1 von 91.893 IT- und Engineering-Profilen

Fachlicher Schwerpunkt dieses Freiberuflers

Application Security Architecture, Sicherheit in Softwareentwicklung, OWASP, Cloud/AWS Security

verfügbar ab
01.08.2018
verfügbar zu
100 %
davon vor Ort
60 %
PLZ-Gebiet, Land

D0

D1

D2

D3

D4

D5

D6

D7

D8

D9

Österreich

Schweiz

Einsatzort unbestimmt

Position

Kommentar

Mein fahlicher Fokus ist die Sicherheit in der Softwareentwicklung. Bitte keine Anfragen zu reinen Entwicklungstätigkeiten!

  • Application Security Architektur
  • Web & Application Security
  • Cloud Security / AWS Security
  • Sichere Softwareentwicklung / Java Security
  • Verankerung von Sicherheit in der Softwareentwicklung (Secure SDLC)
  • Agile Security (Scrum, Kanban) / DeSecOps
  • Security Test Automatisierung (SAST, IAST, SAST)
  • Security Assessments / Code Reviews
  • Risikoanalysen / Bedrohungsmodellierung (Threat Modelling
  • Koordinierung von Pentests
  • Security Workshops und Schulungen mit Entwicklern

Projekte

05/2018 - 08/2018

4 Monate

Cloud Security AWS & Azure

Rolle
Security Specialist
Einsatzort
Quickborn, Hannover
Projektinhalte
  • Laufende Projektunterstützung (Teil verschiedener Scrum Teams)
  • Identifikation von Sicherheitsanforderungen
  • Analyse und Weiterentwicklnug der Sichereitsarchitektur
  • Technische Absicherung AWS (Lambda-Funktionen, IAM Policies, EC2-Instanzen)
  • Technische Absicherung Azure
  • Durchführen von Security Scans (Fortify FOD)
  • Threat Modeling
Kenntnisse

Security

AWS

Azure

Scrum

Produkte

Fortify FOD

10/2016 - 05/2018

1 Jahr 8 Monate

Planung und Rollout sichere SW-Entwicklung

Rolle
Teilprojektleiter, Security Consultant
Einsatzort
Nürnberg
Projektinhalte

- Erarbeitung von Security Praktiken für agil arbeitende Teams (SCRUM und Kanban)

- Security Test Automatisierung (Evaluierung von Tools, Integration in CI/CD-Toolketten der Projekte)

- Ausarbeitung von technischen und organistorischen Maßnahmen

- Container / Docker Security

- Teamleitung

Kenntnisse

SCRUM

Security

06/2015 - 04/2017

1 Jahr 11 Monate

Ist-Analyse Applikationssicherheit / Erstellung von Entwicklungsrichtlinien / Laufende Unterstützung

Rolle
Security Consultant / Coach
Kunde
Versicherungskonzern in Hamburg
Projektinhalte
  • Technologien: JSF, HP Fortify, WhiteHat, Veracode

Tätigkeiten im Einzelnen:

  • Analyse des Reifegrades der Softwareentwicklung und Architektur im Hinblick auf Applikationssicherheit und Ableitung von Maßnahmenempfehlungen
  • Durchführung von Interviews, Applikationstests, Code Reviews und statische Codeanalysen (mittels HP Fortify on Demand)
  • Erstellung von Entwicklungsrichtlinien
  • Laufende Unterstützung bei Integration von Sicherheit in Entwicklungsprozeß (inkl. Evaluierung von Tools)

09/2014 - 12/2016

2 Jahre 4 Monate

Entwicklung eines Cloud-basierten Web Security Scanner

Kunde
Entwickler
Projektinhalte
  • Technologien: Java EE, Eclipse Spring MVC, Spring Security, Hibernate, JQuery, Maven, Jenkins, Tomcat

04/2016 - 08/2016

5 Monate

Agile Security Coach

Rolle
Trainer / Security Consultant
Kunde
Versandhändler
Projektinhalte
  • Technologien: Java EE, JIRA, Jenkins, Arachni, OWASP Dependency Checker, Findbugs

Tätigkeiten im Einzelnen: 

  • Coaching von agilen Teams (SCRUM) in Bezug auf Softwaresicherheit
  • Aufbau und Integration von automatisierten Security Tests in Build Chain
  • Erarbeitung von Vorgaben und Security Guidelines

10/2015 - 07/2016

10 Monate

Unterstützung eines Secure SDLC Rollouts

Rolle
Trainer / Security Consultant
Kunde
Automobilzulieferer im süddeutschen Raum
Projektinhalte
  • Technologien: Java JSF, SAP ABAP, Veracode, Microsoft Threat Modeling Tool

Tätigkeiten im Einzelnen:

  • Erarbeiten von Schulungsunterlage und Durchführung von Trainings für Entwicklungsteams zur sicheren Softwareentwicklung
  • Einführung und Schulung von Bedrohungsanalysen auf Basis von Microsoft Threat Modeling Tool
  • Beratung und Coaching von internen Security-Experten

03/2015 - 11/2015

9 Monate

Erarbeitung von Vorgaben zur Verbesserung der Applikationssicherheit von Web-basierten Internetauftritten (SCRUM-basiertes Vorgehen)

Rolle
Security Consultant / Projektmitarbeiter
Kunde
Bundesagentur in Süddeutschland (NDA)
Projektinhalte
  • Technologien: HP Fortify, Contrast, Nexus, Hudson, Java EE, JSF

Tätigkeiten im Einzelnen:

  • Erstellung eines Bedrohungskataloges und Integration in einen kundenspezifischen IT-Grundschutzbaustein
  • Erstellung von abgeleiteten Maßnahmen (Secure Coding Guidelines)
  • Entwicklung eines Tools zur Bedrohungsmodellierung für Projekte
  • Entwicklung von architektonische Blueprints und Security APIs
  • Erarbeitung von Anforderungen für das interne Security Testings von Anwendungen
  • Marktanalyse und technische Evaluierung verschiedener Enterprise Security-Tools (SAST, IAST)

03/2015 - 10/2015

8 Monate

Erarbeitung von Vorgaben zur Verbesserung der Applikationssicherheit von Web-basierten Internetauftritten

Rolle
Security Consultant
Kunde
Java EE, ADF, JDeveloper/Eclipse, Fortify, Contrast, Nexus Lifecycle
Einsatzort
Süddeutschland
Projektinhalte

• Entwicklung eines Grundschutz-Konformen Bedrohungs- und Maßnahmenkataloges (inkl. Secure Coding Guidelines) für Projekte und in Bezug auf Applikationssicherheit.

• Entwicklung eines Tools zur Bedrohungsmodellierung für Projekte

• Marktanalyse und technische Evaluierung von SAST- und IAST-Tools

• Entwicklung von architekturellen Blueprints und Security APIs

• Erarbeitung von Anforderungen für das interne Security Testings von Anwendungen

Kenntnisse

Sichere Softwareentwicklung

Java

BSI Grundschutz

SCRUM

Security Testing

Applicationssicherheit

Bedrohungsanalyse

Produkte

HP Fortify

Contrast

Nexus

ADF

Confluence

04/2014 - 03/2015

1 Jahr

Leitung eines Projektes mit dem Ziel Sicherheit im Entwicklungsprozess zu integrieren (Secure SDLC)

Rolle
Projektleiter
Kunde
NDA
Einsatzort
Köln
Projektinhalte

Tätigkeiten im Einzelnen:

• Teilprojektleitung innerhalb eines großen internationalen Security Programmes (Teamleitung, Organisation, Reporting, Konzepterstellung)

• Abstimmung von Änderungen an Entwicklungs- und Beschaffungsprozessen (insb. Security Gates)

• Abstimmung von Rollen und Aufbau einer internen Software Security Group (SSG)

• Erstellung und Abstimmung von Sicherheitsvorgaben (Standards, Coding Guidelines)

• Ausbau von Schulungen, Qualifikation von Mitarbeitern

• Unterstützung, Koordinierung, und Planung von Pentests und Erstellung von Vorgaben

• Auswahl, Pilotierung und Integration verschiedener Security Tools (Veracode, Virtual Forge etc.)

Kenntnisse

Veracode, Fortify, AppScan, Java, GWT, SAP, Virtual Forge

01/2013 - 11/2014

1 Jahr 11 Monate

Buchprojekt zum Thema Applikationssicherheit [Titel auf Anfrage]

Rolle
Autor
Kunde
Springer Vieweg Verlag
Einsatzort
Hamburg
Projektinhalte

[URL auf Anfrage]

06/2013 - 03/2014

10 Monate

Teilprojektleitung im Rahmen eines IT-Security-Projektes (Aufgaben u.a.: Aufbau Schwachstellenmanagement, Sicherheitsvorgaben, Prozesse)

Rolle
Teilprojektleiter
Kunde
Handelsunternehmen in Hamburg (NDA)

06/2013 - 09/2013

4 Monate

Statische Codeanalyse: Tool-Deployment, Scans und Konzept-Erstellung

Rolle
Security Consultant
Kunde
Automobilhersteller in Süddeutschland (NDA)
Projektinhalte
  • Technologien: HP Fortify, Xcode, ObjectiveC, Android, Java EE, .NET, SAP

04/2012 - 12/2012

9 Monate

IT-Risikoanalyst für Web- und Mobileanwendungen

Rolle
Application Security Analyst
Kunde
UBS AG in London
Projektinhalte
  • Technologien: HP Fortify, IBM AppScan, Xcode, Objective-C, Java, HTML5, Flex, etc.

09/2011 - 04/2012

8 Monate

Durchführung verschiedener Risiko- und Bedrohungsanalysen von hochsensiblen IT-Anwendungen und Aufbau entsprechender Vorgaben

Rolle
Consultant / IT-Security Analyse
Kunde
Big-Four-Prüfungsgesellschaft in Frankfurt (über n.runs AG)
Projektinhalte
  • Technologien: SharePoint 2010 (ASP.NET, C#), IIS, SiteMinder, Java EE

07/2010 - 11/2010

5 Monate

Erstellung einer Entwicklungsleitlinie für sichere Webanwendungen

Rolle
IT-Security Consultant / Autor / Project Lead
Kunde
Behörde im süddeutschen Raum (NDA)
Projektinhalte
  • Technologien: Java EE (verschiedene Frameworks), PHP, OWASP ESAPI

05/2010 - 11/2010

7 Monate

On-Site-Sicherheitstester im Rahmen der Entwicklung eines rechtsicheren Internetdienstes

Rolle
Security Tester / Security Engineer
Kunde
Logistikunternehmen (NDA)
Projektinhalte
  • Technologien: Java EE, PHP (Zend), C/C++, Webservices (SOAP, REST, WS-Security)
    Fortify 360 (SCA, Server), PKI (X.509, HSM), ModSecurity

11/2008 - 03/2009

5 Monate

Sicherheitsbeauftragter bei Entwicklung eines Internetportal-Piloten mit besonders hohen Sicherheitsanforderungen

Rolle
IT-Sicherheitsbeauftragter
Kunde
Deutsches Logistikunternehmen (NDA)
Projektinhalte
  • PHP, F5 ASM, PKI, Fortify, Eclipse, diverse Open-Source-Tools

Projekthistorie

03/15 - 11/15              Erarbeitung von Vorgaben zur Verbesserung der Applikationssicherheit von Web-basierten Internetauftritten

Rolle:                          Security Consultant

Technologien:             Java EE, ADF, JDeveloper/Eclipse, Fortify, Contrast, Nexus Lifecycle,

Kunde:                        Einrichtung des Bundes in Süddeutschland (NDA)

 

Tätigkeiten im Einzelnen:

  • Entwicklung eines BSI Grundschutz- und OWASP-konformen Bedrohungs- und Maßnahmenkataloges (inkl. Secure Coding Guidelines) für Projekte und in Bezug auf Applikationssicherheit.
  • Entwicklung eines Tools zur Bedrohungsmodellierung für Projekte
  • Marktanalyse und technische Evaluierung von SAST- und IAST-Tools
  • Entwicklung von architekturellen Blueprints und Security APIs
  • Erarbeitung von Anforderungen für das interne Security Testings von Anwendungen

___________________________________________________________________________

 

04/14 - 03/15              Leitung eines Projektes mit dem Ziel Sicherheit im Entwicklungsprozess zu integrieren (Secure SDLC)

Rolle:                          Projektleiter

Technologien:             Veracode, Fortify, Checkmarx, AppScan, Java, GWT, SAP, Virtual Forge

Kunde:                        Großer Versicherungskonzern in Köln  (NDA)

 

Tätigkeiten im Einzelnen:

  • Teilprojektleitung innerhalb eines großen internationalen Security Programmes (Teamleitung, Organisation, Reporting, Konzepterstellung)
  • Abstimmung von Änderungen an Entwicklungs- und Beschaffungsprozessen (insb. Security Gates)
  • Abstimmung von Rollen und Aufbau einer internen Software Security Group (SSG)
  • Erstellung und Abstimmung von Sicherheitsvorgaben (Standards, Coding Guidelines)
  • Ausbau von Schulungen, Qualifikation von Mitarbeitern
  • Unterstützung, Koordinierung, und Planung von Pentests und Erstellung von Vorgaben
  • Auswahl, Pilotierung und Integration verschiedener Security Tools (Veracode, Virtual Forge etc.)

 

___________________________________________________________________________

 

6/13 - 03/14  IT-Projektleiter für verschiedene IT-Security-Projekte

Rolle: IT-Projektleiter

Technologien:   -

Kunde: Otto GmbH und Co KG in Hamburg

 

Tätigkeiten im Einzelnen:

 

  • Leitung mehrerer Teilprojekte und stellvertretende Gesamtprojektleitung
  • Koordinierung interner und externer Mitarbeiter.
  • Planung und Etablierung eines toolgestützten Schwachstellen- und Patch-Management-Prozesses
  • Unterstützen bei der Durchführung eines SIEM-PoCs
  • Erstellung eines Security Bewertungssystems
  • Erstellung von Sicherheitskonzepten (darunter eine technische Sicherheitsrichtlinie für Webanwendungen)

 


 

06/13 - 11/13            Statische Codeanalyse: Tool-Deployment, Scans und Konzept-Erstellung

Rolle:                   Security Consultant

Technologien:            HP Fortify, Xcode, Objective-C, Android, Java EE, .NET, SAP

Kunde:                   Automobil-Hersteller in Süddeutschland

 

Tätigkeiten im Einzelnen:

 

  • Erstellen von Konzepten für die Durchführung von automatisierten Security Scans auf Basis von HP Fortify.
  • Deployment und Konfiguration von verschiedenen Fortify-Komponenten.
  • Durchführen und Auswerten von Fortify-Scans von verschiedenen Anwendungen und in unterschiedlichen Technologien, darunter: ABAP (SAP), Objective-C, Android, Java EE und .NET.
  • Schulung von Mitarbeitern in Durchführung statischer Security-Codeanalyse

 


 

Zeitraum:     04/12 - 12/12             

Projekt:      Risikoanalysen und Software Assurance

Rolle:        Application Security Analyst

Technologien: iOS, Xcode, Objective-C, Java, Fortify, HTML5, Flex, etc.

Kunde:        UBS AG in London

 

Tätigkeiten im Einzelnen:

 

  • Erstellung von Risikoanalysen von IT-Anwendungen und -Infrastruktur
  • Enge Zusammenarbeit mit Qualitätssicherung und Softwareentwicklung
  • Durchführung von manuellen und toolgestützten Sicherheitsanalysen, insb. von iOS-Anwendungen (iPad, iPhone)
  • Evaluierung von Sicherheitsaspekten neuer Technologien (z.B. Cloud, HTML5, Flex, Mobile MDM) und Begleiten entsprechender Prototypen

 

Zeitraum:     04/12 - 04/12             

Projekt:      Analyse und Bewertung des Ist-Zustandes im Bereich Webanwendungssicherheit

              sowie Ableiten und Präsentation von Verbesserungsvorschlägen (10 PT)

Rolle:        Consultant / Couch

Technologien: PHP / Java

Kunde:        Verlag in Hamburg


 

Zeitraum:     09/11 - 04/12             

Projekt:      Durchführung von Threat Analysen von hochsensiblen IT-Anwendungen des Kunden

Rolle:        Consultant / IT-Security Analyse

Technologien: SharePoint 2010 (ASP.NET, C#), IIS, SiteMinder, Java EE

Kunde:        Kunde im Finanzbereich (über n.runs AG)


Tätigkeiten im Einzelnen:

 

  • Durchführung von Threat Analysen (teilweise auch projektbegleitend)
  • Erstellen eines Konzeptes zur Einführung von Threat Analysen beim Kunden
  • Präsentation der Ergebnisse und Abstimmung von Maßnahmen
  • Kontrolle der Maßnahmenumsetzung (z.B. mittels Pentests oder Code Reviews)
  • Definition eines Testfallkatalogs für Security Tests
  • Erstellen von Application Security Metriken, sowie eines Scoring Models auf Basis von MITRE’s CWSS

 

Zeitraum:     11/10 - 05/11             

Projekt:      Unterstützung bei der Erstellung von architekturellen Vorgaben für ein

              E-Ticketsystem

Rolle:        Consultant / Coaching

Technologien: Java EE, Python, Webservices (webMethods ESB, WS-Security, SOAP)

Kunde:        Transport, Österreich (NDA)


Tätigkeiten im Einzelnen:

 

  • Coaching des internen Security Architekten
  • Erstellung von Sicherheitsanforderungen (darunter PCI DSS, A7700, ASVS)
  • Erstellung von Secure Coding Guidelines
  • Entwickler-Workshops

 

Zeitraum:     03/11 - 04/11              

Projekt:      Durchführung eines Code Reviews sowie Pentests

Rolle:        Projektleiter / IT-Security Analyst
Technologien: Java EE (Servlets, JSP), PHP, Webservices (SOAP), JavaScript
Kunde:        Deutscher IT-Dienstleister im Finanzsektor (NDA)

Untersuchung der Sicherheit einer Java-basierten Online Banking Anwendung sowie eines PHP-basierten CMS-Systems mittels Code Review und Anwendungstests (Penetrationstest).

 

Tätigkeiten im Einzelnen:

 

  • Projektleitung (6 Teammitglieder)
  • Durchführung von Audits und Qualitätssicherung
  • Dokumentation und Präsentation

 

Zeitraum:     02/11 - 03/11              

Projekt:      Assessment mehrerer Web Application Firewalls (WAFs)
Rolle:        IT-Security Analyst
Technologien: ModSecurity, BigIP F5 ASM
Kunde:        Bankensektor, Deutschland (NDA)

 

Ziel dieses Projektes bestand in der Analyse von Produkttauglichkeit sowie Korrektheit der Konfiguration zweier vom Kunden im Rahmen einer Teststellung betriebener Web Application Firewalls. Zu diesem Zweck wurden insgesamt einige tausend speziell für diesen Zweck erstelle Testfälle an die beiden Systeme automatisiert gesendet. Im nächsten Schritt wurden die von den jeweiligen Systemen geloggten Daten semi-automatisiert ausgewertet und gegenübergestellt.

 

Tätigkeiten im Einzelnen:

 

  • Erstellung der Testfälle & Skripte
  • Durchführung der Tests
  • Auswertung & Dokumentation

 

Zeitraum:     02/11                          

Projekt:      Erstellung eines Sicherheitskonzeptes für Mobile Security
Rolle:        IT-Security Consultant / IT-Security Analyst
Technologien: Blackberry / Blackberry Enterprise Server (BES)
Kunde:        Deutsches Telekommunikationsunternehmen (NDA)

 

Die Aufgabe bei diesem Projekt bestand darin, eine Sicherheitsbetrachtung sowie ein entsprechendes Konzept für den unternehmensweiten Einsatz von mobilen Endgeräten sowie darauf betriebener Anwendungen (Apps) im Bereich Blackberry (RIM) zu erstellen.


 

Zeitraum:     11/10 - 12/10              

Projekt:      Code Review und Pentest eines Banking Frameworks
Rolle:        Security Analyst / Projektleitung
Technologien: JSF, Spring, Spring Webflow, Webservices (REST, SOAP)
Kunde:        Bankensektor, Deutschland (NDA)

Tätigkeiten im Einzelnen:

 

  • Projektleitung (4 Teammitglieder)
  • Durchführung von Audits und Qualitätssicherung
  • Dokumentation und Präsentation

 

Zeitraum:     07/10 - 11/10              

Projekt:      Erstellung einer Entwicklungsleitlinie für sichere Webanwendungen auf
              Basis der ÖNORM A 7700
Rolle:        IT-Security Consultant / Autor / Project Lead
Technologien: Java EE (verschiedene Frameworks), PHP, OWASP ESAPI
Kunde:        Behörde im süddeutschen Raum (NDA)

Ziel des Projektes war die Erstellung einer Entwicklungsleitlinie, die für mehrerer Behörden verpflichtender Standard für die Entwicklung, Beschaffung und Bereitstellung sicherer Webanwendungen wurde. Basis des Dokumentes waren dabei mehrere BSI-Standards, sowie i.e.L. die ÖNORM A7700 sowie der OWASP-Standard ASVS.

 

In dem Dokument wurden sämtliche Lebenszyklus-Phasen einer Webanwendung modelliert. Dies beinhaltet die Spezifikation (z.B. Schutzbedarfsfeststellung), Design (Threat Modeling etc.), Secure Coding Guidelines für diverse Programmiersprachen (darunter J2EE, PHP und .NET) sowie Vorgaben für die Abnahme (auf Basis des OWASP ASVS-Standards).

 

Tätigkeiten im Einzelnen:

 

  • Projektleitung (4 Teammitglieder)
  • Kick-Off-Workshop
  • Erstellung & Abstimmung des Dokuments
  • Diverse Schulungen
  • Abschlusspräsentation

 

Zeitraum:     05/10 - 11/10             

Projekt:      On-Site-Sicherheitstester im Rahmen der Entwicklung eines rechtsicheren

              Internetdienstes

Rolle:        Security Tester / Security Engineer

Technologien: Java EE, PHP (Zend), C/C++, Webservices (SOAP, REST, WS-Security) Fortify

              360 (SCA, Server), PKI (X.509, HSM), ModSecurity

Kunde:        Logistikunternehmen (NDA)

Projektbegleitender Security Consultant  (On-Site) mit Schwerpunkt Security Testing im Rahmen der Entwicklung eines Internetdienstes zum rechtssicheren und vertraulichen Austausch elektronischer Dokumente. Das System basierte auf einer komplexen Sicherheitsarchitektur in dem umfangreiche Sicherheitsanforderungen über verschiedene Systeme und Technologien abzubilden und zu testen war.

 

Die Architektur war stark heterogen ausgelegt. Die Kommunikation erfolgte über Webservices.

 

Besondere Schwierigkeit lag bei diesem Projekt bei der Abstimmung der Sicherheitstests auf den sehr agilen Entwicklungsprozess sowie die Definition und Ermittlung aussagekräftiger Metriken.


Tätigkeiten im Einzelnen:

 

  • Architekturreviews
  • Definition und Abstimmung von Sicherheitsanforderungen
  • Code Reviews & Statische Code Analyse (Fortify)
  • Penetrationstests

 

Zeitraum:     11/10 - 12/10              

Projekt:      Code Review und Pentest eines Banking Frameworks
Rolle:        Security Analyst / Projektleitung
Technologien: JSF, Spring, Spring Webflow, Webservices (REST, SOAP)
Kunde:        Bankensektor, Deutschland (NDA)

Tätigkeiten im Einzelnen:

 

  • Projektleitung (4 Teammitglieder)
  • Durchführung von Audits und Qualitätssicherung
  • Dokumentation und Präsentation

 

Zeitraum:     07/10 - 11/10              

Projekt:      Erstellung einer Entwicklungsleitlinie für sichere Webanwendungen auf
              Basis der ÖNORM A 7700
Rolle:        IT-Security Consultant / Autor / Project Lead
Technologien: Java EE (verschiedene Frameworks), PHP, OWASP ESAPI
Kunde:        Behörde im süddeutschen Raum (NDA)

Ziel des Projektes war die Erstellung einer Entwicklungsleitlinie, die für mehrerer Behörden verpflichtender Standard für die Entwicklung, Beschaffung und Bereitstellung sicherer Webanwendungen wurde. Basis des Dokumentes waren dabei mehrere BSI-Standards, sowie i.e.L. die ÖNORM A7700 sowie der OWASP-Standard ASVS.

 

In dem Dokument wurden sämtliche Lebenszyklus-Phasen einer Webanwendung modelliert. Dies beinhaltet die Spezifikation (z.B. Schutzbedarfsfeststellung), Design (Threat Modeling etc.), Secure Coding Guidelines für diverse Programmiersprachen (darunter J2EE, PHP und .NET) sowie Vorgaben für die Abnahme (auf Basis des OWASP ASVS-Standards).

 

Tätigkeiten im Einzelnen:

 

  • Projektleitung (4 Teammitglieder)
  • Kick-Off-Workshop
  • Erstellung & Abstimmung des Dokuments
  • Diverse Schulungen
  • Abschlusspräsentation

 

Zeitraum:     05/10 - 11/10             

Projekt:      On-Site-Sicherheitstester im Rahmen der Entwicklung eines rechtsicheren

              Internetdienstes

Rolle:        Security Tester / Security Engineer

Technologien: Java EE, PHP (Zend), C/C++, Webservices (SOAP, REST, WS-Security) Fortify

              360 (SCA, Server), PKI (X.509, HSM), ModSecurity

Kunde:        Logistikunternehmen (NDA)

Projektbegleitender Security Consultant  (On-Site) mit Schwerpunkt Security Testing im Rahmen der Entwicklung eines Internetdienstes zum rechtssicheren und vertraulichen Austausch elektronischer Dokumente. Das System basierte auf einer komplexen Sicherheitsarchitektur in dem umfangreiche Sicherheitsanforderungen über verschiedene Systeme und Technologien abzubilden und zu testen war.

 

Die Architektur war stark heterogen ausgelegt. Die Kommunikation erfolgte über Webservices.

 

Besondere Schwierigkeit lag bei diesem Projekt bei der Abstimmung der Sicherheitstests auf den sehr agilen Entwicklungsprozess sowie die Definition und Ermittlung aussagekräftiger Metriken.


Tätigkeiten im Einzelnen:

 

  • Architekturreviews
  • Definition und Abstimmung von Sicherheitsanforderungen
  • Code Reviews & Statische Code Analyse (Fortify)
  • Penetrationstests

 

Zeitraum:     04/10                          

Projekt:      Code Review einer Glückspiel-Webanwendung
Rolle:        IT-Security Consultant / IT-Security Analyst
Technologien: Java EE, Eclipse + SECoverer, diverse Open-Source-Tools
Kunde:        Österreichisches Glücksspielunternehmen (NDA)

 

Code Review einer Java-basierten Glückspiel-Webanwendung. Die Durchführung fand beim Kunden vor Ort über 5 Tage statt.

 

Der Review wurde vorbereitend zu einer angestrebten A7700-Zertifizierung durchgeführt.


 

Zeitraum:     04/10 - 05/10              

Projekt:      Penetrationstests einer Finanz-Anwendung
Rolle:        Pentester
Technologien: Burp, w3af, Firefox + spezielle Plugins, diverse Open-Source- Tools
Kunde:        Italienisches Finanzdienstleistungs-Unternehmen (NDA)

 

Durchführung eines anwendungsseitigen Penetrationstests einer Anwendung zur Verwaltung von Finanzdaten. Die Tests wurden auch auf Basis von OWASP Top 10, OSSTMM sowie anderer relevanter Standards durchgeführt.


 

Zeitraum:     10/09                          

Projekt:      Analyse der Rollen- und Berechtigungen eines Redaktionssystems
Rolle:        IT-Security Consultant / IT-Security Analyst
Technologien: -
Kunde:        Axel Springer AG


Das Rollen- und Berechtigungssystem eines von mehreren Objekten eingesetzten Redaktionssystems war hinsichtlich der Sicherheit und möglicher Fehler/Probleme zu analysieren. Besondere Schwierigkeit bestand hierbei in der Berücksichtigung der Workflow-sensitiven Berechtigungen.

 

Hierzu wurden die vorhandenen Profile, Worksets, Rollen und Berechtigungen im verwendeten RBAC-System identifiziert und dokumentiert. Weiterhin wurden die effektiv im System gesetzten, operativen Berechtigungen hinsichtlich Erforderlichkeit "Need to Know" / "Need to Do" sowie Funktionstrennung ("Separation of Duty",SOD) geprüft und bewertet.


 

Zeitraum:     09/09                          

Projekt:      Threat Modeling einer E-Commerce-Anwendung
Rolle:        IT-Security Consultant / IT-Security Analyst
Technologien: -
Kunde:        Axel Springer AG

Durchführung einer Threat Modeling (Bedrohungsmodellierung) einer neuentwickelten E-Commerce-Anwendung zum Vertrieb von digitalem Content. Bedrohungen wurden dazu auf Geschäftsebene identifiziert sowie qualifiziert und auf  technische Ebene abgebildet sowie bewertet. Basierend darauf wurden notwendige Maßnahme (z.B. bzgl. Architektur, Implementierung oder Betrieb) abgeleitet.

Das Bedrohungsmodell bildete die Grundlage später durchgeführter integrativer Penetrationstests der Anwendung.


 

Zeitraum:     07/09 - 08/09              

Projekt:      Architekturanalyse einer primären SAP-Umgebung
Rolle:        IT-Security Consultant / IT-Security Analyst
Technologien: -
Kunde:        Axel Springer AG

Analysiert wurde ein sehr dezentral betriebenes SAP-Personalsystem.
Hintergrund war die Fragestellung nach der korrekten Behandlung von personenbezogenen Daten gemäß BDSG. Hierzu wurde insbesondere untersucht welche Daten in welcher Form (verschlüsselt oder im Klartext) übertragen oder abgelegt wurden.
Das Ergebnis stellte eine abgestimmte Maßnahmenliste dar.


 

Zeitraum:     07/07 - 07/09              

Projekt:      Seminare zu J2EE- und Webanwendungssicherheit
Rolle:        Trainer
Technologien: -
Kunde:        SIGS-DATACOM (IT-Weiterbildungsanbieter)

Gemeinsam mit dem Schulungsanbieter SIGS-DATACOM wurden verschiedene Seminare im Bereich Webanwendungssicherheit durchgeführt.


Dies betraf das Seminar "Sichere Webanwendungsentwicklung unter Java EE", welches zudem auch selbst entwickelt wurde. Weiterhin wurde das Seminar „Best Practices für sichere Webanwendungen nach BSI“ ausgebaut und mehrfach gehalten


 

Zeitraum:     07/06 - 07/09              

Projekt:      Diverse Inhouse Security Workshops
Rolle:        Trainer
Technologien: -
Kunde:        u.A. Versicherungen, E-Commerce-Anbieter sowie Behörden

Durchführung von insg. ca. 15 Workshops in sicherer (Web-)Anwendungssicherheit, Awareness-Trainings sowie zu den Grundlagen der Durchführung von Sicherheitstests.  Zielgruppe waren meist Entwickler, QA-Tester und Projektmanager. Die Dauer der Workshops betrug zwischen einem und vier Tagen.


 

Zeitraum:     03/09 - 07/09            

Projekt:      Fortify 360 Installation und Rollout
Rolle:        IT-Security Consultant / IT-Security Analyst
Technologien: Fortify 360, Visual Studio
Kunde:        Versicherungsunternehmen (NDA)

Zur Identifikation von vorhandenen Sicherheitsproblemen und nachhaltiger Verbesserung der Softwarequalität war Fortify in die Entwicklungsumgebung des Kunden zu integrieren.
Zusätzlich zu Fortify SCA wurde der Fortify 360 Server als zentrale Management-Komponente aufgesetzt und auch zur Erfassung und Pflege des dortigen Anwendungsportfolios angepasst.  


 

Zeitraum:     07/07 - 07/09              

Projekt:      Sicherheitsabnahmen und Penetrationstests der Internet-Plattform eines      
              großen E-Commerce-Anbieters
Rolle:        IT-Security Consultant / IT-Security Analyst
Technologien: Acunetix, Nessus, w3af, diverse Open-Source-Produkte
Kunde:                         Deutsches Logistikunternehmen (NDA)

Es waren regelmäßige anwendungsseitige Sicherheitsabnahmen  Penetrationstest)  neuentwickelter Anwendungen sowie jährlich, der zentralen Plattform durchzuführen.

Gegenstand der Tests waren u.A.:

 

  • Prüfung auf Einhaltung von Sicherheitsanforderungen
  • Testen von Abuse Cases (Angriffe auf Business-Ebene)
  • Umfangreiche Black-Box-Tests

    o Privilege Escalation
    o Cross Site Scripting (XSS)
    o SQL Injection
    o etc.

  • Fuzzingtests
  • Analyse der OpenSSL-Cipher
  • Analyse der WebService-Schnittstellen


Darüber hinaus wurden im Zeitraum 2005-2009 über 90 weitere Enterprise-Webanwendungen untersucht.


 

Zeitraum:     05/09 - 06/09

Projekt:      Codeanalyse einer großen Anwendung zur Verarbeitung von Finanztransaktionen
Rolle:        IT-Security Consultant / IT-Security Analyst
Technologien: Fortify 360 (PTA und SCA), diverse Open-Source-Tools
Kunde:        IT-Anbieter für Finanzdienstleister (NDA)

Untersucht wurde eine hochsensible Anwendung zur Verarbeitung von Finanztransaktionen. Der Umfang der J2EE-basierte Anwendung betrug ca. 450.000 Codezeilen (LOC).


Gegenstand des Projekts waren:

 

  • Kick-Off-Workshop
  • Statische Codeanalyse mittels Fortify SCA
  • Dynamische Codeanalyse mittels Fortify PTA
  • Manueller Code Review
  • Integrativer Sicherheitstest
  • Abschluss-Workshop
  • Regressionstests

 

Zeitraum:     11/08 - 03/09              

Projekt:      Sicherheitsbeauftragter bei Entwicklung einer Internetportal-Piloten mit

              besonders hohen Sicherheitsanforderungen
Rolle:        IT-Sicherheitsbeauftragter
Technologien: PHP, F5 ASM, PKI, Fortify, Eclipse, diverse Open-Source-Tools
Kunde:        Deutsches Logistikunternehmen (NDA)

Projektbeleitender Sicherheitsbeauftragter (On-Site) während der Entwicklung eines Internetportal-Piloten mit besonderes hohen Sicherheitsanforderungen und –Merkmalen (Qualifizierte Signatur, Gerichtsverwertbarkeit, etc.).

Neben der Definition von Sicherheitsanforderung wurden insbesondere vielschichtige Sicherheitsprüfungen entlang des Entwicklungszyklusses durchgeführt. Dies beinhaltetet sowohl Threat Modeling, Statische Codeanalyse, manueller Code Review sowie später, die Durchführung von integrativen Pentests.


Für die Durchführung der Codeanalysen stand dabei Fortify SCA zur Verfügung, für welches Anpassungen entwickelt mussten um dieses in die Bugtracking-Umgebung (JIRA) in die Nightly Builds zu integrieren.

Tätigkeiten im Einzelnen:

 

  • Definition von Sicherheitsanforderungen
  • Workshops
  • Code Reviews & Statische Code Analyse
  • Sicherheitsanalysen (Penetrationstests)
  • Threat Modeling
  • Konfiguration der Application Firewall
  • Härtung der Apache- und PHP-Installationen (z.B. mittels Suhosin-Patch)


Zeitraum:     01/08 - 11/08              

Projekt:      OWASP Skavenger-Projekt
Rolle:        Entwickler
Technologien: C#, MS .NET 2.0, Windows Forms, Perl
Kunde:        OWASP

Im Rahmen des Summer of Codes 2008, einem Sponsoring der OWASP, wurde in Framework zur passiven Identifikation von Sicherheitslücken mittels Auswertung von übertragenen Nutzerdaten entwickelt und im November 2008 bei dem OWASP Summit in Portugal vorgestellt.

Das Framework bestand aus zwei Komponenten:

 

  • Einer Analysekomponente (geschrieben in Perl), welche mittels verschiedener Module unterschiedliche Quellen (Burp, WebScarab-Proxy-Caches) „on-the fly“ auswerten konnte. Das Anwendungsdesign wurde hierfür stark objektorientiert umgesetzt.
  • Einer GUI-Komponente (geschrieben in C#), welche die Konfiguration und Ansteuerung der Analyse-Komponente übernahm und dessen Ergebnisse in Echtzeit graphisch darstellen konnte und hierfür umfangreiche Filter- und Auswertungsmöglichkeiten bot.

 

Zeitraum:     04/08 - 06/08          

Projekt:      OWASP-Paper zum Einsatz von Web Application Firewalls (WAFs)
Rolle:        Co-Autor
Technologien: -
Kunde:        OWASP

Das Paper beleuchtet Best Practices für den Einsatz von Web Application Firewalls (WAFs). Es wurde innerhalb des Germany Chapters des Open Web Application Security Projects (OWASP) entwickelt und bereits auf mehreren Konferenzen vorgestellt.


 

Zeitraum:     02/08 - 03/08

Projekt:      Evaluierung von Application Firewalls für einen Versicherungskonzern
Rolle:        Security Consultant
Technologien: -
Kunde:        Deutsches Versicherungsunternehmen (NDA)

Für einen deutschen Versicherungskonzern wurde eine technische Evaluierung mehrerer Web Application Firewall (WAF) Produkte durchgeführt.

 

Gegenstand des Projekts waren:

 

  • Abstimmung und Gewichtung von Anforderungen an das Produkt
  • Kommunikatioommunikation mit verschiedenen Herstellern
  • Technische Evaluierung ausgewählter Produkte vor Ort
  • Erarbeitung und Präsentation einer Empfehlung auf Basis dieser Evaluierung

 

Zeitraum:     08/07 - 02/08              

Projekt:      Entwicklung eines webbasierten Lieferantenportals
Rolle:        Entwickler
Technologien: Java EE 5, Spring MVC, Acegi / Spring Security, Hibernate
Kunde:        Automobilzulieferer (NDA)

Entwicklung eines webbasierten Portals zur zentralen Verwaltung der Stamm- und Vorgangsdaten von Zulieferern und Dienstleistern.


Über diese Anwendung wurden für das Unternehmen hochsensible Daten über das Internet bereitgestellt. Sicherheit wurde daher entlang des gesamten Entwicklungszyklus berücksichtigt. Dies beinhaltete Sicherheitsanforderungen, Erstellen des Rollen- und Berechtigungskonzepts, statische Codeanalysen sowie Security Tests vor Abnahme.


 

Zeitraum:     05/06 - 08/06              

Projekt:      Penetrationstests (vor Ort) bei einem Weltweiten ICT-Dienstleisters
Rolle:        IT-Security Consultant / IT-Security Analyst
Technologien: Nessus, Nmap, Metasploit Framework, diverse Open-Source-Produkte
Kunde:        T-Systems

Durchführung technischer Audits von verschiedenen Niederlassungen eines großen ICT-Dienstleisters. Dazu wurden sowohl extern, also auch intern Penetrationstests auf verschiedener Testtiefe durchgeführt.

Gegenstand der Tests waren u.A.:

 

  • Durchführen von Netzwerk- und Portscans
  • Umfangreiche Black-Box-Tests (manuell und toolbasiert)

    o Identifikation von Test- und Altsystemen
    o Known Vulnerabilities (ungepatchte Systeme)
    o Unsichere Dienste
    o Fehlerhafte System- und Firewallkonfiguration
    o Anfälligkeit für Denial-of-Service-Angriffe

  • Fuzzingtests
  • Analyse der OpenSSL Cipher

 

Zeitraum:     01/01 - 04/01              

Projekt:      Entwicklung einer webbasierten Call-Center-Schnittstelle
Rolle:        Entwickler
Technologien: PHP, Sybase, XML
Kunde:        AOL Deutschland

Implementierung einer webbasierten Clientanwendung zur Abfrage von Payback-Daten durch Call-Center-Mitarbeiter eines großen Onlinedienstes.


Über ein implementiertes Rollen- und Berechtigungssystem wurde der Zugriff auf berechtigte Personen eingeschränkt. Die Authentifizierung und Autorisierung wurde gegen eine Sybase-Datenbank des Kunden durchgeführt.

 

Branchen

E-Commerce
Medien
Software Distributor
Systemhaus
Handel
Versicherungen
Banken
Automobilindustrie
Telekommunikation
Unternehmensberatung
Maschinenbau
Verwaltungen
Medizintechnik
Marketing
sonstige Industrie

Kompetenzen

Programmiersprachen
C
C#
Mehrere Projekte as Developer (Windows Forms, ASP.NET)
Java
Java (J2EE, JSP, Servlets, JSF, Struts, Spring JSF), Diverse Projekte, Trainer für J2EE-Security
JavaScript
Perl
Umfangreiche Kenntnisse, mehrere Projekte
PHP
Umfangreiche Kenntnisse, insb. Security Frameworks
Insbesondere Kenntnisse in sicherer Webanwendungsentwicklung (PHP, J2EE und .NET), Erstellung von Secure Coding Guidelines, Workshops & Schulungen, Sichere Entwicklungsprozesse (Secure Development Lifecycle, SDL)

Datenbanken
JDBC
Grundkenntnisse
MS SQL Server
Grundkenntnisse
MySQL
Grundkenntnisse
Oracle
SQL
Erweiterte Kentnisse
Kenntnisse insb. in Hinblick auf Datenbanksicherheit (Angriffe, Separierung, Rechtemangement, DB Firewalls, etc.)

Sprachkenntnisse
Deutsch
Englisch
Verhandlungssicher in Wort und Schrift, mehrere Auslandsaufenthalte, Cambridge Certificate in Advanced (CAE)

Produkte / Standards / Erfahrungen
AWS
Azure
SCRUM
Produkte:

 

- HP Fortify, Veracode, Contrast, IBM AppScan, Checkmarx

- Web Application Firewalls

- Entwicklungs-Tools: Eclipse, JDeveloper, Jenkins, Nexus, Maven

 

Standards

 

- BSI Baustein für Webanwendungen, BSI Grundschutz

- OWASP ASVS (Application Security Verification Standard); Aktive Mitarbeit und

- TSS-WEB (Autor)

  Übersetzung

- ÖNORM A 7700: Akkreditierung und Schulungen

- PCI-DSS (Payment Card Industry Data Security Standard)

- WS-Security (WS-Encryption, XML-Signature, SAML), WS-Policy

- CWE, CVE (Common Weakness Enumeration, Common Vulnerabilities and Exposure)

- ISO 2700x Series

- Bundesdatenschutzgesetz (BDSG)

- X.509 (Digitale Signaturen, PKI

- IETF, RFC

 

Best Practices

- BSI Best Practices für sichere Webanwendungen / BSI ISi-Web

- NIST 800x Series

- OWASP SAMM, Cigital BSIMM, SSE-CMM

- OWAP GUIDES, OWASP Testing Guide, OWASP Code Review Guide, OWASP Top 10, OWASP Developer Guide

- OSSTMM

- ITIL (IT Infrastructure Library)


Schwerpunkte
Security

Ausbildungshistorie

Studium der Medieninformatik an der Fachhochschule Wedel
Abschluss: Diplom Medieninformatiker(FH) 2005

Cambridge Certificate in Advanced English (CAE)
Certified Secure Software Lifecycle Professional (CSSLP)

Certified Information Systems Security Professional (CISSP)

Certified Information Security Manager (CISM)
Certificate of Cloud Security Knowledge (CCSK)

Akkreditierter A7700-Auditor

Zertifizierungen

  • Januar 2013   Certified Information Security Manager (CISM), www.isaca.org/cism       
  • Dezember 2011   Certificate of Cloud Security Knowledge (CCSK), cloudsecurityalliance.org     
  • September 2011   Certified Information Systems Security Professional (CISSP), ww.isc2.org/cissp
  • April 2011   Certified Secure Software Lifecycle Professional (CSSLP), www.isc2.org/csslp
  • November 2010
  • Akkreditierter A7700-Auditor, www.a7700.org

 

×
×