Das vorliegende Projekt umfasste die Rolle eines DevSecOps-Experten, der sich auf die Integration von Sicherheitsaspekten in den Entwicklungs- und Bereitstellungsprozess für die Softwareprojekte konzentrierte. Die Hauptverantwortung bestand darin, automatisierte Sicherheitschecks in die CI/CD-Pipeline zu integrieren. Im Folgenden sind die Tätigkeiten und Aufgaben meiner Rolle aufgeführt:

CI/CD Pipeline - Automatisierte Security Checks testen

Als DevSecOps-Experte war dafür zuständig, Sicherheitsprüfungen und -tests in den CI/CD-Prozess zu integrieren. Dies umfasste die Konfiguration und Einrichtung von automatisierten Sicherheitschecks, um potenzielle Schwachstellen und Sicherheitslücken in der entwickelten Software zu identifizieren. Dieser Prozess sollte sicherstellen, dass Sicherheitsaspekte frühzeitig erkannt und behoben werden können.

Ausgewählte Tools testen und objektiv beurteilen

Ich führte Tests an verschiedenen Sicherheitstools durch, um deren Eignung für das Projekt zu bewerten. Hierbei ging es darum, die Effektivität und Nützlichkeit der Tools im Hinblick auf die Sicherheitsziele des Projekts zu beurteilen. Dies umfasste die Evaluierung von Pricing, Pre-Commit-Hook, Whitelisting und die Verwendbarkeit des GitHub Actions.

Security Scans vornehmen

Zudem führte ich regelmäßige Security Scans durch, um sicherzustellen, dass die Sicherheitsstandards kontinuierlich eingehalten wurden. Dies umfasste Schwachstellenscans, Code-Analysen, Konfigurationsüberprüfungen und andere Sicherheitsprüfungen, um mögliche Risiken zu identifizieren und zu mindern.

Insgesamt bestand das Ziel des Projekts darin, eine sichere und geschützte Umgebung für die Entwicklung und Bereitstellung der Software zu gewährleisten. Wichtig hierbei war die Akzeptanz der Stakeholder zu gewinnen und das Ganze zu dokumentieren. 

Das Ziel dieses Projekts war es, die Sicherheitsmaßnahmen und das Sicherheitsbewusstsein mehrerer Unternehmen im Hinblick auf Social Engineering-Angriffe zu überprüfen und zu verbessern. Als erfahrener Social Engineering-Penetrationstester wurde ich beauftragt, gezielte Angriffe auf das Unternehmen durchzuführen, Informationen zu sammeln, Sicherheitslücken aufzudecken und anschließend Schulungen zur Sensibilisierung der Mitarbeiter durchzuführen.

Information Gathering und Social Engineering-Angriffe

Zu Beginn des Projekts wurde eine gründliche Analyse des Unternehmens durchgeführt, um relevante Informationen über die Zielorganisation zu sammeln. Dabei wurden öffentlich verfügbare Informationen sowie gezielte Recherchen genutzt, um eine umfassende Wissensbasis zu schaffen.

Basierend auf den gesammelten Informationen wurden spezifische Social Engineering-Angriffe entwickelt und durchgeführt. Dies umfasste beispielsweise den Versand von Phishing-E-Mails, das Vortäuschen von Telefonanrufen oder das Ausnutzen von menschlichen Schwächen, um Zugriff auf sensible Informationen oder Systeme zu erlangen.

Identifizierung von Sicherheitslücken

Während der Durchführung der Angriffe wurden Sicherheitslücken und Schwachstellen in den Prozessen, Systemen und dem Verhalten der Mitarbeiter identifiziert. Diese Schwachstellen wurden dokumentiert und priorisiert, um die anschließende Behebung zu erleichtern. Nach Abschluss der Social Engineering-Angriffe wurden die Ergebnisse in einem umfassenden Bericht zusammengefasst. Der Bericht enthielt eine detaillierte Beschreibung der identifizierten Schwachstellen, potenzielle Auswirkungen und Empfehlungen zur Verbesserung der Sicherheitsmaßnahmen.

