a Randstad company

Application Security Architecture, Sicherheit in Softwareentwicklung, Threat Modeling, Web / Java Security, OWASP, Cloud/AWS Security, Projektleitung

Profil
Top-Skills
IT-Sicherheitsarchitektur Secure coding Web application security
Verfügbar ab
01.01.2023
Aktuell verfügbar - Der Experte steht für neue Projektangebote zur Verfügung.
Verfügbar zu
100%
davon vor Ort
100%
Einsatzorte

Städte
Hamburg (+100km)
PLZ-Gebiete
Länder
Deutschland

grundsätzlich sind für mich auch Projekte an anderen Einsatzorten möglich, jedoch nur wenn min. 50% remote geleistet werden kann.

Remote-Arbeit
Nicht möglich
Art des Profiles
Freiberufler / Selbstständiger
Der Experte ist als Einzelperson freiberuflich oder selbstständig tätig.

13 Jahre 9 Monate

2009-03

heute

Schulungen im Bereich Web Security / Java Security

Projektinhalte
  • Durchführung von über 40 Schulungen und Workshops zu den Themen
    • Einführung in die Web Security
    • Sichere Softwareentwicklung mit Java EE
    • Sicherheit in agiler Softwareentwicklung (Scrum, Kanban)
    • Security Testautomatisierung
    • Bedrohungsmodellierung / Threat Modelling
  • Verschiedene Hands?On?Übungen
  • Individuell an Kundenwünsche anpassbar
  • Umfangreiche Schulungsunterlagen
4 Monate

2019-01

2019-04

Security Architektur und DevSecOps

Security Architekt AWS Telekom Cloud (OTC) / Open Stack OAuth
Rolle
Security Architekt
Projektinhalte

Unterstützung im Bereich Security Architektur und DevSecOps

Kenntnisse
AWS Telekom Cloud (OTC) / Open Stack OAuth
Kunde
Bank in Norddeutschland (NDA)
3 Monate

2018-10

2018-12

Einführung globaler Sicherheitsprozesse in der Softwareentwicklung

Security Architekt
Rolle
Security Architekt
Projektinhalte

Vorstudie für die Einführung globaler Sicherheitsprozesse in der SW?Entwicklung

Kunde
Rückversicherer
6 Monate

2018-05

2018-10

Cloud Security Architektur

Security Architekt Security AWS Azure ...
Rolle
Security Architekt
Projektinhalte
  • Betreuung von mehreren Entwicklungs?Projekten des Kunden bei der Umsetzung von Sicherheitsanforderungen (Teil verschiedener Scrum Teams)
  • Analyse und Weiterentwicklung der Sicherheitsarchitekturen
  • Technische Absicherung von AWS und Azure
  • Überarbeitung der Cloud Security Vorgaben
  • Identifikation & Dokumentation von Sicherheitsanforderungen
  • Durchführen von Bedrohungs? und Risikoanalysen
  • Durchführen verschiedener Security Analysen (Cloud, Code Reviews, Pentests)
Produkte
Fortify FOD
Kenntnisse
Security AWS Azure Scrum
Kunde
Energiedienstleister
Einsatzort
Quickborn, Hannover
1 Jahr 5 Monate

2017-04

2018-08

Workshop Web? und Applikationssicherheit

Lehrbeauftragter
Rolle
Lehrbeauftragter
Projektinhalte

Vorbereitung und Durchführung eines zensierten Workshops Web & Application Security in SS2017 sowie SS2018

Kunde
FH Wedel
1 Jahr 8 Monate

2016-10

2018-05

Planung und Rollout von AppSec-Programm

Teilprojektleiter, Security Consultant SCRUM Security
Rolle
Teilprojektleiter, Security Consultant
Projektinhalte

Planung und Rollout Sicherheitsmaßnahmen in SW-Entwicklung

  • Erarbeitung von Security Practices für agil arbeitende Teams (Scrum und Kanban)
  • Ausarbeitung von technischen und organisatorischen Maßnahmen (u.a. für Container / Docker Security sowie auf Basis von ISO27001)
  • Bedrohungs? und Risikoanalysen
  • Security Test Automatisierung (Evaluierung von Tools, Integration in CI/CD?Toolketten der Projekte)
  • Leistung eins Security Coaching Team, welches Projekte bei der Umsetzung der Vorgaben unterstützte
Kenntnisse
SCRUM Security
Kunde
Bundesagentur in Süddeutschland (NDA)
Einsatzort
Nürnberg
1 Jahr 10 Monate

