Durchführen von manuellen Penetrationstests um Sicherheitslücken aufzudecken und um Schwachstellen und Design-Schwächen in Web-Anwendungen und IT-Strukturen zu finden. Erstellen von Reports mit Empfehlungen an den Kunden, um die Lücken zu schließen. Verantwortlich für Verkauf, Projektentwicklung und termingerechten Projektabschluss.
Design und Ausführen von manuellen Penetrationstests von Web-Anwendungen als Teil des Software-Engineerings im B2B/B2C-Umfeld auf Basis von OWASP.
Durchführen von manuellen Penetrationstests um Sicherheitslücken aufzudecken und um Schwachstellen und Design-Schwächen in Web-Anwendungen und IT-Strukturen zu finden. Erstellen von Reports mit Empfehlungen an den Kunden, um die Lücken zu schließen. Verantwortlich für Verkauf, Projektentwicklung und termingerechten Projektabschluss.
Design und
Ausführen von manuellen Penetrationstests von Web-Anwendungen als
Teil des Software-Engineerings im B2B/B2C-Umfeld auf Basis von
OWASP.
der Beseitigung von den im Penetrationstest gefundenen Lücken.
Unterstützen von Kunden bei Fragen von Computermissbrauch und Computerkriminalität auf der Basis von fundierter IT-Forensik. Hilfestellung für Kunden in der elektronischen Beweissicherung und als Sachverständiger.
Letzten Kundenprojekte:
der Beseitigung von den im Penetrationstest gefundenen Lücken.
Hilfestellung bei Kunden in der elektronischen Beweissicherung und Datenwiederherstellung als Sachverständiger.
Untersuchung einer Behauptung, dass Mitarbeiter Daten des Unternehmens abgezogen habe. IT-Forensische wurden die Beweise gesichert, ausgewertet und ein Gutachten erstellt.
Auswahl von zugelassenen Dienstleistern für Penetrationstests, Bestätigung von Umfang und Aufwand der Penetrationstests, Überprüfen der Reports hinsichtlich Qualität und Leistungsumfang, verantwortlich für die Abnahme von Penetrationstests von Assets, Kontrolle der Qualität der Tests und der Reports, Berichterstattung über Eckdaten der Tests für das Management, Sicherstellung der Beseitigung von den im Penetrationstest gefundenen Lücken.
Verantwortung für die Durchführung der Penetrationstests der festgelegten Assets (Webanwendungen und Infrastruktur), Kontrolle der Reports, um Sicherheitsstandards und Anforderungen der Europäischen Zentralbank einzuhalten und umzusetzen.
Erstellen von Reports für das Management, um Probleme in der IT-Security zu evaluieren, Lösungsmöglichkeiten zu konzeptionieren und Lösungen aufzubereiten. Diese sind Basis, um grundlegende steuernde Entscheidungen im Bereich der IT-Security zu treffen.
Seit mehr als 2 Jahren wurde an einem neuen B2B-Portal im Unternehmen entwickelt. Kunden des Unternehmens können Artikel bestellen, die dann gefertigt und gelagert werden. Große Handelsketten, Banken, Versicherungen u.a. haben Zugänge, die von der Rechtestruktur sehr detailliert aufgebaut sind.
Es galt die Web-Anwendung auf Sicherheitslücken und Sicherheitsprobleme zu untersuchen. Die Vorgabe war, ein manuellen Penetrationstest, in der das System umfassend getestet wurde, inkl. Logischer Fehler, Fehler in der Authentifizierung, Fehler in der Rechtevergabe.
