08/2011 ? laufend

Rolle: Gesellschafter-Geschäftsführer der Quinta Essentia Services GmbH

Aufgaben: Unternehmensleitung, Akquise und Steuerung neuer Projekte, Organisation

03/2020 ? 06/2021

Rolle: Netzwerk-Security Architect und Projektleitung Netzwerksegmentierung BayernLB

Aufgaben: - Kontinuierliche Implementierung von ?Firewall Anträgen? für diverse Landesbanken und Finanzdienstleister (Multi-Mandanten Umgebung) mit verschiedenen
Antrags-/Dokumentation-Tools und Prozessen via CheckPoint Provider-1 R80.40, Juniper SRX und FortiManager-400E u.a. für HeLaBa, NordLB, BayernLB, DekaBank, ?

- Kontinuierliche Genehmigung ?Firewall-Anträge (EZB)? oft aber Ablehnung und Unterstützung EZB-konformer (Neu-)Beantragung durch interne FI-TS Mitarbeiter oder Kunden.
Implementierung musste dann allerdings durch andere interne/externe Kollegen erfolgen (4-Augen-Prinzip)

- Projektleitung Netzwerk-Segmentierung BayernLB / Eliminierung *any-Regeln
Alleiniger Ansprechpartner (SPoC) für die Projektleiter des Kunden. Regelmäßiges Reporting (intern und zum Kunden).
Projekt-Verlängerung Budget erfolgreich nachverhandelt.
Technisch: *any-Analyse (splunk, FortiAnalyser), Lösungs-Design bis hin zum abgestimmten ITIL FW-Antrag / Change-Antrag (via ARS) sowie letztlich dessen
Implementierung (CheckPoint)

- Vorantreiben interne FI-TS Projekte ?Integration skybox-Change-Manager für EZB-Regelbasispflege-Prozess (alle Kunden)? und
?Einsatzmöglichkeiten skybox FW-Assurance?

- TroubleShooting / ITIL Incident Management via ARS(BMC Remedy) für sämtliche Kunden

Kunde: FI-TS - Finanz Informatik Technical Services GmbH, München

03/2018 ? 11/2018

Rolle: CheckPoint Experte und Prozess-Designer für Firewall Change Prozess (ITIL)

Aufgaben: - Implementierung ?Firewall Rulebase Changes? via CheckPoint Provider-1 R80.10 und R77.30 für über 1000 Appliances von UTM-1(Edge) über CP4800, CP 21700 bis hin zu 13 Clustern der 61k Architektur; Freigabe und Monitoring des automatisierten PolicyPush ggf. TroubleShooting

- ITIL Incident Mangement via HPSM Ticketsystem

- Migration Nokia IPSO auf CP4800 in Shangai
- Implementierung s2s-VPN mit diversen Zulieferern und externen Partnern

- Outsourcing (Dokumentation, Schulung) des obigen ?Firewall Rulebase Change Prozesses? an internes Team in Rumänien

- Definition (fachliche Kriterien und SLAs) und Einführung revisionssicheren, konzernweit standarisiertes Genehmigungsverfahren (Approval-Prozess) für sämtliche Firewall Changes (Security und Rulebase)
- Outsourcing (Dokumentation, Schulung) des ?Rulebase Change Approval Prozess? an internen Dienstleister in Rumänien, als standardisierter Teil des Approval-Prozesses

Kunde: Metrosystems GmbH später METRO|NOM GmbH, Düsseldorf

12/2012 ? 02/2016

Rolle: Projektleitung Netzwerk-Segmentierung weltweit (ca.130 Niederlassungen), Projektleitung weltweiter Neuaufbau und Standardisierung aller Partneranbindungen, Architektur-Consulting für diverse Infrastruktur-Erweiterungen wie IaaS, WLAN, Desktop-Virtualisierung in Personalunion mit der Rolle als ITIL Service Level Manager und kommissarischem ?Service Owner Firewall?