2015-06

2017-03

Erstellung von Secure Coding Richtlinien

Security Consultant / Coach JSF HP Fortify WhiteHat ...
Rolle
Security Consultant / Coach
Projektinhalte

Ist-Analyse Applikationssicherheit / Erstellung von Entwicklungsrichtlinien / Laufende Unterstützung

  • Analyse des Reifegrades der Softwareentwicklung und Architektur im Hinblick auf Applikationssicherheit und Ableitung von Maßnahmenempfehlungen
  • Durchführung von Interviews, Applikationstests, Code Reviews und statische Codeanalysen (mittels HP Fortify on Demand)
  • Erstellung von Entwicklungsrichtlinien
  • Laufende Unterstützung bei Integration von Sicherheit in Entwicklungsprozeß (inkl. Evaluierung von Tools)
Kenntnisse
JSF HP Fortify WhiteHat Veracode
Kunde
Versicherungskonzern in Hamburg
2 Jahre 4 Monate

2014-09

2016-12

Entwicklung eines Cloud-basierten Web Security Scanner

Entwickler / Architekt Java EE Eclipse Spring MVC Spring Security ...
Rolle
Entwickler / Architekt
Kenntnisse
Java EE Eclipse Spring MVC Spring Security Hibernate JQuery Maven Jenkins Tomcat
5 Monate

2016-04

2016-08

Security Coaching

Trainer / Security Consultant Java EE JIRA Jenkins ...
Rolle
Trainer / Security Consultant
Projektinhalte
  • Coaching von agilen Teams (Scrum) in Bezug auf Softwaresicherheit
  • Evaluierung von Ansätzen zur Integration von automatisierten Security Tests in Build Chains
  • Erarbeitung von Vorgaben und Security Guidelines
Kenntnisse
Java EE JIRA Jenkins Arachni OWASP Dependency Checker Findbugs
Kunde
Versandhändler
10 Monate

2015-10

2016-07

Unterstützung eines Secure SDLC Rollouts

Trainer / Security Consultant Java JSF SAP ABAP Veracode ...
Rolle
Trainer / Security Consultant
Projektinhalte
  • Erarbeiten von Schulungsunterlage und Durchführung von Trainings für Entwicklungsteams zur sicheren Softwareentwicklung
  • Einführung und Schulung von Bedrohungsanalysen auf Basis von Microsoft Threat Modeling Tool
  • Bedrohungs? und Risikoanalysen
  • Beratung und Coaching von internen Security?Experten
Kenntnisse
Java JSF SAP ABAP Veracode Microsoft Threat Modeling Tool
Kunde
Automobilzulieferer im süddeutschen Raum
9 Monate

2015-03

2015-11

Sicherheitsvorgaben für die SW?Entwicklung

Security Consultant / Projektmitarbeiter HP Fortify Contrast Nexus ...
Rolle
Security Consultant / Projektmitarbeiter
Projektinhalte

Erarbeitung von Sicherheitsvorgaben für die SW?Entwicklung

  • Erstellung eines Bedrohungskataloges und Integration in einen kundenspezifischen IT-Grundschutzbaustein
  • Erstellung von abgeleiteten Maßnahmen (Secure Coding Guidelines)
  • Entwicklung eines Tools zur Bedrohungsmodellierung für Projekte
  • Entwicklung von architektonische Blueprints und Security APIs
  • Erarbeitung von Anforderungen für das interne Security Testings von Anwendungen
  • Marktanalyse und technische Evaluierung verschiedener Enterprise Security-Tools (SAST, IAST)
Kenntnisse
HP Fortify Contrast Nexus Hudson Java EE JSF
Kunde
Bundesagentur in Süddeutschland (NDA)
8 Monate

2015-03

2015-10

Applikationssicherheit

Security Consultant Sichere Softwareentwicklung Java BSI Grundschutz ...
Rolle
Security Consultant
Projektinhalte

Erarbeitung von Vorgaben zur Verbesserung der Applikationssicherheit von Web-basierten Internetauftritten

  • Entwicklung eines Grundschutz-Konformen Bedrohungs- und Maßnahmenkataloges (inkl. Secure Coding Guidelines) für Projekte und in Bezug auf Applikationssicherheit.
  • Entwicklung eines Tools zur Bedrohungsmodellierung für Projekte
  • Marktanalyse und technische Evaluierung von SAST- und IAST-Tools
  • Entwicklung von architekturellen Blueprints und Security APIs
  • Erarbeitung von Anforderungen für das interne Security Testings von Anwendungen
Produkte
HP Fortify Contrast Nexus ADF Confluence
Kenntnisse
Sichere Softwareentwicklung Java BSI Grundschutz SCRUM Security Testing Applicationssicherheit Bedrohungsanalyse
Kunde
Java EE, ADF, JDeveloper/Eclipse, Fortify, Contrast, Nexus Lifecycle
Einsatzort
Süddeutschland
1 Jahr

2014-04

2015-03

Integration von Sicherheit in den Entwicklungsprozess (Aufbau eines ?Secure SDLCs?)