Awareness-Schulungen

Parallel dazu fanden Awareness-Schulungen statt, um das Sicherheitsbewusstsein der Mitarbeiter zu stärken. In den Schulungen wurden Themen wie die Identifizierung von Phishing-E-Mails, sichere Kommunikation und die Bedeutung der Sensibilität gegenüber potenziellen Social Engineering-Angriffen behandelt. Abschließend wurden Maßnahmen ergriffen, um die identifizierten Sicherheitslücken zu schließen und die Sicherheitsmaßnahmen des Unternehmens zu verbessern. Dies umfasste die Implementierung von Technologien, Prozessverbesserungen und Schulungsprogramme, um die Widerstandsfähigkeit gegen Social Engineering-Angriffe zu erhöhen

Im Rahmen meiner Tätigkeit habe ich mich auf die Zertifizierung von External Connections (API) spezialisiert. Hierbei wurden Schnittstellen zu externen Systemen überprüft und bewertet, um sicherzustellen, dass sie den erforderlichen Sicherheitsstandards und Compliance-Anforderungen entsprechen. Des Weiteren wurde Projektmanagement im Bereich Netzwerk und Firewall durchgeführt.

Beratung IT Governance in der Compliance

Ein weiterer Schwerpunkt meiner Tätigkeit liegt in der Beratung von IT Governance und Compliance. Ich habe das Unternehmen dabei unterstützt, IT-Governance-Richtlinien zu entwickeln und umzusetzen, um sicherzustellen, dass sie den gesetzlichen und regulatorischen Anforderungen entsprechen. Dabei konnte ich mein fundiertes Wissen im Bereich Compliance und Best Practices einbringen. Zudem war ich verantwortlich für die Koordination und Kommunikation zwischen verschiedenen internationalen Banken. Ich habe erfolgreich die Zusammenarbeit und den Informationsaustausch zwischen den Banken erleichtert, um reibungslose Abläufe und effiziente Projektdurchführung sicherzustellen. Darüber hinaus habe ich Angriffsvektoren gemäß den IT-Policy-Anforderungen identifiziert und dokumentiert. Ich habe logische Funktionsbeschreibungen erstellt, um potenzielle Schwachstellen aufzudecken und entsprechende Sicherheitsmaßnahmen zu empfehlen

Erstellen und Pflege von Dokumenten in SharePoint und ServiceNow

Im Rahmen dieses Projektes konnte ich effektive Dokumentationsprozesse entwickeln und umsetzen, um einen einfachen Zugriff via SharePoint und die Zusammenarbeit an wichtigen Informationen zu ermöglichen. Des Weiteren kamen dazu die Assets im ServiceNow zu verwalten und zu pflegen. Ich konnte erfolgreich dazu beitragen, dass die Asset-Verwaltung effizient und transparent durchgeführt wird.

Grafische Darstellung der Infrastruktur via MS Visio

Ich habe mit Hilfe von MS Visio umfassende Diagramme erstellt, um Firewall-Systeme, Proxy-Systeme und Netzwerkkomponenten anschaulich darzustellen. Dadurch konnte ich die Kommunikation und das Verständnis für die Infrastruktur verbessern.

Unterstützung im IAM-Team

Ich habe das IAM-Team bei verschiedenen Aufgaben unterstützt, insbesondere im Bereich Identitäts- und Zugriffsmanagement, um Prozesse zu optimieren, Richtlinien zu entwickeln und die Implementierung von IAM-Lösungen voranzutreiben.

• Zertifizierung von External Connections (API)
• Projektmanagement im IT-Umfeld (Netzwerk, Firewall)
• Beratung IT Governance in der Compliance
• Koordinationen zwischen verschiedenen internationalen Banken
• Erstellen und Pflege von Dokumenten in SharePoint
• Pflege der Assets im ServiceNow
• Grafische Darstellung der Infrastruktur (Firewall, Proxy Systeme, Netzwerkkomponenten) via MS Visio
• In logischen Funktionsbeschreibungen Angriffsvektoren gemäß IT- Policy Anforderungen identifizieren und dokumentieren 
• Unterstützung im IAM -Team
• Koordination, Planung und Durchführung von Security Reviews hinsichtlich der angemessenen Implementierung von Security Umfängen sowie der Einhaltung von Vorgaben

Das vorliegende Projekt befasst sich mit der Integration von Veracode und der Implementierung von Sicherheitsmaßnahmen in die CI/CD-Pipeline. Das Hauptziel besteht darin, die Sicherheitsstandards in der Softwareentwicklung zu verbessern und die Einhaltung der Compliance-Anforderungen in C5-Katalog des BSI (Cloud Computing Compliance Controls Catalogue) sicherzustellen.