Zeitraum: 01/2010 - 2013
Projekte:
ISO 27001, IT-Grundschutz, OWASP, OSSTMM, TCP/IP, SANS GCIH-Mentor, SANS GFA-Mentor
-------------------------------
Zeitraum: 11/2007 - 05/2010
Branche: IT-Dienstleister
Projekt: Beratung von Firmen in Bereichen IT-Sicherheit
Erhähung der Sicherheitsstufe durch Hinführung der IT an IT-Grundschutz
Penetrationstests von Web-Shops und Servern
IT-Projektmanagement für Kunden
Hilfe für Etablierung eines Informationssicherheits-managmentsystems nach
ISO 27001
Installation und Administration von Linux basierenden Mail-Gateways und
Web-Proxies für größere Unternehmen
Installierung und Administration von Web-Gateways
Installierung und Administration von Monitoringlösungen mit Nagios
Installierung und Administration von Hochverfügbarkeitslösungen
Installierung und Administration von Server-Virtualisierungen
Entwicklung sehr effizienter Anti-Spam-Lösungen auf Linux-Basis
Entwicklung von Administrationsskripten für Linux-Server in Perl
Entwicklung von Web-Oberflächen in Perl
Administration von verschiedenen Firewalls
Trainer für die Themen IT-Security Handling und IT-Forensik
Vortragender für Forensik-Themen
DV-Basis: ISO 27001, IT-Grundschutz, OWASP, OSSTMM, TCP/IP, VMware, Xen, Postfix, Debian,
Suse, Ubuntu, Windows, Nagios, Perl, SMTP, VMware, Xen, TWiki, MediaWiki,
IPTables, Squid, Apache
Teamgröße: ca. 10
-------------------------------
Zeitraum: 01/2005 - 10/2007
Branche: IT-Dienstleister
Projekt: Penetrationstest von Netzwerkanbindungen, Penetrationstest von Web-Shops,
Penetratioinstest von Servern, Forensische Untersuchungen, Incident Handling,
Beratung von Firmen in Bereichen IT-Sicherheit, Vorträge und Schulungen
DV-Basis: OWASP, OSSTMM, TCP/IP,
Teamgröße: ca. 5
-------------------------------
Zeitraum: 09/2003 - 09/2004
Branche: IT-Dienstleister
Projekt: Penetrationstest von Netzwerkanbindungen, Penetrationstest von Web-Shops,
Penetratioinstest von Servern, Forensische Untersuchungen, Incident Handling,
Beratung von Firmen in Bereichen IT-Sicherheit, Vorträge und Schulungen
DV-Basis: OWASP, OSSTMM, TCP/IP,
Teamgröße: ca. 5
------------------------------
Zeitraum: 09/2000 - 04/2003
Branche: Softwareentwicklung
Projekt: Entwicklung, Planung und Portierung von Software im Bereich Enterprise Management,
Testen, Support, Planung und durchführung spezieller Anpassungen für Großkunden
DV-Basis: C, C++, Perl, Patrol (Monitoringsoftware)
Plattform: Linux, Windows, Solaris, HP-UX
Teamgröße: vor Ort ca. 10, weltweit ca. 50
06/2007 - aktuell, SANS, GIAC Certified Forensik Analyst
02/2004 - aktuell, SANS, GIAC Certified Incident Handler
04/2009 Der Datenschutzbeauftragte im Unternehmen
03/1994 - 06/2000 Universitätsstudium Angewandte Informatik (Salzburg, AT)
Am ehesten ist ein Penetrationstester in den Projekten als (Senior-)Consultant eingebunden.
- Simple Mail Transfering Protokoll (SMTP)
- Bundesdatenschutzgesetz, (DSG), D
- Datenschutzgesetz (DSG2000), A
Von SANS zertifiziert:
Gerichtlich zertifizierter Sachverständiger für "Forensische Datensicherung, Datenrekonstruktion, Datenauswertung" in Österreich.
Durchführen von manuellen Penetrationstests um Sicherheitslücken aufzudecken und um Schwachstellen und Design-Schwächen in Web-Anwendungen und IT-Strukturen zu finden. Erstellen von Reports mit Empfehlungen an den Kunden, um die Lücken zu schließen. Verantwortlich für Verkauf, Projektentwicklung und termingerechten Projektabschluss.
Design und Ausführen von manuellen Penetrationstests von Web-Anwendungen als Teil des Software-Engineerings im B2B/B2C-Umfeld auf Basis von OWASP.
Durchführen von manuellen Penetrationstests um Sicherheitslücken aufzudecken und um Schwachstellen und Design-Schwächen in Web-Anwendungen und IT-Strukturen zu finden. Erstellen von Reports mit Empfehlungen an den Kunden, um die Lücken zu schließen. Verantwortlich für Verkauf, Projektentwicklung und termingerechten Projektabschluss.
Design und
Ausführen von manuellen Penetrationstests von Web-Anwendungen als
Teil des Software-Engineerings im B2B/B2C-Umfeld auf Basis von
OWASP.
der Beseitigung von den im Penetrationstest gefundenen Lücken.
Unterstützen von Kunden bei Fragen von Computermissbrauch und Computerkriminalität auf der Basis von fundierter IT-Forensik. Hilfestellung für Kunden in der elektronischen Beweissicherung und als Sachverständiger.
Letzten Kundenprojekte:
der Beseitigung von den im Penetrationstest gefundenen Lücken.
Hilfestellung bei Kunden in der elektronischen Beweissicherung und Datenwiederherstellung als Sachverständiger.
