Konzeption eines Open Source SOCs (Security Operations Center) 

• Splunk: Installation, Konfiguration, Analyse und Anbindung an Input-Quellen, Erstellung von Splunk-Analyse- und Visualisierungs-Use Cases mit SPL (Search Processing Language).
• Zukunftsvision der SOC-Architektur erstellt auf Basis von Apache Metron + Kafka + Spark + Elastic/ELK Stack (ElasticSearch, LogStash, Kibana) und Konzeption ihrer Komponentenarchitektur - möglichst mit Open-Source-Tools, um Kosten zu sparen. Dazu viele konkrete Vorschläge zur Verbesserung des SOCs (Security Operations Center), Erstellen einer neuen SOC-Architektur mit KI-Elementen: Big Data/Data Science Ansatz zur Angriffs-/Malware-/APT-Erkennung mit Machine Learning und Fokus auf False-Positives-Reduzierung. Visualisierungskonzept zu Angriffs-Verdachtsfällen mit den jeweiligen Security-Kontexten per Design Thinking
• Aufsetzen + Starten des agilen Open Source SOC Projekts: Strategische Planung, Coaching: Zunächst SAFe + Design Thinking zur Beantragung der Projektfinanzierung, dann vereinfachte Durchführung als Scrum-Prozess; Coaching zur Verbesserung der Produktivität und Zusammenarbeit.
• Recherche, Test und Analyse der führenden Open Source SIEM/SOC Systeme: Apache Metron / HCP (Hortonworks Cybersecurity Platform), Apache Spot, dataShark, Alienvault OSSIM, Graylog, SIEMonster, Hunting ELK (HELK), Wazuh, MozDef, OSSEC, Prelude OSS, Snort, QuadrantSec Sagan, Suricata, OpenStack Vitrage.
• Requirements Engineering, Use Case 2.0 Engineering der SIEM-/SOC-Features allgemein und im Bahnkontext mit Walking-Skeleton-Ansatz. Analyse der Kosten-/Nutzen-Aspekte der Use Cases und deren Abhängigkeiten als Input für agiles Kunden-Wert-basiertes Produktmanagement/Product Owner Tätigkeiten.
• Detail-Vergleich von Elastic mit Solr, der führenden JavaScript-Frameworks: React, Angular und Vue.js, die jeweiligen Native-Frameworks (Ionic etc.) sowie Electron Platform sowie der führenden Clouds: Amazon AWS, Google GCP und Microsoft Azure sowie Docker/Kubernetes, Websockets vs REST, GraphQL vs Odata vs ORDS, Vergleich geeigneter DBs, z.B. für Range-Scans, AWS RedShift vs Athena.
• Erstellung einer SOC-Gesamtarchitektur mit Umfängen für Minimal-, Basic-, Advanced- und Premium-Konfiguration mit bis zu 100 Komponenten. Auf dieser Basis Analyse und Präsentation der Chancen/Kosten/Risiken zur Erfüllung von Requirements und Use Cases gegenüber Management und Engineering-Gruppen.
• Erstellung der SOC Open Source SOC PoC (Proof of Concept) Architektur basierend auf 3 Säulen: Log-Verarbeitung mit Solr/Elastic, Open Source SOC Elementen (RegEx, Match Expressions mit Spark, Kafka, Solr etc.) sowie einer KI-Säule bestehend aus Data Science und Regel-basierter KI mit Spark sowie Deep Learning mit TensorFlow und PyTorch.
• Erstellung und Abstimmung des Open Source SOC PoC Projektplans und der Architektur mit dem Top-Management der Bahn (CISO, Technik-Vorstands-Bereich), Erstellung von ca. 10 Job-Profilen und Staffing/Job-Interviews auf dieser Basis.
• Beschaffung von Deep Learning GPU PC- und Server-Hardware und von Cloud-Zugängen (AWS+Azure).
• Konzeption der Einführung von Docker/Kubernetes für TensorFlow- und PyTorch-Machine-Learning: Vergleich mit der Alternative containerd mit GRPC, Docker Registries mit YAML für Kubernetes, Flannel (layer 3 network config). Kubernetes Tools: kubelet (primary node agent), kube-proxy, Container Runtime, (High Availability) HA endpoints, kubernetes-ha, Kube-apiserver, kubeadm, cluster autoscaler, scheduler, Helm (Kubernetes Package Manager, Microservices), Tiller (Helm server part), Ingress (load balancing, SSL termination, virtual hosting), kube-keepalived-vip (Kubernetes Virtual IP addresses using keepalived), Kubespray (Deploy a Production Ready Kubernetes Cluster). Analyse von Kubernetes & Airflow Failure Stories auf Risiken und Ableitung von Best Practices/Empfehlungen.
• Evaluierung von Memory-Centric-Tools: Apache Pulsar (schnellere Alternative zu Kafka), memcached, Ignite, GridGain, Alluxio, Redis, Hazelcast, Ehcache, Red Hat JBoss Data Grid, Pivotal GemFire, ActiveMQ, RabbitMQ mit AMQP, MQTT.
• Auf maximale Performance und Durchsatz optimierte Apache Spark basierende Scheduling-Konzepte mit Memory-Centric Computing, Data-Locality-Optimierung und Minimierung datenintensiver Operationen: Custom Spark Scheduler/Spark Task/DAG/SubDAG Combiner für Dynamic Workflows (In-Memory-Optimierungen), Deep Learning Pipelines, Horovod, TensorFlowOnSpark, TensorBoards, TensorFrames, Data Lineage Optimierungen.
• Erstellung eines umfassenden Testmanagementkonzeptes zur Verbesserung der Stabilität von entwickeltem Code mit den Schwerpunkten Datenaufnahme, KI, DevOps, CI/CD-Pipeline (Continuous Integration/Deployment mit Jenkins und Sonar(Qube)), Metadaten und IT-Sicherheit zur Kanalisierung und Verbesserung von Code durch Developer-Test-, Integrationstest-, Pre-Prod- zu Prod-Umgebungen).
• Analyse von möglichen Deep Learning Nachfolgetechnologien wie Hierarchical Temporal Memory (HTM), Graph/Memory/Transformer ConvNets (Convolutional Networks) incl. deren frei verfügbaren Implementierungen sowie PLNs (Probabilistic Logic Network): [Naive] Bayesian Belief Networks (BNNs), Markov Logic Networks (MLNs), Conditional Random Fields (CRFs), Direct Graphical Models (DGMs), Statistical Relational Learning (SRL), Stochastic And-Or Grammars (AOGs/SAOGs), Probabilistic Relational Models (PRMs), Markov Logic Networks (MLNs), Relational Dependency Networks (RDNs), Bayesian Logic Programs (BLPs), Probabilistic Graphical Models (PGMs), Markov Random Fields (MRFs), Contextual Graph Markov Models (CGMMs), Hidden Markov Models (HMMs), Human brain neurons (HBNs).
• Entwicklung eines neuen Explainable AI (XAI) Verfahrens, das Deep Learning ablösen kann durch Verbindung und Weiterentwicklung mehrerer anderer Modelle und Techniken.
• Förderantrag ausgearbeitet zur Beantragung der Förderprogramme KI-für IT-Sicherheit und Erklärbare KI (Explainable AI, XAI) der Bundesregierung: Innovative Ideen entwickelt, neueste KI-, Data Science und Big Data Verfahren und Weiterentwicklungen vorgeschlagen zur Erkennung von ungewöhnlichem Verhalten/Angriffen/Malware sowie neueste NLP-Verfahren zur automatisierten Analyse von textuellen Angriffs- und Malware-Beschreibungen im Internet oder in E-Mails/Wikis sowie der Umsetzung der Cyber Grand Challenge Elemente über Deep Learning, RNNs, CNNs. Hierzu Entwicklung der Geschäftsstrategie und des Geschäftsplans zur separaten Vermarktung der damit geplanten Innovationen.
• Erstellen von Sicherheitskonzepten für Windows- und Linux PCs und Sever u.A. bzgl. zahlreicher Sicherheitseinstellungen, IAM mit Red Hat Identity Manager / FreeIPA (Identity, Policy, Audit), keycloak, mehr Logging, etc. sowie durch Installation von bis zu 50 Analyse- und Überwachungs-Tools wie Sigar, Config. Discovery, File Integrity Checker (Afick), CGC Tools: BinaryAnalysisPlatform bap, angr, s2e, KLEE, Strace, ZZUF, BitBlaze.
• Konzeption von klassischen Data Science Analysen bzgl. verdächtiger Aktivitäten mit GBM(Gradient Boosting Machine), XGBoost, CatBoost, LightGBM, stacked ensembles, blending, MART (Multiple Additive Regression Trees), Generalized Linear Models (GLM), Distributed Random Forest (DRF), eXtremely Randomized Tree (XRT), Labeling/Labelling, Bootstrap aggregating (bagging), Receiver Operating Characteristic (ROC)/AUC.

• Analyse der besten Deep Learning Netzwerk-Architekturen in den jeweiligen Teilfeldern: ResNet, ResNext, DenseNet, MSDNet (Multi-Scale DenseNet), RepMet, EfficientNet sowie der folgenden NLP-Implementierungen (z.B. zur Extraktion strukturierter Beschreibungen aus textuellen IoC – Indicators of Compromise): BERT, FastBert, SenseBERT, RoBERTa, GPT, GPT-2.
• Konzeption/Entwicklung von neuronalen Deep Learning Netzwerk-Architekturen für TensorFlow, Keras, PyTorch mit diesen Elementen: (De-)Convolution, [Dimensional][Min/Max/Average] (Un-)Pooling, Activation Functions, ReLUs (Rectified Linear Units), ELU (Exponential Linear Unit), SELU (Scaled Exponential Linear Unit), GELU (Gaussian Error Linear Unit), SNN (Self Normalizing Network), LSTM (Long Short-Term Memory), GRU (Gated Recurrent Units), Differentiable Associative Memory (Soft RAM/Hash Table), Episodic Memory, Memory Networks, Self-Attention, Multi-Head-Attention, (Masked Multi) Self Attention, NAC (Neural Accumulator), NALU (Neural Arithmetic Logic Unit), Squeeze-and-Excitation (SE) / SENet, SPN (Sum-Product Network), VAE (Variational Auto-Encoders), FCLs (Fully Connected Layers), PLNs (Probabilistic Logic Networks), GANs (Generative Adversarial Networks), Capsule Networks, gcForest, Differentiable Programming, Neural Architecture Search (NAS), Differentiable Neural Networks, [Transposed](De-)Convolutions, ETL (Extract, Transform, Load) with Input/Output Embedding, (Layer) Normalizing, Softmax, Automatic Machine Learning, Episodic Memory, Differentiable Associative Memory, Large Memory Layers with Product Keys, Deep (Double) Q-Learning, (SSL) Semi-/Self-Supervised Learning, Msc (Adding, Concatenation, Segmentation, Linearization, (Convol.) Filters), Reinforcement Learning, Q-learning, Convolutional Models/Learning, Google Dopamine.
• Konzeption der Deep Learning Architekturen für folgende Use Cases / Use Case Slices: Ausbreitung von Malware durch Security-Zonen, Erkennung des (Check-, Verbreitungs-, Ausleitungs-)Verhaltens von Malware, häufiger Angriffe, insbesondere OS-API-Angriffe, Code Injection, etc., von gestohlenen CPU-Zyklen durch Malware, ggf. durch Hooks in Event-Queues zur Erkennung von deren Abarbeitung, von ROP (Return Oriented Programming) mit ROPNN-Variante auf Standard-Libraries durch Vergleich der üblichen mit den zu beurteilenden Einsprungpunkten; Modelle erstellt für Meta-Level: Netzwerk-Metadaten-Analyse, Detail-Level: Nutzdaten-Analyse auf Exploit-Code/-Daten etc., aktuelle Bedrohungen, bekannt gewordene IoCs, Afick-/tripwire-Daten neuronal analysieren, Erkennung von Verschlüsselung und von Schlüssel-Austauschen.
• Detail-Konzeption der folgenden Solr-Aspekte: SolrCloud/HDP Search, Integration mit Apache Ranger + Sentry + Atlas, Performance-optimierter SolrJ Client mit parallelen Queries, Distributed Indexing, Index Sharding, Shard Splitting und Rebalancing (auch zur Laufzeit), Cross Data Center Replication (CDCR), Solr Security (Kerberos, AD-Anbindung, SASL, SSL), Versionierung mit Avro & LDP (Linked Data Platform) & Apache Marmotta/RFC 7089, Stretched Cluster vs synched Multi-Cluster, Sizing, Definition der Solr Index Identifier (UID), High Availability (HA) und Disaster Recovery (DR) Mechanismen, Solr HA, Load-Balancing-Konzept (HW-basiert über F5, Ping gegen SolrCloud Node, solr healthcheck, Zookeeper, Content-Query gegen Test-Collection, SolrJ Client), Q Replikation, Konzeption von Overlay-Netzen (SDN, Software-Defined Networking).
• Konzeption der Amazon AWS Cloud-Architektur mit Migrationskonzept in die Cloud und vom monolithischen Ansatz hin zu Microservices/Serverless (AWS Lambda), Risiko-Vermeidungsstrategie, Virtualisierung, effizientem JavaScript-UI mit React, Cloud-Sicherheitskonzept, Microservice-Architektur, Microservice-Versionierungsstrategien, optimiertem Datenaustausch, Nutzung des AWS Storage Gateways, AWS Redshift, Relational Database Service (RDS), Simple Queue Service (SQS), Simple Notification Service (SNS), S3, Glue, Kinesis, Athena, DDD (Domain-Driven Design) and Bounded Contexts, Product Line Architecture, Single-Sign-On-Konzept (SSO), etc.
• Recherche und Analyse verfügbarer Sicherheits-Incident- und Hacking-Daten als Input für klassisches Machine Learning (Spark MLlib etc.) sowie für Deep Learning (TensorFlow, PyTorch). Es gibt ca. 100 verschiedene Quellen, aber mit Labeling in unterschiedlicher Qualität, unterschiedlichem Konvertier- und Anpassungsaufwand, etc.
• Generierung eigener IT-Sicherheits-Trainingsdaten für Machine Learning (ML) über voll-instrumentierte Linux- und Windows-basierte Umgebungen (PC, vmWare), in denen dann ca. 50 PenTesting Tools wie MetaSploit, AutoSploit etc. ausgeführt wurden. Anleitung zur Normalisierung und zum Labeling der so erstellten sowie der externen Daten. Erstellung/Extraktion von regulären Ausdrücken sowie Generierung von ähnlichen Angriffen/Payloads auf dieser Basis.
• Konzeption+Entwicklung einer Kontroll- und Steuerungs-Library in Scala für Erkennung und KI, die alle Kernelemente des SOCs monitored und steuert.
• Konzeption+Entwicklung einer UI- und Query-Library in Scala, die intelligente Analysen im Kibana-Dashboard mit React visualisiert sowie nach unten über Apache Drill mit Drillbits Query-Mapping in SQL, HQL, Solr und ähnliche Dialekte durchführt. Hierbei haben wir weitgehend Splunk’s SPL (Search Processing Language) als unsere OPL (Open Processing Lanaguage) nachgebildet. Dabei handelt es sich im Wesentlichen um SQL erweitert um Infos zur Darstellung im UI.
• Nutzung von Computer Vision Muster-Erkennungsverfahren speziell zur Erkennung von Unregelmäßigkeiten bzw. Malware-/Hacking-Indikatoren: Prozess- und API Aufrufketten, ungewöhnliche API-Nutzung, Indikatoren für Hacker-Bewegungen im Netzwerk, Indikatoren für Malware-Aktivität auf Datei- oder Prozess-Ebene, Nutzung von Laufzeit-Packern, etc.
• Entwicklung/Nutzung einer Kombination von datensparsamen Lernverfahren als Antwort auf mangelnde Trainingsdaten. So lassen sich anfänglich aufgrund Datenmangel noch nicht per Deep Learning lernbare Gewichte/Zusammenhänge manuell / halbautomatisch oder datensparsam lernen:

1. Entwicklung probabilistischer Regeln durch Code-Generierung zur Anbindung von MS Excel bzw. PyTorch/PyProb mittel StringTemplate/VBA an Factorie, ProbLog und Probabilistic Soft Logic (PSL). Diese werden dann später – nach Produktivsetzung – ersetzt durch aus Massendaten gelernte Regelsysteme/Autoencoder.
2. Probabilistische Programmierung, Bayes- bzw. Stochastik-Libraries, (PP) / Programmable Inference: Stan (mc-stan.org), PyMC3/PyMC4, Soss.jl, Julia + MIT Gen.jl oder Pyro oder Edward oder Microsoft Infer.Net
3. (SSL) Semi-Supervised Learning/Self-Supervised Learning
4. Intelligentes Tokenizing, intelligente selektive Feature-Extraktion (hieraus Log- oder Security-Warning-Daten)
5. Case-Based Reasoning (CBR)/Memory-Based Reasoning (MBR): CRATER, ProCAKE, COLIBRI, etc.
6. Constraint-based Reasoning, Theory of Constraints (TOC) Frameworks, Hierarchical Constraint Logic Programming (HCLP): Open Policy Agent (OPA) Constraint Framework (OPA CF), Java Constraint Library(JCL), IASolver, BackTalk, POOC, YACS, Integrity
7. Classical/Probabilistic Rule Engines / Probabilistic Finite Automata / probabilistische endliche Automaten: Virus Scanning Engines wie ClamAV
8. (Heuristic non-linear) Optimization oder Operations Research Software wie ALGLIB, CasADi, Ceres Solver, Dlib, GEKKO, MIDACO, OpenMDAO, SciPy, GNU Octave, Scilab
9. Non-linear Planning and Control Libraries: Control Toolbox, AIKIDO, ROS Navigation2+ROS Behavior-Tree, Open Motion Planning Library (OMPL)
10. SinGAN (Single Input GAN)
11. Reinforcement Learning, Convolutional Models/Learning, Google Dopamine, Policy Optimization (Policy Gradient, A2C/A3C, PPO, TRPO, DDPG, TD3, SAC), Q-Learning (DDPG, TD3, SAC, DQN, C51, QR-DQN, HER), Deep (Double) Q-Learning, Learn the Model (World Models, I2A, MBMF, MBVE), AlphaZero
12. klassische KI-Verfahren wie CBR, Constraints, Rules, RDF, OWL,
13. Gesamte Liste der klassischen datensparsamen Lernverfahren: Causality, logic/deduction systems, deductive databases, semantic networks, heuristics, collective intelligence, automata/state machines, blackboard systems, nonstandard logics/temporal logic, (knowledge) representation, automatic programming, genetic programming, qualitative reasoning, agents, fuzzy logic, model-based reasoning, ontology, quantum computing, analogy, pattern recognition/comparison, decision theory, cognitive science, control system theory, dynamical systems, self-organizing systems, hybrid AI, modularity, optimization, goal-oriented systems, feature extraction/detection, utility/values/fitness/progress, formal grammars and languages, classifiers/concept formation, problem solving, argumentation/informal logic, common sense reasoning, coherence/consistency, relevance/sensitivity analysis, semiotics, game theory, automation, behaviorism, knowledge engineering, semantic web, sorting/typology/taxonomy, cooperation theory, systems theory.

