2026 - heute: Vulnerability Management & Compliance

Rolle: Senior Security Engineer

Kunde: Lang & Schwarz Broker GmbH, Düsseldorf

Aufgaben:

Greenfield-Security-Engagement bei einem deutschen Wertpapierhandelshaus: Aufbau eines unternehmensweiten Vulnerability-Management-Programms über die gesamte IT-Infrastruktur. Das Projekt umfasst Vulnerability Scanning mit Greenbone, SIEM-Integration mit Exabeam, Entwicklung eines Security Control Frameworks sowie Compliance-Dokumentation für ISO 27001, DORA und DSGVO. Direkte Zusammenarbeit mit dem CIO und funktionsübergreifenden Teams (IT-Betrieb, Anwendungsentwicklung, Datenschutz) zum Aufbau von Security-Prozessen in einem regulierten Finanzdienstleistungsumfeld.

Kenntnisse:

Greenbone (OpenVAS), Kali Linux, CVSS, Exabeam SIEM, ISO 27001, DORA, DSGVO, KAIT/BAIT, GitLab, Python

2025 - heute: Systematische Erhöhung der IT-Resilienz

Rolle: Senior Infrastructure & Resiliency Consultant

Uniper SE, Düsseldorf, Deutschland

Aufgaben:

Systematische Erhöhung der IT-Resilienz und Disaster-Recovery-Fähigkeiten über Unipers Azure-gehostete Applikationslandschaft. Fokus auf missionskritische Anwendungen: Sicherstellung, dass Backup-Konfigurationen definierte RTO/RPO-Ziele erreichen und NIS2-, BSI-KRITIS- sowie ISO-27001-Anforderungen erfüllen. Automatisiertes Tooling zur Bewertung, Berichterstattung und Nachverfolgung der Backup-Compliance über das gesamte Azure-Estate aufgebaut.

• Automatisiertes Azure-Backup-Compliance-Assessment-System entworfen und gebaut: Abfrage des gesamten Azure-Resource-Estates, Mapping auf Enterprise-Application-Management-IDs über Custom-Heuristiken, Validierung gegen definierte ER-Klassen (RTO 120h, RPO 12h, Retention 14d)
• Automatisierte wöchentliche Reporting-Pipeline entwickelt: Azure-API-Abfragen produzieren JSON-Daten, verarbeitet durch Custom-Skripte zu strukturierten Markdown-Reports und JSON-Feeds für Power-BI-Integration
• 7 kritische Handlungsfelder identifiziert: fehlende Archivierungsrichtlinien, Backup-Abdeckungslücken, Geo-Redundanz-Limitierungen, fehlende Offsite-Backups, Ransomware-Erkennung/Immutabilität, Verschlüsselung-at-Rest
• DR-Plan-Reviews für ~44 Applikationen durchgeführt mit Gap-Analyse gegen definierte Target States
• ServiceNow-API für Asset-Management-Datenanreicherung integriert
• Datenintegration für Power-BI-Dashboards vorbereitet; Transition von dokumentenbasiertem Reporting zu interaktiver BI-Plattform
• Stakeholder-Sessions mit Applikationsteams zur Validierung von Backup-Konfigurationen geleitet

Technologien:

Azure (Backup, Key Vault, VMs, App Service, Policy, Landing Zones), Azure CLI, Python, NIS2, BSI KRITIS, ISO 27001, DSGVO, Power BI, ServiceNow API, Oracle DB, Prometheus

2025 - heute: Threat-Modeling-Framework

Rolle: Senior Security Consultant & Threat Modeling Architect

Kunde: Insight / Yorizon (Sovereign Cloud), Remote (Rechenzentren in Deutschland und Österreich)

Aufgaben:

Vollzeit-Engagement im Security-Team eines europäischen Sovereign-Cloud-Providers, der eine hyperscaler-kompetitive Plattform mit strikten EU-Datensouveränitätsvorgaben aufbaut. Die Plattform erstreckt sich über mehrere Rechenzentren in Deutschland und Österreich, basierend auf OpenStack mit Kubernetes-Orchestrierung. Primärfokus: Entwurf und Implementierung eines umfassenden, automatisierten Threat-Modeling-Frameworks, externe Security-Assessments und Härtung der Kubernetes-Infrastruktur nach BSI IT-Grundschutz.