Teilprojektleiter Veracode Fortify AppScan ...
Rolle
Teilprojektleiter
Projektinhalte
  • Teilprojektleitung innerhalb eines großen internationalen Security Programmes (Teamleitung, Organisation, Reporting, Konzepterstellung)
  • Abstimmung von Änderungen an Entwicklungs- und Beschaffungsprozessen (insb. Security Gates)
  • Abstimmung von Rollen und Aufbau einer internen Software Security Group (SSG)
  • Erstellung und Abstimmung von Sicherheitsvorgaben (Standards, Coding Guidelines)
  • Ausbau von Schulungen, Qualifikation von Mitarbeitern
  • Unterstützung, Koordinierung, und Planung von Pentests und Erstellung von Vorgaben
  • Auswahl, Pilotierung und Integration verschiedener Security Tools (Veracode, Virtual Forge etc.)
Kenntnisse
Veracode Fortify AppScan Java GWT SAP Virtual Forge
Kunde
Großer Versicherungskonzern in Köln (NDA)
Einsatzort
Köln
1 Jahr 11 Monate

2013-01

2014-11

Buchprojekt [Titel auf Anfrage]

Autor
Rolle
Autor
Projektinhalte
[URL auf Anfrage]
Kunde
Springer Vieweg Verlag
Einsatzort
Hamburg
10 Monate

2013-06

2014-03

Teilprojektleitung im Rahmen eines IT-Security-Projektes

Teilprojektleiter
Rolle
Teilprojektleiter
Projektinhalte
  • Aufbau Schwachstellenmanagement
  • Sicherheitsvorgaben
  • Prozesse
Kunde
Handelsunternehmen in Hamburg (NDA)
4 Monate

2013-06

2013-09

Statische Codeanalyse - Tool-Deployment, Scans und Konzept-Erstellung

Security Consultant HP Fortify Xcode ObjectiveC ...
Rolle
Security Consultant
Kenntnisse
HP Fortify Xcode ObjectiveC Android Java EE .NET SAP
Kunde
Automobilhersteller in Süddeutschland (NDA)
9 Monate

2012-04

2012-12

IT-Risikoanalyst für Web- und Mobileanwendungen

Application Security Analyst HP Fortify IBM AppScan Xcode ...
Rolle
Application Security Analyst
Projektinhalte
  • Unterstützung von SW?Entwicklungsteams bei der Umsetzung von Sicherheitsanforderungen
  • Erstellung von Security Guidelines und Standards
  • Durchführung von Sicherheitsanalysen
  • Mitarbeit bei einem Unternehmensweiten Projekt für den Aufbau einer Cloud?Infrastruktur
Kenntnisse
HP Fortify IBM AppScan Xcode Objective-C Java HTML5 Flex etc.
Kunde
UBS AG in London
8 Monate

2011-09

2012-04

Durchführung verschiedener Risiko- und Bedrohungsanalysen

Consultant / IT-Security Analyse SharePoint 2010 (ASP.NET C#) IIS ...
Rolle
Consultant / IT-Security Analyse
Projektinhalte

Durchführung verschiedener Risiko- und Bedrohungsanalysen von hochsensiblen IT-Anwendungen und Aufbau entsprechender Vorgaben

Kenntnisse
SharePoint 2010 (ASP.NET C#) IIS SiteMinder Java EE
Kunde
Big-Four-Prüfungsgesellschaft in Frankfurt
5 Monate

2010-07

2010-11

Erstellung einer Entwicklungsleitlinie für sichere Webanwendungen

IT-Security Consultant / Autor / Project Lead
Rolle
IT-Security Consultant / Autor / Project Lead
Projektinhalte
  • Technologien: Java EE (verschiedene Frameworks), PHP, OWASP ESAPI
Kunde
Behörde im süddeutschen Raum (NDA)
7 Monate

2010-05

2010-11

On-Site-Sicherheitstester im Rahmen der Entwicklung eines rechtsicheren Internetdienstes

Security Tester / Security Engineer
Rolle
Security Tester / Security Engineer
Projektinhalte
  • Technologien: Java EE, PHP (Zend), C/C++, Webservices (SOAP, REST, WS-Security)
    Fortify 360 (SCA, Server), PKI (X.509, HSM), ModSecurity
Kunde
Logistikunternehmen (NDA)
5 Monate

