Eine NGO (Nicht-Regierungs-Organisation), das im Bereich Datenschutz, Privatsphäre und Überwachung tätig ist, suchte einen technischen Experten. Es sollen Anwendungen daraufhin untersucht werden, ob die sie Privatsphäre der Benutzer beeinträchtigen. Ich habe bei diesen Untersuchungen mitgearbeitet und daraus Empfehlungen entwickelt, welche die NGO veröffentlich hat.
Für
einen Anbieter einer neuartigen Verschlüsselungs-Software war ich
als Architekt für das Banking Produkt tätig. Die Aufgabe umfasste
die Software-Architektur, Deployment, Dokumentation, Kundenbetreuung.
Zudem war ich zuständig für Design und Entwicklung der
Softwarekomponente ?Enterprise Toolkit?.
Ein DAX-30-Unternehmen wollte die Patch-Management-Prozesse in den einzelnen Bereichen verbessern. Innerhalb des Projektteams aus zwei, teilweise auch vier, Beratern war ich zuständig für: Best-practice evaluieren, Marktübersicht Patch-Produkte erstellen und Produkt analysieren, Greenfield-Studies erstellen, Ist-Analysen der bestehenden Prozesse erstellen, Verbessungsvorschläge erarbeiten, neues Prozessdesign und deren Bescheibung, Traininsmaterial erstellen, Trainings durchführen, etc.
Als einziger von fünf Beratern war ich während der gesamten Projektlaufzeit dabei.
Für ein Unternehmen der Supply-Chain habe ich einen internen Audit des ?Thread and Vulnerability Management? Prozesses erstellt, Verbesserungsvorschläge erarbeitet und die Ergebnisse dem CISO präsentiert.
Das genossenschaftliches Rechenzentrum, für das ich schon 2011/2012 gearbeitet habe, stellt seine bestehende Netzstruktur komplett um. Das Ziel ist, viele ?Mikro-Perimeter? aufzubauen. Hier gilt es, sinnvolle Regeln zu erarbeiten, nach denen die Netzaufteilung gestaltet werden soll, und deren Begründung zu dokumentieren. Außerdem sollte bislang dezentral Geregeltes in die nächste Version der unternehmensweiten Policy aufgenommen werden und viele technische Richtlinien erstellt werden.
Im Laufe des Projekts wurde ich dann beauftragt, Policies für andere Themen sowie technische Richtlinien zu entwickeln. Für Teilaufgaben berichtete ich direkt an den CISO.
Aufgaben
Inhalte der neuen Sicherheitsrichtlinie entwickeln (gemeinsam mit dem intern Verantwortlichen)
Erstellen und Abstimmen der Sicherheitsrichtlinie und der technischen Richtlinien
Erstellen eines neuen Prüf-Fragebogens zur Risikobewertung
Erstellen eines neuen Administrations-Konzepts
Erweitern und überarbeiten der alten Policy für die Reorganisation von Netzwerk-Diensten
Unterstützung bei Sicherheitsprüfungen
Mitarbeit beim Audit-Konzept
Als Vorbereitung für den ISO-27001-Audit habe ich für ein Unternehmen der Supply-Chain Security-Richtlinien erstellt. Da der bisherige Berater ausgefallen war, musste ich binnen weniger Tage etwas brauchbares ?aus dem Hut zaubern? ? was mir gelungen ist.
Das genossenschaftliches Rechenzentrum, für das ich schon 2011/2012 gearbeitet habe, stellt seine bestehende Netzstruktur komplett um. Das Ziel ist, viele „Mikro-Perimeter“ aufzubauen. Hier gilt es, sinnvolle Regeln zu erarbeiten, nach denen die Netzaufteilung gestaltet werden soll, und deren Begründung zu dokumentieren. Außerdem sollte bislang dezentral Geregeltes in die nächste Version der unternehmensweiten Policy aufgenommen werden und viele technische Richtlinien erstellt werden.
Im Laufe des Projekts wurde ich dann beauftragt, Policies für andere Themen sowie technische Richtlinien zu entwickeln.
Aufgaben:
Inhalte der neuen Sicherheitsrichtlinie entwickeln (gemeinsam mit dem intern Verantwortlichen)
Erstellen und Abstimmen der Sicherheitsrichtlinie und der technischen Richtlinien
Erstellen eines neuen Prüf-Fragebogens zur Risikobewertung
Erstellen eines neuen Administrations-Konzepts
Erweitern und überarbeiten der alten Policy für die Reorganisation von Netzwerk-Diensten
Unterstützung bei Sicherheitsprüfungen
Mitarbeit beim Audit-Konzept
Besonderes:
intensive 2-Tages-Workshops zu Zweit
Mindmaps als Werkzeug zum Erstellen unterschiedlicher „Sichten“ der Dokumente
Das Unternehmen suchte Unterstützung für das Risk-Management-Team. Ich habe Analysen erstellt, unter welchen Voraussetzungen streng vertrauliche Daten in Cloud-Services verarbeitet werden könnten und welche Maßnahmen dafür nötig wären. Hierzu habe ich einen Anforderungen und einen Fragebogen für Lieferanten erstellt. Zusammen mit der Vertragsabteilung habe ich die Anforderungen in einen Vertragsanhang gegossen.
Aufgaben:
Risikoanalysen, insb. zu Cloud-Diensten
Erarbeiten von Anforderungen an Cloud-Provider für verschiedenen Vertraulichkeitsstufen von Daten
Erarbeiten eines Fragebogens an Cloud-Provider
Erarbeiten der Vertragsbestandteile für Cloud-Services
Überarbeiten des automatischen Reportings
Eine Bank betreibt ein CRM-System, auf das einige Benutzer sehr viele Rechte haben. Ich sollte untersuchen, ob das Linux-System nach dem Stand der Technik installiert ist und betreiben wird und ob z.B. Tätigkeiten revisionssicher protokolliert werden. Hierzu habe ich das System und dessen Konfiguration untersucht und die Ergebnisse in einem Bericht zusammengestellt.
Aufgaben:
Sicherheitsanalyse
Abschlussbericht und -präsentation
Ein mittelständisches Unternehmen suchte Ideen, weitere IT-Security-Produkte zu entwickeln, die zum bestehenden Portfolio und zur Unternehmenskultur passen. Im Rahmen eines Workshops mit vier anderen Experten stellte ich mein Know-How und meine Kenntnisse über Markt und Kunden bereit.
In einer Privatklinik musste das bislang undokumentierte Netzwerk analysiert und dokumentiert werden.
Aufgaben:
Alle, auch bislang unbekannte, Geräte im Netz aufspüren
Unbekannte Geräte identifizieren
Erstellen einer Geräteliste
Für eine neue Forschungsabteilung in China werden die IT-Infrastruktur und die Anwendungen aufgebaut. Dabei sollen der Informationsschutz und die IT-Sicherheit früh berücksichtigt werden, ehe Strukturen in Stein gegossen werden. Zudem ist ein bestehender Freigabeprozess zu verbessern, und für die Beteiligten transparent darzustellen.
Aufgaben:
Beraten der Teil-Projekte und Anwendungsentwicklung zur IT-/Info-Sicherheit
Erstellen von Schutzbedarfsfestellungen, Risiko- und Sicherheitsanalysen sowie Sicherheitskonzepten
Durchdringen und Überarbeiten des Freigabeprozesses
Besonderes:
neu strukturieren des Genehmigungs-Prozesses
Sicherheit bei UCS/Siemens Teamcenter
Unterstützung beim Erstellen von Risikoanalysen mit ISF IRAM für Bedrohungen und Schwachstellen und FMEA für die Bewertung der Maßnahmen..
Aufgaben:
Erstellen von Risikoanalysen (mit ISF IRAM und FMEA)
Vergleichende Bewertung von Maßnahmen mit anderen Unternehmen
Organisation ?IT-Security live?
seit 2012
Für das Germany Chapter der ACM übernahm ich die Organisation der IT-Security live. Hierzu gehörte:Leiten des Organisations-Team, Bereitstellen der Online-Collaborations-Plattform; Ansprechen von Referenten und Teilnehmern; Organisation vor Ort, incl. Vorabendprogramm; Nachbereitung.
IT-Security für eine agile Internetplattform
2012/3
Das Unternehmen betreibt einen Internetplattform und plant einen Release-Zyklus von wenigen Stunden. Als Konzerntochter unterliegt es harten Vorgaben, die für diese Unternehmen angepasst werden müssen. In einem Workshop erarbeitete ich mit dem IT-Leiter, wie dort IT-Security passend aber dennoch gut implementiert werden kann. Ziel ist dabei, schlanke Prozesse zu haben, die die Agilität nicht einschränken.
Firmengröße: ca. 100 Personen, Konzerntochter
Reimplementierung von ?gitflow? in Python
2012/2 ? 2012/3
Das Tool ?gitflow? vereinfacht es, vorgegebene Workflows im Git DVCS einzuhalten. Allerdings ist es in Bash-Script implementiert und damit weder plattform-unabhängig noch erweiterungsfreundlich. Mit einer Reimplementierung in Python konnten diese Einschränkungen behoben werden. Die Entwicklung wurde komplett mit Unittests realisiert.
Umfeld: Git DVCS, Python, Shell-Script, tox, unittest2
Schulung ?IT-Sicherheitsbeauftrager?
2012/3
Ich bin kurzfristig (4 Tage vorher) für einen ausgefallen Dozenten eingesprungen.
Migration von Subversion (SVN) auf Git
2011/12 ? 2012/1
Ziel war, die Zusammenarbeit des verteilten Entwicklerteams durch ein verteiltes Versionsverwaltungssystem (DVCS) zu verbessern.
Im Rahmen des Projekts habe ich den die Auswahl des DVCS vorbereitet (Mercurial oder Git), die Scripte für die Migration erstellt, und die Qualität des Ergebnisses gesichert. Zusätzliche habe ich den neuen Workflow entwickelt und dokumentiert.
Umfeld:Git, Mercurial, Subversion (SVN), Python, Shell-Skript
Policy für die Reorganisation von Netzwerk-Diensten
Herbst 2011
Ein genossenschaftliches Rechenzentrum plante die Umstellung der internen
Netz-Infrastruktur: Netzwerk-Dienste sollten zentralisiert werden. Hier galt es,
die ?aus dem Bauch?-Regeln in eine Policy zu überführen, um die Entscheidungen
nachvollziehbar und besser begründbar zu machen. Meine Aufgabe als Sparings-Partner war,
diese Policy zusammen mit dem intern Verantwortlichen zu entwickeln. Dies geschah in
mehreren, sehr intensiven 2-Tages-Workshops. Deren Ergebnisse habe ich dann in als
Policy-Dokument formuliert.
Branchen:Rechenzentrum
Umfeld:ISO 27000, Netzwerksicherheit
Firmengröße: ca. 5900 Personen
Aufbau eines Information Security Management Systems incl. Organisation
1/2011 ? 9/2011
Für ein mittelständisches Unternehmen sollte anfänglich lediglich eine IT-Security-Policy erstellt werden. Es stellte sich aber schnell heraus, das auch das Leitbild, die Strategie und die Organisation der Informationssicherheit nicht geklärt sind. Ich entwarf diese, band die unterschiedlichen Stakeholder ein und führte eine Entscheidung der Geschäftsführung herbei. Hierzu gehörte auch, die Rolle des Informationssicherheitsbeauftragten (ISO) zu definieren, dessen Rechte und Aufgaben und die Zusammenarbeit innerhalb des Unternehmens festzulegen.
