meine Aufgaben

Technologien

meine Aufgaben

·         Risikoanalyse der Plattformarchitektur

·         Ausarbeitung IT-Sicherheitskonzept in Abstimmung mit dem CISO

·         Erarbeitung von Architekturrichtlinien für die Infrastruktur der Plattform

·         Dokumentation, Bewertung und Tracking sicherheitsrelevanter technical debts

·         Pentest-Koordination

·         Vorbereitung KRITIS Audit

Technologien

Oracle, JBoss, SOAP, REST, AWS, Docker, Kubernetes, Gitlab

Architektur

- Entwurf Netzwerkbebauungsplan und Definition grundsätzlicher Network Security Policies, angelehnt an BSI Grundschutz

- Konzeption und Betrieb der DMZ

- Separation der Teilnetze in isolierte VLANS

- DNS Infrastruktur

- Single Sign On und 2FA Kompenenten & Integration

Betrieb

- Betrieb mehrerer pfSense und OPNSense Server auf dedizierter Hardware in unserem on premises Datacenter (ohne Unterbrechung seit 2013), teils als CARP HA Cluster

- Bereitstellung von VPN Diensten (IPSec für Cisco Clients, OpenVPN, Wireguard)

- kontinuierliche Weiterentwicklung und Wartung der Firewall Plattformen, einschl. Konfigurationsmanagement, Sicherstellung robuster DHCP Dienste

- Zertifikatsmanagement: Betrieb einer lokalen Certificate Authority, Bereitstellung und Pflege von z.B. x.509 Zertifikaten und SSH Schlüsselmaterial, Entwurf und Umsetzung Konzept für Schlüsselrotation

- Integration mit Active Directory und (Samba LDAP Servern) als VPN Authentisierungs-Backend

- Einrichtung und Wartung der Firewallregeln und Aliase gemäß den definierten Schutzbedarfen der jeweiligen VLANs

- Betrieb und Wartung externer und interner DNS Komponenten (lokale DNS Server (Windows, unbound) und DNS-Forwarder) und deren Konfiguration (A, MX, CNAME, TXT Records) beim ISP

- Diagnose von Netzwerkproblemen (Identifizierung falsch gesetzter TCP flags, Routing, Split Horizon DNS) auf den OSI Layern 2-5, u.a. mit tcpdump, netcat und den üblichen Linux/BSD-Kommandozeilenwerkzeugen

- Behebung komplexerer Fehler in internen Komponenten (z.B. HAProxy) auf der FreeBSD Shell

- Konfiguration und Betrieb des IDS/IPS (Suricata) einschl. Auswertung der Logdateien und Auswahl von Threat Intelligence Providern

- Integration in Splunk ELK Stack/Security Onion

Security Operations (SOC)

- Umsetzung der Security Strategie der Geschäftsleitung als Direct Report

- Durchführung von Security Awareness Trainings

- Kontinuierliche Überwachung und Härtung der Netzwerkinfrastruktur und kritischer IAM Komponenten

- Maßgeblich Verantwortlicher für Security Incidents (CERT Rolle)

- Incident Response, Sicherstellung von Beweismitteln wie Logdateien, Analyse kompromittierter Systeme

- Zusammenarbeit mit interner Datenschutzverantwortlichen und Behördenkommunikation bzgl. DSGVO

• Betreuung Datenbank-Businesslogik
• Liquibase-Einführung und Integration in Deployment-Pipeline
• DevOps-orientierte Datenbankdeployments
• Performanceoptimierung großer Datenbanken
• Entwurf, Implementierung und Rollout einer Plattform zur automatisierten Bereitstellung vollständiger Umgebungen
• Implementierung und Bereitstellung eines flexiblen Frameworks zum technischen und fachlichen Monitoring
• Begleitung AWS Migration, speziell Oracle Datenbanken
• Ansprechpartner für Datenbankthemen wie z.B. Design, Partitionierung, Tuning, Datentransfer, Data Lifecycle Management

In meiner Verantwortung lagen Modellierung und Feinspezifikation von Fachprozessen in enger Abstimmung mit Onsite- und Nearshore-Projektbeteiligten.

