Durchführen von manuellen Penetrationstests um Sicherheitslücken aufzudecken, Schwachstellen und Design-Schwächen in Web-Anwendungen, Online-Shops und IT-Strukturen zu finden. Erstellen von Reports mit Empfehlungen an den Kunden, um die Lücken zu schließen. Verantwortlich für Verkauf, Projektentwicklung und termingerechten Projektabschluss.
Design und
Ausführen von manuellen Penetrationstests von Web-Anwendungen als
Teil des Software-Engineerings im B2B/B2C-Umfeld auf Basis von
OWASP.
Auswahl von zugelassenen Dienstleistern für Penetrationstests, Bestätigung von Umfang und Aufwand der Penetrationstests, Überprüfen der Reports hinsichtlich Qualität und Leistungsumfang, verantwortlich für die Abnahme von Penetrationstests von Assets, Kontrolle der Qualität der Tests und der Reports, Berichterstattung über Eckdaten der Tests für das Management, Sicherstellung der Beseitigung von den im Penetrationstest gefundenen Lücken.
Verantwortung für die Durchführung der Penetrationstests der festgelegten Assets (Webanwendungen und Infrastruktur), Kontrolle der Reports, um Sicherheitsstandards und Anforderungen der Europäischen Zentralbank einzuhalten und umzusetzen.
Erstellen von Reports für das Management, um Probleme in der IT-Security zu evaluieren, Lösungsmöglichkeiten zu konzeptionieren und Lösungen aufzubereiten. Diese sind Basis, um grundlegende steuernde Entscheidungen im Bereich der IT-Security zu treffen.
Unterstützung im Prozessdesign und Umsetzung für Management Pentrationstests
Durchführen von manuellen Penetrationstests um Sicherheitslücken
aufzudecken, Schwachstellen und Design-Schwächen in Web-Anwendungen,
Online-Shops und IT-Strukturen zu finden. Erstellen von Reports mit
Empfehlungen an den Kunden, um die Lücken zu schließen.
Verantwortlich für Verkauf, Projektentwicklung und termingerechten
Projektabschluss.
Unterstützen von Kunden bei Fragen von
Computermissbrauch/Computerkriminalität auf der Basis von fundierter
IT-Forensik. Hilfestellung der Kunden in der elektronischen
Beweissicherung und als gerichtlich beeideter Sachverständiger (AT).
Design und Ausführen von manuellen Penetrationstests von Web-Anwendungen als Teil des Software-Engineerings im B2B/B2C-Umfeld auf Basis von OWASP. Schwerwiegende Lücken in Autorisierung/Identifizierung von Online-Shops von Kunden in Produktion und Handel wurden entdeckt.
Ausführen von externen und internen Penetrationstests von IT-Strukturen für Flughafen, Produktion, Versicherung, Handelsunternehmen, Steuerberater- und Anwaltskanzleien, Software-Engineering-Unternehmen, Musikvereine, Stadtwerkebetriebe, Tourismus und Großhandel.
Erfolgreiches Incident-Intrusion-Handling mit anschließender IT-Forensik nach einem Hackereinbruch in einem deutschen Medienunternehmen.
Durchführen von manuellen Penetrationstests um Sicherheitslücken aufzudecken, Schwachstellen und Design-Schwächen in Web-Anwendungen, Online-Shops und IT-Strukturen zu finden. Erstellen von Reports mit Empfehlungen an den Kunden, um die Lücken zu schließen. Verantwortlich für Verkauf, Projektentwicklung und termingerechten Projektabschluss.
Design und Ausführen von manuellen Penetrationstests von Web-Anwendungen als Teil des Software-Engineerings im B2B/B2C-Umfeld auf Basis von OWASP.
Durchführen von manuellen Penetrationstests um Sicherheitslücken aufzudecken, Schwachstellen und Design-Schwächen in Web-Anwendungen und IT-Strukturen zu finden. Erstellen von Reports mit Empfehlungen an den Kunden, um die Lücken zu schließen. Verantwortlich für Verkauf, Projektentwicklung und termingerechten Projektabschluss.
Design und Ausführen von manuellen Penetrationstests von Web-Anwendungen als Teil des Software-Engineerings im B2B/B2C-Umfeld auf Basis von OWASP.
Durchführen von manuellen Penetrationstests um Sicherheitslücken aufzudecken, Schwachstellen und Design-Schwächen in IT-Strukturen zu finden. Erstellen von Reports mit Empfehlungen an den Kunden, um die Lücken zu schließen. Verantwortlich für Verkauf, Projektentwicklung und termingerechten Projektabschluss.