Aufgaben: - Einführung ?standarisierte und kollaborierende Netzsegmente? in allen Niederlassungen der Wincor Nixdorf International GmbH auf allen Kontinente. Eigenständige Planung, Projektierung und Providersteuerung
- Konzernweite Koordinationsstelle für Projekte, Architektur und interne Services für die Themenbereiche Netzwerk und Firewall
- Entscheidungsinstanz für ?business requirements?
- direktes Reporting zum CIO PAS, Chief Information Officer ? Projekt, Architektur, Services
- Schnittstelle zum Chief Information Security Office

Kunde: Wincor Nixdorf Internation GmbH, Paderborn

05/2012 ? 11/2012

Rolle: Security Consultant / Senior Firewall Engineer

Aufgaben: - Einführung ?user based firewalling? = CheckPoint IdentityAwareness:
Eigenständige Planung, Test und Implementierung und konzernweit produktiven Roll-Out von CheckPoint IdentityAwareness, wodurch personenbezogene FireWall-Freischaltungen ohne feste SRC-IP-Adresse durch Integration der Microsoft-ActiveDirectory Authentifizierung dynamisch in die FireWall-Regelbasis für alle AD-Clients ermöglicht wird. Anbindung auch von Nicht-AD-Clients (Mac, Linux, Smartphones, ...) über ?captive protal?. Bereitstellung Admin/Konfiguration- und Endanwender-Dokumentation.

- Migration auf ?next-generation? Proxy:
Ablösung der (dedizierten) Web-Proxies (Squid) durch transparente PaloAlto inkl. Content-Filter, AntiVirus, AntiSpyware und VulnerabilityScan auch im SSL-Datenstrom inkl. Roll-Out für alle User und DMZen der Konzernzentrale (ca. 50.000 Clients).

- Security-/Netzwerk-Redesign:
Homogenisierung sämtlicher Konzernfirewall-DMZen (Asynchrones Routing, Cluster Umzug auf neue Layer-2 Hardware inkl. Steuerung externer Dienstleister, Re-Design/Standardisierung Cluster-Sync).

- ITIL Release-Management:
Planung, Test und Implementierung des CheckPoint Upgrades von R75.20 auf R75.40VS/R75.40 unter IPSO-6.2, SPLAT und RedHat für alle Konzern-FireWalls
Planung, Test und Implementierung des Upgrade von ca. 70 Juniper SSG Appliances auf 6.3r11.0 (alle remote Peers des zentralen managed-VPN)

- Einführung digitaler Workflow AlgoSec:
Definition und Einführung AlgoSec FireFlow als digitaler Unternehmensprozess zum Regelbasis-Changemanagement inkl. (User/Admin)-Dokumentation

- Betriebsunterstützung:
Initiale Erstellung einer Netzwerk-Dokumentation (static routes, directly attached) sämtlicher DMZen des OTTO-Konzern (inkl. ?big picture?)
Fortlaufende eigenverantwortliche Firewall Regelbasispflege sowie Restrukturierung auf allen CheckPoint R75.20 Cluster des OTTO Konzerns
Fortlaufende eigenverantwortliche Pflege aller VPN-Verbindungen (managed und Peer-2-Peer) auf den Juniper Clusters des OTTO Konzerns und deren managed Peers, sowie der Client-2-Site openVPN-Server
TroubleShooting (ad hoc und klassisches ITIL-Incident-Management)
ITIL Change-/Problem-Management:
Planungsunterstützung und Implementierung von Changes im Bereich Firewall- und Proxy-Umfeld (inkl. ITIL Change-Management)
Last-Level-Support u.a. in 2 Major-Incidents inkl. Koordination des Hersteller (CheckPoint), der zur Lösung ein kundenspezifisches Software-Update entwickeln musste.

- Revisionssichere Regelbasis:
Firewall Regelbasisbereinigung mittels AlgoSec-Analyser (unused rules, redundant special cases, consolidate rules).
Review aller FireWall-Policies und Herbeiführung der Nachbeantragung oder Löschung nicht auf formellen Anträgen basierender Freischaltungen.

