Penetration Testing, Cybersecurity, Red Teaming
Aktualisiert am 23.06.2024
Profil
Freiberufler / Selbstständiger
Remote-Arbeit
Verfügbar ab: 30.06.2024
Verfügbar zu: 100%
davon vor Ort: 100%
Cyber Security, Penetration Testing, Red Teaming

Einsatzorte

Einsatzorte

Frankfurt am Main (+200km)
Deutschland
möglich

Projekte

Projekte

3 Jahre 2 Monate
2021-05 - heute

Research Member Ad hoc Working Group on Threat Landscapes

Appointed Member Thread Intelligence Thread Modeling
Appointed Member

ENISA?s Work Programme 2021 Output O.8.2 highlights the need for ENISA to revisit the topic of threat landscape(s). Following the revised form of the ENISA Threat Landscape Report 2020, ENISA wishes to continue and further improve this flagship report. In particular, ENISA seeks to provide targeted as well as general reports, recommendations, analyses and other actions on future cybersecurity scenarios and threat landscapes, supported via a clear and publicly available methodology and IT tools. By establishing a methodology to develop threat landscapes, the Agency aims to set a baseline for the transparent and systematic delivery of horizontal, thematic and sectorial cybersecurity threat landscapes.

Along these lines, ENISA set up an ad hoc working group in order to interact with a broad range of stakeholders for the purpose of collecting input on a number of relevant aspects. The scope of this ad hoc working group is to advise ENISA in designing, updating and reviewing the methodology for creating cyber threat landscapes, including the annual ENISA Threat Landscape.

Thread Intelligence Thread Modeling
ENISA European Network Information Security Agency
Athen
1 Jahr 2 Monate
2021-03 - 2022-04

Team Lead Threat Intelligence-Based Penetration Testing & Red Teaming

Teamleiter Penetration Testing & Red Teaming OWASP Red Teaming Web Application Penetration Testing ...
Teamleiter Penetration Testing & Red Teaming

Durchführung von Penetrationstests nach SLA in einer Pentest-Service-Line und bedrohungsbasierten Red Teaming-Einsätzen für einen Europäischen Finanzmarkt-Regulierer.

Testdurchführung nach Standards wie

OWASP Web Application Testing Guide

Microsoft Red Teaming Guide

Open Source Security Testing Methodology

Penetration Testing Execution Standard

Durchführung von Cloud-based Penetration Testing

Purple Teaming mit dem Security Operations Center (SOC):

  • Testing Detection Capabilities nach "Conti Playbook", bekannten Vorgehensweisen von relevanten Threat Actors

  • Testing von "high impact scenarios" wie Angriffe gegen Active Directory

  • Testing von ausgewählten TTPs wie DLL Highjacking gegen querschnittlicht eingesetzte Software wie Microsoft Teams

Burp Suite Cobalt Strike Kali Linux Commando VM
OWASP Red Teaming Web Application Penetration Testing Exploit Development Cloud Penetration Testing Cloud Security
Frankfurt am Main
6 Monate
2020-10 - 2021-03

Lead Researcher Mobile Security

Exploit Developer & Team Lead Fuzzing Exploit Development Static Code Analysis ...
Exploit Developer & Team Lead

Anleitung von einem Team von acht Forschern bezüglich der Idenfikation von Sicherheitslücken in mobile Anwendungen und Kommunikation Hard- und Software.

Fuzzing Exploit Development Static Code Analysis Dynamic Code Analysis
Dark Matter LLC
Abu Dhabi
8 Monate
2020-03 - 2020-10

Team Lead Threat Intelligence-based Red Teaming & Penetration Testing

Teamleiter Penetration Testing & Red Teaming Penetrationstest red teaming web application penetration testing ...
Teamleiter Penetration Testing & Red Teaming

Durchführung von Penetrationstests nach SLA in einer Pentest-Service-Line und bedrohungsbasierten Red Teaming-Einsätzen für einen Europäischen Finanzmarkt-Regulierer.

Testdurchführung nach Standards wie

OWASP Web Application Testing Guide

Microsoft Red Teaming Guide

Open Source Security Testing Methodology

Penetration Testing Execution Standard

Durchführung von Cloud-based Penetration Testing

Purple Teaming mit dem Security Operations Center (SOC):

  • Testing Detection Capabilities nach "Conti Playbook", bekannten Vorgehensweisen von relevanten Threat Actors

  • Testing von "high impact scenarios" wie Angriffe gegen Active Directory

  • Testing von ausgewählten TTPs wie DLL Highjacking gegen querschnittlicht eingesetzte Software wie Microsoft Teams

burp suite kali linux commando vm cobalt strike
Penetrationstest red teaming web application penetration testing cloud security cloud penetration testing host based audit
Europäischer Finanzmarkt-Regulierer.
1 Jahr 3 Monate
2019-01 - 2020-03

Senior Incident Responder

Abwehr von Cyberangriffen SIEM Incident Response Threat Management ...
Abwehr von Cyberangriffen

Einsatz in einem internationalen Security Operation Center (SOC) als Incident Responder zur aktiven Abwehr von APT-grade Angriffen.

