- Prozess-Implementierung Secure Software Development Life Cycle (SSDLC / Erhöhung des Reifegrads nach OWASP-SAMM)

- Erweiterung des Application Security Frameworks (ASF) u. a. um Härtungsanforderungen von Systemen und die nachhaltige Behebung von Pentest-Findings

- Analyse und Integration von Härtungsanforderungen in bestehenden IT-Anwendungen und -Systemen. Umsetzung relevanter Richtlinien.

- Entwicklung und Umsetzung von Strategien zur Behebung identifizierter Schwachstellen (Nachhaltige Reduzierung von Schwachstellen).

- Fachdokumentationen zum Thema ?Secure Hardening ? Best Practices? (Technologie abhängig).

- Security by Design im Cloud- und Kubernetes-Umfeld (inkl. Container-Sicherheit)

- Mitarbeit bei der kontinuierlichen Verbesserung des SSDLC (inkl. DevSecOps Implementierungen)

• Analyse und Bewertung der Kritikalität der Applikationen, die der Aufrechterhaltung des Dienstbetriebs dienen, sowie der Anforderungen an die Sicherheit jeder einzelnen Komponente auf Basis der Ergebnisse der Business Impact Analyse
• Analyse der Abhängigkeiten der Geschäftsprozesse und eingesetzten Applikationen
• Konzeptionelle Unterstützung der Fachverfahrens- und Produktverantwortlichen bei der Anforderungserhebung und Definition von Service Level Agreements für Service-, Support-, Reaktions- und Wiederherstell-Zeiten
• Erstellung von Richtlinien in Abstimmung mit dem IT-Sicherheitsbeauftragten, deren Durchsetzung und Überprüfung ihrer Einhaltung (in den IT-Projekten und Verfahren)
• Konzeption, Abstimmung und Implementierung von Störungspräventionsmaßnahmen sowie Umsetzungsplänen in Zusammenarbeit mit den Bereichen Softwareentwicklung, Betrieb, IT Servicemanagement, Produktmanagement
• Konzeption, Abstimmung und Umsetzung von Reaktionsmaßnahmen für Störungen und Systemausfälle unter Berücksichtigung begrenzter Kapazitäten
• Aufbau und Durchführung des operativen Incident-Managements inkl. Steuerung des Incident Response-Teams
• Koordination und Sicherstellung der schnellstmöglichen Wiederherstellung von zeitkritischen Geschäftsprozessen im Störungsfall
• Fachliche Führung der Beschäftigten im eigenen Team, Definition von Prozessen, Strukturen und Arbeitsanweisungen
• Optimierung der Arbeitsabläufe, Überwachung der Einhaltung der Servicequalität, Steuerung und Koordinierung der Vorgehensweisen beim Monitoring und der Behandlung sicherheitsrelevanter Ereignisse- Identifizierung, Steuerung und Lösung von Zielkonflikten
• Koordination der Zusammenarbeit mit allen beteiligten Rollen (1st- und 2nd-Level Support, 3rd Level/ Softwareentwickelnde, Führungskräfte & Projekt-internes Incident Management)
• Erstellung von IT-Sicherheitskonzepte (inkl. IT-Checks) nach IT-Grundschutz-Methodik des Bundesamts für Sicherheit in der Informationstechnik (BSI)

• Erfassung technischer und organisatorischer Kundenanforderungen, Ableitung und Konzeption geeigneter Maßnahmen
• Prozess- und Architekturberatung zur Integration von sicherheitsrelevanten Systemen
• Begleitung von Kundenprojekten im IT-Security-Kontext in der Rolle eines Trusted Advisors
• Unterstützung der Kunden bei Aufbau oder Weiterentwicklung eines SOC/CSIRT
• Beratung bei der Entwicklung und Integration des Security Incident Managements in die umgebende Prozesslandschaft / Entwicklung von Use Cases zur Detection & Response
• Beratung zu Zero-Trust-Anwendungs- und -Netzwerk-Zugriffskonzepten
• Beratung bzgl. sicherer Integration verschiedener on-premise und Cloud-basierter Applikationen
• Kommunikation auf Augenhöhe mit den Stakeholdern, u.a. Vertretern des Business, IT Betriebs, IT-Providern, etc