• Umfassendes Threat-Modeling-Framework auf Basis von Invariance Analysis und Microsoft STRIDE entworfen und gebaut; 80+ Security-Invarianzen und 17 STRIDE-Threat-Models erstellt
• Framework als Policy-as-Code mit Open Policy Agent (OPA) und Rego implementiert; automatisierte Validierung über Conftest in CI/CD-Pipelines integriert
• Drei-Schichten-Modell (?Onion?-Ansatz): Sovereign Control Plane, Tenant Isolation / Compute Fabric, Service Catalog
• Externes Security Assessment durchgeführt: DNS-Enumeration mit 94 Subdomains, 50+ öffentlich exponierte Dev/QA-Subdomains identifiziert, 28 unaufgelöste DNS-Records mit Subdomain-Takeover-Risiko dokumentiert
• Öffentlich erreichbare Infrastruktur-Tools (Keycloak, ArgoCD, Harbor, Nexus, SonarQube, Grafana, MinIO, NetBox) entdeckt und Remediation-Schritte priorisiert
• BSI IT-Grundschutz APP.4.4 Compliance für Kubernetes geleitet: Anforderungskatalog (A1-A21) erstellt, Multi-Tenancy-Review durchgeführt, Security-Tooling evaluiert (Kube-bench, Kyverno, Popeye)
• OpenFGA-Autorisierungsservice-Design reviewed; Lücken in Latenz, Caching, Multi-Tenancy-Isolation und Threat-Vektoren identifiziert
• Security Forum als zentrales Governance-Gremium mitaufgebaut

Technologien:

STRIDE, Invariance Analysis, OPA/Rego, Conftest, BSI IT-Grundschutz, EUCS, ISO 27001, DSGVO, Kubernetes (AKS, on-prem), Helm, Calico, MetalLB, Kube-bench, Kyverno, OpenStack, Azure, Terraform, Keycloak, Entra ID, OpenFGA, OpenBao, ArgoCD, Harbor, Azure DevOps, Grafana, NetBox, Python, Prometheus, eBPF, OpenTelemetry

2025 - heute: Deep-Dive-Infrastrukturanalyse

Rolle: Senior Infrastructure Consultant & Performance Engineer

Kunde: Bayrische Justiz / eIP, Bayern

Aufgaben:

Engagement innerhalb von IBM Deutschland zur Behebung kritischer Performance- und Verfügbarkeitsprobleme im eJustice-System (eIP/eAkte) der Bayerischen Justiz. Das System ist eine komplexe, Multi-Partner-, Multi-Rechenzentrum-Plattform für digitale Gerichtsakten. Im Rahmen einer dedizierten Taskforce den umfassenden Endbericht verfasst: 11 priorisierte Systemrisiken identifiziert, 26 Remediation-Maßnahmen definiert. Aktuell Transition in die Implementierung der Maßnahmen und eIP-Entwicklung.

• Deep-Dive-Infrastrukturanalyse über einen komplexen Multi-Partner-Technology-Stack in zwei Rechenzentren durchgeführt
• 11 priorisierte Systemrisiken (S-001 bis S-011) über Netzwerk-, Storage-, Datenbank- und Applikationsschichten identifiziert und dokumentiert
• Umfassenden Endbericht (100+ Seiten) mit Root-Cause-Analyse, Remediation-Maßnahmen, Benchmark-Konzepten und Koordinationsframeworks verfasst
• 26 strukturierte Remediation-Maßnahmen (M-001 bis M-026) mit KPIs, Verantwortlichen und Implementierungszeitplänen definiert
• 4-stufige Benchmark- und Testmethodik entworfen (Komponententests, Integrationstests, E2E-Tests, Resilience/Chaos Engineering)
• Multi-Partner-Koordinationskonzept für IBM, Virtual7, IT-Novum, Jus-IT, RZ-Nord und LfSt entwickelt
• Oracle-Datenbankoptimierung: Connection Pooling, RAC-Implementierung, SQL-Tuning, Memory Management
• NFS-Performance-Optimierung im Lab durchgeführt; JDBC-Connection-Pool-Analyse und -Messungen koordiniert
• LLM-gestützte Entwicklungs-Workflows in der Multi-Partner-Entwicklungsumgebung eingeführt: IDE-Integration (VSCode, Cursor) mit Data-Privacy-Guardrails, Secrets Management (keine Exponierung von Secrets an LLM-Provider) und Governance Frameworks. Code-Review-Beschleunigung, automatisierte Dokumentationsgenerierung und AI-gestützte Infrastrukturanalyse für Engineering-Teams ermöglicht

