Bei diesem Projekt mussten sensible Systeme rund um die Lohn- und Gehaltsabrechnung

gehärtet und separat abgesichert werden. Die Server und Clients wurden physikalisch und

logisch von der restlichen Infrastruktur getrennt, mussten aber weiterhin durch die ITAbteilung

gewartet werden können, ohne Zugriff auf die eigentlichen Applikationsdaten zu

ermöglichen.

Die Server wurden nach DISA STIG gehärtet und eine Just-In-Time Administration eingefu?hrt,

um die Zugriffe genau zu steuern und zu protokollieren. Diese Lösung wurde and das SIEM

angebunden und durch das interne SOC u?berwacht.

Vor Inbetriebnahme der Lösung wurde ein Penetration Test von mir und einer externen Firma

durchgefu?hrt.

Parallel dazu war ich fu?r den CISO als Consultant tätig und beriet ihn bei akuten Incident

Response Fällen (Pre und Post Breach), aber auch bei Projekten rund um IT Security. Die

Schwerpunkte waren Active Directory / Azure AD, Credential Theft, Endpoint Protection,

Security Awareness Trainings, Vulnerability Management und Risk Management.

Für den Kunden härtete ich klassifizierte Active Directories und Windows Systeme nach DISA STIG und auch darüber hinaus. Hier wurde der Fokus auf die persistente und automatisierte Implementierung der Härtungsmaßnahmen gelegt, um eine übergreifende Compliance aller Umgebungen gewährleisten zu können. Dabei musste stets der Betrieb der hochsensiblen Hard- und Software gewährleistet werden.

Da es sich um air-gapped Umgebungen handelte, also komplett von der Außenwelt abgeschottete Netzwerke, war ein zentrales Management technisch nicht möglich. Die Herausforderung lag darin, alle Umgebungen möglichst effizient und mit geringem Aufwand stets auf dem gleichen Integrations-Fortschritt zu halten. Dies beinhaltete die gesamte Bandbreite eines klassischen Infrastruktur- und Securit-Management, wie z.B. Application- und Patch-Management, Vulnerability- und Compliance Scanning, Identity Management, etc.

Mit den technischen Verantwortlichen wurden CI/CD Lifecycle Prozesse etabliert, um jegliche Änderungen strukturiert zu testen, aber auch persistent in allen Umgebungen ident integrieren zu können. Hierfür entwickelte ich Orchestrierungs-Tools in PowerShell, die ein voll-automatisiertes Deployment und Management ermöglichten. Das Projektteam wurde von mir auf die Prozesse und Verwendung der Tools eingeschult und trainiert.

Der Kunde musste unter großem Zeitdruck und mit begrenzten Ressourcen einen vollständigen IT Carve-Out durchführen. Im Zuge dessen, wurde die gesamte IT Infrastruktur modernisiert und die Server-Landschaft in mehrere Public Cloud Rechenzentren migriert.

Der Schwerpunkt meiner Aufgabe lag darin, das Active Directory und andere Identitätsdienste wie AD FS, AD CS (PKI) und Azure AD zu trennen und ein vollständiges Konzept für die neuen Anforderungen auszuarbeiten, als auch umzusetzen. Die Koordinierung und Kommunikation mit vielen Akteuren und externen Dienstleistern spielte hier eine zentrale Rolle, da es verschiedene Interessen und etliche Altlasten gab. Nach der Trennung wurden massive Aufräumprozesse gestartet, um verwaiste Objekte zu identifizieren und schlussendlich auch zu entfernen. Dies ebnete den Weg zur Umstrukturierung in die neue Architektur.

Migrierte Business-Applikationen und Infrastruktur-Dienste wurden in das eigens konzipierte Rechte- und Rollenkonzept eingegliedert, um den neuen Sicherheitsstandards gerecht zu werden. Sensible Systeme wurden gehärtet und administrative Konten mittels Mehrfachauthentifizierung geschützt. Dies inkludierte auch ServiceNow als ITSM Tool, welches zur automatisierten Orchestrierung von AD Objekten herangezogen wurde.

