IT-Security und Network Architekt, Consulter, Senior Engineer mit 25+ Jahren Erfahrung nach Abschluss zum Diplom Informatiker (FH)
Aktualisiert am 19.04.2024
Profil
Freiberufler / Selbstständiger
Remote-Arbeit
Verfügbar ab: 01.05.2024
Verfügbar zu: 100%
davon vor Ort: 60%
IT Security
CheckPoint
ITIL Certified
UNIX
Linux
Bash Shell
Fortinet
Juniper
Deutsch

Einsatzorte

Einsatzorte

Deutschland
möglich

Projekte

Projekte

08/2011 ? laufend

Rolle: Gesellschafter-Geschäftsführer der Quinta Essentia Services GmbH

Aufgaben: Unternehmensleitung, Akquise und Steuerung neuer Projekte, Organisation

03/2020 ? 06/2021

Rolle: Netzwerk-Security Architect und Projektleitung Netzwerksegmentierung BayernLB

Aufgaben: - Kontinuierliche Implementierung von ?Firewall Anträgen? für diverse Landesbanken und Finanzdienstleister (Multi-Mandanten Umgebung) mit verschiedenen
Antrags-/Dokumentation-Tools und Prozessen via CheckPoint Provider-1 R80.40, Juniper SRX und FortiManager-400E u.a. für HeLaBa, NordLB, BayernLB, DekaBank, ?

- Kontinuierliche Genehmigung ?Firewall-Anträge (EZB)? oft aber Ablehnung und Unterstützung EZB-konformer (Neu-)Beantragung durch interne FI-TS Mitarbeiter oder Kunden.
Implementierung musste dann allerdings durch andere interne/externe Kollegen erfolgen (4-Augen-Prinzip)

- Projektleitung Netzwerk-Segmentierung BayernLB / Eliminierung *any-Regeln
Alleiniger Ansprechpartner (SPoC) für die Projektleiter des Kunden. Regelmäßiges Reporting (intern und zum Kunden).
Projekt-Verlängerung Budget erfolgreich nachverhandelt.
Technisch: *any-Analyse (splunk, FortiAnalyser), Lösungs-Design bis hin zum abgestimmten ITIL FW-Antrag / Change-Antrag (via ARS) sowie letztlich dessen
Implementierung (CheckPoint)

- Vorantreiben interne FI-TS Projekte ?Integration skybox-Change-Manager für EZB-Regelbasispflege-Prozess (alle Kunden)? und
?Einsatzmöglichkeiten skybox FW-Assurance?

- TroubleShooting / ITIL Incident Management via ARS(BMC Remedy) für sämtliche Kunden

Kunde: FI-TS - Finanz Informatik Technical Services GmbH, München




03/2018 ? 11/2018

Rolle: CheckPoint Experte und Prozess-Designer für Firewall Change Prozess (ITIL)

Aufgaben: - Implementierung ?Firewall Rulebase Changes? via CheckPoint Provider-1 R80.10 und R77.30 für über 1000 Appliances von UTM-1(Edge) über CP4800, CP 21700 bis hin zu 13 Clustern der 61k Architektur; Freigabe und Monitoring des automatisierten PolicyPush ggf. TroubleShooting

- ITIL Incident Mangement via HPSM Ticketsystem

- Migration Nokia IPSO auf CP4800 in Shangai
- Implementierung s2s-VPN mit diversen Zulieferern und externen Partnern

- Outsourcing (Dokumentation, Schulung) des obigen ?Firewall Rulebase Change Prozesses? an internes Team in Rumänien

- Definition (fachliche Kriterien und SLAs) und Einführung revisionssicheren, konzernweit standarisiertes Genehmigungsverfahren (Approval-Prozess) für sämtliche Firewall Changes (Security und Rulebase)
- Outsourcing (Dokumentation, Schulung) des ?Rulebase Change Approval Prozess? an internen Dienstleister in Rumänien, als standardisierter Teil des Approval-Prozesses

Kunde: Metrosystems GmbH später METRO|NOM GmbH, Düsseldorf

12/2012 ? 02/2016

Rolle: Projektleitung Netzwerk-Segmentierung weltweit (ca.130 Niederlassungen), Projektleitung weltweiter Neuaufbau und Standardisierung aller Partneranbindungen, Architektur-Consulting für diverse Infrastruktur-Erweiterungen wie IaaS, WLAN, Desktop-Virtualisierung in Personalunion mit der Rolle als ITIL Service Level Manager und kommissarischem ?Service Owner Firewall?

Aufgaben: - Einführung ?standarisierte und kollaborierende Netzsegmente? in allen Niederlassungen der Wincor Nixdorf International GmbH auf allen Kontinente. Eigenständige Planung, Projektierung und Providersteuerung
- Konzernweite Koordinationsstelle für Projekte, Architektur und interne Services für die Themenbereiche Netzwerk und Firewall
- Entscheidungsinstanz für ?business requirements?
- direktes Reporting zum CIO PAS, Chief Information Officer ? Projekt, Architektur, Services
- Schnittstelle zum Chief Information Security Office

Kunde: Wincor Nixdorf Internation GmbH, Paderborn

05/2012 ? 11/2012

Rolle: Security Consultant / Senior Firewall Engineer

Aufgaben: - Einführung ?user based firewalling? = CheckPoint IdentityAwareness:
Eigenständige Planung, Test und Implementierung und konzernweit produktiven Roll-Out von CheckPoint IdentityAwareness, wodurch personenbezogene FireWall-Freischaltungen ohne feste SRC-IP-Adresse durch Integration der Microsoft-ActiveDirectory Authentifizierung dynamisch in die FireWall-Regelbasis für alle AD-Clients ermöglicht wird. Anbindung auch von Nicht-AD-Clients (Mac, Linux, Smartphones, ...) über ?captive protal?. Bereitstellung Admin/Konfiguration- und Endanwender-Dokumentation.

