a Randstad company

Berater IT-Sicherheit / IT-Security - anspruchsvolle Projekte im Bereich Penetrationstests. Quellcodeanalysen, Reverse Engineering, Fuzzing, Training

Profil
Top-Skills
Penetration Testing IT-Sicherheitsprüfungen Penetrationstests Fuzzing Quellcodeprüfungen Reverse Engineering IPv6 IT-Security IT-Sicherheit hacking Schwachstellenanalyse
Verfügbar ab
09.01.2023
Bald verfügbar - Für planbare Projekte: Der Experte steht für neue Folgeprojekte zur Verfügung.
Verfügbar zu
100%
davon vor Ort
100%
Einsatzorte

PLZ-Gebiete
Länder
Ganz Deutschland, Österreich, Schweiz

Deutschland: Am liebsten in Berlin :-)

Ansonsten natürlich Deutschlandweit und International.

Remote-Arbeit
möglich
Art des Profiles
Freiberufler / Selbstständiger
Der Experte ist als Einzelperson freiberuflich oder selbstständig tätig.

Ich habe an einer großen Anzahl von Projekten gearbeitet, da ich über 10 Jahre in der IT-Sicherheit als voll ausgelasteter Berater arbeite.

Die Auszug der Projekte die ich in 2011 und 2010 durchgeführt habe:
Deutsche Sicherheitsbehörde – Schulung von Spezialisteneinheit in offensiver Sicherheit
Weltweit führender Autohersteller – Sicherheitsanalysen der IT in kommenden Autogenerationen sowie dazugehörigen Front- und Backend Infrastrukturen
Europäische Zentralbank (EZB) – Sicherheitsexperte für Design und Abnahme der kompletten neuen Firewall Infrastruktur
Dozent an der MCAST Universität in Malta für IT-Sicherheit in Zusammenarbeit mit dem Fraunhofer Institut
UNO Institution – Organisationsabgleich gegenüber ISO 27001++
Deutsche öffentliche Institution – Sicherheitsüberprüfung der Firewall Umgebung
Europäischer Stromversorger – Erstellung eines Sicherheitskonzepts auf Basis von ISO 27001/27002
Mehrere europäische Zentralbanken – IT-Sicherheitsüberprüfung einer zentralen Vernetzungsschnittstelle
International führender Mobilfunkprovider – Reverse Engineering Training für neue Mitarbeiter
Online Dating Webseite – Forensische Analyse nach einem Servereinbruch
International führende Bank – WLAN Sicherheitsüberprüfung aller Standorte in Deutschland auf WLAN Sicherheit
… und weitere Projekte

 


Eine detaillierte Beschreibung weiterer Projekte:

1.
Projekt/Tätigkeit: Technische Sicherheitsanalysen bei einer Versicherung
Aufgabenbeschreibung: Von der IT der Außendienstmitarbeiter über die Einwahl bis hin zur internen Sicherheit von Netz und Applikationen wurde die Sicherheit überprüft, identifizierte Sicherheitslücken bewerten und Vorschläge für deren Behebung gemacht.

Verwendete Kenntnisse, Methoden, Tools: Webapp Pentest, Windows Konfiguration, Netzwerksicherheitsscan, Datenbanksicherheit, IT-Sicherheit, IT-Security
Ausgeübte Funktion/Rolle: IT-Sicherheitsspezialist
Zeitraum: 7-10.2011
Branche des Unternehmen: Versicherung

2.
Projekt/Tätigkeit: DMZ Design und Implementierung
Aufgabenbeschreibung: Design einer komplett neuen DMZ Infrastruktur mit allen Internet Diensten für den Hochsicherheitsbereich inkl. Planung und Implementierung
Design einer hochkomplexen DMZ Infrastruktur, in die alle vorhandenen und zukünftigen Internet Anwendungen hineinpassen sollten, und eine hohe Sicherheit gewährleisten.
Danach wurde die Infrastruktur aufgebaut, d.h. Konfiguration und Hardening der Systeme, Dokumentation und Übergabe an den Betrieb.