2008-11

2009-03

Sicherheitsbeauftragter bei Entwicklung eines Internetportal-Piloten mit besonders hohen Sicherheitsanforderungen

IT-Sicherheitsbeauftragter
Rolle
IT-Sicherheitsbeauftragter
Projektinhalte
  • PHP, F5 ASM, PKI, Fortify, Eclipse, diverse Open-Source-Tools
Kunde
Deutsches Logistikunternehmen (NDA)

01/20 ? Ongoing - Security Architekt für Startup, welches im Gesundheitsbereich eine Mobile App zur Verwaltung von Gesundheitsdaten entwickelt.

  • Rolle: Security Architekt
  • Kunde: Startup im Gesundheitsbereich
  • Technologien: AWS, React, React Native, Java, iOS, Android, Kubernetes, Kafka, MongoDB
  • Tätigkeiten im Einzelnen: 
    • Threat Modeling & Spezifikation der Sicherheitsarchitektur
    • Definition von Anforderungen für Cloud-Deployment, SW-Entwicklung, Mobile Apps
    • Abstimmungen mit internen Dienstleistern
    • Erstellung von Rollen- und Berechtigungskonzept, Datenbehandlungskonzept und Sicherheitskonzept
    • Security Testing und Review (z.B. des Cloud Deployments)

 03/19 ? Ongoing - Unterstützung im Bereich Security Architektur für Abrechnungslösung im Gesundheitsbereich (Umzug On-Premise in die Cloud)

  • Rolle: Security Architekt
  • Kunde: IT-Dienstleister in Gesundheitsbranche (NDA)
  • Technologien: Telekom OTC, AWS, OAuth, OpenShift / Kubernetes, Java
  • Tätigkeiten im Einzelnen:                
    • Definition der Security Architektur mit Fokus Multi Tenancy
    • Definition von Sicherheitsmaßnahmen für die Cloud (AWS und OTC) und OpenShift / Kubernetes
    • Threat Modeling der Lösung im Rahmen mehrere Workshops mit dem Projekt
    • Unterstützung bei der Erstellung des Sicherheitskonzepts
    • Aufbau eines Risikoregisters

 

08/19 ? 09/19 - Review der Cloud-Sicherheitsarchitektur (AWS) und Sicherheitsprozesse in der SW-Entwicklung

  • Rolle: Security Architekt
  • Kunde: Industrieanbieter (NDA)
  • Technologien: AWS

 

02/19 ? Ongoing - Aufbau von Secure SDLC bei IT-Dienstleister

  • Rolle: Security Consultant
  • Kunde: IT-Dienstleister für Bankensektor aus Österreich (NDA)
  • Technologien: Java, ABAP, Artifactory, Jenkins
  • Tätigkeiten im Einzelnen:                 
    • Durchführung von Workshops mit verschiedenen Stakeholdern
    • Überarbeitung von Security Policy im Hinblick auf Konformität zu ISO27002 Controls
    • Erstellung von Sicherheitskonzepten (Secure SDLC Rahmenkonzept, Security Test Konzept)
    • Threat Modeling verschiedener Applikationen (u.a. von Kernbankensystemen)
    • Unterstützung bei Anpassung vorhandener und Auswahl und Integration neuer Tools
    • Erstellung eines Security-Reifegradmodelles für die Softwareentwicklung und entsprechender Assessment-Tools

 

05/19 ? Ongoing - Vorstudie für die Einführung globaler Sicherheitsprozesse in der Softwareentwicklung des Kunden

  • Rolle: Security Architekt
  • Kunde: Rückversicherer (NDA)
  • Technologien: AWS, OAuth, OpenID, JWT, Keycloack, Spring Security
  • Tätigkeiten im Einzelnen:                 
    • Laufende Unterstützung der Entwicklungsteams bei Sicherheitsaspekten und Teilnahme an Security JFs
    • Analyse des Ist-Zustandes der in der SW-Entwicklung eingesetzten Sicherheitsprozesse und -technologien
    • Threat Modeling mit sämtlichen Entwicklungsteams und Ableiten von Maßnahmen
    • Analyse der verwendeten OAuth-Implementierung

 