Integration von Veracode für SAST, DAST & SCA scanning

Um dieses Ziel zu erreichen, wurden die Veracode-Tools für statische (SAST), dynamische (DAST) und Softwarekomponentenanalyse (SCA) in die bestehende CI/CD-Pipeline, die auf Gitlab oder TFS basiert, integriert. Dies ermöglicht eine automatisierte Überprüfung der Sicherheit während des gesamten Entwicklungszyklus. Im Rahmen des Projekts werden Sicherheitsschritte und -methoden in einer Microsoft Azure- und Gitlab-basierten CI/CD-Pipeline entwickelt. Hierbei liegt der Fokus auf der kontinuierlichen Überprüfung der Sicherheit, um mögliche Schwachstellen frühzeitig zu erkennen und zu beheben. Es wurden Maßnahmen implementiert, um sicherzustellen, dass die erstellte Software den Anforderungen des C5-Katalogs entspricht. Darüber hinaus beinhaltet das Projekt weitere Aufgaben wie die Einrichtung, Administration und Optimierung von Pipelines für die Automatisierung der Sicherheitsscans. Hierfür wurden Skripte in Powershell und Bash verwendet. Des Weiteren wurden Sicherheitsaspekte in den gesamten Softwareentwicklungslebenszyklus (SDLC) integriert, um das Konzept von "Security-by-Design" und "Defence-in-Depth" umzusetzen. Eine wichtige Aufgabe bestand auch darin, die Veracode-Umgebung zu administrieren und die entsprechenden Accounts zu verwalten.

Design von Netzwerk Architektur und technische Dokumentation im NetBox

Zudem wurde die Netzwerkarchitektur überarbeitet. Dies beinhaltet die Anpassung der Firewall-Regeln und die Erstellung einer technischen Dokumentation mithilfe von NetBox. Eine fachliche und technische Beratung wurde bei der Überarbeitung des Zonenkonzepts bereitgestellt. Zusätzlich werden Workshops geplant und durchgeführt, um das Projektteam und andere relevante Stakeholder über die Sicherheitsmaßnahmen und -prozesse zu informieren und das Verständnis dafür zu verbessern.

Asset Management und Datenpflege des ISMS-Tools Contechnet

Weitere Aufgaben im Projekt umfassen das Asset Management und die Datenpflege des ISMS-Tools Contechnet, die Bearbeitung von Incidents und Service Requests sowie die Durchführung von Security Assessments. Ein abschließender Schwerpunkt des Projekts liegt auf dem Hardening von Windows Servern mit Nessus. Dadurch wurden Sicherheitslücken geschlossen und das Risiko von Angriffen auf die Serverinfrastruktur bewertet und minimiert.

• Audit-Vorbereitung für C5 Katalog der BSI (Cloud Computing Compliance Controls Catalogue)
• Integration von Veracode für SAST, DAST & SCA scanning in der CI/CD Pipeline (Gitlab/TFS)
• Einrichtung, Administration und Optimierung von Pipelines für die Automatisierung von Scans (scripting mit Powershell & Bash)
• Entwerfen von Sicherheitsschritten und -Methoden in einer CI/CD-Pipeline in Microsoft Azure & Gitlab
• Administration der Veracode-Umgebung und deren Accounts
• Security-by-Design und Defence-in-Depth in Software Development Life Cycle (SDLC) integrieren
• Design von Netzwerk Architektur inkl. Änderungen der Firewall rules und technische Dokumentation im NetBox
• Fachliche und technische Beratung bei der Überarbeitung des Zonenkonzeptes
• Planung und Durchführung von Workshops
• Asset Management und Datenpflege des ISMS-Tools Contechnet ? Incident- und Service Request Bearbeitung
• Security Assessments
• Hardening von Windows Servern mit Nessus

Das Ziel dieses Projekts bestand darin, das Management externer Rechenzentren und IT-Dienstleister für das Unternehmen effektiv und effizient zu gestalten. Dies beinhaltet eine strategische Betreuung und Planung der Auslandsniederlassungen, um sicherzustellen, dass die IT-Infrastruktur den internationalen Anforderungen gerecht wird. Zusätzlich soll die Einhaltung von IT Governance-Richtlinien sichergestellt und Rollouts koordiniert werden, um einen reibungslosen Ablauf der IT-Projekte zu gewährleisten.

Durchführung von Due Diligence-Prozessen und Standardisierung

Es wurden Untersuchungen und Bewertungen der IT-Dienstleister durchgeführt, um sicherzustellen, dass sie den Anforderungen des Unternehmens entsprechen. Zudem wurde eine Standardisierung der Prozesse angestrebt, um Effizienz und Konsistenz zu gewährleisten.