Technologien: Next-generation Firewall PaloAlto 5020, AlgoSec Analyser, AlgoSec FireFlow, Juniper SSG20/SSG140, CheckPoint R75.20, R75.40,R75.40VS, Nokia IPSO IP2450, IP560 (flash-based), VRRP, NSRP

Kunde: OTTO GmbH & Co. KG, Hamburg

03/2012 ? 04/2012

Rolle: Senior Firewall Engineer

Aufgaben: Eigenverantwortliche fortlaufende Firewall Regelbasispflege und -bereinigung sowie Restrukturierung auf ca. 20 R70.30 Cluster via CheckPoint Provider-1 R70.30 und vereinzelten Stand-Alone CheckPoint R65 Instanzen ? hauptsächlich für den Endkunden e-Plus+ aber auch Atos Origin und Mitsubishi (Lastspitzen und Rückstau mehrerer Monate).
Planungsunterstützung und Implementierung von FireWall-Changes (inkl. ITIL Change-Management) sowie TroubleShooting (ad hoc und klassisches ITIL-Incident-Management).

Technologien: CheckPoint Provider-1 R70.30, CheckPoint Power-1 Appliance 9070, Nokia IPSO running R65, VLAN, VRRP, ClusterXL, FireWall-Virtualisierung

Kunde: e-Plus+ durch Atos Information Technology GmbH, Düsseldorf

10/2011 ? 02/2012

Rolle: Firewall Engineer, Multi-Projekt-Management, ITIL-Changemanager und stellvertretender Teamleiter in internationalem Projekt

Aufgaben: Firewall Engineer für den europaweite Replacement von 600+ (managed services) Security Installationen verschiedener Hersteller (CISCO PIX und ASA, CheckPoint auf Crossbeam C-Series sowie diverse Nokia IP-Appliances) auf die hauseigene Kooperationsplattform HP/CheckPoint D-Series (SPLAT). Dabei kommen dediziere Systeme und Cluster zum Einsatz, aber wo immer möglich bevorzugt virtualisiert auf VSX-Cluster
Meine Zuständigkeit begann mit dem eigenverantwortlichen Replacement inkl. Change-Management für sämtliche europäischen, nicht-deutschen Standorte und wurde später noch um die Virtualisierung ausgewählter Kunden-Installationen ausgeweitet

Technologien: CheckPoint Provider-1 R70.50 inkl. VSX, CheckPoint SPLAT HP D1,D2,D6/8, Nokia IP260, IP350, VLAN, VRRP, ClusterXL, FireWall-Virtualisierung

Kunde: Hewlett Packard GmbH, Enterprise Services, Global Network Security Engineering, Wuppertal

11/2003 ? 07/2011

Im Rahmen meiner Beschäftigung in der Zeit von 11/2003 ? 07/2011als Senior Security Engineer Onsite bei der Computacenter AG & Co. oHG (und zuvor bei der DS Datasystems GmbH) in der Konzernzentrale eines DAX-notierten Automobilbauers in Wolfsburg habe ich folgende Projekte übernommen:

• - Prozessmanagement und technische Beratung bei der Etablierung von ITIL Strukturen und Umsetzung von Prozessen in Form eines dienstleisterbetriebenen 2nd Level Support (Incident-, Problem-, Change-, Release-Management)
  Technologien und Methoden:
  ITIL, HP-ServiceCenter(vormals Peregrine), Projektmanagement

• - 2nd Level Support (zeitweise inkl. Rufbereitschaft) und Eskalationsmanagement sowie der Betrieb für sämtliche WAN- und Security Infrastrukturen, die durch die Konzernzentrale administriert werden
  Technologien und Methoden:
  alle, die in dieser Projektlistung von 11/2003 ? 07/2011 aufgeführt sind

