01/20 ? Ongoing - Security Architekt für Startup, welches im Gesundheitsbereich eine Mobile App zur Verwaltung von Gesundheitsdaten entwickelt.

• Rolle: Security Architekt
• Kunde: Startup im Gesundheitsbereich
• Technologien: AWS, React, React Native, Java, iOS, Android, Kubernetes, Kafka, MongoDB
• Tätigkeiten im Einzelnen: 
  • Threat Modeling & Spezifikation der Sicherheitsarchitektur
  • Definition von Anforderungen für Cloud-Deployment, SW-Entwicklung, Mobile Apps
  • Abstimmungen mit internen Dienstleistern
  • Erstellung von Rollen- und Berechtigungskonzept, Datenbehandlungskonzept und Sicherheitskonzept
  • Security Testing und Review (z.B. des Cloud Deployments)

 03/19 ? Ongoing - Unterstützung im Bereich Security Architektur für Abrechnungslösung im Gesundheitsbereich (Umzug On-Premise in die Cloud)

• Rolle: Security Architekt
• Kunde: IT-Dienstleister in Gesundheitsbranche (NDA)
• Technologien: Telekom OTC, AWS, OAuth, OpenShift / Kubernetes, Java
• Tätigkeiten im Einzelnen:                
  • Definition der Security Architektur mit Fokus Multi Tenancy
  • Definition von Sicherheitsmaßnahmen für die Cloud (AWS und OTC) und OpenShift / Kubernetes
  • Threat Modeling der Lösung im Rahmen mehrere Workshops mit dem Projekt
  • Unterstützung bei der Erstellung des Sicherheitskonzepts
  • Aufbau eines Risikoregisters

08/19 ? 09/19 - Review der Cloud-Sicherheitsarchitektur (AWS) und Sicherheitsprozesse in der SW-Entwicklung

• Rolle: Security Architekt
• Kunde: Industrieanbieter (NDA)
• Technologien: AWS

02/19 ? Ongoing - Aufbau von Secure SDLC bei IT-Dienstleister

• Rolle: Security Consultant
• Kunde: IT-Dienstleister für Bankensektor aus Österreich (NDA)
• Technologien: Java, ABAP, Artifactory, Jenkins
• Tätigkeiten im Einzelnen:                 
  • Durchführung von Workshops mit verschiedenen Stakeholdern
  • Überarbeitung von Security Policy im Hinblick auf Konformität zu ISO27002 Controls
  • Erstellung von Sicherheitskonzepten (Secure SDLC Rahmenkonzept, Security Test Konzept)
  • Threat Modeling verschiedener Applikationen (u.a. von Kernbankensystemen)
  • Unterstützung bei Anpassung vorhandener und Auswahl und Integration neuer Tools
  • Erstellung eines Security-Reifegradmodelles für die Softwareentwicklung und entsprechender Assessment-Tools

05/19 ? Ongoing - Vorstudie für die Einführung globaler Sicherheitsprozesse in der Softwareentwicklung des Kunden

• Rolle: Security Architekt
• Kunde: Rückversicherer (NDA)
• Technologien: AWS, OAuth, OpenID, JWT, Keycloack, Spring Security
• Tätigkeiten im Einzelnen:                 
  • Laufende Unterstützung der Entwicklungsteams bei Sicherheitsaspekten und Teilnahme an Security JFs
  • Analyse des Ist-Zustandes der in der SW-Entwicklung eingesetzten Sicherheitsprozesse und -technologien
  • Threat Modeling mit sämtlichen Entwicklungsteams und Ableiten von Maßnahmen
  • Analyse der verwendeten OAuth-Implementierung

01/19 ? 04/19 - Unterstützung im Bereich Security Architektur und DevSecOps

• Rolle: Security Architekt
• Kunde: Bank in Norddeutschland (NDA)
• Technologien: AWS, Telekom OTC/AppAgile, Keycloak, Kubernetes, OAuth, OpenID Connect
• Tätigkeiten im Einzelnen:                 
  • Operative Mitarbeit im DevOps-Team und Ansprechpartner für Sicherheitsthemen
  • Unterstützung des CISOs bei Ausbau des Information Security Managements Systems (ISMS) und Vorgaben auf Mutterkonzern
  • Unterstützung von agilen Teams und Projekten
  • Definition von Sicherheitsmaßnahmen für Softwareentwicklung und Cloud (OTC, AWS) auf Basis von Best Practices, Konzernvorgaben und Compliance
  • Aufbau eines Security Monitorings
  • Security Reviews und Abnahmen von Cloudarchitekturen (insb. unter AWS)
  • Erstellen von Sicherheitsdokumentationen

10/18 ? 12/18 - Vorstudie für die Einführung globaler Sicherheitsprozesse in der Softwareentwicklung des Kunden

• Rolle: Security Architekt
• Kunde: Rückversicherer (NDA)

05/18 ? 10/18 - Cloud Security AWS & Azure

• Rolle: Security Architekt
• Technologien: Azure, AWS, ASP.NET Core, Java, Python
• Kunde: Energiedienstleister (NDA)
• Tätigkeiten im Einzelnen:                 
  • Betreuung von mehreren Entwicklungs-Projekten des Kunden bei der Umsetzung von Sicherheitsanforderungen (Teil verschiedener Scrum Teams)