- Migration auf ?next-generation? Proxy:
Ablösung der (dedizierten) Web-Proxies (Squid) durch transparente PaloAlto inkl. Content-Filter, AntiVirus, AntiSpyware und VulnerabilityScan auch im SSL-Datenstrom inkl. Roll-Out für alle User und DMZen der Konzernzentrale (ca. 50.000 Clients).

- Security-/Netzwerk-Redesign:
Homogenisierung sämtlicher Konzernfirewall-DMZen (Asynchrones Routing, Cluster Umzug auf neue Layer-2 Hardware inkl. Steuerung externer Dienstleister, Re-Design/Standardisierung Cluster-Sync).

- ITIL Release-Management:
Planung, Test und Implementierung des CheckPoint Upgrades von R75.20 auf R75.40VS/R75.40 unter IPSO-6.2, SPLAT und RedHat für alle Konzern-FireWalls
Planung, Test und Implementierung des Upgrade von ca. 70 Juniper SSG Appliances auf 6.3r11.0 (alle remote Peers des zentralen managed-VPN)

- Einführung digitaler Workflow AlgoSec:
Definition und Einführung AlgoSec FireFlow als digitaler Unternehmensprozess zum Regelbasis-Changemanagement inkl. (User/Admin)-Dokumentation

- Betriebsunterstützung:
Initiale Erstellung einer Netzwerk-Dokumentation (static routes, directly attached) sämtlicher DMZen des OTTO-Konzern (inkl. ?big picture?)
Fortlaufende eigenverantwortliche Firewall Regelbasispflege sowie Restrukturierung auf allen CheckPoint R75.20 Cluster des OTTO Konzerns
Fortlaufende eigenverantwortliche Pflege aller VPN-Verbindungen (managed und Peer-2-Peer) auf den Juniper Clusters des OTTO Konzerns und deren managed Peers, sowie der Client-2-Site openVPN-Server
TroubleShooting (ad hoc und klassisches ITIL-Incident-Management)
ITIL Change-/Problem-Management:
Planungsunterstützung und Implementierung von Changes im Bereich Firewall- und Proxy-Umfeld (inkl. ITIL Change-Management)
Last-Level-Support u.a. in 2 Major-Incidents inkl. Koordination des Hersteller (CheckPoint), der zur Lösung ein kundenspezifisches Software-Update entwickeln musste.

- Revisionssichere Regelbasis:
Firewall Regelbasisbereinigung mittels AlgoSec-Analyser (unused rules, redundant special cases, consolidate rules).
Review aller FireWall-Policies und Herbeiführung der Nachbeantragung oder Löschung nicht auf formellen Anträgen basierender Freischaltungen.

Technologien: Next-generation Firewall PaloAlto 5020, AlgoSec Analyser, AlgoSec FireFlow, Juniper SSG20/SSG140, CheckPoint R75.20, R75.40,R75.40VS, Nokia IPSO IP2450, IP560 (flash-based), VRRP, NSRP

Kunde: OTTO GmbH & Co. KG, Hamburg

03/2012 ? 04/2012

Rolle: Senior Firewall Engineer

Aufgaben: Eigenverantwortliche fortlaufende Firewall Regelbasispflege und -bereinigung sowie Restrukturierung auf ca. 20 R70.30 Cluster via CheckPoint Provider-1 R70.30 und vereinzelten Stand-Alone CheckPoint R65 Instanzen ? hauptsächlich für den Endkunden e-Plus+ aber auch Atos Origin und Mitsubishi (Lastspitzen und Rückstau mehrerer Monate).
Planungsunterstützung und Implementierung von FireWall-Changes (inkl. ITIL Change-Management) sowie TroubleShooting (ad hoc und klassisches ITIL-Incident-Management).

Technologien: CheckPoint Provider-1 R70.30, CheckPoint Power-1 Appliance 9070, Nokia IPSO running R65, VLAN, VRRP, ClusterXL, FireWall-Virtualisierung

Kunde: e-Plus+ durch Atos Information Technology GmbH, Düsseldorf

10/2011 ? 02/2012

Rolle: Firewall Engineer, Multi-Projekt-Management, ITIL-Changemanager und stellvertretender Teamleiter in internationalem Projekt

Aufgaben: Firewall Engineer für den europaweite Replacement von 600+ (managed services) Security Installationen verschiedener Hersteller (CISCO PIX und ASA, CheckPoint auf Crossbeam C-Series sowie diverse Nokia IP-Appliances) auf die hauseigene Kooperationsplattform HP/CheckPoint D-Series (SPLAT). Dabei kommen dediziere Systeme und Cluster zum Einsatz, aber wo immer möglich bevorzugt virtualisiert auf VSX-Cluster
Meine Zuständigkeit begann mit dem eigenverantwortlichen Replacement inkl. Change-Management für sämtliche europäischen, nicht-deutschen Standorte und wurde später noch um die Virtualisierung ausgewählter Kunden-Installationen ausgeweitet

Technologien: CheckPoint Provider-1 R70.50 inkl. VSX, CheckPoint SPLAT HP D1,D2,D6/8, Nokia IP260, IP350, VLAN, VRRP, ClusterXL, FireWall-Virtualisierung

Kunde: Hewlett Packard GmbH, Enterprise Services, Global Network Security Engineering, Wuppertal

11/2003 ? 07/2011

Im Rahmen meiner Beschäftigung in der Zeit von 11/2003 ? 07/2011als Senior Security Engineer Onsite bei der Computacenter AG & Co. oHG (und zuvor bei der DS Datasystems GmbH) in der Konzernzentrale eines DAX-notierten Automobilbauers in Wolfsburg habe ich folgende Projekte übernommen:

  • - Prozessmanagement und technische Beratung bei der Etablierung von ITIL Strukturen und Umsetzung von Prozessen in Form eines dienstleisterbetriebenen 2nd Level Support (Incident-, Problem-, Change-, Release-Management)
    Technologien und Methoden:
    ITIL, HP-ServiceCenter(vormals Peregrine), Projektmanagement