• Recherche/Analyse/Erweiterung aktueller Ideen/Tools zu technischen Knackpunkten in den (Teil-)Projekten oder direkter Vorschlag der Lösungen:
  • Analyse von Semantik-Tools, Symbolic AI und Explainable AI für das KI-Security-Förderprogramm sowie für neue Arbeitspakete: KL-ONE: Protégé, LOOM, Knowledge Engineering Environment (KEE), Pellet, RacerPro, FaCT++ & HermiT, Non-Linear Planner, CBR (Case-Based Reasoning), RDF (Resource Description Framework)/ SPARQL (SPARQL Protocol and RDF Query Language), OpenCog (AtomSpace, Atomese, MOSES/MetaCog, Link-Grammar), Induktions-/Deduktions-Technologie wie OWL/OWL-DL (Ontology Web Language Description Logics), führende Implementierung: Apache Jena OWL, HPSG (Head-driven Phrase Structure Grammar) Parsing: DELPH-IN PET Parser, Enju, Grammix, Stanford CoreNLP, OpenEphyra, Frame-Logik, Explainable AI mit LOCO (Leave-One-Covariate-Out).
  • NLP (Natural Language Processing) / Computerlinguistik Forschung & Auswertung: Analysieren/Parsen natürlicher Szenenbilder zusammen mit dem textuellen Parsen von Bildunterschriften/Beschreibungen aus dem Internet zum Trainieren von Bildverarbeitungsmodellen (Stanford CoreNLP-Ansatz); Klassifizieren von Trouble Tickets / Texten in Kategorien/Aktualitäten; Wartung / Gelernte Lektionen: Analyse textueller Berichte von Technikern über IT-/Fahrprobleme und autonome Fahrtenschwierigkeiten (falsche Klassifizierungen/Reaktionen) für Erkenntnisse/Feedbacks auf NLP-Ebene.
  • Tools/Algorithmen: OpenAI GPT/GPT-2 (Generative Pre-trained Transformer), Facebook XLM (Cross-lingual Language Model Pretraining), Facebook PyText (NLP Modeling Framework, auf PyTorch), Google BERT (Bidirectional Encoder Representations from Transformers), Kombinierte Multi-Task-Modell-NLP, Vortraining kompletter (Sprach-/Tiefenlernen) Modelle mit hierarchischen Darstellungen, Aufmerksamkeitsmodelle, DLNLP (Deep Learning NLP: Embed, Encode, Attend, Predict), Hierarchical Multi-Task Learning MetaMind-Ansatz, DeepMind, Deep Transfer Learning for NLP, vortrainierte Sprachmodelle, Worteinbettungen / Worttaschen, Sequenz-zu-Sequenz-Modelle, Gedächtnis-basierte Netzwerke, Gegensätzliches Lernen, Verstärkungslernen, semantische Rollenkennzeichnung, Repräsentationslernen, Textklassifizierung mit TensorFlow Estimatoren, word2vec, Vektor-Raum-Modell/Mapping von Features zu Einbettungen, Skip-Grammen, Seq2seq Encoder-Decoder, ULM-FiT, ELMo, OpenAI Transformer / GPT, Google BERT, BERT, Transfer Learning, OpenAI Transformer, spaCy + Cython zur Beschleunigung, genSim, OpenNMT (Neural Machine Translation), AllenNLP (auf PyTorch), OpenNLP, Verstärkungslernen zum Erlernen korrekter Klassifizierungen/Labelzuweisungen/Fragen & Antworten, tief latente Variablenmodelle, Visual Commonsense Season Reasoning, Modell-agnostisches Meta-Learning (MAML), Multi-Hop-Denken, Aufmerksamkeitsmasken für (Self-Attention) GANs (SAGAN), TensorFlow Lingvo (NLP sequence models), OpenEphyra (Teil von IBM Watson).
  • Für NLP Generation: OpenAI GPT/GPT-2 (Generative Pre-trained Transformer), Facebook XLM (Cross-lingual Language Model Pretraining), Google BERT (Bidirectional Encoder Representations from Transformers).
  • KI/AI/Data Science/Big Data: Algorithmen und Tools: LSTM vs. GRU, Feast AI Feature Store, K8s Sidecar Injector, TensorFlow 2.0 (Vorteile von Update/Migration), Tensor Comprehensions, Neural Ordinary Differential Equations, Visual Common Sense Reasoning, Deep Learning, RNNs, CNNs for Self-Driving Cars / Logically/temporally consistent virtual 3D city generation, Deep Labelling for Semantic Image Segmentation mit Keras/TensorFlow, Design Patterns for Deep Learning, RNN, CNN Architectures, DeepMind (Kapitan, Scalable Agent, Learning to Learn, TF Reinforcement Learning agents), Uber’s QALM (QoS Load Management), Fusion.js (JS framework supporting React, Redux & pre-configured optimized boilerplate, hot module reloading, data-aware server-side rendering, bundle splitting, plugin-architecture, observability, I18n), Horovod (distributed training framework for TensorFlow, Keras, PyTorch), Ludwig (train and test deep learning models without coding), AresDB (Uber's GPU-powered real-time analytics engine), Uber‘s Sparse Blocks Network (SBNet, TensorFlow algorithm), Google Dopamine reinforcement learning framework based on TensorFlow, Kubernetes Operator für Apache Spark, FastAI Deep Learning, Polygon-RNN++, Flow Framework: Project to Product Agile Process, IntelAI OpenVINO (inference serving component for AI models), IntelAI Nauta (distributed computing environment for running DL model training), TensorFlow Extended (TFX), Salesforce Einstein TransmogrifAI (machine learning automation with AutoML), OpenCV (Open Computer Vision Library), GluonCV, Angel-ML (handling higher dimension ML models), Acumos AI (design, integration and deployment of AI models; AI Model Marketplace), (Paddle EDL: Elastic Deep Learning framework: optimizes deep learning job and waiting time in the cluster: Kubernetes controller & fault-tolerable deep learning framework: PaddlePaddle & TensorFlow), Pyro (Deep Probabilistic Programming Language), Jaeger (OS distributed tracing system, optimized for microservices).
  • Vorschläge zur Deep-Learning-Beschleunigung u.A. mit aktuellen Publikationen (z.B. Modell-Kompression, Nutzung von HW-Eigenschaften) sowie der Integration von Domänen-Wissen/Semantik/Regeln/Entscheidungstabellen/Ontologien/Erklärbare-KI-Ergebnissen in Deep Learning; Entwicklung von optimierten Hybrid-Learning-Modellen (Deep [Reinforcement] Learning mit klassischen Lernverfahren kombiniert).
  • Konzept für AIops (Artificial Intelligence Operations) / KI-Programmierung / Ausführung der Skripte: Alle relevanten fest programmierten Parameter wurden in eine separate CMS-Datenbank oder minimal in umgebungsspezifische Konfigurations-/Property-Dateien extrahiert. D.h. ein Parametersatz für die Entwicklungsumgebung, einer für die Testumgebung,.... bis zur Produktionsumgebung (Python NetworkX, Snowflake, …).
  • Konzept zur Skalierung und Beschleunigung von KI-Workloads, Verwaltung komplexer Workloads, Beschleunigung der Entwicklung und Bereitstellung statistischer Modelle, Voroptimierung in Plattformen für KI-Workloads: Datenaufnahme und -aufbereitung, Datenmodellierung und -schulung, Datenbereitstellung und -betrieb, Integration von maschinellem Lernen mit vorgefertigten Blueprints für Ansible/Airflow, automatisierte Speicherkapazitätsbereitstellung, vorausschauende Speicheroptimierung (in hyperkonvergierten Umgebungen), KI, die hyperkonvergierte Hardware zur Anwendungsbeschleunigung konfiguriert, Passwort und "PII-Discovery" (PII = Personally Identifiable Information), wann Lasten mit hohen CPU-/GPU-Anforderungen und -Nutzungsdauern zu starten sind (die z.B. zu Deadlocks/Timing-Problemen oder dazu führen können dass andere Jobs warten müssen), wann Deep Learning/KI-Jobs mit geringerer Priorität zu starten sind und wann Ressourcen auf hochpriore Jobs/Lasten verschoben werden müssen, wann Diagnostik-Sammelprozesse nach Warnungen/Fehlern/Ausfällen gestartet werden, …
• NLP-Analyse (Natural Language Processing) von Log- und Web-Inhalten:
  • Extraktion von Fließtext-IoC-Inhalten (Indicator of Compromise) ins STIX-Format zur teilautomatischen Weiterverarbeitung, etwa automatisierte Suche nach Dateihashes, Analyse & Sperren von offenen Ports und ein-/ausgehenden Verbindungen.
  • Semantische Kategorisierung (Problem-Kategorie, Schwere des Fehlers und möglicher Auswirkungen/Risiken, Dringlichkeit) und textuelle NLP-Analyse von Log-Inhalten mit genSim, spaCy und in Teilen auch mit Google BERT, GPT, Graph-ConvNets mit Octavian, Google Sling, TensorFlow graph_nets & gcn (Graph Convolutional Networks), PyTorch Geometric.
  • Data Science-Beratung sowie Management-und Konvertierungskonzepte für Machine-Learning-Modelle mit ONNX (Open Neural Network Exchange: High-performance optimizer and inference engine for machine learning models and converter between TensorFlow, CNTK, Caffe2, Theano, PyTorch, Chainer formats).

DS-Ansatz (Data Science):
Eine Mischung aus Anomaly Detection, Hauptkomponentenanalyse, Nearest Neighbor Methoden, neuronale Netze, Zeitreihenanalyse + Seasonality Analysis, Anomalie-Erkennung, Assoziationsanalyse, Maximum-Likelihood-Schätzer, Random Forest, Gradient Boosting (GBM(Gradient Boosting Machine), XGBoost), CatBoost, LightGBM, SHAP (SHapley Additive exPlanations), stacked ensembles, blending, MART (Multiple Additive Regression Trees), AutoML, Auto-Keras, Dopamine, Generalized Linear Models (GLM), Distributed Random Forest (DRF), eXtremely Randomized Tree (XRT), Labeling/Labelling, Bootstrap aggregating (bagging), Receiver Operating Characteristic (ROC)/AUC, Cubist (Erweiterung von Quinlan’s M5 model tree), C4.5, Assoziationsanalyse, (Nicht)lineare Regression, Multiple Regression, Apriori-Analyse, Überwachte Klassifizierung, Link-Analyse-Netzwerke; TensorFlow+Keras sowie PyTorch – auch für semantische Sicherheits-Analyse: Labeling und überwachtes Lernen zur korrekten Klassifizierung, verteiltes Hyper-Parameter-Tuning. partielle Abhängigkeitsdiagramme [Modellleckagen, Entscheidungserklärungen in Reduction, STN-OCR, Scikit-learn, Pandas, Wowpal Wabbit.

Autonomous Driving Projekt: Self-Driving Cars

• Agile Coaching: Scrum + Design Thinking mit Elementen aus dem Flow-Framework (Project to Product) sowie SAFe-Elementen, Verbesserung der Produktivität, Code-Stabilität und Zusammenarbeit.
• Strategie zur Fokussierung und Optimierung der agilen DevOps-Team-Performance / Minimierung von Risiken: Die skalierbare Integration Dutzender komplexer teils unreifer Open Source Komponenten ist extrem komplex, weil sie oft je mehrere Hundert Konfigurations-Parameter haben (teils in Config-Files, teils über Aufrufe /Glue Code zu Scripten) und das Job- und Cluster-Situations-bezogen. Zusätzlich sind viele Workarounds oder Fallbacks nötig. Python ist die Risiko-behaftetste Sprach (z.B. weil interpretiert, Fehlerursachen manifestieren sich erst spät, kaum brauchbare Code Quality- oder Refactoring-Tools, wenig etablierte Best Practices, Entwickler kopieren Code von Internet-Trivial-Beispielen und versuchen, damit komplexe Systeme aufzubauen, …). Dann gibt es viele weitere Risiken: Mangelnde Dokumentation, zu wenig kooperative Zusammenarbeit, zu langes Warten auf nötige Inputs/Bottlenecks, zu unvollständig eingeführte Konzepte wie SSO (Single Sign-On) + persönliche Verantwortung, Sicherheits-Features, Logging-/Tracing-Features, stark divergierende wenig wartbare Implementierungen, zu spät bemerkte Limitierungen/Bugs der verwendeten Tools, in der Folge  häufiges Umschwenken der Tools, mangelnde Bereitschaft zu Veränderungen (Prozesse, Gewohnheiten und Motivationen), etc.
• Entwickelte Lösungsstrategien: Config-Management als Exzellenz-Disziplin + Data Governance / Data Catalogue, AIops (AI Operations), Serverless/Microservices (damit intelligentes automatisches Management und Skalierbarkeit), viele stringente und kontrollierte strategische, taktische und operative Vorgaben aufgrund von Grob-Architektur, Vision und klaren Prioritäten, vollständige Dokumentation, enge effiziente Zusammenarbeit, klare Aufgaben-Verteilung und Planung (strategisches Produkt Management / Portfolio-Management / Produktlinien-Architekturen) mit Berücksichtigung von Abhängigkeiten, Erkennung & Beseitigung von Bottlenecks, intelligentes Monitoring, KI-basiertes Testing (Anomalie-Erkennung in Kombination mit Logging/Tracing) mit mehreren Test-Umgebungen + professionalisierte CI/CD-Pipeline, Code Analyse & Refactorings (Gemeinsamkeiten extrahieren, Utility-Libraries, etc.), Einführung von mehr Code Quality Tools (Analyse/Refactoring/Testing/Tracing/Debugging), Standardisierung/Dokumentation eines jeden neuen Mechanismus (welche Implementierungsvarianten/Tools/Libs/APIs, Namespaces, Stati, Warn- und Fehlermeldungen, welche Diagnose- und Fallback-Mechanismen, Scheduling/Workflow mit strategischer Planung aller Ressourcen und Vermeidung von Deadlocks/Race Conditions, IT-Sicherheit), Erfassung und Nutzen aller Abhängigkeiten (zum Betriebssystem, zu sonstigen Tools/Libs), Definition + Implementierung von Workarounds zu Standard-Problemen wie Stale File Handles, Stale Sockets, Vermeidung von Out-of-X-Meldungen und Thrashing, Netzwerk-Problemen, Ausrichtung auf Veränderungen bei den Prozessen, den Gewohnheiten und den Motivationen, etc.
• Security-Konzept für Docker/Kubernetes/K8s: kubectl, Docker Authentication on Kubernetes pods, AuthN/AuthZ Methods wie UMA 2.0 (Federated Authorization for User-Managed Access), OpenID Connect mit keycloak über Translations, Kubernetes RBAC & User Impersonation, Volume Type Whitelisting, SELinux/seccomp/AppArmor, System Call Filter, Kubernetes Helm Sicherheitslimits & Verbesserungen, DEX vs Keycloak, SSSD PAM module (POSIX) für MapR Filesystem/HDFS, MapR Container Location Database (CLDB), etc.
• Vorschlag von Architekturen / Verbesserungen: Zero-Downtime-Architekturen, schnelleres Dateneinlesen, Autonomes-Fahren-Analysierer / robotic-drive analyzer (RDA), Messaging/Workflow und Containerisierungsarchitekturen.
• Konzeption der Microservices/APIs, u.A. für die Metadatenverwaltung, Machine Learning Parameter, ...
• Optimierung der Real-time Data Ingestion Verfahren für hochauflösende Self-Driving Car Video- und Sensor-Daten (TB-PB Datenmengen) in einen MapR Hadoop Datalake mit MapR-DB und Ceph Storage (Reliable Autonomic Distributed Object Store (RADOS)), etcd (distributed key value store) mit LoadBalancer (LB), Real-Time Monitoring mit Prometheus und Elastic/ELK.
• Konzeption der Einführung von Docker/Kubernetes für TensorFlow-MachineLearning: Vergleich mit der Alternative containerd mit GRPC, Docker Registries mit YAML für Kubernetes, Flannel (layer 3 network config). Kubernetes Tools: kubelet (primary node agent), kube-proxy, Container Runtime, (High Availability) HA endpoints, kubernetes-ha, Kube-apiserver, kubeadm, cluster autoscaler, scheduler, Helm (Kubernetes Package Manager, Microservices), Tiller (Helm server part), Ingress (load balancing, SSL termination, virtual hosting), kube-keepalived-vip (Kubernetes Virtual IP addresses using keepalived), Kubespray (Deploy a Production Ready Kubernetes Cluster). Analyse von Kubernetes & Airflow Failure Stories auf Risiken und Ableitung von Best Practices/Empfehlungen.
• Scheduling-Konzepte mit Airflow, LocalExecutor, Celery (Distributed Task Queue), CeleryExecutor, RabbitMQ, Dynamic Workflows mit DAGs/SubDAGs mit PythonOperator/BashOperator, upstream/downstream/X-COM, Backfill, Catchup, Kubeflow, Seldon Core.
• Parallelisierung/Optimierung/Skalieren/Wiederaufsetzen/Fortführen von Deep Learning und speziell TensorFlow-Pipelines und supervised Optimierungszyklen, u.A. mit Spark: Horovod (Training + HorovodEstimator für TensorFlow, Keras, and PyTorch), TensorFlowOnSpark, TensorBoards, TensorFrames.
• Auf maximale Performance und Durchsatz optimierte Apache Spark basierende Scheduling-Konzepte mit Memory-centric Libraries / In-Memory Data Grids (IMDG) wie Apache Pulsar, memcached, Ignite, GridGain, Alluxio, Redis, Hazelcast, Ehcache, Red Hat JBoss Data Grid, Pivotal GemFire, ActiveMQ, RabbitMQ mit AMQP, MQTT: Data-Locality-Optimierung und Minimierung datenintensiver Operationen: Custom Spark Scheduler/Spark Task/DAG/SubDAG Combiner für Dynamic Workflows (In-Memory-Optimierungen), Deep Learning Pipelines, Horovod, TensorFlowOnSpark, TensorBoards, TensorFrames, Data Lineage Optimierungen.
• Review aller Security-Aspekte: Airflow, Kubernetes, Docker, Zeppelin, Spark, Java-Sicherheit mit Apache Shiro/Spring Security, sichere Speicherung von Anmeldeinformationen im Unix-Dateisystem, Github, Soft/Hard PSE (Personal Security Environment) mit z.B. SSO (Single Sign On with CA SiteMinder, PAI, OpenId Connect), CyberArk Password Vault + IAM + Privileged Threat Analytics (PTA), SSO oder GPG + Ansible Vault, etc.
• Hilfe/Review bei Angular-basierten Visualisierungen, insbesondere für Grafana (zunächst in Angular, dann in React weil Grafana von Angular auf React migriert wurde).
• Erstellung eines umfassenden Testmanagementkonzeptes zur Verbesserung der Stabilität von entwickeltem Code mit den Schwerpunkten Datenaufnahme, KI, DevOps, CI/CD-Pipeline (Continuous Integration/Deployment mit Jenkins und Sonar(Qube)), Metadaten und IT-Sicherheit zur Kanalisierung und Verbesserung von Code durch Developer-Test-, Integrationstest-, Pre-Prod- zu Prod-Umgebungen).
• Konzeption eines Objekt-Erkennungsmoduls im Rahmen der Computer Vision: Erkennen von 2D-/3D-Objektteilen, Registrieren/Stitchen der Teile zu einem Gesamtobjekt und Objekterkennung: Z.B. Menschen, Verkehrszeichen, Fahrzeuge in verschiedenen (Teil-)Ansichten mit TensorFlow und PyTorch. Wesentliche Algorithmen des Hybrid-Verfahrens: Iterative Closest Point (ICP) with landmarks , Efficient SparseICP, Shape Registration, Depth Maps, Combined fusion approaches, 3D Regression, 3D (boosted) Decision Trees (XGBoost), 3D Pointcloud Triangulation/Voronoi & Surface Normals, Deformable 3D Object Matching, LIDAR+RGB Fusion, PointRCNN, ContFuse, Valeo Complex-YOLO, 3D YOLO, LaserNet++, Apple VoxelNet, Core Approximation Matching, Generating/Comparing 3D Voxel Exemplars (NEC), Data-Driven 3D Voxel Patterns for Object Category Recognition, Multi-Scale DenseNet (MSDNet), DensePose (real-time body pose estimation), RetinaNet, Aptiv/nuTonomy: PointPillars, SSD: Single Shot (MultiBox) Detector, ‘Residual Learning’ (Resnet) Variants, ResNeXt, VoteNet Deep Hough Voting, AVOD: Aggregate View Object Detection network, Baidu: Multi-view 3D networks (MV3D), Frustum PointNet Detection, Uber: ContFuse (Continous Fusion), 3D Labeling Tool LATTE.
• Recherche/Analyse/Erweiterung aktueller Ideen/Tools zu technischen Knackpunkten in den Projekten für den Lieferanten DXC und Weitergabe an den DXC-Vertrieb zur Akquise neuer Arbeitspakete oder direkter Vorschlag der Lösungen samt passenden Autonomous-Driving-Use-Cases an die relevanten Ansprechpartner in den Teilprojekten:
  • NLP (Natural Language Processing) / Computerlinguistik Forschung & Auswertung: Analysieren/Parsen natürlicher Szenenbilder zusammen mit dem textuellen Parsen von Bildunterschriften/Beschreibungen aus dem Internet zum Trainieren von Bildverarbeitungsmodellen (Stanford CoreNLP-Ansatz); Klassifizieren von Trouble Tickets / Texten in Kategorien/Aktualitäten; Wartung / Gelernte Lektionen: Analyse textueller Berichte von Technikern über IT-/Fahrprobleme und autonome Fahrtenschwierigkeiten (falsche Klassifizierungen/Reaktionen) für Erkenntnisse/Feedbacks auf NLP-Ebene; Generieren von a) Beschreibungen für Fahrer, welche Art von Trainings-Situationen im Straßenverkehr anzustreben sind, b) Um welche Art von Fehlerursachen es sich bei gegebenen Symptomen handeln könnte als Liste oder Text.
  • Tools/Algorithmen: OpenAI GPT-2 (Generative Pre-trained Transformer), Facebook XLM (Cross-lingual Language Model Pretraining), Facebook PyText (NLP Modeling Framework, auf PyTorch), Google BERT (Bidirectional Encoder Representations from Transformers), Kombinierte Multi-Task-Modell-NLP, Vortraining kompletter (Sprach-/Tiefenlernen) Modelle mit hierarchischen Darstellungen, Aufmerksamkeitsmodelle, DLNLP (Deep Learning NLP: Embed, Encode, Attend, Predict), Hierarchical Multi-Task Learning Model (HMTL), semi-supervised Lernalgorithmen zur Erstellung von Proxy-Labels auf unmarkierten Daten, BiLSTM, SalesForce MetaMind-Ansatz, DeepMind, Deep Transfer Learning for NLP, vortrainierte Sprachmodelle, Worteinbettungen / Worttaschen, Sequenz-zu-Sequenz-Modelle, Gedächtnis-basierte Netzwerke, Gegensätzliches Lernen, Verstärkungslernen, semantische Rollenkennzeichnung, Repräsentationslernen, Textklassifizierung mit TensorFlow Estimatoren, word2vec, Vektor-Raum-Modell/Mapping von Features zu Einbettungen, Skip-Grammen, Seq2seq Encoder-Decoder, ULM-FiT, ELMo, OpenAI Transformer / GPT, Google BERT, BERT, Transfer Learning, OpenAI Transformer, spaCy + Cython zur Beschleunigung, OpenNMT (Neural Machine Translation), AllenNLP (auf PyTorch), OpenNLP, Verstärkungslernen zum Erlernen korrekter Klassifizierungen/Labelzuweisungen/Fragen & Antworten, tief latente Variablenmodelle, Visual Commonsense Season Reasoning, Modell-agnostisches Meta-Learning (MAML), Multi-Hop-Denken, Aufmerksamkeitsmasken für (Self-Attention) GANs (SAGAN), TensorFlow Lingvo (NLP sequence models), OpenEphyra (Teil von IBM Watson).
  • KI/AI/Data Science/Big Data: Algorithmen und Tools: LSTM vs. GRU, Feast AI Feature Store, K8s Sidecar Injector, TensorFlow 2.0 (Vorteile von Update/Migration), Tensor Comprehensions, Style GANs, Neural Ordinary Differential Equations, Visual Common Sense Reasoning, Deep Learning, RNNs, CNNs for Self-Driving Cars / Logically/temporally consistent virtual 3D city generation, Deep Labelling for Semantic Image Segmentation mit Keras/TensorFlow, Design Patterns for Deep Learning, RNN, CNN Architectures, DeepMind (Kapitan, Scalable Agent, Learning to Learn, TF Reinforcement Learning agents), Uber’s QALM (QoS Load Management), Fusion.js (JS framework supporting React, Redux & pre-configured optimized boilerplate, hot module reloading, data-aware server-side rendering, bundle splitting, plugin-architecture, observability, I18n), Horovod (distributed training framework for TensorFlow, Keras, PyTorch), Ludwig (train and test deep learning models without coding), AresDB (Uber's GPU-powered real-time analytics engine), Uber‘s Sparse Blocks Network (SBNet, TensorFlow algorithm), Google Dopamine reinforcement learning framework based on TensorFlow, Kubernetes Operator für Apache Spark, FastAI Deep Learning, Polygon-RNN++, Flow Framework: Project to Product Agile Process, IntelAI OpenVINO (inference serving component for AI models), IntelAI Nauta (distributed computing environment for running DL model training), TensorFlow Extended (TFX), Salesforce Einstein TransmogrifAI (machine learning automation with AutoML), OpenCV (Open Computer Vision Library), GluonCV, Angel-ML (handling higher dimension ML models), Acumos AI (design, integration and deployment of AI models; AI Model Marketplace), (Paddle EDL: Elastic Deep Learning framework: optimizes deep learning job and waiting time in the cluster: Kubernetes controller & fault-tolerable deep learning framework: PaddlePaddle & TensorFlow), Pyro (Deep Probabilistic Programming Language), Jaeger (OS distributed tracing system, optimized for microservices), EAST (Efficient and Accurate Scene Text Detector).
  • Vorschläge zur Deep-Learning-Beschleunigung u.A. mit aktuellen Publikationen (z.B. Modell-Kompression, Nutzung von HW-Eigenschaften) sowie der Integration von Domänen-Wissen/Semantik/Regeln/Entscheidungstabellen/Ontologien/Erklärbare-KI-Ergebnissen in Deep Learning; Entwicklung von optimierten Hybrid-Learning-Modellen (Deep [Reinforcement] Learning mit klassischen Lernverfahren kombiniert).
  • Machine Learning / Image / Video-Analyse-Tool Recherche und Integrationskonzepte für Sensor Fusion, sonstige Daten-Zusammenführung, Massendatenverarbeitung, UML-Software-Architektur: OpenCL (Computing Language für div. HW Plattformen), OpenCV (Computer Vision), OpenVX (Vision Cross-Platform), Vulkan, OpenGL (ES), CUDA, nVidia GPU Toolkits wie VulkanRT.
  • Explainable AI (XAI) Techniques: Individual conditional expectation (ICE) Plots, Partial Dependence Plots (PDPs), SHapley Additive exPlanations (SHAP), Local Interpretable Model-agnostic Explanations (LIME), Counterfactual method, Causality, Leave One Covariate Out (LOCO), Layer-wise Relevance, Propagation (LRP), Generalized additive model (GAM), Learn to Explain, Anchors: High-Precision Model-agnostic Explanations.
  • Konzept für AIops (Artificial Intelligence Operations) / KI-basierte Betriebs-Optimierung im Kontext Metadatamanagement und Ingest:
    • Konzept für die Einführung eines CMS (Config Management System) zur Minimierung menschlicher Fehler bei der Programmierung / Ausführung der Skripte: Alle relevanten fest programmierten Parameter wurden in eine separate CMS-Datenbank oder minimal in umgebungsspezifische Konfigurations-/Property-Dateien extrahiert. D.h. ein Parametersatz für die Entwicklungsumgebung, einer für die Testumgebung,.... bis zur Produktionsumgebung (Python NetworkX, Snowflake, …).
    • Konzept zur Skalierung und Beschleunigung von KI-Workloads, Verwaltung komplexer Workloads, Beschleunigung der Entwicklung und Bereitstellung statistischer Modelle, Voroptimierung in Plattformen für KI-Workloads: Datenaufnahme und -aufbereitung, Datenmodellierung und -schulung, Datenbereitstellung und -betrieb, Integration von maschinellem Lernen mit vorgefertigten Blueprints für Chef/Puppet/Ansible/Airflow, automatisierte Speicherkapazitätsbereitstellung, vorausschauende Speicheroptimierung (in hyperkonvergierten Umgebungen), KI, die hyperkonvergierte Hardware zur Anwendungsbeschleunigung konfiguriert, Passwort und "PII-Discovery" (PII = Personally Identifiable Information), wann Lasten mit hohen CPU-/GPU-Anforderungen und -Nutzungsdauern zu starten sind (die z.B. zu Deadlocks/Timing-Problemen oder dazu führen können dass andere Jobs warten müssen), wann Deep Learning/KI-Jobs mit geringerer Priorität zu starten sind und wann Ressourcen auf hochpriore Jobs/Lasten verschoben werden müssen, wann Diagnostik-Sammelprozesse nach Warnungen/Fehlern/Ausfällen gestartet werden, …
  • Vorschlag, Ausarbeitung und Diskussion der geplanten/angebotenen Arbeitspakete zu Techniken, Tools und Innovationen mit Automobilherstellern und anderen Kunden.
  • Data Science-Beratung sowie Management-und Konvertierungskonzepte für Machine-Learning-Modelle mit ONNX (Open Neural Network Exchange: High-performance optimizer and inference engine for machine learning models and converter between TensorFlow, CNTK, Caffe2, Theano, PyTorch, Chainer formats).
• Projektende: Daimler und BMW haben ihre Autonomous-Driving-Aktivitäten offiziell zusammengelegt mit entsprechender Re-Organisation.