01/19 ? 04/19 - Unterstützung im Bereich Security Architektur und DevSecOps

  • Rolle: Security Architekt
  • Kunde: Bank in Norddeutschland (NDA)
  • Technologien: AWS, Telekom OTC/AppAgile, Keycloak, Kubernetes, OAuth, OpenID Connect
  • Tätigkeiten im Einzelnen:                 
    • Operative Mitarbeit im DevOps-Team und Ansprechpartner für Sicherheitsthemen
    • Unterstützung des CISOs bei Ausbau des Information Security Managements Systems (ISMS) und Vorgaben auf Mutterkonzern
    • Unterstützung von agilen Teams und Projekten
    • Definition von Sicherheitsmaßnahmen für Softwareentwicklung und Cloud (OTC, AWS) auf Basis von Best Practices, Konzernvorgaben und Compliance
    • Aufbau eines Security Monitorings
    • Security Reviews und Abnahmen von Cloudarchitekturen (insb. unter AWS)
    • Erstellen von Sicherheitsdokumentationen

 

10/18 ? 12/18 - Vorstudie für die Einführung globaler Sicherheitsprozesse in der Softwareentwicklung des Kunden

  • Rolle: Security Architekt
  • Kunde: Rückversicherer (NDA)

05/18 ? 10/18 - Cloud Security AWS & Azure

  • Rolle: Security Architekt
  • Technologien: Azure, AWS, ASP.NET Core, Java, Python
  • Kunde: Energiedienstleister (NDA)
  • Tätigkeiten im Einzelnen:                 
    • Betreuung von mehreren Entwicklungs-Projekten des Kunden bei der Umsetzung von Sicherheitsanforderungen (Teil verschiedener Scrum Teams)
  • Analyse und Weiterentwicklung der Sicherheitsarchitekturen
    • Technische Absicherung von AWS und Azure
    • Überarbeitung der Cloud Security Vorgaben
    • Identifikation & Dokumentation von Sicherheitsanforderungen
    • Durchführen von Bedrohungs- und Risikoanalysen
    • Durchführen verschiedener Security Analysen (Cloud, Code Reviews, Pentests)

 

04/17 ? 08/18 - Workshop Web- und Applikationssicherheit

  • Rolle: Lehrbeauftragter
  • Kunde: FH Wedel
  • Tätiglkeiten: Vorbereitung und Durchführung eines zensierten Workshops Web & Application Security in SS2017 und SS2018

03/09 ? Ongoing - Schulungen im Bereich Web Security / Java Security

  • Durchführung von über 40 Schulungen und Workshops zu den Themen
    • Einführung in die Web Security
    • Grundlagen der sicheren Softwareentwicklung (z.B. mit Java EE)
    • Sicherheit in agiler Softwareentwicklung (Scrum, Kanban)
    • Security Testing & Testautomatisierung
    • Bedrohungsmodellierung / Threat Modelling
  • Verschiedene Hands-On-Übungen mit Demo-Anwendung
  • Häufig individuell an Kundenwünsche angepasst

 

09/16 ? 05/18 - Planung und Rollout von Sicherheitsmaßnahmen in der SW-Entwicklung

  • Rolle: Security Architekt / Teilprojektleiter
  • Technologien: Java, Jira, Confluence, Jenkins, Contrast IAST, Android, iOS
  • Kunde: Bundesagentur für Arbeit
  • Tätigkeiten im Einzelnen:                 
    • Erarbeitung von Security Practices für agil arbeitende Teams (Scrum und Kanban)
    • Ausarbeitung von technischen und organisatorischen Maßnahmen (u.a. für Container / Docker Security sowie auf Basis von ISO2700x)
    • Bedrohungs- und Risikoanalysen
    • Security Test Automatisierung (Evaluierung von Tools, Integration in CI/CD-Toolketten der Projekte)
    • Leistung eins Security Coaching Team, welches Projekte bei der Umsetzung der Vorgaben unterstützte

 

04/16 ? 08/16 - Security Coaching

  • Rolle: Security Consultant
  • Technologien: Java EE, JIRA, Jenkins, Arachni, OWASP Dependency Check, Findbugs, Android, iOS
  • Kunde: Versandhändler in Hamburg (NDA)
  • Tätigkeiten im Einzelnen:                 
    • Coaching von agilen Teams (Scrum) in Bezug auf Softwaresicherheit
    • Evaluierung von Ansätzen zur Integration von automatisierten Security Tests in Build Chains
    • Erarbeitung von Vorgaben und Security Guidelines

 

09/14 ? 06/18 - Entwicklung eines Cloud-basierten Security Scanners

  • Rolle: Entwickler / Architekt
  • Technologien: Amazon AWS, Java EE, Eclipse Spring MVC, Spring Security, Spring Boot, Hibernate, JQuery, Maven, Jenkins, Python, Tomcat
  • Kunde: -

 