  • - 2nd Level Support (zeitweise inkl. Rufbereitschaft) und Eskalationsmanagement sowie der Betrieb für sämtliche WAN- und Security Infrastrukturen, die durch die Konzernzentrale administriert werden
    Technologien und Methoden:
    alle, die in dieser Projektlistung von 11/2003 ? 07/2011 aufgeführt sind

  • - 11/2007 ? 02/2009
    Projektleitung, Design und Implementierung ?Migration auf eigenen Provider-1? für sämtliche durch die Konzernzentrale administrierten Firewall-Cluster (ca. 20 mit 60+ Enforcement-Points) welche zuvor auf stand-alone Lösungen oder auf einem externen Provider-1 eines Tochterunternehmens gehostet waren.
    Technologien und Methoden:
    CheckPoint NGX R65, Provider-1, Nokia, VRRP, VPN, OfficeMode, SecureClient, SecureClientVerification, statisches und dynamisches (EIGRP, OSPF, BGP) IP-Routing auf diversen CISCO 7206, CISCO VSS, und Avaya (früher Nortel) 8600er

  • - 03/2010
    Projektleitung Upgrade konzernzentraler (20 CMAs) Provider-1 auf NGX R65 HFA70
    Technologien und Methoden:
    CheckPoint NGXR65 HFA70, SUN Solaris 9, Provider-1 NGX R65 HFA70

  • - 03/2010
    Prozess-Entwicklung und Etablierung RMA für F5 LTM, Erstellung DisasterRecovery Prozeduren
    Technologien und Methoden:
    F5 LTM 10.x, F5 Big-IP 8900 Series

  • - 10/2009 ? 01/2011
    Im Projekt ?Internet Access SSO? Entwicklung und Implementierung von Log-Analyse-Tools zur IST-Analyse des Nutzerverhaltens über derzeitige Authentifizierungsmethoden
    Technologien und Methoden:
    SunOne Directory Server (ehemals Netscape), ssh, perl, sed, awk, grep, bash, diff

  • - 11/2008
    LDAP & TACACS Reorganisation der Remoteeinwahl sowie Evaluierung SecureLDAP an CheckPoint R55. Log-Analyse des IST-Zustandes (?last used?) und Ableitung von automatisiert zu bereinigenden Alt-Accounts via Script-generierten *-ldif-Files oder Filterung der tac_plus.cfg.
    Technologien und Methoden:
    SunOne Directory Server (ehemals Netscape), CISCO TACACs auf SUN Solaris 9, CheckPoint R55, perl, sed, awk, grep, bash, diff, tac_plus.cfg, ldif

  • - 01/2008 ? 08/2008 (mit Unterbrechungen)
    Planung, Design, Implementierung von UTM-1 (Edge) basierter Filterlösung im Projekt ?DNS Server Konsolidierung?. Mit den transparenten Layer-2-Firewalls wurde eine sanfte Abschaltung diverser interner DNS-Server (ca. 50) und deren Konsolidierung auf wenige zentrale DNS-Server (5) ermöglicht. Die als temporäre, nicht-redundante Lösung mit dediziertem FW-Management wurde nachträglich auf Provider-1 migriert
    Technologien und Methoden:
    CheckPoint UTM-1 als transparente Layer-2-Firewall, CheckPoint NGX R65, zentrales Policy-Management für ca. 50 Systeme, Schulung des DNS-Supports in Regelbasispflege und elementare Log-Analyse

  • - 08/2007
    Evaluierung und Pilotprojekt ?Einsatz von Encryption Accellaration Cards? für symmetrische Verschlüsselungsverfahren zur Beschleunigung bei Client-2-Site VPNs in Nokia IP1220
    Technologien und Methoden:
    Nokia IP1220, CheckPoint NGX R65, IPSO-4.1

  • - 10/2007 ? 03/2008
    Planung, Evaluierung, Implementierung der Migration / Konsoldierung SUN Solaris 2.6 / Solaris 7 / Solaris 8 (ca. 10 EOL-Geräte) auf ein redundantes Paar Solaris 9 Server. Evaluierung produktive Einsetzbarkeit von libgcc-3.3 vs. libgcc-3.4.6. Serverumzug von PGP-6.5.8.
    Technologien und Methoden:
    TACACS, LDAP (SunOne), RACER/UMS, RVS-5.0.2 (gedas proprietärer Filetransferservice), ActivePerl, sed, awk, grep, bash, diff, Fiberlink, syslog, openSource Compile-Umgebung (gcc), gdbm-1.8.3, wget-1.9.1

  • - 01/2006
    Evaluierung SGOS4 (BlueCoat)
    Technologien und Methoden:
    Bluecoat SG800-3, Bluecoat SG8000, WebSense, WebWasher

09/2001 ? 03/2003

Rolle: Senior Systems- & Network-Architect

Aufgaben: - Architektur, Projektleitung sowie Implementierung und Überführung in den Dauerbetrieb des Neuaufbau der kompletten zentralen IT-Infrastruktur des Hauptsitzes (IP-Netzwerke (LAN, DMZen, WAN), Basis- (DNS, DHCP, Internetzugang, Fileserver NetApp) und Namensdienste (User-Management, Email, LDAP)

- Architektur, Projektleitung, Implementierung und Überführung in den Regelbetrieb der
europaweiten Firewall-, VPN- & WAN-Infrastruktur aller Niederlassungen

Technologien: CheckPoint NG, Nokia IP110, IP400, VLANs, CISCO 6509, CISCO 4006, 3COM-Access Switch, SuSE-Linux SLES9, NetApp Filer 740,

Kunde/

Arbeitgeber: Encorus Technologies, Stuttgart (Rechtsnachfolger der BROKAT Mobile Technologies)

02/2000 ? 08/2001

Rolle: Senior Software Engineer und stellvertretender Teamleiter

Aufgaben: - technische Koordination des Releaseprozesses und Productizing für alle BROKAT Produkte