Kenntnisse:

Oracle Database (AWR, RAC, PGA/SGA), WebLogic Server, Oracle SOA Suite, Coherence Cache, Cisco ACI (Nexus 6000/7000), HAProxy, F5, NFS, Grafana, Splunk, Instana, CheckMK, Apache JMeter, Alfresco, Linux (CentOS/RHEL), Terraform, Ansible, Python, Prometheus, OpenTelemetry

2023 - heute: Planung und Durchführung einer vollständigen IPv4-zu-IPv6-Migration

Rolle: Senior Network & Security Infrastructure Consultant

Kunde: Polizei Berlin (Landespolizei), Berlin

Aufgaben:

Langfristiges Direktengagement bei der Berliner Landespolizei über zwei Workstreams. Zunächst Planung und Durchführung einer vollständigen IPv4-zu-IPv6-Migration über die gesamte Polizei-Network-Infrastruktur. Nach projektbedingtem Freeze Pivot zum Entwurf und Aufbau einer großangelegten On-Premises-Elasticsearch-SIEM- und Observability-Plattform auf drei großen Bare-Metal-Servern mit Kubernetes-Cluster. Darüber hinaus IT-Infrastrukturmodernisierung: Konfigurationsmanagement, Projekttools und Dokumentationssysteme.

• Umfassenden 5-Phasen-Projektfahrplan für IPv4-zu-IPv6-Migration der gesamten Polizei-Adressräume entworfen
• Rahmenvorgabe IPv6 für die Migration verfasst; Dual-Stack-Network-Konfiguration geplant
• Produktionsreife Elasticsearch-Cluster für SIEM und zentrales Log-Management auf drei Bare-Metal-Servern architektiert und deployed
• Kubernetes-Cluster als Orchestrierungsplattform für den SIEM-Stack deployed und konfiguriert
• TLS/X.509-Zertifikatsinfrastruktur für sichere Inter-Node- und Client-Kommunikation aufgesetzt
• Kibana-Dashboards für Security-Event-Visualisierung und -Analyse konfiguriert
• GitLab-Instanz für Konfigurationsmanagement deployed; OpenProject, Nextcloud und MediaWiki für die Polizei-IT evaluiert und vorgeschlagen
• Alle Dienste von Beginn an als IPv4/IPv6-Dual-Stack deployed
• Proxy- und VPN-Konnektivität für sicheren Remote-Zugriff konfiguriert

Kennntisse:

Elasticsearch (Multi-Node, X-Pack Security), Kibana, Kubernetes, Docker, IPv4/IPv6 Dual-Stack, VPN, TLS/X.509, Linux (CentOS/RHEL, Ubuntu), Bare-Metal Server, GitLab, OpenProject, Nextcloud, Python, Prometheus, eBPF

2024 - 2025: Cloud & Identity Integration

Rolle: Platform Architect

Kunde: Eoscop / Swiss Post Cargo, Remote (Schweiz / Deutschland)

Aufgaben:

Vollzeit-Engagement als Plattformarchitekt in einer neu gegründeten Logistikorganisation, entstanden durch die Konsolidierung von 30+ akquirierten Unternehmen in der Schweiz und Deutschland unter Swiss Post. Verantwortlich für Migration und Konsolidierung von Applikationsplattformen (SAP, Custom-Anwendungen) und Kollaborationstools (Microsoft 365, Outlook, Teams) aus jedem Tochterunternehmen in einen zentralen Azure-Tenant und M365-Umgebung.