Branchen:Telekommunikation
Umfeld:BSI Grundschutz, ISO 27000
Firmengröße: ca. 750 Personen
Software-Audits
9/2010 ? 12/2010
Im Rahmen des Abnahmetests von Anwendungen war unter anderem die ?Sicherheit? zu testen. Dies reichte vom Prüfen der Sicherheits- und Datenschutzkonzepte über Prüfen der korrekten Installation (nach Konzernvorgaben und best-practice) bis zur Suche von Lücken in der Anwendung.
Ich war zuständig für den Enterprise Service Bus, der mittels MQ implementiert ist. Ich erarbeitete für das Team Grundlagen und Test für MQ und lieferte Ideen und Grundlagenwissen.
Branchen:IT-Dienstleister
Umfeld:Webtechniken, Webshere MQ Series
Firmengröße: Konzern (in D)
Schwachstellen-Test für Massen von Geräten ? Design und Implementierung
3/2010 ? 7/2010
In einem Netzwerk sollen rund 80.000 Geräte auf Schwachstellen untersucht werden. Wegen der Größe des Netzes schied ein kommerzieller Anbieter aus. [Name auf Anfrage] entwickelte ein datenbankgestütztes System, um Geräte(-klassen) für Scan-Aufträge auszuwählen. Scan-Aufträge werden dann automatisch an entfernte Sensoren (Slave-Scanner) zu übermitteln, die Ergebnisse eingesammelt und ausgewertet. Bei Bedarf werden ebenfalls automatisch Tickets im Trackingtool angelegt, die alle nötigen Informationen und Links auf den Report enthalten.
Branchen: Logistik
Firmengröße: ca. 150.000 Personen (in D)
Umfeld: Eigenverantwortliches Arbeiten, OpenVAS / Nessus, NASL, Vulnerability Scanner, Shell-Scripts, Python, OpenSSH, MySQL, Web
Projektleitung und Konzept zur Beseitigung von ?Altlasten" im Netzwerk
11/2009 ? 12/2009
In einem Netzwerk mit rund 140.000 Geräten sollen alle Geräte, die bislang nicht in den obligatorischen Sicherheitsprozesse eingebunden waren, identifiziert und auf ihre Sichheitsrelevanz überprüft werden. Viele Parameter des Projekts sind hierbei unklar: Etwa die auch nur ungefähre Größenordnung der bekannten und unbekannten Systeme im Netz oder die möglichen Datenquellen für Bestands- und Live-Daten.
Der Consultant erstellte als Projektleiter ein Konzept, um die betroffenen Geräte im Netz ausfindig zu machen. Daran anschließend entwickelte er aus den gesammelten Daten ein dreistufiges Prüfkonzept: Es beschreibt die Methodik und Vorgehensweise, die benötigte Projekt-Infrastruktur und einen Projektplan. Anhand dieser Vorgaben ist der Kunde in der Lage, das Hauptprojekt zu budgetieren und selbständig durchzuführen.
Umfeld: Eigenverantwortliches Arbeiten, Selbstständige Arbeitsweise, Kenntnisse zu Infrastruktur-, System- und Applikationssicherheit
Firmengröße: ca. 150.000 Personen (in D)
Umfeld: Eigenverantwortliches Arbeiten, ausgeprägtes
Kommunikationstalent und Arbeiten im Team, ausgeprägtes Talent
auch nicht-technische Inhalte zu vermitteln. IT-Security
Management, ISO 27000, Grundschutz, ITIL,CVSS., Kenntnisse zu
Infrastruktur-, System- und Applikationssicherheit, Security
Architektur, umfangreiche Erfahrungen beim Review von
Projektdokumentationen, Verträgen und Fachkonzepten.
Firmengröße: Bis 12.000 Personen (in D)
Branche: Versicherungen
11/2008 - 11/2008
Umfeld: Eigenverantwortliches Arbeiten, Firewall, FWBuilder,
Redhat Enterprise Linux (RHEL5), iptables
iptables-xml, Shell-Scripts, X.509-Zertifikate,
Lizenzmanagement, Unix-Härtung
Firmengröße: Bis 10000 Personen
Branchen: Versicherungen
Umfeld: JavaScript, X.509-Zertifikate, Mozilla Thunderbird, XUL
Eine Bank will die Anbindung der Filialen nicht mehr über das MPLS-Netz des Rechenzentrums anbinden, sondern kostengünstig über DSL und IPSec-VPN. Die Risikoanalyse sollte dem Vorstand Gewissheit geben, ob Vertraulichkeit, Verfügbarkeit und Integrität erhalten bleiben. Hierzu entwickelte der Consultant einen Baustein für das BSI Grundschutzhandbuch/Grundschutzkataloge. Der Vorstand erhielt hiermit eine Entscheidungsgrundlage und die Administratoren einen Priorisieren Maßnahmenkatalog.
Branchen: Banken
Auf der Konferenz DACH Security 2008 hier der Consultant einen Vortrag zum Konzept Jericho der OpenGroup. Provokanter Titel: Kann man Firewalls wirklich abschaffen?
Der Vortrag wurde in einem Call-for-Paper-Verfahren ausgewählt.
Im Mai wurde bekannt, das Debian/Linux ca. 2 Jahre lang vorhersagbare, also "schwache" kryptographische Schlüssel erstellt hat. Der Consultant entwickelte ein Tool, um diese Schlüssel in Zertifikaten, SSH-Keys, etc. zu suchen. Während alle anderen Tools nur unter Unix/Linux arbeiten, ist diese Tool plattformunabhängig und unterstützt viele Formate. Der Kunde war damit in der Lage, auch unter Windows schwache Schlüssel zu finden und Sicherheitsrisiken zu eliminieren.
Anforderung des Kunden: Nach dem kompletten Neuaufbau eines komplexen Netzwerks mit cirka 200 Standorten sollte eine Sicherheitsprüfung für die Endabnahme der Neuinstallation durchgeführt werden. Die besondere Herausforderung dieser Sicherheitsprüfung bestand darin, dass jeder Standort von einer Firewall sowie einem IPS abgesichert ist, was die Ergebnisse stark verzerren kann. Die Sicherheitstests mussten demnach so konzipiert werden, dass sie sinnvolle und aussagekräftige Ergebnisse lieferten.
Leistungen vom Consultant: Ich entwickelte die Sicherheitprüfung und die Vorgehensweise und dokumentierte beides. Der Endkunde war damit in der Lage, die Endabnahme selbst durchzuführen.
Zu diesen Aufgaben kam noch die Qualitätssicherung der Konfig-DB sowie des DNS hinzu. Da diese vom zuständigen Projektteam nicht zuverlässig gepflegt wurden, mussten Fehler und Inkonsistenzen gefunden werden.
Um sicher zu stellen, ob auch wirklich alle Daten vollständig, konsistent und korrekt vorliegen, habe ich Skripts erstellt, die diese Aufgabe zuverlässig und fehlerfrei durchführen - bei mehreren tausend Geräten ist dies nicht mehr manuell möglich.
Dies ist ein Folgeauftrag im gleichen Projekt "Produktivitätssteigerung durch Automatisierung" vom Herbst 2007.
Branchen: Behörden, Sonstige
Umfeld: bind9, DNS, NEC, Python, SNMP, XML, XSLT, nessus, Audit
Firmengröße: Bis 50000 Personen
Abteilungsgröße: Bis 50 Personen
In einer Bank sollten ausgewählte Aspekte der IT-Sicherheit überprüft wurden. Die Prüfung orientierte sich am BSI-Grundschutz-Handbuch. Schwerpunkte waren
Mit dem vom Consultant erstellten Abschlußbericht erhielt der Vorstand der Bank Gewissheit über die Sicherheitslage der IT in seinem Hause.
Branchen: Banken
Umfeld: BSI Grundschutzhandbuch, BSI Grundschutzkataloge
Benötigt wurde ein Konzept für den Betrieb von ipfilter und IPSec unter HP-UX. Dieses sollte eine möglichste einfache Administration dieser komplexen Materie ermöglichen, ausbaufähig sein und die Security-Anforderungen erfüllen. Die bestehenden prozesse sollte
möglichst unverändert bleiben.
Der Consultant erstellte das Konzept, kläre die sicherheitsrelevanten Fragen mit dem ISO und implementierte die benötigten Skripte. Er schulte die Administratoren und half bei der Inbetriebnahme und erstellte das Betriebshandbuch (in Form eines Cookbooks). Für die Absicherung der Konfigurationen werden X.509-Zertifiakte verwendet.
Die Herausforderung bei diesem Projekt war, auf mehreren Ebenen komplexe Vorgänge zu berücksichtigen, die sich gegenseitig beeinflussen: Sicherheit, Prozess, Technik, Know-How der Mitarbeiter, zukünftige Planung. Dies ist dem Consultant gelungen.
Branchen: Versicherungen
Umfeld: Auffassungsvermögen, Firewall, HP-UX, ipfilter, ipsec,
Linux, Perl, Selbstständige Arbeitsweise, Shell-Scripts,
SSH (Secure Shell, X.509-Zertifikate, XML, XPATH, FWBuilder
In circa 200 Sites mussten Cisco-Komponenten (um-)konfiguriert und die Qualität gesichert werden. Hierzu habe ich einige Skripte erstellt, die die Aufgabe schnell und mit weniger Fehlern erledigten. Damit habe ich auch die Produktivität der anderen Projektmitarbeiter erhöht und die Fehlerquote reduziert. Die gewonnene Zeit habe ich genutzt, um weiter Skripte zur Qualitätsicherung zu erstellen. Beispielsweise zu einem Abgleich der Konfig-DB mit dem Konzept. Die Skripte wurden auch nach meinen Weggang bis zum Projektende (März 2008) eingesetzt.
Ein Lösungsvorschlag vom Consultant sparte bereits in der ersten Projektwoche ca. 200.000 ?, da die Anfahrten zu den 200 Sites eingespart werden konnten.
Branchen: Behörden, Sonstige
Umfeld: CISCO Router, Python, Telnet, Cisco Switches, Cisco PIX,
SSH (Secure Shell, OpenSSH, etc.)
Firmengröße: Bis 50000 Personen
Abteilungsgröße: Bis 50 Personen
Bei einem SAP-System mit Web-Frontend sollte der externe ITS (AGate/WGate) entfernt werden und der Zugriff direkt auf das SAP-System im LAN erfolgen. Die Komponenten in der DMZ sollten komplett entfallen und durch eine Absicherung durch IPSec/ipfilter ersetzt werden.
Meine Aufgabe in diesem Projekt war, die geänderte Sicherheitsarchitektur zu bewerten. Der SAP-Bereich wurde durch ein anderes Team-Mitglied beigesteuert. Weitere Aufgaben: abteilungsübergreifende Interviews durchführen, Architektur erarbeiten, Machbarkeit prüfen, Risikobewertung abgeben, Projektplan erstellen, Review des Berichts.