Design und Ausführen von manuellen Penetrationstests als Teil des Software-Engineerings im B2B/B2C-Umfeld auf Basis von OWASP.
Durchführen von manuellen Penetrationstests um Sicherheitslücken aufzudecken, Schwachstellen und Design-Schwächen in Web-Anwendungen, Online-Shops und IT-Strukturen zu finden. Erstellen von Reports mit Empfehlungen an den Kunden, um die Lücken zu schließen. Verantwortlich für Verkauf, Projektentwicklung und termingerechten Projektabschluss.
Design und Ausführen von manuellen Penetrationstests von Web-Anwendungen als Teil des Software-Engineerings im B2B/B2C-Umfeld auf Basis von OWASP.
Durchführen von manuellen Penetrationstests um Sicherheitslücken aufzudecken, Schwachstellen und Design-Schwächen in Web-Anwendungen und IT-Strukturen zu finden. Erstellen von Reports mit Empfehlungen an den Kunden, um die Lücken zu schließen. Verantwortlich für Verkauf, Projektentwicklung und termingerechten Projektabschluss.
Design und Ausführen von manuellen Penetrationstests von Web-Anwendungen als Teil des Software-Engineerings im B2B/B2C-Umfeld auf Basis von OWASP.
Beweissicherung, Analyse und Auswertung von elektronischen Beweisen.
Es galt Hinweise für Gewalteinwirkungen in Nachrichten und Sensoren des Mobiltelefons zu prüfen.
Beweissicherung, Analyse und Auswertung von elektronischen Beweisen.
Forensisches Backup zweier Festplatten. Forensische Analysen bezüglich eines USB-Sticks auf einem Windows Computer.
Beweissicherung, Analyse und Auswertung von elektronischen Beweisen.
Ein Unternehmen meldete die Kosten für eine neue Hardware und deren Installation als Versicherungsfall eines Hackerangriffs.
Durchführen von manuellen Penetrationstests um Sicherheitslücken aufzudecken, Schwachstellen und Design-Schwächen in Web-Anwendungen und IT-Strukturen zu finden. Erstellen von Reports mit Empfehlungen an den Kunden, um die Lücken zu schließen. Verantwortlich für Verkauf, Projektentwicklung und termingerechten Projektabschluss.
Design und
Ausführen von manuellen Penetrationstests von Web-Anwendungen als
Teil des Software-Engineerings im B2B/B2C-Umfeld auf Basis von
OWASP.
Auswahl von zugelassenen Dienstleistern für Penetrationstests, Bestätigung von Umfang und Aufwand der Penetrationstests, Überprüfen der Reports hinsichtlich Qualität und Leistungsumfang, verantwortlich für die Abnahme von Penetrationstests von Assets, Kontrolle der Qualität der Tests und der Reports, Berichterstattung über Eckdaten der Tests für das Management, Sicherstellung der Beseitigung von den im Penetrationstest gefundenen Lücken.
Verantwortung für die Durchführung der Penetrationstests der festgelegten Assets (Webanwendungen und Infrastruktur), Kontrolle der Reports, um Sicherheitsstandards und Anforderungen der Europäischen Zentralbank einzuhalten und umzusetzen.
Erstellen von Reports für das Management, um Probleme in der IT-Security zu evaluieren, Lösungsmöglichkeiten zu konzeptionieren und Lösungen aufzubereiten. Diese sind Basis, um grundlegende steuernde Entscheidungen im Bereich der IT-Security zu treffen.
Hilfestellung bei Kunden in der elektronischen Beweissicherung und Datenwiederherstellung als Sachverständiger.
Untersuchung einer Behauptung, dass Mitarbeiter Daten des Unternehmens abgezogen habe. IT-Forensische wurden die Beweise gesichert, ausgewertet und ein Gutachten erstellt.
Auswahl von zugelassenen Dienstleistern für Penetrationstests, Bestätigung von Umfang und Aufwand der Penetrationstests, Überprüfen der Reports hinsichtlich Qualität und Leistungsumfang, verantwortlich für die Abnahme von Penetrationstests von Assets, Kontrolle der Qualität der Tests und der Reports, Berichterstattung über Eckdaten der Tests für das Management, Sicherstellung der Beseitigung von den im Penetrationstest gefundenen Lücken.
Verantwortung für die Durchführung der Penetrationstests der festgelegten Assets (Webanwendungen und Infrastruktur), Kontrolle der Reports, um Sicherheitsstandards und Anforderungen der Europäischen Zentralbank einzuhalten und umzusetzen.
Erstellen von Reports für das Management, um Probleme in der IT-Security zu evaluieren, Lösungsmöglichkeiten zu konzeptionieren und Lösungen aufzubereiten. Diese sind Basis, um grundlegende steuernde Entscheidungen im Bereich der IT-Security zu treffen.