• Zentralen Azure-Tenant und M365-Umgebung für die Absorption von 30+ akquirierten Organisationen architektiert
• Kollaborationstools (Outlook, Teams, SharePoint) aus Tochterunternehmen-Tenants in die einheitliche Plattform migriert
• LLM-gestützte Entwicklungs-Workflows für Engineering-Teams eingeführt: IDE-Integration (VSCode, Cursor) mit Data-Privacy-Guardrails, Secrets Management (keine Exponierung von Secrets an LLM-Provider) und Governance Frameworks. AI-gestütztes Code Review, automatisierte Dokumentationsgenerierung und Infrastructure-as-Code-Analyse-Workflows ermöglicht
• Microsoft Entra ID mit SAP SuccessFactors für HR-gesteuerten Identity Lifecycle (Joiners/Movers/Leavers) integriert
• Entra ID Federation mit SAP Fiori für Applikationszugriff konfiguriert
• Cross-Tenant Identity Synchronization während Subsidiary Onboarding gesteuert
• Zentraler technischer Ansprechpartner für Tochterunternehmen-Projektmanager bei der Migration

Kenntnisse:

Azure, Entra ID (Conditional Access, Cross-Tenant Sync), Microsoft 365, SAP SuccessFactors, SAP Fiori, Tenant-Migration, Python, Prometheus

2024 - 2025: Threat Modeling & Cloud Security

Rolle: Senior Security Consultant

Kunde: RWE AG, Essen

Aufgaben:

Security-Engagement bei einem der größten europäischen Energiekonzerne: Threat Modeling und Security Audits der Endur Energy Trading and Risk Management (ETRM) Plattform auf AWS. Umfassende STRIDE-basierte Threat-Analyse der Datenbankinfrastruktur, Backup-Systeme und Data Flows. Aktionsfähige Remediation-Roadmaps mit priorisierten kurz-, mittel- und langfristigen Security-Verbesserungen geliefert.

• STRIDE Threat Analysis der Endur-Trading-Plattform-Datenbankinfrastruktur auf AWS durchgeführt
• Komplette Systemarchitektur modelliert: RDS über 3 Availability Zones, automatisierte Backup-Prozesse, S3-Langzeitspeicher
• Trust Boundaries und Data Flows mit zugehörigen Risiken und Controls dokumentiert
• Layered Mitigation Strategies mit AWS-nativen Security-Services entworfen (IAM, KMS, CloudTrail, GuardDuty, Shield, WAF)
• Immutable-Backup-Strategien mit AWS Backup Vault Lock (WORM) gegen Ransomware empfohlen
• Priorisierte Remediation-Roadmap geliefert: Sofortmaßnahmen, mittelfristige und langfristige Verbesserungen
• LLM-gestützte Entwicklungs-Workflows in der Enterprise-Umgebung eingeführt: IDE-Integration (VSCode, Cursor) mit Data-Privacy-Guardrails, Secrets Management (keine Exponierung von Secrets an LLM-Provider) und Governance Frameworks. AI-gestützte Threat-Analyse-Dokumentation, Security-Report-Generierung und automatisierte Compliance-Checking-Workflows ermöglicht
• ML-basierte Threat-Pattern-Analyse zur Identifikation auffälliger Zugriffsmuster und potenzieller Attack-Vektoren in den ETRM-Data-Flows angewendet

Kenntnisse:

AWS (RDS, S3, IAM, KMS, CloudTrail, GuardDuty, Shield, WAF, Backup, VPC, Config), STRIDE Threat Modeling, Endur ETRM, ML (Anomaly Detection), Python

2023 - 2025: Aufbau eines Open-Source-SIEM

Rolle: Senior Infrastructure & Security Consultant

Kunde: LHG (Lübecker Hafengesellschaft), Lübeck

Aufgaben:

Mehrjähriges Engagement bei einem KRITIS-klassifizierten Ostseehafenbetreiber. Drei Workstreams: Aufbau eines Open-Source-SIEM auf OpenSearch, Modernisierung der Network-Infrastruktur (Segmentierung, Firewalls, Redundanz) und Security Audits über Active Directory, Endpoints und Network-Komponenten.