Branchen: Versicherungen
Umfeld: ITS, SAP, ipsec, ipfilter
Firmengröße: Bis 10000 Personen
Ein Mailserver mit ca. 550 Mailkonten sollte auf eine neue Hard- und Software migriert werden. Dies beinhaltete auch die Anpassung der Daten und Konfiguration an die neue Software. Durch gründliche Vorbereitung und das Erstellen von Migrations-Skripten konnte die Downtime des Systems auf ca. 20 Minuten beschränkt werden.
Branchen: Werbeagentur
Umfeld: IMAP, mySQL, POP3, cyrus, postfix, clamav, Spamassasin,
Web-cyradm, Squirrelmail, Suse Linux Enterprise Server (SLES)
Firmengröße: Bis 100 Personen
Ein Bremer Unternehmen benötigte einen VPN-Zugang für seine münchner Mitarbeiterin, dies sollte während eines Aufenthalts der Mitarbeiterin in Bremen eingerichtet werden. Der bisherige Dienstleister hatte zwei Wochen Vorlauf, nahm mehrmals den Laptop der Mitarbeiterin über Nacht mit und hatte das VPN noch immer nicht eingerichtet: "Ich benötige das Laptop noch für letzte Arbeiten." der Consultant wurde gebeten, die Aufgabe zu erledigen. Mittels Fernzugang (VNC) wurde das Projekt kurzfristig innerhalb von 2 Arbeitstagen abgeschlossen. Das Unternehmen bekam eine Anleitung, mit der es weitere Mitarbeiter selbständig anbinden kann.
Umfeld: Windows, OpenVPN, X.509-Zertifikate
Die Email-Adressen und Postanschriften von Kunden werden im
ERP-System gepflegt. Diese Daten sollen verschiedenen Programmen
(insbesondere Mail-Clients) auf unterschiedlichen Plattformen zur
Verfügung stehen, u.U. auch offline. Der Consultant entwarf eine
Lösung und implementierte sie: Die Adressen im ERP-System liegen in
einer SQL-Datenbank. Auf diese wird per OpenLDAP zugegriffen und
den Benutzern per LDAP zur Verfügung gestellt. Zur Realisierung
gehörten de Auswahl des passenden LDAP-Schemas, Planung des
Mappings, Umsetzen in SQL.
Umfeld: OpenLDAP, PostgresSQL, TinyERP
Einführung in Unix/Linux, Bash-Programmierung, Firewalltechnik und
viele, viele Praxistipps (Tastenkürzel, etc.).
Branche: Logistik
In einer Bank sollten ausgewählte Aspekte der IT-Sicherheit
überprüft wurden. Die Prüfung orientierte sich am
BSI-Grundschutz-Handbuch. Schwerpunkte waren
- Organisatorische Mängel bei der Dokumentation (K-Fall-Handbuch,
Orga-Handbuch)
- Möglichkeiten, von außen in das PC-Netz einzudringen
(Penetrationstest).
Mit dem vom Consultant erstellten Abschlußbericht erhielt der
Vorstand der Bank Gewissheit über die Sicherheitslage der IT in
seinem Hause.
Branche: Banken
Umfeld: Grundschutz, GSHB, BSI-Grundschutzhandbuch
Für den Online-Auftritt einer Zeitschrift (living-technology)
entwickelte der Consultant ein Rechtekonzept. Die Steuerung der
Rechter erfolgt über Rollen. Es gibt interne und externe Autoren,
leitende Redakteure, eine Chefredaktion, "Heftpfleger" und eine
Rolle für den "Webmaster". Der "Zustand" einer Artikels wird über
Workflows gesteuert.
Die (technische) Struktur der Website musste mit dem Rechtekonzept
zusammenpassen. Hier war eine enge Zusammenarbeit mit dem Webmaster
und Web-Programmierer nötig.
Der Consultant zeigte gutes Verständniss der Prozesse in einem
(Zeitschriften-)Verlag und für die Belange eines
Online-Systems/Sebsite.
Branche: Verlagswesen
Umfeld: ZOPE CMS
In einem Windows-Netzwerk sollten die schlimmsten Schwachstellen
gefunden werden.Dem Kunden konnten etliche Wege genannt werden,
über die ein Angreifer sensible Daten anziehen oder manipulieren
kann,
Branchen: EDV-Dienstleistungen, SW-Produkthersteller
Firmengröße: Bis 50 Personen
Die redundanten Komponenten eines komplexen Netzwerkes sollten in
unterschiedliche Brandabschnitte verteilt werden. Ein aktuelle
Dokumentation der Verkabelung und Komponenten existierte nicht. Im
Projektteam übernahm der Consultant die Aufgabe, alle erreichbaren
Komponenten automatisch zu inventarisieren. Durch die automatische
Auswertung bleibt die Liste immer aktuell. Die Daten Geräte werden
per SNMP, Telnet- und SSH-Login abgefragt.
Die Auswertungen helfen, unbekannt Geräte aufzuspüren ("Da muss
noch ein Switch dazwischen sein, den wir noch nicht kennen") und
Leitungen zwischen den Geräten zu finden.
Umfeld: mySQL, Python, Router, SNMP
Die Tippingpoint IPS mit 2x2 Sensoren wurde nach der Installation
in den Betrieb übergeführt. Der Consultant analysierte die
Möglichkeiten für Monitoring, Betrieb und Troubleshooting. Wichtig
war, möglichst viele Standard-Aufgaben automatisch zu erledigen.
Nach dem Erstellen des Betriebshandbuches wurden die
Administratoren eingewiesen.
Umfeld: Analyse, Tippingpoint
Für einen neu gegründeten Zeitschriftenverlag sollte die
IT-Infrastruktur geplant werden, incl. VoIP-Infrastruktur und
Auswahl des Redaktionssystem für die Webpräsenz. Besondere
Herausforderungen waren: Zusammenarbeit mit vielen externen
Mitarbeitern, "virtuelles Unternehmen" ohne eigene Büroräume, sehr
geringes Budget. Durch die Kombination mehrere Internet-basierter
Tools (meist Open-Source) konnte eine effizienten Zusammenarbeit
der verstreuten Mitarbeiter erreicht werden. Eine externe
VoIP-Telefonanlege erlaubt das Telefonieren mit Nebenstellen,
obwohl die Mitarbeiter deutschlandweit verteilt sind. Das
ausgewählte CMS ermöglichte es, die Webpräsenz schnell zu
implementieren. Deren Fähigkeiten wurde von den Besuchern
ausdrücklich gelobt und übertrifft ge bei weitem.
Branche: Verlagswesen
Umfeld: ZOPE CMS, VoIP, Voice over IP
Im Rahmen eines geänderten ITIL-Change-Prozesse entwickelte der
Berater das System der Change-Kennziffern weiter und beschrieb
Change-Auswirkungen und -Risiken von über 40 komplexen Systemen.
Dem Change-Management lieferte er wichtige Erfahrungen aus der
Sicht der Administratoren, um das Change-Management-Tool
brauchtbarer zu gestalten. Den Administratoren brachte er die
Änderungen nahe und erhöhte deren Akzeptanz für den (ungeliebten)
Change-Prozess. Da das Change-Management-Tool nicht alle Bedürnisse
der Administratoren abdecken kann, implementierte er ein sog. Wiki,
um den Arbeitsaufwand zu optimieren.
Die Studie lieferte der Geschäftsführung die notwendigen
Entscheidungsgrundlage für den zukünftigen VPN-Einsatz. Dies
beinhaltet den zukünftigen Bedarf, die technischen
Lösungs-Alternativen mit ihren Vor- und Nachteilen sowie die
Ermittlung der Kosten der verschiedenen Alternativen.
Branchen: Unterhaltung
Umfeld: OpenSSL, VPN
Im Rahmen eines Forschungsprojekts habe ich mich in
IPv6 eingearbeitet. Ziele waren die Umstellung eines
LANs auf IPv6 und die Realisierung eines zugehörigen
VPNs. Letzteres wurde mittels OpenVPN realisiert, da
die Remote-User häufig durch HTTP-Proxies arbeiten
müssen. Die Ergebnisse dierForschungen werden in
einem Artikel der Zeitschrift iX veröffentlicht.
Weitere Projektinhalte: Entwickeln eines flexiblen
IP-Adress-Schemas, Konzeption des Routings. Erstellen
benötigter Konfigurations-Dateien und -Skripte.
Umfeld: TCP/IP, VPN, IPv6, OpenVPN
zur Restrukturierung
Eine DMZ-Umgebung mit 9 Firewall-Clustern, ca. 40
anfangs bekannten Routern und einer unbekannten Anzahl
weiterer Router sollte restrukturiert werden. Dies
weitete sich um Laufe des Projekts zu über 100 Knoten
und fast 500 Netzsegmenten aus.
Meine Aufgabe bestand darin, möglichst viele
brauchbare Informationen über diesen Netzbereich zu
erhalten, um die Änderungen planen und durchführen zu
können. Dies waren insbesondere: Welche Knoten dienen
als Gateway/Router, welche Routen und Segmente
existieren, werden überall die korrekten Netzmasken
verwendet, etc.
Wegen der schieren Menge der Knoten und weil während
der Projektlaufzeit ständig Änderungen durchgeführt
wurden, kam nur ein automatisiertes Vorgehen in Frage.
Mit Tool, die ich hierfür entwickelte, wurde die
Konfiguration der Knoten ausgelesen und in eine
Datenbank aufbereitet. Ein Modell des Netzwerkes
ermöglicht es, die gewünschten Auswertungen zu
erstellen und Simulationen durchzuführen. Branchen:
EDV-Dienstleistungen, Telekommunikation
Firma/Institut: Großer IT-Dienstleister (> 10.000 Mitarbeiter)SNMP, Shell-Scripts, TCP/IP, Unix, SUN OS, Solaris,
Unix (SCO, Sinix Aix, Linux etc.), Checkpoint, Cisco,
Foundry, Nokia IPSO, NetApp NetChache
Spanien
Folgende Herausforderungen wurden hierbei bewältigt:
· Der Relay-Server wurde in Spanien installiert, wobei unklar
war, ob Remote-Access auf die Maschine möglich sein wird.
· Es existierte weder ein Netzplan noch genaue Vorgaben für
die Netz-Konfiguration. Diese wurden in Zusammenarbeit mit
spanischem Personal erarbeitet.
· Bei Inbetriebnahme wurde die Fehlerbehebung über "Remote-
Hands" am Telefon durchgeführt.
· Es handelt sich nur um eine Übergangslösung, daher musste
ein guter Kompromiss zwischen Sicherheit und zu treibendem
Aufwand gefunden werden.
DV-Umfeld: Internet, Linux, SMTP, Groupwise, postfixFirewalls, VPN
Live-Hacking Workshops
Entscheidungshilfen für die Planung offener Unternehmensnetze
Software: IPSec, MPLS, SSLThemenkomplex: Security
Prozessoptionierungen und -automatisierungen
Coaching der Administratoren
Reverse-Engineering und Dokumentations der bestehenden Mailserver-Infrastruktur
Erarbeiten eines Verbesserungskonzeptes
Umstellen einer Server-Farm auf postfix mit MailScanner
Restrukturieren der DNS-Infrastruktur (hidden primary)
Überarbeiten der Zonefiles für ca. 4000 Domains
Software: sendmail, postfix, MimeSweeper, amavisd, MailScanner, bind8, bind9, HP-UX, Sun Solaris, Linuxschwachen Passwörtern
Die Administratoren wurden in die Lage versetzt, diese
Überprüfungen zukünfitg selbständig durchzuführen.
