Langfristige Unterstützung des Sicherheitsteams für die Vertriebsplattform eines großen deutschen Logistikunternehmens
Aufgaben:
Pentests von Microservices, Webanwendungen, iOS/Android apps, Infrastruktur. Die Vertriebsplattform wird ständig weiterentwickelt und modernisiert, daher stehen dort immer wieder Pentests an, um einzelne Teile aber auch die Plattform im Allgemeinen auf ihre Sicherheit zu überprüfen. Dort wurden bisher mehr als 50 Pentests von einzelnen Microservice APIs, Webseiten und Mobile Apps durchgeführt. Da viele der web-basierten APIs recht komplex sind war es notwendig eigene Skripte zu entwickeln, um diese effizient testen zu können
Threat Modeling nach STRIDE und Erstellung eines Sicherheitskonzepts für eine VoIP-Implementierung bei einer Landesbehörde nach BSI IT-Grundschutz
Aufgaben:
Erstellung eines Sicherheitskonzepts nach BSI IT-Grundschutz. Zunächst wurde zur Ist-Aufnahme des Feinkonzepts ein Reifegrad-Assessment als Workshop mit relevanten Beteiligten seitens des IT-Dienstleisters und des Endkunden Landesoberbehörde durchgeführt. Danach würde eine Risiko- und Bedrohungsanalyse der VoIP-Landschaft mittels Threat Modeling nach STRIDE durchgeführt. Danach wurde die Entwicklung eines Sicherheitskonzepts nach BSI IT-Grundschutz Kompendium ? Edition 2022, TLSTK II und TL-02103 zur Sicherung der VoIP-Lösung nach Stand der Technik als wichtiger Bestandteil einer umfassenden Sicherheitsstrategie angegangen.
Android, iOS und Web API Pentesting bei einem deutschen Vermögensverwalter
Aufgaben:
Die Android und iOS Apps eines deutschen Vermögensverwalters, sowie das web-basierte Backend sollten auf sicherheitsrelevante Schwachstellen untersucht werden. Um die Apps untersuchen zu können wurde dafür die implementierte root detection und das Zertifikat pinning umgangen, anschließend wurde das Verhalten der App analysiert und Sicherheitsprobleme im Backend, sowie potentielle Härtungsmaßnahmen für die Apps selbst kommuniziert. Das Backend wurde dabei sowohl in der Kommunikation mit der App, als auch als einzelne API untersucht. Zusätzlich wurden Retests durchgeführt, um die Umsetzung von Verbesserungsmaßnahmen zu überprüfen.
Pentests von internen Netzwerken, inklusive Active Directory bei einem deutschen Vermögensverwalters
Aufgaben:
Im Zuge dieses Tests wurde zunächst die interne Angriffsoberfläche, mithilfe von Portscans aller erreichbaren internen Netze bestimmt. Die gefundenen Services wurden dann auf Sicherheitslücken überprüft. Gefundene kritische Schwachstellen wurden direkt an den Kunden gemeldet und noch im Laufe des Tests behoben und erneut getestet. Die Konfiguration des Active Directory wurde auf sicherheitsrelevante Fehlkonfigurationen untersucht.
Zertifizierungen
Kompetenzbereiche
Beruflicher Werdegang
04/2023 ? heute
Kunde: auf Anfrage
Rolle: Information Security Consultant
08/2021 ? 03/2022
Kunde: DE-CIX
Rolle: Werkstudent
04/2021 ? 07/2021
Kunde: TU Darmstadt
Rolle: Tutor Netzwerksicherheit
04/2020 ? 08/2020
Kunde: TU Darmstadt
Rolle: Tutor Netzwerksicherheit
11/2019 ? 02/2020
Kunde: TU Darmstadt
Rolle: Tutor Betriebssysteme
Machine Learning
Grundlegendes Verständnis gängiger Machine-Learning-Algorithmen sowie praktische Erfahrung durch mehrere Projekte, unter anderem in den Bereichen Natural Language Processing (NLP) und der Klassifikation von Netzwerkverkehr zur Erkennung von DDoS-Angriffen.
Kryptographie
Fundierte Kenntnisse im Bereich der Kryptographie, insbesondere im Hinblick auf aktuell eingesetzte Standardalgorithmen, sowohl bei symmetrischen, als auch bei asymmetrischen Verfahren. Umfassendes Verständnis von historischen und theoretischen Angriffen auf kryptographische Algorithmen. Erfahrung mit der Analyse formaler Sicherheitsbeweise, einschließlich ihrer Struktur, Zielsetzung und Aussagekraft im Rahmen moderner kryptographischer Protokolle.
