, Solaris, Linux), Perl, Python, bash/korn/csh Shell Programmierung, JEE-/J2EE, Oracle 10, Oracle/BEA WebLogic 8-10, Glassfish, Java Management Extensions (JMX), ITIL, SOA, Oracle ESB, JBoss.
Tools: Eclipse, BEA Workshop, UML-Tool Enterprise Architect, XmlCopyEditor, Stylus Studio, Sybase Power Designer, DB Visualizer, ClearCase UCM, ClearQuest, putty, WinSCP, Oracle Sqlplus, TOAD, Squirrel SQL, Python, perl, ant/Ivy, maven, MS Project, Splunk, Sun Directory Server.
Protokolle: WS-Security, HTTPS, XML/XML Schema (XSD)/XSLT, WS-Security mit WS-Policy, t3, JSON, REST, Radius, Diameter, Triple-A, RFC 3539, 3588, RAS.
Libraries/Frameworks: HyperJAXB, Castor, Spring OXM, EclipseLink, SvnKit, JSP, Struts, XMLBeans, JAXB (Binding), JAXWS (Web Services), Quartz, Digester, SAX/DOM/StAX, JAAS, SAAJ, BouncyCastle, Oracle JDBC/Sql*plus, Hibernate, OpenJPA/JPA, xdoclet, Spring, poi (Excel-Datei-Verarbeitung), log4j, jUnit, JCA, Captain Casa, Eclipse RCP/RAP, OC4J, Oracle ADF.

Architekt/Transition Manager
Banking (Dt. Bank, Citigroup GCB, Sal. Oppenheim,, Frankfurt/Main
8/2008 – 12/2008 (5 Monate)
Banken
Tätigkeitszeitraum

8/2008 – 12/2008

Tätigkeitsbeschreibung

Projektziel: Abgeltungssteuer-Projekt sowie Anbindung von externen Partnern über JMS, sicheren File¬Transfer, sichere Web Services.
Rolle Architekt/Transition Manager, im Security-Bereich auch Realisierung, ca. 300 Mitarbeiter im Projekt.
Aufgaben 1. IST-Aufnahme des Systems nach Grundsätzen von ITIL und Erstellung eines neuen Betriebskonzeptes unter Business Continuity Aspekten:
Erstellung einer detailgenauen und strukturierten IST-Analyse einer bestehenden Unix Infrastruktur sowie aller vorhandenen Applikationen (Unternehmenssoftware, Virenschutz, Backup & Restore, IT-Sicherheit, etc.)
Ermittlung von Schwachstellen; Risikobewertung der vorhandenen Applikationen und Systemlandschaft nach ITIL; Vorschlag von Gegenmaßnahmen/Verbesserungen (Mitigations) sowie deren Umsetzung und Verfolgung/Tracking; Definition von Backup & Recovery Strategien (Exchange, File Server, Datenbanken, Webserver/AppServer, etc.)
1. Fachlich: Architekt in einem ausgelagerten Verbund-Projekt zur Realisierung einer Abgeltungs-Steuer-Lösung (Capital Gains Compensation Tax/Withholding Tax) auf Basis der Software Tributum - aufgehängt in den Fachabteilungen für Steuerangelegenheiten/Projekte mit Auswirkungen auf einen Großteil der Bankprozesse: Von der Finanzbuchhaltung, der Sparbuch-Verzinsung über Trading/Aktienhandel bis Derivate-Handel; Betreuung und Qualitätskontrolle eines Software-Lieferanten, Anbindung an Marktdatensysteme (Börsenkurse) zur Berechnung von zu versteuernden Gewinnen.
Technisch: Architektur mit Governance-Funktionen, EAI-Aufgaben, Erstellen von Schnittstellen-Definitionen und Managen der Implementierung, Qualitätssicherung des Lieferanten/Audit, Code Review, Configuration/Release/Build Management (manuelle und XML-XSLT-Skripts und Snippets für saxon sowie ant/maven basierende Build-File und Konfigurations-Erstellung für Standalone/Cluster-/LoadBalancing-Systeme, Build & Releasemanagement / J2EE Deployment), Massendatenverarbeitung, J2EE Konzeption, Entwicklung und Deployment mit WebLogic/WebSphere. WebSphere Transformation Extender (WTX), WebSphere Message Broker (WMB), JEE/JMS Code Review, Anbindung JMS-basierter Queues von WebSphere MQ (alter Name: MQSeries) bzw. WebSphere Message Broker an WebLogic über .binding- (erstellt mit JMSAdmin) und XML-Dateien, JMX, Oracle XA-Anbindung (2-Phasen-Commit) auch mit Embedded SQL (ESQL), Testing, TroubleShooting, Manuelle/automatisierte Log-File-Analyse mit regulären Ausdrücken, Splunk, Erzeugung von DTA-, COMPTAX-, COTAX-, und RITAX-Formaten sowie Anbindung von Derivaten (ETD – exchange traded derivatives: Z.B. (Aktien) Optionen und Futures) auch über Rolfe & Nolan (RAN/R&N) Systeme und Anbindung von COBOL-Anwendungen sowie die Verwendung von COBOL-Datenstrukturen, auch von Java/J2EE aus. Anbindung von C++/C#.net Systemen (CLI).
Projektleitung/Test-Management:
1. Fachliche und technische Projektleitung eines Teams von 25 Mitarbeitern sowie externen Lieferanten
2. Projektsteuerung und Koordination in Abstimmung der Gesamtprojektleitung
3. Abstimmung mit anderen Teilprojekten/Projektpartnern zu projektbezogenen Anforderungen, Akteuren, Schnittstellen sowie insbesondere den nötigen Änderungen an Geschäftsprozessen (BPM) sowie Change Management
4. Erstellung von Test-Konzepten mit Testdaten und Testmechanismen über Excel, Test-Management. Vorbereitung für den Betrieb.
5. Dokumentation der Arbeitsergebnisse und des Projektfortschritts
6. Erarbeitung von Entscheidungsvorlagen und Präsentation dieser Vorlagen auf Lenkungsausschussebene
7. IST-Analyse von Geschäftsprozessen
8. Konzeption von SOLL-Prozessen, insbesondere Datenflüsse zu Handelstransaktionen zwischen Bank-Abteilungen und ihren IT-Systemen
2. Fachlich: Realisierung eines Informations-Akkumulations-Systems (EAI) basierend auf externen Quellen, etwa von Equens (zuvor Interpay). Einsatz: Internationale Bonitäts- und Seriositäts-Überprüfung etwa im Vorfeld der Akzeptanz von Neukunden.
Technisch: Entwicklung sicherer Web-Services in Java mit Apache AXIS 2 sowie den Standards WS-Security (WS-Policy / WS-Addressing). Realisierung der Geschäftslogik in XMLBeans. Code-Generierung auf Basis von XML Schema (XSD) und WSDL. Datenformate: UNIFI/MX-Formate/ISO 20022, SWIFT. PCI-DSS Compliance.
3. Fachlich: Entwicklung einer Layout- und Technik-Basis für web-basierte Internet- und Intranet-Informationssysteme in Java/JSP mit Tagsets.
Technisch: Erstellung JSP-basierender GUI-Templates auf Basis von JBoss RichFaces, JBoss Seam, JBoss Portal, Hibernate / OpenJPA, XTHML. Evaluation/Testen von backbase, dojo, JSF IceFaces, Spring WebFlow, ExtJS / ExtGWT Toolkit (GWT = Google Web Toolkit), script.aculo.us/ scriptaculous auf Basis prototypeJS, jQuery.


Qualifikationen:
Win32/Unix (AIX, Solaris, Linux), Perl, Python, bash/korn/csh shell Programmierung, JEE-/J2EE, Oracle 10, PL/SQL, BEA WebLogic 10, IBM WebSphere MQ 7, WebSphere JMSAdmin & WTX, Tributum, Java Management Extensions (JMX), ITIL/SOA, AIX, Solaris, Marktdatenanbindung, Perl, Python, bash/korn/csh Shell Programmierung.
Tools: MS Project, MS Office, Eclipse, BEA Workshop, UML-Tool Enterprise Architect, Altova XML Spy, XmlCopyEditor, Stylus Studio, Liquid XML Studio, Sybase Power Designer, putty, WinSCP, Oracle Sqlplus, PL/SQL, TOAD, Squirrel SQL, Oracle JDeveloper, WebSphere MQ Explorer, rfhutil, Drools, MS Visual Studio 2003/2005 mit C#.NET (CLI), Python, perl, bugzilla, ant, maven, Splunk.
Protokolle: WS-Security, SFTP, HTTPS, XML/XML Schema (XSD)/XSLT, WS-Security mit WS-Policy und WS-Addressing, t3, JSON, REST.
Libraries/Frameworks: XMLBeans, JAXB (Binding), JAXWS (Web Services), JAXM (XML Messaging), Quartz, saxon, vtd-xml Parser mit XML-Indexierung zur Beschleunigung, Xerces, Xalan, Digester, SAX/DOM/StAX, Apache AXIS2 (auch AXIS 1) von WSO2/WSF (Web Services Framework), WSS4J, JAAS, SAAJ, SignEnvelope, Rampart, Rahas, Sun Crypto Provider, BouncyCastle, JBoss RichFaces, JBoss Seam, JBoss RichFaces, JBoss Portal, Spring WebFlow, Oracle TopLink, OC4J, Hibernate, OpenJPA/JPA, poi (Excel-Datei-Verarbeitung), spring, log4j, junit, jasypt Verschlüsselung, icu4j, regexp, pcregex, Jasper Reports, Crystal Reports, JCA (Java Connector Architecture).