• Abstimmung und Entwurf des Fachprozesses Linecard-Tausch
• Modellieren des Prozesses in UML mit MID Innovator
• Generieren zughöriger Prozessdokumentation
• Abstimmung mit den Test- und Entwicklungsteams
• Abstimmung mit den für Netzinfrastruktur verantwortlichen Ansprechpartnern des Auftraggebers
• eigenverantwortliche Erarbeitung und Präsentation einer Lösung für Mandantenfähigkeit und Datenmaskierung
• enge Zusammenarbeit mit den internen Projektbeteiligten: ein Gesamtprojektleiter, ein Datenbankentwickler, ein Frontendentwickler, drei Tester
• Teilnahme an Präsenzterminen beim Kunden, kontinuierliche Abstimmung kundenseitiger technischer Projektleitung
• Architektur- und Quellcodereview der komplexen, 15 Jahre alten Oracle-Datenbankapplikation und des zugehörigen Frontends
• Durchführung einer ?Proof-of-Concept?-Phase einschließlich Erstellung eines funktionalen technischen Prototyps
• Prototyp beim Kunden demonstrieren
• detailliertes Angebot für das Hauptprojekt erstellen
• sensible Kundendaten (SCD) im Datenmodell identifizieren
• PL/SQL-Skripte zur Validierung fachlicher Datenintegrität erstellen
• Bash-Installationsskripte entwickeln
• Oracle 12c Datenbankinstanzen administrieren
• IT-Konzept (DV-Konzept) und Betriebshandbuch erstellen
• Feinabstimmung der technischen Lösung direkt mit Oracle
• Begleitung der (erfolgreichen) Sicherheitsabnahme durch die Konzernsicherheit des Kunden
• ?Get-Well?-Phase begleiten, einschließlich Bereitstellung von Bugfixes

In meiner Verantwortung lagen Modellierung und Feinspezifikation von Fachprozessen in enger Abstimmung mit Onsite- und Nearshore-Projektbeteiligten.

• Abstimmung und Entwurf des Fachprozesses Linecard-Tausch
• Modellieren des Prozesses in UML mit MID Innovator
• Generieren zughöriger Prozessdokumentation
• Abstimmung mit den Test- und Entwicklungsteams
• Abstimmung mit den für Netzinfrastruktur verantwortlichen Ansprechpartnern des Auftraggebers

• IST-Analyse
• Ermittlung systemspezifischer Anforderungen
• Hospitation beim Deployment in Produktivsysteme
• Erweiterung Gradle basiertes Deployment Tool
• Erstellung und Präsentation der Prozessdokumentation
• Etablierung eines formalen Hotfix-Prozesses
• abteilungsübergreifende Dokumentation der Zugangsberechtigungsprozesse
• Dokumentation des Rollenmodells (RBAC) für Analyseplattformen und Daten

• Entwurf der PDF-Templates mit Jasper Reports
• Anbindung an das DMS des Kunden
• dynamisch Erzeugung der Formularlayouts je nach Geschäftsvorfall
• Datenkonsolidierung und Erzeugung verschiedener Dokumententypen mit einheitlichem Layout
• Erzeugung der PDF-Dokumente durch leichtgewichtigen Generator

• Erhebung des Ist-Zustandes der informellen Prozesse für das Deployment in Entwicklungs-, Test-, und Produktionsumgebung für die eingesetzten BI-Produkte
• Entwurf eines einheitlichen Deploymentprozesses mit klar definierten Zuständigkeiten in Anlehnung an ITIL
• Behandlung von Sondersitutionen wie zeitkritische Hotfixes
• Erstellung von Flowcharts und Prozessdokumentation
• Mitwirkung bei der Prozessautomatisierung mit Gradle
• Dokumentation von Oracle-Datenbankberechtigungen aus Compliance-Gesichtspunkten

• PMO und UML Modellierung/Design bei Implementierung eines innovativen
• Reisestellenkartenservices
• Prozesskette Kunde Merchant, Merchant Acquirer, Card Issuer, Processor, DataBroker sowie Inhouse Middletier System
• Projektabwicklung mit dem MasterCard Implementation Team einschließlich
• Systemanbindung
• Testabwicklung und Dokumentation, Inbetriebnahme
• Betreuung PKI-Infrastruktur und Sicherheitsthemen, fachlicher/technischer Review der MasterCard PurchaseControl XML API
• Anreicherung von Finanztransaktionsdaten mittels komplexen unternehmensübergreifenden Staging Process, u.a. PAN-, BIC-, FIID, und MCC-basiertes Matching
• Fachliche und technische Kenntnis Kartensystem- QS Prozesse, Fraud Handling Prozess, Authorisierung, Pre-Authorisierungsablauf, Fraud Prävention, Databroker Anbindung, Umsystemintegration z.B. Pluscard
• SEPA-Upgrade: Erweiterung Altapplikation / neue Systemdesigns um IBAN/BIC
• Kreditkartenprozessor TSYS und GEVA Schnittstellen Anbindung und Datenaustausch