10/15 ? 07/16 - Unterstützung eines Secure SDLC Rollouts

  • Rolle: Trainer / Security Consultant
  • Technologien: Java JSF, PHP, SAP ABAP, Veracode, Microsoft Threat Modeling Tool
  • Kunde: Automobilzulieferer im süddeutschen Raum (NDA)
  • Tätigkeiten im Einzelnen:
    • Erarbeiten von Schulungsunterlage und Durchführung von Trainings für Entwicklungsteams zur sicheren Softwareentwicklung
    • Einführung und Schulung von Bedrohungsanalysen auf Basis von Microsoft Threat Modeling Tool
    • Bedrohungs- und Risikoanalysen
    • Beratung und Coaching von internen Security-Experten

 

06/15 ? 03/2017 - Ist-Analyse Applikationssicherheit / Erstellung von Entwicklungsrichtlinien / Laufende Unterstützung

  • Rolle: Security Consultant / Architekt
  • Technologien: JSF, HP Fortify, WhiteHat Sentinal, Veracode
  • Kunde: Versicherungskonzern in Hamburg (NDA)
  • Tätigkeiten im Einzelnen:
    • Analyse des Reifegrades der Softwareentwicklung und Architektur im Hinblick auf Applikationssicherheit und Ableitung von Maßnahmenempfehlungen
    • Durchführung von Interviews, Applikationstests, Code Reviews und statische Codeanalysen (mittels HP Fortify on Demand)
    • Erstellung von Entwicklungsrichtlinien
    • Laufende Unterstützung bei Integration von Sicherheit in Entwicklungsprozess (inkl. Evaluierung von Tools)

 

03/15 ? 11/15 - Erarbeitung von Sicherheitsvorgaben für die SW-Entwicklung

  • Rolle: Security Consultant / Projektmitarbeiter
  • Technologien: Java EE, JSF, Scrum, HP Fortify, Contrast IAST, Nexus, Hudson
  • Kunde: Bundesagentur für Arbeit
  • Tätigkeiten im Einzelnen:
    • Erstellung eines Bedrohungskataloges und Integration in einen kundenspezifischen IT-Grundschutzbaustein (BSI) sowie ISO 27001/27002
    • Erstellung von abgeleiteten Maßnahmen (Secure Coding Guidelines)
    • Bedrohungsmodellierung für Projekte
    • Entwicklung und Abstimmung von Architektur-Blueprints
    • Erarbeitung von Anforderungen für das interne Security Testings von Anwendungen
    • Marktanalyse und technische Evaluierung verschiedener Enterprise Security-Tools (SAST, IAST)

 04/14 ? 03/15 - Integration von Sicherheit in den Entwicklungsprozess des Kunden (Aufbau eines ?Secure SDLCs?)

  • Rolle: Teilprojektleiter
  • Technologien: HP Fortify, Checkmarx, Veracode, Java EE, GWT, Android, iOS, SAP, Virtual Forge
  • Kunde: Großer Versicherungskonzern in Köln (NDA)
  • Tätigkeiten im Einzelnen:                   
    • Teilprojektleitung innerhalb eines großen internationalen Security Programmes (Teamleitung, Organisation, Reporting, Konzepterstellung)
    • Abstimmung von Änderungen an Entwicklungs- und Beschaffungsprozessen (insb. Security Gates)
    • Abstimmung von Rollen und Aufbau einer internen Software Security Group (SSG)
    • Erstellung und Abstimmung von Sicherheitsvorgaben (Web Security & Security Architektur Standard, Coding Guidelines)
    • Ausbau von Schulungen, Qualifikation von Mitarbeiter
    • Unterstützung, Koordinierung, und Planung von Pentests und Erstellung von Vorgaben
    • Auswahl, Pilotierung und Integration verschiedener Security Tools

 

01/13 ? 11/14 - Buchprojekt ?Sicherheit von Webanwendungen in der Praxis

  • Rolle: Autor
  • Verlag: Springer Vieweg Verlag (<kes>-Reihe)

 

06/13 ? 13/14 - Teilprojektleitung im Rahmen eines IT-Security-Projektes

     (Aufgaben u.a.: Aufbau Schwachstellenmanagement, Sicherheitsvorgaben, Prozesse)

  • Rolle: Teilprojektleiter
  • Kunde: Handelsunternehmen in Hamburg (NDA)

 

06/13 ? 09/13 - Statische Codeanalyse: Tool-Deployment, Scans und Konzept-Erstellung

  • Rolle: Security Consultant
  • Technologien: HP Fortify, Xcode, ObjectiveC, Android, Java EE, .NET, SAP
  • Kunde: Automobilhersteller in Süddeutschland (NDA)

 

04/12 ? 12/12 - IT-Risikoanalyst für Web- und Mobileanwendungen

  • Rolle: Application Security Analyst
  • Technologien: HP Fortify, IBM AppScan, Xcode, Objective-C, Java, HTML5, Flex, etc.
  • Kunde: UBS AG in London
  • Tätigkeiten im Einzelnen:                    
    • Unterstützung von SW-Entwicklungsteams bei der Umsetzung von Sicherheitsanforderungen
  • Erstellung von Security Guidelines und Standards
    • Durchführung von Sicherheitsanalysen
    • Mitarbeit bei einem Unternehmensweiten Projekt für den Aufbau einer Cloud-Infrastruktur

 

09/11 ? 04/12 - Durchführung verschiedener Risiko- und Bedrohungsanalysen von hochsensiblen

     IT-Anwendungen und Aufbau entsprechender Vorgaben

  • Rolle: Consultant / IT-Security Analyse
  • Technologien: SharePoint 2010 (ASP.NET, C#), IIS, SiteMinder, Java EE
  • Kunde: Big-Four-Prüfungsgesellschaft in Frankfurt (über n.runs AG)

07/10 ? 11/10 - Erstellung einer Entwicklungsleitlinie für sichere Webanwendungen

  • Rolle: IT-Security Consultant / Autor / Project Lead
  • Technologn: Java EE (verschiedene Frameworks), PHP, OWASP ESAPI
  • Kunde: Behörde im süddeutschen Raum (NDA)

 

05/10 ? 11/10 - On-Site-Sicherheitstester im Rahmen der Entwicklung eines rechtsicheren Internetdienstes.

  • Rolle: Security Tester / Security Engineer
  • Technologien: Java EE, PHP (Zend), C/C++, Webservices (SOAP, REST, WS-Security)
    Fortify 360 (SCA, Server), PKI (X.509, HSM), ModSecurity
  • Kunde: Logistikunternehmen (NDA)

 

11/08 ? 03/09 - Sicherheitsbeauftragter bei Entwicklung eines Internetportal-Piloten mit besonders hohen Sicherheitsanforderungen.

  • Rolle: IT-Sicherheitsbeauftragter
  • PHP, F5 ASM, PKI, Fortify, Eclipse, diverse Open-Source-Tools
  • Kunde: Deutsches Logistikunternehmen (NDA)

2005
Studium der Medieninformatik an der Fachhochschule Wedel
Abschluss: Diplom Medieninformatiker(FH) 
 

Zertifizierungen

01/2013  

Certified Information Security Manager (CISM)      

12/2011  

Certificate of Cloud Security Knowledge (CCSK)   

09/2011  

Certified Information Systems Security Professional (CISSP)

04/2011  

Certified Secure Software Lifecycle Professional (CSSLP)

11/2010

Akkreditierter A7700-Auditor

Mein fahlicher Fokus ist die Sicherheit in der Softwareentwicklung. Bitte keine Anfragen zu reinen Entwicklungstätigkeiten!

  • Application Security Architektur
  • Web & Application Security
  • Cloud Security / AWS Security
  • Sichere Softwareentwicklung / Java Security
  • Verankerung von Sicherheit in der Softwareentwicklung (Secure SDLC)
  • Agile Security (Scrum, Kanban) / DeSecOps
  • Security Test Automatisierung (SAST, IAST, SAST)
  • Security Assessments / Code Reviews
  • Risikoanalysen / Bedrohungsmodellierung (Threat Modelling
  • Koordinierung von Pentests
  • Security Workshops und Schulungen mit Entwicklern

Deutsch
Englisch Verhandlungssicher in Wort und Schrift, mehrere Auslandsaufenthalte, Cambridge Certificate in Advanced (CAE)

Top Skills
IT-Sicherheitsarchitektur Secure coding Web application security
Schwerpunkte
Security
Produkte / Standards / Erfahrungen / Methoden
AWS Azure JSF SCRUM
Produkte
  • HP Fortify, Veracode, Contrast, IBM AppScan, Checkmarx
  • Web Application Firewalls
  • Entwicklungs-Tools: Eclipse, JDeveloper, Jenkins, Nexus, Maven

 

