Eine mittelständischer e-Commerce Anbieter erweitert sein Geschäft in Richtung Business-Intelligence und möchte zunehmend Azure nutzen, für Datawarehouse-Umgebungen und unterstützende Systeme.

Für den Kunden habe ich die umfassende Sicherheitsarchitektur erstellt. Ausgehend von der Ist-Aufnahme und der Risiko-Analyse habe ich das Netzwerk-Design entworfen und eine Maßnahmenliste für die Absicherung der eingesetzten Azure-Services aufgestellt.

Infolge strengerer Regulierung durch IFRS 17 müssen Versicherungsunternehmen die Risikokennzahlen aus ihren unterschiedlichen Risikomanagement-Systemen im Jahresabschluss konsolidieren. Entsprechende IT-Vorhaben zählen aktuell zu den umfassendsten in der Versicherungswirtschaft.

Mein Kunde gehört zu den größten deutschen Versicherungsgruppen und betreibt zur Risikokalkulation eine Reihe von Applikationssystemen mit unterschiedlichen Technologien. Deren Kopplung erfolgt über Kafka Streams als zentrale Komponente der übergreifenden Architektur.

Meine Aufgabe auf Programm-Ebene war die Harmonisierung der Sicherheitsniveaus der Applikationen sowie die Unterstützung der Auditierbarkeit. Ich habe die Sicherheitsarchitektur für die zentrale Kopplungsplattform erstellt, das Sicherheitskonzept zur Abnahme gebracht und die Sicherheitsmaßnahmen im Detail geplant. Begleitend habe ich Solution Architecture und Security Architecture für eine Anbindung erstellt.

Sicherheit ist weiterhin eines der wichtigsten Themen in einer Cloud-Strategie. Das Startup "elephantshop.net" erstellt Tools zur Automatisierung des Security Managements von Cloud Umgebungen von Unternehmen. Ein Prototyp existiert auf Amazon Web Services (AWS).

Ich bin Gründer des Startups, das sich aktuell in der Seed-Phase befindet. Parallel dazu engagiere ich mich bei im German Chapter der "Cloud Security Alliance", organisiere das Meetup "Cloud Security Munich" und arbeite als Senior Analyst bei Crisp Research. In dieser Rolle halte ich Vorträge auf nationalen und internationalen Konferenzen und veranstalte Workshops:

[nähere Angaben gern auf Anfrage]

Versicherungsunternehmen müssen ihre Risikokennzahlen berechnen und an die BaFin melden (Solvency II) bzw. zukünftig in den Jahresabschluss übernehmen (IFRS 17). Eine große deutsche Versicherungsgruppe benötigt für die entsprechenden Berechnungen mehrere tausend CPU-Cores nur für wenige Tage im Jahr und hat vom eigenen Rechenzentrum auf AWS umgestellt.

Im Projekt hatte ich die Verantwortung für IT-Sicherheit (Schutzbedarf, Sicherheitsarchitektur, Sicherheitskonzept incl. Genehmigung) und habe alle damit verbundenen Themen wie Governance, Compliance, Datenschutz, Ausgliederung aktiv unterstützt. Zudem habe ich maßgeblich an AWS Lösungsarchitektur und Inbetriebnahme mitgearbeitet.  

Das Sicherheitskonzept für die CI/CD-Pipeline ermöglicht eine risikoarme Übergabe der Applikationswartung an einen Offshore-Provider.

Besondere Herausforderungen resultierten aus der Integration von Cloud und Rechenzentrum (Standleitung, Active Directory-Integration, Systemsmanagement). Deren Bewältigung mit  dem erfolgreichen Ersteinsatz zum Jahresanfang 2020 signalisiert eine neue Stufe der Cloud Readiness und eröffnet für den Konzern neue Perspektiven zur Nutzung moderner IT.

Fortschreibung des Konzepts von vor einem Jahr.
Ein Versicherungsunternehmen setzt für dynamische Infrastrukturen CloudFoundry auf AWS ein. Ich habe dazu das Sicherheitskonzept basierend auf der Referenzarchitektur erstellt und zur Genehmigung geführt.

Ein großes deutsches Versicherungsunternehmen erweitert seine Cloud-Strategie auf Microsoft Azure, ausgehend von mehrjährigen Erfahrungen mit AWS. Indem unterschiedliche Use Cases und Technologien in Folge zu anderen Lösungen führen, wurde ein neues Sicherheitskonzept erforderlich.

In Zusammenarbeit mit anderen Architekten habe ich die Sicherheitskonzeption für eine Integration mit der Datenzentrums-IT entwickelt. Kernpunkte waren Netzwerk-Topologie, Azure Active Directory, Azure Security Center, Konzern-Active Directory, und Verschlüsselungsmechanismen. 

Ein Versicherungsunternehmen setzt für dynamische Infrastrukturen CloudFoundry auf AWS ein. Ich habe dazu das Sicherheitskonzept basierend auf der Referenzarchitektur erstellt und zur Genehmigung geführt. Ein Jahr später habe ich Erweiterungen der Plattform in der Sicherheitskonzeption fortgeschrieben.

Container spielen eine zunehmend zentrale Rolle in der IT-Strategie und gerade größere Unternehmen investieren dementsprechend in die Sicherheit der neuen Architektur, natürlich auch getrieben von regulatorischen Anforderungen. Zwar versprechen Cloud und DevOps große Vorteile in Agilität, sind mit ihrer Dynamik aber auch eine Herausforderung für die Sicherheit. Speziell in der Cloud müssen zudem Forderungen nach umfassender Verschlüsselung mit nachhaltigen Key-Management-Konzepten umgesetzt werden.