Verwendete Kenntnisse, Methoden, Tools: DMZ/Firewall/Netzwerk Design, IT-Sicherheit, IT-Security, Systemanalyse, Solaris, Windows, Linux, Sicherheitsarchitekturen, Hardening, Risikoanalysen, Netzwerk
Ausgeübte Funktion/Rolle: DMZ Architekt
Zeitraum: 1.2007 bis 10.2009 (reale Arbeitszeit ca. 9 Monate)
Branche des Unternehmen: Europäische Zentralbank

3.
Projekt/Tätigkeit: Lokaler Sicherheitsspezialist
Aufgabenbeschreibung: Flexible IT-Sicherheitsfachkraft vor Ort bei einer europäische Zentralbank
Für diese Position wurde ein Spezialist möglichst breiten wie tiefen IT-Sicherheits Know-how gesucht, bis ein Mitarbeiter der bereit für eine Festanstellung war, gefunden wurde. Meine Aufgabe umfasste Risikoanalysen, Penetrationstests, Quellcode Analysen, Design von Sicherheitsarchitekturen, Durchführung von Schulungen, Review von Security Policies, Verbesserung der existierenden Prozesse, etc.

Verwendete Kenntnisse, Methoden, Tools: IT-Sicherheit, IT-Security, Systemanalyse, Solaris, Windows, Linux, Sicherheitsarchitekturen, Penetrationstest, Security Policies, Hardening, Risikoanalysen, Quellcode Analysen, Prozessoptimierung
Ausgeübte Funktion/Rolle: IT-Forensiker
Zeitraum: 1.2007 bis 6.2007 (Vollzeit)
Branche des Unternehmen: Europäische Zentralbank

4.
Projekt/Tätigkeit: Weltweiter Penetrationstest auf ein globales Unternehmen
Aufgabenbeschreibung: Ein internationales Unternehmen mit über 50.000 Mitarbeitern wollte alle globalen Internet Anbindungen, DMZ Systeme sowie Wireless LAN und Telefonanlagen auf deren Sicherheit überprüft haben.
Die globalen Penetrationstests wurden von einem Internet Provider aus durchgeführt, die
Telefonanlagen- und Modemprüfung in einer Zentrale des jeweiligen Landes, die WLANs durch physische Präsenz an jedem Standort.
Ich leitete ein Team von 7 Experten, und war an allen Prüfungshandlung beteiligt und leitete sie an.

Verwendete Kenntnisse, Methoden, Tools:  Penetrationstests, WLANs, Wireless LANs, Modems, Teleinanlagen, Hacking, Hacken, IT-Sicherheit, IT-Security, Audits
Ausgeübte Funktion/Rolle: Leiter der globalen Penetrationstests
Reichweite der Aufgabe (ca.): Mitarbeiteranzahl: 50.000 und mehr
Budgetverantwortung (ca. in Euro): 10.000 bis 50.000
Zeitraum: 7.2006 bis 9.2006
Branche des Unternehmen: Automobilhersteller
Einsatz-Ort: International

5.
Projekt/Tätigkeit: Analyse eine Wirtschaftsspionagevorfall
Aufgabenbeschreibung: Ein globales Pharmaunternehmen setzte auf seinem Betriebsgelände einen Industriespion fest.
Meine Aufgabe war die Analyse der Festplatteninhalte des Laptops des Industriespions, wie auch die Überprüfung der Netzwerke und zentralen Systemen auf Einbruchsspuren und folgender Beweissicherung.

Verwendete Kenntnisse, Methoden, Tools: IT-Forensik, Spurensicherung, IT-Sicherheit, IT-Security, Systemanalyse, Unix, Solaris, Windows, SAP
Ausgeübte Funktion/Rolle: IT-Forensiker
Zeitraum: 4.2005 bis 6.2005
Branche des Unternehmen: Pharmaunternehmen

6.
Projekt/Tätigkeit: Konzeptionierung einer komplexen Sicherheitsarchitektur für Web Application Services
Aufgabenbeschreibung: Design einer hochkomplexen Sicherheitsarchitektur für ein globales Mobilfunkunternehmen als Turn-Key Lösung
Meine Aufgabe war das Design einer hochkomplexen und flexiblen Sicherheits- und Netzwerkarchitektur für einen der größten Mobilfunkanbieters der Welt, in welches Web Applikationen und Mobile Services Dienste einfach und sicher integriert werden sollten.
Neben der Konzeption gehörte auch die Überprüfung der Umsetzung zu meinen Aufgaben.