Erstellung von IT-Sicherheitskonzepten und Aufbau eines ISMS

Es wurden auf Basis der KRITIS Verordnung IT-Sicherheitskonzepte entwickelt, um potenzielle Risiken und Schwachstellen zu identifizieren und geeignete Maßnahmen zu ergreifen. Zudem wurde ein Information Security Management System (ISMS) implementiert, um die Sicherheitsstandards und -richtlinien zu definieren und zu überwachen. Währenddessen wurden Incidents und Schwachstellen bewertet, um angemessene Maßnahmen zur Behebung und Prävention zu ergreifen. Ein effektives Maßnahmenmanagement wurde implementiert, um eine schnelle Reaktion auf Vorfälle zu gewährleisten und deren Auswirkungen zu minimieren.

Unterstützung bei DSGVO-Fragen und Erarbeitung von Datenschutzkonzepten

Es erfolgte eine Beratung des Kunden in Bezug auf Fragen und Anforderungen der Datenschutz-Grundverordnung (DSGVO). Es wurden Datenschutzkonzepte entwickelt, um die Einhaltung der gesetzlichen Bestimmungen zu gewährleisten und die Privatsphäre der Kunden und Mitarbeiter zu schützen.

Beratung im Board- und Stakeholdermanagement

Es wurde eine umfassende Beratung im Board- und Stakeholdermanagement angeboten, um die Bedürfnisse und Anforderungen der Entscheidungsträger und Interessengruppen zu berücksichtigen. Dies umfasst die Kommunikation von IT-Strategien, Fortschrittsberichte und die Abstimmung von IT-Initiativen mit den Unternehmenszielen. Im internationalen Kontext wurden Sicherheitskonzepte mit Partnern des Kunden abgestimmt, um eine konsistente und sichere IT-Infrastruktur zu gewährleisten und potenzielle Risiken zu minimieren.

• Management externer Rechenzentren und IT-Dienstleister
• Strategische Betreuung und Planung der Auslandsniederlassungen
• Rollouts und Einhaltung von IT Governance
• Durchführung von Due Diligence Prozessen und Standardisierung
• Erstellung von IT- Sicherheitskonzepten und Aufbau eines ISMS (Information Security Management System)
• Bewertung von Incidents und Schwachstellen und Übernahme von Maßnahmenmanagement
• Unterstützung des Kunden bei zentralen Fragen hinsichtlich der DSGVO und Erarbeitung von Datenschutzkonzepten
• Im internationalen Umfeld Securitykonzepte mit Partnern des Kunden abstimmen
• Beratung im Board- und Stakeholdermanagement

Das vorliegende Projekt umfasst die Durchführung eines umfassenden Analyseprozesses sowie die Entwicklung von Sicherheitskonzepten für Operational Technology (OT). Im Rahmen dieses Projekts wurden Konzepte und Richtlinien auf Basis der Analyseergebnisse für Industrial Control Systems (ICS) und SCADA-Systeme erarbeitet.

Schutzbedarfsanalysen und Risikoassessments

Ein zentraler Schwerpunkt lag auf der Entwicklung und Umsetzung von Sicherheitsstrategien. Dabei wurden Schutzbedarfsanalysen und Risikoassessments durchgeführt, um potenzielle Schwachstellen zu identifizieren und entsprechende Maßnahmen zur Risikominimierung zu entwickeln. Zudem wurde eine Sicherheitsorganisation aufgebaut, die den Anforderungen der internationalen Standards ISO 27001/2 und IEC 62443 entspricht.

Netzwerk Scanning & Segmentierung

Im Rahmen des Projekts wurden auch Security- und Netzwerkanalysen für prozessnahe und leittechnische Systeme durchgeführt. Es wurden Sicherheitskonzepte entwickelt, die Architekturen, Protokolle und Härtungsmaßnahmen umfassen, um die Integrität und Verfügbarkeit der OT-Systeme zu gewährleisten. Zusätzlich wurde auch die Auswahl und der Vergleich verschiedener Netzwerk Scanning-Anbieter durchgeführt, die Anomalien-Erkennung, Network Detection and Response (NDR) und spezielle OT-Scanning-Funktionen bieten. Hierbei wurden Kriterienkataloge erstellt, um die Leistung und Eignung der Anbieter zu bewerten. Des Weiteren wurden Penetrationstests für OT-Komponenten und industrielle Netzwerke durchgeführt, um potenzielle Schwachstellen aufzudecken. Hierbei kamen Techniken wie SQL Injection, Port Scans mit NMAP, Vulnerability Scans, DNS-Footprinting und Banner Grabbing zum Einsatz.

