Ziel des Projekts ist die Erstellung von Zertifikatsrichtlinien innerhalb der Hessischen Landesverwaltung für einen sicheren Umgang mit TLS-Zertifikaten von externen sowie internen Zertifizierungsstellen.

• Erstellung einer Zertifikatsrichtlinie für die Verwendung von TLS-Zertifikaten von externen Zertifikatsherausgebern
• Erstellung einer Zertifikatsrichtlinie für die Verwendung von TLS-Zertifikaten von internen Zertifikatsherausgebern

Das Konzernprogramm Cyber Security befähigt den Konzern, sich effektiv und permanent vor Cyber Angriffen zu schützen und wird zentral gesteuert. 8 Fähigkeiten werden innerhalb des Programms in einzelnen Cyber Security Projekten gemeinsam vom Kunden entwickelt und in Zusammenarbeit mit den GF und SE konzernweit implementiert. Die Anforderungsaufnahme an eine PKI-Infrastruktur für IT und OT beim Kunden wird benötigt. Dazu müssen vorhanden Anforderungskatalog, vorhandene Konzepte, bestehende Systeme betrachtet und die Erkenntnisse mit Interviews ergänzt werden.

• Aufnahme und Analyse der vorhandenen Konzepte für PKI-Infrastrukturen
• Betrachtung und Analyse vorhandener PKI-Infrastrukturen
• Erarbeitung eines Interviewleitfadens und Durchführen der Interviews zur Ermittlung der Anforderungen an eine PKI-Infrastruktur
• Abstimmung mit den Architekten des Programmes CS@DB
• Erstellung eines Fragenkatalogs zur Aufnahme von OT Anforderungen an eine Konzern PKI
• Erstellung eines Fragenkatalogs zur Aufnahme von IT Anforderungen an eine Konzern PKI
• Erhebung der Anforderungen an eine Konzern PKI in den Geschäftsfeldern
• Clustern und Strukturieren der Anforderungen zur Ableitung einer Zielarchitektur

• Das Niveau der Verschlüsselung der Kommunikation zwischen IT-Systemen auf der Infrastruktur- und Plattformebene soll nachhaltig verbessert werden.
• Systemumgebungen sind Windows, Solaris, Linux, iSeries, SAP

AUFGABEN:

• Erarbeiten der Erst-Version einer Kryptografie-Richtlinie der Bank auf Basis der technischen Richtlinien/Empfehlungen des BSI
• Workshops mit dem Informationssicherheitsbeauftragten sowie den Netz- und Systemadministratoren der Bank
• Abstimmen der Richtlinie mit den Stakeholdern
• Ist-Analyse der Zertifikate-Managementverfahren der Bank
• Ist-Analyse der Sicherheitsrichtlinien der Bank hinsichtlich Vorgaben für das Zertifikate-Management
• Konzeptionelle Umgestaltung des aktuellen Managementverfahrens zu einem zu den Sicherheitsrichtlinien kompatiblen Verfahren
• Konzeptionelle Erweiterung des Zertifikate-Managements um fehlende Aspekte (Best Practices)
• Abstimmung des Konzeptes mit den Stakeholdern
• Erstellen von Sicherheits- und Berechtigungskonzept sowie Betriebshandbuch für die CA der Bank
• Unterstützung des Rollouts des Verfahrens

• Applikation Anforderungen verstehen und analysieren hinsichtlich der Auswirkung an die PKI Komponenten (CAs,OCSP, Active Directory, Smart Card, HSM SafeNet, Windows 10, TPM)
• Architektur in einem Technical Design Dokument beschreiben
• Koordination der Umsetzung
• Umgebung 120.000 Users
• Teil Projektleitung

Unterstützung des Produktauswahl Prozesses:

• Beratung des PKI-Consulting bei PKI-architektonischen Fragestellungen
• Mitwirkung bei der Erstellung des Kriterienkataloges für die Produktauswahl
• Mitwirkung bei der Produktbewertung
• Begleitung von Produktanbieter Workshops
• Begleitung der Testinstallationen
• Unterstützung bei der Entscheidungsempfehlung für die Produktauswahl
   

Unterstützung des Implementierungskonzeptes:

• Beratung des PKI-Consulting bei PKI-architektonischen Fragestellungen
• Qualitätssicherung des Implementierungskonzeptes (First Reader)
• Sicherstellung der konformen Umsetzung des Solution Design
  
  

Unterstützung bei der Anpassung der PKI-Prozesse:

• Mitwirkung bei der Definition von CP/CPS
• Begleitung von Workshops für die betroffenen Fachbereiche
• Sicherstellung der Übernahme der Prozessanapassungen in die betriebliche Dokumentation

• Koordination der PKI Migration
• Change Management
• Migrationsplan aufstellen
• Support für PKI Applikationen (Windows/MacOS, Mobile Device, VPN Gateway, Loadbalancer, Venafi Trust Protection Platform for SSL certificate management, SafeNet HSM)
• Definition der PKI Prozessen und Ops Guide erstellen

Implementierung eines neuen Public Key Infrastruktur (PKI) und Migration der bestehenden Dienste in die neue PKI, unter anderem SAP Secure Login Anwendung. Das Migrationskonzept wurde von mir erstellt und von einem dritten unabhängigen Partner begutachtet und für gut befunden.