Fireeye HX Fireeye NX Fireeye MX QRadar
SIEM Incident Response Threat Management Escalation Management
Internationales Chemieunternehmen
Ludwigshafen am Rhein
2 Jahre 5 Monate
2016-08 - 2018-12

Cyber Defence Center - Core Systems Vulnerability Research & Penetration Testing

Security Researcher Penetration Testing OWASP Top10 Fuzzing ...
Security Researcher

Analyse von bankweit auszurollenden Systemen (Server / Client / div. Appliances) hinsichtlich bekannter und unbekannter Sicherheitslücken.

Durchfühung von Penetration Tests, Reverse Engineering und Fuzzing.

U.a. 

+ Analyse von (Legacy) Windows Client-/ Serversystemen

+ Analyse von proprietärer IT-Verwaltungssoftware

+ Penetration Test einer Open Source Monitoring-Lösung

IDA Pro Binary Ninja Burp Suite Core Impact
Penetration Testing OWASP Top10 Fuzzing Exploitation IT-Security IT-Risikomanagement Python Laufzeit-Analyse Binary Runtime Analysis
FI
Eschborn
8 Monate
2017-11 - 2018-06

Programmkoordinator konzernweite Penetrationstests

Subject Matter Expert, Penetration Tester Penetrationstest Vulnerability Management Vulnerability Scan
Subject Matter Expert, Penetration Tester
Penetrationstest Vulnerability Management Vulnerability Scan
Frankfurt am Main
4 Monate
2017-11 - 2018-02

Penetrationstest elektrische Autoflotte / Flottenmanagement

Subject Matter Expert, Penetration Tester Penetrationstest Penetration Testing
Subject Matter Expert, Penetration Tester
core impact metasploit nessus
Penetrationstest Penetration Testing
Start Up
4 Monate
2017-09 - 2017-12

Stand-In Application Security Officer

ISM OWASP Cloud IT Security nach BSI ...
ISM
OWASP Cloud IT Security nach BSI GRC Datenschutz Penetrationstest
Versicherer
Köln
3 Monate
2016-12 - 2017-02

Penetrationstest Steuersoftware

Lead Penetration Tester OWASP Top10 OWASP Top10 Mobile Android Security ...
Lead Penetration Tester

Penetration Test nach Industriestandard "OWASP Penetrationtesting Guide" für eine Webapplikation, sowie iOS und Android-Apps zur Aufdeckung und Behebung verschiedenster Sicherheitsrisiken bzgl Verfügbarkeit des Service und der Sicherheit personenbezogener Daten.

OWASP Top10 OWASP Top10 Mobile Android Security iOS Security AngularJS NodeJS Penetrationstest Penetration Testing
1 Jahr 4 Monate
2015-05 - 2016-08

Aufbau Cyber Security Operation Center

Subject Matter Expert NIST Cybersecurity Framework ISO 27001 Penetrationstest ...
Subject Matter Expert

Beteiligt am Aufbau eines CSOC nach NIST Cybersecurity Framework als Teilprojektleiter:

+ Einführung von Web Application Firewalls

+ Einführung von Netzwer-Anomalie-Erkennung

+ Verbesserung Endpoint Protection

NIST Cybersecurity Framework ISO 27001 Penetrationstest Penetration Testing Reverse Engineering Malwareanalyse
FI
Frankfurt am Main
8 Monate
2014-09 - 2015-04

SIEM Content-Erweiterung

Use Case Architect SIEM
Use Case Architect SIEM

Improvement of the internal control system regarding SOX compliance and several German Banking Acts, especially implementation of privileged user monitoring

Subproject manager for Onboarding of core banking applications into the ArcSight Event Lifecycle

ArcSight Enterprise Security Manager
FI
Frankfurt am Main
7 Monate
2014-02 - 2014-08

Security Consultant (Penetration Tester & Threat Intelligence) Modular Computer Systems GmbH

  • Eigenständige Planung und Durchführung von projektbezogenen Penetration Tests, Schwachstellen Scans und –Analysen, sowie Sicherheitsüberprüfungen von Architektur- und Designdokumenten für kleine und mittelständische Unternehmen.
  • Entwicklung und Verbesserung des Portfolios bzgl. Security Services, sowie des internen Penetrationstest-Prozesses
  • Mitarbeit in Pre- und Post-Sales
  • Mitverantwortlich für die technische Ausbildung von Junior Consultants
7 Monate
2014-02 - 2014-08