DS-Ansatz (Data Science):

TensorFlow für Bild-/Video-Analyse: Labeling und überwachtes Lernen zur korrekten Klassifizierung, verteiltes Hyper-Parameter-Tuning mit TensorFlow, Keras. ML Debugging/Erklärbare KI im Kontext von LIME, SHAP, partielle Abhängigkeitsdiagramme[Modellleckagen, Entscheidungserklärungen in if-Anweisungen, ....]; Modellspeicherung in PMML mit OpenScoring.io und HBase/MapR-DB + Apache Phoenix, Visualisierung der Metadaten, KPIs mit Tableau.

Aufbau des SOCs (Security Operations Centers) sowie die engere Verzahnung/Integration der Tools, Vulnerability Management, Security Assessments/Bewertungen/Security-Architektur und Vorgehens-Empfehlungen, insbesondere bei der Einführung von Blockchain-Technologie (We.Trade auf R3/Corda für Zahlungen + Voltron auf HyperLedger für Handels-Dokumente + Utility Settlement Coin (USC)) sowie SAP für Kernbanking (Deposits Management, Collateral Management, Loans Management, Financial Supply Chain Management, SAP Bank Analyzer) bei gleichzeitiger Betrachtung der DSGVO-/GDPR-Anforderungen.

• Konzeption der Security-Maßnahmen für das neue SAP Core Banking System als Security Architect.
• Überprüfung von Use Cases auf Relevanz für DSGVO/Datenschutz und Erstellung entsprechender Bewertungen, Ausfüllen von DSGVO-Formularen.
• IAM (Identity and Access Management): SAP NetWeaver Identity Management (IdM) eingeführt mit SAML, OAuth, OpenId Connect, Kerberos; Konsolidierung der IAM-/IdM-Funktionalität, die vorher über verschiedene Technologie-Inseln verteilt waren wie LDAP, Active Directory (AD) Federation Services (ADFS), RACF, Oracle Enterprise Directory Server (OEDS), Lotus Notes Domino, etc.
• Vorschlag von abgeleiteten IT-Security-Architektur- und DSGVO-Maßnahmen auf Basis der vorhandenen Grob-Architektur, Konzept für Privileged Account Management (PAM) und weitergehende Sicherheits-Maßnahmen.
• Zukunftsvision der SOC-Architektur und Konzeption ihrer Komponentenarchitektur - mit möglichst vielen Open-Source-Tools, um Kosten zu sparen und neuesten KI/AI (Künstliche/Artificial Intelligence) und Machine Learning Frameworks: Spark + MLLib, XGBoost, ….
• (Weiterer) Aufbau des SOCs (Security Operations Center) als Architekt/PM mit am Ende ca. 60 Security-Tools. Davon wurden ca. 15 Tools neu eingeführt. Deren Einführung sowie die Integration und Automatisierung eines Großteils der Tools habe ich insbesondere konzipiert und in Teilen programmiert: Automatisierte Echtzeit-Datenflüsse und Reduktion von False-Positives.
• Red-Blue-Team Testing / Penetration Testing / PenTesting und Verteidigung, insbesondere bzgl. der Verwundbarkeit gegenüber aktuellen Exploits und den Indikatoren im SIEM und den Folgen/Risiken für die IT und der Optimierung der möglichst schnellen Erkennung mit wenigen False Positives.
• Evaluierung der Risk Management Frameworks IRAM2, FAIR, OCTAVE, COSO gegen den MaRisk-Standard von 2017 und BAIT (Bankaufsichtlichen Anforderungen an die IT).
• Erweiterung und Umsetzung von Vulnerability Management, Patch Management und Security-Standards-Compliance sowie Dokumentation dazugehöriger Risiken.
• Patching-/Risk-Projektmanager Germany bzgl. Meltdown/Spectre (CPU Bugs).
• Mitarbeit bzgl. IT-Sicherheit an der R3/Corda Blockchain Implementierung der HSBC in Kotlin mit über 100 anderen Banken und Vorbereitung der Herausgabe des Utility Settlement Coins (USC) der Großbanken sowie der Anbindung der Big Data basierenden Bank-eigenen Fraud Detection Lösung, z.B. bzgl. Security-Anbindung per BlueTalon + Ranger.
• Integration von Security-Systemen per Serverless-Architektur über Google Cloud Functions per REST APIs mit Go: Automatisierte Integration von Configuration Management, Nessus- + Tripwire-Security Scans (Windows/Linux Datenbanken: Verwundbarkeiten und Compliance-Einstellungen) sowie der datenbankbasierten Auswertung der Scans (manuelle Gewichtungen) und Weiterleitung/Eskalation der Ergebnisse.
• Mitentwicklung von Mobile-App- und Cloud Security Standards, insbesondere für Hybrid Clouds mit dem Google Cloud Stack, z.B. der Software-Defined Perimeter Ansatz.
• Architektur obiger APIs nach Open Banking Standard mit Mulesoft AnyPoint Platform (API Gateway, App execution, API Repository & Portal, API Designer, Runtime Manager, CloudHub, Private Cloud, AnyPoint Studio).
• Beratung der Architekten und Entwickler-Teams bzgl. sicherer Konzeption/Entwicklung, sicherer Anbindung von Security Libraries (z.B. Spring Security, SAML, OAuth, LDAP, OpenId Connect), Patchen von Library-Verwundbarkeiten (Vermeiden/Minimieren der Verwendung von anfälligen Versionen: Lösungen und Workarounds) und Security Code-Review mit Tool-Unterstützung (ConQAT + Teamscale von CQSE, Support Query Framework (SQF) und Code Inspector von SAP (ABAP), Micro Focus Fortify, LGTM, Semmle, FindBugs, PMD, SonarQube, Checkstyle, etc.) im Rahmen von TQE (Total Quality Engineering).
• Beratung bei der Weiterentwicklung der Asset Management und Configuration Management Datenbanken/Systeme um priorisierte Risiko- und Gegenmaßnahmen-Einschätzung in Richtung des statistischen Common Criteria Ansatzes.
• Internal Reviews/Assessments, Erstellen von Management Self-Identified Issue (MSII) Berichten als Vorbereitung für offizielle Reviews/Assessments.
• Business Impact Analysis (BIA) und Global Application Security Risk Assessments (GASRA).
• Business Process Definition / Optimization / Re-Engineering: Network Based Intrusion Prevention (NIPS), Vulnerability Management, Privileged Access Management, Testing & Patching, Anlegen/Anpassen von Beantragungs-/Entziehungs- und Überwachungsprozes-sen mit Neocase Advanced BPM Suite / NEO Process Manager.
• Security-Architektur für einen Amazon-Cloud- und Serverless-PoC: AWS, Fargate, S3, EC2, VPC (Virtual Private Cloud), IAM, RDS, RedShift, Aurora, DynamoDB (Rel. DBs), Neptune (Graph DB), ElastiCache (In-Mem-DB), Elastic Beanstalk (Orchestration Srv), CloudTrail (Sec. Log), STS (Secure Token Srv), EKS (Elastic Kubernetes Service), EBS (Elastic Block Store), OpsWorks (Config Mgmt), SQS (Simple Queue Srv), CloudWatch (Billing/Metrics), Docker, Kubernetes, Kubeless, Go.
• Security-Architektur für PoCs mit Blockchain for trade (We.Trade, Voltron, R3/Corda), Biocatch, Microplatforms, Eclipse Microprofile (Hammok, Red Hat Wildfly Swarm, Open Liberty/WebSphere Liberty), JWT, OpenTracing, MicroNaut, ThreatMetrix, UNSilo, Skytree, TidalScale, DataRobot, data iku, Ayasdi (AML), Quantexa, Seldon.io, gVisor.
• Unterstützung bei der Einführung agiler Prozesse: Design Thinking (Empathie-Maps, Personas, User Profile Canvas, Value Proposition Canvas, Business Model Canvas, Business Ecosystem Canvas, Customer Journeys, HOOK (Trigger, Action, Variable Reward, Investment), SCAMPER (Substitute, Combine, Adjust, Modify, Put to other uses, Eliminate, Rearrange), MVP, MVE (Minimum Viable Ecosystem), Virtuous Loops, Systems Thinking, Business Ecosystem Design, Lean Canvas, NABC (Needs Approach Benefits Competition), SWOT) in Kombination mit DAD (Disciplined Agile Delivery) und SAFe (Scaled Agile Framework) – insbesondere Coaching und Halten von Präsentationen zu den Risiken agiler Verfahren – u.A. durch das Entfallen der Architektur-Phase (siehe meine Social Media Accounts), Mit-Einführen von WorkHacks (= LifeHacks für den Beruf).
• Konzeption + (Teil-)Implementierung einer automatisierten Microservice/Serverless System-Security- und Vulnerability-Assessment und Reporting-Komponente in Python3 und JavaScript (mit PhantomJS, CasperJS, Bootstrap, a2ps), die automatisiert HTML- und PDF-Reports erzeugte aus Statistical Common Criteria Bewertungsergebnissen, Nessus- + Tripwire-Scan-Ergebnissen, CMDB-Infos (Config Mgmt DB namens ITDoku) etc. mit Integration zu diversen Systemen (Lotus Notes, CMDB, Excel-Dateien, Oracle-DB, CyberArk Password Vault + IAM + + Privileged Threat Analytics (PTA), Inventory-Systemen zum Check der Kritikalität (BIA/GASRA), Installationsstatus von Security-Tools, etc.) per REST APIs, SysCalls und OAuth.
• Insgesamt ca. 50 Verbesserungsvorschläge unterbreitet/umgesetzt, vor allem zur Verbesserung des SOCs / der effizienten Erkennung, Priorisierung und Beseitigung von Risiken/Angriffen.
• Erstellung/Erweiterung/Schärfung von ca. 150 QRadar SIEM Use Cases für zielgerichteteres Security-Monitoring mit weniger False Positives oder weniger manuellem Nachrecherche-Bedarf bei Alerts (Minimierung der manuellen Aufwände).
• SIEM-Alternativen: Evaluation von
  • ElasticSearch + Norikra Schemaless Stream Processing + Esper CEP (Complex Event Processing) + Apache Nifi + Kafka + Fluentd für SIEM Use Cases/Alerting, Datenextraktion aus Protokollen per WireShark-Plugins (z.B. bzgl. SMBv1 + v2 Exploits [EternalRomance, EternalBlue, EternalChampion, WannaCry]),
  • Apache Metron (ex: Cisco OpenSOC) + Blitz Incident Response + Apache Nifi + Hadoop + Apache Solr/HDP Search + Ranger + Atlas, Technologie-Workshops. Konzeptionen zu:
    • Dokumenten-Id-Vergabe und expliziter Verteilung der Dokumente auf Shards/Replicas und dessen Tracking.
    • Parallelisiertem SolrJ-Client optimiert auf Antwort-Geschwindigkeit.
    • Loadbalancer-Switching-Logik.
    • Schutz gegen bösartige Ambari-Administratoren.
    • Integration der Lösung in das Single Sign On (SSO) Konzept mit Identity & Access Management per LDAP, SASL, explicit TLS.
• Konzeption/Implementierung eines Apache Spark + MLlib + Kafka basierenden Data Science und Machine Learning Systems zur Erkennung von Incidents/Malware/Netzwerk Anomalien mit H2O.ai.

DS-Ansatz (Data Science):

zur Erkennung von Incidents/Malware/Netzwerk-Anomalien

Eine Mischung aus Hauptkomponentenanalyse, Nearest Neighbor Methoden, neuronale Netze, Zeitreihenanalyse, Anomalie-Erkennung, Assoziationsanalyse, Maximum-Likelihood-Schätzer, Random Forest, Gradient Boosting (GBM(Gradient Boosting Machine), XGBoost), CatBoost, LightGBM, SHAP (SHapley Additive exPlanations), stacked ensembles, blending, MART (Multiple Additive Regression Trees), AutoML, Auto-Keras, Dopamine, Generalized Linear Models (GLM), Distributed Random Forest (DRF), eXtremely Randomized Tree (XRT), Labeling/Labelling, Bootstrap aggregating (bagging), Receiver Operating Characteristic (ROC)/AUC, Cubist (Erweiterung von Quinlan’s M5 model tree), C4.5, Assoziationsanalyse, (Nicht)lineare Regression, Multiple Regression, Apriori-Analyse, Überwachte Klassifizierung, Link-Analyse-Netzwerke, Visualisierung der mögl. Incidents, KPIs mit Tableau.

• Plattform- und Umgebungs-Aufbau für diverse Predictive-Analytics Teilprojekte (insbesondere von Marketing-Effekten und Supply-Chain-Prognosen bzgl. benötigten Mengen/Preisen etc.)
• Coach: Big Data Architektur, Data Science, Test Management
  • Zwecks Einarbeitung & Coaching-Grundlage: Erhebung der Ist-Situation bzgl. Tools, Algorithmen und IT-Umgebungen; Mitarbeit bei der Erstellung von Ab Initio Graphen/Lineages als ETL-Pipelines unter Integration von Teradata BTEQs/ActiveBatch/SQL, R, Python, Spark, Hive, SAP, MicroStrategy.
  • Big Data und Data Science Architekturberatung: R on Spark mit SparklyR vs. SparkR, Hive/Beeline Query Optimierung, Integration mit Teradata QueryGrid/Teradata Connector for Hadoop (basierend auf Sqoop).
  • Konzeption/Entwicklung von AbInitio ETL-Pipelines mit GDE/TRMC/EME, Express>It (BRE), Conduct>It (CC), Query>It, Metadata Hub (EME).
  • Vorschlag und Mit-Auswahl von BI & Analytics Use Cases: Promotions (Angebote/Preisveränderungen (PV)), Dynamic Pricing, Backschema, Category Management, Palettenfaktor, Kollisortierung, Shopping Missions, Einkaufs-Planung, Logistik-Planung, Rücksende-/Rückläufer-/Remittenden-Planung.
  • Mitarbeit im Predictive Modelling von Marketing- und Logistik-Prozessen und der Vorhersage des Effektes von Sonderangeboten und diversen Werbemaßnahmen.
  • Beratung zur Auswahl eines Workflow-Management-Tools Oozie, ActiveBatch, Azkaban (LinkedIn), Airflow (Airbnb), Scripting.
  • Berechtigungskonzept mit Apache Ranger, Rechte-Datenbank & LDAP für Hortonworks Hadoop miterstellt.
  • Erstellung von Cross-Platform Packaging-, Versioning-, Deployment- und Dependency-Management-Konzepten für Python, R, Big Data (Spark, Hive, etc.), Teradata, SAP, Ab Initio, MicroStrategy mit Conda/Anaconda, Python, sbt, Java 9 Platform Module System (JPMS) = Project Jigsaw, etc.
  • Virtualisierungskonzepte erstellt für alle Tools mit VMware, Docker, Rancher und Kubernetes, einschließlich Netzwerkkonnektivität, Debugging, Tracing und Monitoring-Funktionen.
  • Erstellung eines 400-seitigen Test-Management-Konzepts incl. ETL- und BI-Testing mit IT-Security für 6 Test-Umgebungen sowie für Python, R, Big Data (Spark, Hive, etc.), Teradata, SAP, Ab Initio, MicroStrategy, Continuous Integration/Deployment mit Jenkins und Sonar(Qube).

DS-Ansatz (Data Science):

Random Forest, Gradient Boosting (GBM(Gradient Boosting Machine), XGBoost), CatBoost, LightGBM, SHAP (SHapley Additive exPlanations), stacked ensembles, blending, MART (Multiple Additive Regression Trees), AutoML, Auto-Keras, Dopamine, Generalized Linear Models (GLM), Distributed Random Forest (DRF), eXtremely Randomized Tree (XRT), Labeling/Labelling, Bootstrap aggregating (bagging), Receiver Operating Characteristic (ROC)/AUC, Cubist (Erweiterung von Quinlan’s M5 model tree), Zeitreihenanalyse, Assoziationsanalyse, (Non-)Linear Regression, Multiple Regression, Anomalie-Erkennung, Apriori-Analyse, Warenkorbanalyse, Überwachte Klassifizierung, Link-Analyse-Netzwerke, Maximum-Likelihood-Schätzer, klassische und mehrstufige Verfahren zur Betrugserkennung (siehe gesonderten Abschnitt), ML-Debugging/Explainable AI im Kontext von LIME, SHAP, partial dependency plots [model leakages, decision explanations in if-statements, …]; Model-Storage in PMML mit angepasstem OpenScoring.io (mit Spring) und Apache Phoenix, Propensity Modeling.

