Linux: Ubuntu, Debian
Ubuntu Autoinstall: Subiquity, Cloud-Init, Curtin
Konzeption und Implementierung der Paketierungsumgebung
Konzeption und Implementierung der APT-Repositories, des Repository-Signing und des Release Management / Staging
APT, dpkg/deb, reprepro, GnuPG
Paketierung und Integration von Root-Zertifikaten, Authentifizierung, Browser-Policies und anderen Voreinstellungen
iPXE Preboot-Umgebung und Generierung statischer EFi-Bootloader
PAM/Kerberos/sssd
Desktop-Integration von ClamAV
Festplattenverschlüsselung (LUKS) mit Schlüsselablage im TPM Trusted Platform Module
Bewertung und Umsetzung der Hardening-Anforderungen (CIS)
git/Gitlab, CI/CD
Dokumentation
Confluence/Jira
Webserver: Apache httpd
- Linux: Red Hat Enterprise Linux (RHEL)
- Application Servers: Jboss, Tomcat, OpenLiberty
- Betriebsvorbereitung mehrerer Bankumgebungen
- Automatisierung mit Ansible
- Java-Applikationsserver: Tomcat, Jboss, OpenLiberty
- Qualitätssicherung für Monitoring und Incidents
- Support bei der Systemintegration (systemd, Logging)
- Confluence
- Service Now
- Microfocus Cobol (Bitte keine COBOL-Projekte anbieten!)
- Linux: Ubuntu, Debian
- Canonical Landscape
- Debian Preseed
- Paketierung und Automatisierung
- iPXE
- PAM/Kerberos/Tally usw.
- Gestaltung und Umsetzung des non-root-Betriebs für die Anwender
(sudo, Capabilities, Policykit; Kiosk-App zur Einbindung
zusätzlicher in-house gespiegelter APT-Repositories durch
den Anwender)
- Deployment von Microsoft-Tools unter Linux (Teams, Defender Advanced
Threat Protection)
- Festplattenverschlüsselung (LUKS)
- Herstellung der Hardening-Anforderungen (CIS)
- Untersuchung verschiedenster Linux- und Entwicklerwerkzeuge
(Snapcraft, Docker usw.) auf Betreibbarkeit im Bankenumfeld
- Dokumentation
- Webserver: Apache httpd
Seit 10/2021
KUNDE: T-Systems Multimedia Solutions GmbH, Dresden
PROJEKT: Open Linux Client - Linux Workstation für Administratoren,
Engineers und Entwickler
POSITION: Systemarchitekt Linux
- Linux: Ubuntu, Debian
- Ubuntu Autoinstall: Subiquity, Cloud-Init, Curtin
- Konzeption und Implementierung der Paketierungsumgebung
- Konzeption und Implementierung der APT-Repositories, des
Repository-Signing und des Release Management / Staging
- APT, dpkg/deb, reprepro, aptly, GnuPG
- Paketierung und Integration von Root-Zertifikaten,
Authentifizierung, Browser-Policies und anderen Voreinstellungen
- iPXE Preboot-Umgebung
- PAM/Kerberos/sssd
- Festplattenverschlüsselung (LUKS)
- Bewertung und Umsetzung der Hardening-Anforderungen (CIS)
- git/Gitlab
- Dokumentation
- Webserver: Apache httpd
04/2021 - 10/2021
KUNDE: Sopra Financial Technology GmbH, Nürnberg
PROJEKT: Migration des Kernbanksystems der Sparda-Bankengruppe
POSITION: Operation Application Manager
- Linux: Red Hat Enterprise Linux (RHEL)
- Application Servers: Jboss, Tomcat, OpenLiberty
- Betriebsvorbereitung mehrerer Bankumgebungen
- Automatisierung mit Ansible
- Java-Applikationsserver: Tomcat, Jboss, OpenLiberty
- Qualitätssicherung für Monitoring und Incidents
- Support bei der Systemintegration (systemd, Logging)
- Confluence
- Service Now
- Microfocus Cobol (Bitte keine COBOL-Projekte anbieten!)
12/2019-03/2021
KUNDE: ING Groep N.V. / ING-DiBa AG, Amsterdam/Frankfurt
PROJEKT: Linux Developer Workplace - Linux Workstation für Entwickler
POSITION: Linux Subject Matter Expert
- Linux: Ubuntu, Debian
- Canonical Landscape
- Debian Preseed
- Paketierung und Automatisierung
- iPXE
- PAM/Kerberos/Tally usw.
- Gestaltung und Umsetzung des non-root-Betriebs für die Anwender
(sudo, Capabilities, Policykit; Kiosk-App zur Einbindung
zusätzlicher in-house gespiegelter APT-Repositories durch
den Anwender)
- Deployment von Microsoft-Tools unter Linux (Teams, Defender Advanced
Threat Protection)
- Festplattenverschlüsselung (LUKS)
- Herstellung der Hardening-Anforderungen (CIS)
- Untersuchung verschiedenster Linux- und Entwicklerwerkzeuge
(Snapcraft, Docker usw.) auf Betreibbarkeit im Bankenumfeld
- Dokumentation
- Webserver: Apache httpd
10/2017 - 12/2019
01/2016 - 12/2016
KUNDE: Deutsche Postbank AG, Bonn
PROJEKT: Betrieb / Integration Systeme
POSITION: Systemintegrator
- Integration von Standard- und Individualsoftware
- Linux: CentOS, SLES
- Datenbanken: Oracle (nur Client, kein DBA)
- Applikationsserver: Weblogic, Tomcat
- Authentifizierung aller Anwendungen per LDAP
- Durchführung technischer Security-Tests
- Dateitransfers zu verschiedensten Gegenstellen mit SFTP,
Bereitstellung der benötigten Infrastruktur, Troubleshooting,
Verschlüsselung mit GnuPG, Erstellung der Jobhandbücher
- Migrationen von ca. 100 Datei- und Online-Schnittstellen von einer
alten in eine neue DMZ.