  • - Architektur, Design, Implementierung und Betrieb der gesamten Systemarchitektur und des Softwareentstehungsprozesses der zentralen R&D-Abteilung

Kunde/

Arbeitgeber: BROKAT Mobile Technologies AG, Stuttgart

12/1999 ? 02/2000

Rolle: Consultant für freie Linux-Lösungen im Bereich Security (geplant)

Aufgabe: de facto aber ausschließlich Projektleitung und Krisenmanager zur Rettung der Einführung eines neuen Warenwirtschaftssystem (ventas) in der SuSE-Zentrale/Nürnberg

Kunde/

Arbeitgeber: SuSE Rhein/Main AG, Frankfurt/Main

04/1999 ? 10/1999

Rolle: Abteilungsleiter / QA-Manager

Aufgaben: - Personal- und Budget-Verantwortung für 14-17 Mitarbeiter

  • - Festlegung Software Produkt Umfang & LifeCycle
  • - Abstimmung mit R&D-Leiter (CTO)
  • - Zuarbeit IPO (Börsengang) sowie Teilnahme und Beratung an Due Diligence
  • - verantwortlich für die Qualität aller im Headquarter entwickelten BROKAT Produkte

Kunde/

Arbeitgeber: BROKAT AG, Stuttgart

04/1998 ? 03/1999

Rolle: Teamleiter Core-QA

Aufgaben: - (fachliche) Personalverantwortung für 5-8 Mitarbeiter

  • - Festlegung Software Produkt Umfang & LifeCycle
  • - Zuarbeit IPO (Börsengang)
  • - verantwortlich für die Qualität des BROKAT Kernproduktes Twister
  • - Design, Architektur und Implementierung des automatisierten Software-Entstehungsprozesses (Versionskontrolle und Archivierung auf Sourcecode-Ebene inkl. Verwendeter Betriebsysteme und Entwicklungstools, Revisionsverwaltung auf Module- und Produkt-Ebene, Freigabe, Productizing) zur definierten Reproduzierbarkeit
  • - Festlegung der Qualitätsstandards und Methoden

Kunde/

Arbeitgeber: BROKAT AG, Stuttgart

04/1997 ? 03/1998

Rolle: Software Quality Engineer

Aufgaben: - Entwicklung Qualtität-Standards, Testmethoden und Implementierung von automatisierten Testsuite

  • - Freigabe von Software-Modulen in das Productizing
  • - verantwortlich für BROKAT Kernprodukt Twister (als Teamleiter)

Kunde/

Arbeitgeber: BROKAT AG, Stuttgart

02/1995 Praktikum mit anschließender IBM Informationssysteme
? 12/1995 Übernahme als freier Mitarbeiter Frankfurt/Main

Aus- und Weiterbildung

Aus- und Weiterbildung

09/1992 – 03/1997 Studium

der Informatik an der Fachhochschule Gießen-Friedberg

Abschluß: Dipl.-Inform. (FH) (Notenschnitt: 1,8)

 

08/1989 – 06/1992 Berufsausbildung

zum Bürokaufmann
Abschluß: Bürokaufmann (Kammersieger, Notenschnitt: 1,0)

 

– 05/1989 Schule

Werner-Heisenberg-Gymnasium Neuwied
Abschluß: Fachhochschulreife

Kompetenzen

Kompetenzen

Top-Skills

IT Security CheckPoint ITIL Certified UNIX Linux Bash Shell Fortinet Juniper

Betriebssysteme

Solaris 9 (seit Solaris 2.3) inkl. OS hardening
Nokia IPSO 6.2 (seit 3.5 FCS)
CISCO IOS (seit Version 10.0)
Linux (seit 0.99pl13) inkl. OS hardening
Windows NT/2000/XP/Win7/8/8.1 (seit Version 3.1)
NetApp DATA Ontap
AIX, HP-UX (sowie bedingt: PalmOS, OS/2, BeOS, MacOS)

Programmiersprachen

Sehr gute Programmierkenntnisse in Shell, Perl, sed
Gute Programmierkenntnisse HTML, awk, PHP4, CGI, SSI, JavaScript
Einige Programmiererfahrung in C, C++, Java, TCL/TK sowie bedingt in Assembler(x86), Fortran, Lisp, Pascal, Basic, Visual-C++

Datenkommunikation

Netzwerk(sicherheit) und -komponenten
CheckPoint FireWall-1/VPN-1 R75.40VS (seit NG), Provider-1 und VSX
Palo-Alto 5020 (next generation firewall)
ipchains/iptables, ipf (SUN)

BlueCoat SG800, SG8000 WebCache inkl. Contentfiltering (Websense, Smartfilter)
Juniper SSG550, SSG140, SSG20
Radware (ehem. Alteon) WebSwitch
AlgoSec Analyser, AlgoSec FireFlow
F5 LTM 10.x
diverse (Cisco) Router und (Cisco, Nortel) Switches
TrendMicro Produkte (insbesondere VirusWall)

Symantec und McAfee AntiVirus-Lösungen
puTTY, Cygwin, openSSH, gnuPG

Check Point SecuRemote/SecureClient R65


Loadbalancer

Alteon WebSwitch (mittlerweile Radware)

F5 LTM

 

generelles IT-Security und Kryptographie KnowHow

Hardware

SUN UltraSparc (Workstation, Server und EnterpriseServer)
Nokia Appliances IP110/120, IP330, IP440, IP530, IP740, IP1220, IP1260, IP2450
CheckPoint Appliances Smart-1, Power-1 9070, UTM-Edge
Crossbeam C6, C12, C25
NetApp Filer F740
Intel/AMD-PCs (Desktop/Server) und deren Komponenten
CISCO VSS, 7200er, diverse Router + Switch
Nortel Switches und L3-Switches
Alteon (jetzt Radware) Layer 4-7 WebSwitches AD3 und 2424