Software: GNU/Linux, Suse-Linux, OpenVMS, X11, KDEOnline-Fragebögen
Einarbeiten in soziologische Frageweisen
Design und Implementierung der Software
Um das Programm für zukünfitge Erweiterungen (XFroms, andere
Datenbanken) vorzubereiten, wurde mit Factory-Pattern
gearbeitet.
Software: GNU/Linux, Windows, Python, PHP, MySQL, Factory-Pattern, MixinsDie X11-Anwendung der Leitstelle stellt Ihre Fenster bislang
auf einem X-Server unter Windows dar. Die sollten durch Linux-
basierte X-Server ersetzt werden. Da die X11-Anbindung der
Anwendung einige Implementierungs-Fehler hat, mussten kreative
Lösungen gefunden werden.
Analyse der Anforderungen; Anpassen des Tastatur-Layouts;
Untersuchen der Fehlerursachen; Erarbeiten von Lösungen;
Umsetzung; Backup-Strategie; Workshop zur Weitergabe des Wissens
Software: GNU/Linux, Suse-Linux, OpenVMS, X11, KDEThemenkomplex: Security, ThinClients
Grundschutzhanbuch als Umsatz-Chance
Bestandsaufnahme
Auswertung
Erstellen eines Gutachtens
Software: GNU/Linux, Suse-Linux, Knoppix, Python, Shell-ScriptingFunktions-Analyse
Redundanz-Analyse
Design der Bibliothek
Refaktorierung
Testing
Software: GNU/Linux, Python, C++, capisuiteAnforderungsanalyse
Auswahl geeigneter Software
Erstellen des Pflichtenheftes
Datenbankdesign
Definition der Schnittstellen
Implementierung und Test
Software: Zope, Python, Plone, OpenGroupware, MySQL, PostgreSQLEntwickeln der Inhalte
Erstellen der Schulungsunterlagen
Einrichten des "Labors"
Durchführung von entsprechenden Workshops
Planung, Implementierung
Schulung der Administratoren und der Anwender
Checkpoint Firewall-1/VPN-1
Hardware: Nokia IPBewertung, Evaluation der Produkte
Projektvorbereitungen
Projektierung und Implementierung
Anbindung der Aussenstellen
Checkpoint Firewall-1/VPN-1
Hardware: Nokia IPEinführung und Schulung der Administratoren
Software: Checkpoint Firewall-1/VPN-1Mitarbeit bei der Entwicklung eines Produktes "Managed Firewall"
Incl. Marktanalyse, Konkurrenz-Analyse, Marketing, Strategie-Enwicklung, etc.
Migration zu Checkpoint FW-1
Projektierung und Implementierung
Software: Checkpoint Firewall-1/VPN-1Planung eines hochverfügbaren Firewall-Clusters
Projektierung und Implementierung
Anbindung der Aussenstellen
Remote-Access für Aussendienst und IT-Abteilung
Einführung und Schulung der Administratoren
Software: Checkpoint Firewall-1/VPN-1Webfarm/DMZ steht beim Provider und wird über eigene Leitungen angebunden
Planung der hochverfügbaren Firewall-Clusters
Redundante WAN-Anbindung über direkt angeschlossenes X.21 an unterschiedliche POPs
Projektierung und Implementierung
Software: Checkpoint Firewall-1/VPN-1Anleitungen, Checklisten, Fragebögen, Vorlagen
Wechsel auf nächste Major Release
Planung, Projektierung, Umsetzung
Software: BorderwareMein Angebot
Erstellen von Risikoanalysen
Erarbeiten von Security-Policies
Planen und Prüfen von Sicherheitsarchitekturen
Konzipieren & Aufbauen von Information Security Management Systemen (ISMS)
Entwickeln von Strategien für Informationssicherheit
Interims-Management für Informationssicherheit
Für diese Aufgaben stehe ich Ihnen tageweise oder für längere Einsätze zur Verfügung.
Ihr Nutzen
Sie erhalten konkrete Lösungen, die zu Ihren Bedürfnisse und Ihren Unternehmenszielen passen.
Ich empfehle Ihnen nur Maßnahmen, die sich umsetzen und in der Praxis betreiben lassen.
Sie profitieren von meinen Erfahrungen aus anderen Unternehmen.
Sie sind für zukünftige Anforderungen gerüstet.
Sie nutzen mein aktuelles Wissen und über 17 Jahren Erfahrung.
Erfahrungen
Seit über 17 Jahren in der IT-Security tätig
Umfangreiche Kenntnisse der einschlägigen IT-Security Standards wie ISO 27001, BSI IT-Grundschutz und zugehöriger Methoden sowie gesetzlicher Anforderungen
Profunde technische Kenntnisse in Netzwerk-Sicherheit, Web-Application, Protokolle & Standards, Datenbanken, Verschlüsselung, Unix
Langjährige Erfahrung im Programmieren
Händchen für Prozesse und Organisation
betriebswirtschaftliche Kenntnisse
Diverse Vorträge und Veröffentlichungen in renommierten Zeitschriften
Ausbildung
Diplom-Informatiker (univ.)
CISSP - Certified Information Systems Security Professional (ISC)²
CSSLP - Certified Secure Software Lifecycle Professional (ISC)²
Certified ISO 27001 Lead Implementer (PECB)
ITIL Foundation Zertifikat
Fortbildungen zu Management und Personalführung
Weiterbildungen in den Bereichen Moderation, Präsentation, Projektmanagement
Persönliche Stärken
kann sehr gut abstrahieren und strukturieren
sehe Dinge, die andere nicht sehen
bin durchsetzungs-, konflikt- und teamfähig
stelle auch unbequeme Fragen
habe eine professionelle und zuverlässige Arbeitsweise
treffe Entscheidungen
Was mich besonders macht
bin ?Überzeugungstäter? ? als Informatiker, Programmierer und System-Admin.
bin gut vernetzt mit anderen Praktikern der Informationssicherheit: Seit 2011 organisiere ich die Konferenz ?IT Security live? für die ACM (Association of Computing Machinery). Ich bin aktives Mitglied im deutschen Chapter des (ICS)² und beteilige mich an dessen regelmäßigen Treffen.
weiß, wovon ich rede: Beschäftige mich seit meiner früher Jugend mit Computern und experimentiere noch heute laufend mit Neuem
akzeptiere nicht jedes ?geht nicht?: Ich weiß aus Erfahrung, dass es sehr oft doch eine Lösung gibt.
bin immer am Ball: Lese regelmäßig mehrere Fachzeitschriften, unzählige Mailinglisten, Newsticker und Blogs und bin damit über die neusten Trends und Techniken auf dem Laufenden.
bin Praktiker: Ich betreibe meine eignen IT-Systeme und entwickle Open-Source-Software.
lege Hand an: Hilft es dem Kunden, schreibe ich ein paar Makros oder Scripte.
beschäftige mich mit Auswirkungen der IT in der Gesellschaft: Datenschutz, Schutz der Privatsphäre und Überwachung sind meine Themen. Daher bin ich aktives Mitglied bei Digitalcourage e.V.
Experte, mehr als 10 Jahre Erfahrung
meine Arbeitsplattform für alles
Unix (Solaris, HP-UX, Sinix, AIX, etc.): Experte, seit 1990, laufendverwende ich, wo immer möglich
Spezialität: Python Bytcode decompiler
Shell-Scripts (bash, csh, sh, Posix): Experte, >10 Jahre, zuletzt in 2008Spezialität: Posix-Complient Scripte
XML, XSLT, XPATH, etc.: Fortgeschrittener, > 5 Jahre, zuletzt in 2008Spezialität: Perl-to-Python-Konverter
TeX, LaTeX: Fortgeschrittener, > 4 Jahre, zuletzt in 2005Spezialität: Compiler für Oberon-2 entwickelt
HTML, CSS, Javascript: FortgeschrittenErfahrungen
Seit über 17 Jahren in der IT-Security tätig
Umfangreiche Kenntnisse der einschlägigen IT-Security Standards wie ISO 27001, BSI IT-Grundschutz und zugehöriger Methoden sowie gesetzlicher Anforderungen (z.B. BSDG, EU-DSGVO)
Profunde technische Kenntnisse in Netzwerk-Sicherheit, Web-Application, Protokolle & Standards, Datenbanken, Verschlüsselung, Unix
Langjährige Erfahrung im Programmieren
Händchen für Prozesse und Organisation
betriebswirtschaftliche Kenntnisse
Diverse Vorträge und Veröffentlichungen in renommierten Zeitschriften
Persönliche Stärken
kann sehr gut abstrahieren und strukturieren
sehe Dinge, die andere nicht sehen
bin durchsetzungs-, konflikt- und teamfähig
stelle auch unbequeme Fragen
habe eine professionelle und zuverlässige Arbeitsweise
treffe Entscheidungen
Was mich besonders macht
bin ?Überzeugungstäter? ? als Informatiker, Programmierer und System-Admin.
bin gut vernetzt mit anderen Praktikern der Informationssicherheit: Seit 2011 organisiere ich die Konferenz ?IT Security live? für die ACM (Association of Computing Machinery). Ich bin aktives Mitglied im deutschen Chapter des (ICS)² und beteilige mich an dessen regelmäßigen Treffen.
weiß, wovon ich rede: Beschäftige mich seit meiner früher Jugend mit Computern und experimentiere noch heute laufend mit Neuem
akzeptiere nicht jedes ?geht nicht?: Ich weiß aus Erfahrung, dass es sehr oft doch eine Lösung gibt.
bin immer am Ball: Lese regelmäßig mehrere Fachzeitschriften, unzählige Mailinglisten, Newsticker und Blogs und bin damit über die neusten Trends und Techniken auf dem Laufenden.
bin Praktiker: Ich betreibe meine eignen IT-Systeme und entwickle Open-Source-Software.
lege Hand an: Hilft es dem Kunden, schreibe ich ein paar Makros oder Scripte.
beschäftige mich mit Auswirkungen der IT in der Gesellschaft: Datenschutz, Schutz der Privatsphäre und Überwachung sind meine Themen. Daher bin ich aktives Mitglied bei Digitalcourage e.V.
Deutschland: Bevorzugt Großraum München oder Großraum Nürnberg. Kurzläufer auch bundesweit. ? Arbeitserlaubnis: EU-Bürger ? Weitere Länder: Bei längeren Einsätzen (> 4 Wochen) nur mit guter Erreichbarkeit von Landshut.
Arbeite nicht für Miitär, Geheimdienste und angehängte Industrie.
Eine NGO (Nicht-Regierungs-Organisation), das im Bereich Datenschutz, Privatsphäre und Überwachung tätig ist, suchte einen technischen Experten. Es sollen Anwendungen daraufhin untersucht werden, ob die sie Privatsphäre der Benutzer beeinträchtigen. Ich habe bei diesen Untersuchungen mitgearbeitet und daraus Empfehlungen entwickelt, welche die NGO veröffentlich hat.
Für
einen Anbieter einer neuartigen Verschlüsselungs-Software war ich
als Architekt für das Banking Produkt tätig. Die Aufgabe umfasste
die Software-Architektur, Deployment, Dokumentation, Kundenbetreuung.
Zudem war ich zuständig für Design und Entwicklung der
Softwarekomponente ?Enterprise Toolkit?.