• Definition & Umsetzung einer IT-Security-Defense und -Response Strategie im Rahmen der heutigen und zukünftigen technologischen Herausforderungen der Bank
• Definition und Einführung eines Security-Engineering-Prozesses in Zusammenarbeit mit dem Information Security Officer (ISO)
• Koordination der Analyse von Cyber-Security-Bedrohungen sowie von entsprechenden ITSecurity-Mitigations
• Kommunikation und Reporting von Security Incidents im Rahmen der Meldepflichten (u. a. MaRisk, BAIT, DSGVO) in Zusammenarbeit mit dem ISO
• Konzeption und Aufbau eines Security Operation Center (SOC), operationale Verantwortung für Sicherheitsmonitoring (SIEM), Sicherheitsanalysen und Incident-Response Maßnahmen
• Unterstützung bei der Weiterentwicklung der Krisenkonzepte (Notfall- und Reaktionspläne) für verschiedene Krisenszenarien aus Perspektive der IT
• Etablierung und Weiterentwicklung des IT Service Continuity Managements unter Einbindung relevanter Dienstleiter für ausgelagerte IT Services und übergreifende Harmonisierung und Professionalisierung des Disaster Recovery Capabilities
• Planung, Überwachung und Einübung der notwendigen Maßnahmen (Notfallübungen) zur schnellen Wiederherstellung der Betriebsbereitschaft je nach Krisenszenario
• Sensibilisierung der Mitarbeiter und Schulung in Prävention und Reaktion im Krisenfall
• Koordination von technischer Bedrohungs- und Schwachstellenanalysen für Applikationen und/oder Systemarchitekturen und Penetrationstests sowie von Design und Umsetzung von technischen Sicherheitskonzepten für Cloud-, Infrastruktur, Applikations-, und Systemlösungen
• Bewertung, Definition und Umsetzung von Benutzer- und Berechtigungsmanagementsystemen und -prozessen

Unterstützung bei der Einführung und dem Betrieb eines Security Operations Centers (SOC), Einsatz von Sicherheitsmonitoring (SIEM) & Einführung eines geeigneten Security Incident Management Prozesses:

Verantwortlich für das Management und für die Implementierung der Gruppen ITSicherheitsstrategie zum Schutz der Geschäftsinformationen. Sicherstellen, dass Sicherheits- und Geschäftskontinuität Risiko-Entscheidungen ausgewogen sind und den externen regulatorischen und gesetzlichen Anforderungen entsprechen:

• Schaffung von Datenschutz und sicherheitsbewusster Kultur, Implementierung eines umfassenden Programms für Unternehmensinformationssicherheit und ITRisikomanagement.
• Entwicklung von Sicherheitsrichtlinien, -initiativen und -standards zur Unterstützung der Einhaltung von Vorschriften, Verlusten und Betrugs-prävention sowie von Verletzungen der Sicherheit und des Datenschutzes.
• Beratung zu potenziellen Bedrohungen, Schwachstellen und Kontrolltechniken.
• Untersuchen von Sicherheitsverletzungen, Kommunikation mit dem lokalen Datenschutz- und der Geschäftsleitung (CIO/CEO).
• Beratung der Geschäftsleitung bei der Entwicklung, Implementierung und Wartung eines starken Sicherheitsprogramms und einer starken Infrastruktur für den Datenschutz und die Datensicherheit, einschließlich Netzwerkzugriffe und Überwachungsrichtlinien.
• Überwachung der Sicherheitsstandards, -richtlinien und -verfahren des Unternehmens; Entwicklung von Verfahren zur Reaktion auf Sicherheitsvorfälle; fungiert als Kontrollstelle bei wichtigen Datenschutz- und Sicherheitsvorfällen.
• Agiert als Chief Information Security Officer, um eine starke Brücke zwischen allen Beteiligten zu schlagen und Gruppen zusammenzubringen, um Informationen und Ressourcen auszutauschen und bessere Entscheidungen und Praktiken für das Unternehmen zu schaffen.
• Budgetverantwortlicher für Informationssicherheit, Budgetkontrolle - sowie Überwachung der Leistung der Abteilungen.
• Zusammenarbeit mit den Bereichen Recht, Compliance, Sicherheit und Datenschutz des Unternehmens.
• Unterstützung bei der gesamten Businessplanung, die ein aktuelles Wissen und eine Zukunftsvision von Technologien und Systemen vermittelt.