F5 Big-IP

Nortel/Avaya 8300er, 8600er

PC und Notebook Hardware diverser Hersteller

Einsatzorte

Einsatzorte

Deutschland
möglich

Projekte

Projekte

08/2011 ? laufend

Rolle: Gesellschafter-Geschäftsführer der Quinta Essentia Services GmbH

Aufgaben: Unternehmensleitung, Akquise und Steuerung neuer Projekte, Organisation

03/2020 ? 06/2021

Rolle: Netzwerk-Security Architect und Projektleitung Netzwerksegmentierung BayernLB

Aufgaben: - Kontinuierliche Implementierung von ?Firewall Anträgen? für diverse Landesbanken und Finanzdienstleister (Multi-Mandanten Umgebung) mit verschiedenen
Antrags-/Dokumentation-Tools und Prozessen via CheckPoint Provider-1 R80.40, Juniper SRX und FortiManager-400E u.a. für HeLaBa, NordLB, BayernLB, DekaBank, ?

- Kontinuierliche Genehmigung ?Firewall-Anträge (EZB)? oft aber Ablehnung und Unterstützung EZB-konformer (Neu-)Beantragung durch interne FI-TS Mitarbeiter oder Kunden.
Implementierung musste dann allerdings durch andere interne/externe Kollegen erfolgen (4-Augen-Prinzip)

- Projektleitung Netzwerk-Segmentierung BayernLB / Eliminierung *any-Regeln
Alleiniger Ansprechpartner (SPoC) für die Projektleiter des Kunden. Regelmäßiges Reporting (intern und zum Kunden).
Projekt-Verlängerung Budget erfolgreich nachverhandelt.
Technisch: *any-Analyse (splunk, FortiAnalyser), Lösungs-Design bis hin zum abgestimmten ITIL FW-Antrag / Change-Antrag (via ARS) sowie letztlich dessen
Implementierung (CheckPoint)

- Vorantreiben interne FI-TS Projekte ?Integration skybox-Change-Manager für EZB-Regelbasispflege-Prozess (alle Kunden)? und
?Einsatzmöglichkeiten skybox FW-Assurance?

- TroubleShooting / ITIL Incident Management via ARS(BMC Remedy) für sämtliche Kunden

Kunde: FI-TS - Finanz Informatik Technical Services GmbH, München




03/2018 ? 11/2018

Rolle: CheckPoint Experte und Prozess-Designer für Firewall Change Prozess (ITIL)

Aufgaben: - Implementierung ?Firewall Rulebase Changes? via CheckPoint Provider-1 R80.10 und R77.30 für über 1000 Appliances von UTM-1(Edge) über CP4800, CP 21700 bis hin zu 13 Clustern der 61k Architektur; Freigabe und Monitoring des automatisierten PolicyPush ggf. TroubleShooting

- ITIL Incident Mangement via HPSM Ticketsystem

- Migration Nokia IPSO auf CP4800 in Shangai
- Implementierung s2s-VPN mit diversen Zulieferern und externen Partnern

- Outsourcing (Dokumentation, Schulung) des obigen ?Firewall Rulebase Change Prozesses? an internes Team in Rumänien

- Definition (fachliche Kriterien und SLAs) und Einführung revisionssicheren, konzernweit standarisiertes Genehmigungsverfahren (Approval-Prozess) für sämtliche Firewall Changes (Security und Rulebase)
- Outsourcing (Dokumentation, Schulung) des ?Rulebase Change Approval Prozess? an internen Dienstleister in Rumänien, als standardisierter Teil des Approval-Prozesses

Kunde: Metrosystems GmbH später METRO|NOM GmbH, Düsseldorf

12/2012 ? 02/2016

Rolle: Projektleitung Netzwerk-Segmentierung weltweit (ca.130 Niederlassungen), Projektleitung weltweiter Neuaufbau und Standardisierung aller Partneranbindungen, Architektur-Consulting für diverse Infrastruktur-Erweiterungen wie IaaS, WLAN, Desktop-Virtualisierung in Personalunion mit der Rolle als ITIL Service Level Manager und kommissarischem ?Service Owner Firewall?

Aufgaben: - Einführung ?standarisierte und kollaborierende Netzsegmente? in allen Niederlassungen der Wincor Nixdorf International GmbH auf allen Kontinente. Eigenständige Planung, Projektierung und Providersteuerung
- Konzernweite Koordinationsstelle für Projekte, Architektur und interne Services für die Themenbereiche Netzwerk und Firewall
- Entscheidungsinstanz für ?business requirements?
- direktes Reporting zum CIO PAS, Chief Information Officer ? Projekt, Architektur, Services
- Schnittstelle zum Chief Information Security Office

Kunde: Wincor Nixdorf Internation GmbH, Paderborn

05/2012 ? 11/2012

Rolle: Security Consultant / Senior Firewall Engineer

Aufgaben: - Einführung ?user based firewalling? = CheckPoint IdentityAwareness:
Eigenständige Planung, Test und Implementierung und konzernweit produktiven Roll-Out von CheckPoint IdentityAwareness, wodurch personenbezogene FireWall-Freischaltungen ohne feste SRC-IP-Adresse durch Integration der Microsoft-ActiveDirectory Authentifizierung dynamisch in die FireWall-Regelbasis für alle AD-Clients ermöglicht wird. Anbindung auch von Nicht-AD-Clients (Mac, Linux, Smartphones, ...) über ?captive protal?. Bereitstellung Admin/Konfiguration- und Endanwender-Dokumentation.

- Migration auf ?next-generation? Proxy:
Ablösung der (dedizierten) Web-Proxies (Squid) durch transparente PaloAlto inkl. Content-Filter, AntiVirus, AntiSpyware und VulnerabilityScan auch im SSL-Datenstrom inkl. Roll-Out für alle User und DMZen der Konzernzentrale (ca. 50.000 Clients).