Ein DAX-30-Unternehmen wollte die Patch-Management-Prozesse in den einzelnen Bereichen verbessern. Innerhalb des Projektteams aus zwei, teilweise auch vier, Beratern war ich zuständig für: Best-practice evaluieren, Marktübersicht Patch-Produkte erstellen und Produkt analysieren, Greenfield-Studies erstellen, Ist-Analysen der bestehenden Prozesse erstellen, Verbessungsvorschläge erarbeiten, neues Prozessdesign und deren Bescheibung, Traininsmaterial erstellen, Trainings durchführen, etc.
Als einziger von fünf Beratern war ich während der gesamten Projektlaufzeit dabei.
Für ein Unternehmen der Supply-Chain habe ich einen internen Audit des ?Thread and Vulnerability Management? Prozesses erstellt, Verbesserungsvorschläge erarbeitet und die Ergebnisse dem CISO präsentiert.
Das genossenschaftliches Rechenzentrum, für das ich schon 2011/2012 gearbeitet habe, stellt seine bestehende Netzstruktur komplett um. Das Ziel ist, viele ?Mikro-Perimeter? aufzubauen. Hier gilt es, sinnvolle Regeln zu erarbeiten, nach denen die Netzaufteilung gestaltet werden soll, und deren Begründung zu dokumentieren. Außerdem sollte bislang dezentral Geregeltes in die nächste Version der unternehmensweiten Policy aufgenommen werden und viele technische Richtlinien erstellt werden.
Im Laufe des Projekts wurde ich dann beauftragt, Policies für andere Themen sowie technische Richtlinien zu entwickeln. Für Teilaufgaben berichtete ich direkt an den CISO.
Aufgaben
Inhalte der neuen Sicherheitsrichtlinie entwickeln (gemeinsam mit dem intern Verantwortlichen)
Erstellen und Abstimmen der Sicherheitsrichtlinie und der technischen Richtlinien
Erstellen eines neuen Prüf-Fragebogens zur Risikobewertung
Erstellen eines neuen Administrations-Konzepts
Erweitern und überarbeiten der alten Policy für die Reorganisation von Netzwerk-Diensten
Unterstützung bei Sicherheitsprüfungen
Mitarbeit beim Audit-Konzept
Als Vorbereitung für den ISO-27001-Audit habe ich für ein Unternehmen der Supply-Chain Security-Richtlinien erstellt. Da der bisherige Berater ausgefallen war, musste ich binnen weniger Tage etwas brauchbares ?aus dem Hut zaubern? ? was mir gelungen ist.
Das genossenschaftliches Rechenzentrum, für das ich schon 2011/2012 gearbeitet habe, stellt seine bestehende Netzstruktur komplett um. Das Ziel ist, viele „Mikro-Perimeter“ aufzubauen. Hier gilt es, sinnvolle Regeln zu erarbeiten, nach denen die Netzaufteilung gestaltet werden soll, und deren Begründung zu dokumentieren. Außerdem sollte bislang dezentral Geregeltes in die nächste Version der unternehmensweiten Policy aufgenommen werden und viele technische Richtlinien erstellt werden.
Im Laufe des Projekts wurde ich dann beauftragt, Policies für andere Themen sowie technische Richtlinien zu entwickeln.
Aufgaben:
Inhalte der neuen Sicherheitsrichtlinie entwickeln (gemeinsam mit dem intern Verantwortlichen)
Erstellen und Abstimmen der Sicherheitsrichtlinie und der technischen Richtlinien
Erstellen eines neuen Prüf-Fragebogens zur Risikobewertung
Erstellen eines neuen Administrations-Konzepts
Erweitern und überarbeiten der alten Policy für die Reorganisation von Netzwerk-Diensten
Unterstützung bei Sicherheitsprüfungen
Mitarbeit beim Audit-Konzept
Besonderes:
intensive 2-Tages-Workshops zu Zweit
Mindmaps als Werkzeug zum Erstellen unterschiedlicher „Sichten“ der Dokumente
Das Unternehmen suchte Unterstützung für das Risk-Management-Team. Ich habe Analysen erstellt, unter welchen Voraussetzungen streng vertrauliche Daten in Cloud-Services verarbeitet werden könnten und welche Maßnahmen dafür nötig wären. Hierzu habe ich einen Anforderungen und einen Fragebogen für Lieferanten erstellt. Zusammen mit der Vertragsabteilung habe ich die Anforderungen in einen Vertragsanhang gegossen.
Aufgaben:
Risikoanalysen, insb. zu Cloud-Diensten
Erarbeiten von Anforderungen an Cloud-Provider für verschiedenen Vertraulichkeitsstufen von Daten
Erarbeiten eines Fragebogens an Cloud-Provider
Erarbeiten der Vertragsbestandteile für Cloud-Services
Überarbeiten des automatischen Reportings
Eine Bank betreibt ein CRM-System, auf das einige Benutzer sehr viele Rechte haben. Ich sollte untersuchen, ob das Linux-System nach dem Stand der Technik installiert ist und betreiben wird und ob z.B. Tätigkeiten revisionssicher protokolliert werden. Hierzu habe ich das System und dessen Konfiguration untersucht und die Ergebnisse in einem Bericht zusammengestellt.
Aufgaben:
Sicherheitsanalyse
Abschlussbericht und -präsentation
Ein mittelständisches Unternehmen suchte Ideen, weitere IT-Security-Produkte zu entwickeln, die zum bestehenden Portfolio und zur Unternehmenskultur passen. Im Rahmen eines Workshops mit vier anderen Experten stellte ich mein Know-How und meine Kenntnisse über Markt und Kunden bereit.
In einer Privatklinik musste das bislang undokumentierte Netzwerk analysiert und dokumentiert werden.
Aufgaben:
Alle, auch bislang unbekannte, Geräte im Netz aufspüren
Unbekannte Geräte identifizieren
Erstellen einer Geräteliste
Für eine neue Forschungsabteilung in China werden die IT-Infrastruktur und die Anwendungen aufgebaut. Dabei sollen der Informationsschutz und die IT-Sicherheit früh berücksichtigt werden, ehe Strukturen in Stein gegossen werden. Zudem ist ein bestehender Freigabeprozess zu verbessern, und für die Beteiligten transparent darzustellen.
Aufgaben:
Beraten der Teil-Projekte und Anwendungsentwicklung zur IT-/Info-Sicherheit
Erstellen von Schutzbedarfsfestellungen, Risiko- und Sicherheitsanalysen sowie Sicherheitskonzepten
Durchdringen und Überarbeiten des Freigabeprozesses
Besonderes:
neu strukturieren des Genehmigungs-Prozesses
Sicherheit bei UCS/Siemens Teamcenter
Unterstützung beim Erstellen von Risikoanalysen mit ISF IRAM für Bedrohungen und Schwachstellen und FMEA für die Bewertung der Maßnahmen..
Aufgaben:
Erstellen von Risikoanalysen (mit ISF IRAM und FMEA)
Vergleichende Bewertung von Maßnahmen mit anderen Unternehmen
Organisation ?IT-Security live?
seit 2012
Für das Germany Chapter der ACM übernahm ich die Organisation der IT-Security live. Hierzu gehörte:Leiten des Organisations-Team, Bereitstellen der Online-Collaborations-Plattform; Ansprechen von Referenten und Teilnehmern; Organisation vor Ort, incl. Vorabendprogramm; Nachbereitung.
IT-Security für eine agile Internetplattform
2012/3
Das Unternehmen betreibt einen Internetplattform und plant einen Release-Zyklus von wenigen Stunden. Als Konzerntochter unterliegt es harten Vorgaben, die für diese Unternehmen angepasst werden müssen. In einem Workshop erarbeitete ich mit dem IT-Leiter, wie dort IT-Security passend aber dennoch gut implementiert werden kann. Ziel ist dabei, schlanke Prozesse zu haben, die die Agilität nicht einschränken.
Firmengröße: ca. 100 Personen, Konzerntochter
Reimplementierung von ?gitflow? in Python
2012/2 ? 2012/3
Das Tool ?gitflow? vereinfacht es, vorgegebene Workflows im Git DVCS einzuhalten. Allerdings ist es in Bash-Script implementiert und damit weder plattform-unabhängig noch erweiterungsfreundlich. Mit einer Reimplementierung in Python konnten diese Einschränkungen behoben werden. Die Entwicklung wurde komplett mit Unittests realisiert.
Umfeld: Git DVCS, Python, Shell-Script, tox, unittest2
Schulung ?IT-Sicherheitsbeauftrager?
2012/3
Ich bin kurzfristig (4 Tage vorher) für einen ausgefallen Dozenten eingesprungen.
Migration von Subversion (SVN) auf Git
2011/12 ? 2012/1
Ziel war, die Zusammenarbeit des verteilten Entwicklerteams durch ein verteiltes Versionsverwaltungssystem (DVCS) zu verbessern.
Im Rahmen des Projekts habe ich den die Auswahl des DVCS vorbereitet (Mercurial oder Git), die Scripte für die Migration erstellt, und die Qualität des Ergebnisses gesichert. Zusätzliche habe ich den neuen Workflow entwickelt und dokumentiert.
Umfeld:Git, Mercurial, Subversion (SVN), Python, Shell-Skript
Policy für die Reorganisation von Netzwerk-Diensten
Herbst 2011
Ein genossenschaftliches Rechenzentrum plante die Umstellung der internen
Netz-Infrastruktur: Netzwerk-Dienste sollten zentralisiert werden. Hier galt es,
die ?aus dem Bauch?-Regeln in eine Policy zu überführen, um die Entscheidungen
nachvollziehbar und besser begründbar zu machen. Meine Aufgabe als Sparings-Partner war,
diese Policy zusammen mit dem intern Verantwortlichen zu entwickeln. Dies geschah in
mehreren, sehr intensiven 2-Tages-Workshops. Deren Ergebnisse habe ich dann in als
Policy-Dokument formuliert.
Branchen:Rechenzentrum
Umfeld:ISO 27000, Netzwerksicherheit
Firmengröße: ca. 5900 Personen
Aufbau eines Information Security Management Systems incl. Organisation
1/2011 ? 9/2011
Für ein mittelständisches Unternehmen sollte anfänglich lediglich eine IT-Security-Policy erstellt werden. Es stellte sich aber schnell heraus, das auch das Leitbild, die Strategie und die Organisation der Informationssicherheit nicht geklärt sind. Ich entwarf diese, band die unterschiedlichen Stakeholder ein und führte eine Entscheidung der Geschäftsführung herbei. Hierzu gehörte auch, die Rolle des Informationssicherheitsbeauftragten (ISO) zu definieren, dessen Rechte und Aufgaben und die Zusammenarbeit innerhalb des Unternehmens festzulegen.
Branchen:Telekommunikation
Umfeld:BSI Grundschutz, ISO 27000
Firmengröße: ca. 750 Personen
Software-Audits
9/2010 ? 12/2010
Im Rahmen des Abnahmetests von Anwendungen war unter anderem die ?Sicherheit? zu testen. Dies reichte vom Prüfen der Sicherheits- und Datenschutzkonzepte über Prüfen der korrekten Installation (nach Konzernvorgaben und best-practice) bis zur Suche von Lücken in der Anwendung.