Marketing-, Produkt- und Security-Analytics mit Apache Spark und Scala

• Konzeption und Implementierung von Inspectrum, einem Big Data & Apache Spark Data-Flow-Instrumentation & Configuration Framework in Scala: Über JSON/HOCON (Human-Optimized Config Object Notation) Konfigurationsdateien konnten am Ende beliebige Datenflüsse über Spark und sein Ökosystem (incl. Umsystemen) konfiguriert statt programmiert werden mit erheblicher Zeitersparnis. Anbindungen wurden konzipiert für Hive, HBase, Couchbase sowie eine Daten-Filter-Komponente und Virtualisierungen der Komponenten mit Docker, Kubernetes, Rancher.
• Architekturberatung bzgl. Real-time Use Cases und deren Umsetzung mit Memory-centric Libraries / In-Memory Data Grids (IMDG) wie Apache Pulsar, memcached, Ignite, GridGain, Alluxio, Redis, Hazelcast, Ehcache, Red Hat JBoss Data Grid, Pivotal GemFire, ActiveMQ, RabbitMQ mit AMQP, MQTT; Datenbanken, Data Science Algorithmen; Architektur von HBase-Datenstrukturen; Pro-Contra-Beratung zum Einsatz von Apache Kudu, Impala, HBase, Cassandra, Scylla DB, MariaDB, PostgreSQL, Druid, Aerospike.
• Natural Language Processing (NLP): Analyse von Kunden-Feedback/Stimmungen mit spacy.io, Apache OpenNLP (Natural Language Processing), NLTK (Natural Language ToolKit: tagging/chunk parsing), Apache UIMA (Unstructured Information Management architecture/applications).
• Data Science Beratung: Vorschlag von Verfahren zur Informationsgewinnen fürs Marketing, für Produkt-Analyse und Security-Analysen sowie für den Avira Boot Optimizer. Vorschlag von Algorithmen für die Nutzung/Analyse der gewonnenen Infos, etwa durch das In-Product-Messaging, den Antivirus, etc.
• Datenschutz Grundverordnung (EU-DSGVO) / General Data Protection Regulation (EU-GDPR) (Regulation (EU) 2016/679): Beratung zur Legalität der Verbindung von Nutzungs- und Kundendaten und deren Nutzung zu Marketing-Zwecken.
• Integration von SailPoint IAM mit Big Data über Apache Sentry.

DS-Ansatz (Data Science):

Zeitreihenanalyse, Anomalie-Erkennung, Apriori-Analyse, Überwachte Klassifizierung, Gradient Boosting (XGBoost), CatBoost, LightGBM, SHAP (SHapley Additive exPlanations), stacked ensembles, blending, GBM(Gradient Boosting Machine)/MART (Multiple Additive Regression Trees), AutoML, Auto-Keras, Dopamine, Generalized Linear Models (GLM), Distributed Random Forest (DRF), eXtremely Randomized Tree (XRT), Labeling/Labelling, Bootstrap aggregating (bagging), Receiver Operating Characteristic (ROC)/AUC, Assoziationsanalyse, Abhängigkeitsanalyse zur Optimierung der Boot-Zeiten, Maximum-Likelihood-Schätzer bzgl. Marketing-Maßnahmen-Effizienz und Konvertierung vom Free-Antivirus-Nutzer zum zahlenden Kunden, Propensity Modeling.

Make or Buy Entscheidungs-Vorbereitung im Marketing bzgl. einer In-House Customer Intelligence (CI) und Programmatic Advertising Lösung für Cross-Selling über verschiedene Kunden-Touchpoints hinweg, Dynamic Offering, Net Promoter Score (NPS) Optimierung und Data-driven Sales (DDS) per Data Management Platform (DMP).

• Marketing-Strategie Beratung per Design Thinking mit Customer Journey Mapping und Dokumentation der Kunden-Firmen-Touchpoints bzw. Interaktionen, Vermittlung des relevanten Wissens zu den neuesten Programmatic Marketing Ansätzen und den entsprechenden Data Science Grundlagen. Einführung in Customer Data Platforms (CDPs) und Marketing Automation Platforms (MAP). SWAT-Diskussionen (Strengths/Weaknesses/Opportunities/Threats) dazu initiiert und geleitet.
• Recherche von möglichen Anbietern in obigen Bereichen mit Schwerpunkt auf Customer Intelligence (CI), Customer Data Platforms (CDPs) und Marketing Automation Platforms (MAP) und Kontaktieren der Anbieter: IBM Interact, Oracle Real-Time Decisioning (RTD), SAS Customer Decision Hub, Pega Customer Decision Hub, Adobe Marketing Suite/Cloud, Prudsys, SC-Networks Evalanche, PIA/Dymatrix DynaCampaign, DynaMine, CrossSell, ComArch, FIS Global, DMP-Produkte (AdForm, The Adex, Annalect, Otto, Xaxis Turbine, Acxiom, ...).
• Erarbeitung der Use-Cases nach Use Case 2.0 Ansatz (inclusive MVP – Minimal Viable Product) mit dem Marketing-Fachteam (besonderer Fokus auf mögliche Echtzeit-Anforderungen/Use Cases) und Bewertung der möglichen Cash Flows sowie der verschiedenen KPIs wie ROI, NPV (Net Present Value), IRR (Internal Rate of Return), WSJF Verspätungskosten (Weighted Shortest Job First), NPS (Net Promoter Score), NBI (Net Banking Income). Anschließende Einführung von weiteren Lean-Startup-Prinzipien sowie Microservices, Evolutionary Architecture, Mobile App Anbindung und passendem Versioning.
• Datenschutz Grundverordnung (EU-DSGVO) / General Data Protection Regulation (EU-GDPR) (Regulation (EU) 2016/679): Beratung zur Legalität der Verbindung von Nutzungs- und Kundendaten und deren Nutzung zu Marketing-Zwecken.
• Erstellung einer Baseline-Hadoop-Architektur mit Aufwands-Schätzungen als mögliche Make-Lösung auf Basis von Apache Spark mit Streaming, Alluxio Caching, QBit Microservices, Aerospike DB, Cassandra DB, jBPM, Drools, Oryx 2, WEKA, MOA, Sqoop 1/2, SAS. Diese diente dann auch dem Einkauf zur Preis-Verhandlung.
• Beratung zu möglichen Data Science Algorithmen rund um das KNIME-System zur Kundensegmentierung und der Ableitung von Produkt- bzw. Marketing-relevanten Affinitäten/möglichen Kundeninteressen und Kundenpfaden: DynaMine, Gradient Boosting (XGBoost), CatBoost, LightGBM, SHAP (SHapley Additive exPlanations), stacked ensembles, blending, GBM(Gradient Boosting Machine)/MART (Multiple Additive Regression Trees), AutoML, Auto-Keras, Dopamine, Generalized Linear Models (GLM), Distributed Random Forest (DRF), eXtremely Randomized Tree (XRT), Labeling/Labelling, Bootstrap aggregating (bagging), Receiver Operating Characteristic (ROC)/AUC, Nichtlineare Regression, Random Forests, C4.5, etc.
• Beratung des Parallelprojekts „Corporate Data Hub“ (Digital Transformation / Digital eXperience (DX) Plattform) auf Basis von Spark, Cassandra DB, PostgreSQL und Memory-centric Libraries / In-Memory Data Grids (IMDG) wie Apache Pulsar, memcached, Ignite, GridGain, Alluxio, Redis, Hazelcast, Ehcache, Red Hat JBoss Data Grid, Pivotal GemFire, ActiveMQ, RabbitMQ mit AMQP, MQTT, insbesondere bzgl. Anbindungs-Möglichkeiten mit den Marketing-Lösungen und wie diese als PoC (Proof of Concept) für den Data Hub verwendet werden können.
• Konzeption einer Dynamic Offering Erweiterung HintLog für Dymatrix DynaCampaign: Mit minimalem Aufwand konnten so alle Teilnehmer an Bonus- oder Marketing-Programmen Nachrichten erhalten, wenn irgendwelche Fehler auftauchten oder sie aufgrund von Detail-Regelungen Gefahr liefen, aus dem Programm herauszufallen: Kunden haben dann meist Nachfristen bekommen und so konnte durch das Vermeiden ärgerlicher Situation der NPV-Wert (sprich: die Kundenzufriedenheit) stark gesteigert werden.
• Review der bestehenden BPM-Modelle in Camunda und Erweiterung dieser Modelle in Camunda um neue Marketing/Kampagnen Use Cases.
• Konzept erstellt zum semantischen Analysieren und Steuern von Marketing-Kampagnen nach z.B. Kundeninteressen, Kundensituationen, aktuellen Markttendenzen sowie Firmen-Interessen, z.B. als kombinierte/konzertierte Rabattaktionen über verschiedene Teile des Angebots hinweg oder um übergeordnete Marketing-Aussagen in untergeordneten Aktionen immer wieder zu re-iterieren und insgesamt Konsistenz und Stringenz in den Aussagen zu erreichen. Erkannte Kunden-Sitationen/Segmente, Interessen und Unterstützungsbedarf kann so möglichst zielgenau eingesetzt werden, so dass es von den Kunden als hilfreich geschätzt wird und später aus einer Vertrauensbasis heraus (Produkt-/Service-)Empfehlungen gegeben werden können.
• Natural Language Processing (NLP): Analyse von Kunden-Feedback/Stimmungen mit spacy.io in Python (Net Promoter Score (NPS) Erhebung und Verbesserung).
• Mitarbeit beim Digital David Projekt als Technologie- und NLP-Berater, der Erstellung eines Chatbots mit IBM Watson Technologie (mittlerweile bei consorsbank.de im Kundenbereich online): Vision: Chatbot der alle Invest- und Banking-Präferenzen der Kunden kennt incl. Konto-, Depot- und WKN-/ISIN-Nummern mit Charts/Trends/Abhängigkeiten und alle Suchen nach Anlagemöglichkeiten durchführt (mit RoboAdvisor im Hintergrund) und daher hohe Kundenbindung und hohe Verkaufskennzahlen erzielt. Meine Arbeit: Analyse der zu erwartenden Text-Dialog-Scripting Aufwände (aufgrund der technisch veralteten Funktionalitäten für Chatbot-Entwickler) und der Total Cost of Ownership (TCO) der IBM-Watson-Lösung und Gegenüberstellung mit einer neuen DLNLP-Architektur (Deep Learning Natural Language Processing) basierend auf Open Source zwecks Preisverhandlungen der Beschaffung: Elemente meiner Open Source Chatbot-Architektur mit DLNLP Tools (Deep Learning Natural Language Processing): OpenEphyra, Seq2seq, word2vec, ULM-FiT, ELMo, OpenAI Transformer / GPT, Transfer Learning, OpenAI Transformer, spaCy, Stanford CoreNLP, AllenNLP und Virtualisierung mit Docker/Kubernetes zum Training in der Cloud.

DS-Ansatz (Data Science):

Zeitreihenanalyse, Anomalie-Erkennung, Apriori-Analyse, Überwachte Klassifizierung,  Assoziationsanalyse, Maximum-Likelihood-Schätzer, Kunden-Segmentierungstechniken z.B. nach Personas mit KNIME, DynaMine, Gradient Boosting (XGBoost), CatBoost, LightGBM, SHAP (SHapley Additive exPlanations), stacked ensembles, blending, GBM(Gradient Boosting Machine)/MART (Multiple Additive Regression Trees), AutoML, Auto-Keras, Dopamine, Generalized Linear Models (GLM), Distributed Random Forest (DRF), eXtremely Randomized Tree (XRT), Labeling/Labelling, Bootstrap aggregating (bagging), Receiver Operating Characteristic (ROC)/AUC, Nichtlineare Regression, Random Forests, C4.5, Propensity Modeling.

Projekt:

Erstellung eines bankweiten Cloudera-Hadoop basierenden Business Transaction Stores (Speicher für alle Finanztransaktionen als Digital Transformation / Digital eXperience (DX) Plattform) mit einem kanonischen leistungsfähigen Datenformat (zum Speichern aller Details aller erwartbaren Transaktionen) mit verlustfreien Import- und Export-Filtern sowie Auswertungsfeatures in den folgenden Bereichen: Kontobewegungen, Aktien, Zinsinstrumente, Derivate, ETFs, Fonds (d.h. beliebige “Securities” bzw. Wertpapiere), Berechnung von Bestands-, Kosten- und Risiko-Kennzahlen, Übersichten für’s Wealth Management sowie Steuern, Reporting, Betrugserkennung und Vorbereitung der Möglichkeit des Heraustrennens der Funktionalitäten einer Wertpapier-Transaktionsbank.

• Review und Verbesserung der vorgeschlagenen Grob-Architektur, Ausarbeitung des FeinArchitektur-Dokuments auf Basis zahlreicher Meetings und E-Mails mit dem Fachbereich;
• Konzeption von Datenmodellen zur redundanzfreien Konvertierung/Speicherung/Aufbereitung und Auswertung aller bestehenden Bank-Transaktionen mittels logischer/physischer Datenmodelle.
• Konzepte erstellt für Back-Office-Verarbeitungsverfahren (Reconciliation, Transaktions-Bäume/Graphen als Struktur und bzgl. Aufbau aus zeitlich versetzt und nur teilweise eintreffenden Informationen, Link-Resolution auf dieser Basis); POCs bzgl. komplexer Punkte selbst in Java/Scala programmiert.
• Konzeption einer IT-Basis für Finanz-Planungs-Modelle/Investment-Strategien incl. Steueroptimierung für Wealth Management, Investment-Manager sowie strategische Investitionen.
• Konzeption der initialen Amazon AWS-Umgebung (benötigt solange die Bank-Umgebung nicht fertig war) und Umsetzung mit AMInator.
• Security: Anbindung von Apache Sentry an das zentrale IAM-System (Identity & Access Management) der Bank bzw. initial an LDAP. Härtung der Systemkomponenten bzgl. IT-Sicherheit.
• Konzeption der Spark/Kafka Exactly-Once Verarbeitungsfunktionalität sowie der Gesamt-Business Continuity Funktionalität.
• Recherche/Evaluierung von Memory-centric Libraries / In-Memory Data Grids (IMDG): Apache Pulsar, memcached, Ignite, GridGain, Alluxio, Redis, Hazelcast, Ehcache, Red Hat JBoss Data Grid, Pivotal GemFire, ActiveMQ, RabbitMQ mit AMQP, MQTT, ...
• Erstellung eines Data Mapping und Versionierungskonzepts mit Umsetzung über ein Switchboard-Pattern: Abwägen der Möglichkeiten der Konvertierung/des Upgrades von Datenformaten/Protokollen/Microservices vs Lazy/Eager Migration von Daten; HBase-Avro-basiertes Versionieren, Bitemporale Logik, Semantisches Versonieren, versionierte lokale/verteilte Microservices mit QBit/Lagom/Spring Boot; DDD-Datenmodelle mit Bounded Context, Context Maps, Self Contained Systems (SCS). Change Management/Versionierung mit Oracle Data Relationship Management (DRM).

Typ/Dauer:

Weil CS zum 2. Mal hintereinander einen Verlust von ca. 2,5 Mrd. CHF eingefahren hatte, wurde das Projekt kleiner als geplant umgesetzt und es sollte der Rest Offshore umgesetzt werden. Durch professionelles Coaching sollte nur das professionelle Aufgleisen und Ausrichten des Projekts sichergestellt werden incl. Etablierung einer professionellen Kommunikationsstruktur.

Eigene Rolle:

Couch mit Schwerpunkt Big Data Architektur, IT Projektmanagement und teilweise SPOC–Funktionalität (single point of contact) zum Erlangen des Überblicks für alle Fragen zwischen den CS-Fachbereichen und dem Offshore IT-Team und zum professionellen Aufsetzen der Kommunikation bzw. deren Optimierung zwischen jeweils passenden Personen.

DS-Ansatz (Data Science):

Rekonstruktion aller Transaktionsbäume mit allen Zweigen, Zeitreihenanalyse, Anomalie-Erkennung, Überwachte Klassifizierung, Apriori-Analyse, Gradient Boosting, Multi-Level-Methoden (Transaktion / Konto / Kaufmann / Konzern), Assoziationsanalyse, Link-Analyse-Netzwerke, Maximum-Likelihood-Schätzer, Berechnung eines Verdachts-Scores, sonstige klassische und mehrstufige Verfahren zur Betrugserkennung (siehe gesonderten Abschnitt).

Eigene Rolle:

Architekt eines Blueprint-Dokuments zur Integration von Microservices mit mobile Apps und Big Data u.A. per DDD.

Projekt:

Konzeption einer Microservice-Strategie und eines Architektur-Blueprints für alle SW-Entwicklungsprojekte bei AOK Nordost und AOK Systems incl. Dienstleistern sowie auch für Mobile Apps mit Big Data Integration für Datenaustausch und Data Science.

• Zusammentragen der führenden publizierten Techniken und Tools zu Microservices und Mobile Apps & Big Data sowie der integrativen Erstellung von Software mit allen Aspekten in Form eines ca. 250-seitigen Architektur Blueprints mit folgenden Inhalten: Architekturziele, Architekturprinzipien, Architekturstandards, Patterns, Neuentwicklung von Konzepten für lokale und vereinfachte Microservices (Neukonzeption eines Code Generierungs-Modells, um viele Microservices in Java/Scala als ein JAR/WAR/EAR oder als mehrere Deployment-Module bauen und debuggen/tracen/testen zu können), Microservice Best Practices, API Management, Datenkonvertierung/Serialisierung, Logging/Tracing, IT-Sicherheit/IAM, Modellierung per Domain-Driven Design (DDD) mit Bounded Context, deren Building Blocks und Responsibility Layers, Self Contained Systems (SCS) und Integration der Mobile-App Komponenten, KPI (Key Performance Indicators), Migrationsschritte von Monolithen hin zu Microservices, Software Load-Balancing, Infrastructure as Code, DevOps-Praktiken wie Continuous Integration und Continuous Deployment.
• Im praktischen Teil wurde der Code-Generator entwickelt für die Kombination mehrerer Versionen eines oder verschiedener Microservices in ein Deployment-Paket oder in je ein JAR-Paket. Die unten genannten führenden Microservice-Bibliotheken für Java, Scala und Node.JS mit AngularJS 2 und Ionic Framework (Mobile Apps) wurden getestet/evaluiert.

Digital Windfarm: Konzeption einer "on premise" und AWS Cloud Architektur für die effiziente massiv-parallele in-memory Berechnung der Dimensionierung von Windrädern (Alterung, Regen, Leistungsoptimierung am jeweiligen Standort) basierend auf den GE-Flex5-Tools.

• Fachlich:
  • Analyse der bestehenden Flex5-Tools in Pascal/Delphi sowie der zugrundeliegenden Mathematik, insbesondere bzgl. Parallelisierungs-, Verteilungs- und Caching-Möglichkeiten.
  • Sammlung und Erarbeitung von evolutionären Verbesserungsmöglichkeiten der bestehenden Flex5-Lösung, z.B. durch mehr In-memory Processing und explizites Caching von Zwischenergebnissen.
  • Erstellung einer Zielarchitektur basierend auf im Kern Spark mit Alluxio sowie Ergänzungen für den Einsatz im Intranet (on premise) und in AWS (Amazon Web Services, EC2) mit entsprechenden IT-Sicherheitsmaßnahmen und mit Migrationsstrategie.
  • Abstimmung der Anbindung der parallel erarbeiteten AngularJS 2.1 Web-Benutzeroberfläche an das Backend.
  • Analyse der Performance der bisherigen Lösung unter Windows/Linux mit procmon.exe sowie eigenem Win-API-Hooking-Tool und Python-Auswerte-Skripten. Export nach Excel in Excel-Pivot-Tabellen und Erstellung VBA-basierter komplexer Auswertungen.
  • Wirtschaftlichkeitsberechnung der Migration in MS Excel per Formeln, VBA nach einem neu-entwickelten nicht-linearen Keep-/Replace-/Modernization-Szenarien-Verfahren, das sich auf ca. 20 nicht-lineare Kosten-Nutzen-Verläufe von ca. 50 Einflussgrößen stützt, die separat modelliert wurden.
• Technisch:
  • Ad 3: Darin enthalten war auch eine kurze Betrachtung der besten Alternativlösungen (Flink, YARN, Storm + Trident, FastR, etc.) und Beschreibung von deren Vor- und Nachteilen.
  • Bzgl. IT-Sicherheit war neben dem Schutz gegen Hacker durch ein Bündel von Maßnahmen vor allem die korrekte Autorisierung und Zuordnung der Daten und Datenflüsse wichtig, was über Virtualisierung mit VMware oder Docker, Kubernetes, Rancher sowie über die Security-Toolkits Apache Sentry/Shiro, Knox, Falcon, Atlas erfolgte.
  • Die Migrationsstrategie basierte Bottom-Up auf verschiedenen Loop-Unrolling bzw. Schleifen-Parallelierungs-Strategie über Thread-Parallelisierung und das Herausziehen und Caching von Zwischenergebnissen, aufgeführt prototypisch am Beispiel der Delphi nach Scala Portierung für die Datenverarbeitung mit Spark.
  • Ad 5: Da procmon.exe aber für längere verteilte Läufe mit einigen GBs an Daten abstürzte: Entwicklung einer Zeus-Rootkit basierenden API-Hooking-Methode für Win-API-Methoden wie ReadFile, WriteFile, Process Start, Process Exit, Thread Start, Thread Exit, CreateFile, MapViewOfFile und direkte Auswertung nur der relevanten Daten. Daraus Ableitung der Optimierungspotentiale und des Skalierungsverhaltens.
  • Ad 6: Etablierte Verfahren der Wirtschaftlichkeitsberechnung wie Discounted Cashflow, ROI/ROSI (Return on [Security] Investment), NPV (Net Present Value), Internal/External Rate of Return (IRR/ERR) können nicht-lineare Verläufe der zugrundliegenden Faktoren nicht berücksichtigen. Hier ging es jedoch neben eher konstanten Werten wie Inflationsrate, Interner Zinsfuß, Prozent pro Jahr veränderter Quelltexte durch CRs(Change Requests), effektive Firmen-Steuer-Rate weitgehend um Konjunktur- und Technologie-Wellen-abhängige Kosten- und Risiko-Faktoren wie (auf engl.): Hardware Upgrade/Repair, Scaling / Bigger data amounts, Administration, Inflexibility (e.g. no virtualization, no mandator capability), Development of Extensions/CRs, Errors due to Knowledge/People Loss, Time to hire Contractors, Training Time for Team Members, CPU/IO Utilization Inefficiencies, End User waiting Time, Reputation cost due to old Technology, Immature Technology/Toolset, Old Technology/Toolset, Lack of Motivation due to old Technology / old Age of Employees, Not being able to take advantage of latest Tech's Features in CRs, Poor interoperability, Workarounds due to technological deficiencies, Sudden technological dead End and Cost of immediate Technology Switch, Revolutionary sudden change costs.
  • Hierzu habe ich sehr aufwändige nichtlineare Kosten-Nutzen-Analysen für Keep-/Replace-/Modernization-Szenarien erstellt nachdem ich den Stand der Wissenschaft recherchiert hatte. Kern war die Approximation/Schätzung der Eingangsfaktoren über Datenreihen und Interpolation mit kubischen Splines. Dann wurde die Zeit in Tages-/Monats-/Quartals-/Jahres-Schritten hochgezählt und die Eingangswerte entsprechend per Spline-Interpolation geschätzt, kumuliert, abgeschrieben, abgezinst und zwischen den Keep-/Replace-/Modernization-Szenarien verglichen – jeweils mit Best-, Medium- und Worst-Case-Analyse in VBA. Ich habe eine graphische interaktive Auswertung hierzu mit TreeView und Pivot-Tabellen erstellt. Es ist eine wissenschaftliche Publikation hierzu geplant, denn das Verfahren kann generell für die Wirtschaftlichkeitsberechnung solcher nicht-linearer Keep-/Replace-/Modernization-Szenarien verwendet werden, insbesondere für Big-Data-Projekte.
• Projektende:
  • GE entschied sich schließlich, die Alt-Architektur selbst evolutionär mit In-Memory-Processing Technologien weiterzuentwickeln und wegen der Amortisierung erst nach 5-7 Jahren in diesem Projekt noch nicht Big Data zu nutzen.