- Inbetriebnahme SAS MO / SAS Viya
- Bladelogic
- HP Application Lifecycle Management / ALM
03/2017 - 12/2017
KUNDE: Jenoptik Robot GmbH, Hildesheim
PROJEKT: Toll Collect Kontrollsäule für Maut auf Bundesstraßen
POSITION: Architekt Sicherheit Linux
- Linux-Distributionen: Yocto (unterstützend), Debian GNU/Linux
- Hardware: Neousys Industrie-PCs
- Embedded Hardware: EFKON M-WAVE DSRC Transceiver
- Middleware: nginx
- Scripting: Bash, iptables, JSON
- Versionsverwaltung: SVN, git
- Issue Tracking und Doku: JIRA, Confluence
- 600 Standorte mit jeweils mehreren Linux-Instanzen
- Umsetzung von Sicherheitsrichtlinien
- Erstellung des Hardening-Konzepts für Linux und DSRC-Bake in
Anlehnung an CIS Benchmark
- Automatisierung des Betriebssystem-Hardening mit Unit-Tests und
Auditing
- Automatisiertes Betriebssystem-Hardening auf der DSRC-Bake mit
Unit-Tests und Auditing
- Automatisiertes Auditing des Service-Hardening von nginx
- Pflege der Firewalldokumentation
- Pflege des BSI-Grundschutzkatalogs
- Pflege des Sicherheitskonzepts
- Dynamische Firewallgenerierung (iptables) auf Basis beigesteller
Konfigurationsdateien
01/2017 - 02/2017
KUNDE: Deutsche Bank AG, Frankfurt am Main
PROJEKT: Multibank Aggregation
POSITION: Systemintegrator
- Dokumentation der Kryptographie-Infrastruktur des Projekts
- Identifikation von Server- und Clientzertifikaten,
Zertifikats-Lifecycle
- Integration Thales nShield HSM in Java
- Identifikation und Dokumentation von Schnittstellenusern
- JSON Web Tokens (JWT)/JSON Web Signatures(JWS)
- Dokumentation des Deploymentverfahrens im agilen Entwicklungsprozess
- Containerless Java mit Springboot, auf der hauseigenen DAP-Plattform
- Atlassian Confluence/Jira
04/2014 - 12/2015
KUNDE: Dr. Ing. h.c. F. Porsche AG, Zuffenhausen
PROJEKT: SMTP Platform
POSITION: Systemarchitekt / Administration
- Linux SLES / Suse Linux Enterprise Server.
- Betrieb und Weiterentwicklung der
Postfix-basierten Messaging-Infrastruktur.
- Spamfilterung mit Expurgate.
- Virenfilterung mit ClamAV.
- Mailverschlüsselung mit Zertificon Z1 (PGP, GnuPG, S/MIME).
- Nutzung sicherer Kanäle zur Mailübertragung (VPN,
Mandatory STARTTLS).
- Ablösung des eigenentwickelten Content-Filters.
- Entwicklung eines spezialisierten Content-Filters als Plugin für
amavisd-new (in Perl).
- Change- und Incidentmanagement mit BMC Remedy (bitte keine reinen
Remedy-Jobs anbieten).
- Konfigurationsmanagement- und -deployment für Mail- und DNS-Server
mit Git und Ansible.
- High-Level-Support für alle genannten Themen.
- Besetzung der Postmaster- und Hostmasterrolle.
- Betrieb der DNS-Server mit/ohne GeoIP unter BIND und NSD.
Seit 2000
KUNDE: Gerth Medien GmbH, Aßlar (Verlagsgruppe Random House /
Bertelsmann)
PROJEKT: Linux Serverbetrieb
POSITION: Beratung, High-Level-Support
- Debian, Ubuntu, Opensuse, CentOS
- Installation und Betrieb des Proxy mit mehreren Internet-Uplinks,
Squid, Squidguard, Policy Routing.
- Planung und Betrieb des Mailgateways.
- Apache Reverse Proxy für Outlook Web Access (OWA) und
mobile Endgeräte.
- Entwicklung eines Wrappers für das Squid URL-Rewriting um
Sonderfälle beim Zugriff auf Websites der
Muttergesellschaft abzudecken.
- Deployments und Updates der eingesetzten Gupta-/Unify-Datenbank
auf CentOS.
- Unterstützung bei Betrieb und Virtualisierung
von Legacy-Linuxsystemen.
09/2014 - 11/2014
KUNDE: Lufthansa Systems, Kelsterbach
PROJEKT: Mandantenfähige PKI
POSITION: Berater / Systemarchitekt
- Vorprojekt für eine mandantenfähige SSL-PKI.
- Definition der Anforderungen an die PKI-Architektur.
- Produktauswahl und Evaluierung PKI-Software.
- Produktauswahl und Evaluierung Hardware Security Module (HSM).
03/2008-06/2014
KUNDE: Lufthansa Systems, Kelsterbach
PROJEKT: Web Engineering
POSITION: Systemarchitekt
- RedHat Enterprise Linux und Suse Linux Enterprise Server.
- Planung, Installation und Betriebsübergabe von Kundenumgebungen.
- Betreuung von Linux-Hochsicherheitsumgebungen.
- Change- und Incidentmanagement.
- Vorbereitung und Begleitung von Audits nach PCI-DSS, ISO 27001
und FAA.
- Initiale Erstellung und Weiterentwicklung der Hardening-Konzepte.
- Konzeption des File Integrity Monitoring auf Basis von Samhain.
- Anbindung an das zentrale Security Incident und Event Monitoring.