Security Risk Analyst

  • Security Consulting im Bereich Penetration Testing, Design Review für Konzern-interne Kunden und Tochtergesellschaften
  • Review von Softwarearchitekturen und deren Implementierung, sowie Abschätzung der Risiken für das jeweilige Unternehmen
  • Ad hoc Schwachstellen Scans und -analysen von Produkten und Infrastrukturen
  • Reverse Engineering verschiedener iOS- und Android-Applikationen mit dem Ziel einer Risiko-Bewertung (Krytoanalyse, Untersuchung von Datenspeicherung und –Transfer im Hinblick auf rechtliche und sicherheitstechnische Probleme)
  • Durchführung von Netzwerkforensiken in verschiedenen Projekten zur Untersuchung transferierter Daten.
  • Tätig im Risk Management unter Verwendung des internen Risk Management Framework zum Tracking der Behebung gefundener Risiken.
  • Zuständig für den Aufbau einer Knowledge Base zu Advanced Persistent Threat Erkennungssoftware, wie z.B. FireEye, Damballa oder Deep DIscovery
  • Penetration Test und Review einer ausgerollten Mobile Device Management Plattform.
  • Threat Modeling der operativen Umgebung einer „Dropbox for Enterprise”-Lösung
  • Source Code Audit und Penetration Test einer “Dropbox for Enterprise”-Lösung, sowie Nachverfolgung der Behebung gefundener Sicherheitslücken im Risk Management Prozess. Dynamische Laufzeit und Applikationsanalyse der iOS, Android, Mac, Windows8 Client-Applikationen, sowie des Web front-ends der Lösung
  • Verschiedene Projekte im Bereich Android Applikationen Dynamische Laufzeitanalysen bezüglich dem Abfluss von Daten und Informationen

 

Vodafone Group Services GmbH
1 Jahr 1 Monat
2013-01 - 2014-01

Solutions Consultant Security / Penetration Tester

  • Analyse und Reverse Engineering proprietärer Krypto-Container auf mobilen Endgeräte
  • Planung und Durchführung von Penetration Tests, Sicherheits-Reviews und Source Code Analysen für mehrere „Fortune 500“ Unternehmen.

 

Deutscher Automobilhersteller

  • Penetration Test / Reverse Engineering einer SharePoint-Erweiterung für Projekt Management
  • Sicherheitsanalyse von Apple iOS7
  • Kryptoanalyse der Verschlüsselung in mehreren SharePoint-Erweiterungen

 

International tätiger Anbieter von Enterprise Software

  • Web Application Penetration Test einer Webseite zu Umfragezwecken in der internen Belegschaft
  • Penetration Test und Source Code Analyse einer iPhone/iPad Event Management Applikation
  • Penetration Test und Source Code Analyse einer iPhone/iPad „Business Objects“-basierten Applikation
  • Sicherheitsaudit / Härtung von Windows-basierten Systemen
  • Kryptoanalyse einer proprietären Verschlüsselung
  • Teil des Risk Management-Teams während der Projektdurchführung

 

International tätiger Internet Service Provider Web Application Penetration Test einer Mobile Device Management Plattform

 

International tätiger Konzern für Wirtschaftsprüfung

  • Penetration Test & Security Review einer Lösung zur Digitalisierung der eingehenden Post
  • Security Review einer Applikation zur automatisierten Betrugserkennung
  • Penetration Test einer Mobile Device Management-Plattform
  • Penetration Test / Reverse Engineering eines SharePoint Addons für Projekt Management
  • Teil des Risk/Threat Management-Teams während der Projektdurchführung

 

Deutscher Internet Service Provider

Penetration Test einer „Next Generation“ Set-Top-Box

 

International tätiger Konzern in der Spezialchemie

Notfall ad hoc Netzwerkforensik zur Detektion / Bekämpfung eines Trojaners/Virus

 

International tätiges Pharmaunternehmen

Web Application Penetration Test einer „Labor-Assistenz“-Applikation mit Internetzugang

 

International tätige Bank mit Hauptsitz in Frankfurt

Projektevaluation zwecks Outsourcing der automatisierten Schwachstellenerkennung des Online-Angebotes der Bank

 

KMU SaaS Provider

Reverse Engineering / Dynamische Laufzeitanalyse einer „Dropbox“-iOS Applikation

n.runs professionals GmbH
1 Jahr 10 Monate
2011-03 - 2012-12

Software Entwickler / Consultant Mobile & Security

  • (Leiter) iOS Software Entwicklung
  • Einführung des Secure Development LifeCycle
  • Erfolgreiche Entwicklung und Launch einer Multiplattform „Dropbox“-Applikation

 

Deutsche Telekom AG

Test Manager in einem Oracle Apex-basiertem Projekt

 

Orbit GmbH (Tochter der Deutschen Telekom)
7 Monate
2010-07 - 2011-01

Security Administrator

  • Studentische Hilfskraft: Evaluation und Implementierung einer Lösung für automatisierte Schwachstellen Scans und deren Einbindung in den existierenden ITIL-Kontext.
  • Freies Security Testing zur Verifizierung der Effektivität von Penetration Tests externer Dienstleister
Meine Stadt GmbH
1 Jahr 4 Monate
2009-09 - 2010-12