•  IST-Analyse: tabellarische und grafische Dokumentation vorhandener Komponenten (Server, Clients, Netzwerkgeräte, VLANs, Virtualisierung) und der Netzwerkarchitektur, Modellierung mit UML-Diagrammen mit Enterprise Architect
• SOLL-Analyse: Modellierung von Zielarchitekturen als Diagramme und Anforderungskataloge mit anschließender Kritik und Diskussion sowie deren Abstimmung mit der Geschäftsleitung
• Auswahl: Wahl und Implementierung einer geeigneten Softwarelösung für die DMZ-Firewall unter Berücksichtigung der vorhandenen Hardware, der Inhouse vorhandenen Skills und der zu erwartenden zusätzlichen Anforderungen. Entscheidung für FreeBSD als OS und pfSense als Firewall
• Realisierung: Hardware: Bereitstellung einer x86-Plattform mit leistungsfähigen Intel-Netzwerkkarten, Verkabelung mit Border Gateway und LAN- Switch
• Software: Installation der aktuellen pfSense-Pakete, Einrichtung der Netzwerkzonen WAN, DMZ und LAN sowie die Basiskonfiguration der Firewall und der minimal benötigten Zugänge und IP-Routen
• Test: Nach dem Aufbau der Basiskomponenten wurden diese auf Funktion und NFA wie Lastverhalten und Stabilität untersucht. Die Ergebnisse wurden dokumentiert.
• Inbetriebnahme: Kommunikation: Nutzer, Administratoren und sonstige Stakeholder wurden proaktiv auf unterschiedlichen Kanälen von den bevorstehenden Änderungen informiert
• Durchführung: die Produktivsysteme wurden zu einem geeignetem Zeitpunkt auf die DMZ umgeschwenkt, dabei traten keine Beeinträchtigungen der Services auf

In meiner Verantwortung lag die Qualitätssicherung, Bereitstellung

technischer Infrastruktur sowie die Bewertung der IT-Sicherheit des

öffentlichen Frontends der Anwendung.

Zu meinen Aufgaben gehörten:

• Installation und Inbetriebnahme von Jira mit Integration von Subversion
• Konzeption und Betrieb mehrerer VPNs, basierend auf OpenVPN und SSH2-Tunneln
• Installation von Enterprise Architect (Multiuser, mit Oracle-Repository)
• Erstellung einer zentralen Dokumentation mit Enterprise Architect
• Dokumentation des Datenmodells
• Security Review hinsichtlich potenzieller Gefährdungsvektoren wie SQL-Injection und Cross-Site-Skripting

In meiner Verantwortung lag die Beratung des Kunden vor Ort, die Zusammenarbeit mit den am Projekt beteiligten IT-Anbietern sowie die Erstellung des Migrationskonzeptes und der Angebotsunterlagen.

• Erläuterung unterschiedlicher technischer Lösungen zur Gewährleistung eines ausfallsicheren Datenbankbetriebes
• Backup & Recovery Konzept
• Planung der Altsystem-Migration
• Auswahl Lizenzmodell für die gegebene Hardware und Software

In meiner Verantwortung lag die vollständige eigenverantwortliche Planung, Umsetzung. Inbetriebnahme und Wartung des Wikis.

• Auswahl und Installation eines unternehmensweiten Wikis
• Durchführung von Workshops
• Datensicherung der Altsysteme
• Design und Implementierung eines webbasierten Redaktionssystems zur automatisierten Versendung von Newslettern

In meiner Verantwortung lag die Durchführung der Softwareverteilung auf Testgeräte und die Dokumentierung auftretender Probleme sowie die abschließende Freigabe der jeweiligen Hard- und Softwarekonfiguration für den Betrieb

• Test und Freigabe der Schalter-Kasse-Software unter OS/2 und Windows auf FSC und IBM-Clients sowie IBM eServer, z.B. Buchung von Einzahlungen
• Softwareverteilung, Erstellung von Responsedateien und Konfigurationsskripten, z.B. ?unattended installation? für Netscape Applet-Berechtigungen
• Integration der Euro-Fonts in Win/OS2
• Funktionalitätsprüfung der Oracle Datenbankinstanz mit SQL Statements,Erstellen von Backups und Dumps, Benutzerverwaltung
• Kompilieren der Linux RAID-Treiber für die Backup-Lösung PCBax