- Security-/Netzwerk-Redesign:
Homogenisierung sämtlicher Konzernfirewall-DMZen (Asynchrones Routing, Cluster Umzug auf neue Layer-2 Hardware inkl. Steuerung externer Dienstleister, Re-Design/Standardisierung Cluster-Sync).

- ITIL Release-Management:
Planung, Test und Implementierung des CheckPoint Upgrades von R75.20 auf R75.40VS/R75.40 unter IPSO-6.2, SPLAT und RedHat für alle Konzern-FireWalls
Planung, Test und Implementierung des Upgrade von ca. 70 Juniper SSG Appliances auf 6.3r11.0 (alle remote Peers des zentralen managed-VPN)

- Einführung digitaler Workflow AlgoSec:
Definition und Einführung AlgoSec FireFlow als digitaler Unternehmensprozess zum Regelbasis-Changemanagement inkl. (User/Admin)-Dokumentation

- Betriebsunterstützung:
Initiale Erstellung einer Netzwerk-Dokumentation (static routes, directly attached) sämtlicher DMZen des OTTO-Konzern (inkl. ?big picture?)
Fortlaufende eigenverantwortliche Firewall Regelbasispflege sowie Restrukturierung auf allen CheckPoint R75.20 Cluster des OTTO Konzerns
Fortlaufende eigenverantwortliche Pflege aller VPN-Verbindungen (managed und Peer-2-Peer) auf den Juniper Clusters des OTTO Konzerns und deren managed Peers, sowie der Client-2-Site openVPN-Server
TroubleShooting (ad hoc und klassisches ITIL-Incident-Management)
ITIL Change-/Problem-Management:
Planungsunterstützung und Implementierung von Changes im Bereich Firewall- und Proxy-Umfeld (inkl. ITIL Change-Management)
Last-Level-Support u.a. in 2 Major-Incidents inkl. Koordination des Hersteller (CheckPoint), der zur Lösung ein kundenspezifisches Software-Update entwickeln musste.

- Revisionssichere Regelbasis:
Firewall Regelbasisbereinigung mittels AlgoSec-Analyser (unused rules, redundant special cases, consolidate rules).
Review aller FireWall-Policies und Herbeiführung der Nachbeantragung oder Löschung nicht auf formellen Anträgen basierender Freischaltungen.

Technologien: Next-generation Firewall PaloAlto 5020, AlgoSec Analyser, AlgoSec FireFlow, Juniper SSG20/SSG140, CheckPoint R75.20, R75.40,R75.40VS, Nokia IPSO IP2450, IP560 (flash-based), VRRP, NSRP

Kunde: OTTO GmbH & Co. KG, Hamburg

03/2012 ? 04/2012

Rolle: Senior Firewall Engineer

Aufgaben: Eigenverantwortliche fortlaufende Firewall Regelbasispflege und -bereinigung sowie Restrukturierung auf ca. 20 R70.30 Cluster via CheckPoint Provider-1 R70.30 und vereinzelten Stand-Alone CheckPoint R65 Instanzen ? hauptsächlich für den Endkunden e-Plus+ aber auch Atos Origin und Mitsubishi (Lastspitzen und Rückstau mehrerer Monate).
Planungsunterstützung und Implementierung von FireWall-Changes (inkl. ITIL Change-Management) sowie TroubleShooting (ad hoc und klassisches ITIL-Incident-Management).

Technologien: CheckPoint Provider-1 R70.30, CheckPoint Power-1 Appliance 9070, Nokia IPSO running R65, VLAN, VRRP, ClusterXL, FireWall-Virtualisierung

Kunde: e-Plus+ durch Atos Information Technology GmbH, Düsseldorf

10/2011 ? 02/2012

Rolle: Firewall Engineer, Multi-Projekt-Management, ITIL-Changemanager und stellvertretender Teamleiter in internationalem Projekt

Aufgaben: Firewall Engineer für den europaweite Replacement von 600+ (managed services) Security Installationen verschiedener Hersteller (CISCO PIX und ASA, CheckPoint auf Crossbeam C-Series sowie diverse Nokia IP-Appliances) auf die hauseigene Kooperationsplattform HP/CheckPoint D-Series (SPLAT). Dabei kommen dediziere Systeme und Cluster zum Einsatz, aber wo immer möglich bevorzugt virtualisiert auf VSX-Cluster
Meine Zuständigkeit begann mit dem eigenverantwortlichen Replacement inkl. Change-Management für sämtliche europäischen, nicht-deutschen Standorte und wurde später noch um die Virtualisierung ausgewählter Kunden-Installationen ausgeweitet

Technologien: CheckPoint Provider-1 R70.50 inkl. VSX, CheckPoint SPLAT HP D1,D2,D6/8, Nokia IP260, IP350, VLAN, VRRP, ClusterXL, FireWall-Virtualisierung

Kunde: Hewlett Packard GmbH, Enterprise Services, Global Network Security Engineering, Wuppertal

11/2003 ? 07/2011

Im Rahmen meiner Beschäftigung in der Zeit von 11/2003 ? 07/2011als Senior Security Engineer Onsite bei der Computacenter AG & Co. oHG (und zuvor bei der DS Datasystems GmbH) in der Konzernzentrale eines DAX-notierten Automobilbauers in Wolfsburg habe ich folgende Projekte übernommen:

  • - Prozessmanagement und technische Beratung bei der Etablierung von ITIL Strukturen und Umsetzung von Prozessen in Form eines dienstleisterbetriebenen 2nd Level Support (Incident-, Problem-, Change-, Release-Management)
    Technologien und Methoden:
    ITIL, HP-ServiceCenter(vormals Peregrine), Projektmanagement

  • - 2nd Level Support (zeitweise inkl. Rufbereitschaft) und Eskalationsmanagement sowie der Betrieb für sämtliche WAN- und Security Infrastrukturen, die durch die Konzernzentrale administriert werden
    Technologien und Methoden:
    alle, die in dieser Projektlistung von 11/2003 ? 07/2011 aufgeführt sind