Seit mehr als 2 Jahren wurde an einem neuen B2B-Portal im Unternehmen entwickelt. Kunden des Unternehmens können Artikel bestellen, die dann gefertigt und gelagert werden. Große Handelsketten, Banken, Versicherungen u.a. haben Zugänge, die von der Rechtestruktur sehr detailliert aufgebaut sind.
Es galt die Web-Anwendung auf Sicherheitslücken und Sicherheitsprobleme zu untersuchen. Die Vorgabe war, ein manuellen Penetrationstest, in der das System umfassend getestet wurde, inkl. Logischer Fehler, Fehler in der Authentifizierung, Fehler in der Rechtevergabe.
Zeitraum: 01/2014 - heute
Projekte:
Zeitraum: 06/2010 - 12/2013
Branche: IT-Dienstleister
Projekte: * Vortragender für Forensik-Themen an der Fachhochschule
in Hagenberg in Oberösterreich
* Penetrationstest des Online-Shopsystems,
Sportartikelvertrieb in Mitteleuropa, 1400 Mitarbeiter
Es galt den Shop nach den einzelnen Stufen, wie nach OWASP gefordert,
zu testen und Sicherheitslücken aufzuzeigen. Es wurden einige nicht
unrelevante Umsetzungsfehler aufgezeigt, die vom Kunden nachgebessert
wurden. Der größe Fehler der Web-Anwendung war, dass die logischen
Abläufe nicht besonders "resistent" waren. So konnte ein Kunde
einen anderen über die Manipulation der eindeutigen KundenID -
jedoch nicht über die Benutzeroberfläche - aussperren.
* Forensisches Gutachten, Verdacht auf Datenausspähung,
Metallverarbeitender Betrieb in der Automobilbranche in Deutschland,
250 Mitarbeiter
* Forensisches Gutachten, Nachweis einer Nichtzurechenbarkeit eines
Dokumentes, Verlagsunternehmen im Bereich Medizin in Bayern
*Penetrationstest für einen Tiroler Tourismus- und Verkehrsbetrieb
* Penetrationstest einer Infrastruktur einer österreichischen
Kommunikationsschnittstelle für die personalisierte Druckerzeugung,
80 Mitarbeiter
Bei diesem Kunden mussten die Online-Plattform für Fotobücher
und andere Produkte aus dem Gesichtspunkt der Sicherheit evaluiert
werden. Hier stellte sich heraus, dass die Entwicklungsfirma, deren
Produkt eingesetzt wurde, prinzipielle und seit Jahren bekannte
Richtlinien des Softwaredesigns nicht umgesetzt hatte. So war es
möglich, den Rabatt auf 99% hoch zu setzen. Der Kunde musste
bis zum neuen Produktrelease die Preise jeder Bestellung einer
Glaubwürdigkeitsprüfung unterziehen. Das war umso schwerwiegender,
als Kunden international (EU-weit) bedient wurden und dies bei
einem nicht unerheblichen Bestellaufkommen.
* Datenwiederherstellung von überschriebenen Datenträgern
* Datenwiederherstellung von unlesbarem RAID-System
* Forensisches Gutachten bei Verdacht auf Keylogger/Backdoor für
ein Unternehmen in der Landwirtschaftsbranche
* Interner Penetrationstest der Server und Infrastruktur einer
österreichischen Versicherung und Krankenfürsorgeeinrichtung
* IT-Risikomanagement eines Unternehmens in der Branche
Unternehmensberatung
* Penetrationstest eines Industrie-Unternehmens im Umfeld der
erneuerbaren Energie
* Forensisches Gutachten über vermuteten WLAN-Missbrauch eines
Hotelbetriebs
DV-Basis: ISO 27001, IT-Grundschutz, OWASP, OSSTMM, TCP/IP, SANS GCIH-Mentor,
SANS GFA-Mentor
-------------------------------
Zeitraum: 11/2007 - 05/2010
Branche: IT-Dienstleister
Projekt: Beratung von Firmen in Bereichen IT-Sicherheit
Erhähung der Sicherheitsstufe durch Hinführung der IT an IT-Grundschutz
Penetrationstests von Web-Shops und Servern
IT-Projektmanagement für Kunden
Hilfe für Etablierung eines Informationssicherheits-managmentsystems nach
ISO 27001
Installation und Administration von Linux basierenden Mail-Gateways und
Web-Proxies für größere Unternehmen
Installierung und Administration von Web-Gateways
Installierung und Administration von Monitoringlösungen mit Nagios
Installierung und Administration von Hochverfügbarkeitslösungen