• Analyse und Weiterentwicklung der Sicherheitsarchitekturen
  • Technische Absicherung von AWS und Azure
  • Überarbeitung der Cloud Security Vorgaben
  • Identifikation & Dokumentation von Sicherheitsanforderungen
  • Durchführen von Bedrohungs- und Risikoanalysen
  • Durchführen verschiedener Security Analysen (Cloud, Code Reviews, Pentests)

04/17 ? 08/18 - Workshop Web- und Applikationssicherheit

• Rolle: Lehrbeauftragter
• Kunde: FH Wedel
• Tätiglkeiten: Vorbereitung und Durchführung eines zensierten Workshops Web & Application Security in SS2017 und SS2018

03/09 ? Ongoing - Schulungen im Bereich Web Security / Java Security

• Durchführung von über 40 Schulungen und Workshops zu den Themen
  • Einführung in die Web Security
  • Grundlagen der sicheren Softwareentwicklung (z.B. mit Java EE)
  • Sicherheit in agiler Softwareentwicklung (Scrum, Kanban)
  • Security Testing & Testautomatisierung
  • Bedrohungsmodellierung / Threat Modelling
• Verschiedene Hands-On-Übungen mit Demo-Anwendung
• Häufig individuell an Kundenwünsche angepasst

09/16 ? 05/18 - Planung und Rollout von Sicherheitsmaßnahmen in der SW-Entwicklung

• Rolle: Security Architekt / Teilprojektleiter
• Technologien: Java, Jira, Confluence, Jenkins, Contrast IAST, Android, iOS
• Kunde: Bundesagentur für Arbeit
• Tätigkeiten im Einzelnen:                 
  • Erarbeitung von Security Practices für agil arbeitende Teams (Scrum und Kanban)
  • Ausarbeitung von technischen und organisatorischen Maßnahmen (u.a. für Container / Docker Security sowie auf Basis von ISO2700x)
  • Bedrohungs- und Risikoanalysen
  • Security Test Automatisierung (Evaluierung von Tools, Integration in CI/CD-Toolketten der Projekte)
  • Leistung eins Security Coaching Team, welches Projekte bei der Umsetzung der Vorgaben unterstützte

04/16 ? 08/16 - Security Coaching

• Rolle: Security Consultant
• Technologien: Java EE, JIRA, Jenkins, Arachni, OWASP Dependency Check, Findbugs, Android, iOS
• Kunde: Versandhändler in Hamburg (NDA)
• Tätigkeiten im Einzelnen:                 
  • Coaching von agilen Teams (Scrum) in Bezug auf Softwaresicherheit
  • Evaluierung von Ansätzen zur Integration von automatisierten Security Tests in Build Chains
  • Erarbeitung von Vorgaben und Security Guidelines

09/14 ? 06/18 - Entwicklung eines Cloud-basierten Security Scanners

• Rolle: Entwickler / Architekt
• Technologien: Amazon AWS, Java EE, Eclipse Spring MVC, Spring Security, Spring Boot, Hibernate, JQuery, Maven, Jenkins, Python, Tomcat
• Kunde: -

10/15 ? 07/16 - Unterstützung eines Secure SDLC Rollouts

• Rolle: Trainer / Security Consultant
• Technologien: Java JSF, PHP, SAP ABAP, Veracode, Microsoft Threat Modeling Tool
• Kunde: Automobilzulieferer im süddeutschen Raum (NDA)
• Tätigkeiten im Einzelnen:
  • Erarbeiten von Schulungsunterlage und Durchführung von Trainings für Entwicklungsteams zur sicheren Softwareentwicklung
  • Einführung und Schulung von Bedrohungsanalysen auf Basis von Microsoft Threat Modeling Tool
  • Bedrohungs- und Risikoanalysen
  • Beratung und Coaching von internen Security-Experten

06/15 ? 03/2017 - Ist-Analyse Applikationssicherheit / Erstellung von Entwicklungsrichtlinien / Laufende Unterstützung

• Rolle: Security Consultant / Architekt
• Technologien: JSF, HP Fortify, WhiteHat Sentinal, Veracode
• Kunde: Versicherungskonzern in Hamburg (NDA)
• Tätigkeiten im Einzelnen:
  • Analyse des Reifegrades der Softwareentwicklung und Architektur im Hinblick auf Applikationssicherheit und Ableitung von Maßnahmenempfehlungen
  • Durchführung von Interviews, Applikationstests, Code Reviews und statische Codeanalysen (mittels HP Fortify on Demand)
  • Erstellung von Entwicklungsrichtlinien
  • Laufende Unterstützung bei Integration von Sicherheit in Entwicklungsprozess (inkl. Evaluierung von Tools)