• - 11/2007 ? 02/2009
  Projektleitung, Design und Implementierung ?Migration auf eigenen Provider-1? für sämtliche durch die Konzernzentrale administrierten Firewall-Cluster (ca. 20 mit 60+ Enforcement-Points) welche zuvor auf stand-alone Lösungen oder auf einem externen Provider-1 eines Tochterunternehmens gehostet waren.
  Technologien und Methoden:
  CheckPoint NGX R65, Provider-1, Nokia, VRRP, VPN, OfficeMode, SecureClient, SecureClientVerification, statisches und dynamisches (EIGRP, OSPF, BGP) IP-Routing auf diversen CISCO 7206, CISCO VSS, und Avaya (früher Nortel) 8600er

• - 03/2010
  Projektleitung Upgrade konzernzentraler (20 CMAs) Provider-1 auf NGX R65 HFA70
  Technologien und Methoden:
  CheckPoint NGXR65 HFA70, SUN Solaris 9, Provider-1 NGX R65 HFA70

• - 03/2010
  Prozess-Entwicklung und Etablierung RMA für F5 LTM, Erstellung DisasterRecovery Prozeduren
  Technologien und Methoden:
  F5 LTM 10.x, F5 Big-IP 8900 Series

• - 10/2009 ? 01/2011
  Im Projekt ?Internet Access SSO? Entwicklung und Implementierung von Log-Analyse-Tools zur IST-Analyse des Nutzerverhaltens über derzeitige Authentifizierungsmethoden
  Technologien und Methoden:
  SunOne Directory Server (ehemals Netscape), ssh, perl, sed, awk, grep, bash, diff

• - 11/2008
  LDAP & TACACS Reorganisation der Remoteeinwahl sowie Evaluierung SecureLDAP an CheckPoint R55. Log-Analyse des IST-Zustandes (?last used?) und Ableitung von automatisiert zu bereinigenden Alt-Accounts via Script-generierten *-ldif-Files oder Filterung der tac_plus.cfg.
  Technologien und Methoden:
  SunOne Directory Server (ehemals Netscape), CISCO TACACs auf SUN Solaris 9, CheckPoint R55, perl, sed, awk, grep, bash, diff, tac_plus.cfg, ldif

• - 01/2008 ? 08/2008 (mit Unterbrechungen)
  Planung, Design, Implementierung von UTM-1 (Edge) basierter Filterlösung im Projekt ?DNS Server Konsolidierung?. Mit den transparenten Layer-2-Firewalls wurde eine sanfte Abschaltung diverser interner DNS-Server (ca. 50) und deren Konsolidierung auf wenige zentrale DNS-Server (5) ermöglicht. Die als temporäre, nicht-redundante Lösung mit dediziertem FW-Management wurde nachträglich auf Provider-1 migriert
  Technologien und Methoden:
  CheckPoint UTM-1 als transparente Layer-2-Firewall, CheckPoint NGX R65, zentrales Policy-Management für ca. 50 Systeme, Schulung des DNS-Supports in Regelbasispflege und elementare Log-Analyse

• - 08/2007
  Evaluierung und Pilotprojekt ?Einsatz von Encryption Accellaration Cards? für symmetrische Verschlüsselungsverfahren zur Beschleunigung bei Client-2-Site VPNs in Nokia IP1220
  Technologien und Methoden:
  Nokia IP1220, CheckPoint NGX R65, IPSO-4.1

• - 10/2007 ? 03/2008
  Planung, Evaluierung, Implementierung der Migration / Konsoldierung SUN Solaris 2.6 / Solaris 7 / Solaris 8 (ca. 10 EOL-Geräte) auf ein redundantes Paar Solaris 9 Server. Evaluierung produktive Einsetzbarkeit von libgcc-3.3 vs. libgcc-3.4.6. Serverumzug von PGP-6.5.8.
  Technologien und Methoden:
  TACACS, LDAP (SunOne), RACER/UMS, RVS-5.0.2 (gedas proprietärer Filetransferservice), ActivePerl, sed, awk, grep, bash, diff, Fiberlink, syslog, openSource Compile-Umgebung (gcc), gdbm-1.8.3, wget-1.9.1