Software-Architekt
Daimler AG, Stuttgart
1/2008 – 8/2008 (8 Monate)
nicht angegeben
Tätigkeitszeitraum

1/2008 – 8/2008

Tätigkeitsbeschreibung

Aufgaben Fachlich:
Automatisierung/Optimierung des Produktentstehungsprozesses (Autos/Lkw) bei Daimler und seinen Zulieferern, vor allem im Bereich CAD/Konstruktion mit CATIA und IT. Hierbei lag der Fokus auf der effizienten Koordinierung der Teilnehmer an Entwicklungsprojekten und insbesondere der effizienten automatischen Propagierung und Überprüfung von Spezifikationen, deren Änderungen und deren Einhaltung.
Technisch:
Allgemein: Erstellung der Gesamt-Architektur für alle Rich-Clients des konzernweiten PDM-Systems für CATIA und unter Eclipse RCP (Rich Client Platform) in CAA/RADE C++ und in Java mit ausreichender Performance und Parallelität für Massendatenverarbeitung.
1. Koordination der Onsite- und Offshore-Teams
2. Architektur/Konzeptionierung des neuen konzernweiten CATIA-basierten Rich-Clients in Form von Plug-Ins in C++ für das CAD-Programm CATIA von Dassault Systemes mit dem CAA/RADE-Framework zur Anbindung von CATIA an das Daimler Produktmanagement-System Smaragd auf Basis von Teamcenter Enterprise/Engineering über Web Services. Architektur für Java-basierte PLMXML- und PLM Services XML Komponenten, Framework für Ressourcen-Erstellung und -Validierung, teilweise Implementierung komplexer Elemente. Randbedingung war die Anlehnung/Kompatibilität mit dem CMI-System von T-Systems (vor allem bzgl. Server-Anbindung und Bedienung).
3. Architektur/Review/Code Inspection eines verallgemeinerten PDM-Systems in C++ für beliebige Siemens PDM (zuvor UGS) Teamcenter Enterprise/ Teamcenter Engineering Systeme.
4. Architektur für Toolentwicklungen: PLMXML-Validator und Erweiterung der Continuous Integration Server Luntbuild/Continuum für CATIA/CAA, makechecksource, PMD, und andere Code Quality Tools. Benachrichtigung exakt der für Fehler verantwortlichen Entwickler (Subversion praise/blame) basierend auf Datei und Zeilennummer.
5. Architektur des neuen Daimler Common Engineering Clients (CEC), sowie in Teilen des Eclipse RCP-/RAP-basierenden Smaragd Rich Clients (alle in Java), der eine gemeinsame Basis für alle Rich Clients im Daimler-Konzern darstellt. Dort insbesondere Konzeptionierung auf Basis von Java der Web Service-, SOA-/ESB-Konzepte, dabei Service Data Objects (SDOs), Security mit Web Services Security, CA eTrust SiteMinder sowie dem Daimler Proactive Infrastructure (PAI) Framework, Higgins Framework. Weitere Schwerpunkte: RCP Multiuser-Betrieb, RCP Deployment, RCP Bundle Security, RCP Perspective Security, Credential Caching, Resource Pooling, JMS, Multithreading, RCP Printing (PaperClips Framework), GUI-Automatisierung mit XForms auf Basis eines eigenen RCP-XForms-Frameworks und Chiba JSP Framework sowie mit eigenem Code-Generator, VRML-/3D-/JT-Viewer auf Basis von Ogre3D/Ogre 3D, GUI/Reporting Libraries: swt (Standard Widget Toolkit), JFace, Jasper Reports.
6. Architektur eines allgemeinen Supplier Clients: Ein Java-Tool zum Mappen und Konvertieren/Transformieren diverser deklarativer Datenformate zwecks Integration in ein zentrales (PDM-)Repository. Konzeption einer eigenen Engine in Anlehnung an den WebSphere Transformation Extender (WTX). Wesentliche Datenformate: PLMXML, PLM Services XML, STEP/ProSTEP, VDAFS.


Qualifikationen:
IT-Umgebung Win32/Win64/x64/Unix, CATIA CAA, RADE, C++, Java 1.6/1.7, Eclipse RCP 3.4, Eclipse RAP 1.1, Java JEE-/J2EE, Groovy, Scala, ScalaCheck, UML-Tools Enterprise Architect/Borland Together, Visio, Subversion, Continuous Integration Server, XForms, PLM Services XML, PLMXML, Java Management Extensions (JMX), ITIL/SOA, ESB.
Tools: MS Visual Studio 2003/2005 mit .NET, Luntbuild Build Server, ant, maven, Continuum, Anthill, Cruise Control, CATIA CAA/RADE mit makechecksource, truc (Requirements Management), Lotus Notes, eclipse/JBuilder, Teamcenter Enterprise, Teamcenter Engineering.
Libraries: XML-Verarbeitung mit Apache XML Beans, Apache Digester, xstream, Saxon-Parser, xfire, stax, JibX, JAXB (Binding), JAXWS (Web Services), JAXM (XML Messaging), spring, log4j, jUnit, Eclipse RCP, Eclipse RAP, SWT (Standard Widget Toolkit), JFace, Jasper Reports, OpenJPA/JPA, Higgins Framework, PaperClips, Eclipse Nebula Widgets, Jetty http, jaxen XPath, Oracle TopLink, JCA (Java Connector Architecture, Java Cryptography Architecture).
Damit abgedeckte Technolo¬gien UML/UML2, Java, Rich-Client, User-Interface-Programming, RCP, CAA, C++, SQL, PL/SQL, OOA, OOD, OOP, Domain-Driven Design, WebServices, SOAP, XML, DTD, XSD, RelaxNG, XSLT, XPath, XQuery, SOA, EAI, Oracle, JEE, J2EE, EJB, Hibernate, JPA, Prozessanalyse, Versions-/ Konfigurations Management, Logging, Tracing, Error Handling, Debugging, (Unit)Testing, MS Office, MS Project, MS Word, MS Outlook, MS PowerPoint, MS Excel.

SW-Architekt
Deutsche Telekom, Darmstadt, Ulm, Nürnberg
5/2007 – 12/2007 (8 Monate)
nicht angegeben
Tätigkeitszeitraum