Forschung IT Security

  • Studentische Hilfskraft im Bereich Zero Day Exploits
  • Beteiligt in der Forschung im Bereich Threat Modeling und Fuzzing
  • (Co)Editor mehrerer White Paper im Bereich Zero Day Exploits, Threat Modeling, Automotive und Health Security
softScheck GmbH

Aus- und Weiterbildung

Aus- und Weiterbildung

Ausbildung

2014 - 2018                     

Hochschule Albstadt-Sigmaringen

Master of Science, IT Governance Risk & Compliance Management

 Fernstudium

 

Aug 2014 ? Sept 2014

Charles Sturt University ?Incident Management? Onlinekurs

 

Mai 2014 ? Juni 2014         

Royal University of Holloway ?Malicious Software and its Underground     

Economy? Onlinekurs

 

Juni 2006 ? Aug 2006         

Dalhousie University, Canada

Summer School; ?Artificial Intelligence ? Fundamentals in Data Mining?

 

Sept 2005 ? Sept 2012       

Hochschule Bonn-Rhein-Sieg: Bachelor in Computer

Science

Schwerpunkt Design von Carrier-Netzen, Penetration Testing

 

2003-2005                         

Siegerland Kolleg

Allgemeine Fachhochschulreife

2000-2003

Berufsbildende Schule Betzdorf-Kirchen

Ausbildung: Assistent für technische Informatik

 

Trainings & Zertifizierungen 

  • 2017 Offensive Security Certified Professional (OSCP)
  • 2016 DEKRA Certified Expert Witness for IT-Forensics (Windows, Mobile)
  • 2016 SANS SEC760 Advanced Exploit Development for Penetration Testers
  • 2016 Corelan Exploit Development Bootcamp
  • 2016 GIAC Certified Penetration Tester GPEN
  • 2015 SANS FOR508: Advanced Digital Forensics and Incident Response
  • 2015 iOS Kernel Exploitation Training, SektionEins
  • 2014 ENISA CERT Training (Instructor)
  • 2014 CyberWar, Joe McCray
  • 2014 Exploit Development, Joe McCray
  • 2014 Metasploit Framework Expert, SecurityTube
  • 2013 Python Scripting Expert, SecurityTube
  • 2013 iOS Security Expert, SecurityTube
  • 2012 Scrum Entwickler Coaching

Position

Position

Durchführung von technischen Analysen wie Penetrationstests, Reverse Engineering u.ä.

Einsatz meist in Security Operation Center / Cyber Defense Center oder im Rahmen von turnusmäßigen Penetrationstests für Konzerne innerhalb der IT-GRC (Governance, Risk Compliance)-Struktur

Kompetenzen

Kompetenzen

Top-Skills

Cyber Security, Penetration Testing, Red Teaming

Schwerpunkte

Penetration Testing
Nach BSI, OWASP u.a.
Penetrationstest
Nach BSI, OWASP u.a.
Red Teaming
Threat simulation, Blue Team Benchmark

Produkte / Standards / Erfahrungen / Methoden

Android Security
ArcSight Enterprise Security Manager
Binary Ninja
Binary Runtime Analysis
Burp Suite
Core Impact
core impact
Exploitation
Fuzzing
IDA Pro
iOS Security
ISO 27001
IT-Risikomanagement
IT-Security
Malwareanalyse
metasploit
nessus
NIST Cybersecurity Framework
OWASP
OWASP Top10
OWASP Top10 Mobile
Penetration Testing
Vulnerability Management
Vulnerability Scan

Kernkompetenzen

  • 7+ Jahre Penetration Testing: Planung, Durchführung und Leitung Durchführung von Penetrationstests nach gängigen Standards wie OWASP Top 10. Identifizierung, Angriff und gezielte Exfiltration von ?Mission Critical Assets?. Penetrationstests unter Verschleierung der Identität des Angreifers. Umgehung bestehender Sicherheitsmaßnahmen und entsprechendes Reporting für Stakeholder.
  • 3 Jahre Incident Response & Security und Information Event Management Ansprechpartner & Teamleiter eines IR-Teams zur Untersuchunge von sicherheitsrelevanten Vorfällen, u.a.: Web Application Firewall, Proxy-Filter, Netzwerkanomalie-Erkennung. Implementierung von Kontrollsystemen bezüglich SOX-Compliance, Aufdeckung von Data Leakage mit Hilfe von HP ArcSight. Implementierung von speziellem SIEM-Content zur Aufdeckung andauernder (erfolgreicher) Angriffe gegen Unternehmen (Advanced Persistent Threat). Integration von ?Actionable Threat Intelligence?, zur Anreicherung vorhandener Events/Daten.

