Identity and Access Management, Public Key Infrastructure, Security Architekt, Projektleiter

Der Kunde benötigte ein PKI Design, welches seine smarten Consumer-Geräte in den Kundenhaushalten sicher mit seiner Backend Infrastruktur und weiteren Content Diensten verbinden soll und darüberhinaus flexible Anpassungen in der Zukunft erlauben muss (Crypto-Agilität).

• Analyse eines ersten Designs und Optimierung der PKI nach operativen und Risko-Gesichtspunkten
• Funktionales Design der PKI und aller benötigter Komponenten
• Erstellung einer High-Level Architektur für die Integration der PKI in die smarten Produkte und ihr Ökosystem
• Erstellung der unterschiedlichen use cases, bei denen Zertifikate für die Sicherung der Informationsvertraulichkeit sowie -integrität zum Einsatz kommen sollen
• Erstellung eines High-Level technischen Konzeptes für die Implementierung der PKI Komponenten und als Basis für die weitere Projektplanung
• Integration der PKI Komponenten in die DevOps Toolchain und Prozesse des Unternehmens
• Sourcing Optionen für die verschiedenen Komponenten
• Roadmap für Low-Level Design und Implementierungsprojekt

Aufbau eines IAM Programms zur Implementierung von IAM Kontrollen nach VAIT Vorgaben und Sicherstellung der Digitalisierungsvorhaben des Unternehmens.

• Analyse der vorhandenen IAM Kontrollen und Gap-Definition zu VAIT Anforderungen
• Strukturierung des IAM Programms nach fachlichen Schwerpunkten, Definition von Workstreams, Lieferobjekten, Schätzung von Aufwänden und Zeiträumen für die Lieferung
• Kommunikation der Anforderungen in der Kundenorganisation und Einholen von Stakeholder-Commitment 
• Erstellung von Dokumentation für Managementfreigaben
• Initiierung von Quick Wins, einfach umzusetzende Verbesserungen unmittelbar anzugehen und dadurch das Risiko des Unternehmens kontinuierlich zu senken
• Architekturberatung für bestmögliche Integration der Lösungen und Sicherstellung der Anforderungserfüllung
• Pragmatische Abwägung von Maßnahmen anhand ihrer Wichtigkeit und Dringlichkeit zur Senkung der Risiken und ihrer Unterstützung zur Umsetzung von Digitalisierungsvorhaben

Eines der wichtigsten Ziele bei der Etablierung von IoT Diensten in Unternehmen ist die Transparenz ihrer Produktionsprozesse. Sie zielen auf Produktivitätssteigerungen und Kostensenkungen durch weniger, dafür aber deutlich präszisere Maintenance-Einsätze ab, welche die Produktion beeinträchtigen oder unterbrechen. IoT Plattformanbieter stellen zur Zeit hauptsächlich Möglichkeiten zur Verfügung, einzelne Geräte punktuell an die Plattform anzubinden - mit Hilfe von digitalen Zertifikaten oder pre-shared Keys.

Ziel des Projektes ist eine Architektur, die es ermöglicht bestehende IAM Prozesse und Lösungen für die Einbindung von IoT Geräten zu verwenden. Dabei geht es sowohl um die Verwaltung der Credentials (Zertifikate, Schlüssel), als auch die sichere Integration der Geräte in die Unternehmensnetze unter Berücksichtigung von Netzwerkarchitekturen (z.B. Purdue Model) zur Kapselung der Produktion.

• Definition einer Architektur für das sichere Schlüsselmanagement von IoT Geräten in der Produktion durch eine Enterprise PKI
• Integration von Authentisierungskomponenten an Netzwerkgrenzen
• Anbindung des Identitätsdienstes für IoT Geräte mit IoT Plattformanbietern
• Provisionierung von Identitäten, Credentials und Rechten an IoT Plattformanbieter
• Integration der IoT Geräte in den IAM Lebenszyklus des Unternehmens

• Durchführung eines Cyber Security Assessments und Gap Analyse zur Generierung einer Roadmap für Implementierungen
• Durchführung von Interviews mit Fachstellen für die unterschiedlichen Cyber Security Domänen
• Nutzung eines Strategie-Frameworks von Deloitte für die Berechnung der Ergebnisse und Aufzeigen des Verbesserungspotenzials
• Abstimmung mit den Fachstellen über Projektinhalte und Zeitachsen für die Umsetzung
• Zusammenfassung der Ergebnisse für Management Präsentationen

Ich verantwortete die IAM Umgebung und deren Erfüllung interner und externer Vorgaben in der Deutsche Börse Gruppe in einem internationalen Team. Nebender Linienfunktion trug ich  Verantwortung für verschiedene IAM / PKI Projekte:

• Implementierung und Rollout einer Access Governance Lösung ( Sailpoint IIQ)
• Implementierung und Rollout einer Privilege Access Management Lösung CyberArk
• Implementierung und Rollout einer Data Loss Prevention Lösung zur Klassifikation und Verhinderung des Verlustes schützenswerter Daten
• Implementierung einer Sub CA zur Ausstellung von S/MIME Zertifikaten via Auto Enrollment (AD Certificate Services)
• Implementierung eines Identity Providers für die Nutzung von SaaS Diensten und die Authentifizierung von APIs ( Forgerock OpenAM)

Als Senior Security Architekt verantwortete ich die Architektur und Strategie der IAM und PKI Umgebungen der BASF Gruppe. Zu meinen Aufgaben gehörte das Schreiben von Governance Dokumenten, die Prozess Owner Verantwortung und das Leiten von Projekten in diesem Bereich.

• Implementierung und Rollout einer Privilege Access Management Lösung (CyberArk)
• Implementierung eines Identity Providers als Policy Decision Point für die Nutzung von SaaS Diensten und die Authentifizierung von APIs (NetIQ AM)
• Implementierung einer Third Party IAM Lösung auf Basis bestehender Produkte und Konsolidierung globaler Prozesse
• Implementierung einer Information Rights Mgmt . Lösung zur Klassifikation von Informationen und Kontrolle der Art der Nutzung (Azure Information Protection)
• Implementierung eines Email Encryption Gateways (Totemo Secure Mail) und Migration der bestehenden Lösung
• Verantwortung für die IAM Policies und Standards im Security Policy Framework der BASF Gruppe
• Prozess Owner für IAM und PKI Prozesse

Zu meinen Aufgaben gehörte das Design und die Implementierung von Security Lösungen im Bereich IAM und PKI, als auch die Verantwortung des Betriebs und die Serviceerbringung für die BASF Gruppe. In Projekten übernahm ich technische Projektleitung und Verantwortung für die Lösungsarchitektur und -implementierung.

• Implementierung und Rollout einer Konzern PKI (Microsoft, Safenet Luna HSM) und Migration von bestehenden Zertifikaten (Entrust PKI)
• Implementierung und Rollout einer globalen Unternehmens Smartcard als kombinierter Mitarbeiterausweis zur sicheren 2 Faktor Authentisierung und Verschlüsselung von Emails und Daten (Gemalto MyID)
• Serviceverantwortung für die Unternehmens-Smartcard und PKI Services im Konzern
• Entwicklung einer Registration Authority (RA) auf Basis von Powershell, PHP, JavaScript zur Umsetzung von TLS Zertifikat Lifecycle Prozessen
• Implementierung einer Remote Access Lösung für Mitarbeiter (Juniper) und Ablösung der bestehenden Lösung (Nortel)
• Architekturverantwortung für die Directory Landschaft der BASF Gruppe (Active Directory, NetIQ Directory)
• Implementierung einer 2-Faktor Authentisierungslösung für Externe auf Basis von on demand Token per E Mail / SMS
• Implementierung einer SIEM Lösung für das Security Monitoring der BASF Gruppe (ArcSight)

Als Teil der globalen Directory Services Einheit war ich verantwortlich für die Directory Infrastruktur, die PKI und Datenverschlüsselungslösungen der Gruppe.

• Migration der bestehenden Entrust PKI hin zu einer Microsoft PKI
• Implementierung einer Full Disk Encryption Lösung für Laptops
• Implementierung einer File & Folder Encryption Lösung für Netzlaufwerke

Als Teil des Cyber Security Teams arbeitete ich aktiv an Sicherheitslösungen für die BASF Gruppe mit.

• Programmierung eines Massensignaturservers zur Erstellung von rechtskonformen digitalen Signaturen (Java, Telesec Sig Karte)
• Implementierung der ersten Unternehmens PKI der BASF Gruppe ( Entrust) 
• Implementierung einer File & Folder Encryption Lösung ( Safeguard LanCrypt