Installierung und Administration von Server-Virtualisierungen
Entwicklung sehr effizienter Anti-Spam-Lösungen auf Linux-Basis
Entwicklung von Administrationsskripten für Linux-Server in Perl
Entwicklung von Web-Oberflächen in Perl
Administration von verschiedenen Firewalls
Trainer für die Themen IT-Security Handling und IT-Forensik
Vortragender für Forensik-Themen
DV-Basis: ISO 27001, IT-Grundschutz, OWASP, OSSTMM, TCP/IP, VMware, Xen, Postfix, Debian,
Suse, Ubuntu, Windows, Nagios, Perl, SMTP, VMware, Xen, TWiki, MediaWiki,
IPTables, Squid, Apache
Teamgröße: ca. 10
-------------------------------
Zeitraum: 01/2005 - 10/2007
Branche: IT-Dienstleister
Projekt: Penetrationstest von Netzwerkanbindungen, Penetrationstest von Web-Shops,
Penetratioinstest von Servern, Forensische Untersuchungen, Incident Handling,
Beratung von Firmen in Bereichen IT-Sicherheit, Vorträge und Schulungen
DV-Basis: OWASP, OSSTMM, TCP/IP,
Teamgröße: ca. 5
-------------------------------
Zeitraum: 09/2003 - 09/2004
Branche: IT-Dienstleister
Projekt: Penetrationstest von Netzwerkanbindungen, Penetrationstest von Web-Shops,
Penetratioinstest von Servern, Forensische Untersuchungen, Incident Handling,
Beratung von Firmen in Bereichen IT-Sicherheit, Vorträge und Schulungen
DV-Basis: OWASP, OSSTMM, TCP/IP,
Teamgröße: ca. 5
------------------------------
Zeitraum: 09/2000 - 04/2003
Branche: Softwareentwicklung
Projekt: Entwicklung, Planung und Portierung von Software im Bereich Enterprise Management,
Testen, Support, Planung und durchführung spezieller Anpassungen für Großkunden
DV-Basis: C, C++, Perl, Patrol (Monitoringsoftware)
Plattform: Linux, Windows, Solaris, HP-UX
Teamgröße: vor Ort ca. 10, weltweit ca. 50
06/2007 - aktuell, SANS, GIAC Certified Forensik Analyst
02/2004 - aktuell, SANS, GIAC Certified Incident Handler
04/2009 Der Datenschutzbeauftragte im Unternehmen
03/1994 - 06/2000 Universitätsstudium Angewandte Informatik (Salzburg, AT)
Am ehesten ist ein Penetrationstester in den Projekten als (Senior-)Consultant eingebunden.
- Simple Mail Transfering Protokoll (SMTP)
- Bundesdatenschutzgesetz, (DSG), D
- Datenschutzgesetz (DSG2000), A
Von SANS zertifiziert:
Gerichtlich zertifizierter Sachverständiger für "Forensische Datensicherung, Datenrekonstruktion, Datenauswertung" in Österreich.
Durchführen von manuellen Penetrationstests um Sicherheitslücken aufzudecken, Schwachstellen und Design-Schwächen in Web-Anwendungen, Online-Shops und IT-Strukturen zu finden. Erstellen von Reports mit Empfehlungen an den Kunden, um die Lücken zu schließen. Verantwortlich für Verkauf, Projektentwicklung und termingerechten Projektabschluss.
Design und
Ausführen von manuellen Penetrationstests von Web-Anwendungen als
Teil des Software-Engineerings im B2B/B2C-Umfeld auf Basis von
OWASP.
Auswahl von zugelassenen Dienstleistern für Penetrationstests, Bestätigung von Umfang und Aufwand der Penetrationstests, Überprüfen der Reports hinsichtlich Qualität und Leistungsumfang, verantwortlich für die Abnahme von Penetrationstests von Assets, Kontrolle der Qualität der Tests und der Reports, Berichterstattung über Eckdaten der Tests für das Management, Sicherstellung der Beseitigung von den im Penetrationstest gefundenen Lücken.
Verantwortung für die Durchführung der Penetrationstests der festgelegten Assets (Webanwendungen und Infrastruktur), Kontrolle der Reports, um Sicherheitsstandards und Anforderungen der Europäischen Zentralbank einzuhalten und umzusetzen.
Erstellen von Reports für das Management, um Probleme in der IT-Security zu evaluieren, Lösungsmöglichkeiten zu konzeptionieren und Lösungen aufzubereiten. Diese sind Basis, um grundlegende steuernde Entscheidungen im Bereich der IT-Security zu treffen.