Ich war zuständig für den Enterprise Service Bus, der mittels MQ implementiert ist. Ich erarbeitete für das Team Grundlagen und Test für MQ und lieferte Ideen und Grundlagenwissen.
Branchen:IT-Dienstleister
Umfeld:Webtechniken, Webshere MQ Series
Firmengröße: Konzern (in D)
Schwachstellen-Test für Massen von Geräten ? Design und Implementierung
3/2010 ? 7/2010
In einem Netzwerk sollen rund 80.000 Geräte auf Schwachstellen untersucht werden. Wegen der Größe des Netzes schied ein kommerzieller Anbieter aus. [Name auf Anfrage] entwickelte ein datenbankgestütztes System, um Geräte(-klassen) für Scan-Aufträge auszuwählen. Scan-Aufträge werden dann automatisch an entfernte Sensoren (Slave-Scanner) zu übermitteln, die Ergebnisse eingesammelt und ausgewertet. Bei Bedarf werden ebenfalls automatisch Tickets im Trackingtool angelegt, die alle nötigen Informationen und Links auf den Report enthalten.
Branchen: Logistik
Firmengröße: ca. 150.000 Personen (in D)
Umfeld: Eigenverantwortliches Arbeiten, OpenVAS / Nessus, NASL, Vulnerability Scanner, Shell-Scripts, Python, OpenSSH, MySQL, Web
Projektleitung und Konzept zur Beseitigung von ?Altlasten" im Netzwerk
11/2009 ? 12/2009
In einem Netzwerk mit rund 140.000 Geräten sollen alle Geräte, die bislang nicht in den obligatorischen Sicherheitsprozesse eingebunden waren, identifiziert und auf ihre Sichheitsrelevanz überprüft werden. Viele Parameter des Projekts sind hierbei unklar: Etwa die auch nur ungefähre Größenordnung der bekannten und unbekannten Systeme im Netz oder die möglichen Datenquellen für Bestands- und Live-Daten.
Der Consultant erstellte als Projektleiter ein Konzept, um die betroffenen Geräte im Netz ausfindig zu machen. Daran anschließend entwickelte er aus den gesammelten Daten ein dreistufiges Prüfkonzept: Es beschreibt die Methodik und Vorgehensweise, die benötigte Projekt-Infrastruktur und einen Projektplan. Anhand dieser Vorgaben ist der Kunde in der Lage, das Hauptprojekt zu budgetieren und selbständig durchzuführen.
Umfeld: Eigenverantwortliches Arbeiten, Selbstständige Arbeitsweise, Kenntnisse zu Infrastruktur-, System- und Applikationssicherheit
Firmengröße: ca. 150.000 Personen (in D)
Umfeld: Eigenverantwortliches Arbeiten, ausgeprägtes
Kommunikationstalent und Arbeiten im Team, ausgeprägtes Talent
auch nicht-technische Inhalte zu vermitteln. IT-Security
Management, ISO 27000, Grundschutz, ITIL,CVSS., Kenntnisse zu
Infrastruktur-, System- und Applikationssicherheit, Security
Architektur, umfangreiche Erfahrungen beim Review von
Projektdokumentationen, Verträgen und Fachkonzepten.
Firmengröße: Bis 12.000 Personen (in D)
Branche: Versicherungen
11/2008 - 11/2008
Umfeld: Eigenverantwortliches Arbeiten, Firewall, FWBuilder,
Redhat Enterprise Linux (RHEL5), iptables
iptables-xml, Shell-Scripts, X.509-Zertifikate,
Lizenzmanagement, Unix-Härtung
Firmengröße: Bis 10000 Personen
Branchen: Versicherungen
Umfeld: JavaScript, X.509-Zertifikate, Mozilla Thunderbird, XUL
Eine Bank will die Anbindung der Filialen nicht mehr über das MPLS-Netz des Rechenzentrums anbinden, sondern kostengünstig über DSL und IPSec-VPN. Die Risikoanalyse sollte dem Vorstand Gewissheit geben, ob Vertraulichkeit, Verfügbarkeit und Integrität erhalten bleiben. Hierzu entwickelte der Consultant einen Baustein für das BSI Grundschutzhandbuch/Grundschutzkataloge. Der Vorstand erhielt hiermit eine Entscheidungsgrundlage und die Administratoren einen Priorisieren Maßnahmenkatalog.
Branchen: Banken
Auf der Konferenz DACH Security 2008 hier der Consultant einen Vortrag zum Konzept Jericho der OpenGroup. Provokanter Titel: Kann man Firewalls wirklich abschaffen?
Der Vortrag wurde in einem Call-for-Paper-Verfahren ausgewählt.
Im Mai wurde bekannt, das Debian/Linux ca. 2 Jahre lang vorhersagbare, also "schwache" kryptographische Schlüssel erstellt hat. Der Consultant entwickelte ein Tool, um diese Schlüssel in Zertifikaten, SSH-Keys, etc. zu suchen. Während alle anderen Tools nur unter Unix/Linux arbeiten, ist diese Tool plattformunabhängig und unterstützt viele Formate. Der Kunde war damit in der Lage, auch unter Windows schwache Schlüssel zu finden und Sicherheitsrisiken zu eliminieren.
Anforderung des Kunden: Nach dem kompletten Neuaufbau eines komplexen Netzwerks mit cirka 200 Standorten sollte eine Sicherheitsprüfung für die Endabnahme der Neuinstallation durchgeführt werden. Die besondere Herausforderung dieser Sicherheitsprüfung bestand darin, dass jeder Standort von einer Firewall sowie einem IPS abgesichert ist, was die Ergebnisse stark verzerren kann. Die Sicherheitstests mussten demnach so konzipiert werden, dass sie sinnvolle und aussagekräftige Ergebnisse lieferten.
Leistungen vom Consultant: Ich entwickelte die Sicherheitprüfung und die Vorgehensweise und dokumentierte beides. Der Endkunde war damit in der Lage, die Endabnahme selbst durchzuführen.
Zu diesen Aufgaben kam noch die Qualitätssicherung der Konfig-DB sowie des DNS hinzu. Da diese vom zuständigen Projektteam nicht zuverlässig gepflegt wurden, mussten Fehler und Inkonsistenzen gefunden werden.
Um sicher zu stellen, ob auch wirklich alle Daten vollständig, konsistent und korrekt vorliegen, habe ich Skripts erstellt, die diese Aufgabe zuverlässig und fehlerfrei durchführen - bei mehreren tausend Geräten ist dies nicht mehr manuell möglich.
Dies ist ein Folgeauftrag im gleichen Projekt "Produktivitätssteigerung durch Automatisierung" vom Herbst 2007.
Branchen: Behörden, Sonstige
Umfeld: bind9, DNS, NEC, Python, SNMP, XML, XSLT, nessus, Audit
Firmengröße: Bis 50000 Personen
Abteilungsgröße: Bis 50 Personen
In einer Bank sollten ausgewählte Aspekte der IT-Sicherheit überprüft wurden. Die Prüfung orientierte sich am BSI-Grundschutz-Handbuch. Schwerpunkte waren
Mit dem vom Consultant erstellten Abschlußbericht erhielt der Vorstand der Bank Gewissheit über die Sicherheitslage der IT in seinem Hause.
Branchen: Banken
Umfeld: BSI Grundschutzhandbuch, BSI Grundschutzkataloge
Benötigt wurde ein Konzept für den Betrieb von ipfilter und IPSec unter HP-UX. Dieses sollte eine möglichste einfache Administration dieser komplexen Materie ermöglichen, ausbaufähig sein und die Security-Anforderungen erfüllen. Die bestehenden prozesse sollte
möglichst unverändert bleiben.
Der Consultant erstellte das Konzept, kläre die sicherheitsrelevanten Fragen mit dem ISO und implementierte die benötigten Skripte. Er schulte die Administratoren und half bei der Inbetriebnahme und erstellte das Betriebshandbuch (in Form eines Cookbooks). Für die Absicherung der Konfigurationen werden X.509-Zertifiakte verwendet.
Die Herausforderung bei diesem Projekt war, auf mehreren Ebenen komplexe Vorgänge zu berücksichtigen, die sich gegenseitig beeinflussen: Sicherheit, Prozess, Technik, Know-How der Mitarbeiter, zukünftige Planung. Dies ist dem Consultant gelungen.
Branchen: Versicherungen
Umfeld: Auffassungsvermögen, Firewall, HP-UX, ipfilter, ipsec,
Linux, Perl, Selbstständige Arbeitsweise, Shell-Scripts,
SSH (Secure Shell, X.509-Zertifikate, XML, XPATH, FWBuilder
In circa 200 Sites mussten Cisco-Komponenten (um-)konfiguriert und die Qualität gesichert werden. Hierzu habe ich einige Skripte erstellt, die die Aufgabe schnell und mit weniger Fehlern erledigten. Damit habe ich auch die Produktivität der anderen Projektmitarbeiter erhöht und die Fehlerquote reduziert. Die gewonnene Zeit habe ich genutzt, um weiter Skripte zur Qualitätsicherung zu erstellen. Beispielsweise zu einem Abgleich der Konfig-DB mit dem Konzept. Die Skripte wurden auch nach meinen Weggang bis zum Projektende (März 2008) eingesetzt.
Ein Lösungsvorschlag vom Consultant sparte bereits in der ersten Projektwoche ca. 200.000 ?, da die Anfahrten zu den 200 Sites eingespart werden konnten.
Branchen: Behörden, Sonstige
Umfeld: CISCO Router, Python, Telnet, Cisco Switches, Cisco PIX,
SSH (Secure Shell, OpenSSH, etc.)
Firmengröße: Bis 50000 Personen
Abteilungsgröße: Bis 50 Personen
Bei einem SAP-System mit Web-Frontend sollte der externe ITS (AGate/WGate) entfernt werden und der Zugriff direkt auf das SAP-System im LAN erfolgen. Die Komponenten in der DMZ sollten komplett entfallen und durch eine Absicherung durch IPSec/ipfilter ersetzt werden.
Meine Aufgabe in diesem Projekt war, die geänderte Sicherheitsarchitektur zu bewerten. Der SAP-Bereich wurde durch ein anderes Team-Mitglied beigesteuert. Weitere Aufgaben: abteilungsübergreifende Interviews durchführen, Architektur erarbeiten, Machbarkeit prüfen, Risikobewertung abgeben, Projektplan erstellen, Review des Berichts.
Branchen: Versicherungen
Umfeld: ITS, SAP, ipsec, ipfilter
Firmengröße: Bis 10000 Personen
Ein Mailserver mit ca. 550 Mailkonten sollte auf eine neue Hard- und Software migriert werden. Dies beinhaltete auch die Anpassung der Daten und Konfiguration an die neue Software. Durch gründliche Vorbereitung und das Erstellen von Migrations-Skripten konnte die Downtime des Systems auf ca. 20 Minuten beschränkt werden.