• Bewertung des lokalen Standes der IT-Sicherheitsfunktionen gegenüber regulatorischen, qualitäts- und globalen Anforderungen und der zugrunde liegenden technischen Sicherheitsarchitektur
• Analyse des Aufwands und der Kosten; Standortstrategie einschließlich Ausbau von Ressourcen in Ländern basierend auf der Datenschutzanalyse
• Identifizierung von den wichtigsten Lücken in der Sicherheitslage der Bank und dazu Empfehlungen abgeben
• Optimierung und Nutzung von globalen Cyber-Sicherheitsressourcen, Prozessen und Technologien
• Entwicklung eines ganzheitlichen Ansatzes zur Erhöhung der CyberSicherheitsreife nach internationalem NIST-Standard
• Implementierung eines lokalen IT-Sicherheitsmodells (Target Operating Model) in Übereinstimmung mit der globalen Organisation
• Demonstrieren zu den Regulierungsbehörden, Auditoren & Assurance, wie man global, nach Region & nach Land agiert

Übernahme der Rolle als SPOC innerhalb des Teams zu:

• Beheben technischer Probleme und liefern endgültige Validierung von Änderungen (Anwendungs- und Infrastruktur-Sicherheit)
• Risiko- und Gefährdungsanalysen für die Vermögenswerte (Assets)
• Beratung operativen Teams über Sicherheitsfragen (Incident Handling)
• Sicherheitsausnahmebehandlung und Einführung von Sicherheitsüberwachung
• Kontrolle der Einhaltung von IT-Sicherheitsrichtlinien und Eskalationsprozess
• Koordination und verfolgen von Pen-Tests und Scan-Prozesse
• Disaster Recovery Pläne (Erstellen/Prüfen) & Test Teilnahme
• Pflege-Strategie mit Schwerpunkt auf regulatorische und Compliance
• Sammlung der Zulassungen von SAB (Security Architektur Board) für Änderungen an der Architektur, Aktualisierung und Anpassung der erforderlichen Artefakte

• Definition von IT Sicherheitsrichtlinien (Risiko- & Compliance getrieben) innerhalb der Bank
• Design & Implementierungen von Sicherheitskontrollen (Detektive- & Präventive Kontrollen) zur internen Netzwerkkommunikation
• Aufbau einer Monitoring-Lösung (mit Korrelation) innerhalb der IT-Infrastruktur
• Planung der Netzwerksegmentierung mit dem Ziel die Sicherheit der IT-Systemen zu erhöhen und mehr Performanz zu gewinnen
• Maßnahmen zur Kontrolle der (Admin)Zugriffsrechte von Desktop-Benutzern in Richtung Produktion
• Evaluierung und Review von Lösungen (Produkte) diverser Anbieter zum Thema Sichere Netzwerk-Virtualisierung (u. a. NFV/SDN)
• Aufbereitung zur langfristigen Einführung von Host-basierten Sicherheitskontrollen (Fokus auf Schutz der Produktion)
• Erstellung von Projekt-Artefakten (Anforderungen, Anwendungsfälle, Architektur Blue-Print, Lösungsentwürfe, Prozess Workflows, etc.)