Unterstützung im Prozessdesign und Umsetzung für Management Pentrationstests
Durchführen von manuellen Penetrationstests um Sicherheitslücken
aufzudecken, Schwachstellen und Design-Schwächen in Web-Anwendungen,
Online-Shops und IT-Strukturen zu finden. Erstellen von Reports mit
Empfehlungen an den Kunden, um die Lücken zu schließen.
Verantwortlich für Verkauf, Projektentwicklung und termingerechten
Projektabschluss.
Unterstützen von Kunden bei Fragen von
Computermissbrauch/Computerkriminalität auf der Basis von fundierter
IT-Forensik. Hilfestellung der Kunden in der elektronischen
Beweissicherung und als gerichtlich beeideter Sachverständiger (AT).
Design und Ausführen von manuellen Penetrationstests von Web-Anwendungen als Teil des Software-Engineerings im B2B/B2C-Umfeld auf Basis von OWASP. Schwerwiegende Lücken in Autorisierung/Identifizierung von Online-Shops von Kunden in Produktion und Handel wurden entdeckt.
Ausführen von externen und internen Penetrationstests von IT-Strukturen für Flughafen, Produktion, Versicherung, Handelsunternehmen, Steuerberater- und Anwaltskanzleien, Software-Engineering-Unternehmen, Musikvereine, Stadtwerkebetriebe, Tourismus und Großhandel.
Erfolgreiches Incident-Intrusion-Handling mit anschließender IT-Forensik nach einem Hackereinbruch in einem deutschen Medienunternehmen.
Durchführen von manuellen Penetrationstests um Sicherheitslücken aufzudecken, Schwachstellen und Design-Schwächen in Web-Anwendungen, Online-Shops und IT-Strukturen zu finden. Erstellen von Reports mit Empfehlungen an den Kunden, um die Lücken zu schließen. Verantwortlich für Verkauf, Projektentwicklung und termingerechten Projektabschluss.
Design und Ausführen von manuellen Penetrationstests von Web-Anwendungen als Teil des Software-Engineerings im B2B/B2C-Umfeld auf Basis von OWASP.
Durchführen von manuellen Penetrationstests um Sicherheitslücken aufzudecken, Schwachstellen und Design-Schwächen in Web-Anwendungen und IT-Strukturen zu finden. Erstellen von Reports mit Empfehlungen an den Kunden, um die Lücken zu schließen. Verantwortlich für Verkauf, Projektentwicklung und termingerechten Projektabschluss.
Design und Ausführen von manuellen Penetrationstests von Web-Anwendungen als Teil des Software-Engineerings im B2B/B2C-Umfeld auf Basis von OWASP.
Durchführen von manuellen Penetrationstests um Sicherheitslücken aufzudecken, Schwachstellen und Design-Schwächen in IT-Strukturen zu finden. Erstellen von Reports mit Empfehlungen an den Kunden, um die Lücken zu schließen. Verantwortlich für Verkauf, Projektentwicklung und termingerechten Projektabschluss.
Design und Ausführen von manuellen Penetrationstests als Teil des Software-Engineerings im B2B/B2C-Umfeld auf Basis von OWASP.
Durchführen von manuellen Penetrationstests um Sicherheitslücken aufzudecken, Schwachstellen und Design-Schwächen in Web-Anwendungen, Online-Shops und IT-Strukturen zu finden. Erstellen von Reports mit Empfehlungen an den Kunden, um die Lücken zu schließen. Verantwortlich für Verkauf, Projektentwicklung und termingerechten Projektabschluss.
Design und Ausführen von manuellen Penetrationstests von Web-Anwendungen als Teil des Software-Engineerings im B2B/B2C-Umfeld auf Basis von OWASP.
Durchführen von manuellen Penetrationstests um Sicherheitslücken aufzudecken, Schwachstellen und Design-Schwächen in Web-Anwendungen und IT-Strukturen zu finden. Erstellen von Reports mit Empfehlungen an den Kunden, um die Lücken zu schließen. Verantwortlich für Verkauf, Projektentwicklung und termingerechten Projektabschluss.
Design und Ausführen von manuellen Penetrationstests von Web-Anwendungen als Teil des Software-Engineerings im B2B/B2C-Umfeld auf Basis von OWASP.
Beweissicherung, Analyse und Auswertung von elektronischen Beweisen.
Es galt Hinweise für Gewalteinwirkungen in Nachrichten und Sensoren des Mobiltelefons zu prüfen.
Beweissicherung, Analyse und Auswertung von elektronischen Beweisen.
Forensisches Backup zweier Festplatten. Forensische Analysen bezüglich eines USB-Sticks auf einem Windows Computer.
Beweissicherung, Analyse und Auswertung von elektronischen Beweisen.