Für einen Konzern aus der Versicherungsbranche habe ich die Erstellung von 3 Sicherheitskonzepten inhaltlich und terminlich verantwortet sowie Verschlüsselung mit AWS KMS ergänzt:

• Das Sicherheitskonzept Source-Repository (Github Enterprise) incl. zusammenhängender Abläufe und Tools (Source-Scanner) wurde von mir aus der vorhandenen Dokumentation zusammengestellt bzw. durch Interviews gewonnen.
• Für das Sicherheitskonzept der CI/CD-Pipeline (Jenkins Build, Secrets Store, Image Repository) wurden die Bedrohungslage analysiert und die notwendigen Qualitätsmaßnahmen (SAST und DAST Scanner) für die erzeugten Images eingeplant.
• Beim Sicherheitskonzept der Container-Runtime wurden die Schichten von Kubernetes und AWS jeweils unterschiedlich angegangen: Die Absicherung von AWS konnte sich an etablierten Best Practices orientieren. Wir haben Nachweise zu den Best Practices erstellt und in einem Review mit AWS Enterprise Support überprüft. Kubernetes ist weiter vorne auf der Innovationskurve so dass Sicherheitsmaßnahmen noch nicht durchgängig etabliert sind. Ich habe das Team gecoacht um passende Sicherheitsmaßnahmen in Eigeninitiative zu definieren.
• Die Architektur und Design des AWS Key-Management-Service (KMS) für den durch den Kunden selbst verwalteten Schlüssel (Customer Managed Key = CMK), mit Berücksichtigung von eigenem Schlüsselmaterial ("CMK with imported key material") wurde von mir entwickelt und bis zur Produktionseinführung betreut.

Der kritische Erfolgsfaktor war die Konkretisierung der abstrakten Sicherheitsanforderungen durch praxisgerechte Maßnahmen. In Summe wurde durch die größere Transparenz über Sicherheitsaufwände die Projektleitung in die Lage versetzt, Terminplanung und Steuerung der Sicherheitsthemen zu übernehmen.

Ein weltweit agierender Großkonzern muss die Compliance mit dem Sarbanes-Oxley-Act (SOA, SOX) für seine wichtigsten IT-Applikationen nachweisen. Diese befinden sich an Standorten in Asien, Europa, Südamerika und werden von einem ebenfalls weltweit operierenden Service-Provider betrieben. Für jede Applikation müssen jeweils etwa 50 Kontrollen nachgewiesen werden.

Ich wurde vom Serviceprovider beauftragt, um die zeitgerechte Durchführung der Audits zu sichern, und natürlich die bestmöglichen Ergebnisse zu erreichen. Die Audits werden von einer Wirtschaftsprüfungsgesellschaft der "Big 4" durchgeführt. Die Resultate wurden dem Konzern als ISAE 3402 Report zur Verfügung gestellt. Der Zeitrahmen ist stets knapp und unveränderlich aufgrund des Zusammenhangs mit dem Jahresabschluss des Konzerns.

Wir konnten über die Jahre dem Wunsch des Kunden nach Kostenreduktion entsprechen, indem alle Länderreports in einem einzigen Report zusammengefasst wurden und das Auditteam in Deutschland zentralisiert wurde. Das Projektteam in Deutschland steuert die Koordinatoren und Applikationsverantwortlichen in den jeweiligen Ländern.

Meine Aufgaben waren Planung des Projekts, Koordination mit den Auditoren, Coaching der lokalen Einheiten und Validierung der Audit-Ergebnisse. Die Optimierung spiegelt sich auch an meiner eigenen Auslastung wieder, von 100% in 2012 auf 30% in 2017.

Zur Auswertung von massenhaft anfallenden Sensordaten wird Big Data vom Kunden eines IT-Providers eingesetzt. Eine Cloud-Umgebung bietet die benötigte Flexibilität, um zeitnah neue Auswertungsmethoden im Labor zu erforschen und in den produktiven Einsatz zu bringen. In meiner Rolle als Sicherheitskoordinator begleite ich das Projekt durch den Lifecycle von Bedarfsermittlung über Sicherheitsarchitektur bis hin zur Implementierung von Sicherheitsprozessen. Interessant war insbesondere die Koordination von Zulieferern, sowie von internen Abteilungen, weil die herkömmlichen Prozesse in der Cloud durch neue Methoden der Zusammenarbeit abgelöst werden müssen.

Neben den offensichtlichen Möglichkeiten zu Kosteneinsparungen bieten Cloud-Infrastrukturen neue Leistungsmerkmale, die zur Lösung bekannter Sicherheitsprobleme genutzt werden können. In einem gemeinsamen Projekt von Kunde und Provider haben wir "software-defined networks" genutzt, um eine neuartige Sicherheitsarchitektur in einem Prototyp zu demonstrieren. Neben der Rolle des Architekten habe ich auch die Projektleitung auf Providerseite übernommen. Wir haben das Konzept erfolgreich demonstrieren können.

Als Reaktion auf das zunehmende Interesse an Cloud-Services haben sich Cloud-Provider im Markt positioniert. Indem Sicherheit bei Cloud-Nutzern sehr hohe Priorität eingeräumt wird, muss jeder Cloud-Provider eine glaubwürdige Sicherheitsstrategie vorweisen können. In diesem Projekt habe ich einen großen europäischen Cloud-Provider bei der Konzeption von Informationssicherheit unterstützt.