Mit dem Verschlüsselungsprojekt wird sichergestellt, dass die Übertragung von Daten zwischen ausgewählten IT-Anwendungen sowie die Übertragung von Daten zwischen verschiedenen Rechenzentren (auf Netzwerkebene) gemäß den Bankvorgaben verschlüsselt erfolgt.

Aufgaben:
Detailanalyse, Erarbeitung von Lösungsvorschlägen und deren Bewertung hinsichtlich Zeitaufwand, Kosten, Risiken sowie Begleitung bei der Umsetzung (Planung, Tracking, Abnahme).

Individuelle Leistungsbeschreibung:

• Analyse der Ist-Situation bzgl. der für das Projekt relevanten Anwendungen und insbesondere deren Schnittstellen mit Blick auf die technische Implementierung der notwendigen Verschlüsselung
• Unterstützung bei der Evaluierung alternativer Implementierungen
• Abstimmung der technischen Implementierungen mit den Infrastruktur- und den - - Applikationsverantwortlichen sowie Unterstützung bei der Erstellung/Detaillierung der jeweiligen Leistungsbeschreibungen und Aufwandsschätzungen
• Begleitung bei der Umsetzung der verschiedenen Maßnahmen sowie Nachverfolgung des Fortschritts
• Unterstützung bereits laufender Aktivitäten (z. B. HTTPS, Datenbankverbindungen, MQ)
• Fortsetzung der Analyse der Ist-Situation bzgl. der Leitungsverschlüsselung zu internationalen Lokationen. Begleitung der eingeleiteten Maßnahmen.
• Beratung bei der Erstellung von Entscheidungsvorlagen für das Teilprojekt "Verschlüsselung" im Programm IT-Governance

Individuelle Skillbeschreibung:

• Umfassende, tief gehende Kenntnisse bei verschiedenen kryptographischen Protokollen (SSL/TLS, SSH, IPSec, VPN usw.)
• Sehr gut vertraut mit aktuellen kryptographischen Methoden und Technologien
• Der Mitarbeiter verfügt über sehr gute Kommunikationsskills und kann auch kritische Situation in Gesprächen erfolgreich wertschätzend meistern
• Der Mitarbeiter hat auch Erfahrung in der Steuerung von Teilprojekten
• Der Mitarbeiter arbeitet methodisch nach dem aktuellen Stand von Wissenschaft und Technik und setzt erprobte Methoden ein
• Ausbildung: Hochschule/Fachhochschule oder gleichwertige Berufsausbildung
• Mehrjährige IT-Erfahrung

Must-have Qualifikation/en:

• IT Security
• Ist-Analyse
• Verschlüsselung/Kryptographie
• Kenntnisse verschiedener Protokolle (SSL/TLS; SSH; IPSec; VPN usw.)
• Kenntnisse kryptographischer Methoden und Technologien
• Steuerung von Teilprojekten

Techn. Expert for den 3rd Level Support in CISO Department - PKI:

• PKI
• Smartcards
• Encryption
• Access Management
• Database Know How (DB2, SQL, Host)
• IT-Compliance
• Digitale Certificate
• SafeGuard LAN Crypt

Unterstützung und Beratung des Auftragsgeber im Projekt "Elektronische Gesundheitskarte - eGK" mit insbesondere folgenden Aufgaben:

• Fachliche Umsetzung der Anforderungen für den Betrieb einer komplexen Public-Key-Infratructure PKI des Endkunden nach Vorgaben des Endkunden. Dies umfasst mehrere CVC- und Root-CAs, die Integration und Betrieb von mehreren Hardware-Security-Module (HSM) und die umfassende Betriebdokumentation in deutscher Sprache.
• Umfassende fachliche Beratung und unterstützung des Auftraggeber-Teams und der technischen Solutionmanager des Auftraggebers in Fragen zur PKI, insbesondere zur Anbindung der PKI an Hardware-Security-Module (HSM)
• Aufbau von Knowhow bei ausgewählten Teammitgliedern des Auftraggebers im Bereich PKI mit Schwerpunkt HSM durch Maßnahmen wie Workshops und interne Schulungen

Erarbeitung eines Grobkonzepts für die Einführung eines Public Key Infrastructure:

• PKI Design
• Root CA
• Sub CA
• OCSP/CRL
• HSM
• CP/CPS
• Berücksichtigung der PKI spezifischen Applikationen
• Migration: Single-Sign-On für SAP Secure Login Backend-System

Unterstützung bei der Fehleranalyze einer 802.1x Authentifizierung im LAN bereich für NAC (Network Access Control)

Aufage:

• Überprüfung der NAC Server Policy
• Überprüfung der RADIUS Server Konfiguration
• Überprüfung der PKI gesamten Implementierung
• Anpassung der Netzwerk-Gruppenrichtlinien für verkabelte 802.1x Authentifizierung

• Project: Design, implementation and operation of a Global AD integrated Public Key Infrastructure (PKI) at SAP Headquarter in Walldorf
• PKI is a key component for issuing certificate to user, computer and services for Authentication, Encryption, non-repudiation (signature).
• Project name: SAP AD integrated Global PKI Implementation

Keywords:

IT Security, PKI, Authentication, Active Directory, Single-Sign-On (SSO), Hardware Security Module (HSM), Encryption, OpenSSL, Certificate (X.509), Revocation, Active Directory Certification Authority.