• Open-Source-SIEM auf Basis von OpenSearch entworfen und deployed; erste zentralisierte Security-Monitoring-Fähigkeit der Organisation aufgebaut
• Network-Segmentation-Strategie für den verteilten Hafencampus über mehrere Standorte in Lübeck entworfen
• Firewall-Architektur evaluiert: Redundanz, Konfiguration, DMZ-Anforderungen, Monitoring
• Active-Directory-Health-Assessment mit SIEM-Integration durchgeführt
• Security Audit über mehrere Domänen: AD, Windows Clients, Firewall, Ransomware-Readiness
• Schutzklassenkatalog für risikobasierte Security-Priorisierung erstellt
• IT-Infrastruktur-Outsourcing-Strategie beraten; ISO 27001 und KRITIS-Compliance geplant
• SIEM-Transition zu kommerzieller Managed-Service-Lösung gesteuert und Handover durchgeführt

Kenntnisse:

OpenSearch (SIEM), Network Segmentation, Firewall-Architektur, Active Directory, VPN, KRITIS, ISO 27001, Microsoft 365, SharePoint, Python

2023 - 2024: Logging Infrastructure

Rolle: Architect

SENEC GmbH, Leipzig

Aufgaben:

Migration der Logging-Infrastruktur bei einem Solar-Energiespeicher-Unternehmen: ElasticSearch zu OpenSearch, Filebeat-Logstash-Pipelines zu vector.dev. Komplette Infrastruktur über CI/CD deployed; Koordination mit Applikationsteams für unterbrechungsfreie Migration.

• ElasticSearch-Logging-Infrastruktur zu OpenSearch migriert
• Logging-Pipelines von Filebeat-Logstash auf vector.dev umgestellt
• Neue Infrastruktur vollständig über CI/CD-Pipeline deployed (ArgoCD, Terraform, Ansible)
• Testpläne entwickelt; Systemperformance, Security und Compliance validiert
• ML-basierte Anomalieerkennung in Log-Pipelines implementiert zur automatisierten Identifikation unregelmäßiger Muster und potenzieller Security Events

Kenntnisse:

OpenSearch, vector.dev, Elasticsearch, Logstash, Filebeat, Kibana, Azure, Kubernetes, Terraform, Ansible, ArgoCD, GitLab, ML (Anomaly Detection), Python, Prometheus, OpenTelemetry

2021 - 2023: Infrastructure and Software Deployment

Rolle: Architect & Project Lead

Kunde: Broadridge Financial Solutions, Inc.

Aufgaben:

Architektur und Leitung der Infrastruktur- und Software-Bereitstellung für eine Payment-as-a-Service-Plattform bei einem globalen FinTech-Infrastrukturanbieter. Cloud-, Hybrid- und On-Premises-Infrastruktur über IBM Cloud, AWS und Google Cloud entworfen. Full-Lifecycle-Verantwortung: Solution Design, Entwicklungsüberwachung, Testing, Disaster Recovery mit regelmäßigen Fire Drills und Deployment/Release Management ? unter PCI-DSS-, PSD2-, ISO-27001- und BaFin/BAIT-Compliance.

• Cloud- und Netzwerkarchitektur über IBM Cloud, AWS und Google Cloud entworfen
• System- und Integrationsdesign für die Payment-as-a-Service-Plattform erstellt
• Disaster Recovery, Business Continuity und Backup geplant, implementiert und betrieben; regelmäßige Fire Drills durchgeführt
• PCI-DSS-, PSD2-, ISO-27001- und BaFin/BAIT-Compliance sichergestellt
• Testpläne und -strategien entwickelt; SIT, Performance-Tests, Regressionstests und UAT koordiniert
• System-Deployment und Release geplant und koordiniert; Change Management implementiert
• ML-basierte Transaction Scoring- und Fraud-Detection-Modelle in die Payment-Processing-Pipeline integriert

Kenntnisse:

IBM Cloud, AWS, GCP, OpenShift, Podman, Kubernetes, Apache Kafka, Spring Boot, Vert.x, Stripe, Braintree, Adyen, Mulesoft, Apigee, Kong, Datadog, Oracle, Java, Python, JavaScript, Jenkins, GitLab CI, PCI-DSS, PSD2, ISO 27001, TOGAF, ML (Fraud Detection), Prometheus, eBPF, OpenTelemetry