5/2007 – 12/2007

Tätigkeitsbeschreibung

Projektziel Architektur/Erstellung von J2EE-Systemen: IT Security, Formular-basierte Anwendungen, JMS-Messaging-Systeme
Rollen Software-Architekt, Code-Generierungs-Experte, IT-Security-Experte, Entwicklung von Java-(EJB-)Webapplikationen, ca. 30 Mitarbeiter im Projekt:
Aufgaben 1. T-Online/T-Home: Entwicklung einer neuen Komponente zur zentralen Authentifizierung und Autorisierung mit JAAS-basierter Programmier-API für diverse Java-Anwendungen im Konzern mit entsprechenden Mechanismen zum Beantragen, Bewilligen und Entziehen von Rechten. Dies fand statt als Teil der Umstellungen auf eine ESB-Architektur (Enterprise Service Bus, Terminus von SOA/ITIL) sowie auf eine ESB-/SOA-/ITIL-basierte IT Service Struktur. Eine erste Anwendung war ein Tool zur Unterstützung/Automatisierung/Ver¬einheit¬lichung der Wartungsarbeiten und des Configuration/Build Management im Deployment-Team/Backoffice des früheren T-Online (heute T-Home), z.B. im Rahmen eines Konfigurations-Token-Tools, das es erlaubt, je nach Umgebung und Anbindung benannte Tokens mit den jeweils passenden Werten zu belegen, etwa für die Erstellung von Deployment-Descriptoren, services.xml, build.xml (ant/maven Konfigurationsdateien). Inversion of Control und Dependency Injection Prinzipien wurden mit Spring 2.x implementiert und es wurde auf die Datenbanken Oracle und MySQL zugegriffen. Einsatz von ClearCase, ClearQuest, Remedy für Configurations- und Aufgaben-/ Ticket-Verwaltung. UML- und Datenbank-Spezifikation mit Borland Together und Innovator 2007. Massendatenverarbeitung.
2. T-Systems: Requirements Engineering und Software-Architektur für RES (Realtime Enterprise Services), eine BEA-basierte neuentwickelte Plattform (WebLogic 9.2, ALSB: Aqualogic Service Bus 2.6), Oracle 10i, Nofilis Crosstalk (Edgeware) für Tracking und Tracing von beweglichen Einheiten wie Waren, Lkws, Pkws zum Management und der Kontrolle von Logistik-Ketten (z.B. Aufdecken von Diebstahl) mittels Barcodes und RFID: E-Mail-Services, Mapmatching-Algorithmen, WebService-/EJB/XML-Schema-Erstellung, SOAP-Konzepte (z.B. SAAJ, WS-I, WSIT), Sicherheitskonzept, Redundanz/Clustering/LoadBalancing, Testautomatisierung, Toolevaluation jMeter, The Grinder, HP Quality Center; Massendatenverarbeitung, Crystal Reports, OpenJPA/JPA.
3. Architektur und Weiterentwicklung eines bestehenden JSP-basierten Code-Generators (Template Engine); Erzeugung von ca. 1 Million Zeilen Code für die mittleren und tiefen EJB Tiers für eine formular-basierte Anwendung mit Workflow-Funktionalitäten und Oracle-Datenbankanbindung (DB, Hibernate, EJB, Business Logic, Reports), GUI: Swing JGoodies/AppFramework, JSF MyFaces Trinidat, Tobago, Tomahawk. Entwicklung eines Java-Parsers auf Basis von JavaCC/sableCC mit der Möglichkeit des Inputs von EJB-, Hibernate- und sonstigen Anweisungen in Java-Kommentaren, die dann bei der Code-Generierung entsprechende Wirkung entfalten.
4. Bundesbehördenprojekt: Eigene kleine ERP-Lösung: Mitarbeiterverwaltung, Bibliotheksverwaltung, Ressourcenverwaltung, Finanzierungs- und Stellenplanverwaltung, Sicherheitskonzept. MDA-basierte Generierungstechniken mittels Apache Velocity und JSP-basierter Template Engine in Anlehnung an JET (Java Emitter Templates) (open ArchitectureWare, AndroMDA, middlegen, ejbgen, xDoclet evaluiert und bzgl. Konzepten genutzt), Struts 2.x. Inversion of Control sowie Dependency Injection Prinzipien mit Spring 2.x, teilweise in EJB2/EJB3 mit DAOs, DTOs, POJOs, Validator-Framework, Form-Objekten, Object-Cashing/Object-Transfer-Assembly. Workflow-Funktionalität mit Zuständen, Vor- und Nachbedingungen, Datenbank-Anbindungen zu Oracle und MySQL. UML- und DB-Spezifikation über Borland Together und Innovator 2008. GUI-Support für JSP, JSF, JBoss Portal, JBoss Seam, JBoss RichFaces, MyFaces, ExtJS, Swing als RichClient. Als Vorbild und Migrationsbasis dienten vorherige Anwendungen in C#/C++.net (CLI) mit nHibernate/T-SQL/H-SQL bzw. LINQ-Funktionalität und Windows Forms GUI.

Qualifikationen:
IT-Umgebung BEA WebLogic, ALSB (Aqualogic Service Bus ? JMS/ESB Lösung), Oracle 10i, JSP/ JEE-/J2EE (Tomcat, JBoss, Bea Weblogic mit den Frameworks Struts 2.x/JAAS, AXIS 2, WSO2/WSF (Web Services Framework), Hibernate, Apache Commons/Jakarta, JBoss (J2EE), JBoss Portal, Java Management Extensions (JMX).
Tools: MID Innovator 2007/2008, Bea Workshop, Enterprise Architect 7.0 von Sparx Systems, XMLSpy, Polarion, Jira, BEA XML Spy, Stylus Studio, Polarion, Jira, Eclipse, Borland Enterprise Server, ant, maven, putty, WinSCP, TortoiseCVS, TortoiseSVN, Apache jMeter, The Grinder, Mercury Interactive WinRunner/TestDirector, Mercury QuickTest Professional ? jetzt HP Quality Center, HP QuickTest Professional, Oracle Sqlplus, TOAD, Squirrel SQL, Oracle JDeveloper, MS Visual Studio 2003/2005 mit C#.NET, CLI.
Libraries: POI ? Word/Excel/PDF Konvertierung, Batik SVG, jUnit, log4j, graphViz, Lucene, JDBC, Spring 2.x/Acegi, Struts 2.x, JavaMail, J2EE Connectors, JDBC, OC4J, Codecs, Activation, OpenJPA (Java Persistence API). JSF, Swing, JGoodies/ AppFramework, MyFaces (Trinidat, Tobago, Tomahawk), Hibernate / OpenJPA, XMLBeans, Saxon XML Parser / XSLT / XPath / XQuery, JavaCC, sableCC, Crystal Reports, ExtJS, JCA (Java Connector Architecture, Java Cryptography Architecture).
Damit abgedeckte Technolo¬gien UML/UML2, Java, Rich-Client, User-Interface-Programming, Swing, SQL, HSQL, T-SQL, PL/SQL, OOA, OOD, OOP, Domain-Driven Design, WebServices, SOAP, XML, DTD, XSD, RelaxNG, XSLT, XPath, XQuery, SOA, EAI, Oracle, JEE, J2EE, EJB, Hibernate, OpenJPA/JPA, Prozessanalyse, Versions-/ Konfigurations-Management, Management, Logging, Tracing, Error Handling, Debugging, (Unit)Testing, MS Office, MS Project, MS Word, MS Outlook, MS PowerPoint, MS Excel.

SW-Architekt/SW-Engineer
Commerzbank, Frankfurt/Main, Berlin
10/2006 – 5/2007 (8 Monate)
nicht angegeben
Tätigkeitszeitraum

10/2006 – 5/2007

Tätigkeitsbeschreibung

Projektziel Vereinigung der Vorteile von HBCI- und Geld-Karte durch Entwicklung entsprechender Treiber/Ansteuerungen (IT-Sicherheits-/IT-Security-Projekt). Auf dieser Basis war dann eine verteilte Autorisierungs-/ Zeichnungsberechtigungs-Lösung zu implementieren, mit der etwa ein Buchhalter Zahlungen vorfreigeben kann, um diese dann endgültig von höherrangigen Personen elektronisch freigeben zu lassen.
Rolle Software-Architekt und Entwicklung, IT-Security-Experte
Aufgaben Fachlich: Schaffen einer Möglichkeit der sicheren verteilten Authentifizierung und Autorisierung von Zahlungen mit bereits verbreiteten Geldkarten. Neben dem Erreichen des Ziels wurde diese Lösung auch CeBIT-2007. Technisch:
1. Zunächst Anpassung eines Beispiel-Programms als Proof of Concept. Dann Konzeption und Entwicklung eines ZKA-Signatur-API Treibers zur Ansteuerung von SIM-/SECCOS Smartcards/Chips (EC-Karten / Bankkarten mit Geldkartenfunktion) von G&D in C++/Java auf den Ebenen der APDUs, PC/SC, CCID, Smart Card File System, Smart Card File System und PKCS#11 in Mobiltelefonen und auf PCs unter Windows, unter Linux (gcc/gdb, shell) und unter Apple Macintosh/MacOS X/Tiger.
2. JNI-Interface; Ansteuerungsprogramme als Java Applets und Java Applications.
3. Unterstützungsfunktionen für das sichere Authentifizieren/Autorisieren elektronischer Einkäufe (eCommerce/ePayment) und das Nutzen der Smart Card für Verschlüsselung, Digitale Signatur und DRM (Digital Rights Management), z.B. für den sicheren Download und die kontrollierte Verwendung von elektronischen Inhalten. Im SIM-Karten-Format kann die Smart Card und die entwickelte Software auch in Mobiltelefonen für elektronische Einkäufe und IT Sicherheit genutzt werden. Die SECCOS Smart Cards werden von G&D produziert und gehören zu den wichtigsten und die am weitesten verbreiteten Smart Cards in der deutschen Banken Landschaft, wie z.B. EC-Karte / Geldkarte.


Qualifikationen:
IT-Umgebung Windows, Visual Studio klassisch und mit CLI C#/C++, Linux (g++/gcc/gdb, shell, xemacs), Eclipse und Apple Macintosh/MacOS X/Tiger, Xcode, Darwin, Jira, ant, make, Cardreader von Kobil, fltk, Pipe und Socket-Programmierung für Remote-Smartcard-Ansteuerung, JCA (Java Cryptography Architecture).
Damit abgedeckte Technolo¬gien UML/UML2, Java, OOA, OOD, OOP, C/C++, Refactoring, Reverse Engineering, CLI, g++, MacOS, Tiger, CCID, Sockets, RPM, Prozessanalyse, Versions-/ Konfigurations-Management, Logging, Tracing, Error Handling, Debugging, (Unit)Testing, MS Office, MS Project, MS Word, MS Outlook, MS PowerPoint, MS Excel.