03/15 ? 11/15 - Erarbeitung von Sicherheitsvorgaben für die SW-Entwicklung

• Rolle: Security Consultant / Projektmitarbeiter
• Technologien: Java EE, JSF, Scrum, HP Fortify, Contrast IAST, Nexus, Hudson
• Kunde: Bundesagentur für Arbeit
• Tätigkeiten im Einzelnen:
  • Erstellung eines Bedrohungskataloges und Integration in einen kundenspezifischen IT-Grundschutzbaustein (BSI) sowie ISO 27001/27002
  • Erstellung von abgeleiteten Maßnahmen (Secure Coding Guidelines)
  • Bedrohungsmodellierung für Projekte
  • Entwicklung und Abstimmung von Architektur-Blueprints
  • Erarbeitung von Anforderungen für das interne Security Testings von Anwendungen
  • Marktanalyse und technische Evaluierung verschiedener Enterprise Security-Tools (SAST, IAST)

 04/14 ? 03/15 - Integration von Sicherheit in den Entwicklungsprozess des Kunden (Aufbau eines ?Secure SDLCs?)

• Rolle: Teilprojektleiter
• Technologien: HP Fortify, Checkmarx, Veracode, Java EE, GWT, Android, iOS, SAP, Virtual Forge
• Kunde: Großer Versicherungskonzern in Köln (NDA)
• Tätigkeiten im Einzelnen:                   
  • Teilprojektleitung innerhalb eines großen internationalen Security Programmes (Teamleitung, Organisation, Reporting, Konzepterstellung)
  • Abstimmung von Änderungen an Entwicklungs- und Beschaffungsprozessen (insb. Security Gates)
  • Abstimmung von Rollen und Aufbau einer internen Software Security Group (SSG)
  • Erstellung und Abstimmung von Sicherheitsvorgaben (Web Security & Security Architektur Standard, Coding Guidelines)
  • Ausbau von Schulungen, Qualifikation von Mitarbeiter
  • Unterstützung, Koordinierung, und Planung von Pentests und Erstellung von Vorgaben
  • Auswahl, Pilotierung und Integration verschiedener Security Tools

01/13 ? 11/14 - Buchprojekt ?Sicherheit von Webanwendungen in der Praxis

• Rolle: Autor
• Verlag: Springer Vieweg Verlag (-Reihe)

06/13 ? 13/14 - Teilprojektleitung im Rahmen eines IT-Security-Projektes

     (Aufgaben u.a.: Aufbau Schwachstellenmanagement, Sicherheitsvorgaben, Prozesse)

• Rolle: Teilprojektleiter
• Kunde: Handelsunternehmen in Hamburg (NDA)

06/13 ? 09/13 - Statische Codeanalyse: Tool-Deployment, Scans und Konzept-Erstellung

• Rolle: Security Consultant
• Technologien: HP Fortify, Xcode, ObjectiveC, Android, Java EE, .NET, SAP
• Kunde: Automobilhersteller in Süddeutschland (NDA)

04/12 ? 12/12 - IT-Risikoanalyst für Web- und Mobileanwendungen

• Rolle: Application Security Analyst
• Technologien: HP Fortify, IBM AppScan, Xcode, Objective-C, Java, HTML5, Flex, etc.
• Kunde: UBS AG in London
• Tätigkeiten im Einzelnen:                    
  • Unterstützung von SW-Entwicklungsteams bei der Umsetzung von Sicherheitsanforderungen

• Erstellung von Security Guidelines und Standards
  • Durchführung von Sicherheitsanalysen
  • Mitarbeit bei einem Unternehmensweiten Projekt für den Aufbau einer Cloud-Infrastruktur

09/11 ? 04/12 - Durchführung verschiedener Risiko- und Bedrohungsanalysen von hochsensiblen

     IT-Anwendungen und Aufbau entsprechender Vorgaben

• Rolle: Consultant / IT-Security Analyse
• Technologien: SharePoint 2010 (ASP.NET, C#), IIS, SiteMinder, Java EE
• Kunde: Big-Four-Prüfungsgesellschaft in Frankfurt (über n.runs AG)

07/10 ? 11/10 - Erstellung einer Entwicklungsleitlinie für sichere Webanwendungen

• Rolle: IT-Security Consultant / Autor / Project Lead
• Technologn: Java EE (verschiedene Frameworks), PHP, OWASP ESAPI
• Kunde: Behörde im süddeutschen Raum (NDA)

05/10 ? 11/10 - On-Site-Sicherheitstester im Rahmen der Entwicklung eines rechtsicheren Internetdienstes.

• Rolle: Security Tester / Security Engineer
• Technologien: Java EE, PHP (Zend), C/C++, Webservices (SOAP, REST, WS-Security)
  Fortify 360 (SCA, Server), PKI (X.509, HSM), ModSecurity
• Kunde: Logistikunternehmen (NDA)

11/08 ? 03/09 - Sicherheitsbeauftragter bei Entwicklung eines Internetportal-Piloten mit besonders hohen Sicherheitsanforderungen.

• Rolle: IT-Sicherheitsbeauftragter
• PHP, F5 ASM, PKI, Fortify, Eclipse, diverse Open-Source-Tools
• Kunde: Deutsches Logistikunternehmen (NDA)