- Zuarbeit für die Fachabteilungen bei der Erlangung
der PCI-Compliance.
- Begleitung der Audit-Sessions.
- Entwicklung der Linux-Plattform für SAP-Migration von HP-UX
nach Linux.
- Konzeption, Aufbau und Betrieb eines multimandanten- und
multiprotokollfähigen (FTP, SFTP, FTPS, HTTP, WebDAV)
Filetransferdienstes auf Basis RedHat Enterprise Linux/RHEL,
OpenLDAP, OpenSSH, vsFTPd, Apache, incl. PCI- Compliance.
- Ansprechpartner für alle Fragen zum Thema SSL-Zertifikate:
- Analyse und Strukturierung der Verwaltung von ca. 500 Zertifikaten.
- Übergabe des SSL-Tagesgeschäfts an den Betrieb.
- Unterstützung beim SSL-Deployment auf allen SSL-Stacks, z.B. OpenSSL
(Apache, Postfix), Java (Tomcat), Oracle, Windows.
- Unterstützung bei Ausschreibung und Wechsel
externer SSL-Zertifizierer.
- Etablierung eines Monitoringverfahrens für den Zertifikatsablauf.
- Betreuung des abteilungsinternen Subversion-Repository.
- Automatische Weiterverarbeitung von Host- und
Service-Performancedaten aus Nagios.
- Bandbreiten- und Webserverreporting mit rrdtool und Webalizer.
2006-2013
KUNDE: Deutsche Pfadfinderschaft St. Georg, Neuss
PROJEKT: Serverbetrieb der Mitgliederverwaltung
POSITION: Beratung, Hosting und Betrieb für Produktiv- und
Entwicklungsserver
- Linux: RHEL/CentOS 5
- Apache / PHP / MySQL ("LAMP")
- Postfix
- SSL-Zertifikate incl. Beschaffung
- Shorewall
02/2010-05/2010
KUNDE: Dr. Ing. h.c. F. Porsche AG (PIKS) GmbH, Zuffenhausen
PROJEKT: Cryptmail 2.0
POSITION: Systemarchitekt
- Einführung von Zertificon Z1 als Verschlüsselungsgateway
für E-Mails.
- Einführung einer localen SSL-PKI für die Mailverschlüsselung auf
internen Transportwegen (STARTTLS).
- SMTP, OpenSSL, X509, PGP, OpenPGP, GnuPG, GPG, S/MIME, PGP/MIME
05/2003-07/2008
KUNDE: Dr. Ing. h.c. F. Porsche AG (PIKS) GmbH, Weissach
PROJEKT: Competence Center Security und Internettechnologien
POSITION: Beratung und Systembetreuung Internetdienste
- Linux: SuSE, RedHat
- UNIX: HP-UX
- High-Level-Support für die globale Mail-Infrastruktur
- Planung und Durchführung der Migration von Qmail auf Postfix
- Installation und Betrieb von Qmail und Postfix auf Mailgateways
- Programmierung eines TCP-basierten Policy-Service für Postfix
(in Perl)
- Einführung von TLS auf Mailgateways als Bestandteil der
E-Mail-Sicherheitsinfrastruktur
- Ausschreibung eines Verschlüsselungsgateway für PGP und S/MIME
- Ausschreibung und Auswahl eines SPAM-Filtersystems
- Einführung eines SPAM-Filtersystems (eXpurgate-Plugin)
- Entwicklung eines zentralen Konfigurationsmanagement für die
weltweite E-Mail-Infrastruktur (in Perl)
- Betreuung des zentralen PGP-Verschlüsselungsgateway
- Ansprechpartner für alle Fragen zu den Themen PGP und
E-Mail-Verschlüsselung
- Neudefinition und Implementierung des Change-Verfahrens für die
Internet-Proxy-Nutzerverwaltung
- Betreuung und Fehlerbehebung bei Apache/PHP-Servern
- Entwicklung des vollautomatischen Updateverfahrens für
Virendefinitionen (McAfee) inkl. automatischem Integrationstest und
Rollback-Verfahren
- Weiterentwicklung bestehender Tools für die Nutzerverwaltung im
Proxy-Umfeld (in Perl)
- Erstellung von Browser-basierten Tools für die System- und
Userverwaltung
- Automatisierung von Routinetätigkeiten (Perl/Korn-Shell)
- Migration, Installation, Konfiguration und Hardening der produktiven
Primary- und Secondary-Nameserver in Deutschland und USA
11/2007
KUNDE: Bertrandt Ingenieurbüro GmbH, Wolfsburg
PROJEKT: Anwenderschulung Wireshark
POSITION: -
- tcpdump/Wireshark
06/2002-03/2004
KUNDE: Linde Kältetechnik, Köln
PROJEKT: RZ-Betrieb UNIX am Standort Mainz
POSITION: AIX-Betriebsunterstützung (Tageweise)
- AIX 4.3.3
- Samba
- OpenSSH
- Tivoli/NetView
- Entwicklung von Verfahren für Backup und Restore
07/2001-04/2003
KUNDE: Dresdner Bank, Frankfurt (Dregis)
PROJEKT: Netzwerkmanagement
POSITION: Interner Unix-Support (L2/L3)
- HP-UX 10/11
- Solaris 2.6-8, Sun Workstations, Enterprise 450
- Debian GNU/Linux 2.2 u. 3.0
- HP OpenView
- Cisco Netflow
- NFS, NIS, SNMP, SSH, Apache
- Erstellung u. Pflege browserbasierter Applikationen für Helpdesk
- (Script-)Programmierung: Korn, Perl, CGI, HTML
- Programmierung eines Systems zur automatischen Erstellung der
MRTG-Konfiguration aus dem Bestand der Netzwerkdatenbank (in Perl)
- Programmierung einer automatisierten Verteilung der SSH-Schlüssel
(in Perl und Shell)
- Programmierung einer Browser-basierten Schnittstelle zur
Usertracking-Datenbank von CiscoWorks (in Perl)
- Umsetzung von Security-Richtlinien unter UNIX
- Planung und Dokumentation von Betriebsverfahren
- Einführung von F-Secure SSH2, automatisierte Schlüsseldistribution
- Einführung eines out-of-Band Monitoring
- Evaluation von vorhandenen Monitoring-Produkten
11/2000-06/2001
KUNDE: Dresdner Bank, Frankfurt (Dregis)
PROJEKT: Unix- und Datenbankbetrieb im Produktionsumfeld
POSITION: System- und Datenbankadministration
- AIX 4.x, IBM RS/6000, RS/6000-SP, SSA
- Informix 7.x/9.x
- Solaris 2.6/2.7, Sun Enterprise 450 - 3500
- Samba (samba.org), Rsync, SSH
- Scriptprogrammierung: Korn, Perl
- Dokumentation der Infrastruktur und von Supportverfahren
09/1999-09/2000
KUNDE: Dresdner Bank, Frankfurt (Dregis)
PROJEKT: Aufbau des Client-Server-Betriebs für Server in Zentrale und
Geschäftsstellen, NT/UNIX Integration
POSITION: Entwicklung von Verfahren, Programmierung, Dokumentation,
Mitarbeit in der Administration
- AIX
- IBM 7025 (RS/6000)
- Advanced Server f. Unix (ASU, AS/U)
- Windows-Clients (NT 4.0) und Server (Fusi Primergy)
- SINIX-Z (Bitte keine SINIX-Projekte anbieten)
- Peregrine Service Center
- DAP (Distributed Application Platform)
- Dokumentation von Betriebs- und Supportverfahren
- Scriptprogrammierung (Korn, Perl, awk, sed, etc.) von Tools zum
System-Monitoring und Reporting
- Konsolidierung und Neustrukturierung des referatsinternen Domain
Name Service
- Einbeziehung bestehender Kommunikations- und
Middleware-Schnittstellen
03-07/1999
KUNDE: Commerzbank, Frankfurt
PROJEKT: Testlandschaft für Y2K im Geschäftsstellenumfeld
POSITION: Planung, Betrieb und Dokumentation
- Microsoft Windows NT 4.0 Server und Workstation
- DHCP, DNS, WINS, TN3270 (Rumba)
- Siemens Primergy, Scenic Pro
- MSCS - Microsoft Cluster Server
- Automatisierte Installationsverfahren
- Scriptprogrammierung in Perl unter NT
- Prodacta ProNet
- MS-SQL Server
- Planung von Testverfahren und Erstellung von Testleitfäden
- Dokumentation der Testergebnisse, Erstellung eines Betriebshandbuchs
- NTP - Network Time Protocol, Linux 2.2
01-02/1999
KUNDE: Deutsches Sportfernsehen, Ismaning
PROJEKT: Neuaufbau des Intranet
POSITION: Konzepterstellung, technische Beratung
- Erstellung einer Studie zu Kosten und Projektlaufzeit
- Ausarbeitung von Meilensteinen/Realisierungsabschnitten
- Analyse bestehender Systeme und Planung der zukünftigen Integration
12/1997-02/1999
KUNDE: Lufthansa Systems, Kelsterbach
PROJEKT: Schaffung eines weltweiten VPN für mobile Arbeitsplätze
POSITION: Konzeption und Realisation
- "Virtual Private Networking" und Tunneling-Technologien mit
Produkten von Microsoft (PPTP, Windows NT 4.0 Server und
Workstation, Windows 95/98)
- Kostenreduktion im WAN durch Zukauf von Dial-In-Kapazitäten bei
Fremdanbietern
- Erarbeitung einer Ausschreibung für Anbieter weltweit verfügbarer
Einwahlnetze
- Beratung und Unterstützung des Einkaufs vor Auftragsvergabe
- Hochsichere Authentisierung am Firewall mittels SecurID/ACE
- Vorbereitung des Regelbetriebs: Definition von Zuständigkeiten,
Entwicklung des Antragsverfahrens
- Erstellung von Produktdatenblättern
- Schulung der Administratoren
TCP/IP
IPv6 (IPv6 "Sage" status bei he.net.)
SSH (Secure Shell)
SMTP (Simple Mail Transfer Protocol)
IMAP4 (Internet Message Access Protocol)
POP3 (Post Office Protocol)
LDAP (Lightweight Directory Access Protocol)
NTP (Network Time Protocol)
DNS (Domain Name Service)
HTTP (Hypertext Transfer Protocol)
DHCP (Dynamic Host Configuration Protocol)
SNMP (Simple Network Management Protocol)
X11 (X Window System Protocol)
SMB (Server Message Block Protocol)
CGI (Common Gateway Interface)
Linux: Ubuntu, Debian
Ubuntu Autoinstall: Subiquity, Cloud-Init, Curtin
Konzeption und Implementierung der Paketierungsumgebung
Konzeption und Implementierung der APT-Repositories, des Repository-Signing und des Release Management / Staging
APT, dpkg/deb, reprepro, GnuPG
Paketierung und Integration von Root-Zertifikaten, Authentifizierung, Browser-Policies und anderen Voreinstellungen
iPXE Preboot-Umgebung und Generierung statischer EFi-Bootloader
PAM/Kerberos/sssd
Desktop-Integration von ClamAV
Festplattenverschlüsselung (LUKS) mit Schlüsselablage im TPM Trusted Platform Module
Bewertung und Umsetzung der Hardening-Anforderungen (CIS)
git/Gitlab, CI/CD
Dokumentation
Confluence/Jira
Webserver: Apache httpd
- Linux: Red Hat Enterprise Linux (RHEL)
- Application Servers: Jboss, Tomcat, OpenLiberty
- Betriebsvorbereitung mehrerer Bankumgebungen
- Automatisierung mit Ansible
- Java-Applikationsserver: Tomcat, Jboss, OpenLiberty
- Qualitätssicherung für Monitoring und Incidents
- Support bei der Systemintegration (systemd, Logging)
- Confluence
- Service Now
- Microfocus Cobol (Bitte keine COBOL-Projekte anbieten!)
- Linux: Ubuntu, Debian
- Canonical Landscape
- Debian Preseed
- Paketierung und Automatisierung
- iPXE
- PAM/Kerberos/Tally usw.
- Gestaltung und Umsetzung des non-root-Betriebs für die Anwender
(sudo, Capabilities, Policykit; Kiosk-App zur Einbindung
zusätzlicher in-house gespiegelter APT-Repositories durch
den Anwender)
- Deployment von Microsoft-Tools unter Linux (Teams, Defender Advanced
Threat Protection)
- Festplattenverschlüsselung (LUKS)
- Herstellung der Hardening-Anforderungen (CIS)
- Untersuchung verschiedenster Linux- und Entwicklerwerkzeuge
(Snapcraft, Docker usw.) auf Betreibbarkeit im Bankenumfeld
- Dokumentation
- Webserver: Apache httpd
Seit 10/2021
KUNDE: T-Systems Multimedia Solutions GmbH, Dresden
PROJEKT: Open Linux Client - Linux Workstation für Administratoren,
Engineers und Entwickler
POSITION: Systemarchitekt Linux
- Linux: Ubuntu, Debian
- Ubuntu Autoinstall: Subiquity, Cloud-Init, Curtin
- Konzeption und Implementierung der Paketierungsumgebung
- Konzeption und Implementierung der APT-Repositories, des
Repository-Signing und des Release Management / Staging
- APT, dpkg/deb, reprepro, aptly, GnuPG
- Paketierung und Integration von Root-Zertifikaten,
Authentifizierung, Browser-Policies und anderen Voreinstellungen
- iPXE Preboot-Umgebung
- PAM/Kerberos/sssd
- Festplattenverschlüsselung (LUKS)
- Bewertung und Umsetzung der Hardening-Anforderungen (CIS)
- git/Gitlab
- Dokumentation
- Webserver: Apache httpd
04/2021 - 10/2021
KUNDE: Sopra Financial Technology GmbH, Nürnberg
PROJEKT: Migration des Kernbanksystems der Sparda-Bankengruppe
POSITION: Operation Application Manager
- Linux: Red Hat Enterprise Linux (RHEL)
- Application Servers: Jboss, Tomcat, OpenLiberty
- Betriebsvorbereitung mehrerer Bankumgebungen
- Automatisierung mit Ansible
- Java-Applikationsserver: Tomcat, Jboss, OpenLiberty
- Qualitätssicherung für Monitoring und Incidents
- Support bei der Systemintegration (systemd, Logging)
- Confluence
- Service Now
- Microfocus Cobol (Bitte keine COBOL-Projekte anbieten!)
12/2019-03/2021
KUNDE: ING Groep N.V. / ING-DiBa AG, Amsterdam/Frankfurt
PROJEKT: Linux Developer Workplace - Linux Workstation für Entwickler
POSITION: Linux Subject Matter Expert
- Linux: Ubuntu, Debian
- Canonical Landscape
- Debian Preseed
- Paketierung und Automatisierung
- iPXE
- PAM/Kerberos/Tally usw.
- Gestaltung und Umsetzung des non-root-Betriebs für die Anwender
(sudo, Capabilities, Policykit; Kiosk-App zur Einbindung
zusätzlicher in-house gespiegelter APT-Repositories durch
den Anwender)
- Deployment von Microsoft-Tools unter Linux (Teams, Defender Advanced
Threat Protection)
- Festplattenverschlüsselung (LUKS)
- Herstellung der Hardening-Anforderungen (CIS)
- Untersuchung verschiedenster Linux- und Entwicklerwerkzeuge
(Snapcraft, Docker usw.) auf Betreibbarkeit im Bankenumfeld
- Dokumentation
- Webserver: Apache httpd
10/2017 - 12/2019
01/2016 - 12/2016
KUNDE: Deutsche Postbank AG, Bonn
PROJEKT: Betrieb / Integration Systeme
POSITION: Systemintegrator
- Integration von Standard- und Individualsoftware
- Linux: CentOS, SLES
- Datenbanken: Oracle (nur Client, kein DBA)
- Applikationsserver: Weblogic, Tomcat
- Authentifizierung aller Anwendungen per LDAP
- Durchführung technischer Security-Tests
- Dateitransfers zu verschiedensten Gegenstellen mit SFTP,
Bereitstellung der benötigten Infrastruktur, Troubleshooting,
Verschlüsselung mit GnuPG, Erstellung der Jobhandbücher
- Migrationen von ca. 100 Datei- und Online-Schnittstellen von einer
alten in eine neue DMZ.
- Inbetriebnahme SAS MO / SAS Viya
- Bladelogic
- HP Application Lifecycle Management / ALM
03/2017 - 12/2017
KUNDE: Jenoptik Robot GmbH, Hildesheim
PROJEKT: Toll Collect Kontrollsäule für Maut auf Bundesstraßen
POSITION: Architekt Sicherheit Linux
- Linux-Distributionen: Yocto (unterstützend), Debian GNU/Linux
- Hardware: Neousys Industrie-PCs
- Embedded Hardware: EFKON M-WAVE DSRC Transceiver
- Middleware: nginx
- Scripting: Bash, iptables, JSON
- Versionsverwaltung: SVN, git
- Issue Tracking und Doku: JIRA, Confluence
- 600 Standorte mit jeweils mehreren Linux-Instanzen
- Umsetzung von Sicherheitsrichtlinien
- Erstellung des Hardening-Konzepts für Linux und DSRC-Bake in
Anlehnung an CIS Benchmark
- Automatisierung des Betriebssystem-Hardening mit Unit-Tests und
Auditing
- Automatisiertes Betriebssystem-Hardening auf der DSRC-Bake mit
Unit-Tests und Auditing
- Automatisiertes Auditing des Service-Hardening von nginx
- Pflege der Firewalldokumentation
- Pflege des BSI-Grundschutzkatalogs
- Pflege des Sicherheitskonzepts
- Dynamische Firewallgenerierung (iptables) auf Basis beigesteller
Konfigurationsdateien
01/2017 - 02/2017
KUNDE: Deutsche Bank AG, Frankfurt am Main
PROJEKT: Multibank Aggregation
POSITION: Systemintegrator
- Dokumentation der Kryptographie-Infrastruktur des Projekts
- Identifikation von Server- und Clientzertifikaten,
Zertifikats-Lifecycle
- Integration Thales nShield HSM in Java
- Identifikation und Dokumentation von Schnittstellenusern
- JSON Web Tokens (JWT)/JSON Web Signatures(JWS)
- Dokumentation des Deploymentverfahrens im agilen Entwicklungsprozess
- Containerless Java mit Springboot, auf der hauseigenen DAP-Plattform
- Atlassian Confluence/Jira
04/2014 - 12/2015
KUNDE: Dr. Ing. h.c. F. Porsche AG, Zuffenhausen
PROJEKT: SMTP Platform
POSITION: Systemarchitekt / Administration
- Linux SLES / Suse Linux Enterprise Server.
- Betrieb und Weiterentwicklung der
Postfix-basierten Messaging-Infrastruktur.
- Spamfilterung mit Expurgate.
- Virenfilterung mit ClamAV.
- Mailverschlüsselung mit Zertificon Z1 (PGP, GnuPG, S/MIME).
- Nutzung sicherer Kanäle zur Mailübertragung (VPN,
Mandatory STARTTLS).
- Ablösung des eigenentwickelten Content-Filters.
- Entwicklung eines spezialisierten Content-Filters als Plugin für
amavisd-new (in Perl).
- Change- und Incidentmanagement mit BMC Remedy (bitte keine reinen
Remedy-Jobs anbieten).
- Konfigurationsmanagement- und -deployment für Mail- und DNS-Server
mit Git und Ansible.
- High-Level-Support für alle genannten Themen.
- Besetzung der Postmaster- und Hostmasterrolle.
- Betrieb der DNS-Server mit/ohne GeoIP unter BIND und NSD.
Seit 2000
KUNDE: Gerth Medien GmbH, Aßlar (Verlagsgruppe Random House /
Bertelsmann)
PROJEKT: Linux Serverbetrieb
POSITION: Beratung, High-Level-Support
- Debian, Ubuntu, Opensuse, CentOS
- Installation und Betrieb des Proxy mit mehreren Internet-Uplinks,
Squid, Squidguard, Policy Routing.
- Planung und Betrieb des Mailgateways.
- Apache Reverse Proxy für Outlook Web Access (OWA) und
mobile Endgeräte.
- Entwicklung eines Wrappers für das Squid URL-Rewriting um
Sonderfälle beim Zugriff auf Websites der
Muttergesellschaft abzudecken.
- Deployments und Updates der eingesetzten Gupta-/Unify-Datenbank
auf CentOS.
- Unterstützung bei Betrieb und Virtualisierung
von Legacy-Linuxsystemen.
09/2014 - 11/2014
KUNDE: Lufthansa Systems, Kelsterbach
PROJEKT: Mandantenfähige PKI
POSITION: Berater / Systemarchitekt
- Vorprojekt für eine mandantenfähige SSL-PKI.
- Definition der Anforderungen an die PKI-Architektur.
- Produktauswahl und Evaluierung PKI-Software.
- Produktauswahl und Evaluierung Hardware Security Module (HSM).
03/2008-06/2014
KUNDE: Lufthansa Systems, Kelsterbach
PROJEKT: Web Engineering
POSITION: Systemarchitekt
- RedHat Enterprise Linux und Suse Linux Enterprise Server.
- Planung, Installation und Betriebsübergabe von Kundenumgebungen.
- Betreuung von Linux-Hochsicherheitsumgebungen.
- Change- und Incidentmanagement.
- Vorbereitung und Begleitung von Audits nach PCI-DSS, ISO 27001
und FAA.
- Initiale Erstellung und Weiterentwicklung der Hardening-Konzepte.
- Konzeption des File Integrity Monitoring auf Basis von Samhain.
- Anbindung an das zentrale Security Incident und Event Monitoring.
- Zuarbeit für die Fachabteilungen bei der Erlangung
der PCI-Compliance.
- Begleitung der Audit-Sessions.
- Entwicklung der Linux-Plattform für SAP-Migration von HP-UX
nach Linux.
- Konzeption, Aufbau und Betrieb eines multimandanten- und
multiprotokollfähigen (FTP, SFTP, FTPS, HTTP, WebDAV)
Filetransferdienstes auf Basis RedHat Enterprise Linux/RHEL,
OpenLDAP, OpenSSH, vsFTPd, Apache, incl. PCI- Compliance.
- Ansprechpartner für alle Fragen zum Thema SSL-Zertifikate:
- Analyse und Strukturierung der Verwaltung von ca. 500 Zertifikaten.
- Übergabe des SSL-Tagesgeschäfts an den Betrieb.
- Unterstützung beim SSL-Deployment auf allen SSL-Stacks, z.B. OpenSSL
(Apache, Postfix), Java (Tomcat), Oracle, Windows.
- Unterstützung bei Ausschreibung und Wechsel
externer SSL-Zertifizierer.
- Etablierung eines Monitoringverfahrens für den Zertifikatsablauf.
- Betreuung des abteilungsinternen Subversion-Repository.
- Automatische Weiterverarbeitung von Host- und
Service-Performancedaten aus Nagios.
- Bandbreiten- und Webserverreporting mit rrdtool und Webalizer.
2006-2013
KUNDE: Deutsche Pfadfinderschaft St. Georg, Neuss
PROJEKT: Serverbetrieb der Mitgliederverwaltung
POSITION: Beratung, Hosting und Betrieb für Produktiv- und
Entwicklungsserver
- Linux: RHEL/CentOS 5
- Apache / PHP / MySQL ("LAMP")
- Postfix
- SSL-Zertifikate incl. Beschaffung
- Shorewall
02/2010-05/2010
KUNDE: Dr. Ing. h.c. F. Porsche AG (PIKS) GmbH, Zuffenhausen
PROJEKT: Cryptmail 2.0
POSITION: Systemarchitekt
- Einführung von Zertificon Z1 als Verschlüsselungsgateway
für E-Mails.
- Einführung einer localen SSL-PKI für die Mailverschlüsselung auf
internen Transportwegen (STARTTLS).
- SMTP, OpenSSL, X509, PGP, OpenPGP, GnuPG, GPG, S/MIME, PGP/MIME
05/2003-07/2008
KUNDE: Dr. Ing. h.c. F. Porsche AG (PIKS) GmbH, Weissach
PROJEKT: Competence Center Security und Internettechnologien
POSITION: Beratung und Systembetreuung Internetdienste
- Linux: SuSE, RedHat
- UNIX: HP-UX
- High-Level-Support für die globale Mail-Infrastruktur
- Planung und Durchführung der Migration von Qmail auf Postfix
- Installation und Betrieb von Qmail und Postfix auf Mailgateways
- Programmierung eines TCP-basierten Policy-Service für Postfix
(in Perl)
- Einführung von TLS auf Mailgateways als Bestandteil der
E-Mail-Sicherheitsinfrastruktur
- Ausschreibung eines Verschlüsselungsgateway für PGP und S/MIME
- Ausschreibung und Auswahl eines SPAM-Filtersystems
- Einführung eines SPAM-Filtersystems (eXpurgate-Plugin)
- Entwicklung eines zentralen Konfigurationsmanagement für die
weltweite E-Mail-Infrastruktur (in Perl)
- Betreuung des zentralen PGP-Verschlüsselungsgateway
- Ansprechpartner für alle Fragen zu den Themen PGP und
E-Mail-Verschlüsselung
- Neudefinition und Implementierung des Change-Verfahrens für die
Internet-Proxy-Nutzerverwaltung
- Betreuung und Fehlerbehebung bei Apache/PHP-Servern
- Entwicklung des vollautomatischen Updateverfahrens für
Virendefinitionen (McAfee) inkl. automatischem Integrationstest und
Rollback-Verfahren
- Weiterentwicklung bestehender Tools für die Nutzerverwaltung im
Proxy-Umfeld (in Perl)
- Erstellung von Browser-basierten Tools für die System- und
Userverwaltung
- Automatisierung von Routinetätigkeiten (Perl/Korn-Shell)
- Migration, Installation, Konfiguration und Hardening der produktiven
Primary- und Secondary-Nameserver in Deutschland und USA
11/2007
KUNDE: Bertrandt Ingenieurbüro GmbH, Wolfsburg
PROJEKT: Anwenderschulung Wireshark
POSITION: -
- tcpdump/Wireshark
06/2002-03/2004
KUNDE: Linde Kältetechnik, Köln
PROJEKT: RZ-Betrieb UNIX am Standort Mainz
POSITION: AIX-Betriebsunterstützung (Tageweise)
- AIX 4.3.3
- Samba
- OpenSSH
- Tivoli/NetView
- Entwicklung von Verfahren für Backup und Restore
07/2001-04/2003
KUNDE: Dresdner Bank, Frankfurt (Dregis)
PROJEKT: Netzwerkmanagement
POSITION: Interner Unix-Support (L2/L3)
- HP-UX 10/11
- Solaris 2.6-8, Sun Workstations, Enterprise 450
- Debian GNU/Linux 2.2 u. 3.0
- HP OpenView
- Cisco Netflow
- NFS, NIS, SNMP, SSH, Apache
- Erstellung u. Pflege browserbasierter Applikationen für Helpdesk
- (Script-)Programmierung: Korn, Perl, CGI, HTML
- Programmierung eines Systems zur automatischen Erstellung der
MRTG-Konfiguration aus dem Bestand der Netzwerkdatenbank (in Perl)
- Programmierung einer automatisierten Verteilung der SSH-Schlüssel
(in Perl und Shell)
- Programmierung einer Browser-basierten Schnittstelle zur
Usertracking-Datenbank von CiscoWorks (in Perl)
- Umsetzung von Security-Richtlinien unter UNIX
- Planung und Dokumentation von Betriebsverfahren
- Einführung von F-Secure SSH2, automatisierte Schlüsseldistribution
- Einführung eines out-of-Band Monitoring
- Evaluation von vorhandenen Monitoring-Produkten
11/2000-06/2001
KUNDE: Dresdner Bank, Frankfurt (Dregis)
PROJEKT: Unix- und Datenbankbetrieb im Produktionsumfeld
POSITION: System- und Datenbankadministration
- AIX 4.x, IBM RS/6000, RS/6000-SP, SSA
- Informix 7.x/9.x
- Solaris 2.6/2.7, Sun Enterprise 450 - 3500
- Samba (samba.org), Rsync, SSH
- Scriptprogrammierung: Korn, Perl
- Dokumentation der Infrastruktur und von Supportverfahren
09/1999-09/2000
KUNDE: Dresdner Bank, Frankfurt (Dregis)