Programmiersprachen

AngularJS
Bash Shell
NodeJS
Python

Design / Entwicklung / Konstruktion

Reverse Engineering

Einsatzorte

Einsatzorte

Frankfurt am Main (+200km)
Deutschland
möglich

Projekte

Projekte

3 Jahre 2 Monate
2021-05 - heute

Research Member Ad hoc Working Group on Threat Landscapes

Appointed Member Thread Intelligence Thread Modeling
Appointed Member

ENISA?s Work Programme 2021 Output O.8.2 highlights the need for ENISA to revisit the topic of threat landscape(s). Following the revised form of the ENISA Threat Landscape Report 2020, ENISA wishes to continue and further improve this flagship report. In particular, ENISA seeks to provide targeted as well as general reports, recommendations, analyses and other actions on future cybersecurity scenarios and threat landscapes, supported via a clear and publicly available methodology and IT tools. By establishing a methodology to develop threat landscapes, the Agency aims to set a baseline for the transparent and systematic delivery of horizontal, thematic and sectorial cybersecurity threat landscapes.

Along these lines, ENISA set up an ad hoc working group in order to interact with a broad range of stakeholders for the purpose of collecting input on a number of relevant aspects. The scope of this ad hoc working group is to advise ENISA in designing, updating and reviewing the methodology for creating cyber threat landscapes, including the annual ENISA Threat Landscape.

Thread Intelligence Thread Modeling
ENISA European Network Information Security Agency
Athen
1 Jahr 2 Monate
2021-03 - 2022-04

Team Lead Threat Intelligence-Based Penetration Testing & Red Teaming

Teamleiter Penetration Testing & Red Teaming OWASP Red Teaming Web Application Penetration Testing ...
Teamleiter Penetration Testing & Red Teaming

Durchführung von Penetrationstests nach SLA in einer Pentest-Service-Line und bedrohungsbasierten Red Teaming-Einsätzen für einen Europäischen Finanzmarkt-Regulierer.

Testdurchführung nach Standards wie

OWASP Web Application Testing Guide

Microsoft Red Teaming Guide

Open Source Security Testing Methodology

Penetration Testing Execution Standard

Durchführung von Cloud-based Penetration Testing

Purple Teaming mit dem Security Operations Center (SOC):

  • Testing Detection Capabilities nach "Conti Playbook", bekannten Vorgehensweisen von relevanten Threat Actors

  • Testing von "high impact scenarios" wie Angriffe gegen Active Directory

  • Testing von ausgewählten TTPs wie DLL Highjacking gegen querschnittlicht eingesetzte Software wie Microsoft Teams

Burp Suite Cobalt Strike Kali Linux Commando VM
OWASP Red Teaming Web Application Penetration Testing Exploit Development Cloud Penetration Testing Cloud Security
Frankfurt am Main
6 Monate
2020-10 - 2021-03

Lead Researcher Mobile Security

Exploit Developer & Team Lead Fuzzing Exploit Development Static Code Analysis ...
Exploit Developer & Team Lead

Anleitung von einem Team von acht Forschern bezüglich der Idenfikation von Sicherheitslücken in mobile Anwendungen und Kommunikation Hard- und Software.

Fuzzing Exploit Development Static Code Analysis Dynamic Code Analysis
Dark Matter LLC
Abu Dhabi
8 Monate
2020-03 - 2020-10

Team Lead Threat Intelligence-based Red Teaming & Penetration Testing

Teamleiter Penetration Testing & Red Teaming Penetrationstest red teaming web application penetration testing ...
Teamleiter Penetration Testing & Red Teaming

Durchführung von Penetrationstests nach SLA in einer Pentest-Service-Line und bedrohungsbasierten Red Teaming-Einsätzen für einen Europäischen Finanzmarkt-Regulierer.

Testdurchführung nach Standards wie

OWASP Web Application Testing Guide

Microsoft Red Teaming Guide

Open Source Security Testing Methodology

Penetration Testing Execution Standard

Durchführung von Cloud-based Penetration Testing

Purple Teaming mit dem Security Operations Center (SOC):

  • Testing Detection Capabilities nach "Conti Playbook", bekannten Vorgehensweisen von relevanten Threat Actors

  • Testing von "high impact scenarios" wie Angriffe gegen Active Directory

  • Testing von ausgewählten TTPs wie DLL Highjacking gegen querschnittlicht eingesetzte Software wie Microsoft Teams

burp suite kali linux commando vm cobalt strike
Penetrationstest red teaming web application penetration testing cloud security cloud penetration testing host based audit
Europäischer Finanzmarkt-Regulierer.
1 Jahr 3 Monate
2019-01 - 2020-03

Senior Incident Responder

Abwehr von Cyberangriffen SIEM Incident Response Threat Management ...
Abwehr von Cyberangriffen

Einsatz in einem internationalen Security Operation Center (SOC) als Incident Responder zur aktiven Abwehr von APT-grade Angriffen.