• Ein gemeinsames UI für alle vorhandene Technologien (Ellipse, Mobil Fieldreach, Reports, GIS, etc.) wird aufgestellt. Jeder Geschäftsprozess, der nicht in den Kernsystemen behandelt werden kann, wird in der WebSphere-Portal Umgebung als Portlet oder als Modul (Geschäftslogik) implementiert. Die neuen Anforderungen werden in enger Abstimmung mit dem Kunden definiert um eine komplette Lösung sicherzustellen.
• Erstellung eines Konzeptes für das eingesetzte WebSphere-Portal, dass darauf fokussiert ist, wie darunter eine sichere und effiziente Web Seite gebaut werden sollte/musste. Dabei werden (u. a.) folgende sicherheitsrelevante Themen berücksichtigt: Security Configuration, Authentication, Authorization, Session Management, HTTPS, and external Security Managers.

Die Bank hat den Wunsch geäußert, Unterstützung bei der strukturierten Einführung von Sicherheitsaspekten in die eigene Anwendungsentwicklung zu erhalten

• Festlegung des Schutzbedarfs (Methodik für die Bank technologieunabhängig)
• Ermittlung der IT Sicherheitsanforderungen
• Bewertung der potenziellen IT-Risiken & Feststellung von Maßnahmen
• Klassifizierung des erreichten Schutzes und Bewertung der IT Restrisiken
• Definition des "Standard-Sicherheits-Level" in der Anwendungsentwicklung
• Durchführung von diversen Sicherheitstests (Review der Architektur und des Quelltexts, funktionale- und Penetrations- Tests)

• CSC PTS/MMG bietet SEPA-Mandatsmanagement für Banken und Kreditoren. Es ist ein standardisiertes, mandantenfähiges Produkt, welches sich mittels moderner Architektur leicht in bestehende ZV-Landschaften integrieren lässt (Drop-In-Lösung). 
• Im diesem Projekt wurde die vorhandene Schnittstelle erweitert um Java Stored Procedures und eine neue API programmiert. So kann PTS/MMG Fremd-produkte SEPA-konforme Mandantenverwaltung anbieten.
• Umsetzung der neun Produkt-Features gemäß Anforderungen
• Ziele-Spezifikation, Aufwandsschätzungen, PL & Controlling
• Beratung bei der Optimierung der SW-Architektur (Refactoring)
• Unterstützung bei der Implementierung einer neuen API
• Durchführung von Code- und Security-Reviews

Durchführung von Implementierungen & Tests (inklusive Qualitätssicherungen) im Rahmen des Projekts ?Implementation Identity and Access Management (IAM)?

Security in Applications (Beratung & Support): Das Ziel war die Anwendungslandschaft der MR hinsichtlich Security- und Compliance-Anforderungen zu überprüfen, Maßnahmen zur Sicherstellung dieser Anforderungen zu definieren und umzusetzen.

Security in Application Lifecycle:

• Definition der Security und Compliance-Gates im Application Lifecycle
• Aktualisierung der Prozessdokumentation ?Security in Application Lifecycle?
• Rollout des aktualisierten Prozesses ?Security in Application Lifecycle? in die IT der Munich Re

Security Plan for Applications

• Erstellung der Security Guideline und des Templates für den Security Plan
• Abstimmung der Security Guideline und der Security-Templates mit den Stakeholdern
• Definition und Koordination der Ablage (Repository) für die Security-Pläne

Business Impact Analysis

• Vorschlag für eine BIA Guideline und der BIA-Matrix
• Abstimmung der BIA Guideline mit den Stakeholdern
• Anwendung & Anpassung der BIA Guideline für die Pilot-Applikationen

Data Protection Measures (Datenschutzmaßnahmen)

• Koordinierung der technischen Maßnahmen, die zur Sicherstellung des Datenschutzes gemäß BDSG erforderlich sind
• Definition von Maßnahmen zur Maskierung-, Anonymisierung-, Verschleierung- & Verschlüsselung von besonderen sensiblen Daten 

Im diesem Security Service wurden u. a. folgende Leistungen erbracht:

Guard (Global User Access Rights Distribution) ist die zentrale, verbindliche Autorisierungskomponente für alle Nicht SAP-Anwendungen bei Münchener Rück Versicherungen.

Im diesem Projekt wurden folgende Leistungen erbracht: