• TISO und ESA für Aufbau der Cloud Application Plattform mit den fachlichen Schwerpunkten Kryptografie & Secret/Key Management, PAM und Security Architecture allgemein. Neben der konzeptionellen Arbeit, auch fachlicher Input bei der Erstellung der jeweiligen Sicherheitskonzepte als Mittler zwischen den Plattformspezialisten und dem ISMS Team als primärer Ansprechpartner und Teamcoach.

• TISO und ESA für Aufbau der DevOps LCM Plattform in Azure mit den fachlichen Schwerpunkten Kryptografie & Secret/Key Management, PAM und Security Architecture allgemein. Neben der konzeptionellen Arbeit, auch fachlicher Input bei der Erstellung der jeweiligen Sicherheitskonzepte als Mittler zwischen den Plattformspezialisten und dem ISMS Team als primärer Ansprechpartner und Teamcoach.

• Fachliche Beratung zur Einführung einer PAM Lösung im Rahmen der Transformation der IT in die IBM Cloud & Azure Cloud

• Fachliche Steuerung des Dienstleisters IBM

• Aufnahme des aktuellen Maturitätsgrades und Erarbeitung einer darauf abgestimmten Transitionsstrategie

• Architekturberatung/Review zu verbundenen Themen wie Kryptografie allgemein sowie Zertifikats Lifecycle Prozesse im Gesamtumfeld (z.B. Anbindung Umsysteme)

• Erstellung von Zielgruppen Workshops und Dokumentation zum Thema PAM und PKI

• Fachlicher Sparingspartner für die Programmleitung.

• Fachliche Beratung zur Verbesserung der Governance über digitale Zertifikate.

• Fachliche Unterstützung zur Erlangung von Nutzungsevidenzen von digitalen Zertifikaten.

• Fachliche Beratung zur Ausgestaltung eines neuen Zielbilds für eine neu zu gestaltende mandantenfähigen PKI.

• Architekturberatung/Review zu verbundenen Themen wie Kryptografie allgemein sowie Zertifikats Lifecycle Prozesse im Gesamtumfeld (z.B. Anbindung Umsysteme, Codesigning, Evaluierung Venafi TPP Einbindung in bestehende CI/CD Pipelines über Venafi Vcert Utility anstatt aufwändiger API Calls).

• Erstellung einer Markterhebung mit Empfehlungen und der Entscheidungsvorlagen für das Senior Management.

• Erstellung von Workshops und Dokumentation zum Thema PKI und Governance von Zertifikaten & SSH Keys.

• Fachlicher Sparingspartner für die Programmleitung.

• Fachliche Beratung zur Migration der Online Frankierung in die Azure Cloud auf Basis Containerisierung von Microservices (Docker, K8s).
• Review und Fortschreibung der Sicherheitskonzepte im Hinblick auf Schutz personenbezogener Daten der zu Grunde liegenden Datenbanken.
• Architekturberatung/Review zu verbundenen Themen wie Virtualisierung, Microservices, Security & Activity Monitoring, Credential Vault Nutzung und Key Management.

• TISO und Lead Security Architect für das Re-Design der BASF PKI Umgebung unter Berücksichtigung neuer Herausforderungen des Konzerns.

• Evaluierung Zertifikatemanagement für Sensorik/Aktoren u.a. im Bereich OT (u.a Venafi TPP, PrimeKey EJBCA)

• Stream Lead für den Move mehrerer SubCAs in ein neues Rechenzentrum als Interimslösung und Startpunkt.

• Stream Lead für die Neugestaltung der Vendor Security Governance mit Prozessdefinition für das Security Operations Center (SOC) und Dokumentation

• Primärer Ansprechpartner für die internen Enterprise (Security) Architekten in Bezug auf Security & Design-fragen für verschiedene Projekte, welche auf PKI Services angewiesen sein werden.

• Fachliche Beratung zur Anbindung von Zielsystemen an TPAM (Total Privileged Access Management)
• Weitgehende Durchsetzung einer Bündelung von Rollen und Profilvergaben in einer zentralen Fachgruppe, anstatt nicht abgestimmter, schwer nachvollziehbarer, häufig redundanter und fehlerhafter Erstellung in jeder einzelnen betroffenen Abteilung
• Striktere Durchsetzung der Separation of Duties.
• Abstimmung mit betroffenen Organisationseinheiten
• Erstellung Grob- und Feinkonzeption zur Anbindung an TPAM
• Erstellung Beschlussvorlagen zur technischen Anbindung der Zielkomponenten an TPAM
• Vorstellung alternativer, kostengünstigerer und nachhaltigerer Lösungsansätze zur effektiven und ressourcenschonenden Sitzungsüberwachung

• Fachliche Beratung als Mittler zwischen Solution Architect und CISO Abteilung bei der Einführung einer verteilten Authentisierung
• Neuerstellung, Review und Fortschreibung der Sicherheitskonzepte (Weiterführung Auftrag 06/2017?01/2018)

• Fachliche Beratung als Mittler zwischen Solution Architect und CISO Abteilung bei der Einführung einer verteilten Authentisierung

• Security Architect und Beratung während einer IoT (Internet of Things) Narrow Band Network Evaluation (SigFox) für zukünftige Tracking-Lösungen

• Erstellung des grundlegenden Sicherheitskonzeptes und der architektonischen Schnittstelle zwischen DP/DHL und Tracking Device/Chipset-Anbieter (initiale Provisionierung der Trusted Device IDs, Evaluierung zur Einbindung in IoT Management)

• Security Architect bei der Umstellung von etwa 6000 Telefon- und Faxanschlüssen von ISDN/analog auf die All-IP Plattform der Deutschen Telekom
• Fachliche Schnittstelle für Lead Architects, TK Dienstleister und Projektleitung zu Fragen der Sicherheit im Stadium Planung, Large Scale Provisioning und späterer Betrieb von VOIP Routern und SIP Trunks

• Neubewertung und fachliche Unterstützung bei der
  Erstellung und Erweiterung eines Sicherheitskonzepts für verschiedene Services
• Erstellung initialer Risikobewertung, Thread Modellierung nach der STRIDE Methodik, Anpassung Maßnahmenkatalog mit den entsprechenden Kontrollanforderungen zur Mitigierung der identifizierten Risiken sowie Restrisikobewertung mit Empfehlungen
• Anpassung der Designdokumente an den aktuellen Istbzw. Planungsstand

• Information Security Consulting für die Entwicklung fachspezifischer IT Sicherheitskonzepte für zwei Fachanwendungen auf Anfrage der Organisationseinheiten.
• Entwicklung von Maßnahmen für eine konsistente Umsetzung der Richtlinien.
• Beratung der Mitarbeiter, Partner und Kunden.
• Begleitung der Fachbereiche bei der Realisierung von ISM Maßnahmen sowie Vermittler während Eskalationen bei Nichtumsetzung.
• Beteiligung als Security Architect bei Informationssicherheit relevanten Verfahren und Entscheidungen wie z.B. Planung, Auswahl und Beschaffung von Hard- und Software.

• Fachliche Beratung zur Einführung einer 2 Faktor Authentisierung in Portalen
• Verteilte Authentisierung mit Hilfe von OAuth/ OpenIDConnect mit Anbindung an das Mobile Device Integrationsinterface
• Review und Fortschreibung der Sicherheitskonzepte
• Architekturberatung zu Themen wie Virtualisierung, Microservices, Security & Activity Monitoring

• Neubewertung und Erstellung eines Sicherheitskonzepts für virtual Firewall und Load Balancer Services, welche als Bausteine für Cloud basierte DP/DHL Services dienen sollen
• Erstellung Risikobewertung, Thread Modellierung nach STRIDE Methodik, Anpassung Maßnahmenkatalog mit den entsprechenden Kontrollanforderungen zur Mitigierung der identifizierten Risiken, Restrisikobewertung mit Empfehlungen

• Fachliche Beratung und Review der Agentur für die Erstellung von Security Awareness e-learning Material zur Schulung von Mitarbeitern zu den Themen Informationsklassifizierung und sicheren Umgang mit Patientendaten.

• Interim Senior Spezialist & Sicherheitsberater für einen neu erworbenen BT-Kunden im Logistikbereich (DHL)
• Direkter Partner des globalen Teamleads Business Continuity/Kundensicherheit
• Erfolgreiche Anpassung des hoch zeitkritischen ISMS Rahmens nach Vorgaben des neuen Kunden
• Erstellung einer BIA (Business Impact Analyse)
• Beratung den Themenfeldern Sicherheitsarchitektur, Governance, Risk & Compliance in Bezug auf alle Fragestellungen im Bereich der vertragsrelevanten Dienstleistungen (Security Monitoring, Reporting, Incident Handling, Meldeketten)

Projekt litt unter einer internen Reorganisationsinitiative. Linien Management des
Bereichs wurde in mehreren Ebenen ausgetauscht. Verantwortlichkeiten und
Berichtslinie danach bis zur jährlichen „Mandatory Time Away“ (Pflichtabwesenheitszeit)
Ende Dezember nicht zu klären.
Projekt endete daher vertragsgemäß mit Pflichtabwesenheitszeit am 17. Dezember
2015

Senior Security Architect & Advisor Verantwortlich für Design des AMR4V technischen Unterbaus. AMR4V (Administrative Minimal Rights for vendors) ist eine Insider Threat Management Plattform die weit über eine klassische PAM Lösung hinaus geht. Sie ermöglichst eine umfassende Sichtbarkeit und einen vollständigen Kontext von Benutzer- und Datenaktivitäten über Endpunkte und sogar die Cloud hinweg über eine einfache, visuelle und klar verständliche textuelle Zeitachse. Durch proaktive Erkennung werden die wertvollsten Ressourcen des Unternehmens geschützt, indem Insider- Bedrohungen - sowohl böswillige als auch zufällige - schnell identifiziert und gezielt auf Absichten und Ursachen reagiert werden kann.

• Begleitung der Entscheidungsfindung „buy vs. build“
• Erläuterung der Schwächen bisheriger disjunkter Ansätze gegenüber dem Senior Management im Kontext bestehender Audit Findings
• Auswahl geeigneter Lösungen und Komponenten, Evaluierung der technischen Kompatibilität, Definition der Schnittstellen, Festlegung der zu liefernden Informationsströme von und zu Umsystemen
• Enge technische und organisatorische Abstimmung mit den beteiligten Fachabteilungen welche anzubindende Umsysteme verantworten (Directory Services, IAM, Service Desk, Incident Management, externe Dienstleister u.a.m.)
• Enge Einbindung des Betriebsrats bei Fragen zum Datenschutz der Lösung (Pseudonymisierung) und Regelung des Zugriffs auf Audit Trails. Darlegung des Grads der Offenlegung (Neutrale Kontrolle vs. Forensik)

• Verantwortung für Management von Fachexperten der Bank sowie dem Outsourcing Partner IBM bei Planung und Umsetzung von Risikomanagement- und Prüfaktivitäten
• Koordination und fachliche Unterstützung von Themen wie z.B. Operational Risk Management, regulatorische Prüfungen und die Einhaltung von Richtlinien und Frameworks
• Eigenverantwortliche fachliche Unterstützung von Projekten zur Mitigierung von Risiken als technischer Ansprechpartner (UNIX, Netzwerke, PKI, Activity Monitoring) sowie fachliche Bewertung von Risk Assessments
• Fachliche Unterstützung bei Self-Assessments, ITRisikoanalysen
  in unterschiedlichen IT-Infrastrukturbereichen
  in einem globalen Kontext
• Aktive Gestaltung der Kommunikation und Kooperation
  mit anderen Bereichen in GT, Audit Resolution sowie
  Group & Global Audit als Focal Point und Projekt
  Manager (SCCM Integration, Activity Monitoring)
• Fachliche Unterstützung bei der Vorbereitung von
  Berichten und Präsentationen für das IT-Management
• Funktion als Technologie Spezialist mit tiefgreifendem
  Erfahrungsschatz in den Bereichen Infrastruktur- und
  Applikationssicherheit

• Überführung von IT Services in den Zustand „geregeltes System“ im Hinblick auf Datenschutz
• Sicherheitskonzepte und Dokumentation zur Anbindung an das zentrale Identity Management der Telekom
• Koordination der Prozessbeteiligten
• Review, Abstimmung und fachliche Unterstützung der Fachseiten bei der Erfüllung der Compliance-relevanten Anforderungen

• Voranbringen Procurement einer PCI-DSS GRC Lösung zur Konsolidierung von PCI-DSS Audit Findings und Reports der Ländergesellschaften (Sicherheitskonzept, Vendor Hearings, Koordination mit Service Provider)
• Organisatorische Unterstützung der Abteilung DIS (Data & IT Security) beim Teambildungsprozess. Etablierung der Kommunikationskultur durch Unterstützung des Communication Officers bei der Einführung eines Wikis
• Entwicklung von Security relevanten Vorschlägen, Prozeduren und Richtlinien für verschiedene Plattformen und Systemumgebungen für europäische NatCos
• Review von Entwicklungen, Assessments und Implementierung von Security Initiativen/Plänen sowie den entsprechenden Controls
• Untersuchung und Empfehlung von angemessenen Maßnahmen zur Eindämmung von Sicherheitsvorfällen
• Projekt Management Unterstützung für Services in komplexen Information/IT Security Projekten und Vorfällen
• Identifizierung von Security bezogenen Risiken für das Unternehmen. Sicherstellung von angemessenem Vorgehen und Auswahl von geeigneten Produkten
• Aufrechterhaltung und Unterstützung der Awareness für Corporate Security Policies und gesetzliche Vorgaben

Organisatorische Unterstützung des Senior Information Security Advisor und seines Teams

• Erarbeitung eines stringenten, umsetzbaren und realitätsnahen Security Policy Frameworks (Policies, Guidelines, Procedures) in enger Abstimmung mit Fachabteilungen
• Bereinigung von Policies ohne Bezug zur Realität („shelfware“)
• Erstellung technischer Guidelines zur sicheren Konfiguration und Design von IT Services und Infrastrukturen
• Security „Marketing“ gegenüber technischen und nicht technischen Fachabteilungen (Brücken schlagen und vermitteln)
• Unterstützung bei der Etablierung und Implementierung des „Be@ware“ Awareness Programms der EZB u.a. durch fachliche Mitwirkung an einem E-Learning Konzept – hier Vorschläge zur Implementierung eines Learning Management System (LMS) als auch Erstellung eigener Lern- und Testinhalte
• Design einer Remote Access Lösung für Mitglieder anderer Zentralbanken wie auch sicherer und nachvollziehbarer Zugriff von „supporting 3rd parties“ (z.B. Hersteller, SW Entwickler) mit Session Aufzeichnung und Unterbindung direkten IP Zugriffs (über CITRIX ICA)

Fachliche und organisatorische Unterstützung des Chief Information Security Officer (CISO) Fachliche Betreuung und Unterstützung bei Web Application Scans. Security Advisor für Fachabteilungen

• Bewertung von IT Vorhaben im Hinblick auf Sicherheit, Überprüfung von Sicherheitskonzepten, sicherheitsrelevanten Prozessen und Architekturen von Dienstleistern (Audits)
• Definition und Einführung eines Basis Prozesses zum Management von Schwachstellen
• Grobkonzept für eine Security, Information and Event Management (SIEM) Plattform auf Basis von Arcsight SIEM
• Gestaltung eines Informationssicherheitsportals auf Wiki Basis (Atlassian Confluence)

• Fachliche Begleitung von Audit Issue Resolutions – Vermittlung der Sichtweise eines Auditors hin zum Audit Closure Management
• Fachliche Mitwirkung bei der Erstellung eines konzernweiten Security Monitoring Frameworks
• Maßgebliche fachliche Mitwirkung bei der Einführung eines neuen und vereinfachten Audit Resolution Prozesses