Langfristige Unterstützung des Sicherheitsteams für die Vertriebsplattform eines großen deutschen Logistikunternehmens
Aufgaben:
Pentests von Microservices, Webanwendungen, iOS/Android apps, Infrastruktur. Die Vertriebsplattform wird ständig weiterentwickelt und modernisiert, daher stehen dort immer wieder Pentests an, um einzelne Teile aber auch die Plattform im Allgemeinen auf ihre Sicherheit zu überprüfen. Dort wurden bisher mehr als 50 Pentests von einzelnen Microservice APIs, Webseiten und Mobile Apps durchgeführt. Da viele der web-basierten APIs recht komplex sind war es notwendig eigene Skripte zu entwickeln, um diese effizient testen zu können
Threat Modeling nach STRIDE und Erstellung eines Sicherheitskonzepts für eine VoIP-Implementierung bei einer Landesbehörde nach BSI IT-Grundschutz
Aufgaben:
Erstellung eines Sicherheitskonzepts nach BSI IT-Grundschutz. Zunächst wurde zur Ist-Aufnahme des Feinkonzepts ein Reifegrad-Assessment als Workshop mit relevanten Beteiligten seitens des IT-Dienstleisters und des Endkunden Landesoberbehörde durchgeführt. Danach würde eine Risiko- und Bedrohungsanalyse der VoIP-Landschaft mittels Threat Modeling nach STRIDE durchgeführt. Danach wurde die Entwicklung eines Sicherheitskonzepts nach BSI IT-Grundschutz Kompendium ? Edition 2022, TLSTK II und TL-02103 zur Sicherung der VoIP-Lösung nach Stand der Technik als wichtiger Bestandteil einer umfassenden Sicherheitsstrategie angegangen.
Android, iOS und Web API Pentesting bei einem deutschen Vermögensverwalter
Aufgaben:
Die Android und iOS Apps eines deutschen Vermögensverwalters, sowie das web-basierte Backend sollten auf sicherheitsrelevante Schwachstellen untersucht werden. Um die Apps untersuchen zu können wurde dafür die implementierte root detection und das Zertifikat pinning umgangen, anschließend wurde das Verhalten der App analysiert und Sicherheitsprobleme im Backend, sowie potentielle Härtungsmaßnahmen für die Apps selbst kommuniziert. Das Backend wurde dabei sowohl in der Kommunikation mit der App, als auch als einzelne API untersucht. Zusätzlich wurden Retests durchgeführt, um die Umsetzung von Verbesserungsmaßnahmen zu überprüfen.
Pentests von internen Netzwerken, inklusive Active Directory bei einem deutschen Vermögensverwalters
Aufgaben:
Im Zuge dieses Tests wurde zunächst die interne Angriffsoberfläche, mithilfe von Portscans aller erreichbaren internen Netze bestimmt. Die gefundenen Services wurden dann auf Sicherheitslücken überprüft. Gefundene kritische Schwachstellen wurden direkt an den Kunden gemeldet und noch im Laufe des Tests behoben und erneut getestet. Die Konfiguration des Active Directory wurde auf sicherheitsrelevante Fehlkonfigurationen untersucht.
Zertifizierungen
Kompetenzbereiche
Beruflicher Werdegang
04/2023 ? heute
Kunde: auf Anfrage
Rolle: Information Security Consultant
08/2021 ? 03/2022
Kunde: DE-CIX
Rolle: Werkstudent
04/2021 ? 07/2021
Kunde: TU Darmstadt
Rolle: Tutor Netzwerksicherheit
04/2020 ? 08/2020
Kunde: TU Darmstadt
Rolle: Tutor Netzwerksicherheit
11/2019 ? 02/2020
Kunde: TU Darmstadt
Rolle: Tutor Betriebssysteme
Machine Learning
Grundlegendes Verständnis gängiger Machine-Learning-Algorithmen sowie praktische Erfahrung durch mehrere Projekte, unter anderem in den Bereichen Natural Language Processing (NLP) und der Klassifikation von Netzwerkverkehr zur Erkennung von DDoS-Angriffen.
Kryptographie
Fundierte Kenntnisse im Bereich der Kryptographie, insbesondere im Hinblick auf aktuell eingesetzte Standardalgorithmen, sowohl bei symmetrischen, als auch bei asymmetrischen Verfahren. Umfassendes Verständnis von historischen und theoretischen Angriffen auf kryptographische Algorithmen. Erfahrung mit der Analyse formaler Sicherheitsbeweise, einschließlich ihrer Struktur, Zielsetzung und Aussagekraft im Rahmen moderner kryptographischer Protokolle.