• - 01/2006
  Evaluierung SGOS4 (BlueCoat)
  Technologien und Methoden:
  Bluecoat SG800-3, Bluecoat SG8000, WebSense, WebWasher

09/2001 ? 03/2003

Rolle: Senior Systems- & Network-Architect

Aufgaben: - Architektur, Projektleitung sowie Implementierung und Überführung in den Dauerbetrieb des Neuaufbau der kompletten zentralen IT-Infrastruktur des Hauptsitzes (IP-Netzwerke (LAN, DMZen, WAN), Basis- (DNS, DHCP, Internetzugang, Fileserver NetApp) und Namensdienste (User-Management, Email, LDAP)

- Architektur, Projektleitung, Implementierung und Überführung in den Regelbetrieb der
europaweiten Firewall-, VPN- & WAN-Infrastruktur aller Niederlassungen

Technologien: CheckPoint NG, Nokia IP110, IP400, VLANs, CISCO 6509, CISCO 4006, 3COM-Access Switch, SuSE-Linux SLES9, NetApp Filer 740,

Kunde/

Arbeitgeber: Encorus Technologies, Stuttgart (Rechtsnachfolger der BROKAT Mobile Technologies)

02/2000 ? 08/2001

Rolle: Senior Software Engineer und stellvertretender Teamleiter

Aufgaben: - technische Koordination des Releaseprozesses und Productizing für alle BROKAT Produkte

• - Architektur, Design, Implementierung und Betrieb der gesamten Systemarchitektur und des Softwareentstehungsprozesses der zentralen R&D-Abteilung

Kunde/

Arbeitgeber: BROKAT Mobile Technologies AG, Stuttgart

12/1999 ? 02/2000

Rolle: Consultant für freie Linux-Lösungen im Bereich Security (geplant)

Aufgabe: de facto aber ausschließlich Projektleitung und Krisenmanager zur Rettung der Einführung eines neuen Warenwirtschaftssystem (ventas) in der SuSE-Zentrale/Nürnberg

Kunde/

Arbeitgeber: SuSE Rhein/Main AG, Frankfurt/Main

04/1999 ? 10/1999

Rolle: Abteilungsleiter / QA-Manager

Aufgaben: - Personal- und Budget-Verantwortung für 14-17 Mitarbeiter

• - Festlegung Software Produkt Umfang & LifeCycle
• - Abstimmung mit R&D-Leiter (CTO)
• - Zuarbeit IPO (Börsengang) sowie Teilnahme und Beratung an Due Diligence
• - verantwortlich für die Qualität aller im Headquarter entwickelten BROKAT Produkte

Kunde/

Arbeitgeber: BROKAT AG, Stuttgart

04/1998 ? 03/1999

Rolle: Teamleiter Core-QA

Aufgaben: - (fachliche) Personalverantwortung für 5-8 Mitarbeiter

• - Festlegung Software Produkt Umfang & LifeCycle
• - Zuarbeit IPO (Börsengang)
• - verantwortlich für die Qualität des BROKAT Kernproduktes Twister
• - Design, Architektur und Implementierung des automatisierten Software-Entstehungsprozesses (Versionskontrolle und Archivierung auf Sourcecode-Ebene inkl. Verwendeter Betriebsysteme und Entwicklungstools, Revisionsverwaltung auf Module- und Produkt-Ebene, Freigabe, Productizing) zur definierten Reproduzierbarkeit
• - Festlegung der Qualitätsstandards und Methoden

Kunde/

Arbeitgeber: BROKAT AG, Stuttgart

04/1997 ? 03/1998

Rolle: Software Quality Engineer

Aufgaben: - Entwicklung Qualtität-Standards, Testmethoden und Implementierung von automatisierten Testsuite

• - Freigabe von Software-Modulen in das Productizing
• - verantwortlich für BROKAT Kernprodukt Twister (als Teamleiter)

Kunde/

Arbeitgeber: BROKAT AG, Stuttgart

02/1995 Praktikum mit anschließender IBM Informationssysteme
? 12/1995 Übernahme als freier Mitarbeiter Frankfurt/Main