In meiner Funktion als IT Security Consultant, wurden etliche IT Prozesse entwickelt und auch etabliert. Weiters wurde eine Zertifizierung nach ISO 27001 und TISAX angestoßen, bei der ich dem CISO beratend unterstützte. Die größte Herausforderung hierbei war, der sich laufend wandelnden Infrastruktur nicht hinterherzuhinken und neue Systeme, in die erst sich formenden Sicherheitskonzepte und Maßnahmen einzubinden. Dies inkludierte natürlich auch die Durchführung des IT Security Risikomanagement.

• Für diesen Kunden übernahm ich die Rolle als interims CISO / IT Security Risk Manager zur Erstellung von IT Security Risikoanalysen für geplante Vorhaben, bevorstehende Änderungen, aber auch bereits im Einsatz befindlichen Lösungen. Die angewandte Methodik zum Risikomanagement ist stark angelehnt an die des BSI IT-Grundschutz und ISO 27001, wurde aber vom Kunden weiter optimiert.
• Die im ersten Schritt erstellten groben Risikoanalysen dienten als Entscheidungsgrundlage für Vergabeverfahren. Danach wurden an das Produkt angepasste detaillierte Feinanalysen erstellt, die als verpflichtende Vorgabe zur Implementierung in die bestehende IT Infrastrukturlandschaft resultierte. Bestehende Lösungen wurden in Rahmen von Audits neu bewertet und um tagesaktuelle Gefahren und Risiken erweitert.
• Durch meine langjährige Hands-on Erfahrung in den Bereichen IT Security und Infrastruktur, wurde mein Input vom Kunden besonders geschätzt. Neben den Standardrisiken die in gängigen Katalogen abgebildet sind, konnte ich auch Produkt- oder Architekturspezifische Risiken in die Analysen miteinfließen lassen.
• Aufgrund der langen Lebenszyklen im öffentlichen Dienst, war eine saubere Durchführung des Risikomanagement essentiell für die Auftraggeber. Ich habe für mehr als 30 verschiedene Projekte Risikoanalysen durchgeführt und diese wurden vom Kunden in Abstimmung mit allen involvierten Fachbereichen abgenommen.

• Implementierung einer Vulnerability und Compliance Scanning Suite
• technische Begleitung vor dem Rollout
• Optimierung der Scan Ergebnisse
• Zusammenarbeit mit externen Kunden
• Anbindung an das Ticketsystem
• Inauftraggabe von maßgeschneiderten Kunden-anforderungen

• Absicherung der Windows IT Infrastruktur
• Penetration Testing
• Security Research for 0day-Exploits
• Pass-the-Hash and Mitigations
• Kerberos and NTLM debugging

• Herstellung einer neuen IT Infrastruktur für die Arzt Praxis
• Implementierung der Spezialsoftware in ein neues System
• Absicherung und Penetration Testing

• Herstellung einer neuen IT Infrastruktur für den Kanzleibetrieb
• Implementierung einer Terminal Server Umgebung
• Penetration Testing der Applikationen und Systeme
• Koordinierung der Lieferanten

• Vetrtrieb für die hauseigene Kanzleiverwaltungssoftware (Marktführer in Österreich) sowie IT Infrastruktur Dienstleistungen rund um das Österreichische Notariat
• Koordinierung der Geschäftsprozesse und Mitarbeiter in den Standorten Wien und Salzburg
• Hands-On bei kritischen Implementierungen beim Kunden vor Ort

Die bestehende Version des Kanzleiorganisationssystems wurde in eine Web Version portiert um unabhängig der Betriebssystem Plattform und den Endgeräten zu sein. Es wurde stark mit Behörden, dem Bundesrechenzentrum und mit einer Treuhand Bank zusammengearbeitet um vorhandene Schnittstellen anzugleichen und zusammenzuführen. Die Schwierigkeit lag darin die drei Hauptakteure, die Entwicklungsfirma, die Supportfirma und die Lizenzfirma aufeinander abzustimmen und gegenseitig zufrieden zu stellen. Ich nahm ebenfalls an den Meetings des Arbeitskreises Rechtsinformatik teil um mit Partnern der Branche den Kontakt aufrecht zu erhalten. Das Produkt wurde dahin gelenkt um sehr flexibel den Anforderungen der Notare, sowohl als auch der Banken und Bundesbehörden gerecht zu werden und ihnen passende Schnittstellen (Middleware) zu bieten.