Verwendete Kenntnisse, Methoden, Tools: Netzwerkdesign, Sicherheitsarchitekturen, Virtuelle Firewalls, Intrusion Detection, Management, Zellenstrukturen, High Availability
Ausgeübte Funktion/Rolle: Sicherheitsarchitekt
Zeitraum: 1.2004 bis 6.2004
Branche des Unternehmen: Mobilfunk

7.
Projekt/Tätigkeit: Marketplace Sicherheitsanalyse
Aufgabenbeschreibung: In 2000 entwickelte einer der größten Softwarehäuser der Welt eine Marktplatz Software. Diese galt es auf die Sicherheit hin zu untersuchen, bevor diese an Kunden ausgeliefert werden sollte.
Dieses interanationale Projekt (USA, Deutschland) umfasste eine Überprüfung der Kryptoschnittstellen, Analyse des Quellcodes auf Sicherheitslücken, Applikationskonfiguration und Betriebssystemeinstellungen, und darüber hinaus auch die Prozesse in der Entwicklung wie für die späteren Betrieb (Logging, Monitoring, Incident Handling, ...)

Verwendete Kenntnisse, Methoden, Tools: IT-Sicherheit, IT-Security, Quellcodeanalyse, Sicherheitskonfigurationen, Solaris, Windows, Marktplätze
Ausgeübte Funktion/Rolle: Prüfung der IT-Sicherheit des Marktplatzes
Reichweite der Aufgabe (ca.): Mitarbeiteranzahl: 100 bis 200
Budgetverantwortung (ca. in Euro): 10.000 bis 50.000
Zeitraum:
Branche des Unternehmen: Führender Mittelstandssoftwarerhersteller
Einsatz-Ort: USA und Deutschland


Wenn weitere Projektinformationen gewünscht sind: einfach anfragen.


Kunden sind:
Banken, Börsen, Vereinte Nationen und andere Behörden / Institutionen, Pharmaunternehmen, Automobilhersteller, Softwarehäuser, etc.

Projektbereiche sind:
IT-Sicherheitsstrategie, Policies & Procedures, Hardening Guidelines, IT-Sicherheitsarchitekturen (Software, Hardware, Netze), Penetrationstests (auch Webapplikationen, Wardriving / WLan Audits, Wardialing / Telefonanlagen & Modems, Bluediving / Bluetooth Sicherheit), Forensik, Quellcodeanalysen, Binaränalysen / Reverse Engineering, Social Engineering, Lockpicking.
Trainer / Trainings / Schulungen

Seminare & Schulungen
=====================
IT-Sicherheit im Sekretariat
Schutz von Unternehmensgeheimnissen
Anti-Hacking - Selbstanalyse des Firmennetzes
IT-Sicherheit im Internet
Secure Software Development
Penetrationstests in der Praxis
Risikomanagement - Effiziente Verfahren und Erfolgreiche Einführungen
UNIX Sicherheit und Auditierung
IT-Sicherheit Grundlagen
Durchführung von Quellcode Prüfungen auf Sicherheitsprobleme

Vorige Positionen:
07/2004 - 06/2007 n.runs AG, Teamleiter IT-Sicherheitsberatung
01/2003 - 06/2004 Unisys GmbH, Manager IT-Security Services
01/1999 - 12/2002 KPMG, Prokurist und Manager, Leiter IT-Sicherheitsdienstleistungen
09/1997 - 12/1998 Deutsche Bank AG, Firewall Engineer
07/1998 - heute           [Firmenname auf Anfrage], Gründer des IT-Security Teams, heute freier Mitarbeiter

Leitungsgremiumsmitglied der Fachgruppe SIDAR in der Gesellschaft für Informatik e.V. (GI eV)
Mitbegründer der [Konferenz auf Anfrage], Mitglied im Steering Commitee, Mitglied im Programmkommitee
Mitglied der Programm Committees von DFN CERT, DIMVA, 44Con und Hackito Ergo Sum Konferenzen