Ein Unternehmen meldete die Kosten für eine neue Hardware und deren Installation als Versicherungsfall eines Hackerangriffs.
Durchführen von manuellen Penetrationstests um Sicherheitslücken aufzudecken, Schwachstellen und Design-Schwächen in Web-Anwendungen und IT-Strukturen zu finden. Erstellen von Reports mit Empfehlungen an den Kunden, um die Lücken zu schließen. Verantwortlich für Verkauf, Projektentwicklung und termingerechten Projektabschluss.
Design und
Ausführen von manuellen Penetrationstests von Web-Anwendungen als
Teil des Software-Engineerings im B2B/B2C-Umfeld auf Basis von
OWASP.
Auswahl von zugelassenen Dienstleistern für Penetrationstests, Bestätigung von Umfang und Aufwand der Penetrationstests, Überprüfen der Reports hinsichtlich Qualität und Leistungsumfang, verantwortlich für die Abnahme von Penetrationstests von Assets, Kontrolle der Qualität der Tests und der Reports, Berichterstattung über Eckdaten der Tests für das Management, Sicherstellung der Beseitigung von den im Penetrationstest gefundenen Lücken.
Verantwortung für die Durchführung der Penetrationstests der festgelegten Assets (Webanwendungen und Infrastruktur), Kontrolle der Reports, um Sicherheitsstandards und Anforderungen der Europäischen Zentralbank einzuhalten und umzusetzen.
Erstellen von Reports für das Management, um Probleme in der IT-Security zu evaluieren, Lösungsmöglichkeiten zu konzeptionieren und Lösungen aufzubereiten. Diese sind Basis, um grundlegende steuernde Entscheidungen im Bereich der IT-Security zu treffen.
Hilfestellung bei Kunden in der elektronischen Beweissicherung und Datenwiederherstellung als Sachverständiger.
Untersuchung einer Behauptung, dass Mitarbeiter Daten des Unternehmens abgezogen habe. IT-Forensische wurden die Beweise gesichert, ausgewertet und ein Gutachten erstellt.
Auswahl von zugelassenen Dienstleistern für Penetrationstests, Bestätigung von Umfang und Aufwand der Penetrationstests, Überprüfen der Reports hinsichtlich Qualität und Leistungsumfang, verantwortlich für die Abnahme von Penetrationstests von Assets, Kontrolle der Qualität der Tests und der Reports, Berichterstattung über Eckdaten der Tests für das Management, Sicherstellung der Beseitigung von den im Penetrationstest gefundenen Lücken.
Verantwortung für die Durchführung der Penetrationstests der festgelegten Assets (Webanwendungen und Infrastruktur), Kontrolle der Reports, um Sicherheitsstandards und Anforderungen der Europäischen Zentralbank einzuhalten und umzusetzen.
Erstellen von Reports für das Management, um Probleme in der IT-Security zu evaluieren, Lösungsmöglichkeiten zu konzeptionieren und Lösungen aufzubereiten. Diese sind Basis, um grundlegende steuernde Entscheidungen im Bereich der IT-Security zu treffen.
Seit mehr als 2 Jahren wurde an einem neuen B2B-Portal im Unternehmen entwickelt. Kunden des Unternehmens können Artikel bestellen, die dann gefertigt und gelagert werden. Große Handelsketten, Banken, Versicherungen u.a. haben Zugänge, die von der Rechtestruktur sehr detailliert aufgebaut sind.
Es galt die Web-Anwendung auf Sicherheitslücken und Sicherheitsprobleme zu untersuchen. Die Vorgabe war, ein manuellen Penetrationstest, in der das System umfassend getestet wurde, inkl. Logischer Fehler, Fehler in der Authentifizierung, Fehler in der Rechtevergabe.
Zeitraum: 01/2014 - heute
Projekte:
Zeitraum: 06/2010 - 12/2013
Branche: IT-Dienstleister
Projekte: * Vortragender für Forensik-Themen an der Fachhochschule
in Hagenberg in Oberösterreich
* Penetrationstest des Online-Shopsystems,
Sportartikelvertrieb in Mitteleuropa, 1400 Mitarbeiter
Es galt den Shop nach den einzelnen Stufen, wie nach OWASP gefordert,
zu testen und Sicherheitslücken aufzuzeigen. Es wurden einige nicht
unrelevante Umsetzungsfehler aufgezeigt, die vom Kunden nachgebessert
wurden. Der größe Fehler der Web-Anwendung war, dass die logischen
Abläufe nicht besonders "resistent" waren. So konnte ein Kunde
einen anderen über die Manipulation der eindeutigen KundenID -
jedoch nicht über die Benutzeroberfläche - aussperren.