Standards
  • BSI Baustein für Webanwendungen, BSI Grundschutz
  • OWASP ASVS (Application Security Verification Standard); Aktive Mitarbeit und
  • TSS-WEB (Autor)
  • Übersetzung
  • ÖNORM A 7700: Akkreditierung und Schulungen
  • PCI-DSS (Payment Card Industry Data Security Standard)
  • WS-Security (WS-Encryption, XML-Signature, SAML), WS-Policy
  • CWE, CVE (Common Weakness Enumeration, Common Vulnerabilities and Exposure)
  • ISO 2700x Series
  • Bundesdatenschutzgesetz (BDSG)
  • X.509 (Digitale Signaturen, PKI
  • IETF, RFC

 

Best Practices
  • BSI Best Practices für sichere Webanwendungen / BSI ISi-Web
  • NIST 800x Series
  • OWASP SAMM, Cigital BSIMM, SSE-CMM
  • OWAP GUIDES, OWASP Testing Guide, OWASP Code Review Guide, OWASP Top 10, OWASP Developer Guide
  • OSSTMM
  • ITIL (IT Infrastructure Library)

Fachgebiete

  • Application Security Architektur
  • Sicherheit in der Softwareentwicklung (Secure SDLC)
  • Web & Applikationssicherheit allg.
  • Java Security
  • Cloud Security
  • Security Test Automatisierung

BERUFSTÄTIGKEIT
10/2013 - heute
Geschäftsführer und Security Architekt

[auf Anfrage]

06/2011 ? 10/2013
Freiberuflicher Berater & Architekt für IT?Security und Anwendungssicherheit,
Schwerpunkte: Sichere Softwareentwicklung, Security Testautomatisierung

04/2010 ? 06/2011
Senior Security Consultant

SEC Consult Deutschland in Hamburg/Wien,
Schwerpunkte: Sichere Softwareentwicklung, Workshops, Pre?Sales

08/2009 ? 02/2010
Anstellung als Senior Security Engineer / IT?Security Manager für den Bereich
Online?Systeme beim IT?Dienstleister der Axel Springer AG in Hamburg,
Schwerpunkte: Pentests, Erstellung von Vorgaben

06/2007 ? 08/2009
Anstellung als Application Security Consultant

SecureNet GmbH in München,
Schwerpunkte: Sichere Webentwicklung, Schulungen, Statische Codeanalyse (Fortify),
Pentests von Webanwendungen

05/2006 ? 06/2007
Anstellung als Security Consultant

T?Systems GEI GmbH im Bereich ICT Security in Bonn,
Schwerpunkte: Pentests, Code Reviews, PKI

09/2004 ? 03/2005
Praktikum im Bereich ?Globale Informations?Sicherheit? (ITI?S)

DaimlerChrysler AG in Stuttgart?Möhringen

08/2002 ? 08/2004
Werkstudent im ?Business Development & Controlling? des Bereichs ?Neue Medien? der
OTTO GmbH & Co. KG in Hamburg

01/2000 ? 12/2001
Freiberuflicher Webentwickler, u.a. bei der Epecon GmbH in Hamburg

05/1999 ? 12/2000
u.a. System Engineer

AOL Bertelsmann Online GmbH in Hamburg

Programmiersprachen
C C#
Mehrere Projekte as Developer (Windows Forms, ASP.NET)
Java
Java (J2EE, JSP, Servlets, JSF, Struts, Spring JSF), Diverse Projekte, Trainer für J2EE-Security
JavaScript Perl
Umfangreiche Kenntnisse, mehrere Projekte
PHP
Umfangreiche Kenntnisse, insb. Security Frameworks
Insbesondere Kenntnisse in sicherer Webanwendungsentwicklung (PHP, J2EE und .NET), Erstellung von Secure Coding Guidelines, Workshops & Schulungen, Sichere Entwicklungsprozesse (Secure Development Lifecycle, SDL)
Datenbanken
JDBC
Grundkenntnisse
MS SQL Server
Grundkenntnisse
MySQL
Grundkenntnisse
Oracle SQL
Erweiterte Kentnisse
Kenntnisse insb. in Hinblick auf Datenbanksicherheit (Angriffe, Separierung, Rechtemangement, DB Firewalls, etc.)

Veröffentlichungen & Vorträge [nähere Angaben gerne auf Anfrage]

  • E-Commerce
  • Medien
  • Software Distributor
  • Systemhaus
  • Handel
  • Versicherungen
  • Banken
  • Automobilindustrie
  • Telekommunikation
  • Unternehmensberatung
  • Maschinenbau
  • Verwaltungen
  • Medizintechnik
  • Marketing
  • sonstige Industrie
Ihr Kontakt zu Gulp

Fragen? Rufen Sie uns an +49 89 500316-300 oder schreiben Sie uns:

Jetzt bei GULP Direkt registrieren und Freelancer kontaktieren