GET ONE BI: Integration der BI-Systeme, darunter SAP Bank Analyzer (FS-BA), SAP HANA, SAP BO und Hortonworks Hadoop 2.3

• Fachlich: Erstellung einer Architektur für ein Corporate Memory als Digital Transformation / Digital eXperience (DX) Plattform, insbesondere die möglichst schnelle Erkennung von negativen Bonitätsveränderungen der eigenen Kreditnehmer bzw. Leasing-Kunden. D.h. wenn Kunden ihre Kredit- und Leasingraten kaum noch bezahlen können, soll dies möglichst schnell gemeldet werden, um als Bank darauf reagieren zu können.
• Subtask 1: Erstellen eines Tools für die effiziente unbürokratische Anlage von durch Benutzer/Analysten  zur Laufzeit neu eingefügten Datenbank-Strukturen (neue Tabellen und Attribute in Tabellen bzw. als Graph) für neue analytische Ansätze wie Vertrags-/Kundenanalyse, Credit Risk, Fraud Prevention/Fraud Detection und Machine Learning.
• Subtask 2: Erstellen von Markt-Analysen und Zusammentragen von Best Practices für einen Corporate Memory.
• Subtask 3: Konzeption/Implementierung von Bonitäts-Alerting Use Cases: a) Auskunftei wie Creditreform/Bürgel meldet Bonitätsreduktion, b) Leasing- oder Kreditrate konnte nicht abgebucht werden, c) geändertes Nutzungsverhalten des Autos (Connected Car Daten), die z.B. auf Bewerbungsgespräche schließen lassen (bei zuvor 9-to-5-Bürotag) oder langes Ausschlafen zuhause (Arbeitslosigkeits-Indikator), d) Geänderte Daten aus sozialen Netzwerken wie vermehrt Kontakte zu Festanstellungs-Recruitern, e) Infos aus der computerlinguistischen Analyse (Bedeutungsextraktion aus Texten/Dokumenten) von E-Mails, Verträgen, Memos, Handelsregistern und sonstigen textuellen Infos mit Apache Stanbol und Apache OpenNLP.
• Subtask 4: Konzeption/Implementierung von Anti-Money Laundering (AML) und Anti-Fraud Use Cases auf Basis von Data Science Techniken sowie Computerlinguistik.
• Technisch:
• Konzeption eines effizienten Speicher-Formats für Graph-basierte Datenbank-Strukturen und auch Vererbung für die Nutzung mit Spark/Hive und Gegenüberstellung mit anderen Speicherungsstrukturen bzgl. Performance und Nutzbarkeit für verschiedene Use Cases. Dazu Implementierung verschiedener Use Cases mit Hive, Spark SQL, als Hive Makro und als Hive UDF mit Java/Scala und Messen/Vergleichen der Performance.
• Marktanalyse und Proof-of-Concept (PoC) Konzeptionen/Entwicklungen zu
  • Hadoop-ETL-/BI-Technologien und Tool-Kombinationen, insbesondere Sqoop/JDBC, Falcon/Oozie, Hortonworks Dataflow, StreamSets, syncsort, Flume/Kafka/Flafka, Chukwa, Talend BD, Pentaho BD, IBM InfoSphere with IBM DataStage for BD, Trifacta, Informatica BD, Waterline Data Science, Rapid Miner, Intelligent Miner, Datameer, Paxata, platfora, Trillium, SploutSQL/Pangool, Apache Drill + Arrow, Cascading, Crunch, Twill, REEF, RHadoop, SAS, H2O, KNIME, Tableau, SAP Business Objects, Zoomdata,
  • Hadoop XML Verarbeitungs-Technologien und Tool-Kombinationen: Talend, Relational/ORC, JSON, Avro, Protobuf/Protostuff, XML->Relational, Graph-DB-Addon, Hive + ORC/Parquet, XML->HBase-Attribute, HyperJAXB, Relational DBs, HBase Phoenix, HAWQ, Simplified XML, Datanucleus, PostgreSQL.
  • Auswertung unterschiedlicher Persistenzbibliotheken hinsichtlich (De) Serialisierungsgeschwindigkeit, komprimierte Größe und wie effizient sie mit den verschiedenen Technologien integriert werden können: Avro, Profobuf, Protostuff, JSON mit Jackson & Alternativen, BSON, ...
  • Anbindungsmöglichkeiten (Spark-Driver, Storm-Driver, Flink-Driver, etc.) für Datenbanken/Caches/Query-Engines wie Hive, HBase, Cassandra, Cloudera Impala, Drill, Scylla DB, Aerospike, Alluxio, Druid, Splout SQL.
  • Daten-Bereinigung (Data Cleansing) und Performance der Hadoop-Tools speziell im Bereich Graph-basierter Daten: Spark mit GraphX, Storm-Graph mit Trident, Flink Graph (Gelly) sowie die relevantesten der zuvor analysierten weiteren Tools.
• Konzeption und Implementierung der oben genannten Kern-Use Cases mit Spark & GraphX, Avro, Alluxio sowie Talend for Big Data sowie mit Hive-Graph-Addon als UDF-Implementierung (User-Defined Function).
• Change Management/Versionierung mit Oracle Data Relationship Management (DRM).

DS Ansatz:

Eine Mischung aus Hauptkomponentenanalyse, Nearest Neighbor Methoden, neuronale Netze, Zeitreihenanalyse, Anomalie-Erkennung, Assoziationsanalyse, Maximum-Likelihood-Schätzer

Konzeption des pace Systems als zentrales IT-System der Marktforschung und Ablösung von StarTrack zur Erstellung von Panel-Produkten zunächst für die Distributor-Märkte, d.h. die weltweiten Groß- und Einzelhandelsmärkte mit Perspektive auf andere Märkte wie Optik-Produkte, Media, etc.

• Erstellung der Building Blocks (Komponenten) bis hin zu den Klassendiagrammen + Code-Generierung. Konzepte erstellt für bi-temporale Versionierung und Verarbeitung der Daten, Differenz-Verarbeitung, optimiertes In-Memory Processing/Caching/Minimierung von Save-Load-Zyklen, flexibles Management und Laufzeit-Erweiterbarkeit von dynamischen Typen und Klassen, Umgang mit Streaming-Daten, deren Vereinheitlichung/ Prüfung/ Korrektur/ Anonymisierung, Speicherung und häufigen Aktualisierungen von Zuordnungen wie Key-Code-Assignments, Umgang mit komplexen n-dimensionalen Datenräumen, BI-Analysen (Star-/Snowflake-Schema) mit einer Vielzahl heterogener interner und externer Datenquellen und Referenz-Datenbanken. Berücksichtigung neuer Use Cases wie Werbe-Effizienz-Analyse, Trend- und Sale-Erkennung, Produkt-Lebenszyklus-Erkennung, Konsequenzen von Branding vs. White-Label-Verkauf, Anbindung von Data Science Schnittstellen/Tools (Mahout, WEKA/MOA, Geode mit MADlib +  HAWQ, LIBSVM, Spark mit MLlib + Oryx 2). Datenfluss-Analyse erstellt mit Empfehlung der verwendbaren Data Science Algorithmen zu erkennbaren Aufgabenstellungen. Konzeption von Logging, Monitoring und Reporting. Agiler Crystal Clear Prozess.
• Projektende: Die Zielarchitektur wurde fertigkonzipiert. Das Requirements Engineering konnte – wegen fachlicher Komplexitäten und Abstimmungsprozessen - nicht genügend Input für die Weiterentwicklung bereitstellen und aufgrund stark rückläufiger Geschäftsentwicklung bei GfK wurde in 2015 weniger Budget für Externe in 2016 genehmigt.

DS-Ansatz:

Eine Mischung aus Hauptkomponentenanalyse, Nearest Neighbor Methoden, neuronale Netze, Zeitreihenanalyse, Anomalie-Erkennung, Apriori, Assoziationsanalyse, Maximum-Likelihood-Schätzer

Einführung eines Archiv-Systems, Verbesserung der IT-Sicherheit & des Datenschutzes und Business Process Optimization, Scrum-Prozessmodell

• Business Process Optimization Konzept erstellt für den SW-Entwicklungsbereich.
• Big Data / Data Science / BI Architekturkonzept zur a) Analyse der medizin. Leistungsdaten und daraus Ableitung von Fragebögen und Aufschlägen für Vorerkrankungen und b) Analyse/Optimierung der Marketing-Aufwendungen mit Mahout, WEKA/MOA, Geode mit MADlib (Machine Learning Lib mit UDF) und HAWQ, LIBSVM, Spark mit MLlib + Oryx 2.
• Konzeption eines Tools zur stark automatisierten Verarbeitung von Kündigungen.
• Einführung des Archiv-Systems T-Systems ImageMaster.
• Modernisierung/Upgrade-Planung des OpenText Metastorm Business Process Management Systems (MBPM). Teilfunktionalität portabel mit Camunda BPM realisiert.
• Verbesserung der IT-Sicherheit & des Datenschutzes bei VitaClic.ch, der elektronischen Patientenakte der KPT/CPT.
• Projektende: Die KPT-Manager / Verwaltungsräte (Vorstandsvorsitzender und dessen Vertreter) Bosch und Liechti wurden kurz vor meinem Start zu 3 Jahren Haft wegen Untreue und versuchter persönlicher Bereicherung verurteilt (siehe Google). Dies führte – auch aufgrund des Reputationsverlusts und des erwarteten negativen Geschäftsverlaufs – zum Stoppen aller nicht sofort rentablen IT-Projekte. Ich wurde daher – statt als Architekt einer großen vitaclic.ch-Erweiterung – nur als Coach zur Optimierung der Geschäftsprozesse bzw. einiger Funktionalitäten eingesetzt.

DS-Ansatz:

Zeitreihenanalyse, Anomalie-Erkennung, Assoziationsanalyse, Piwik und Google Analytics / Adwords-basierte Web-Site-Optimierung; klassische und mehrstufige Verfahren zur Betrugserkennung (siehe gesonderten Abschnitt), Maximum-Likelihood-Schätzer, Apriori, Gradient Boosting.

Projekt:

Big Data Projekt im Bereich zielgerichtete Online- und Mobile-Werbung durch Erstellung von Kundenprofilen. Konzeption einer Data Management Platform (DMP) in Kooperation mit TheADEX, Berlin. Datenaustausch mit diversen Medienpartnern und Zusammenführen dieser Daten zu Nutzerprofilen, Ableitung von Kunden-Interessen sowie Negativ-Merkmalen offline und in Echtzeit (Lambda-Architektur); Kanban.

• Konzeption der Hadoop-Landschaft mit Anbindung an SAS/H2O incl. Hive/HCatalog, YARN-Algorithmen, Datenmodelle erstellt, Performance-Optimierung durch intelligente Verteilung, Java-Entwicklung. Datenfluss-Analyse erstellt mit Empfehlung der verwendbaren Data Science Algorithmen. Betrugserkennung in Web-Werbungs-Tags /-Pixels und / oder betrügerische Versuche, einen Teil der Prämie gutgeschrieben zu bekommen für einen erfolgreichen Verkauf durch fälschlich behauptete spätere zu einem Kauf führende Anzeige/Ad dem Benutzer angezeigt zu haben; Web Scraper konzipiert/entwickelt mit node.js/NodeJS, CasperJS, PhantomJS, Sli-mer.js und Greasemonkey als zusätzlicher Input für die zielgerichtete Werbung (etwa Themen der Webseiten, Features von Produkten).
• Sicherheitskonzept erstellt zur Absicherung der Big Data Systeme sowie für die Daten-Anonymisierung.

Typ/Dauer:

Aufgrund der starken Konkurrenz im DMP-Bereich (Google, Facebook, MS und mehr als 100 weitere DMP-Anbieter) und weil TheADEX ein Startup war, war von Anfang an nicht mehr als ein professionelles Aufgleisen des Projekts durch mich als Coach geplant.

DS-Ansatz:

Analyse der Kunden-Reise (Customer Journey) durch die Web-Sites / in der verfügbaren Historie durch Graphen, semantische / NLP Analyse der Website-Inhalte und der damit verbundenen Interessen; eine Mischung aus Hauptkomponentenanalyse, nächster Nachbar-Methoden, neuronale Netze, Maximum-Likelihood-Schätzer, Zeitreihenanalyse, Apriori, Gradient Boosting, Anomalie-Erkennung (beim Verlassen einer Website, beim Anklicken einer Anzeige, etc.), Assoziationsanalyse, Echtzeit-Analysen (als Teil der Lambda-Architektur) vor allem für die Propagierung von Negativkriterien und das Matchen von Anzeigen/Ads zu den Nutzerinteressen.

Projekt:

Big Data Projekt im Bereich Predictive Maintenance von Medizin-Geräten mit zentraler SCADA-Komponente, vor allem im Radiologie-/Röntgen-Bereich (CTs, MRTs, C-Bogen, Spect-CTs, etc.), d.h. es sollen Service-Techniker möglichst vor dem Versagen einer Komponente diese austauschen, um maximale Verfügbarkeit für die Patienten sicherzustellen, wurde später Teil von MindSphere; Scrum.

• Konzeption der Hadoop-Landschaft mit Anbindung an Teradata und SAS/H2O incl. Hive/HCatalog, YARN-Algorithmen, Datenmodelle portabel umgesetzt mit Datanucleus, Performance-Optimierung durch intelligente Verteilung, Java-Entwicklung. Datenfluss-Analyse erstellt mit Empfehlung der verwendbaren Data Science Algorithmen sowie Monitoring und Reporting.
• Sicherheitskonzept erstellt zur Absicherung der Big Data Systeme sowie für die Daten-Anonymisierung.

DS-Ansatz:

Eine Mischung aus Hauptkomponentenanalyse, Nächster-Nachbar-Methoden, neuronale Netze, Zeitreihenanalyse / Prognose, Maximum-Likelihood-Schätzer: GMM (Gaussian Mixture Models); Überwachtes Lernen: Klassifikation und Regression (z.B. Ursache-Wirkungs-Analysen); Unüberwachtes Lernen: Affinitäts-Analyse, FP-Wachstum (häufiges Muster-Wachstum), Association Rule Learning, vor allem für Ereignisse, die auf Geräteausfälle hinweisen - auch mit Entscheidungsbäumen, C4.5, CART, Apriori, Gradient Boosting. Merkmalsextraktion: Kernel-Methode / -Trick, FastMKS, (Kernel) Principal Component Analysis (PCA / KPCA), Independent Component Analysis (ICA) mit MLE (Maximum-Likelihood-Schätzung). Anomalie-Erkennung: Dichte-basierte Techniken (k-nächste-Nachbarn, lokaler Ausreißer (local outlier) Faktor und viele weitere Variationen dieses Konzepts), Ensemble-Techniken mit Feature Bagging, Score-Normalisierung und verschiedene Quellen von Diversität.

Konzeption/Implementierung der Integration des Fingerabdruck-Scanners in einen Geldautomat / ATM, Schwerpunkt auf sichere Datenaustauschprotokolle zwischen Sensor, Automat und Backend. Dazu Erstellen eines Sicherheitskonzepts für die Nutzung von Fingerabdruck-Scannern für Bank-Automaten (ATM) und Mobile Banking, Umsetzung von Kernelementen dieses Konzepts im Rahmen eines Prototyps für Kunden-Showcases; Scrum.

• Erstellen eines Sicherheitskonzepts basierend auf der eigenen statistischen Sicherheits-Datenbank zu Gefährdungen/Gegenmaßnahmen (nach BSI/Common Criteria), erweitert um Gefährdungen/Gegenmaßnahmen im Bank und Fingerabdruck-Sensor-Bereich, insbesondere nach ISO 27745 2011 und ISO 19092.
• Implementierung des Showcases für sichere Übertragung (ATM/Mobile Banking) mit Schlüsselverteilung, sicherem Schlüsselspeicher, PKI, RSA / IDEA, AES-GCM, DiffieHellman / FHMQV-C, SHA-2 / SHA-3, scrypt / bcrypt / PBKDF2, Ubuntu.

DS-Ansatz:

Bekämpfung von hunderten Angriffen mit zugeordneten Wahrscheinlichkeiten und Schadens-Erwartungswerten wie Identitätsklau, Man-in-the-Middle, Timing-, Bit-Manipulations- und Seitenkanalattacken durch hunderte priorisierte Gegenmaßnahmen basierend auf ihrem probabilistisch exakt berechneten Kosten-Nutzen-Verhältnis, beispielsweise Verschlüsselung, Signierung, sicherer Schlüsselaustausch,etc.

Projektziele:

Weiterentwicklung und teilweise Neukonzeption einer Online-Werbesteuerung, d.h. jedem Besucher der Webseite möglichst viel passende Werbung einzublenden und dabei eine möglichst hohe Klickrate zu erzielen (Online-Werbung, Affiliate Marketing, Profil- und Interessenanalyse).

Aufgaben

• Erfassen der Kundenanforderungen, der diversen technischen Browser-Features (Flash, Adblocker, HTML5, etc), Ansätze der Kundenprofilierung und Auswertung der Klickraten.
• Darauf aufbauend Erstellen eines Konzeptes für eine Werbesteuerung abhängig von Visitor-Interessen/-Profilen.
• Test-Automationskonzept mit JavaScript, Scala und Docker Containern.

Projektziele:

Allianz Data Center Consolidation / Data Center Migration: Viele verteilte und oft kleine Data Centers sollen in weltweit nur 4 große und hochver-fügbare Data Centers migriert werden.

Aufgaben

• Erfassen der Kundenanforderungen, Durchführung von Kundenworkshops.
• Technische Analyse der zu migrierenden Systeme (ca. 6000 Systeme) auf Dokumentationslücken, Migrierbarkeit und mögliche Migrationsprobleme.
• Erstellen der detaillierten technischen Migrationspläne (Word-Dokumente) unter Berücksichtigung der jeweiligen Best Practices in der Migration und im Betrieb von SAS und IBM Big Insights / Hadoop.
• Planung des Einsatzes zusätzlicher IBM Tools (Blue Wash)
• Dokumentation und Weitergabe des Wissens.

Projektziele:

Neuentwicklung eines MS Azure basierten internen Backend API für RESTful Webservices für das „Connected Car“ Projekt im After-Sales-Markt für europäische Märkte basierend auf einer bestehenden Version aus den USA, der zugehörigen iOS/Android App Backends sowie der APIs der On-Board-Units für die Fahrzeuge (Pkw, Lkw) und die Schnittstellen mit den Mobilfunkanbietern.

Aufgaben Fachlich:

• Konzeption von Geräte-APIs der On-Board-Units (OBU) unter Nutzung des OBD-II-Protokolls und von AUTOSAR für die Fahrzeuge (Pkw, Lkw) und die Schnittstellen mit den Mobilfunkanbietern.
• Architektur von MS Azure basierten internen Backend APIs für RESTful Webservices für europäische Märkte basierend auf einer bestehenden Version aus den USA.
• Architektur von MS Azure basierten externen Cloud-Backend APIs für iOS/Android App Entwicklung für beliebige App Entwickler.
• Architektur von MS Azure basierten externen Backend APIs für den Daten- und Kommandofluss sowie diverse Mehrwertfunktionen zwischen OBUs und Cloud-Backend (Car-to-Cloud-Kommunikation), Kompatibilität zu den eCall-Standards, Anbindung von Vodafone’s M2M-Plattform z.B. für das Durchleiten von SMS sowie Billing-Funktionalität.
•  Ausarbeitung der Architekturen für die Use Cases: Eco Driving, Car Health (Trouble Diagnostics) mit der Einholung von Reparatur-Angeboten in Echtzeit, Predictive Maintenance/Planen von Wartungsterminen, Erkennen von Diebstahl-Versuchen, Driving Log (Fahrtenbuch), Verkehrs- und Wettermeldungen bzw. Warnungen dazu, Behaviour-based Insurance, Augmented Reality (es werden weitere Infos angezeigt z.B. virtuelle Stadtführungen bzw. intelligente Mehrwert-Navigationsfunktionen bis hin zur Parkplatzsuche und -Reservierung, aktuelle / historische Gebäude, Menschen, Ereignisse in Abhängigkeit von der aktuellen Position des Autos), Benzinpreis-Infos/nächste Tankstellen, Personal Radio bzw. personalisierte Musik, Heatmaps/Hotspots zu Events/Lokalitäten, Teilen von Daten auf unterschiedlichen Geräten, sonstige Fahrerassistenzsysteme, Personalisierung all dieser Dienste nach Nutzerinteressen, Nutzung für After-Sales-Services sowie weiterer ähnlicher Funktionen wie angeboten durch Apple CarPlay, Android Auto / Google Android Open Automotive Alliance (OOA), Windows Embedded Automotive, Qualcomm Adreno SDK, VW Car-Net, mercedes.me, GM Onstar, Automatic Link, MirrorLink, GENIVI Alliance.
• Spezifikation / Proof-of-Concept für HTML5/Ajax-GUI (Dojo mobile, jQuery mobile, Bootstrap, Lo-Dash, DozerJS, d3.js) und node.js Backend (npm, Backbone.js, Lo-Dash, Ember.js, Handlebars.js, CoffeeScript).
• Steuerungen erstellt für das automatisierte Aufbringen der Software auf die asiatischen Geräte und Fehlerdiagnose als EMSR (Elektrisches Messen, Steuern und Regeln) System.
• Ausarbeitung der Sicherheitskriterien und Vorbereitung der Safe Harbour Datensicherheits-Zertifizierung. Kernelemente dabei waren die Trennung der Nutzer-Id von deren Nutzungsdaten sowie Datensparsamkeit bzw. Anonymisierung sobald und soweit möglich.

Technisch:

• Applikations- und Netzwerkarchitektur mit Windows Servern, Biztalk, sowie .NET Messaging Anwendungen (MSMQ), Firmware Over-The-Air Update (Firmware-OTA, FOTA). Erstellung von API-Konzept-Dokumenten und UML-Diagrammen zu oben genannten APIs. Implementierung durch Lieferanten: Lieferantenmanagement, Testmanagement und Experte für Nachfragen.
• Sicherheits-Konzeption nach Common Criteria/BSI Grundschutz nach Bedrohungszenarien/Bedrohungskatalogen und deren Gegenmaßnahmen/ Sicherheits-Richtlinien auf Applikations-Ebene und Betriebssystems-Ebene nach statistischen Gewichtungen. Damit konnten die Gegenmaßnahmen unter Berücksichtigung der möglichen Gefahr (d.h. des Erwartungswertes der Verluste) und einer Kosten-Nutzen-Analyse der einzelnen Gegenmaßnahmen priorisiert werden innerhalb eines gegebenen Budgets.
• Berücksichtigung von Sicherheits-Standards wie ISO 2700x, Open Source Security Testing Methodology (OSSTMM), OWASP Testing Guide, Web Application Attack and Audit Framework (W3AF), BSI WebApp-Sicherheitsbaustein (basiert auf/integriert ÖNORM A 7700), PCI DSS (Kartenterminals, Smartcards, Bezahlsysteme) und deren Umsetzung in Form von Sicherheits- und (Penetration-)Test-Konzeptionen.
• Technische Begleitung von Referenzprojekten (Scrum) mit Kunden (ADAC, niederländischer ANWB, Vodafone, Telefonica/O2/EPlus) als Architekt und später als technischer Projektmanager/Testmanager. Nutzung der Qualcomm Tools QxDM (eXtensible Diagnostics Monitor) und QPST (für den UMTS Chipset) sowie PuTTY & WinSCP.
•  Über die eigenen und die Netzwerk-Segmente der Partner hinweg Abgleich von anonymisierten Nutzer-Daten sowie domänen-übergreifende Autorisierung mit OAuth (kompatibel mit Safe Harbor Vorgaben der EU).
• Connected Car Web Interface sowie Mobile App Interface (HTML5) konzipiert/prototypisch erstellt mit Apache Cordova/PhoneGap, Ionic Framework / Lab / ngCordova, NW.js (ex: Node-Webkit), NACL, Dojo mobile, jQuery mobile, Node.js, npm, Backbone.js, Lo-Dash, Ember.js, Handlebars.js, TypeScript, CSS3.

Projektziel:

Spezifikation der IT-Landschaft für Arzt-Praxen, Krankenhäuser und zentrale Telematik-Infrastruktur (TI) für die elektronische Gesundheitskarte (eGK) mit Schwerpunkt auf IT-Sicherheit.

Aufgaben Fachlich:

• Konzeption einer Certificate Authority (CA) sowie einer PKI (Public Key Infrastruktur) zu Testzwecken und mit Unterstützung für Testautomatisierung.

Technisch:

• Requirements Engineering für Certificate Authorities (CA)/ Public Key Infrastructures (PKI).
• Erstellung und Präsentation einer Entscheidungsvorlage bzgl. teilweisem/vollständigem Make-or-Buy.
• Architektur der CA/PKI im Rahmen der Make-Lösung unter besonderer Berücksichtigung von Test-Anforderungen zur Erzeugung diverser Klassen von Fehlern, Echtzeitfähigkeit, RESTful WS Schnittstelle.
• Konzeption und Implementierung fehlender Features im Bereich Elliptical Curve Cryptography (ECC), Card Verifiable Certificates (CVC) sowie Gematik-spezifischer Standards für Smartcards/eGK sowie die Telematik-Infrastruktur (TI) für die gewählte EJBCA. Implementierung von Features wie sie von der Nexus CA bekannt waren und bislang genutzt wurden.
• DS-Ansatz: Einführung von Zählern für alle Systemereignisse und Zeitreihenanalyse, Schwellwerte (Thresholds), Anomalie-Erkennung.
• Pen-Test- und Acceptance-Test-Konzeption basierend auf Security Scannern & Tools: MetaSploit, Burp Suite, NeXpose, Nessus, Nmap, Acunetix-Websecurity Scanner, PeakflowX von Arbor, NTOSpider, NTODefend (DAST Tools), Skipfish, Fuzzing Tools, Burp Nessus, SoapUI (für WebServices), Core Impact, Google Skipfish, OWASP WebScarab, JBroFuzz, Zed Attack Proxy (ZAP), Scrubbr, SQLiX, Paros Proxy, IronWASP, W3AF, Syhunt Mini, N-Stalker, Watobo, VEGA, Netsparker, Andiparos, ProxyStrike, Wapiti, Grendel Scan, arachni, WebCruiser, JSky, jScan, ProxyStrike, PowerFuzzer, Sandcat, Ammonite, safe3wvs, WebGoat (unsich. App), Fiddler, ModSecurity.
• Spezielle Berücksichtigung von Sicherheits-Standards wie ISO 2700x, Open Source Security Testing Methodology (OSSTMM), OWASP Testing Guide, Web Application Attack and Audit Framework (W3AF), BSI WebApp-Sicherheitsbaustein (basiert auf/integriert ÖNORM A 7700), PCI DSS (Kartenterminals, Smartcards, Bezahlsysteme) und deren Umsetzung in Form von Sicherheits- und (Penetration-)Test-Konzeptionen

Projektziel:

Erstellung einer neuen Architektur für ein flexibles Versions- und Änderungsmanagement. Konzeption und teilweise Umsetzung diverser Erweiterungen eines Eclipse-RCP- und LibreOffice-basierten Dokumenten- und Text-Baustein-Verwaltungssystems.

Aufgaben Fachlich:

Konzeption einer neuen zentralen Business-Logik- und Entity-Klassen-Schicht zum flexibleren Management von Änderungen, Versionen, Baselines, Releases sowie entsprechender Migrationsstrategien. Verbesserung der IT-Sicherheit sowie konzeptionelle Umsetzung diverser Change Requests.

Hintergrund: Die BG Phoenics ist zentraler IT-Dienstleister der Dt. Berufsgenossenschaften und deren 100%ige Tochter. Die weiterentwickelte Software dient hauptsächlich der komfortablen graphischen Verwaltung von juristisch korrekt formulierten Textbausteinen, die dann über viele Hierarchie- und Wiederverwendungsebenen zu Musterbriefen zusammengebaut werden. So wird sichergestellt, dass Sachbearbeiter keine großen Schulungen und juristische Kompetenzen benötigen, um dennoch rechtssichere Briefe ohne nennenswerte nachgelagerte Prüf- oder Korrekturaufwände erstellen zu können. Da es häufig um sechsstellige Summen im Zusammenhang mit Betriebsunfällen und Berufsunfähigkeit geht, was später nicht selten vor Gericht verhandelt wird, ist entsprechende Rechtssicherheit bei geringen Verwaltungskosten sehr wichtig.

Technisch:

• Konzeption der Architektur mit dem MID Innovator 2012, LibreOffice Designer sowie bouml - Architekturbeschreibung mit MS Word bzw. LibreOffice.
• Umsetzung eines Proof-of-Concept (POC) zur Umstellung der Office-Integration von OpenOffice 3.1 mit NOA-Library (Nice Office Access) auf LibreOffice 4.1 mit UNO-Library (Unified Network Objects, eine CORBA-ähnliche Library mit IDL-Syntax). OpenOffice bzw. später LibreOffice waren auch die Editoren des Dokumenten- und Text-Baustein-Verwaltungssystems.
• Umstellung vom ins Produkt integrierten alten OpenOffice 3.1 auf LibreOffice 4.1 entsprechend des POC.
• Automatisiertes Erzeugen von Logging- und Trace-Statements mittels eines selbstentwickelten Tools.
• Verbesserung der IT-Sicherheit, der Speicherungs-, Archivierungs- und Migrationsmechanismen sowie der Erkennung von Inkonsistenzen und Verbesserung der Usability.

Projektziel:

Integrations-Architektur zur Ablösung von 90% der IT-Systeme durch ein modernes Fall-Management-System mit DMS zur Bearbeitung der Patentanträge.

Aufgaben Fachlich:

Konzeption von Migrationsstrategien zur Einführung eines neuen Fall-Management-Systems (Case Management System) für den Patent-Lebenszyklus, Analyse der Vor- und Nachteile schwer- und leichtgewichtiger Java Enterprise Architekturen (SOA/ESB und REST) und Definition von Standards, Tools/Komponenten und Methodiken zur Ausgestaltung der Nutzung dieser Technologien. Konzeption einer Zwischenschicht (Mediation Layer) zur Entkopplung der Legacy-Systeme gegenüber dem Case Management System und zur Durchführung der Migration von 90% der Legacy-System-Funktionalität hin zu Komponenten im Case Management System.

Technisch:

•  Aufnahme von Anforderungen (Requirements Engineering) und darauf basierend Evaluation von Technologie-Alternativen, insbesondere REST vs. SOA/ESB (MuleSoft, OpenESB/Java CAPS, Apache ServiceMix), API Management Systeme (Apigrove, Vordel, Layer7, Apigee), Java Libraries (Spring REST, RESTlet, RESTEasy, Jettison, Apache CXF).
• Erstellung eines RESTful Coding Styleguides mit Schwerpunkt auf Spring REST und JBoss RESTEasy.
• Erstellung einer SOA-Strategie (basierend auf TOGAF), einer REST-Strategie, von Konzepten & Design Guidelines für den Mediation Layer, einer Enterprise-SOA-Architektur und Migrationskonzeption.
• Basierend auf einer selbst erstellten Typologie der bestehenden Systeme, Konzeption einer Master-Architektur und einer Migrationsstrategie je Typus mit Wrapper-/Konvertierungskomponenten mittels JET (Java emitter templates) erweitert durch einen JavaCC-Parser und Talend OpenStudio.
• Big Data Architekturkonzept (Hadoop) mit Proof-of-Concept Implementierung): Hypertable, HBase, Cassandra, Redis, Voldemort, Accumulo, HCatalog, Hive mit Shark /Stinger, Cloudera Impala/Drill, Sqoop2, HDFS, Pig, Oozie, Cascading mit Multitool, Giraph, Zookeeper, BookKeeper, Nagios, Flume, Kafka, Sawzall, Hue, RabbitMQ, Elephant Bird, Ganglia, Spark/Spark Streaming, GraphX, MLlib, Mahout, Kafka, Ambari/Ganglia, Whirr, Mesos.
• Aufwandsschätzung nach COCOMO2.
• Konzeption eines Code Analyse (Parsing) und Code Generierungs-Ansatzes zum Einlesen bestehender Java und COBOL Interfaces und zur Generierung von Java RESTful/SOA Web Services bzw. von Facaden daraus. Konzept zur graphischen Erstellung/Generierung von Adapter-Klassen über die Modellierung mit TalenD Open Studio. Integration von Facade und Adapter-Klassen in Wrapper-Libraries und Nutzung zur Entkopplung, Datenanalyse (Flüsse, Formate) und Systemmigration.
• Konzeption der verlustfreien XML <-> JSON Konvertierung und Integration in JEE-Apps über Annotations mit selbstentwickeltem Order-Maintaining Badgerfish-Algorithmus.
• Konzeption von REST HATEOAS (Hypermedia as the Engine of Application State) über standardisierte Content Rel(ations) sowie das Atom Publishing Format.
• Erstellung eines Versioning-Konzeptes mit maximaler Robustheit gegen Änderungen in APIs: Neue Annotationen wie @LastSemanticChangeInVersion und @Since konzipiert und integriert in Maven Dependency Checking für nur inhaltliche/semantische (und sonst nicht erkennbare Änderungen) und offensichtliche Änderungen, deren Einführungsversion festgehalten wird. Verwendung von XPath und JSON-Path-basierten automatisierten Marshallern mit Spring 3.x zur Zuweisung von REST-Input-Parametern an Java-Methoden-Parameter.
• Sicherheits- und Verfügbarkeits-Konzeption, IT-Security mit OAuth 1.0a/2.0 (alternativ teilweise SAML 2.0) sowie SPNEGO/Kerberos als bestehendem Mechanismus, Content Security, Logging/Tracing/Monitoring, Governance, Code Injection Checking Library mit BeanValidation Interface, ESAPI, Antisamy, CSRFGuard, AppSensor und Embedded SQL (ESQL).
• Erstellen eines Logging/Monitoring/Tracing-Konzeptes basierend auf einem zweigleisigen Mechanismus über Java Instrumentation oder alternativ Code Generierung, die die bedarfsorientierte effiziente DB-/Text-Ausgabe, Analyse und visuelle Darstellung (Sequenz-Diagramme) aller Parameter aller Methoden mit allen ihren Embedded Types ermöglicht. In Kombination mit obigen Sicherheitstools sind so auch alle Teile eines übergeordneten verteilten Code Injection Angriffs erkennbar, auch wenn gegen einen einzelnen RESTful Service nur Fragmente eines Angriffs eingesetzt werden. Weiterhin lassen sich so Root Causes (ursprüngliche Ursachen) von Fehlern automatisiert erkennen und missbräuchliche Nutzungen (z.B. Massen-Download von verteilten IP-Adressbereichen) erkennen. Nutzung der Tools Nagios, splunk und HP ArcSight.
• Identifikation und Vorschlagen von Komponenten/Techniken zur Umsetzung von Anforderungen an RESTful Systeme, die wegen der REST-Einschränkungen nicht direkt umsetzbar sind: Transaktionen, asynchrones/Event-basiertes Messaging, Routing, komplexe Content Transformationen, Format/Content/Protocol Mediation, gleiche und detaillierte Fehler-Behandlung, Unterstützung von Nicht-HTTP-Protokollen, Auditing/Monitoring/Logging/Tracing/Analytics, sicheres Schlüssel-/Token Management & Verteilung, komplexe per Regeln beschriebene Prozesse mit asynchronem Fremd-Input, komplette Testbarkeit mit Time-Travelling, Standard Kommunikations-Patterns (wie fire-and-forget, publish-subscribe,...), Batch Jobs / Scheduled Tasks mit Ausführungs-Kontrolle, ReliableMessaging.
• Konzeption/Review/Beratung zu den neues GUIs der Systeme auf Basis von JSF und/oder HTML5: jQuery, Node.js, npm, Backbone.js, Underscore.js, d3.js (Data-Driven Documents), angularJS, Mustache, TypeScript, CSS3.
• DS-Ansatz: Schwarze Listen, Anschrift und Bankdaten-Ähnlichkeitsvergleich mit Scoring-Dienstleistungen, Anomalieerkennung, Zeitreihenanalyse aller Zahlungsströme mit Anomalieerkennung und Schwellwerten (Thresholds), Modellierung typischer Zahlungs- / und Teilauszahlungs-Regelungen mit Ausreißererkennung, Austausch verdächtiger und von Blacklist-Datensätzen/-Personen mit anderen Versicherungen und Behörden.

Projektziel:

Spezifikation der IT-Landschaft für Arzt-Praxen, Krankenhäuser und zentrale Telematik-Infrastruktur (TI) für die elektronische Gesundheitskarte (eGK) mit Schwerpunkt auf IT-Sicherheit.

Aufgaben Fachlich:

• Konzeption der Konnektor-Funktionalität auf Anwendungs-Ebene: Verschlüsseln, Signieren, Hashen, Verifizieren für die Datenformate binär, PDF/A, XML, S/MIME, Text unter Anbindung von Kartenterminals, Smartcards.
• Zuarbeit bzgl. Sicherheit zur Konnektor-Funktionalität auf Netzwerk-Ebene.
• Konzeption der IT-Sicherheit (Gefährdungen/Gegenmaßnahmen) und Sicherheits-Test-Konzeption, Vorbereitung der Zertifizierung nach BSI Grundschutz mit dem BSI.

Technisch:

• Aus-Spezifikation der Nutz- und Kontroll-Datenflüsse und Datenformate bis ins letzte Bit für alle denkbaren Krypto-Operationen: Verschlüsseln, Signieren, Hashen, Verifizieren, Anbindung an PKI unter Nutzung der existierenden Standards: PKCS#7, CMS, XaDES, XML-DSig, S/MIME, PC/SC, PDF-Crypt, PDF-Sign, Signaturgesetz (SigG) und Signaturverordnung (SigV), GnuPG/GPG.
• Sicherheits-Konzeption nach Common Criteria/BSI Grundschutz nach Bedrohungsszenarien/Bedrohungskatalogen und deren Gegenmaßnahmen/ Sicherheits-Richtlinien auf Applikations-Ebene (Informationssicherheits-Management-Systeme (ISMS), AntiVirus, AntiSpam, Content Verification mit Internet Connection Adaptation Protocol (ICAP) XML-Security (XSpRES), Canonical XML) und Netzwerk-Ebene (diverse Netzwerkprotokolle, Firewall-/VPN-Technologien, IDS/IPS/WAF Systeme und Virtualisierung, WLAN- und Mobile-Sicherheit). Nutzung von PKI mit X.509 und LDAP/Active Directory sowie Identity and Access Management (IAM).
• Sicherheits-Konzeption unter Berücksichtigung von Sicherheits-Standards wie ISO 2700x, Open Source Security Testing Methodology (OSSTMM), OWASP Testing Guide, Web Application Attack and Audit Framework (W3AF), BSI WebApp-Sicherheitsbaustein (basiert auf/integriert ÖNORM A 7700), PCI DSS (Kartenterminals, Smartcards, Bezahlsysteme) und deren Umsetzung in Form von Sicherheits- und (Penetration-)Test-Konzeptionen.
• Pen-Test- und Acceptance-Test-Konzeption basierend auf Security Scannern & Tools: MetaSploit, Burp Suite, NeXpose, Nessus, Nmap, Acunetix-Websecurity Scanner, PeakflowX von Arbor, NTOSpider, NTODefend (DAST Tools), Skipfish, Fuzzing Tools, Burp Nessus, SoapUI (für WebServices), Core Impact, Google Skipfish, OWASP WebScarab, JBroFuzz, Zed Attack Proxy (ZAP), Scrubbr, SQLiX, Paros Proxy, IronWASP, W3AF, Syhunt Mini, N-Stalker, Watobo, VEGA, Netsparker, Andiparos, ProxyStrike, Wapiti, Grendel Scan, arachni, WebCruiser, JSky, jScan, ProxyStrike, PowerFuzzer, Sandcat, Ammonite, safe3wvs, WebGoat (unsich. App), Fiddler, ModSecurity.

Projektziel Erstellung einer Sicherheitsarchitektur für das Projekt PostPaket 2012, Schwerpunkt Handscanner-Integration (HASCI) vom Zusteller beim Kunden bis hin zur Backend-IT, Umsystemen und der Paket-Verfolgung mit Microsoft-Technologien. Aufgaben Fachlich: Erstellen von sicherheits-relevanten Vorschlägen für die Architektur des Systems sowie Erstellung des Sicherheitskonzeptes unter Berücksichtigung zahlreicher Konzern- und Sicherheitsstandards. Durchführen von Sicherheits-Workshops und Beantwortung von sicherheitsrelevanten Fragen für alle Ansprechpartner im Projekt. Technisch: 1. Applikations- und Netzwerkarchitektur mit Windows Servern, Biztalk, Windows Mobile/Windows Phone sowie .NET Messaging Anwendungen (MSMQ) sowie der Web Frontends mit Microsoft Ajax, jQuery, RESTful WebServices mit Backbone.js. 2. Sicherheits-Konzeption nach Common Criteria/BSI Grundschutz nach Bedrohungszenarien/Bedrohungskatalogen und deren Gegenmaßnahmen/ Sicherheits-Richtlinien auf Applikations-Ebene (Informationssicherheits-Management-Systeme (ISMS), AntiVirus, AntiSpam, Content Verification mit Internet Connection Adaptation Protocol (ICAP) XML-Security (XSpRES), Canonical XML) und Netzwerk-Ebene (diverse Netzwerkprotokolle, Firewall-/VPN-Technologien, IDS/IPS/WAF Systeme und Virtualisierung, WLAN- und Mobile-Sicherheit). Nutzung von PKI mit X.509 und LDAP/Active Directory sowie Identity and Access Management (IAM), Attack-Tree-Erstellung und darauf aufbauende Analysen, Schutzbedarfsanalysen, End-to-End-Systemübersicht, Sicherheitskonzept und Analyse. Aufstellung von Assets, Vulnerabilities, Attacks, Threats, Mitigations, Policies nach Common Criteria/BSI GS und Ermittlung verbleibender Schwachpunkte sowie deren Ranking nach Wahrscheinlichkeiten/Erwartungswerten. Security-Maßnahmen auf Ebene von Architektur und Entwicklung, z.B. umfangreiche Daten(fluss)-Validierungen, Ergreifen der Gegenmaßnahmen mit dem besten Kosten-Nutzen-Verhältnis gegen die 250 wichtigsten Angriffstypen nach den 10 wichtigsten Security-Portalen wie OWASP.org, WebAppSec.org, cwe.mitre.org, etc. Für jeden der 250 wichtigsten Angriffe Sammeln/Konzipieren der Gegenmaßnahmen mit allen Details. Bewertung jedes Szenarios nach den oben genannten Kategorien. Dann wurden die Gegenmaßnahmen unter Berücksichtigung der möglichen Gefahr (d.h. des Erwartungswertes der Verluste) und einer Kosten-Nutzen-Analyse der einzelnen Gegenmaßnahmen priorisiert. Nach der endgültigen Entscheidung über die Maßnahmen, wurde das Restrisiko berechnet. Gegenmaßnahmen gegen neue Bedrohungen wurden in ähnlicher Weise neu bewertet und verwaltet. 3. Pen-Test- und Acceptance-Test-Konzeption basierend auf Security Scannern & Tools: MetaSploit, Burp Suite, NeXpose, Nessus, Nmap, Acunetix-Websecurity Scanner, PeakflowX von Arbor, NTOSpider, NTODefend (DAST Tools), Skipfish, Fuzzing Tools, Burp Nessus, SoapUI (für WebServices), Core Impact,, Google Skipfish, OWASP WebScarab, JBroFuzz, Zed Attack Proxy (ZAP), Scrubbr, SQLiX, Paros Proxy, IronWASP, W3AF, Syhunt Mini, N-Stalker, Watobo, VEGA, Netsparker, Andiparos, ProxyStrike, Wapiti, Grendel Scan, arachni, WebCruiser, JSky, jScan, ProxyStrike, PowerFuzzer, Sandcat, Ammonite, safe3wvs, WebGoat (unsich. App), Fiddler, ModSecurity. 4. Berücksichtigung von Sicherheits-Standards wie ISO 2700x, Open Source Security Testing Methodology (OSSTMM), OWASP Testing Guide, Web Application Attack and Audit Framework (W3AF), BSI WebApp-Sicherheitsbaustein (basiert auf/integriert ÖNORM A 7700), PCI DSS (Kartenterminals, Smartcards, Bezahlsysteme) und deren Umsetzung in Form von Sicherheits- und (Penetration-)Test-Konzeptionen.

Projektziel Modernisierung der Unternehmens-IT, Integration der verschiedenen IT-Welten aus der Zeit vor der Fusion, die Umsetzung gesetzlich geforderter Änderungen Aufgaben 1. Hauptaufgaben: Enterprise-/System-Architect/Solution Designer für Verbesserungen und neue Lösungen, z. B. das Schreiben von Architekturen für Ausschreibungen/Lieferanten-Vorgaben (Outline Solution Design, OSD), die bei Lieferanten verfeinert werden. Wo möglich, war die Implementierung der Arbeitspakete Offshore ausgelagert mit entsprechendem Lieferantenmanagement durch mich. Ein angepasster PRINCE2-Standard wurde für das Projektmanagement eingesetzt. 2. Dokumentation der bestehenden Enterprise-Architektur per UML und anschaulicher Beschreibungen. Konzeption eines eTOM-Modells (electronic Target Operating Model) unter Berücksichtigung von TOGAF. Erstellung und Erweiterung von Datenmodellen mit Sparx Enterprise Architect. Integra-tion/Anpassung von SOX-und GxP-konformen Prozessmodellierungen mit BizAgi. Erarbeitung eines Corporate Dokumenten-Management-Prozesses und eines Architektur-Nutzungs- und Architektur-Update-Prozesses. Recherche und Dokumentation von Anforderungen in Bezug auf die IT-Systeme von Banken und Versicherungen, z. B. von MA Risk-VA, SOX (Sarbanes Oxley), GxP. Auf dieser Grundlage Erstellung von Vorschläge für die LBG-Architektur. Evaluation / Review von Architekturen sowie von Vorschlägen von Lieferanten. 3. Business Prozess-Analyse und Prozess-Optimierung mit dem Ziel der Kostenersparnis: Alle Systeme (HW/SW), Kontroll- und Datenflüsse, die relevant für geplante Änderungen waren, wurden auch auf Optimierungspotential betrachtet und Optimierungen konzipiert, z.B. anhand der "IT Cost Saving" Checklisten der Universitäten Cornell und Princeton. Häufige Maßnahmen: Virtualisierung oder Ablösung von Systemen, Vereinheitlichungen (HW/SW), Verfolgen des Flusses der Papier-Dokumente und deren Automatisierung z.B. durch DMS/Collaborative Editing/Workflow Management, Streamlining von Prozessen durch Automatisieren/Vereinfachen von Prozessketten oder die Delegation höherer Entscheidungskompetenz an Mitarbeiter. Technisch konnte dies z.B. häufig über den Einsatz von Echtzeit-Messaging (statt Batch-Jobs), Automatisierung, Konverter-Tools/Checker-Tools, De-Scoping sowie Offshoring stattfinden. 4. Erstellung eines Business Continuity Management (BCM) und Disaster Recovery Management (DRM) Konzeptes für den Desaster-Fall: Konzeption von Redundanz-Mechanismen mit Abhängigkeitsdiagrammen und einen physischen Disaster Recovery-Standort, also mit insgesamt 2 Standorten, mehreren Clustern, Failover-Mechanismen, VPNs, Zoning-Konzept (Access / Service / Backend / Admin-Zonen), WAF (Web Application Firewalls), IPS (Intrusion Prevention Systeme), selektive Fehlererkennung und Recovery-Mechanismen. 5. Konzeption / Transition-Management für ein Corporate eLearning-System basierend auf ILIAS 4.1.5 bzw. dem SCORM-2004-Format, Sicherheits-Bewertung von ILIAS und Argumentation der Sicherheit bzgl. der Konzern-IT. 6. Konzeption von / Transition-Management für ein firmeneigenes Intranet auf Basis von SharePoint 2010 Enterprise Edition. Verwenden von SharePoint, Integration von Mitarbeiter-/Gruppen-Suche, Newsletter, Interner Marktplatz, geschützter Bereich für Manager, Buchung von Geschäftsreisen, Taxis, etc. Extraktion von Daten aus dem alten Intranet und Beratung bei der Konvertierung in die SharePoint-Formate. 7. Konzeption des "Annual Statements Projekts" (jährliche Auskunft über das Versicherungskonto), das eine aktualisierte Version des Kunden-Reportings in Bezug auf die Werte ihrer Verträge, die Performance ihrer Fonds, die zu erwartenden Leistungen, etc. liefert. 8. Konzeption und grundlegende Umsetzung einer Quellcode-Analyse-Lösung mit spezieller Unterstützung für die Analyse von SQL / DDL, Perl, Java, C # und Cold Fusion Quelltexten zu UML-Klassen-und UML-Sequenzdiagrammen (als Teil der Gesamt-Architektur-Dokumentation). 9. Konzeption des Kommissions-Projektes, um die Provisionen für unabhängige Makler zu berechnen in einer neuen und optimierten Art und Weise mit SAP-CD (collection/disbursement), Oracle GL (Hauptbuch), Life/400 und COR & FJA LF3/LF4 sowie einem Partner-Management-System. 10. Konzeption eines SAP-Upgrade-Projekts und Diskussion / Ausarbeitung mit ConVista (SAP Beratungsfirma) von 4.6 auf 6.0.4 bezüglich hauptsächlich FI/CO, CD mit SEPA und Riester-Rente Anpassungen. 11. Konzeption des SEPA/EBICS/ISO20022 Zahlungs-Projektes, um die neuen XML-basierten Zahlungen in 27 europäischen Ländern zu unterstützen mit IBAN / BIC bzgl. SDD (SEPA-Lastschriften; Direct Debit), SCT (SEPA Credit Transfer), EBICS (CCC, CCT, CDD, CDB), ETEBAC (Frankreich), DTA als grundlegende Format und erweitert um IBANs (Schweiz), MT940, CSV-, R-Transaktionen (Rückruf, Rücküberweisung, Absagen, Erstattungen, Ablehnungen, Retouren / revocations, reversals, rejections, refunds, refusals, returns) Management, die Fehlerbehandlung und Mandats-Management (Nachfolger Einzugsermächtigungen). Voraussetzung war der SAP-Releasewechsel und die Integration mit Oracle-GL (General Ledger, Hauptbuch), Life/400 und COR & FJA LF3/LF4/ZUL/TaxConnect. 12. Konzeption + Umsetzung aktualisierter/erweiterter Berechnungen in SQL unter Einbeziehung von Änderungen/Anpassungen und Interpretationen bzgl. der österreichischen Versicherungssteuer für die Systeme Life/400 und die Tarifberechnungs-Engine (Rechen-Kern + BIPRO Web-Services / Web-Frontend). Besondere Herausforderungen waren eine kurze gesetzliche Zeitspanne für viele Steuer-Varianten und steuerlichen Modelle für verschiedene flexible Versicherungsbedingungen, vielleicht die Flexibelsten Bedingungen auf dem österreichischen Markt (z. B. hinsichtlich der Aussetzung von Zahlungen, Zuzahlungen, Entnahmen und anderer Vertragsänderungen). 13. Architektur eines DMS-Addons für die konsistente Konsolidierung verschiedener Dokumente und Versionen unter Nutzung von Liferay als Portal-System sowie von Etherpad / TinyMCE als Rich-Text-Editoren. Das Addon erlaubt links das Laden/Erstellen/Bearbeiten/Speichern einer inhaltlichen Struktur für das Zieldokument sowie die Darstellung der Quelldokumente mit ihrer Struktur. Durch Anklicken wird jeweils das entsprechende Kapitel im Rich-Text-Editor angezeigt. Satz-, Absatz- oder Abschnitts-weise können Inhalte per Drag & Drop in die Ziel-Dokument-Struktur abgebildet werden. Bereits vorhandene Passagen werden farblich markiert zur Erkennung von Doppelungen oder Unterschieden zwischen Versionen. Auch das direkte Editieren der Passagen im Zieldokument ist möglich. So konnten hunderte Entwicklungs-Dokumente aus verschiedenen Teams bzw. von älteren Ständen schnell und kostengünstig integriert werden. 14. Konzeption einer SIP-/VoIP-Callcenter-Integration mit Asterisk / Sipgate und einer Homeoffice-Integration mit DD-WRT/OpenWRT und Asterisk. Konzeption / Programmierung gegen eine TAPI-Schnittstelle in C++ / C # unter Verwendung von SIP TAPI / AstTapi. Evaluierung von Yate, Asterisk, Sipek2, Twinkle, Starface, Si-phon, PJSIP, JSIP, Jain, SIP.NET, Konnectic SIP. Umsetzung der RFCs 3261, 3265, 3515, 3665, 3725, 3853, 4235, 4320, 4916 direkt oder durch Nutzung von Bibliotheken z. B. für TAPI. Telefonate können vom PC/Laptop aus gestartet werden und werden kostengünstig über SIP abgewickelt und direkt im web-basierten CRM-System zugeordnet, auch wenn sie direkt über das Telefon gestartet wurden oder es sich um eingehende Anrufe handelt. So werden 100% der Kundenkontakte erfasst. 15. Konzeption / Erstellung eines Prototyps zur interaktiven Eingabe von Zahlungen in Online-Banking-Schnittstellen (im Konzept ähnlich sofortueberweisung.de) zum Einrichten von klassischen oder SEPA-Zahlungen für einen Vertrag für die einfache und interaktive Auflösung von R-Transaktionen. Dies war Teil der schlanken Prozess-Management-Initiative. Die JEE / Grails App verwendet HBCI4Java, Web Mining/Scraping und Groovy / Grails mit jQuery, YUI, Hibernate, Captcha, Spring Security. 16. Co-Konzeption des italienischen Anti-Money-Laundering (AML) und Betrugserkennungs-Projektes mit NameSafe, KYC (Know Your Customer), WinTar und Listen von PEPs (politisch exponierten Personen), Blacklists und maßgeschneiderten Regel¬sätzen. Analyse in Bezug auf Zahler, Begünstigte, Anschriften, Organisationen, Zeitintervalle z.B. der zusätzlich gezahlten Prämien und zu zahlender Beträge; Datenaustausch über problematische oder betrugs-verdächtige Kunden mit anderen (Lebens-)Versicherungen. DS-Ansatz: Schwarze Listen, Anschrift und Bankdaten-Ähnlichkeitsvergleich mit Scoring-Dienstleistungen, Anomalieerkennung, Zeitreihenanalyse aller Zahlungsströme mit Anomalieerkennung und Schwellwerten (Thresholds), Modellierung typischer Zahlungs- / und Teilauszahlungs-Regelungen mit Ausreißererkennung, Austausch verdächtiger und von Blacklist-Datensätzen/-Personen mit anderen Versicherungen und Behörden. 17. Beurteilung / Co-Konzeption / Erweiterung für eine Dynamic Hybrid Versicherungs-Vertrags-Line für alle drei Stufen (Basisrente / Rürup, Riester-Rente, private Rentenversicherung). Dies bedeutet, dass Garantien für Mindestleistungen bzw. des Grades des Erhalts der Kunden-Einlage gegeben werden, aber zusätzlich eine wesentliche Beteiligung an steigenden Aktienkursen vereinbart wird: Sicherheit für investiertes Geld kombiniert mit der Teilnahme an steigenden Börsentrends (bessere Leistung). 18. Als Testmanager/Projektmanager (PRINCE2) Erstellung eines konzernweiten Last- und Performance-Testing-Konzeptes: Lieferanten-Management, Evaluation der Produkte/Tools: Linux Test Project (LTP) für OS Load Testing; JMeter, The Grinder, HP Quick Test Professional/HP Quality Center für (Web-)Anwendungs-Last-Testen; DBMonster für Datenbank-Last-Tests; Spezial-Test-Programmen/Plugins für LDAP- E-Mail-, SSL-/JDBC-/ODBC-/FTP-/Security-Testing. Evaluation der weiteren Tools MS Visual Studio Test Professional/Visual Studio Test Manager, Perl Testing Modules (Test-Harness, Test-DBIx, Test-C2FIT, Test::FIT), Fitnesse, Test Code-Generierungs-Tools. Erstellung und Halten von Präsentationen zu den Best Practices, Prinzipien, Herausforderungen und Lösungen im Last-/ Performance-Testing. DS-Ansatz: Schwarze Listen, Anschrift und Bankdaten-Ähnlichkeitsvergleich mit Scoring-Dienstleistungen, Anomalieerkennung, Zeitreihenanalyse aller Zahlungsströme mit Anomalieerkennung und Schwellwerten (Thresholds), Modellierung typischer Zahlungs- / und Teilauszahlungs-Regelungen mit Ausreißererkennung, Austausch verdächtiger und von Blacklist-Datensätzen/-Personen mit anderen Versicherungen und Behörden.