  • - 11/2007 ? 02/2009
    Projektleitung, Design und Implementierung ?Migration auf eigenen Provider-1? für sämtliche durch die Konzernzentrale administrierten Firewall-Cluster (ca. 20 mit 60+ Enforcement-Points) welche zuvor auf stand-alone Lösungen oder auf einem externen Provider-1 eines Tochterunternehmens gehostet waren.
    Technologien und Methoden:
    CheckPoint NGX R65, Provider-1, Nokia, VRRP, VPN, OfficeMode, SecureClient, SecureClientVerification, statisches und dynamisches (EIGRP, OSPF, BGP) IP-Routing auf diversen CISCO 7206, CISCO VSS, und Avaya (früher Nortel) 8600er

  • - 03/2010
    Projektleitung Upgrade konzernzentraler (20 CMAs) Provider-1 auf NGX R65 HFA70
    Technologien und Methoden:
    CheckPoint NGXR65 HFA70, SUN Solaris 9, Provider-1 NGX R65 HFA70

  • - 03/2010
    Prozess-Entwicklung und Etablierung RMA für F5 LTM, Erstellung DisasterRecovery Prozeduren
    Technologien und Methoden:
    F5 LTM 10.x, F5 Big-IP 8900 Series

  • - 10/2009 ? 01/2011
    Im Projekt ?Internet Access SSO? Entwicklung und Implementierung von Log-Analyse-Tools zur IST-Analyse des Nutzerverhaltens über derzeitige Authentifizierungsmethoden
    Technologien und Methoden:
    SunOne Directory Server (ehemals Netscape), ssh, perl, sed, awk, grep, bash, diff

  • - 11/2008
    LDAP & TACACS Reorganisation der Remoteeinwahl sowie Evaluierung SecureLDAP an CheckPoint R55. Log-Analyse des IST-Zustandes (?last used?) und Ableitung von automatisiert zu bereinigenden Alt-Accounts via Script-generierten *-ldif-Files oder Filterung der tac_plus.cfg.
    Technologien und Methoden:
    SunOne Directory Server (ehemals Netscape), CISCO TACACs auf SUN Solaris 9, CheckPoint R55, perl, sed, awk, grep, bash, diff, tac_plus.cfg, ldif

  • - 01/2008 ? 08/2008 (mit Unterbrechungen)
    Planung, Design, Implementierung von UTM-1 (Edge) basierter Filterlösung im Projekt ?DNS Server Konsolidierung?. Mit den transparenten Layer-2-Firewalls wurde eine sanfte Abschaltung diverser interner DNS-Server (ca. 50) und deren Konsolidierung auf wenige zentrale DNS-Server (5) ermöglicht. Die als temporäre, nicht-redundante Lösung mit dediziertem FW-Management wurde nachträglich auf Provider-1 migriert
    Technologien und Methoden:
    CheckPoint UTM-1 als transparente Layer-2-Firewall, CheckPoint NGX R65, zentrales Policy-Management für ca. 50 Systeme, Schulung des DNS-Supports in Regelbasispflege und elementare Log-Analyse

  • - 08/2007
    Evaluierung und Pilotprojekt ?Einsatz von Encryption Accellaration Cards? für symmetrische Verschlüsselungsverfahren zur Beschleunigung bei Client-2-Site VPNs in Nokia IP1220
    Technologien und Methoden:
    Nokia IP1220, CheckPoint NGX R65, IPSO-4.1

  • - 10/2007 ? 03/2008
    Planung, Evaluierung, Implementierung der Migration / Konsoldierung SUN Solaris 2.6 / Solaris 7 / Solaris 8 (ca. 10 EOL-Geräte) auf ein redundantes Paar Solaris 9 Server. Evaluierung produktive Einsetzbarkeit von libgcc-3.3 vs. libgcc-3.4.6. Serverumzug von PGP-6.5.8.
    Technologien und Methoden:
    TACACS, LDAP (SunOne), RACER/UMS, RVS-5.0.2 (gedas proprietärer Filetransferservice), ActivePerl, sed, awk, grep, bash, diff, Fiberlink, syslog, openSource Compile-Umgebung (gcc), gdbm-1.8.3, wget-1.9.1

  • - 01/2006
    Evaluierung SGOS4 (BlueCoat)
    Technologien und Methoden:
    Bluecoat SG800-3, Bluecoat SG8000, WebSense, WebWasher

09/2001 ? 03/2003

Rolle: Senior Systems- & Network-Architect

Aufgaben: - Architektur, Projektleitung sowie Implementierung und Überführung in den Dauerbetrieb des Neuaufbau der kompletten zentralen IT-Infrastruktur des Hauptsitzes (IP-Netzwerke (LAN, DMZen, WAN), Basis- (DNS, DHCP, Internetzugang, Fileserver NetApp) und Namensdienste (User-Management, Email, LDAP)

- Architektur, Projektleitung, Implementierung und Überführung in den Regelbetrieb der
europaweiten Firewall-, VPN- & WAN-Infrastruktur aller Niederlassungen

Technologien: CheckPoint NG, Nokia IP110, IP400, VLANs, CISCO 6509, CISCO 4006, 3COM-Access Switch, SuSE-Linux SLES9, NetApp Filer 740,

Kunde/

Arbeitgeber: Encorus Technologies, Stuttgart (Rechtsnachfolger der BROKAT Mobile Technologies)

02/2000 ? 08/2001

Rolle: Senior Software Engineer und stellvertretender Teamleiter

Aufgaben: - technische Koordination des Releaseprozesses und Productizing für alle BROKAT Produkte

  • - Architektur, Design, Implementierung und Betrieb der gesamten Systemarchitektur und des Softwareentstehungsprozesses der zentralen R&D-Abteilung

Kunde/

Arbeitgeber: BROKAT Mobile Technologies AG, Stuttgart

12/1999 ? 02/2000

Rolle: Consultant für freie Linux-Lösungen im Bereich Security (geplant)