Branchen: Werbeagentur
Umfeld: IMAP, mySQL, POP3, cyrus, postfix, clamav, Spamassasin,
Web-cyradm, Squirrelmail, Suse Linux Enterprise Server (SLES)
Firmengröße: Bis 100 Personen
Ein Bremer Unternehmen benötigte einen VPN-Zugang für seine münchner Mitarbeiterin, dies sollte während eines Aufenthalts der Mitarbeiterin in Bremen eingerichtet werden. Der bisherige Dienstleister hatte zwei Wochen Vorlauf, nahm mehrmals den Laptop der Mitarbeiterin über Nacht mit und hatte das VPN noch immer nicht eingerichtet: "Ich benötige das Laptop noch für letzte Arbeiten." der Consultant wurde gebeten, die Aufgabe zu erledigen. Mittels Fernzugang (VNC) wurde das Projekt kurzfristig innerhalb von 2 Arbeitstagen abgeschlossen. Das Unternehmen bekam eine Anleitung, mit der es weitere Mitarbeiter selbständig anbinden kann.
Umfeld: Windows, OpenVPN, X.509-Zertifikate
Die Email-Adressen und Postanschriften von Kunden werden im
ERP-System gepflegt. Diese Daten sollen verschiedenen Programmen
(insbesondere Mail-Clients) auf unterschiedlichen Plattformen zur
Verfügung stehen, u.U. auch offline. Der Consultant entwarf eine
Lösung und implementierte sie: Die Adressen im ERP-System liegen in
einer SQL-Datenbank. Auf diese wird per OpenLDAP zugegriffen und
den Benutzern per LDAP zur Verfügung gestellt. Zur Realisierung
gehörten de Auswahl des passenden LDAP-Schemas, Planung des
Mappings, Umsetzen in SQL.
Umfeld: OpenLDAP, PostgresSQL, TinyERP
Einführung in Unix/Linux, Bash-Programmierung, Firewalltechnik und
viele, viele Praxistipps (Tastenkürzel, etc.).
Branche: Logistik
In einer Bank sollten ausgewählte Aspekte der IT-Sicherheit
überprüft wurden. Die Prüfung orientierte sich am
BSI-Grundschutz-Handbuch. Schwerpunkte waren
- Organisatorische Mängel bei der Dokumentation (K-Fall-Handbuch,
Orga-Handbuch)
- Möglichkeiten, von außen in das PC-Netz einzudringen
(Penetrationstest).
Mit dem vom Consultant erstellten Abschlußbericht erhielt der
Vorstand der Bank Gewissheit über die Sicherheitslage der IT in
seinem Hause.
Branche: Banken
Umfeld: Grundschutz, GSHB, BSI-Grundschutzhandbuch
Für den Online-Auftritt einer Zeitschrift (living-technology)
entwickelte der Consultant ein Rechtekonzept. Die Steuerung der
Rechter erfolgt über Rollen. Es gibt interne und externe Autoren,
leitende Redakteure, eine Chefredaktion, "Heftpfleger" und eine
Rolle für den "Webmaster". Der "Zustand" einer Artikels wird über
Workflows gesteuert.
Die (technische) Struktur der Website musste mit dem Rechtekonzept
zusammenpassen. Hier war eine enge Zusammenarbeit mit dem Webmaster
und Web-Programmierer nötig.
Der Consultant zeigte gutes Verständniss der Prozesse in einem
(Zeitschriften-)Verlag und für die Belange eines
Online-Systems/Sebsite.
Branche: Verlagswesen
Umfeld: ZOPE CMS
In einem Windows-Netzwerk sollten die schlimmsten Schwachstellen
gefunden werden.Dem Kunden konnten etliche Wege genannt werden,
über die ein Angreifer sensible Daten anziehen oder manipulieren
kann,
Branchen: EDV-Dienstleistungen, SW-Produkthersteller
Firmengröße: Bis 50 Personen
Die redundanten Komponenten eines komplexen Netzwerkes sollten in
unterschiedliche Brandabschnitte verteilt werden. Ein aktuelle
Dokumentation der Verkabelung und Komponenten existierte nicht. Im
Projektteam übernahm der Consultant die Aufgabe, alle erreichbaren
Komponenten automatisch zu inventarisieren. Durch die automatische
Auswertung bleibt die Liste immer aktuell. Die Daten Geräte werden
per SNMP, Telnet- und SSH-Login abgefragt.
Die Auswertungen helfen, unbekannt Geräte aufzuspüren ("Da muss
noch ein Switch dazwischen sein, den wir noch nicht kennen") und
Leitungen zwischen den Geräten zu finden.
Umfeld: mySQL, Python, Router, SNMP
Die Tippingpoint IPS mit 2x2 Sensoren wurde nach der Installation
in den Betrieb übergeführt. Der Consultant analysierte die
Möglichkeiten für Monitoring, Betrieb und Troubleshooting. Wichtig
war, möglichst viele Standard-Aufgaben automatisch zu erledigen.
Nach dem Erstellen des Betriebshandbuches wurden die
Administratoren eingewiesen.
Umfeld: Analyse, Tippingpoint
Für einen neu gegründeten Zeitschriftenverlag sollte die
IT-Infrastruktur geplant werden, incl. VoIP-Infrastruktur und
Auswahl des Redaktionssystem für die Webpräsenz. Besondere
Herausforderungen waren: Zusammenarbeit mit vielen externen
Mitarbeitern, "virtuelles Unternehmen" ohne eigene Büroräume, sehr
geringes Budget. Durch die Kombination mehrere Internet-basierter
Tools (meist Open-Source) konnte eine effizienten Zusammenarbeit
der verstreuten Mitarbeiter erreicht werden. Eine externe
VoIP-Telefonanlege erlaubt das Telefonieren mit Nebenstellen,
obwohl die Mitarbeiter deutschlandweit verteilt sind. Das
ausgewählte CMS ermöglichte es, die Webpräsenz schnell zu
implementieren. Deren Fähigkeiten wurde von den Besuchern
ausdrücklich gelobt und übertrifft ge bei weitem.
Branche: Verlagswesen
Umfeld: ZOPE CMS, VoIP, Voice over IP
Im Rahmen eines geänderten ITIL-Change-Prozesse entwickelte der
Berater das System der Change-Kennziffern weiter und beschrieb
Change-Auswirkungen und -Risiken von über 40 komplexen Systemen.
Dem Change-Management lieferte er wichtige Erfahrungen aus der
Sicht der Administratoren, um das Change-Management-Tool
brauchtbarer zu gestalten. Den Administratoren brachte er die
Änderungen nahe und erhöhte deren Akzeptanz für den (ungeliebten)
Change-Prozess. Da das Change-Management-Tool nicht alle Bedürnisse
der Administratoren abdecken kann, implementierte er ein sog. Wiki,
um den Arbeitsaufwand zu optimieren.
Die Studie lieferte der Geschäftsführung die notwendigen
Entscheidungsgrundlage für den zukünftigen VPN-Einsatz. Dies
beinhaltet den zukünftigen Bedarf, die technischen
Lösungs-Alternativen mit ihren Vor- und Nachteilen sowie die
Ermittlung der Kosten der verschiedenen Alternativen.
Branchen: Unterhaltung
Umfeld: OpenSSL, VPN
Im Rahmen eines Forschungsprojekts habe ich mich in
IPv6 eingearbeitet. Ziele waren die Umstellung eines
LANs auf IPv6 und die Realisierung eines zugehörigen
VPNs. Letzteres wurde mittels OpenVPN realisiert, da
die Remote-User häufig durch HTTP-Proxies arbeiten
müssen. Die Ergebnisse dierForschungen werden in
einem Artikel der Zeitschrift iX veröffentlicht.
Weitere Projektinhalte: Entwickeln eines flexiblen
IP-Adress-Schemas, Konzeption des Routings. Erstellen
benötigter Konfigurations-Dateien und -Skripte.
Umfeld: TCP/IP, VPN, IPv6, OpenVPN
zur Restrukturierung
Eine DMZ-Umgebung mit 9 Firewall-Clustern, ca. 40
anfangs bekannten Routern und einer unbekannten Anzahl
weiterer Router sollte restrukturiert werden. Dies
weitete sich um Laufe des Projekts zu über 100 Knoten
und fast 500 Netzsegmenten aus.
Meine Aufgabe bestand darin, möglichst viele
brauchbare Informationen über diesen Netzbereich zu
erhalten, um die Änderungen planen und durchführen zu
können. Dies waren insbesondere: Welche Knoten dienen
als Gateway/Router, welche Routen und Segmente
existieren, werden überall die korrekten Netzmasken
verwendet, etc.
Wegen der schieren Menge der Knoten und weil während
der Projektlaufzeit ständig Änderungen durchgeführt
wurden, kam nur ein automatisiertes Vorgehen in Frage.
Mit Tool, die ich hierfür entwickelte, wurde die
Konfiguration der Knoten ausgelesen und in eine
Datenbank aufbereitet. Ein Modell des Netzwerkes
ermöglicht es, die gewünschten Auswertungen zu
erstellen und Simulationen durchzuführen. Branchen:
EDV-Dienstleistungen, Telekommunikation
Firma/Institut: Großer IT-Dienstleister (> 10.000 Mitarbeiter)SNMP, Shell-Scripts, TCP/IP, Unix, SUN OS, Solaris,
Unix (SCO, Sinix Aix, Linux etc.), Checkpoint, Cisco,
Foundry, Nokia IPSO, NetApp NetChache
Spanien
Folgende Herausforderungen wurden hierbei bewältigt:
· Der Relay-Server wurde in Spanien installiert, wobei unklar
war, ob Remote-Access auf die Maschine möglich sein wird.
· Es existierte weder ein Netzplan noch genaue Vorgaben für
die Netz-Konfiguration. Diese wurden in Zusammenarbeit mit
spanischem Personal erarbeitet.
· Bei Inbetriebnahme wurde die Fehlerbehebung über "Remote-
Hands" am Telefon durchgeführt.
· Es handelt sich nur um eine Übergangslösung, daher musste
ein guter Kompromiss zwischen Sicherheit und zu treibendem
Aufwand gefunden werden.
DV-Umfeld: Internet, Linux, SMTP, Groupwise, postfixFirewalls, VPN
Live-Hacking Workshops
Entscheidungshilfen für die Planung offener Unternehmensnetze
Software: IPSec, MPLS, SSLThemenkomplex: Security
Prozessoptionierungen und -automatisierungen
Coaching der Administratoren
Reverse-Engineering und Dokumentations der bestehenden Mailserver-Infrastruktur
Erarbeiten eines Verbesserungskonzeptes
Umstellen einer Server-Farm auf postfix mit MailScanner
Restrukturieren der DNS-Infrastruktur (hidden primary)
Überarbeiten der Zonefiles für ca. 4000 Domains
Software: sendmail, postfix, MimeSweeper, amavisd, MailScanner, bind8, bind9, HP-UX, Sun Solaris, Linuxschwachen Passwörtern
Die Administratoren wurden in die Lage versetzt, diese
Überprüfungen zukünfitg selbständig durchzuführen.
Software: GNU/Linux, Suse-Linux, OpenVMS, X11, KDEOnline-Fragebögen
Einarbeiten in soziologische Frageweisen
Design und Implementierung der Software
Um das Programm für zukünfitge Erweiterungen (XFroms, andere
Datenbanken) vorzubereiten, wurde mit Factory-Pattern
gearbeitet.
Software: GNU/Linux, Windows, Python, PHP, MySQL, Factory-Pattern, MixinsDie X11-Anwendung der Leitstelle stellt Ihre Fenster bislang
auf einem X-Server unter Windows dar. Die sollten durch Linux-
basierte X-Server ersetzt werden. Da die X11-Anbindung der
Anwendung einige Implementierungs-Fehler hat, mussten kreative
Lösungen gefunden werden.