* Forensisches Gutachten, Verdacht auf Datenausspähung,
Metallverarbeitender Betrieb in der Automobilbranche in Deutschland,
250 Mitarbeiter
* Forensisches Gutachten, Nachweis einer Nichtzurechenbarkeit eines
Dokumentes, Verlagsunternehmen im Bereich Medizin in Bayern
*Penetrationstest für einen Tiroler Tourismus- und Verkehrsbetrieb
* Penetrationstest einer Infrastruktur einer österreichischen
Kommunikationsschnittstelle für die personalisierte Druckerzeugung,
80 Mitarbeiter
Bei diesem Kunden mussten die Online-Plattform für Fotobücher
und andere Produkte aus dem Gesichtspunkt der Sicherheit evaluiert
werden. Hier stellte sich heraus, dass die Entwicklungsfirma, deren
Produkt eingesetzt wurde, prinzipielle und seit Jahren bekannte
Richtlinien des Softwaredesigns nicht umgesetzt hatte. So war es
möglich, den Rabatt auf 99% hoch zu setzen. Der Kunde musste
bis zum neuen Produktrelease die Preise jeder Bestellung einer
Glaubwürdigkeitsprüfung unterziehen. Das war umso schwerwiegender,
als Kunden international (EU-weit) bedient wurden und dies bei
einem nicht unerheblichen Bestellaufkommen.
* Datenwiederherstellung von überschriebenen Datenträgern
* Datenwiederherstellung von unlesbarem RAID-System
* Forensisches Gutachten bei Verdacht auf Keylogger/Backdoor für
ein Unternehmen in der Landwirtschaftsbranche
* Interner Penetrationstest der Server und Infrastruktur einer
österreichischen Versicherung und Krankenfürsorgeeinrichtung
* IT-Risikomanagement eines Unternehmens in der Branche
Unternehmensberatung
* Penetrationstest eines Industrie-Unternehmens im Umfeld der
erneuerbaren Energie
* Forensisches Gutachten über vermuteten WLAN-Missbrauch eines
Hotelbetriebs
DV-Basis: ISO 27001, IT-Grundschutz, OWASP, OSSTMM, TCP/IP, SANS GCIH-Mentor,
SANS GFA-Mentor
-------------------------------
Zeitraum: 11/2007 - 05/2010
Branche: IT-Dienstleister
Projekt: Beratung von Firmen in Bereichen IT-Sicherheit
Erhähung der Sicherheitsstufe durch Hinführung der IT an IT-Grundschutz
Penetrationstests von Web-Shops und Servern
IT-Projektmanagement für Kunden
Hilfe für Etablierung eines Informationssicherheits-managmentsystems nach
ISO 27001
Installation und Administration von Linux basierenden Mail-Gateways und
Web-Proxies für größere Unternehmen
Installierung und Administration von Web-Gateways
Installierung und Administration von Monitoringlösungen mit Nagios
Installierung und Administration von Hochverfügbarkeitslösungen
Installierung und Administration von Server-Virtualisierungen
Entwicklung sehr effizienter Anti-Spam-Lösungen auf Linux-Basis
Entwicklung von Administrationsskripten für Linux-Server in Perl
Entwicklung von Web-Oberflächen in Perl
Administration von verschiedenen Firewalls
Trainer für die Themen IT-Security Handling und IT-Forensik
Vortragender für Forensik-Themen
DV-Basis: ISO 27001, IT-Grundschutz, OWASP, OSSTMM, TCP/IP, VMware, Xen, Postfix, Debian,
Suse, Ubuntu, Windows, Nagios, Perl, SMTP, VMware, Xen, TWiki, MediaWiki,
IPTables, Squid, Apache
Teamgröße: ca. 10
-------------------------------
Zeitraum: 01/2005 - 10/2007
Branche: IT-Dienstleister
Projekt: Penetrationstest von Netzwerkanbindungen, Penetrationstest von Web-Shops,
Penetratioinstest von Servern, Forensische Untersuchungen, Incident Handling,
Beratung von Firmen in Bereichen IT-Sicherheit, Vorträge und Schulungen
DV-Basis: OWASP, OSSTMM, TCP/IP,
Teamgröße: ca. 5
-------------------------------
Zeitraum: 09/2003 - 09/2004
Branche: IT-Dienstleister
Projekt: Penetrationstest von Netzwerkanbindungen, Penetrationstest von Web-Shops,
Penetratioinstest von Servern, Forensische Untersuchungen, Incident Handling,
Beratung von Firmen in Bereichen IT-Sicherheit, Vorträge und Schulungen
DV-Basis: OWASP, OSSTMM, TCP/IP,
Teamgröße: ca. 5
------------------------------
Zeitraum: 09/2000 - 04/2003
Branche: Softwareentwicklung
Projekt: Entwicklung, Planung und Portierung von Software im Bereich Enterprise Management,
Testen, Support, Planung und durchführung spezieller Anpassungen für Großkunden
DV-Basis: C, C++, Perl, Patrol (Monitoringsoftware)
Plattform: Linux, Windows, Solaris, HP-UX
Teamgröße: vor Ort ca. 10, weltweit ca. 50
06/2007 - aktuell, SANS, GIAC Certified Forensik Analyst
02/2004 - aktuell, SANS, GIAC Certified Incident Handler
04/2009 Der Datenschutzbeauftragte im Unternehmen
03/1994 - 06/2000 Universitätsstudium Angewandte Informatik (Salzburg, AT)
Am ehesten ist ein Penetrationstester in den Projekten als (Senior-)Consultant eingebunden.