Environment:

Windows server 2008 R2 Enterprise, Windows Server 2012 R2 Datacenter, Linux (RHEL, Ubuntu), Monitoring with SCOM (System Center Operation Manager), Thread Management Gateway (TMG), Online Certificate Status Protocol (OCSP), Internet Information Services (IIS), nCipher Hardware Security Module, MS Visio.

Protocols:

SSL, TLS, VPN, 802.1X

Cryptography:

RSA, nCipher Security World Key Store Provider

Topics:

• Requirements Analysis
• Design of the Global AD integrated Public Key Infrastructure (PKI) at SAP
• Coordinating and Implementing the Global Public Key Infrastructure (PKI) at SAP

Responsibilities:

• Support for User and Application migration to the new Active Directory Domain
• Single Sign-on implementation
• Protect and insure security on PKI backend
• Hardening
• PowerShell Scripting
• Virtualization: Hyper-V
• Backup / Restore
• Troubleshooting
• PKI Operation
• PKI Policies (CP/CPS)
• PKI Enabled Applications: SSL/TLS, 802.1x,Direct Access, NAP, Code Signing, Virtual Smart Card
• Single Sign-on Operation
• Hardware Security Module (nCipher HSM) Operation
• GPOs Management
• 3rd Level Support according to defined SLA
• Number of employees: 100.000
• ADCS Migration to windows server 2012 Standard
• SAP IT Direct (Incidents/Changes/Problems Management Solution (ITIL))
• Documentation

• Project: Design and implementation of an automatic revocation concept for Car-to-X communication.
• Project name: SIMTD (Sichere Intelligente Mobilität Testfield Deutschland)
• Partners: Audi, BMW AG, Daimler, Ford, VW, Opel, Bosch, Continental 

Keywords:

IT Security, Automotive, PKI, Cryptography

Environment:

Windows, Java, UML, MS Visio, Eclipse with gnuPlot Plug-in, LaTeX

Protocols:

IEEE 1609.2 Standards, IEEE 802.11p

Cryptography algorithm:

RSA, ECDSA, ECIES

API:

Bouncy Castle (Cryptography)

Framework:

JUnit

Responsibilities:

• Extension of the Public Key Infrastructure (PKI)

• Implementation of the Elliptic Curve Public-Key Cryptography (ECDSA)

• Requirements analysis

• Revocation Concept Design

• Concept Implementation (Java)

• Testing

• Debugging

• Concept Evaluation

• Concept performance optimization

• Documentation

Environment:

Linux (RHEL, SLES, Ubuntu Server), Mac OS X, Windows NT/2000/XP/Vista/7, Novell, BMC Remedy ARS, OTRS, VMWare, Windows Server 2003/2008, Firewall, IP Network, VPN, XML, Pearl, PHP, JavaScript, CSS, PHPAdmin, AV Program

Protocol:

TCP/IP, SSL/TLS, IPSec (AH, ESP), NTLM, Kerberos, RADIUS, EAP, MSCHAPv2

Responsibilities: 

• Computer network adviser

• Help-Desk (1st, 2nd, 3rd Level support)

• Solve different problems related to (Wireless) LAN connections (Cisco VPN Client, BigEdge F5, Shrew Soft VPN, WPA2)

• Troubleshooting of Network configuration by different departments within the campus.

• Maintenance of database

• Utilizes strong technical background in troubleshooting system issues

• Maintenance of department PCs

• Support for departmental web page.

• Maintenance and Support

SAP Netweaver Application Server is a component of the Netweaver solution for SAP products

Protocols:

Secure Network Communications (SNC), Secure Socket Layer (SSL), HTTPS

Keywords:

IT Security, Single Sign-On, Identity management

Environment:

SAP NetWeaver, Windows, Apache Tomcat

Responsibilities: 

• Security and Identity Management

• Testing Single Sign-On technologies with SNC and SSL protocols

• Performance check to meet SLA(Service Level Agreements)

• Documentation

Responsibilities:

• Junior QA Manager for software encryption
• Test planning
• Test execution
• Test reporting
• Test automation
• Software Test to meet ISO/IEC 9126 (Functionality, Reliability, Efficiency)
• Specification based testing
• Integration test
• System test
• Regression test
• Smoke test
• Software performance test
• Load test
• Security test
• Ad-hoc test

Keywords:

Partial reconfiguration, DSP, Leaky LMS, Adaptive filter, Noise cancellation

Environment:

Linux, ISE, PlanAhead, ModelSim, LaTeX

Responsibilities: 

• Dynamic Partial Reconfiguration

• SoC (System-On-Chip) design

• DSP (Digital Signal Processor) design

• VHDL implementation of the Leaky LMS algorithm

• System integration

• Test bench

• Documentation