Analyse der Anforderungen; Anpassen des Tastatur-Layouts;
Untersuchen der Fehlerursachen; Erarbeiten von Lösungen;
Umsetzung; Backup-Strategie; Workshop zur Weitergabe des Wissens
Software: GNU/Linux, Suse-Linux, OpenVMS, X11, KDEThemenkomplex: Security, ThinClients
Grundschutzhanbuch als Umsatz-Chance
Bestandsaufnahme
Auswertung
Erstellen eines Gutachtens
Software: GNU/Linux, Suse-Linux, Knoppix, Python, Shell-ScriptingFunktions-Analyse
Redundanz-Analyse
Design der Bibliothek
Refaktorierung
Testing
Software: GNU/Linux, Python, C++, capisuiteAnforderungsanalyse
Auswahl geeigneter Software
Erstellen des Pflichtenheftes
Datenbankdesign
Definition der Schnittstellen
Implementierung und Test
Software: Zope, Python, Plone, OpenGroupware, MySQL, PostgreSQLEntwickeln der Inhalte
Erstellen der Schulungsunterlagen
Einrichten des "Labors"
Durchführung von entsprechenden Workshops
Planung, Implementierung
Schulung der Administratoren und der Anwender
Checkpoint Firewall-1/VPN-1
Hardware: Nokia IPBewertung, Evaluation der Produkte
Projektvorbereitungen
Projektierung und Implementierung
Anbindung der Aussenstellen
Checkpoint Firewall-1/VPN-1
Hardware: Nokia IPEinführung und Schulung der Administratoren
Software: Checkpoint Firewall-1/VPN-1Mitarbeit bei der Entwicklung eines Produktes "Managed Firewall"
Incl. Marktanalyse, Konkurrenz-Analyse, Marketing, Strategie-Enwicklung, etc.
Migration zu Checkpoint FW-1
Projektierung und Implementierung
Software: Checkpoint Firewall-1/VPN-1Planung eines hochverfügbaren Firewall-Clusters
Projektierung und Implementierung
Anbindung der Aussenstellen
Remote-Access für Aussendienst und IT-Abteilung
Einführung und Schulung der Administratoren
Software: Checkpoint Firewall-1/VPN-1Webfarm/DMZ steht beim Provider und wird über eigene Leitungen angebunden
Planung der hochverfügbaren Firewall-Clusters
Redundante WAN-Anbindung über direkt angeschlossenes X.21 an unterschiedliche POPs
Projektierung und Implementierung
Software: Checkpoint Firewall-1/VPN-1Anleitungen, Checklisten, Fragebögen, Vorlagen
Wechsel auf nächste Major Release
Planung, Projektierung, Umsetzung
Software: BorderwareMein Angebot
Erstellen von Risikoanalysen
Erarbeiten von Security-Policies
Planen und Prüfen von Sicherheitsarchitekturen
Konzipieren & Aufbauen von Information Security Management Systemen (ISMS)
Entwickeln von Strategien für Informationssicherheit
Interims-Management für Informationssicherheit
Für diese Aufgaben stehe ich Ihnen tageweise oder für längere Einsätze zur Verfügung.
Ihr Nutzen
Sie erhalten konkrete Lösungen, die zu Ihren Bedürfnisse und Ihren Unternehmenszielen passen.
Ich empfehle Ihnen nur Maßnahmen, die sich umsetzen und in der Praxis betreiben lassen.
Sie profitieren von meinen Erfahrungen aus anderen Unternehmen.
Sie sind für zukünftige Anforderungen gerüstet.
Sie nutzen mein aktuelles Wissen und über 17 Jahren Erfahrung.
Erfahrungen
Seit über 17 Jahren in der IT-Security tätig
Umfangreiche Kenntnisse der einschlägigen IT-Security Standards wie ISO 27001, BSI IT-Grundschutz und zugehöriger Methoden sowie gesetzlicher Anforderungen
Profunde technische Kenntnisse in Netzwerk-Sicherheit, Web-Application, Protokolle & Standards, Datenbanken, Verschlüsselung, Unix
Langjährige Erfahrung im Programmieren
Händchen für Prozesse und Organisation
betriebswirtschaftliche Kenntnisse
Diverse Vorträge und Veröffentlichungen in renommierten Zeitschriften
Ausbildung
Diplom-Informatiker (univ.)
CISSP - Certified Information Systems Security Professional (ISC)²
CSSLP - Certified Secure Software Lifecycle Professional (ISC)²
Certified ISO 27001 Lead Implementer (PECB)
ITIL Foundation Zertifikat
Fortbildungen zu Management und Personalführung
Weiterbildungen in den Bereichen Moderation, Präsentation, Projektmanagement
Persönliche Stärken
kann sehr gut abstrahieren und strukturieren
sehe Dinge, die andere nicht sehen
bin durchsetzungs-, konflikt- und teamfähig
stelle auch unbequeme Fragen
habe eine professionelle und zuverlässige Arbeitsweise
treffe Entscheidungen
Was mich besonders macht
bin ?Überzeugungstäter? ? als Informatiker, Programmierer und System-Admin.
bin gut vernetzt mit anderen Praktikern der Informationssicherheit: Seit 2011 organisiere ich die Konferenz ?IT Security live? für die ACM (Association of Computing Machinery). Ich bin aktives Mitglied im deutschen Chapter des (ICS)² und beteilige mich an dessen regelmäßigen Treffen.
weiß, wovon ich rede: Beschäftige mich seit meiner früher Jugend mit Computern und experimentiere noch heute laufend mit Neuem
akzeptiere nicht jedes ?geht nicht?: Ich weiß aus Erfahrung, dass es sehr oft doch eine Lösung gibt.
bin immer am Ball: Lese regelmäßig mehrere Fachzeitschriften, unzählige Mailinglisten, Newsticker und Blogs und bin damit über die neusten Trends und Techniken auf dem Laufenden.
bin Praktiker: Ich betreibe meine eignen IT-Systeme und entwickle Open-Source-Software.
lege Hand an: Hilft es dem Kunden, schreibe ich ein paar Makros oder Scripte.
beschäftige mich mit Auswirkungen der IT in der Gesellschaft: Datenschutz, Schutz der Privatsphäre und Überwachung sind meine Themen. Daher bin ich aktives Mitglied bei Digitalcourage e.V.
Experte, mehr als 10 Jahre Erfahrung
meine Arbeitsplattform für alles
Unix (Solaris, HP-UX, Sinix, AIX, etc.): Experte, seit 1990, laufendverwende ich, wo immer möglich
Spezialität: Python Bytcode decompiler
Shell-Scripts (bash, csh, sh, Posix): Experte, >10 Jahre, zuletzt in 2008Spezialität: Posix-Complient Scripte
XML, XSLT, XPATH, etc.: Fortgeschrittener, > 5 Jahre, zuletzt in 2008Spezialität: Perl-to-Python-Konverter
TeX, LaTeX: Fortgeschrittener, > 4 Jahre, zuletzt in 2005Spezialität: Compiler für Oberon-2 entwickelt
HTML, CSS, Javascript: FortgeschrittenErfahrungen
Seit über 17 Jahren in der IT-Security tätig
Umfangreiche Kenntnisse der einschlägigen IT-Security Standards wie ISO 27001, BSI IT-Grundschutz und zugehöriger Methoden sowie gesetzlicher Anforderungen (z.B. BSDG, EU-DSGVO)
Profunde technische Kenntnisse in Netzwerk-Sicherheit, Web-Application, Protokolle & Standards, Datenbanken, Verschlüsselung, Unix
Langjährige Erfahrung im Programmieren
Händchen für Prozesse und Organisation
betriebswirtschaftliche Kenntnisse
Diverse Vorträge und Veröffentlichungen in renommierten Zeitschriften
Persönliche Stärken
kann sehr gut abstrahieren und strukturieren
sehe Dinge, die andere nicht sehen
bin durchsetzungs-, konflikt- und teamfähig
stelle auch unbequeme Fragen
habe eine professionelle und zuverlässige Arbeitsweise
treffe Entscheidungen
Was mich besonders macht
bin ?Überzeugungstäter? ? als Informatiker, Programmierer und System-Admin.
bin gut vernetzt mit anderen Praktikern der Informationssicherheit: Seit 2011 organisiere ich die Konferenz ?IT Security live? für die ACM (Association of Computing Machinery). Ich bin aktives Mitglied im deutschen Chapter des (ICS)² und beteilige mich an dessen regelmäßigen Treffen.
weiß, wovon ich rede: Beschäftige mich seit meiner früher Jugend mit Computern und experimentiere noch heute laufend mit Neuem
akzeptiere nicht jedes ?geht nicht?: Ich weiß aus Erfahrung, dass es sehr oft doch eine Lösung gibt.
bin immer am Ball: Lese regelmäßig mehrere Fachzeitschriften, unzählige Mailinglisten, Newsticker und Blogs und bin damit über die neusten Trends und Techniken auf dem Laufenden.
bin Praktiker: Ich betreibe meine eignen IT-Systeme und entwickle Open-Source-Software.
lege Hand an: Hilft es dem Kunden, schreibe ich ein paar Makros oder Scripte.
beschäftige mich mit Auswirkungen der IT in der Gesellschaft: Datenschutz, Schutz der Privatsphäre und Überwachung sind meine Themen. Daher bin ich aktives Mitglied bei Digitalcourage e.V.
Direktester geht's nicht! Ganz einfach Freelancer finden und direkt Kontakt aufnehmen.
"[...] Die Zusammenstellung der Schulungsinhalte und deren Präsentation, untermauert mit seinem breiten und detaillierten Hintergrundwissen im Bereich Security, widerspiegeln seine professionelles Arbeitsweise. Die Schulungs- teilnehmer überzeugte er durch ein sicheres Auftreten und die Fähigkeit, komplexe Sachverhalte einfach und verständlich darzustellen. Die Kursbewertungen lagen immer über den von uns definierten Durchschnitt. Aus diesen Gründen arbeiten wir seit über einem Jahr mit dem Consultant sehr gerne zusammen."
— Projekt Entwicklung Schulungsunterlagen; diverse Schulungen, 11/03 - 12/04
Referenz d. Geschäftsführer Schulungsbereich; Schulungsanbieter, vom 17.10.04
"[...] Der Consultant zeichnete sich durch sehr hohe fachliche Kompetenz aus, das er stets auf dem neusten Stand der Dinge zu halten weiß. Eine seiner großen Stärken liegt darin, analytisch, konzeptionell und strategisch zu denken, anschaulich zu erklären und zu präsentieren sowie präzise zu formulieren. Er ist in der Lage, schnell und umfassend Zusammenhänge zwishen verschiedensten Themengebieten herzustellen, entsprechende Konzepte zu entwickeln und umzusetzen. [...]"
— Projekte (diverse) im Bereich Security Consulting, 03/00 - 03/03
Referenz durch Internet Service Provider (50 MA) vom 31.03.03
Deutschland: Bevorzugt Großraum München oder Großraum Nürnberg. Kurzläufer auch bundesweit. ? Arbeitserlaubnis: EU-Bürger ? Weitere Länder: Bei längeren Einsätzen (> 4 Wochen) nur mit guter Erreichbarkeit von Landshut.
Arbeite nicht für Miitär, Geheimdienste und angehängte Industrie.