Fireeye HX Fireeye NX Fireeye MX QRadar
SIEM Incident Response Threat Management Escalation Management
Internationales Chemieunternehmen
Ludwigshafen am Rhein
2 Jahre 5 Monate
2016-08 - 2018-12

Cyber Defence Center - Core Systems Vulnerability Research & Penetration Testing

Security Researcher Penetration Testing OWASP Top10 Fuzzing ...
Security Researcher

Analyse von bankweit auszurollenden Systemen (Server / Client / div. Appliances) hinsichtlich bekannter und unbekannter Sicherheitslücken.

Durchfühung von Penetration Tests, Reverse Engineering und Fuzzing.

U.a. 

+ Analyse von (Legacy) Windows Client-/ Serversystemen

+ Analyse von proprietärer IT-Verwaltungssoftware

+ Penetration Test einer Open Source Monitoring-Lösung

IDA Pro Binary Ninja Burp Suite Core Impact
Penetration Testing OWASP Top10 Fuzzing Exploitation IT-Security IT-Risikomanagement Python Laufzeit-Analyse Binary Runtime Analysis
FI
Eschborn
8 Monate
2017-11 - 2018-06

Programmkoordinator konzernweite Penetrationstests

Subject Matter Expert, Penetration Tester Penetrationstest Vulnerability Management Vulnerability Scan
Subject Matter Expert, Penetration Tester
Penetrationstest Vulnerability Management Vulnerability Scan
Frankfurt am Main
4 Monate
2017-11 - 2018-02

Penetrationstest elektrische Autoflotte / Flottenmanagement

Subject Matter Expert, Penetration Tester Penetrationstest Penetration Testing
Subject Matter Expert, Penetration Tester
core impact metasploit nessus
Penetrationstest Penetration Testing
Start Up
4 Monate
2017-09 - 2017-12

Stand-In Application Security Officer

ISM OWASP Cloud IT Security nach BSI ...
ISM
OWASP Cloud IT Security nach BSI GRC Datenschutz Penetrationstest
Versicherer
Köln
3 Monate
2016-12 - 2017-02

Penetrationstest Steuersoftware

Lead Penetration Tester OWASP Top10 OWASP Top10 Mobile Android Security ...
Lead Penetration Tester

Penetration Test nach Industriestandard "OWASP Penetrationtesting Guide" für eine Webapplikation, sowie iOS und Android-Apps zur Aufdeckung und Behebung verschiedenster Sicherheitsrisiken bzgl Verfügbarkeit des Service und der Sicherheit personenbezogener Daten.

OWASP Top10 OWASP Top10 Mobile Android Security iOS Security AngularJS NodeJS Penetrationstest Penetration Testing
1 Jahr 4 Monate
2015-05 - 2016-08

Aufbau Cyber Security Operation Center

Subject Matter Expert NIST Cybersecurity Framework ISO 27001 Penetrationstest ...
Subject Matter Expert

Beteiligt am Aufbau eines CSOC nach NIST Cybersecurity Framework als Teilprojektleiter:

+ Einführung von Web Application Firewalls

+ Einführung von Netzwer-Anomalie-Erkennung

+ Verbesserung Endpoint Protection

NIST Cybersecurity Framework ISO 27001 Penetrationstest Penetration Testing Reverse Engineering Malwareanalyse
FI
Frankfurt am Main
8 Monate
2014-09 - 2015-04

SIEM Content-Erweiterung

Use Case Architect SIEM
Use Case Architect SIEM

Improvement of the internal control system regarding SOX compliance and several German Banking Acts, especially implementation of privileged user monitoring

Subproject manager for Onboarding of core banking applications into the ArcSight Event Lifecycle

ArcSight Enterprise Security Manager
FI
Frankfurt am Main
7 Monate
2014-02 - 2014-08

Security Consultant (Penetration Tester & Threat Intelligence) Modular Computer Systems GmbH

  • Eigenständige Planung und Durchführung von projektbezogenen Penetration Tests, Schwachstellen Scans und –Analysen, sowie Sicherheitsüberprüfungen von Architektur- und Designdokumenten für kleine und mittelständische Unternehmen.
  • Entwicklung und Verbesserung des Portfolios bzgl. Security Services, sowie des internen Penetrationstest-Prozesses
  • Mitarbeit in Pre- und Post-Sales
  • Mitverantwortlich für die technische Ausbildung von Junior Consultants
7 Monate
2014-02 - 2014-08