SW-Architekt über Team von 40 Leuten
BMW/Softlab, München
9/2006 – 12/2006 (4 Monate)
nicht angegeben
Tätigkeitszeitraum

9/2006 – 12/2006

Tätigkeitsbeschreibung

Projektziel Entwicklung eines konzernweiten PDM-Systems mit CATIA-basierten Rich-Clients (CARISMA), so dass Konstrukteure alle relevanten Arbeiten aus ihrem CAD-System CATIA heraus vornehmen können. Weiterhin war der BMW-Ansatz vorgegeben, der besagt, dass alle ca. 14 Relationen innerhalb der CATIA-CAD-Dateien exakt so innerhalb der Dateistruktur bei Einbringung in das PDM-System erhalten bleiben und für andere Konstrukteure automatisch angepasst werden müssen.
Rolle Chef-Software-Architekt mit Governance-Funktionen für den CATIA-basierten Rich Client CARISMA des konzernweiten zentralen PDM-Systems (7 untergeordnete SW-Architekten, ca. 40 angeleitete Team-Mitglieder) mit russischen und indischen Teilteams; das Gesamt-PDM-Projekt hatte einen Budget von über 300 Millionen Euro und ca. 1000 Mitarbeiter (inclusive SAP).
Aufgaben Fachlich: Automatisierung/Optimierung des Produktentstehungsprozesses bei BMW und seinen Zulieferern im Bereich CAD/Konstruktion mit CATIA. Hierbei lag der Fokus auf der effizienten Koordinierung der Teilnehmer an Entwicklungsprojekten und insbesondere der effizienten automatischen Propagierung und Überprüfung von Konstruktionen und deren Änderungen.
Technisch:
1. Architektur/Konzeption eines Produkt-Daten-Management (PDM) sowie Wissensmanagement-Systems bei BMW basierend auf Plug-In-Konzepten und Service-Orientierter Architektur (SOA/ITIL) auf der Basis des CAD-Systems CATIA und der Oracle Datenbank. Massendatenverarbeitung.
2. Erstellung der Gesamt-Architektur und Koordination der Teams.
3. Architektur/Entwicklung des PDM-Rich-Clients CARISMA mit 40 Mitarbeitern als System von Plug-Ins für das CAD-Programm CATIA von Dassault Systemes mit dem CAA-Framework, RADE, Redundanz-, Backup- und Clustering /LoadBalancing Konzepte (Failover, Hot Standby) über Server-/DB-Clustering und RAID 1-5 Datenspeicherung mit Anbindungen an Oracle-Datenbank (PRISMA) sowie SAP-Backend über Java/JEE-/J2EE-WebServices/SAP NetWeaver mit BEA Weblogic Server parallel unter Win32 und AIX (IBM Unix).
4. Einführung Build Server mit Parasoft C++ Test und einem Warning/Error-Matching-System, subversion-Integration (blame) und E-Mailing-System auf Basis von C#/C++.net (CLI).


Qualifikationen:
IT-Umgebung Windows (Visual Studio klassisch und mit CLI C#/C++), Unix (gcc/g++), CATIA CAA, Oracle 9, SAP Netweaver (SAP backend via Java/J2EE web services), BEA Weblogic Server 9, Java Management Extensions (JMX), JCA (Java Connector Architecture, Java Cryptography Architecture), gSOAP/Web Services, SiteMinder, Rational Solution Architect, Visio, Subversion, Flyspray, Build Server mit Parasoft C++Test, ant, make.
Damit abgedeckte Technolo¬gien UML/UML2, Java, CAA, RADE, C++, CLI, Rich-Client, User-Interface-Programming, RCP, SQL, PL/SQL, OOA, OOD, OOP, Domain-Driven Design, WebServices, SOAP, XML, DTD, XSD, RelaxNG, XSLT, XPath, XQuery, SOA, EAI, Oracle, JEE, J2EE, EJB, Hibernate, JPA, Prozessanalyse, Versions-/ Konfigurations-Management, Logging, Tracing, Error Handling, Debugging, (Unit)Testing, MS Office, MS Project, MS Word, MS Outlook, MS PowerPoint, MS Excel.

SW-Architekt
Medizintechnik/Health Care, Baden-Württemberg
2/2006 – 9/2006 (8 Monate)
nicht angegeben
Tätigkeitszeitraum

2/2006 – 9/2006

Tätigkeitsbeschreibung

Projektziel Weiterentwicklung von Produkten zur chirurgischen Navigation im menschlichen Körper (Knie-/Hüft-Operationen) mit simulierten 3D-Körperteilen, die auf Basis der realen Maße interpoliert/gemorpht wurden oder alternativ auf pixel-basierten CT-/MRT-Aufnahmen fußten.
Rolle Software-Architekt für 9 Mitarbeiter; ca. 40 Mitarbeiter im gesamten Entwicklungsbereich.
Aufgaben
1. Einführung einer Produktlinien-Architektur (SEI-Schule: DSSA/FODA sowie deren UML-basierte Weiterentwicklungen) im Bereich der chirurgischen Navigation mit eigener firewire-basierter Echtzeit-/Realtime-Kommunikation.
2. Alleinverantwortlicher SW-Architekt für den Bereich ?Imageless Navigation?, der chirurgischen Navigation mit modellhaften oder alternativ patienten-individuellen Röntgen-/C.T.-Bildern. Ermöglicht exaktere Knie- und Hüftoperationen ohne Patienten durch Strahlen zu belasten. Verantwortlich für zwei Teams (Knie- und Hüft-Software mit jeweils zwei Varianten, also 4 SW-Produkten) mit je ca. 5 Mitarbeitern im Knie- und im Hüft-Team sowie Offshore-Mitarbeitern in Indien.
3. Systematisches Refactoring bestehender Quelltexte zwecks Erzielung stark wieder verwendbarer Software-Komponenten nach neuen Architekturkonzepten.
4. Einführung einer Team-Entwicklungs-Kultur im Medizintechnik-Konzern: Verbesserung der Architektur, Refactoring, der Qualität und der Dokumentation von bestehenden Navigationssystemen mit den Konzepten ?Bad Smells in Code?, Refactoring und Redesign, Planung, Begleitung und Review der Arbeitspakete der Mitarbeiter.
5. Durchführung eines Test Process Improvement (TPI) Assessment und alleiniges Schreiben des TPI Assessment Reports mit Verbesserungs-Vorschlägen für das Management des Medizintechnik-Konzerns. Konzeption und Architektur für die schrittweise Einführung eines Test-Automations-Konzeptes mit Script-Sprachen (Python, Perl, JavaScript, QSA, .NET). Eine zusätzliche Schwierigkeit bestand darin, dass eine Reihe von Spezial-Hardware als Eingabe-Geräte für die Software als Input-Quelle integriert und koordiniert werden musste für die Umsetzung des Test-Konzeptes.
6. Beschleunigung von OpenGL-basierten Zeichenroutinen durch Nutzung neuer API-Funktionen und speziell optimierter Speicher-Strukturen (Streamlining).
7. Mitarbeit bei der Einführung der PTC Windchill PDM/PLM (Content- und Prozessmanagement) Software mit Windchill Workgroup-Manager für CATIA V5 zur Integration mit CAD-Dateien aus CATIA in das zentrale Produkt Daten Management System (PDM) / Product Lfe Cycle Management System (PLM)..


Qualifikationen:
IT-Umgebung Windows, IBM/Rational Tools (Rose, Purify, etc.) auf Basis von UML/MDA, Luntbuild, Jira, Perforce, MS Visual Studio, C++, MFC, Windows Forms, XAML, WPF/WinFX, Trolltech Qt, OpenGL, Perl, Python, Shellscript/Shell Programmierung, firewire, ant, make, PTC Windchill PDM/PLM, Windchill Workgroup manager for CATIA V5.
Damit abgedeckte Technologien UML/UML2, Rich-Client, OpenGL, Qt, Cross-GUI-Programming, signals/slots, User-Interface-Programming, OOA, OOD, OOP, Domain-Driven Design, Product Lines, 3D, fire wire, real-time-processing, Echtzeitverarbeitung, Prozessanalyse, Versions-/ Konfigurations-Management, Logging, Tracing, Error Handling, Debugging, (Unit)Testing, MS Office, MS Project, MS Word, MS Outlook, MS PowerPoint, MS Excel.