Insbesondere IT-Security-Audits/Sicherheitsüberprüfungen

* WICHTIG *
* Projekte ausserhalb von Berlin, die länger als einen Monat am Stück dauern, nehme ich nicht an. *
* WICHTIG *

Deutsch Muttersprache
Englisch Business Fluent, gebe auch komplette Trainings in Englisch vor Muttersprachlern
Französisch Lesen Gut, Sprechen OK
Spanisch Grundlagen

Top Skills
Penetration Testing IT-Sicherheitsprüfungen Penetrationstests Fuzzing Quellcodeprüfungen Reverse Engineering IPv6 IT-Security IT-Sicherheit hacking Schwachstellenanalyse
Schwerpunkte

IT-Sicherheitsberatung im Bereich von:

  • Sicherheitsanalysen und Penetrationstests von komplexen Infrastrukturen (Netzwerke, proprietäre Applikationen, WebApps, WLAN, PABX, etc.)
  • Auditing (Betriebssysteme, Netzwerkkomponenten und Applikationskonfigurationen)
  • Analyse von Quellcode und Binärprogrammen/Reverse Engineering (Malware Analyse, Sicherheitsrisiken)
  • Thread Modelling, Policies und Procedures (Hardening Guidelines, ISO 17799/2700x, IT-GSHB, ITIL) und Risikomanagement (ALE/EAL, CRAMM, etc.)
  • Sicherheitsschulungen bis Experten-Level (in den oben genannten Bereichen)
  • Spezial Know-how in Automotive Security (CAN, Flexray, LIN, BR-Ethernet, Autosar, SOME/IP, etc.)
Produkte / Standards / Erfahrungen / Methoden
ISO 17799 / BS 7799
ISO 27001
ISO 13335
ISO 14971 / EN 1441
IT-Grundschutzhandbuch (IT-GSHB)
OWASP

Viele Sicherheitsprodukte wie Firewalls, IDS, Netzwerkscanner (ISS, Nessus, nmap, ...), WebApp Scanner (Accunetix, Webinspect, Appscan, ...), etc.

10 Jahre Berufserfahrung im Bereich IT-Sicherheit, darunter: IT-Sicherheitsstrategie, Policies & Procedures, Hardening Guidelines, IT-Sicherheitsarchitekturen (Software, Hardware, Netze), Penetrationstests (auch Webapplikationen, Wardriving / WLan Audits, Wardialing / Telefonanlagen & Modems, Bluediving / Bluetooth Sicherheit), Forensik, Quellcodeanalysen, Binaränalysen / Reverse Engineering, Social Engineering, etwas Lockpicking.

Umfangreiches Risikomanagement Know-how, auch im Bereich der Einführung.

Erfahrung in Projektmanagment über 1 Mannjahr mit bis zu 8 Personen.

Trainer seit 9 Jahren, führe Schulungen in Deutsch und Englisch durch, u.a. über Sichere Softwareentwicklung, Durchführung von Penetrationstests, Durchführung von WebApp Pentests, "Hackerkurse", Forensik, Secure Software Development, Unix Sicherheit, Firewall & Netzwerksicherheit, Risikomanagement und Einführung von Sicherheitsprozessen, Awareness Trainings.
 