PoC und reporting an das Executive Board

Des Weiteren wird ein Kriterienkatalog für Hersteller und externe Dienstleister erstellt, um sicherzustellen, dass diese den erforderlichen Sicherheitsstandards entsprechen. Als Single Point of Conduct (SPOC) wird eine zentrale Ansprechperson für Proof of Concept (PoC)-Aktivitäten ernannt. Zusätzlich umfasst das Projekt die Erstellung von Präsentationsfolien für das Steering Committee, um den Projektfortschritt, die erreichten Meilensteine und die identifizierten Sicherheitsmaßnahmen zu kommunizieren.

• Durchführung des Analyseprozesses und Entwicklung von Sicherheitskonzepten für Operational Technology (OT)
• Erarbeitung von Konzepten und Richtlinien auf Basis der Analyseergebnisse für ICS & SCADA
• Entwicklung und Umsetzung von Sicherheitsstrategien, der Durchführung von Schutzbedarfsanalysen und Risikoassessments und dem Aufbau der Sicherheitsorganisation (ISO 27001/2 & IEC 62443)
• Security-/Netzwerkanalysen für prozessnahe und leittechnische Systeme
• Entwickeln Sicherheitskonzepte (Architekturen, Protokolle, Härtungsmaßnahmen)
• Penetrationstests für OT-Komponenten und in industriellen Netzwerken (SQL Injection, Port Scan mit NMAP, Vulnerability Scan, DNS-Footprinting, Banner Grabbing)
• Auswahl und Vergleich von verschiedenen Netzwerk Scanning- Anbietern (Anomalien-Erkennung, NDR, OT-Scanning)
• Erstellen eines Kriterienkatalogs für Hersteller und externe Dienstleister
• SPOC (Single-Point-of-conduct) für PoC
• Erstellung von Steering Committee Slides

Das Ziel dieses Projekts besteht darin, die Effizienz und Qualität der Softwareentwicklung zu verbessern, indem automatisierte Tests implementiert, eine hochverfügbare Service-Plattform aufgebaut und Kunden in der Umsetzung skalierbarer Cloud-Architekturen unterstützt werden.

Implementierung von automatisierten Tests mit Java, Maven, TestNG und Selenium

In diesem Projekt werden vorhandene Tests analysiert, verbessert und automatisiert. Die Testinfrastruktur wird auf Java, Jenkins, Maven, TestNG und Selenium basieren. Die automatisierten Tests werden regelmäßig gewartet und bei Bedarf erweitert, um sicherzustellen, dass sie den aktuellen Anforderungen entsprechen. Dies umfasst die Aktualisierung von Testfällen, das Hinzufügen neuer Testszenarien und die Integration neuer Funktionen für eine ausreichende Testabdeckung. Basierend auf den Anforderungen aus den Projektunterlagen werden Testfälle spezifiziert und geplant.

Aufbau einer Service-Plattform basierend auf Docker mit Cloud Foundry

Es wird eine hochverfügbare Service-Plattform aufgebaut, die auf Docker Container mit Cloud Foundry basiert. Dies ermöglicht es, Anwendungen skalierbar und effizient bereitzustellen. Die Unterstützung umfasst die Konfiguration, Implementierung und Optimierung von Cloud Foundry. In enger Zusammenarbeit mit den Kunden-QA-Teams werden agile Entwicklungsmethoden angewendet. Dies umfasst die Beratung bei der Teststrategie, die Durchführung von Code-Reviews, die Fehleranalyse und die Optimierung der Testprozesse.

Incident- und Service Request Bearbeitung

Im Rahmen des Projekts wurden Incidents und Service Requests bearbeitet, um eine reibungslose Funktion der automatisierten Tests und der Service-Plattform sicherzustellen. Dazu gehören die Fehlerbehebung, das Troubleshooting und die Kommunikation mit dem Support-Team.

Durch die Umsetzung dieses Projekts wurden automatisierte Tests implementiert und verbessert, eine hochverfügbare Service-Plattform aufgebaut und Kunden bei der Umsetzung skalierbarer Cloud-Architekturen unterstützt.

• Analyse, Verbesserung und Implementierung von automatisierten Tests mit Java, Jenkins, Maven, TestNG und Selenium
• Unterstützung beim Aufbau einer hochverfügbaren Service Plattform basierend auf Docker Container Orchestrierung wie Cloud Foundry
• Wartung sowie Erweiterung automatisierter Tests
• Spezifizieren und Planung von Testfällen anhand der Vorgaben aus Requirements
• Unterstützung der Kunden-QA in agilen Entwicklungsteams vor Ort skalierbarer Cloud-Architekturen
• Incident- und Service Request Bearbeitung