SW-Architekt/SW-Engineer
Government (Dt. Bundesregierung/Bundesbehörden), Berlin
9/2005 – 2/2006 (6 Monate)
nicht angegeben
Tätigkeitszeitraum

9/2005 – 2/2006

Tätigkeitsbeschreibung

Projektziel Integrierte Mobile Sicherheitslösung (mit Smartphones, Laptops)
Rolle Chef-Software-Architekt für Security-Backend; ca. 40 Mitarbeiter im Projekt mit 5 beteiligten Firmen.
Aufgaben
1. Treiber- und Applikations-Neuentwicklung für die nächste Smart Card Generation unter Win32 und PocketPC: Flash-Smartcards (Flash-Speicher + Krypto-Chip in Fingernagel-Größe), Card-Reader-Ansteuerung.
2. Flash-Smartcards (Gemeinsame Features der Flash-Speicherchips und Kreditkarten-artigen Smart Cards, java card): Entwicklung von JavaCard-Applikationen/Cardlets für Smartphones: Ver-/Entschlüsselung, Signierung, Seriennummern, Speichern/Verwalten von PINs, PIN Generator, TANs, Passworten, (Zugriffs-) Rechteverwaltung, Digital Rights Management (DRM), Speichern von (personenbezogenen) Daten, Speichern von Credentials/Trust Chain Informationen, Challenge-Response, Hash-Chains/Hash-Seeds.
3. APDU-Pakete erstellen und analysieren (PocketPC JavaCard Cardlets) via Win/Unix scard, PC/SC, OpenSSL, DLL Wrapper.
4. Lebenszyklus-Funktionen einer Smart Card mit Lebens-Zyklus-Übergängen, Einrichten und Schützen von Hersteller-/Integrator-Security-Domänen.
5. Einsatz/Anpassungen in Projekten mit der Bundesregierung (Referenzkunde für VPN- und Systemverschlüsselung), Utimaco, NCP, T-Systems, DATEV, Schering, Sparkassen-Organisation, Kooperation mit / Dokumentation für CERTs wie CERT-Bund
6. Integration mit VPN, sicherer Bezahlung/eBanking, sichere Authentisierung, sichere Datenübermittlung. Anschließend gemeinsamer Vertrieb und Weiterentwicklung in Richtung Electronic Content Download/Anzeige/Abspielen (eBooks, MP3, Movies, Bilder) mit starker Verschlüsselung.


Qualifikationen:
IT-Umgebung PocketPC / Windows Mobile / Embedded Systeme wie auch Win32 mit ASPECTS Studio, Sun Smart Card Toolkit und MS Visual Studio 2005 (CLI C#/C++) / Visual Studio Embedded 4.0 (C++) mit MMC-/SD-Karten des Hitachi-Konzerns, Technologien: PKCS#11, PKCS#12, PC/SC, Winscard, openssl, APDU-Pakete; Windows Netzwerk, MS ISA Server, Linux Netzwerk, L2TP, PPTP, Active Directory, X.500, X.509, LDAP, RIM/Blackberry, Push E-Mail, Content Push, WLAN, Skype, VoIP, Utimaco Tools, NCP VPN, SSL, Cryptophone, Informationssicherheit, ant, maven, make.
Damit abgedeckte Technolo¬gien UML/UML2, Java, C/C++, C#.NET, OOA, OOD, OOP, Refactoring, Reverse Engineering, CLI, g++, CCID, Sockets, PocketPC, WinCE, Sun Smart Card Toolkit, Prozessanalyse, Versions-/ Konfigurations-Management, Logging, Tracing, Error Handling, Debugging, (Unit)Testing, MS Office, MS Word, MS Outlook, MS PowerPoint, MS Excel.

SW-Architekt/SW-Engineer
AMB Generali Gruppe, ca. 60 000 Mitarbeiter, Berlin
9/2005 – 2/2006 (6 Monate)
nicht angegeben
Tätigkeitszeitraum

9/2005 – 2/2006

Tätigkeitsbeschreibung

Projektziel Architektur, Entwicklung und Betrieb eines Online-Versicherungs-Vertriebsportals mit Affiliate-Produkten.
Rolle Software-Architektur, Projektmanagement und teilweise Implementierung, ca. 10 Mitarbeiter.
Aufgaben Fachlich: Entwicklung eines Webportals mit Frontend und Backend zum Vertrieb von Versicherungsprodukten zusammen mit Affiliate-Produkten/-Marketing-Maßnahmen sowie deren Abrechnungen (Provisionen, Versicherungsgebühren, Automatisierung ein- und ausgehender Überweisungen)
Technisch:
1. Komplettübernahme aller Entwicklungsarbeiten am Webportal und an der Abrechnungssoftware: Konzeption, Refactoring, Implementierung und Unterbeauftragung von Arbeiten. Retten dreier vorher gescheiter Ansätze, insbesondere in Puncto Abrechnungsfunktionalitäten; Einarbeitung in undokumentiertes System/Troubleshooting ab dem ersten Tag. Massendatenverarbeitung.
2. Neu- und Weiterentwicklung des Portals auf Basis eines professionellen Ansatzes mit Typo3 CMS, Shopsystem, Newsletter, Finanzbuchhaltung, Direktmarketing/CRM via MS Exchange.
3. Entwicklung von Web Services (WSDL, SOAP, CGI, PHP, .NET, HTML/CSS) zu anderen Shops, z.B. auf Basis von osCommerce und diversen JSP-/J2EE- und .NET-basierten Sytemen (via CLI) sowie Paypal, Anbindung an verschiedene Banken (z.B. Postbank, Sparkassen) über DTAUS-Dateiformat. Erstellung und Versendung der Abrechnungen im PDF-Format und Erstellung daraus resultierender automatischer Gutschriften.
4. Backup-Konzept, Clustering, Fail-over-System, Deployment, Roll-out, ITIL/SOA, RAID 1-5 Datenspeicherung.
5. Entwicklung eines aufwändigen vollautomatischen Abrechnungssystems (eigene neuentwickelte Billing Engine auf Konzepten der Finanzmathematik mit großem Modul zur Provisionierung des Versicherungsverkaufs nach Standards der Versicherungswirtschaft/Versicherungsmathematik: Lebensversicherungen, Krankenversicherung, Pflegeversicherung, Haftpflichtversicherung) mit Provisionierung über 4 Stufen und jeweils mit echtem und virtuellem Geld: Erfassen von eigenen und Partner-Produktverkäufen.
6. Informationsaufbereitung/Tagging über DITA (Darwin Information Typing Architecture)


Qualifikationen:
IT-Umgebung Webportal auf LAMP-/XAMP-Basis (Linux Apache MySQL PHP): MS Visual Studio 2005 (CLI C#/C++), Windows Netzwerk, MS ISA Server, Linux Netzwerk/Linux Webserver, File Server und Datenbankserver/DB-Server, ant, maven, phpMyAdmin, OpenOffice Serienbrieffunktion.
Libraries: Symfony, Smarty, SimpleXML, Pear.
Damit abgedeckte Technolo¬gien UML/UML2, Java, User-Interface-Programming, PHP, SQL, OOA, OOD, OOP, Domain-Driven Design, CGI, WSDL, WebServices, SOAP, XML, DTD, XSD, RelaxNG, XSLT, XPath, XQuery, JEE, DTAUS, DITA, Prozessanalyse, Versions-/ Konfigurations-Management, Logging, Tracing, Error Handling, Debugging, (Unit)Testing, MS Office, MS Project, MS Word, MS Outlook, MS PowerPoint, MS Excel, automatische Serienbrieferzeugung.

SW-Architekt/SW-Engineer
Telematik/Verkehrsleitsysteme, Aachen
7/2005 – 9/2005 (3 Monate)
nicht angegeben
Tätigkeitszeitraum

7/2005 – 9/2005

Tätigkeitsbeschreibung

Projektziel Architektur/Konzeption und Entwicklung eines neuen Anzeigensystems für Fahrpläne an Haltestellen/Bahnhöfen/Flughäfen
Rolle Software-Architekt und Implementierung, ca. 30 Mitarbeiter im Projekt.
Aufgabe Eigenverantwortliche Architektur und Entwicklung einer Haltestellen-Rechner-Funktionalität auf Basis eines Altsystems als Java-basierte Applikation mit Treiber für die Ansteuerung aller gängigen Anzeiger (Abfahrten, Linienpläne) für Haltestellen, Bahnhöfe, Flughäfen. Besondere Features: Unterstützung mehrerer Protokolle zu den Anzeigern und Kommunikation zu Leitstellen-Systemen auf JEE-/J2EE-Basis mit mehrfachem Multithreading auch im Haltestellenrechner und in den J2EE-basierten Leitsystemen (Sende-/ Empfangs¬threads, Verarbeitungs-/Protokollumsetzungsthreads, Scheduling, Message Queuing).


Qualifikationen:
IT-Umgebung JBoss, Eclipse, Java Beans/EJBs: (Stateful/stateless) Session Beans, bean-managed persistence (BMP), container-managed persistence (CMP), stateless beans, entity beans/JavaBeans, Oracle DB-Server, UML-Dokumentation mit Visio, ant, maven.
Damit abgedeckte Technolo¬gien UML/UML2, Java, SQL, PL/SQL, OOA, OOD, OOP, Domain-Driven Design, WebServices, SOAP, XML, DTD, XSD, RelaxNG, XSLT, XPath, XQuery, SOA, EAI, Oracle, JEE, J2EE, EJB, Visio, Serieller Port, USB, Hibernate, Prozessanalyse, Versions-/ Konfigurations-Management, Logging, Tracing, Error Handling, Debugging, (Unit-) Testing, MS Office, MS Word, MS Outlook, MS PowerPoint, MS Excel.