Werdegang
Seit 07/2007 Unabhängiger IT-Sicherheitsberater
 
07/2004 ? 06/2007 n.runs AG IT-Security Teamleiter
 
01/2003 ? 06/2004 Unisys GmbH Manager IT-Security Services
 
01/1999 ? 12/2002 KPMG AG Manager/Prokurist, Leiter IT-Security Services
 
09/1997 ? 12/1998 Deutsche Bank AG Firewall Engineer
 
07/1998 ? 12/2006 [Firmenname auf Anfrage] Gründer und Leiter des [internen] Security Teams
Betriebssysteme
HPUX IRIX Mac OS MS-DOS MVS, OS/390 Novell OS/400 SUN OS, Solaris Unix
IT-Sicherheit für alle UNIXe (Solaris, Linux, AIX, OS X, *BSD, etc.)
Windows
IT-Sicherheit für 2008, 2003, 2000, 7, Vista, XP
Die Stärken sind jeweils in der sicheren Konfiguration der Systeme, sowie z.T. Anwendungsentwicklung.
Habe für [Produkt auf Anfrage] Linux jahrelang im Bereich IT-Sicherheit gearbeitet, von der Strategie über Default Konfigurationseinstellungen und Toolprogrammierung bis hin zu Quellcodeaudits.
Programmiersprachen
ASN.1
Prüfen
Assembler
Prüfen & Programmieren
Basic
Prüfen & Programmieren
C
Prüfen & Programmieren, meine Präferenz
C++
Prüfen & Programmieren
Delphi
Prüfen & Programmieren
Java
Prüfen
JavaScript
Prüfen
Pascal
Prüfen & Programmieren
Perl
Prüfen & Programmieren
PHP
Prüfen & Programmieren
Python
Prüfen
Shell
Prüfen & Programmieren
Tcl/Tk
Prüfen
10 Jahre Erfahrung im Bereich der Sicherheitsüberprüfung von Quellcode, auch Binäranalysen.
Durchgängige Programmiererfahrung seit 16 Jahren.
Datenbanken
DB2 MS SQL Server MySQL Oracle
Kenntnisse sind ausschliesslich im IT-Sicherheitsbereich, am stärksten hierbei bei MySql, MS-Sql und Oracle.
Im Bereich Oracle arbeite ich bei anspruchsvollen Sicherheitsprojekten mit [Name auf Anfrage] zusammen.
Selbstverständlich sind gute Kenntisse über PL/SQL vorhanden. Muss man ja für SQL Injections gut beherrschen.
Datenkommunikation
Ethernet Firewall Internet, Intranet ISO/OSI NetBios Novell Proprietäre Protokolle Router SMTP SNMP Switche TCP/IP
auch tiefe Kenntnisse in IPv6 !
VPN WAF
Jahrelange Erfahrung in Programming und Testen von Protokoll Implementationen.
Hardware
embedded Systeme
Veröffentlichungen
==================
Mehrere Veröffentlichungen in der C't sowie anderen Magazinen

 

 

Konferenzen/Vorträge
====================
IPv6 Sicherheit: Pacsec 11/2005, Tokyo; CCC Congress 12/2005, Berlin; Eusecwest 02/2006, London; Cansecwest 04/2006, Vancouver; Hack in the Box 09/2006, Kuala Lumpur; Hack LU 10/2006, Luxemburg; VNSec 08/2007, Saigon, Deepsec 11/2010; CCC Congress 12/2010; IPv6 Kongress 2011
Euroforum : Sicherheit 2003, 11/2003, Hamburg, Präsentation "Gefahrenabschätzung durch Konsolidierung und Korrelation von Intrusion Detection"
IDC : Security Konferenz 2003, 09/2003, Frankfurt, Präsentation "IT-Sicherheit im Unternehmen dauerhaft messbar machen"
Information Systems Security Society of the Philippines : Manila Security Convention, 05/2003, Manila/Philippinen , Präsentation "Global Intrusion Tracing"
Frauenhofer Institut : CAST Forum, Thema "Sichere Netzwerke", 04/2003, Darmstadt, Präsentation "Firewalls und Infrastrukturen"
Frauenhofer Institut : CAST Forum, Thema "Sichere Betriebssysteme", 04/2002, Darmstadt, Präsentation "Sicheres Linux in 30 Minuten"
Euroforum : 1. eSpionage Forum, 01/2002, Düsseldorf, Präsentation "Wie Hacker sich unsichtbar machen"
Euroforum : 8. IT-Sicherheits-Forum, 11/2001, Frankfurt, Workshop "Anti-Hacking"
MiS : Superstrategies 2000, 11/2000, London, Präsentation "Critical Risks in Unix"
Chaos Computer Club Congress, 12/1999, Berlin, Präsentation "Auffinden von Schwach-stellen im Quellcode"


* WICHTIG *
* Projekte ausserhalb von Berlin, die länger als einen Monat am Stück dauern, kann ich nicht annehmen. *
* WICHTIG *

  • Automotive
  • Banken
  • Telekommunikation
  • Versicherungen
  • Öffentliche Institutionen
Ihr Kontakt zu Gulp

Fragen? Rufen Sie uns an +49 89 500316-300 oder schreiben Sie uns:

Jetzt bei GULP Direkt registrieren und Freelancer kontaktieren