Aufgabe: de facto aber ausschließlich Projektleitung und Krisenmanager zur Rettung der Einführung eines neuen Warenwirtschaftssystem (ventas) in der SuSE-Zentrale/Nürnberg

Kunde/

Arbeitgeber: SuSE Rhein/Main AG, Frankfurt/Main

04/1999 ? 10/1999

Rolle: Abteilungsleiter / QA-Manager

Aufgaben: - Personal- und Budget-Verantwortung für 14-17 Mitarbeiter

  • - Festlegung Software Produkt Umfang & LifeCycle
  • - Abstimmung mit R&D-Leiter (CTO)
  • - Zuarbeit IPO (Börsengang) sowie Teilnahme und Beratung an Due Diligence
  • - verantwortlich für die Qualität aller im Headquarter entwickelten BROKAT Produkte

Kunde/

Arbeitgeber: BROKAT AG, Stuttgart

04/1998 ? 03/1999

Rolle: Teamleiter Core-QA

Aufgaben: - (fachliche) Personalverantwortung für 5-8 Mitarbeiter

  • - Festlegung Software Produkt Umfang & LifeCycle
  • - Zuarbeit IPO (Börsengang)
  • - verantwortlich für die Qualität des BROKAT Kernproduktes Twister
  • - Design, Architektur und Implementierung des automatisierten Software-Entstehungsprozesses (Versionskontrolle und Archivierung auf Sourcecode-Ebene inkl. Verwendeter Betriebsysteme und Entwicklungstools, Revisionsverwaltung auf Module- und Produkt-Ebene, Freigabe, Productizing) zur definierten Reproduzierbarkeit
  • - Festlegung der Qualitätsstandards und Methoden

Kunde/

Arbeitgeber: BROKAT AG, Stuttgart

04/1997 ? 03/1998

Rolle: Software Quality Engineer

Aufgaben: - Entwicklung Qualtität-Standards, Testmethoden und Implementierung von automatisierten Testsuite

  • - Freigabe von Software-Modulen in das Productizing
  • - verantwortlich für BROKAT Kernprodukt Twister (als Teamleiter)

Kunde/

Arbeitgeber: BROKAT AG, Stuttgart

02/1995 Praktikum mit anschließender IBM Informationssysteme
? 12/1995 Übernahme als freier Mitarbeiter Frankfurt/Main

Aus- und Weiterbildung

Aus- und Weiterbildung

09/1992 – 03/1997 Studium

der Informatik an der Fachhochschule Gießen-Friedberg

Abschluß: Dipl.-Inform. (FH) (Notenschnitt: 1,8)

 

08/1989 – 06/1992 Berufsausbildung

zum Bürokaufmann
Abschluß: Bürokaufmann (Kammersieger, Notenschnitt: 1,0)

 

– 05/1989 Schule

Werner-Heisenberg-Gymnasium Neuwied
Abschluß: Fachhochschulreife

Kompetenzen

Kompetenzen

Top-Skills

IT Security CheckPoint ITIL Certified UNIX Linux Bash Shell Fortinet Juniper

Betriebssysteme

Solaris 9 (seit Solaris 2.3) inkl. OS hardening
Nokia IPSO 6.2 (seit 3.5 FCS)
CISCO IOS (seit Version 10.0)
Linux (seit 0.99pl13) inkl. OS hardening
Windows NT/2000/XP/Win7/8/8.1 (seit Version 3.1)
NetApp DATA Ontap
AIX, HP-UX (sowie bedingt: PalmOS, OS/2, BeOS, MacOS)

Programmiersprachen

Sehr gute Programmierkenntnisse in Shell, Perl, sed
Gute Programmierkenntnisse HTML, awk, PHP4, CGI, SSI, JavaScript
Einige Programmiererfahrung in C, C++, Java, TCL/TK sowie bedingt in Assembler(x86), Fortran, Lisp, Pascal, Basic, Visual-C++

Datenkommunikation

Netzwerk(sicherheit) und -komponenten
CheckPoint FireWall-1/VPN-1 R75.40VS (seit NG), Provider-1 und VSX
Palo-Alto 5020 (next generation firewall)
ipchains/iptables, ipf (SUN)

BlueCoat SG800, SG8000 WebCache inkl. Contentfiltering (Websense, Smartfilter)
Juniper SSG550, SSG140, SSG20
Radware (ehem. Alteon) WebSwitch
AlgoSec Analyser, AlgoSec FireFlow
F5 LTM 10.x
diverse (Cisco) Router und (Cisco, Nortel) Switches
TrendMicro Produkte (insbesondere VirusWall)

Symantec und McAfee AntiVirus-Lösungen
puTTY, Cygwin, openSSH, gnuPG

Check Point SecuRemote/SecureClient R65


Loadbalancer

Alteon WebSwitch (mittlerweile Radware)

F5 LTM

 

generelles IT-Security und Kryptographie KnowHow

Hardware

SUN UltraSparc (Workstation, Server und EnterpriseServer)
Nokia Appliances IP110/120, IP330, IP440, IP530, IP740, IP1220, IP1260, IP2450
CheckPoint Appliances Smart-1, Power-1 9070, UTM-Edge
Crossbeam C6, C12, C25
NetApp Filer F740
Intel/AMD-PCs (Desktop/Server) und deren Komponenten
CISCO VSS, 7200er, diverse Router + Switch
Nortel Switches und L3-Switches
Alteon (jetzt Radware) Layer 4-7 WebSwitches AD3 und 2424

F5 Big-IP

Nortel/Avaya 8300er, 8600er

PC und Notebook Hardware diverser Hersteller

Vertrauen Sie auf GULP

Im Bereich Freelancing
Im Bereich Arbeitnehmerüberlassung / Personalvermittlung

Fragen?

Rufen Sie uns an +49 89 500316-300 oder schreiben Sie uns:

Das GULP Freelancer-Portal

Direktester geht's nicht! Ganz einfach Freelancer finden und direkt Kontakt aufnehmen.