Projektziel: Konzeption, Abschätzung der Machbarkeiten und Zusammenhänge, Realisierung, Test; Delivery und Zertifizierung eines E-Mail- und Dokumenten-Speicherungs-Systems nach De-Mail-Gesetzesvorlage & Security-Vorgaben von der Behörde BSI. Hierdurch erlangen De-Mails gleiche Beweiskraft wie eingeschriebene Briefe und können für die verbindliche Behördenkommunikation verwendet werden. Aufgaben 1. Hauptaufgaben: Software-/System-Architekt: Netzwerkstruktur (Zonenkonzept: Access-, Service- und Backend-Bereiche, Admin-LAN), Security, Storage, Datenbanken, VPN, Konnektoren, Gateways, Application Server, Services, Applikationen, Frontends, Krypto-Konzept (Schlüssel-Lebenszyklus, Algorithmen, Zertifikatsprofile, OTP, Secure Tokens, Smartcards); Host-/Network-based Intrusion Detection Systems (HIDS/NIDS) mit Active Bypass Units (ABPU), Nutzer- und Rechte-Konzepte, Prozessentwurf/Prozessdesign, Prozessimplementierungen bzgl. Krypto-Material, Disaster Recovery, Compliance (mit gesetzlichen und Security-Auflagen), Anbindung Elektronischer Personalausweis (ePA/nPA), IAM/IdM mit NetIQ Access & Identity Manager, Zuarbeit Projektmanagement: Schnüren von Arbeitspaketen, Zeit- und Kostenschätzungen; Technologie der Web-Applikationen: GWT, ExtGWT/GXT/Vaadin RIA frameworks, HTML5 (canvas, SVG, etc.), BST media player (video support), GWT graphics, Gwtrpc-spring, Spring (lightweight IOC container), GWTEventService, Hibernate (ORM), Envers (Auditing), Lucene (fulltext search), Apache CXF (webservices), EhCache, Dozer (object mapping), JasperReport (reporting), Jasypt (encryption), JBoss Drools (workflow and rules engine), Atomikos Transaction Essentials (JTA manager), Apache Tomcat. 2. Erstellung eines Big-Data / Clustering-Architektur-Konzeptes mit günstiger Standard-Hardware nach Vorbild von Google und LinkedIn (Search, Network, Analytics SNA): Hadoop, Google File System (GFS), Google Distributed Systems, verteilte Datenbanken Voldemort und Sensei; wesentliche Algorithmen & Datenstrukturen: HBase, Cassandra, Redis, HCatalog, Hive, Shark /Stinger, Impala, Drill, Sqoop, HDFS, Apache Solr, Pig, Oozie, Zookeeper, Nagios, Kafka, Hue, RabbitMQ, Protobuf, Ganglia, Kafka, Ambari/Ganglia, Mesos, Map-Reduce, Compression, Encryption. Proof-of-Concept-Umsetzung mit Anderen auf einigen PCs. Das Konzept wurde letztlich nur deshalb abgelehnt, weil in diesem Bereich nicht genügend Kompetenz im Konzern bzw. Einarbeitungszeit/-Budget vorhanden war. Ab 2014 wurde es dann umgesetzt. 3. SW- und GUI-Architektur bzw. Review der Architektur-Dokumente, darunter ein Schwerpunkt im Java-Backend-Bereich sowie im Vaadin-/JavaScript-Frontend-Bereich mit den Libraries Node.js, npm, Backbone.js, Underscore.js, d3.js (Data-Driven Documents), angularJS mit Jake-Builds. 4. Projekt-Management (Scrum): Abstimmung der Lösungsideen und Vorgehensweisen als Architekt im Core-Team mit ca. 20 anderen Teams innerhalb der Telekom sowie von Software- und Hardware-Lieferanten, insgesamt ca. 300 Mitarbeiter umfassend. Organisation von Meetings, Telkos, Präsentation und Abstimmung von Lösungen, Führen von Diskussionen bei diversen Zielkonflikten zu Lösungen: am schnellsten umzusetzende, am schnellsten laufende, sicherste, am leichtesten zu zertifizierende, preisgünstigste, kompatibelste, risikoarmste, aus renommiertesten Komponenten bestehende, mit bestem Support versehene. Umgehen mit hohem Arbeits- und Zeitdruck unter Erzeugung möglichst weniger Desillusionierungen, Verlusten an Produktivität und mit minimaler Notwendigkeit bereits erarbeitete Teilergebnisse verwerfen zu müssen. 5. Transition Management Entwicklung -> Betrieb: Konzipieren/Mitumsetzen der Entwicklungs-, Test- und Produktivumgebungen nach TSI-Standards (z.B. Hitnet, Blade, eTOM (Enhanced Telecom Operations Map), TOGAF, GDM (Group Domain Model)?) sowie mit neuen Komponenten als zukünftige Betriebsstandards; Prozessoptimierung, Begleitung Testmanagement, Changemanagement, Releasemanagement. 6. Erstellung von Security-Zertifizierungs-Unterlagen nach BSI-Grundschutz/ Common Criteria, z.B. Attack-Tree-Erstellung und darauf aufbauende Analysen, Schutzbedarfsanalysen, End-to-End-Systemübersicht, Sicherheitskonzept und Analyse. Aufstellung von Assets, Vulnerabilities, Attacks, Threats, Mitigations, Policies nach Common Criteria und Ermittlung verbleibender Schwachpunkte sowie deren Ranking nach Wahrscheinlichkeiten/Erwartungswerten. Security-Maßnahmen auf Ebene von Architektur und Entwicklung, z.B. umfangreiche Daten(fluss)-Validierungen, Ergreifen der Gegenmaßnahmen mit dem besten Kosten-Nutzen-Verhältnis gegen die 250 wichtigsten Angriffstypen nach den 10 wichtigsten Security-Portalen wie OWASP.org, WebAppSec.org, cwe.mitre.org, etc. Für jeden der 250 wichtigsten Angriffe Sammeln/Konzipieren der Gegenmaßnahmen mit allen Details. Bewertung jedes Szenarios nach den oben genannten Kategorien. Dann wurden die Gegenmaßnahmen unter Berücksichtigung der möglichen Gefahr (d.h. des Erwartungswertes der Verluste) und einer Kosten-Nutzen-Analyse der einzelnen Gegenmaßnahmen priorisiert. Nach der endgültigen Entscheidung über die Maßnahmen, wurde das Restrisiko berechnet. Gegenmaßnahmen gegen neue Bedrohungen wurden in ähnlicher Weise neu bewertet und verwaltet. 7. Erstellen eines Sicherheitskonzeptes für Web-Frontends allgemein nach dem Baukastenprinzip basierend auf den wesentlichen Frontend-Komponenten: WebApp allgemein, JavaApp, GWT-App, JavaScript-/AJAX-App. Das konkrete Sicherheitskonzept umfasste insgesamt das Vaadin-GWT-basierende Frontend (mit den JS-Libraries: Node.js, npm, Backbone.js, Underscore.js, d3.js (Data-Driven Documents), angularJS mit Jake-Builds) sowie die Backend-Anbindung, das alle sinnvollen detaillierten Vorgaben/Bewertungen auf Management- und Technik-Ebene in separaten Excel-Eingabefeldern berücksichtigt. Nach abschließender Entscheidung über die Maßnahmen kann das verbleibende Restrisiko berechnet werden und die guten Ergebnisse für das Marketing der Lösung verwendet werden. Nach Umsetzung/Implementierung der Gegenmaßnahmen kann im Zuge von Qualitäts- und Penetration-Tests ein Re-Assessment durchgeführt werden und Verbesserungsmaßnahmen und Gegenmaßnahmen gegen neue Bedrohungen wieder gleich exakt bewertet und gemanagt werden. 8. Konzeption/Überwachung der Implementierungen der identifizierten Gegenmaßnahmen im Rahmen eines Sicherheitskonzeptes nach Common Criteria (CC). Anspruch, des De-Mail-Systems ist, das sicherste IT-System in Deutschland zu sein, denn bei einer Kompromittierung würde damit auch das vom Grundgesetz geschützte Postgeheimnis verletzt. Schließlich werden auch besonders brisante Inhalte wie Steuer- und Strafbescheide, Krankenberichte, etc. über De-Mail zugestellt werden. Die Zertifizierung erfolgt nach den höchsten BSI-Standards in breitest-möglicher Auslegung, wie dies wohl noch nie für ein solch großes System geschah. Eine besondere Tätigkeit war die Analyse erfolgreicher Hacks, wobei insbesondere die Analyse/die Hintergrundrecherche des Diginotar-Hacks (Niederlande) zeigte, dass der Abgleich unter den HSMs per SSL unzureichend bzgl. Session-Refresh-Angriffen gesichert war. 9. Erstellung von (Schulungs-)Unterlagen für den Betrieb; Kompetenztransfer. 10. Konzeption und Implementierung einer Validierungslibrary für Client- und Server-basierte Validierung sowie anschließendes Testmanagement; clientseitig mit Unterstützung für GWT (GXT+Vaadin) sowie in einem Modus nur mit JavaScript (Programmierung einer Validierungskomponente in JavaScript) bzw. mit GWT-JavaScript-Anbindung via JSNI aus Performance-Gründen, weil GWT die JavaScript-RegularExpressions nicht direkt unterstützt. Serverseitig in Java implementiert und GWT-konform gehalten. Ergänzung um Check-Funktionen in Scala sowie ScalaCheck. Einzelne Admin-Komponenten in Node.js, npm, Backbone.js, Underscore.js (utilities), d3.js (Data-Driven Documents), angularJS mit Jake-Builds. 11. Security-Testmanagement: Erstellen eines Web-Application-Testkonzeptes, das die ca. 50 wichtigsten Angriffstechniken insbesondere mit allen wichtigen Arten von XSS/XSRF, Code Injection und sonstigen Angriffsvarianten in möglichst vielen Darstellungsvarianten explizit aufführt. Nutzung der Security Scanner & Tools: MetaSploit, Burp Suite, NeXpose, Nessus, Nmap, Acunetix-Websecurity Scanner, PeakflowX von Arbor, NTOSpider, NTODefend (DAST Tools), Skipfish, Fuzzing Tools, Burp Nessus, SoapUI (für WebServices), Core Impact, Google Skipfish, OWASP WebScarab, JBroFuzz, Zed Attack Proxy (ZAP), Scrubbr, SQLiX, Paros Proxy, IronWASP, W3AF, Syhunt Mini, N-Stalker, Watobo, VEGA, Netsparker, Andiparos, ProxyStrike, Wapiti, Grendel Scan, arachni, WebCruiser, JSky, jScan, ProxyStrike, PowerFuzzer, Sandcat, Ammonite, safe3wvs, Advanced Persistent Threats (APT) und Gegenmaßnahmen über Threat Intelligence, Cisco/Sourcefire (Adaptive) IPS und Enterprise Threat Management (ETM), Windows Credential Editor (WCE), gsecdump, Mimikatz. 12. Berücksichtigung von Sicherheits-Standards wie ISO 2700x, Open Source Security Testing Methodology (OSSTMM), OWASP Testing Guide, Web Application Attack and Audit Framework (W3AF), BSI WebApp-Sicherheitsbaustein (basiert auf/integriert ÖNORM A 7700), PCI DSS (Kartenterminals, Smartcards, Bezahlsysteme) und deren Umsetzung in Form von Sicherheits- und (Penetration-)Test-Konzeptionen. 13. Evaluation von Techniken/Toolkits/Standards für die Konsolidierung von Dokumenten sowie für Dokumenten-Management-Systeme (DMS) sowie Portale. Evaluiert als DMS: Liferay, Alfresco, OpenCMS, Drupal, WordPress, Joomla, Typo3, Polarion 2011, Logicaldoc, phpwcms, Booki.cc; als zentrales Dateiformat: XML, RTF, HTML, DocBook, DITA, ODF, OOXML, Wiki Formate (MediaWiki, DocBookWiki); als Ajax-RichText-Editoren: Etherpad, Telerik RadEditor, TinyMCE, CKEditor, FreeTextBox, (j)HTMLArea, Xinha, BitFluxEditor, Dijit Editor, jQuery Rich Text Editor (RTE), Ekit.; als Kollaborative Plattformen: TWiki, LaTeXLab, TeamLab, Feng Office, Nuxeo, EXo Platform, OpenKM, Telligent evolution/enterprise, Zoho Writer/Zoho Docs, Ramius Engagement, ShowDocument, DocScape, MindTouch Core, TmsEKP; als Konvertier-Tools: Herold, HTML2DocBook.xsl, ROBODoc, Pod-2-DocBook, DocBook Tools, Apache FO, XES, LaTeX2RTF, L2HTML, RTFConverter, UnRTF, WVware, Drupal Import/Export; als Terminologie/Translation Memory Systeme: openTMS, opentm2, Anaphraseus, OmegaT+, SUN Open Language Tools, Transolution XLIFF Editor. 14. Architektur eines DMS-Addons für die konsistente Konsolidierung verschiedener Dokumente und Versionen unter Nutzung von Liferay als Portal-System sowie von Etherpad / TinyMCE als Rich-Text-Editoren. Das Add-on erlaubt in einem linken Bereich das Laden/Erstellen/Bearbeiten/Speichern einer inhaltlichen Struktur für das Zieldokument sowie die Darstellung der Quelldokumente mit ihrer Struktur. Durch Anklicken wird jeweils das entsprechende Kapitel im Rich-Text-Editor rechts angezeigt. Satz-, Absatz- oder Abschnitts-weise können Inhalte per Drag & Drop in die Ziel-Dokument-Struktur abgebildet werden. Bereits vorhandene Passagen werden farblich markiert zur Erkennung von Doppelungen oder Unterschieden zwischen Versionen. Auch das direkte Editieren der Passagen im Zieldokument ist möglich. So konnten hunderte Entwicklungs-Dokumente aus verschiedenen Teams bzw. von älteren Ständen schnell und kostengünstig integriert werden. 15. Erstellen des Krypto-Konzeptes nach BSI-Standard: Konzeption aller Maßnahmen bzgl. Verschlüsselung, Signatur, Hashing, Integritätsschutz und Authentifizierung. Nutzung von Hardware Security Modules (HSMs, Safenet Luna SA, Thales TEMS), TCOS Smart Cards (Telesec), DKIM, weiterentwickelt zu DMARC, Oracle Identity Manager, Telesec One-Time-Password (OTP), Web Application Firewalls (WAF, Barracuda), Intrusion Detection und Prevention Systemen (IDS/IPS), Firewalls, Virtual Private Networks (VPN, Cisco ASA), Verbindungsverschlüsselung (SSL/OpenSSL/Java-SSL/IPSec), Schlüsselaustausch (Diffie-Hellman), Schlüssel- und Zertifikatserzeugung, Verwaltung, Entsorgung (gesamter Krypto-Material-Lebenszyklus), Definition erlaubter Krypto-Verfahren und deren Parametrisierung, Maßnahmen zum Integritätsschutz wie z.B. der Erkennung von Manipulationen oder Malware (tripwire). 16. Erstellung eines Business Continuity Management (BCM) und Disaster Recovery Management (DRM) Konzeptes sowie Test-Manager für das Testen der Umsetzung: Single Point of Failure (SPoF) Analyse und Konzeption von Redundanz-Mechanismen, um Anforderungen nach Null-Daten-Verlust und Verfügbarkeiten von mindestens 99,99% zu erfüllen. Nutzung von Abhängigkeitsdiagrammen & weiteren Business Continuity Institute (BCI) Good Practices Guidelines (GPG), 2 Standorte, mehrere Cluster, Oracle DataGuard zur Umsetzung synchroner und verzögerter Daten-Replikation, Konzeption von Failover-Mechanismen einschließlich 4-fach redundantem Datenspeicher (DB/Filesystem) mit Redo-Logs und Snapshot-Support, HSMs (Hardware Security Module), VPNs, Zonenkonzept (Access-/Service-/Backend-/Management-Zonen), WAF (Web Application Firewall-Wände), IPS (Intrusion Prevention-Systeme), selektive Fehlererkennungs- und Recovery-(Rückaufsetzungs-)Mechanismen. 17. Review der (Security-)Test-Konzepte sowie Management der Tests und der Umsetzung (Projekt-Management) in meinen Kompetenzbereichen.

Projektziel: Analyse und Verbesserung der Architektur sowie der IT-Sicherheit (Security) eines Praxis- & Tumor-Dokumentationssystems basierend auf JEE, Google Web Toolkit (GWT), GXT, Hibernate, Spring, Dozer, Batik, Atomikos, Drools sowie Testautomatisierung mit JMeter, Selenium und EasyMock. Aufgaben 1. Ausarbeitung eines Sicherheitskonzeptes für Architektur, Entwicklung und die Test-Automatisierung, basierend auf Common Criteria, BSI Grundschutz sowie diversen ISO-Standards. Umsetzung der wichtigsten Security-Maßnahmen auf Ebene von Architektur und Entwicklung, z.B. umfangreiche Daten(fluss)-Validierungen, Ergreifen der Gegenmaßnahmen mit dem besten Kosten-Nutzen-Verhältnis gegen die 250 wichtigsten Angriffstypen nach den 10 wichtigsten Security-Portalen wie OWASP.org, WebAppSec.org, cwe.mitre.org, etc. Für jeden der 250 wichtigsten Angriffe Sammeln/Konzipieren der Gegenmaßnahmen mit allen Details. Bewertung jedes Szenarios nach den oben genannten Kategorien. Dann wurden die Gegenmaßnahmen unter Berücksichtigung der möglichen Gefahr (d.h. des Erwartungswertes der Verluste) und einer Kosten-Nutzen-Analyse der einzelnen Gegenmaßnahmen priorisiert. Nach der endgültigen Entscheidung über die Maßnahmen, wurde das Restrisiko berechnet und die Ergebnisse wurden für die Vermarktung der Lösung verwendet. Nach der Implementierung von Gegenmaßnahmen wurde auf Basis der erzielten Qualität trotz Budget-Kürzungen z.B. bzgl. Penetration Tests eine erneute Bewertung vorgenommen und mögliche Verbesserungsmaßnahmen priorisiert. Gegenmaßnahmen gegen neue Bedrohungen wurden in ähnlicher Weise neu bewertet und verwaltet. 2. Pen-Test- und Acceptance-Test-Konzeption sowie anschließendes Testmanagement basierend auf Security Scannern & Tools: MetaSploit, Burp Suite, NeXpose, Nessus, Nmap, Acunetix-Websecurity Scanner, PeakflowX von Arbor, NTOSpider, NTODefend (DAST Tools), Skipfish, Fuzzing Tools, Burp Nessus, SoapUI (für WebServices), Core Impact, Google Skipfish, OWASP WebScarab, JBroFuzz, Zed Attack Proxy (ZAP), Scrubbr, SQLiX, Paros Proxy, IronWASP, W3AF, Syhunt Mini, N-Stalker, Watobo, VEGA, Netsparker, Andiparos, ProxyStrike, Wapiti, Grendel Scan, arachni, WebCruiser, JSky, jScan, ProxyStrike, PowerFuzzer, Sandcat, Ammonite, safe3wvs, WebGoat (unsich. App), Fiddler, ModSecurity. Dabei erfolgte die Berücksichtigung von Sicherheits-Standards wie ISO 2700x, Open Source Security Testing Methodology (OSSTMM), OWASP Testing Guide, Web Application Attack and Audit Framework (W3AF), BSI WebApp-Sicherheitsbaustein (basiert auf/integriert ÖNORM A 7700), PCI DSS (Kartenterminals, Smartcards, Bezahlsysteme) und deren Umsetzung in Form von Sicherheits- und (Penetration-)Test-Konzeptionen. 3. Design, Implementierung und Testmanagement einer Validierungs-Bibliothek für die Client-und Server-basierte Validierung der Client-Seite mit Support für GWT (GXT) in einem Modus mit JavaScript (Programmierung einer Validierungs-Komponente in JavaScript) oder mit GWT-JavaScript-Verbindung via JSNI für aus Performance-Gründen, weil JavaScript bzgl. Regular Expressions nicht direkt von GWT unterstützt wird. Auf der Serverseite dies ist in Java implementiert und wird GWT-konform gehalten. Andere JavaScript libraries: Backbone.js, d3.js, Jake. 4. Erstellung eines Web-Anwendungs-Test-Konzepts, das explizit die 250 wichtigsten Angriffs-Techniken auflistet, insbesondere mit allen gängigen Arten von XSS / XSRF, Code-Injection und andere Arten von Angriffen in so vielen Beispielen/Varianten wie möglich. Dieses Konzept wird zum Testen der Validierungs-Library und der sonstigen Sicherheitsmaßnahmen eingesetzt. 5. Design / Überwachung der Umsetzung der identifizierten Gegenmaßnahmen und Eindämmungsmaßnahmen im Rahmen der Umsetzung des Sicherheitskonzeptes gemäß Common Criteria (CC). 6. Erstellung einer Java Security Library unter Nutzung/Integration der Best-Practice-Sicherheitsbibliotheken, z. B. von OWASP sowie ScalaCheck (über Java und Scala). 7. Datenkonvertierungs-Konzept für klinische/onkologische Daten / Coaching bzgl. Talend Open Studio (ETL). 8. Steuerung/EMSR der Dosierungen für Medikamenten-Mischungen. 9. Verwendung von UML Lab, ein Eclipse-basiertes UML Round-Trip-Tool von Yatta in einem freundlichen User Test basierend auf Open ArchitectureWare (OAW): Verwendung / Anpassung von Analyse / Generation-Vorlagen in OAW: Xtext, Xpand, JET.

Projektziel: Wiederaufnahme zweier eingestellter Software-Entwicklungen für die Echtheitserkennung von Reisedokumenten, eine in C++ mit Qt und gSOAP, eine in Java/JEE. Analyse/Verstehen/Debuggen des bestehenden Codes, Integration der Systeme, Erstellen von GUI-Prototypen, Coaching des Entwicklerteams bzgl. der Technologien JEE, JBoss EAP/AS, Seam, RichFaces, Drools, jBPM, Hibernate, Ajax, SmartClient, Groovy & Grails, Lucene. Aufgaben Fachlich: Coaching, Einarbeitung und Anleitung des neuen Teams zur Weiterentwicklung der Gesamtanwendung in JEE, Seam, Hibernate, Ajax, Grails. Neben allgemeinem Coaching, Konzeption/Implementierung von WebServices/Ajax-Schnittstellen zur Kommunikation zwischen den Anwendungsteilen, Erstellen von Tool-Marktübersichten und Diskussion der Entwicklungsrichtung mit dem Management, Erstellen von GUI-Prototypen und Besprechen der Ergebnisse/weiterer Strategie mit dem Management. Technisch: 1. Einrichten/Konfigurieren der Entwicklungsumgebungen für die C++ und die JEE-Anwendungsquelltexte. 2. Analyse der bestehenden Anwendungsdokumente und Quelltexte in C++ (SQL Server 2008 R2, Transact-SQL(T-SQL/TSQL), SQL Server Integration Services (SSIS), TFS (Team Foundation Server) für Versionsmanagement/ALM)sowie in Java/JEE. 3. Konzeption der zukünftigen Architektur des JEE-Systems zur Überprüfung der Echtheit der deutschen und internationalen Pässe / Personalausweise-Dokumente mit einer Sicherheitsmerkmalsextraktion, Bewertung und statistisches Scoring-Konzept, um Betrug / Fälschungen zu verhindern. Umsetzung auf Grails-Basis bei möglichst hoher Wiederverwendung bisherigen Codes und voller Kompatibilität zum JMRTD (Java Machine Readable Travel Documents) Standard. DS-Ansatz: Die Berechnung der gewichteten Punktzahl aller einzelnen Detektoren für verschiedene Gültigkeitsanzeigefunktionen. 4. Konfiguration, Debugging, Logging/Tracing: Coaching und eigenes Debuggen/Fixen der wichtigsten Fehler, vor allem in der JEE-Applikation. 5. Automatisches Einfügen eines systematischen Tracings/Loggings in die JEE-Applikation zum Verständnis der Daten- und Kontrollflüsse sowie zum Trouble-Shooting und zur Einarbeitung/Anpassung des Systems. 6. Erstellen/Anpassen von WSDLs/WebServices zur Integration der Systeme und zum Datenaustausch mit den GUIs mit Apache CXF unter Nutzung von JAXB bzw. XMLBeans (alternativ auch mit Apache AXIS2). 7. Erstellung von Marktübersichten zu GUI Rapid Prototyping Tools, Java/JEE GUI Frameworks sowie Ajax Frameworks. 8. Coaching und eigenes Erstellen von GUI-/Funktions-Prototypen in verschiedenen Technologien: Ajax: jQuery, Underscore.js, SmartClient, SmartGWT, Tersus, ExtJS, Adobe Flash/Flex, Grails sowie Seam/RichFaces. 9. Dokumentation, Einarbeitung/Schulung des Teams.

Projektziel: (insbesondere für Partner-/Tochterunternehmen, davon viele in Osteuropa), beispielhafte Implementierung, Anbindung von Cobol-basierten Backends, Verallgemeinerung bis hin zur Definition von Templates und darauf aufbauend Code-Generierung von Java/Cobol-Quelltexten. Einbau in ein JBoss-basiertes System vorgeschaltet vor SAP DMS (Dokumenten-Management-System) und Data Mining/Business Intelligence (SAP BI). Aufgaben Fachlich: Bausparkassen den Austausch von Informationen (via WebServices, JMS) zu Kunden und Verträgen ermöglichen zwischen den Abteilungen über den ESB sowie auch Informationen mit der Konzernmutter Schwäbisch-Hall. Diese Anbindung zwischen Java-Clients und Java- bzw. Cobol-Backends ist ein wichtiger Schritt zur Nutzung eines ESB (Enterprise Service Bus) im Rahmen eines dabei weiterentwickeltes SOA-Konzeptes. Einsatz des Frameworks in einem JBoss-basierten JEE-System zur Disposition und Lagerverwaltung für den Einkauf. Insbesondere Integration der WebService-Funktionalität in Dokumentenmanagement-System (SAP DMS) und Data Mining/Business Intelligence System (SAP BI); Entwicklung der relevanten JEE-Applikations-Funktionalität von GUI bis hinunter zur Datenbank. Technisch: Erstellen generischer Client- und Server-Implementierungen unter direkter Nutzung von XML, http, etc. als Fallback-Lösungen. Definition von WSDL mit ws-* Standards, z.B. ws-addressing, ws-enumeration, ws-security. Code-Generierung mit JAX-WS unter Nutzung von JAXB und XJC. Cross-Validierung und Testing sowie Ausloten von Features unter Nutzung von Tools/Implementierungen auf Basis von SoapUI, tcpmon, SoapMon (AXIS2) sowie Apache CXF/XmlBeans. Direkte Anbindung von AS/400 und iSeries-Systemen mit Implementierungen in Cobol unter Nutzung von IBM WebSphere Development Studio Client (WDSC). Anbindung der Authentifizierung/Autorisierung an RACF mit DB2 auf Host-Seite. Konzeption/Entwicklung von Tracing/Logging/Monitoring/Fehler-Diagnose-Tools für Entwicklung und Betrieb. Konzeption/Entwicklung einer Persistierungsschicht mit HyperJAXB sowie TraceTool gegen XML-Dateien, Datenbanken, Textdump und binäre Datenstrukturen. Entwicklung einer Java-Cobol-Integrationsschicht für die IBM-Server auf Basis von jt400/jtopen mit Programcallbeans (Java->Cobol) unter Nutzung von PCML und Cobol Copystrukturen. Muster-Implementierung als Vorlage für Code-Generierung. Hilfe bei der Integration in Web-Client-Komponenten auf Basis von Spring und JSF (RichFaces und PrimeFaces). Hilfe bei der Migration der neuen WebService-basierten Aufrufe in das bestehende internationale Bausparkassen-Paket. Konzeption weiterer ESB-basierter Kommunikationsstrukturen in Form von WebServices/JMS (Definition der Schnittstellen und Datenformate) für die gesamte in Backend/Frontend benötigte Funktionalität. Definition von Datenmappings/ETL mit WebSphere Transformation Extender bzw. Talend Open Studio. Erstellen von Vorlagen für die Codegenerierung mit open Archictectureware (OAW). Unterstützung von UML, annotierten Java-Klassen, WSDL/XSD sowie von XMI als Masterformate. Hilfestellung bei der Integration in das Code-Generierungs-Systems auf Basis von OAW: Entwicklung von Templates und Anpassungen für die Generierung aller für Clients und Server nötigen Artefakte (Cobol, Java, PCML). Einbindung von WebService-Client und Server-Funktionalität in das JBoss-System für SAP DMS (Document Management System) und SAP Data Mining/Business Intelligence (SAP BI) unter Nutzung einer SAP NetWeaver-Schnittstelle (SAP NetWeaver Development Infrastructure, NWDS). Konzeption und Entwicklung des gesamten Applikations-Stacks unter Nutzung von JBoss RichFaces, Hibernate mit Criteria API, EJB, named Queries, HQL, EJB-Stack für Services (EJBs), DTOs, DAOs, Entities/POJOs, Konzeption der HQL-Queries sowie der JavaScript-basierten AJAX-Funktionalität mit Ajax4jsf. Dokumentation, Einarbeitung/Schulung der Kollegen.