• Im Zuge von Produkt- und Serverupgrades wurde Kunden eine gehostete Cloud-Lösung angeboten. In den Kanzleien befanden sich nach der Umstellung lediglich Switch, Firewall und ThinClients. Diese Variante der Infrastrukturlosen Umgebung war für die Kunden sehr reizend, denn sie hatten keine hohen Anschaffungskosten mehr, mussten keine Server-freundliche Umgebung mehr bereitstellen, ersparten sich hohe Stromkosten und kauften je nach Bedarf Arbeitsplatzlizenzen hinzu oder gaben sie wieder ab.
• Im Rechenzentrum wurden HP ProLiant Server & StorageSystems sowie Microsoft Server 2008 R2 Datacenter, Microsoft System Center Configuration Manager 2007 R2 (SCCM) und Microsoft System Center Virtual Machine Manager 2008 R2 (SCVMM) verwendet. Die gesamte Umgebung wurde auf Hyper-V Server 2008 R2 Basis virtualisiert. Es gab zwei redundante Domaincontroller mit dem die Kanzleien über ein raffiniertes Gruppenrichtlinien-Konstrukt verwaltet und voneinander getrennt wurden, sowie einen Microsoft Exchange 2010 Cluster der für die E-Mail Kommunikation und Archivierung Zuständig war. Jede Kanzlei hatte ihren eigenen Microsoft Terminal Server der nach Belieben auf die jeweilige Arbeitsumgebung konfiguriert wurde. Zwischen Rechenzentrum und Kanzlei wurde eine IPSEC VPN Verbindung mit Hardware Firewalls realisiert. Zusätzlich konnten sich noch externe mobile Geräte per SSL VPN in das eigene Netzwerk einwählen um von unterwegs zu arbeiten. Diese Geräte mussten von uns eigens abgesichert und konfiguriert werden: komplette Verschlüsselung der Festplatte, Mehrfachauthentifizierung bei Login sowie einem VPN Token. Die Internet Nutzung der User wurde mit Firewalls stark reglementiert, gefiltert und überwacht.
• Das System wurde 9 Monate lang durchgehend von mir gewartet, bis es dem Kunden inklusive Dokumentation übergeben wurde. Während dieser Zeit wurden regelmäßig interne Sicherheitschecks und extern beauftragte Penetration Tests durchgeführt.

• Bei über 50 Kunden in ganz Österreich wurde die IT Infrastruktur abgesichert und die Mitarbeiter auf Security geschult. Schwerpunkte dieses Projekts waren Datensicherheit durch Diebstahl der Mitarbeiter sowie durch Angriffe von außen, Authentifizierung, mobile Geräte und Backup-Lösungen. Die Kunden wurden über mehrere Wochen beraten und gemeinsame Checklisten ausgearbeitet. Darauf basierend wurden Firewall Richtlinien optimiert, Hardware getauscht, NTFS Dateizugriffe eingeschränkt, Gruppenrichtlinien für Mitarbeiter erstellt und die internen Kanzlei Richtlinien verschärft. Bei größeren Kunden wurde ebenfalls eine komplette PKI installiert. Die Anwender mussten sich mittels Smartcards anmelden, dies wurde mit der Notariats Software gekoppelt und auch in den Microsoft Exchange Server eingebunden. So wurden alle ausgehenden E-Mails signiert und bei Bedarf auch verschlüsselt. Für das Dokumenten-Management-System war somit die Nachverfolgbarkeit bei Änderungen besser gegeben, denn jedem Arbeitsschritt konnte einem Mitarbeiter zugewiesen werden.
• Mobile Geräte wurden verschlüsselt und bekamen eine Mehrfachauthentifizierung per Smartcard sowie einen VPN Token.

• Technische Leitung der IT Einsätze in Österreich
• Aufbau eines Rechenzentrums für das Österreichische Notariat
• Absicherung und Penetration Testing bestehender Systeme
• Vertrieb von IT Dienstleistungen

• Technische Leitung der IT Einsätze in Österreich
• Aufbau eines Rechenzentrums für das Österreichische Notariat
• Absicherung und Penetration Testing bestehender Systeme
• Vertrieb von IT Dienstleistungen