PROJEKT: Aufbau des Client-Server-Betriebs für Server in Zentrale und
Geschäftsstellen, NT/UNIX Integration
POSITION: Entwicklung von Verfahren, Programmierung, Dokumentation,
Mitarbeit in der Administration
- AIX
- IBM 7025 (RS/6000)
- Advanced Server f. Unix (ASU, AS/U)
- Windows-Clients (NT 4.0) und Server (Fusi Primergy)
- SINIX-Z (Bitte keine SINIX-Projekte anbieten)
- Peregrine Service Center
- DAP (Distributed Application Platform)
- Dokumentation von Betriebs- und Supportverfahren
- Scriptprogrammierung (Korn, Perl, awk, sed, etc.) von Tools zum
System-Monitoring und Reporting
- Konsolidierung und Neustrukturierung des referatsinternen Domain
Name Service
- Einbeziehung bestehender Kommunikations- und
Middleware-Schnittstellen
03-07/1999
KUNDE: Commerzbank, Frankfurt
PROJEKT: Testlandschaft für Y2K im Geschäftsstellenumfeld
POSITION: Planung, Betrieb und Dokumentation
- Microsoft Windows NT 4.0 Server und Workstation
- DHCP, DNS, WINS, TN3270 (Rumba)
- Siemens Primergy, Scenic Pro
- MSCS - Microsoft Cluster Server
- Automatisierte Installationsverfahren
- Scriptprogrammierung in Perl unter NT
- Prodacta ProNet
- MS-SQL Server
- Planung von Testverfahren und Erstellung von Testleitfäden
- Dokumentation der Testergebnisse, Erstellung eines Betriebshandbuchs
- NTP - Network Time Protocol, Linux 2.2
01-02/1999
KUNDE: Deutsches Sportfernsehen, Ismaning
PROJEKT: Neuaufbau des Intranet
POSITION: Konzepterstellung, technische Beratung
- Erstellung einer Studie zu Kosten und Projektlaufzeit
- Ausarbeitung von Meilensteinen/Realisierungsabschnitten
- Analyse bestehender Systeme und Planung der zukünftigen Integration
12/1997-02/1999
KUNDE: Lufthansa Systems, Kelsterbach
PROJEKT: Schaffung eines weltweiten VPN für mobile Arbeitsplätze
POSITION: Konzeption und Realisation
- "Virtual Private Networking" und Tunneling-Technologien mit
Produkten von Microsoft (PPTP, Windows NT 4.0 Server und
Workstation, Windows 95/98)
- Kostenreduktion im WAN durch Zukauf von Dial-In-Kapazitäten bei
Fremdanbietern
- Erarbeitung einer Ausschreibung für Anbieter weltweit verfügbarer
Einwahlnetze
- Beratung und Unterstützung des Einkaufs vor Auftragsvergabe
- Hochsichere Authentisierung am Firewall mittels SecurID/ACE
- Vorbereitung des Regelbetriebs: Definition von Zuständigkeiten,
Entwicklung des Antragsverfahrens
- Erstellung von Produktdatenblättern
- Schulung der Administratoren
TCP/IP
IPv6 (IPv6 "Sage" status bei he.net.)
SSH (Secure Shell)
SMTP (Simple Mail Transfer Protocol)
IMAP4 (Internet Message Access Protocol)
POP3 (Post Office Protocol)
LDAP (Lightweight Directory Access Protocol)
NTP (Network Time Protocol)
DNS (Domain Name Service)
HTTP (Hypertext Transfer Protocol)
DHCP (Dynamic Host Configuration Protocol)
SNMP (Simple Network Management Protocol)
X11 (X Window System Protocol)
SMB (Server Message Block Protocol)
CGI (Common Gateway Interface)
"1. Systemmanagement von Serversystemen
1.1 HP9000 Server/HP-UX 10/11
1.2 Solaris 2.6 - 2.8, Sun Workstations + SUN Enterprise 450
2. System- und Applikation Monitoring
2.1 Erstellung und Pflege einer browserbasierten Applikation
für Systems Monitoring mittels Programmierung: Shell, Perl,
CGI, HTML auf Apache-Webserver
2.2 Programmierung eines Netzwerkmonitoring FrontEnds für eine
vorhandene Monitoring-Anwendung
3. Umsetzung von Security-Richtlinien auf UNIX-Systemen
4. Einführung von SSH2 auf UNIX-Servern sowie automatisierte
Schlüsseldistribution
5. Programmierung und Einführung eines Out-of-Band Monitoring von
UNIX-Servern und Applikationen
6. Cisco NetFlow Collection
---------------------------
Fachliche Qualifikation:
Der Consultant hat ein umfangreiches Know-how im Umfeld von UNIX-und LINUX Systemen (insbesondere Systems Management), die er effizient einzusetzen versteht. In der Script und PERL-Programmierung arbeitet er aufgrund seiner langjährigen Erfahrung sehr schnell und zuverlässig.
---------------------------
Persönliche Qualifikation:
Der Consultant zeichnet sich durch rasche Auffassung sowie Überblick bei neuen Themengebieten aus, die er selbstständig zu strukturieren und zu bearbeiten versteht. Aufgrund der guten Kommunikations- und Teamfähigkeit ist er als Teammitarbeiter sehr geschätzt. Von seinem Allround-Know-how im UNIX-und Netzwerkbereich konnte in hohem Maße profitiert werden."— Projekt Netzwerk- und Systemmanagement, 07/01 - 09/02
Referenz durch IT-Service-Unternehmen einer Großbank (800 MA) vom 16.09.02