- Simple Mail Transfering Protokoll (SMTP)
- Bundesdatenschutzgesetz, (DSG), D
- Datenschutzgesetz (DSG2000), A
Von SANS zertifiziert:
Gerichtlich zertifizierter Sachverständiger für "Forensische Datensicherung, Datenrekonstruktion, Datenauswertung" in Österreich.
"[...] Der Consultant hat mich durch seine kompetente Art und natürlich vor allem durch die Ergebnisse überzeugt. [...] Trotz anfänglicher Skepsis hatte ich nie den Eindruck, dass hier unnötiges Geld oder überflüssige Zeit in Anspruch genommen werden könnte. Aus diesem Grunde kann ich den Consultant als sehr kompetent und vertrauenswürdig weiter empfehlen. Schließlich möchte man die eigene 'Berufszentrale' nicht irgend jemand anvertrauen. Ich danke dem Consultant und seinem Team für ihren wertvollen und - wie es sich bei mir herausgestellt hat - höchst notwendigen Dienst."
— Projekt Schwachstellenanalyse von Computersystemen, 04/05 - 04/05
Referenz durch Geschäftsführer, Institut für Bildung und Beratung, vom 05.03.04
"[...] Diese Überprüfung erwies sich als äußerst sinnvoll, zeigte sie uns doch Schwachstellen auf, die in unserem Fall gravierender waren, als von uns angenommen. So manche Schlupflöcher wurden offensichtlich. Die von der Firma des Consultants durchgeführte Sicherheitsüberprüfung erfolgte zu unserer vollsten Zufriedenheit. Hervorzuheben ist, dass der laufende Betrieb durch die Überprüfung zu keinem Zeitpunkt beeinträchtigt war. [...] Der Consultant ist absolut vertrauenswürdig und arbeitete entsprechend professionell. Wir fühlten uns optimal beraten und betreut."
— Projekt Schwachstellenanalyse von Computersystemen, 03/05 - 03/05
Referenz durch gemeinnützigen Verein vom 30.03.04
"[...] Der IT-Spezialist arbeitete sich äußerst zügig in sein anspruchsvolles Aufgabengebiet ein. Er verfügt über umfassende und fundierte Fachkenntnisse in der Software-Entwicklung, die er sehr erfolgreich einsetzt. Mit sicherem Blick für das Wesentliche erfasste er rasch komplexe Sachverhalte, analysierte sie zutreffend und entwickelte jederzeit praktikable Problemlösungen. Sein dafür notwendige Urteilskraft war geprägt durch klares logisches Denken. Dabei arbeitete er stets selbständig, zuverlässig und genau. Er trug damit wesentlich dazu bei, unserem Unternehmen durch erfolgreiche Integration und Optimierung einen wichtigen Großkundenauftrag zu sichern. Der Consultant zeichnet sich durch hohe Leistungsbereitschaft und ein großes Maß an Eigeninitiative aus und war daher auch umfangreichem Arbeitsanfall jederzeit gewachsen. Neben seinen Arbeitsaufgaben hat er sich eigenverantwortlich fortgebildet und die erworbenen Kenntnisse zuverlässig in der Praxis umgesetzt. Der Consultant beherrschte seinen Arbeitsbereich umfassend und sicher
und erfüllte die ihm übertragenen Aufgaben jederzeit zu unserer vollen Zufriedenheit. Sein persönliches Verhalten war immer einwandfrei. Von Vorgesetzten wie Kollegen wurde er gleichermaßen sehr geschätzt. [...]"— Projekt Entwicklung, Planung und Portierung von Software, 09/00 - 04/03
Referenz durch Manager, Softwarehaus (5000 MA weltweit), vom 31.03.03