Security Risk Analyst

  • Security Consulting im Bereich Penetration Testing, Design Review für Konzern-interne Kunden und Tochtergesellschaften
  • Review von Softwarearchitekturen und deren Implementierung, sowie Abschätzung der Risiken für das jeweilige Unternehmen
  • Ad hoc Schwachstellen Scans und -analysen von Produkten und Infrastrukturen
  • Reverse Engineering verschiedener iOS- und Android-Applikationen mit dem Ziel einer Risiko-Bewertung (Krytoanalyse, Untersuchung von Datenspeicherung und –Transfer im Hinblick auf rechtliche und sicherheitstechnische Probleme)
  • Durchführung von Netzwerkforensiken in verschiedenen Projekten zur Untersuchung transferierter Daten.
  • Tätig im Risk Management unter Verwendung des internen Risk Management Framework zum Tracking der Behebung gefundener Risiken.
  • Zuständig für den Aufbau einer Knowledge Base zu Advanced Persistent Threat Erkennungssoftware, wie z.B. FireEye, Damballa oder Deep DIscovery
  • Penetration Test und Review einer ausgerollten Mobile Device Management Plattform.
  • Threat Modeling der operativen Umgebung einer „Dropbox for Enterprise”-Lösung
  • Source Code Audit und Penetration Test einer “Dropbox for Enterprise”-Lösung, sowie Nachverfolgung der Behebung gefundener Sicherheitslücken im Risk Management Prozess. Dynamische Laufzeit und Applikationsanalyse der iOS, Android, Mac, Windows8 Client-Applikationen, sowie des Web front-ends der Lösung
  • Verschiedene Projekte im Bereich Android Applikationen Dynamische Laufzeitanalysen bezüglich dem Abfluss von Daten und Informationen

 

Vodafone Group Services GmbH
1 Jahr 1 Monat
2013-01 - 2014-01

Solutions Consultant Security / Penetration Tester

  • Analyse und Reverse Engineering proprietärer Krypto-Container auf mobilen Endgeräte
  • Planung und Durchführung von Penetration Tests, Sicherheits-Reviews und Source Code Analysen für mehrere „Fortune 500“ Unternehmen.

 

Deutscher Automobilhersteller

  • Penetration Test / Reverse Engineering einer SharePoint-Erweiterung für Projekt Management
  • Sicherheitsanalyse von Apple iOS7
  • Kryptoanalyse der Verschlüsselung in mehreren SharePoint-Erweiterungen

 

International tätiger Anbieter von Enterprise Software

  • Web Application Penetration Test einer Webseite zu Umfragezwecken in der internen Belegschaft
  • Penetration Test und Source Code Analyse einer iPhone/iPad Event Management Applikation
  • Penetration Test und Source Code Analyse einer iPhone/iPad „Business Objects“-basierten Applikation
  • Sicherheitsaudit / Härtung von Windows-basierten Systemen
  • Kryptoanalyse einer proprietären Verschlüsselung
  • Teil des Risk Management-Teams während der Projektdurchführung

 

International tätiger Internet Service Provider Web Application Penetration Test einer Mobile Device Management Plattform

 

International tätiger Konzern für Wirtschaftsprüfung

  • Penetration Test & Security Review einer Lösung zur Digitalisierung der eingehenden Post
  • Security Review einer Applikation zur automatisierten Betrugserkennung
  • Penetration Test einer Mobile Device Management-Plattform
  • Penetration Test / Reverse Engineering eines SharePoint Addons für Projekt Management
  • Teil des Risk/Threat Management-Teams während der Projektdurchführung

 

Deutscher Internet Service Provider

Penetration Test einer „Next Generation“ Set-Top-Box

 

International tätiger Konzern in der Spezialchemie

Notfall ad hoc Netzwerkforensik zur Detektion / Bekämpfung eines Trojaners/Virus

 

International tätiges Pharmaunternehmen

Web Application Penetration Test einer „Labor-Assistenz“-Applikation mit Internetzugang

 

International tätige Bank mit Hauptsitz in Frankfurt

Projektevaluation zwecks Outsourcing der automatisierten Schwachstellenerkennung des Online-Angebotes der Bank

 

KMU SaaS Provider

Reverse Engineering / Dynamische Laufzeitanalyse einer „Dropbox“-iOS Applikation

n.runs professionals GmbH
1 Jahr 10 Monate
2011-03 - 2012-12

Software Entwickler / Consultant Mobile & Security

  • (Leiter) iOS Software Entwicklung
  • Einführung des Secure Development LifeCycle
  • Erfolgreiche Entwicklung und Launch einer Multiplattform „Dropbox“-Applikation

 

Deutsche Telekom AG

Test Manager in einem Oracle Apex-basiertem Projekt

 

Orbit GmbH (Tochter der Deutschen Telekom)
7 Monate
2010-07 - 2011-01

Security Administrator

  • Studentische Hilfskraft: Evaluation und Implementierung einer Lösung für automatisierte Schwachstellen Scans und deren Einbindung in den existierenden ITIL-Kontext.
  • Freies Security Testing zur Verifizierung der Effektivität von Penetration Tests externer Dienstleister
Meine Stadt GmbH
1 Jahr 4 Monate
2009-09 - 2010-12

Forschung IT Security

  • Studentische Hilfskraft im Bereich Zero Day Exploits
  • Beteiligt in der Forschung im Bereich Threat Modeling und Fuzzing
  • (Co)Editor mehrerer White Paper im Bereich Zero Day Exploits, Threat Modeling, Automotive und Health Security
softScheck GmbH

Aus- und Weiterbildung

Aus- und Weiterbildung

Ausbildung

2014 - 2018                     

Hochschule Albstadt-Sigmaringen

Master of Science, IT Governance Risk & Compliance Management

 Fernstudium

 

Aug 2014 ? Sept 2014

Charles Sturt University ?Incident Management? Onlinekurs

 

Mai 2014 ? Juni 2014         

Royal University of Holloway ?Malicious Software and its Underground     

Economy? Onlinekurs

 

Juni 2006 ? Aug 2006         

Dalhousie University, Canada

Summer School; ?Artificial Intelligence ? Fundamentals in Data Mining?