Security-Experte
Diverse, Homeoffice
1/2005 – 3/2014 (9 Jahre, 3 Monate)
IT-Security: Sicherheitsanalysen, Sicherheitskonzeptionen
Tätigkeitszeitraum

1/2005 – 3/2014

Tätigkeitsbeschreibung

IT-Security: Sicherheitsanalysen, Sicherheitskonzeptionen, Erstellung von Zertifizierungs-Dokumenten (BSI Grundschutz, ISO 2700x, Common Criteria), Vorbereitung von Sicherheits-Abnahmen/-Zertifizierungen.
Projektziel: Sicherheitsanalyse und Konzeption (verschafft mir nebenbei auch einen großen Überblick über aktuelle Real-World-Architekturen).
Typische Aufgaben: Alleinstellungsmerkmal: Eigenes MS-Excel-Framework für die schnelle architektur- und situationsabhängige Ermittlung von priorisierten Gefährdungen und Gegenmaßnahmen (Architektur/Regeln/Policies) basierend auf einer Datenbank von ca. 3000 Angriffs-Vektoren und ca. 10 000 Gegenmaßnahmen. Hieraus lassen sich schnell Sicherheitskonzepte erstellen, die darstellen, wie sich ein gegebenes Sicherheits-Budget optimal für die Umsetzung der relevantesten Gegenmaßnahmen einsetzen lässt. Dies ist wiederum der wesentliche Input für Sicherheitszertifizierungen nach Common Criteria/BSI Grundschutz, ISO 2700x, etc. Ein einfaches Sicherheitskonzept mit mehreren hundert Maßnahmenem-pfehlungen lässt sich so schon mit einer Woche Arbeitsaufwand erstellen.
Typische fachliche Aufgaben: Identifikation zusätzlicher empfohlener Sicherheits-Maßnahmen, Konzeption sicherer Software- und Netzwerk-Architekturen, Entwicklung von Rechtekonzepten, Shop Absicherung, (teil-automatisiertes) Penetration Testing, Erarbeitung der Architektur/Unterlagen für Sicherheits-Zertifizierungen, Sicherheits-Schulungen, Entwicklung von Smartcard bzw. Krypto-Software.
Konkrete Kunden & Aufgaben:
1. Auswärtiges Amt, 2014: Konzeption der SOA-Strategie als Berater des IT-Architekten, insbesondere zu den diversen Anwendungen, die die zentralen IT-Systeme des Auswärtigen Amtes ausmachen sowie deren sichere und effiziente Anbindung (Datensparsamkeit/Kompression, Latenz, Caching) an die vielen hundert Botschaften.
2. Fiducia/VR-Gruppe (Volks- und Raiffeisen-Banken), 2014: Erstellen eines Fachkonzept und einer Architektur zur Passworterweiterung von 8 auf bis zu 20 Stellen konzernweit, d.h. für alle Banken und Versicherungen. Teilschritte: Einführung des PassTicket-Systems für RACF mit eigener besonders abgesicherter Implementierung zur Umgehung der Begrenzung der Passwortlänge auf 8 Zeichen bei RACF. Einführung des VR-eigenen IAM-Systems (Identity und Access-Management) MIAMI mit Anbindung an den Oracle Enterprise Directory Server (OEDS) als zentralen LDAP-Server. Migrationskonzept für alle migrierbaren Applikationen weg vom RACF mit DB2 und Unix System Services (USS) hin zu OEDS incl. Migration der LDAP-Inhalte mit Berechtigungen, (Technische-) User-Kennungen, Gruppenmitgliedschaften. Erstellung eines Konzeptes zur Anpassung der internen Daten- und Steuerungsflüsse per WebServices, RMI, EJB, SSL-Verbindung oder DCOP sowie der betroffenen APIs und Web-Anwendungen.
3. Trost SE Autoservice Fahrzeug-Teile-Großhandel: IT Systemarchitektur analysiert und kurz-/mittelfristig optimiert, Big Data Ziel-Architektur mit Hadoop sowie Virtualisierungs-Konzept erstellt.
4. Bundesarchiv, 2013: Konzeption der Architektur des neuen BASYS (B+E)-Systems zur internen Archiv-Verwaltung mit Schwerpunkt auf JEE Architektur, Big Data Architektur-Variante (Hadoop, Giraph), Security, Berechtigungen, Oracle DB-Modell, Graph-Datenbank (neo4j/Giraph), JavaFX 2 sowie Change Management.
5. Deutsche Post/DHL, 2012: Sicherheitskonzeption der neuen Paket-IT-Systeme (Netzwerk, Software): Modellierung der Assets (HW + SW), Erweiterung der Datenbank mit Gefährdungen/Gegenmaßnahmen und Erstellung der Modellierung der konkreten Wahrscheinlichkeiten/Erwartungswerte dafür bei gegebenen Grund-Architektur; Generierung eines Reports mit nach Kosten-Nutzen-Verhältnis sortierten Gegenmaßnahmen und den damit neutralisierten Gefährdungen.
6. Parfumdreams.de / Akzente Parfümerie, 2012: Analyse der Software- und Hardware-Umgebung, Penetration-Testing, Erstellung angepasster Modelle für Gefährdungen/Gegenmaßnahmen und Generierung eines Reports mit nach Kosten-Nutzen-Verhältnis sortierten Gegenmaßnahmen und den damit neutralisierten Gefährdungen.
7. Deutsche Bahn, 2012: Teilnahme an Security-Workshops als Fachexperte für sichere Webservices und sichere Intranet- und Internet-Netzarchitekturen. Erstellung von Architekturvorlagen und Bausteinen („Bebauungspläne“) für sichere Netzwerke, sichere Bezahlsysteme (PCI-DSS Zertifizierung) und Webservices.
8. Deutsche Telekom/T-Systems, 2010-2011: Sicherheitsarchitektur für De-Mail / Vorbereitung der Zertifizierung nach BSI Grundschutz in der höchsten Stufe.
9. Bank Julius Bär, 2010: Identity & Access Management System (IAM): Konzeption eines eigenen verfeinerten Rollen- und Rechtekonzeptes für Portfolio-Manager, Kundenbetreuer, Backoffice-Mitarbeiter, etc. mit Features zur Rechte-Delegation, Krankheits-Vertretung, Rechte-Vererbung, Chef- und Sekretärinnen-Funktionalität, bankfachliche Regeln zur Rechte-Ausweitung oder –Einschränkung, Abgrenzung der Daten der jeweiligen Nationen gegen Einsichtnahme von anderen Nationen aus.
10. Postfinance, 2009: Konzeption/Weiterentwicklung eines Identity und Access Management Systems (IaM).
11. Commerzbank, 2008: Konzeption/Implementierung von sicheren Webservices zum automatischen Abgleich von Zahlungs- und Konten-Daten mit anderen Banken bzw. Zahlungsdienstleistern (PCI-DSS Zertifizierung).
12. Deutsche Telekom/T-Online, 2007: Konzeption/Entwicklung eines Identity und Access Management Systems (IaM).
13. Airbus, 2004-2005: Sicherheits-Architektur für die Airbus A380-Kabinen-Netzwerke; Vorbereitung einer Zertifizierung; Datenbank-basierte Modellierung der Gefährdungen/Gegenmaßnahmen nach BSI Grundschutz und Common Criteria (CC).
Typische Skills Typische technische Aufgaben/Tools/Protokolle/Prozesse:
Standards für Konzeption und Zertifizierung: Common Criteria, BSI Grundschutz mit Common Criteria Toolkit/GSTool.
Protokolle & zugehörige Tools: SSH, SSL, VPN, L2TP, PPTP, Challenge-Response, Diffie-Hellman Schlüsselaushandlung.
Verschlüsselungs-/VPN-Tools: Cisco, Utimaco, GnuPG/GPG, Secude, NCP, OpenVPN, StrongSwan/FreeSwan, OpenSSL, PuTTY, WinSCP.
Krypto-Algorithmen: Blockverschlüsselung (3DES, AES/Rijndael, Twofish), Public-Key-Verschlüsselung (RSA, IDEA, Ellipt. Kurven), Digitale Signatur (RSA, DSA, ECDSA, El Gamal), Hashing/HMAC (SHA1/2/3, RC4, MD5, Salting).
Smartcards: Signaturgesetz-Karten (z.B. TCOS), SECCOS (Geldkarte), neuer Personalausweis (nPA), elektronische Gesundheitskarte (eGK), JavaCard, Flash-Smartcards (G&D, Certgate). Konzepte: PKCS#1-15, PC/SC, APDU, DF/ EF, WinSCard, Scard, CCID, RFID.
Sicherheits-Standards: ISO 2700x, Open Source Security Testing Methodology (OSSTMM), OWASP Testing Guide, Web Application Attack and Audit Framework (W3AF), BSI Sicherheitsbausteine (WebApp-Baustein basiert auf/integriert ÖNORM A 7700), PCI DSS (Kartenterminals, Smartcards, Bezahlsysteme), WS-Security, WS-Trust, WS-ReliableMessaging, WS-Policy, WS-Federation, XML-DSig, XML-Crypt, XaDES, PKCS#1-15, CMS, viele Netzwerk-Protokolle nach RFC, S/MIME, PDF-Crypt, PDF-Sign, TIFF-Sign.
IAM/SSO/Authentication Protokolle/Tools: HTTP Auth, SAML 2.0, OAuth 1.0a/2.0, Siemens DirX, Atlassian Crowd, CA Siteminder, Active Directory (AD/AM, AD/FS, etc.), SAP Identity & Access Management, Daimler PAI, Spring Security, Shibboleth, OpenID, OpenAM/OpenSSO.
Sonstige Tools: Samhain, Tripwire, T-Systems SIUX, Windows File Protection / System File Checker (sfc).
Security Scanner & Penetration Testing/Hacking Tools: MetaSploit, Burp Suite, NeXpose, Nessus, Nmap, Acunetix-Websecurity Scanner, PeakflowX von Arbor, NTOSpider, NTODefend (DAST Tools), Skipfish, Fuzzing Tools, Burp Nessus, SoapUI (für WebServices), Core Impact,, Google Skipfish, OWASP WebScarab, JBroFuzz, Zed Attack Proxy (ZAP), Scrubbr, SQLiX, Paros Proxy, IronWASP, W3AF, Syhunt Mini, N-Stalker, Watobo, VEGA, Netsparker, Andiparos, ProxyStrike, Wapiti, Grendel Scan, arachni, WebCruiser, JSky, jScan, ProxyStrike, PowerFuzzer, Sandcat, Ammonite, safe3wvs.
Sonstiges Netzwerk-Sicherheit: Cisco ASA (VPN/Gateway), strongSwan, Brocade Encryption Switch, Thales TEMS, Sun XFS, Oracle RAC, Oracle Coherence, Luna SA Box, Utimaco LIMS mit Gateway, Vmware Virtualisierung, Viren- & Malware Scanning, Web Application Firewalls (WAF), Identity Enabling Services (IDES), managed Security Information and Event Management (mSIEM), Network Intrusion Detection Systems (NIDS), One Time Password Tokens (OTP), Lifetime Key Management (LKM), Lawful Interception Management System (LIMS), Load Balancer (LB), Hardware Security Modules (HSM), Soft-PSE (Personal Security Environment), NAT-Traversal, DMZ (Demilitarized Zone), Advanced Mezzanine Card (AMC), TCOS 3.0, X.509 und Triple Key Zertifikate, DNSSEC, DCF77/Funkuhr, NTP, Business Continuity/Disaster Recovery.
Web Application Firewalls (WAFs): Imperva SecureSphere, DenyAll rWeb, F5 ASM, Barracuda 660, Citrix Netscaler, SourceFire 3D, Apache ModSecurity (mit gener. Rules von z.B. NTODefend/OWASP).

