Eingesetzt als Security Engineer und Datacenter Security Architect im Bereich Firewall und VPN, genaue Details sind Verschlusssachen - nur für den Dienstgebracuh (VS-NfD) 

• Technische Beratung, Konzeption Datacenter Security, Konfiguration, Wartung, 2nd Lv. Support

Eingesetzt als Security Engineer im Bereich Fortinet, genaue Details sind vertraulich und fallen unter schweizerische Gesetzgebung für Geheimnisträger.

• Technische Beratung, Konfiguration, Wartung, Planung in einem agilen Team

Ein englischer Fibre to the home Provider geht neu an den Markt (Upp). Das Projekt beinhaltet alle Schritte ab der Verkabelung des neuen RZ bis zur schlüsselfertigen Lösung. Das Hybrid Setup beinhaltet sowohl on-premise Komponenten von Nokia und Fortinet als auch Cloud Komponenten in Azure. Die Verbindung geschieht über einen SASE Provider namens Cato und über Fortinet Fortigates. Meine Aufgabe ist Datacenter Security. Das Projekt läuft in England daher ist sämtliche Kommunikation in englischer Sprache.

• Aufbau und Einrichtung der Netzwerksicherheit
• Konzeption
• Konfiguration Fortigate 601E
• Debugging

Migration einer Firewall-Umgebung für das produktive Kundennetz der Vodafone (DSL). Aufbau und Umsetzung aller relevanten Labortests und Life-Migration.

• Aufbau der Labor-Testumgebung
• Review der relevanten Software-Versionen
• Durchführung aller für die Migration relevanter Tests
• Debugging aufgetretener Störungen
• Bearbeiten von Hersteller Tickets
• Dokumentation
• Review der Firewall Regeln (etwa 4.000) - toolgestützt
• Zentralisiertes Management mit Panorama
• Durchführung der Migration im produktiven Netz

Security Migration Juniper/Kaspersky/Splunk/Pulse Secure zu Palo Alto Networks. Für ein mittelständisches Unternehmen soll die bisherige Sicherheitslösung komplett ersetzt werden. Dafür sollen die bestehenden Firewalls von Juniper zu Palo Alto Networks migriert werden, eine vollständige Erneuerung des Regelwerks soll stattfinden, das Management soll komplett zentralisiert werden. Die bestehende Client Security soll von Kaspersky zu Palo Alto Networks Cortex XDR migrieren, die RAS Lösung soll von Pulse Secure zu Palo Alto Networks Global Protect und das Logging/Reporting/Alerting soll mit Panorama abgebildet werden (vorher: Splunk). 

• Planung der neuen Netzwerkumgebung (full mesh), Planung dynamisches Routing, Planung des Sicherheitskonzeptes, Debugging der Legacy-Umgebung
• Umsetzung aller relevanten Bestandteile, Aufbau eines Reporting/Alerting, Abstraktion des gesamten Regelwerks in Panorama (zero touch provisioning)
• Ausrollen der Clients (Global Protect, Cortex), Anbindung an bestehende MS Umgebung, Ausbildung des technischen Personals

Im Unternehmen soll ein ISMS zertifiziert nach ISO/IEC 27001 eingeführt werden. Das Projekt verlief in 3 Phasen. In der ersten Phase soll das ISMS durch einen externen Implementor eingeführt werden, nach der ersten Zertifizierung soll das ISMS dann betrieben werden und die Verantwortung soll von externen in interne Hände gehen. Dazu soll intern genügend Wissen aufgebaut werden. Für Phase 1 sind nach dem Erstaudit 2015 3 Jahre geplant. In der zweiten Phase soll ein interner Informationssicherheitsmanager den Betrieb vollständig übernommen haben, das ISMS ein fester Bestandteil von Risikomanagement und Controlling sein. Für die zweite Phase sind ebenfalls 3 Jahre vorgesehen. Die dritte Phase entstand durch Nachkorrekturen der ersten 2 Projektphasen. Durch wesentliche Umstrukturierung im Unternehmen müssen wesentliche Prozesse und Dokumentationen überarbeitet und angepasst werden. Umsetzung aller Dokumentation im Doku-Tool DocSetMinder.

• Phase 1: Erhebung der sicherheitsrelevanten Assets in der IT, Dokumentation des Datenflusses in der IT, Umsetzung aller technischer Maßnahmen in der internen IT, Beantwortung von Kundenevaluationen. Aufbau von Wissen, Zertifizierungen in 27001 LI und LA.
• Phase 2: Vollständige Übernahme der Verantwortung für das ISMS, sowohl technisch als auch organisatorisch. Grund hierfür war die Unverfügbarkeit auf dem Arbeitsmarkt für entsprechendes Personal. Schulung von Personal, interne Audits, technische Sicherheitsanalysen, Auswertung von Pentests, Begleitung von Zertifizierungsaudits. Leitung des Projektteams.
• Phase 3: Nach der Etablierung eines Compliance Managers: Übergabe aller organisatorischen Arbeiten an den Compliance Manager, Internes Security Consultin

In einem Rechenzentrum gibt es wiederkehrende Störungen im Zusammenhang mit VRRP, OPNsense Firewalls und Juniper EX Switchen. Hier sollte Unterstützung bei der Entstörung geleistet werden. Die Herausforderung hier war, dass der Hersteller den Fehler nicht nachstellen konnte und daher seine Unterstützung im Rahmen von Wartung ablehnte.