Untersuchung einer Behauptung, dass Mitarbeiter Daten des Unternehmens abgezogen habe. IT-Forensische wurden die Beweise gesichert, ausgewertet und ein Gutachten erstellt.
Auswahl von zugelassenen Dienstleistern für Penetrationstests, Bestätigung von Umfang und Aufwand der Penetrationstests, Überprüfen der Reports hinsichtlich Qualität und Leistungsumfang, verantwortlich für die Abnahme von Penetrationstests von Assets, Kontrolle der Qualität der Tests und der Reports, Berichterstattung über Eckdaten der Tests für das Management, Sicherstellung der Beseitigung von den im Penetrationstest gefundenen Lücken.
Verantwortung für die Durchführung der Penetrationstests der festgelegten Assets (Webanwendungen und Infrastruktur), Kontrolle der Reports, um Sicherheitsstandards und Anforderungen der Europäischen Zentralbank einzuhalten und umzusetzen.
Erstellen von Reports für das Management, um Probleme in der IT-Security zu evaluieren, Lösungsmöglichkeiten zu konzeptionieren und Lösungen aufzubereiten. Diese sind Basis, um grundlegende steuernde Entscheidungen im Bereich der IT-Security zu treffen.
Seit mehr als 2 Jahren wurde an einem neuen B2B-Portal im Unternehmen entwickelt. Kunden des Unternehmens können Artikel bestellen, die dann gefertigt und gelagert werden. Große Handelsketten, Banken, Versicherungen u.a. haben Zugänge, die von der Rechtestruktur sehr detailliert aufgebaut sind.
Es galt die Web-Anwendung auf Sicherheitslücken und Sicherheitsprobleme zu untersuchen. Die Vorgabe war, ein manuellen Penetrationstest, in der das System umfassend getestet wurde, inkl. Logischer Fehler, Fehler in der Authentifizierung, Fehler in der Rechtevergabe.
Zeitraum: 01/2010 - 2013
Projekte:
ISO 27001, IT-Grundschutz, OWASP, OSSTMM, TCP/IP, SANS GCIH-Mentor, SANS GFA-Mentor
-------------------------------
Zeitraum: 11/2007 - 05/2010
Branche: IT-Dienstleister
Projekt: Beratung von Firmen in Bereichen IT-Sicherheit
Erhähung der Sicherheitsstufe durch Hinführung der IT an IT-Grundschutz
Penetrationstests von Web-Shops und Servern
IT-Projektmanagement für Kunden
Hilfe für Etablierung eines Informationssicherheits-managmentsystems nach
ISO 27001
Installation und Administration von Linux basierenden Mail-Gateways und
Web-Proxies für größere Unternehmen
Installierung und Administration von Web-Gateways
Installierung und Administration von Monitoringlösungen mit Nagios
Installierung und Administration von Hochverfügbarkeitslösungen
Installierung und Administration von Server-Virtualisierungen
Entwicklung sehr effizienter Anti-Spam-Lösungen auf Linux-Basis
Entwicklung von Administrationsskripten für Linux-Server in Perl
Entwicklung von Web-Oberflächen in Perl
Administration von verschiedenen Firewalls
Trainer für die Themen IT-Security Handling und IT-Forensik
Vortragender für Forensik-Themen
DV-Basis: ISO 27001, IT-Grundschutz, OWASP, OSSTMM, TCP/IP, VMware, Xen, Postfix, Debian,
Suse, Ubuntu, Windows, Nagios, Perl, SMTP, VMware, Xen, TWiki, MediaWiki,
IPTables, Squid, Apache
Teamgröße: ca. 10
-------------------------------
Zeitraum: 01/2005 - 10/2007
Branche: IT-Dienstleister
Projekt: Penetrationstest von Netzwerkanbindungen, Penetrationstest von Web-Shops,
Penetratioinstest von Servern, Forensische Untersuchungen, Incident Handling,
Beratung von Firmen in Bereichen IT-Sicherheit, Vorträge und Schulungen
DV-Basis: OWASP, OSSTMM, TCP/IP,
Teamgröße: ca. 5
-------------------------------
Zeitraum: 09/2003 - 09/2004
Branche: IT-Dienstleister
Projekt: Penetrationstest von Netzwerkanbindungen, Penetrationstest von Web-Shops,
Penetratioinstest von Servern, Forensische Untersuchungen, Incident Handling,
Beratung von Firmen in Bereichen IT-Sicherheit, Vorträge und Schulungen
DV-Basis: OWASP, OSSTMM, TCP/IP,
Teamgröße: ca. 5
------------------------------
Zeitraum: 09/2000 - 04/2003
Branche: Softwareentwicklung
Projekt: Entwicklung, Planung und Portierung von Software im Bereich Enterprise Management,
Testen, Support, Planung und durchführung spezieller Anpassungen für Großkunden
DV-Basis: C, C++, Perl, Patrol (Monitoringsoftware)
Plattform: Linux, Windows, Solaris, HP-UX
Teamgröße: vor Ort ca. 10, weltweit ca. 50
06/2007 - aktuell, SANS, GIAC Certified Forensik Analyst
02/2004 - aktuell, SANS, GIAC Certified Incident Handler
04/2009 Der Datenschutzbeauftragte im Unternehmen
03/1994 - 06/2000 Universitätsstudium Angewandte Informatik (Salzburg, AT)
Am ehesten ist ein Penetrationstester in den Projekten als (Senior-)Consultant eingebunden.