System-Architekt, IT-Security-Berater
Airbus, Hamburg
8/2004 – 7/2005 (1 Jahr)
nicht angegeben
Tätigkeitszeitraum

8/2004 – 7/2005

Tätigkeitsbeschreibung

Projektziel Konzeption der Kabinen-IT-Systeme und IT-Security-Assessment (Alleinverantwortung für A380-Kabinen-Infrastruktur-Security sowie deren Server-Systeme)
Rollen System-Architekt, IT-Security-Experte, ca. 10 Mitarbeiter im Teilprojekt. Gesamt-A380-Engineering-Projektgröße: Ca. 8000 Mitarbeiter bei Airbus + ca. 20 000 Mitarbeiter bei Lieferanten, Budget: Ca. 20 Milliarden Euro.
Aufgaben Fachlich: Sicherstellen des reibungslosen Funktionierens der Netzwerk-Infrastruktur , der Wartungs- und Diagnose-Systeme sowie der IT für automatisches Aufsetzen nach einem Einbau/Austausch einzelner Systeme/Re-Konfiguration. Schaffen einer Basis für In-Flight-Entertainment (IFE), zollfreies elektronisches Einkaufen im Online-Shop der Fluglinie sowie Internet-Zugang (Mail/Web) und elektronische Bezahlung (Billing) während des Fluges.
Technisch:
1. Konzeption/Architektur von Netzwerk-Infrastruktur und IT-Diensten mit Schwerpunkt auf IT-Sicherheit und Performance-Optimierung. Konzeption der Java/J2EE-Architektur auf Basis von JBoss/Tomcat für die zentralen Wartungs-/Fehler-Analyse- und Konfigurations-Systeme, Internet-Zugangs- und Billings-Software sowie Fluggast-Informationssysteme und Toll-Free-Shop-Systeme mit Sybase PowerDesigner, UML, Visio.
2. Durchführung von IT-Sicherheits-Abschätzungen, Analysen und Zertifizierungs-Vorbereitungen nach dem internationalen Common Criteria (CC) Schema für IT Security (weil die konkreten Details erst mit den jeweiligen Flugzeugbestellungen festgelegt werden). Arbeit an sicheren Java Entwicklungsvorgaben.
3. Systemkonzeption nach DO-178B Level D/E im Kabinen-Bereich nach den Avionik-ARINC-Standards sowie Schnittstellen und Datenquellen aus dem Avionik-Bereich nach DO-178B Level A-C. Konzeption und Einsatz der Verlässlichkeits- und Redundanz-Standards nach DO178B, die wiederum alle wesentlichen SW-Engineering-Standards mit entsprechendem Fokus beinhalten. Internet-/Intranet-Technologien (TCP/IP, SMTP, POP3, IMAP, Ethernet, Router, Switch/VLAN, Bridge, VPN, PKI, X.500), PC-Anywhere, SSH, Utimaco, NCP VPN, L2TP, PPTP.
4. Konzeption und Umsetzung einer Datenbank für alle Informationen zu Datenflüssen und zur Security-Analyse nach Common Criteria (CC) sowie mit BSI Grundschutz-Handbuch-Elementen und der Airbus-Erweiterung System Vulnerability Analysis (SVA) - einer Erweiterung von CC auf Basis von DO-178B und entsprechenden Wahrscheinlichkeits- und (Rest-)Risiko-Bewertungen. Beim SVA-Ansatz werden alle Funktionalitäten/Werte, Ereignisse und Gegenmaßnahmen nach Wahrscheinlichkeiten zu einer Gesamt-Kosten-Nutzen-Abschätzung zusammengeführt. Konzeption mit Sybase PowerDesigner und Realisierung in MySQL mit PHP-basiertem Web-Interface (PHPMaker) und parallel in MS-Access.
5. Intensives Requirements Engineering für Anforderungen im Netzwerkbereich des gesamten Kabinennetzwerkes; Halten einer effizienten erweiterbaren Architektur trotz starkem Druck von Nachbarabteilungen zu häufigen Veränderungen der Anforderungen aufgrund neuer Wünsche.
6. Vorbereitung (Unterlagenerstellung: Anforderungen, Systemarchitektur), Durchführung von Marktanalysen und Ausschreibungen und Nachbereitung/Evaluation der eingegangenen Resultate sowie Lieferanten-Koordination und Lieferanten-Betreuung: Architekturoptionen, Performance, IT-Security, wirtschaftliche/vertragliche Aspekte.
7. Mitarbeit an Konzepten zur sicheren automatischen Konfiguration von ausgewechselter Hardware von einem neutralen Auslieferungszustand aus anhand von eingestellten Hardware-Kennungen, sicheren Bootbereichen (Flash/smart card) und zentralen Konfigurations-Servern.
8. Mitarbeit an Konzepten zum zentralen datenbank-basierten Sammeln/logischem Zusammenführen und Analysen/Auswerten von Log-, Trace- und Fehlermeldungen sowohl im interaktiven wie auch im passiven Modus. Auf dieser Basis wurden dann automatisch Handlungsempfehlungen wie der Austausch oder der Reboot einzelner Komponenten oder Dienste abgeleitet, die dann - soweit möglich - auch automatisch umgesetzt wurden. Massendatenverarbeitung.


Qualifikationen:
IT-Umgebung Win32/Linux/Solaris: Java/J2EE, PHP
Tools: JBoss/Tomcat, Sybase PowerDesigner, Visio, MS-Access, MySQL, PC-Anywhere, Utimaco-Tools, VPN, NCP VPN, X.500, ant, maven.
Protokolle: TCP/IP, SMTP, POP3, IMAP, SSH/SSL, L2TP, PPTP
Technologien: Netzwerk-Konzeption, Ethernet, Router, Switches/VLANs, Bridges, PKI, DO-178B, CC (Common Criteria), SVA (System Vulnerability Analysis).
Damit abgedeckte Technolo¬gien UML/UML2, Java, C++, ARINC, RFCs, OOA, OOD, OOP, Domain-Driven Design, WebServices, SOAP, XML, DTD, XSD, SOA, EAI, Oracle, JEE, J2EE, EJB, Prozessanalyse, Versions-/ Konfigurations-Management, Logging, Tracing, Error Handling, Debugging, Testing, MS Office, MS Word, MS Outlook, MS PowerPoint, MS Excel.