• Aufbau einer Laborumgebung mit OPNsense und Juniper
• Laboruntersuchungen, verschiedene Szenarien mit Belastungstests
• Dokumentation für den Hersteller (Juniper)

Bestehende Fortinet Fortigates sollen erneuert werden. Eine RAS Lösung soll mit Fortinet umgesetzt werden. Hier sollte im Vorfeld das richtige Produkt ausgewählt werden, dafür soll eine Entscheidungshilfe bereitgestellt werden. Fortinet und Palo Alto Networks wurden angeboten.

• Beratung pre-sales, die Entscheidungshilfe ist ein eigenes Projekt.
• Planung und Erstellen des Sicherheitskonzepts (zero trust)
• Proof of Concept mit PA-5250 von Palo Alto Networks
• Labortests und Vergleichsanalysen PA-5250 und FGT 1800F
• Dokumentation
• Unterstützung der Umsetzung mit Fortigate post-sales

Neuaufbau eines universellen Sicherheitskonzeptes für einen Europaweit agierenden Automobilhändler mit Gruppenstruktur. Die besondere Herausforderung war hier, dass über 500 Standorte existieren, nebst Bürostandorten mit 50+ Mitarbeitern sind einige Verkaufsstandorte nur mit einem Mitarbeiter besetzt. 

• Planung des Netzwerks, IPsec Tunnel zur Zentrale des Unternehmens, Evaluation der Firewalls mit Belastungstests
• Vorbereitung des Regelwerks für zero touch provisioning an kleinen Standorten,
• Evaluation der bestehenden Infrastruktur (sehr heterogen, da viele eigenständige Landesunternehmungen)
• Aufbau der Labor-Testumgebung, Review der relevanten Software-Versionen, Debugging aufgetretener Störungen
• Bearbeiten von Hersteller Tickets, Dokumentation, Zentralisiertes Management mit Panorama

Für eine Teststrecke soll ein 5G Mobilnetz zum Bereitstellen einer Laborumgebung für autonomes Fahren erstellt werden.

• Planung einer Container Umgebung mit Ubuntu Linux und Docker
• Planung der TCP/IP Netzwerkumgebung
• Installation der Server
• Installation der Juniper SRXen und Konfiguration von IPsec VPNs
• Teilnahme an Meilenstein-Meetings
• Technische Beratung

Migration einer manuellen Laborzugriffslösung.

• Installation der Palo Alto VM 100 und Panorama
• Erstellen des Regelwerks
• Einrichten der Client VPN Funktionen (Global Protect)
• Debugging aufgetretener Störungen
• Bearbeiten von Hersteller Tickets
• Dokumentation
• Authentisierung über RADIUS
• Bereitstellen des Clients

Für den Eigenbedarf eines großen WAN Backbones betrieben durch Organisationen verschiedenster Länder und einer Betreibergesellschaft soll ein 3 Locations- Geo-redundantes Datacenter mit vollständiger Serviceredundanz auf Basis von vmware vSpehere 6 erstellt und gehärtet werden. Das Projekt lief in England daher ist sämtliche Kommunikation in englischer Sprache.

• Pre Sales: Konzeption, technische Verantwortung
• Technische Durchfu?hrung mit DELL Servern
• vSphere 6.0 Enterprise, vSan, vDSwitches, SRM, vROPS, Standorte Paris und Frankfurt a.M.
• Load Balancing mit VMWare NSX
• Backup mit Veeam
• Schulungen
• Härtung nach BP.

Verschiedene unternehmenskritische Dienste sollen aus kaufmännischen und organisatorischen Gründen nicht mehr im eigenen Unternehmen, sondern bei einem Hosting Provider betrieben werden. Hierzu soll ein passender Dienstleiter gefunden werden und die Migration geplant und durchgeführt werden. Bei der Auswahl des Dienstleister spielen nicht nur finanzielle Gründe eine Rolle sondern der Dienstleister soll anhand des bestehenden ISMS nach IDO/IEC 27001 bewertet werden. 

• Leitung des Projektteams, technische Gesamtverantwortung
• Technische Planung des Netz- und Sicherheitskonzeptes,
• Budget-Planung und Verantwortung
• Auswahl eines Dienstleisters, Beurteilung nach ISO/IEC 27001
• Technische Umsetzung des Netzwerk/Routing Konzeptes mit Palo Alto Networks NGFW, dynamisches Routing mittels OSPF
• Schulungen der Administratoren und User