- Simple Mail Transfering Protokoll (SMTP)
- Bundesdatenschutzgesetz, (DSG), D
- Datenschutzgesetz (DSG2000), A
Von SANS zertifiziert:
Gerichtlich zertifizierter Sachverständiger für "Forensische Datensicherung, Datenrekonstruktion, Datenauswertung" in Österreich.
"[...] Der Consultant hat mich durch seine kompetente Art und natürlich vor allem durch die Ergebnisse überzeugt. [...] Trotz anfänglicher Skepsis hatte ich nie den Eindruck, dass hier unnötiges Geld oder überflüssige Zeit in Anspruch genommen werden könnte. Aus diesem Grunde kann ich den Consultant als sehr kompetent und vertrauenswürdig weiter empfehlen. Schließlich möchte man die eigene 'Berufszentrale' nicht irgend jemand anvertrauen. Ich danke dem Consultant und seinem Team für ihren wertvollen und - wie es sich bei mir herausgestellt hat - höchst notwendigen Dienst."
— Projekt Schwachstellenanalyse von Computersystemen, 04/05 - 04/05
Referenz durch Geschäftsführer, Institut für Bildung und Beratung, vom 05.03.04
"[...] Diese Überprüfung erwies sich als äußerst sinnvoll, zeigte sie uns doch Schwachstellen auf, die in unserem Fall gravierender waren, als von uns angenommen. So manche Schlupflöcher wurden offensichtlich. Die von der Firma des Consultants durchgeführte Sicherheitsüberprüfung erfolgte zu unserer vollsten Zufriedenheit. Hervorzuheben ist, dass der laufende Betrieb durch die Überprüfung zu keinem Zeitpunkt beeinträchtigt war. [...] Der Consultant ist absolut vertrauenswürdig und arbeitete entsprechend professionell. Wir fühlten uns optimal beraten und betreut."
— Projekt Schwachstellenanalyse von Computersystemen, 03/05 - 03/05
Referenz durch gemeinnützigen Verein vom 30.03.04
"[...] Der IT-Spezialist arbeitete sich äußerst zügig in sein anspruchsvolles Aufgabengebiet ein. Er verfügt über umfassende und fundierte Fachkenntnisse in der Software-Entwicklung, die er sehr erfolgreich einsetzt. Mit sicherem Blick für das Wesentliche erfasste er rasch komplexe Sachverhalte, analysierte sie zutreffend und entwickelte jederzeit praktikable Problemlösungen. Sein dafür notwendige Urteilskraft war geprägt durch klares logisches Denken. Dabei arbeitete er stets selbständig, zuverlässig und genau. Er trug damit wesentlich dazu bei, unserem Unternehmen durch erfolgreiche Integration und Optimierung einen wichtigen Großkundenauftrag zu sichern. Der Consultant zeichnet sich durch hohe Leistungsbereitschaft und ein großes Maß an Eigeninitiative aus und war daher auch umfangreichem Arbeitsanfall jederzeit gewachsen. Neben seinen Arbeitsaufgaben hat er sich eigenverantwortlich fortgebildet und die erworbenen Kenntnisse zuverlässig in der Praxis umgesetzt. Der Consultant beherrschte seinen Arbeitsbereich umfassend und sicher
und erfüllte die ihm übertragenen Aufgaben jederzeit zu unserer vollen Zufriedenheit. Sein persönliches Verhalten war immer einwandfrei. Von Vorgesetzten wie Kollegen wurde er gleichermaßen sehr geschätzt. [...]"— Projekt Entwicklung, Planung und Portierung von Software, 09/00 - 04/03
Referenz durch Manager, Softwarehaus (5000 MA weltweit), vom 31.03.03