Ausbildung

Informatik mit NF Elektrotechnik
Diplom-Informatiker
1999
Kaiserslautern

Über mich

Philosophie
Erfolgsorientiert: Jedes professionell finanzierte Projekt effizient zum Erfolg gebracht in 15 Jahren Berufserfahrung und ca. 20 Jahren IT-Erfahrung.
Bewiesene Fähigkeit zum Schaffen und Patentieren von einmaligen Produktvorteilen / Alleinstellungsmerkmalen (USPs).
Sehr selbständiges unternehmerisches Arbeiten, wenig Einarbeitung benötigt/schnell produktiv im neuen Thema, sachlich/fair im Umgang sowie Soft Skills. In der Folge durchgängige hohe Auslastung, lückenloser 15-jähriger Track-Record.

Erfolge:
Architekt in den wohl 4 wichtigsten deutschen IT-Projekten der letzten Jahre: Elektronische Gesundheitskarte (Gematik), elektronischer neuer Personalausweis nPA (Bundesdruckerei), De-Mail (sichere vertrauliche E-Mail mit gesetzlicher Signaturfunktion und Gleichstellung zum eingeschriebenen Brief, Dt. Telekom) und das Mobile-Security-Projekt SIMKO der Bundesregierung. Dadurch, dass ich häufig für die IT-Security-Aspekte von Architekturen hinzugezogen werde, habe ich mit ein Vielfaches von Real-World-Architekturen gesehen im Vergleich zu normalen Architekten.

Referenzen: Deutsche Bundesregierung, 11 DAX30-Unternehmen (Dt. Bank, Commerzbank, Dt Börse, Dt. Telekom, Dt. Post/DHL, Daimler, BMW, VW, TUI, ThyssenKrupp, Allianz/Dresdner Bank), 20 internationale Großkonzerne (Vattenfall, Thales, Airbus, stryker, B. Braun, Alliance Boots/MegaPharm, Generali, Sal. Oppenheim, Sparda Bank, Noris Bank, Citigroup, Lloyds Banking Group, PostFinance, Bank Julius Bär, Schwäbisch-Hall; Deutsche Bahn, Verlagshäuser: Holtzbrinck, Rentrop und Haufe/Lexware; European Patent Office).
8 erteilte Software-Patente im Security-Bereich (sichere unscheinbare Kommunikation/Textbasierte Wasserzeichen, z.B. für eBooks). Die Patente wurden in allen wichtigen Industriestaaten erteilt (USA, Kanada, Europa) und von IBM, Sybase, Amazon und Intel als wichtiges Basispatent referenziert/lizenziert.

Schwerpunkte
Software Engineering (hauptsächlich System-Architektur, Software-Architektur, Projektmanagement: Projektleitung, Prozesse, Coaching), Betriebsoptimierung, Prozessoptimierung: Konzeption, Erfassung/Assessment und Optimierung von IST-Zuständen/Geschäftsprozessen, Requirements Engineering, Sicherheits-/Prozessreife-Zertifizierungen, Qualitätsstandards, MDA / UML, Service-Orientierte Architektur (SOA), Code-Generierung mit UML-Tools und Template Engine, OOA/OOD, Requirements Engineering, aber auch Programmierung und hardwarenahe Entwicklung (Embedded).

IT-Security: Identity Managementsysteme, WebService Security, Informationssicherheit, Smart Cards/Chips, VPN, Firewalls, Aufdecken von Quellcode-Schwachstellen, E-Mail-Sicherheit, S/MIME, Kryptographie, Watermarking, Common Criteria, BSI Grundschutzhandbuch (GHB), Vulnerability Analysis, Penetration Tests, Trust Center.

Programmierung: Java und C++/C# - klassisch und .NET/CLI, eCommerce (J2EE: BEA ALSB/WebLogic, WebSphere, WebSphere MQ, Tomcat, JBoss, Jonas, Tomact, JMS, AXIS, Struts, Spring, XML/XSD, SOAP, UDDI, WSDL, JSP, JMX), .NET (Visual Studio 2005/2008, LINQ, WPF, XAML, Windows Forms), Groovy, Scala, ScalaCheck; auch: PHP, Perl, Python, Shell (Unix (tcsh, ksh, bash)/Windows/MacOS).

Datenbanken: Oracle, DB2, MySQL, PostgreSQL, SQLite, MS SQL Server 2005/2008, MS Access auch via Hibernate, OpenJPA, JDBC, LINQ, Aqualogic data services platform (XQuery), etc.
Wissensmanagement, Dokumententechnologien (CMS, DMS, PDM), Text Mining, Web Mining, Data Mining, Business Intelligence, Reporting, Management Information Systems (MIS), Competitive Intelligence, Computerlinguistik, etc.

Elektronik: Diverse Netzwerk- und Datenprotokolle und Steuerungssysteme: TCP/IP, Firewire, USB, Bluetooth, ARINC-Protokolle, MIL-Protokolle, serielle/parallele Protokolle.
Erfolgreiche Führungserfahrung: Z.B. ca. 40 angeleitete Mitarbeiter bei BMW/Softlab; Bis zu einem Dutzend angeleitete Mitarbeiter im eigenen Technologie-Unternehmen.

Branchen
Banken, Versich., eCommerce, Healthcare, Energy

Weitere Kenntnisse

Meine fachlichen Schwerpunkte:
1. KI (Künstliche Intelligenz) / AI (Artificial Intelligence): Studienschwerpunkt und fast 30 Jahre Erfahrung in allen Feldern, insbesondere im Deep Learning (TensorFlow etc.), Machine Learning, NLP (Natural Language Processing)/Computerlinguistik.
2. Big Data (Spark, Hadoop, Kafka, Cassandra) / Data Science / BI: Fraud Detection, Advertising, Smart Functionalities
3. Cloud: Docker, Kubernetes, Kubeless, Google Cloud Platform (GCP), vmWare, Citrix, Amazon EC2, AWS, OpenStack, OpenShift, Cloud Foundry, MS Azure
4. Microservices/APIs/Serverless: DDD, Evolutionary Architecture, Versionierung, Schnittstellen- und Protokoll-Design, EAI.
5. Enterprise Application Integration (EAI): WebServices, Messaging, Batch, In-Memory Frameworks, ESBs, Async Frameworks, Business Rules/BPM(N), Integration verschiedener Technologien wie Unix, Host, Windows, Mobile Platforms.
6. Mobile Apps / Mobile First Architecture: HTML5, Ionic / Angular, Cross-Platform und Native Frameworks in Java, Scala, C++, C# oder Objective C/Swift.
7. Hochverfügbarkeit: Business Continuity Management (BCM), Reliability Engineering, Desaster Recovery (DR).
8. Business-Process-Optimierungskonzepte
9. Effizientes Beenden von Problemprojekten (mit eigenem Tracing & Analyse-Toolset) sowie Neu-Strukturierung von Problemprojekten.

Meine Projekt-Rollen – am liebsten möglichst innovativ/kreativ:
1. Architektur: Enterprise IT, Big Data, Cloud, Messaging, APIs, Proofs of Concept (PoC)
2. IT Sicherheit, eigene IT-Security-Datenbank: Konzepte, Rechte & Rollen, Pen-testing, Logging/Monitoring/IDS/IPS, Entwicklung, Reviews, Incident Response aber KEINE Administration
3. Projektleitung/Testleitung, Product Owner: meist im Anschluss an Architektur
4. Agile: Coaching / Risiko-minimierende Einführung/Verbesserung / Product Owner: Design Thinking, Work Hacks, Scrum, ScrumOfScrums, Kanban, DAD, Crystal, Cynefin, Scrum@Scale, SAFe, LESS, Nexus, Use Case 2.0, Learn Startup, Serverless, Holacracy/Pitching Framework und klassische Prozesse: V-Modell XT, RUP/EUP, PRINCE2, ITPM, PMI, IPMA
5. Schulungen: Big Data und IT Sicherheit
Nur gelegentlich Entwicklung (20%): Java, Scala, Python, C/C++/C#, PHP, Visual Basic/VBA, SQL/HQL in PoCs – GUI-Entwicklung hat den geringsten Anteil (Backend / Fachlichkeit bevorzugt).

Branchen: Alle, Schwerpunkte: eCommerce, Gesundheitswesen/Pharma, Banken/Versicherungen, Telko, öffentl. Sektor, Elektronik/Technologie/Industrie, Transport/Automotive, Energie, Verlage.

Persönliche Daten

Sprache
  • Deutsch (Muttersprache)
  • Englisch (Fließend)
  • Französisch (Fließend)
Reisebereitschaft
Weltweit
Arbeitserlaubnis
  • Europäische Union
  • Schweiz
Home-Office
bevorzugt
Profilaufrufe
44917
Alter
52
Berufserfahrung
25 Jahre und 8 Monate (seit 07/1998)
Projektleitung
15 Jahre

Kontaktdaten

Nur registrierte PREMIUM-Mitglieder von freelance.de können Kontaktdaten einsehen.

Jetzt Mitglied werden