 

Sept 2005 ? Sept 2012       

Hochschule Bonn-Rhein-Sieg: Bachelor in Computer

Science

Schwerpunkt Design von Carrier-Netzen, Penetration Testing

 

2003-2005                         

Siegerland Kolleg

Allgemeine Fachhochschulreife

2000-2003

Berufsbildende Schule Betzdorf-Kirchen

Ausbildung: Assistent für technische Informatik

 

Trainings & Zertifizierungen 

  • 2017 Offensive Security Certified Professional (OSCP)
  • 2016 DEKRA Certified Expert Witness for IT-Forensics (Windows, Mobile)
  • 2016 SANS SEC760 Advanced Exploit Development for Penetration Testers
  • 2016 Corelan Exploit Development Bootcamp
  • 2016 GIAC Certified Penetration Tester GPEN
  • 2015 SANS FOR508: Advanced Digital Forensics and Incident Response
  • 2015 iOS Kernel Exploitation Training, SektionEins
  • 2014 ENISA CERT Training (Instructor)
  • 2014 CyberWar, Joe McCray
  • 2014 Exploit Development, Joe McCray
  • 2014 Metasploit Framework Expert, SecurityTube
  • 2013 Python Scripting Expert, SecurityTube
  • 2013 iOS Security Expert, SecurityTube
  • 2012 Scrum Entwickler Coaching

Position

Position

Durchführung von technischen Analysen wie Penetrationstests, Reverse Engineering u.ä.

Einsatz meist in Security Operation Center / Cyber Defense Center oder im Rahmen von turnusmäßigen Penetrationstests für Konzerne innerhalb der IT-GRC (Governance, Risk Compliance)-Struktur

Kompetenzen

Kompetenzen

Top-Skills

Cyber Security, Penetration Testing, Red Teaming

Schwerpunkte

Penetration Testing
Nach BSI, OWASP u.a.
Penetrationstest
Nach BSI, OWASP u.a.
Red Teaming
Threat simulation, Blue Team Benchmark

Produkte / Standards / Erfahrungen / Methoden

Android Security
ArcSight Enterprise Security Manager
Binary Ninja
Binary Runtime Analysis
Burp Suite
Core Impact
core impact
Exploitation
Fuzzing
IDA Pro
iOS Security
ISO 27001
IT-Risikomanagement
IT-Security
Malwareanalyse
metasploit
nessus
NIST Cybersecurity Framework
OWASP
OWASP Top10
OWASP Top10 Mobile
Penetration Testing
Vulnerability Management
Vulnerability Scan

Kernkompetenzen

  • 7+ Jahre Penetration Testing: Planung, Durchführung und Leitung Durchführung von Penetrationstests nach gängigen Standards wie OWASP Top 10. Identifizierung, Angriff und gezielte Exfiltration von ?Mission Critical Assets?. Penetrationstests unter Verschleierung der Identität des Angreifers. Umgehung bestehender Sicherheitsmaßnahmen und entsprechendes Reporting für Stakeholder.
  • 3 Jahre Incident Response & Security und Information Event Management Ansprechpartner & Teamleiter eines IR-Teams zur Untersuchunge von sicherheitsrelevanten Vorfällen, u.a.: Web Application Firewall, Proxy-Filter, Netzwerkanomalie-Erkennung. Implementierung von Kontrollsystemen bezüglich SOX-Compliance, Aufdeckung von Data Leakage mit Hilfe von HP ArcSight. Implementierung von speziellem SIEM-Content zur Aufdeckung andauernder (erfolgreicher) Angriffe gegen Unternehmen (Advanced Persistent Threat). Integration von ?Actionable Threat Intelligence?, zur Anreicherung vorhandener Events/Daten.

Programmiersprachen

AngularJS
Bash Shell
NodeJS
Python

Design / Entwicklung / Konstruktion

Reverse Engineering

Vertrauen Sie auf Randstad

Im Bereich Freelancing
Im Bereich Arbeitnehmerüberlassung / Personalvermittlung

Fragen?

Rufen Sie uns an +49 89 500316-300 oder schreiben Sie uns:

Das Freelancer-Portal

Direktester geht's nicht! Ganz einfach Freelancer finden und direkt Kontakt aufnehmen.