Senior IT-Security Consultant (CISSP, CISA, CISM)

12/2014 – 1/2017

Projekt mit dem Schwerpunkt eine bestehende Public Key Infrastruktur(PKI) WebTrustkonform zu betreiben. Dies umfasste die Erfassung der Anforderungen, die in den Standards, die vom WebTrust-Konsortium und dem CA/Browser-Forum definiert wurden. Anschließend habe ich die benötigten Dokumente wie CP/CPSe und Arbeitsanweisungen um die Anforderungen ergänzt. Die dabei definierten Prozesse wurden von mir in Schulungen den verschiedenen Rollenträger und in der Form von Anforderungen an das sich anschließende Softwareprojekt kommuniziert.

Stichworte: WebTrust for CA; WebTrust und CAB-Foum Baseline Requirements; CAB-Foum EV SSL Certificate Guidelines; BPMN 2.0; CP/CPS; Anforderungsmanagement;

ITIL, Transport Layer Security, Certified Information Security Manager, Certified Information Systems Auditor, Certified Information Systems Security Professional (CISSP), Requirements Management, DIN EN ISO 27001

2/2013 – 8/2014

Mitwirkung in verschiedenen Softwareentwicklungsprojekten. Dies umfasste den Secure Development Lifecycle genauso wie die Planung und das Architekturdesign. All diese Prozesse wurden von mir stark struktuiert und mit einer ausführlichen Dokumentation versehen.

Projektmanagement (IT)

8/2012 – 11/2012

Anwendungspenetrationstest mehrer Webanwendungen auf Basis von Java, PHP, ASP .Net. Für diese Tests wurde eine erweitere Form des OWASP Testing Guides verwendet. Besonderes Augenmerk wurde daraufgelegt, das der Report gut verständlich ist und es den Entwicklern so möglich ist die Schwachstellen schnell zu überarbeiten.

Im Rahmen der Tätigkeit bei der OPTIMAbit GmbH.

Testen, Java (allg.), ASP, ASP.NET, PHP

5/2011 – 3/2012

PKI-Beratung für einen großen Wolfsburger Automobilkonzern. In diesem Projekt werden die Sicherheitstechniken des Konzerns modernisiert. Zudem werden die Anforderungen an die Systeme definiert, die dem Life Cycle Management als Datenbasis dienen sollen. Zudem wurden Strategien für das Autoenrollment von Zertifikaten entwickelt und die nötigen Schritte für die Implementierung identifiziert. Im Folgenden sollten Zukunftsvisionen für die PKI entwickelt werden.

Im Rahmen der Tätigkeit bei der Secardeo GmbH.

It-Beratung, IT-Strategieberatung

11/2010 – 3/2011

Schulungen in der Erwachsenenbildung zur Einweisung der Kunden in das Produkt certBox, sowie die erfolgreiche Inbetriebnahme.

Im Rahmen der Tätigkeit bei der Secardeo GmbH.

Schulung / Training (IT)

6/2010 – 3/2012

Fertigstellung der Version 2.0 der certBox. Die certBox ist eine Appliance, die es Benutzern und Anwendungen ermöglicht Zertifikate zu finden. Dabei können interne Benutzer in einer Vielzahl von externen LDAP, HKP oder http-Verzeichnissen nach Zertifikaten suchen. Externe Partner können die Zertifikate zu internen Personen suchen. Diese können sowohl auf der certBox als auch auf internen LDAP-Verzeichnissen hinterlegt sein. Zudem habe ich das Konzept und die Software für das Erstellen von Ad Hoc Zertifikaten und Schlüsseln erstellt, die automatisiert an Kommunikationspartner ausgeben werden, die keine Schlüssel zu Verfügung stellen. Zudem ich die technische Umsetzung eines Dienstes übernommen, die es ermöglicht auf Gültigkeit überprüfte Zertifikate so zu transformieren, das sie gegen eine interne CA geführt werden.

Produktpflege für die Secardeo certEP Proxylösung, die Zertifizierungsanfragen des Windows Certificate Enrolment Dienstes an verschiedene Webbasierte CAs weiterleiten kann. Dazu wurden RPC Interfaces des Active Directory Certificate Services durch den certEP ersetzt.

Im Rahmen der Tätigkeit bei der Secardeo GmbH.

IT Sicherheit (allg.), Active Directory, RPC (Remote Procedure Call), Hypertext Transfer Protocols (HTTP), Technische Konzeption, Dienstleistung (allg.)