Entwurf und Betrieb der Netzwerkinfrastruktur, Firewalls und VPNs
meine Aufgaben
verantwortlich für die Netzwerkinfrastruktur und deren Absicherung, insbesondere den 24/7 Betrieb mehrerer dedizierter pfSense und OPNSense Firewalls
Security Audits und Penetrationtests für Kunden
Offenlegung einer Remote Code Execution Vulnerability in einer verbreiteten kommerziellen Softwarft (Referenz: https://filerun.com/changelog strg-f Tobias Braeutigam, CVE ID: CVE-2021-35503, wird derzeit im Rahmen des Resposible Disclosure Prozesses publiziert)
Architektur
Entwurf Netzwerkbebauungsplan und Definition grundsätzlicher Network Security Policies, angelehnt an BSI Grundschutz
Konzeption und Betrieb der DMZ
Separation der Teilnetze in isolierte VLANS
DNS Infrastruktur
Single Sign On und 2FA Kompenenten & Integration
Betrieb
Betrieb mehrerer pfSense und OPNSense Server auf dedizierter Hardware in unserem on premises Datacenter, teils als CARP HA Cluster
Bereitstellung von VPN Diensten (IPSec für Cisco Clients, OpenVPN, Wireguard)
kontinuierliche Weiterentwicklung und Wartung der Firewall Plattformen, einschl. Konfigurationsmanagement, Sicherstellung robuster DHCP Dienste
Zertifikatsmanagement: Betrieb einer lokalen Certificate Authority, Bereitstellung und Pflege von z.B. x.509 Zertifikaten und SSH Schlüsselmaterial, Entwurf und Umsetzung Konzept für Schlüsselrotation
Integration mit Active Directory und (Samba LDAP Servern) als VPN Authentisierungs-Backend
Einrichtung und Wartung der Firewallregeln und Aliase gemäß den definierten Schutzbedarfen der jeweiligen VLANs
Betrieb und Wartung externer und interner DNS Komponenten (lokale DNS Server (Windows, unbound) und DNS-Forwarder) und deren Konfiguration (A, MX, CNAME, TXT Records) beim ISP
Diagnose von Netzwerkproblemen (Identifizierung falsch gesetzter TCP flags, Routing, Split Horizon DNS) auf den OSI Layern 2-5, u.a. mit tcpdump, netcat und den üblichen Linux/BSD-Kommandozeilenwerkzeugen
Behebung komplexerer Fehler in internen Komponenten (z.B. HAProxy) auf der FreeBSD Shell
Konfiguration und Betrieb des IDS/IPS (Suricata) einschl. Auswertung der Logdateien und Auswahl von Threat Intelligence Providern
Integration in Splunk ELK Stack/Security Onion
Security Operations (SOC)
Umsetzung der Security Strategie der Geschäftsleitung als Direct Report
Durchführung von Security Awareness Trainings
Kontinuierliche Überwachung und Härtung der Netzwerkinfrastruktur und kritischer IAM Komponenten
Maßgeblich Verantwortlicher für Security Incidents (CERT Rolle)
Incident Response, Sicherstellung von Beweismitteln wie Logdateien, Analyse kompromittierter Systeme
Zusammenarbeit mit interner Datenschutzverantwortlichen und Behördenkommunikation bzgl. DSGVO
Transport/Energiehandel
(Transport und Logistik, 500-1000 Mitarbeiter)
Projekt
Energiehandelsplattform Step42: Verarbeitung von Energiezeitreihen zur regulationskonformen Erstellung von Rechnungen für die Rollen Netzbetreiber und Lieferant
meine Aufgaben
Betreuung Datenbank-Businesslogik
Liquibase-Einführung und Integration in Deployment-Pipeline
DevOps-orientierte Datenbankdeployments
Performanceoptimierung großer Datenbanken
Entwurf, Implementierung und Rollout einer Plattform zur automatisierten Bereitstellung vollständiger Umgebungen
Implementierung und Bereitstellung eines flexiblen Frameworks zum technischen und fachlichen Monitoring
Ansprechpartner für Datenbankthemen wie z.B. Design, Partitionierung, Tuning, Datentransfer, Data Lifecycle Management
Technologien
Oracle 12.x -19x auf AWS RDS
Liquibase
Python 3, SOAP, REST, XML, JSON, YML
TIBCO EMS, BC
AWS Block Storage; EFS/NFS
Docker, Kubernetes
Maven, Jenkins, Git, Gitlab
ELK Stack: Elastic, Logstash, Kibana
Pleasant Password Store, OAuth 2
Apache Kafka
05/2022
-
03/2023
Security Manager
Risikoanalyse der Plattformarchitektur
Ausarbeitung IT-Sicherheitskonzept in Abstimmung mit dem CISO
Erarbeitung von Architekturrichtlinien für die Infrastruktur der Plattform
Dokumentation, Bewertung und Tracking sicherheitsrelevanter technical debts
Pentest-Koordination
Vorbereitung KRITIS Audit
Technologien
Oracle
JBoss
SOAP, REST
AWS
Docker, Kubernetes
Gitlab
Proprietäres IVU-Konglomerat
11/2017
-
10/2021
Transport/Energiehandel
Transport/Energiehandel
(Industrie und Maschinenbau, 1000-5000 Mitarbeiter)
Rolle
Architekt
Projekt
Energiehandelsplattform Step42: Verarbeitung von Energiezeitreihen zur regulationskonformen Erstellung von Rechnungen für die Rollen Netzbetreiber und Lieferant
meine Aufgaben
Betreuung Datenbank-Businesslogik
Liquibase-Einführung und Integration in Deployment-Pipeline
DevOps-orientierte Datenbankdeployments
Performanceoptimierung großer Datenbanken
Entwurf, Implementierung und Rollout einer Plattform zur automatisierten Bereitstellung vollständiger Umgebungen
Implementierung und Bereitstellung eines flexiblen Frameworks zum technischen und fachlichen Monitoring
Ansprechpartner für Datenbankthemen wie z.B. Design, Partitionierung, Tuning, Datentransfer, Data Lifecycle Management
Technologien
Oracle 12.x -19x auf AWS RDS
Liquibase
Python 3, SOAP, REST, XML, JSON, YML
TIBCO EMS, BC
AWS Block Storage; EFS/NFS
Docker, Kubernetes
Maven, Jenkins, Git, Gitlab
ELK Stack: Elastic, Logstash, Kibana
Pleasant Password Store, OAuth 2
Apache Kafka
06/2016
-
09/2019
Architekt
Banken/Finanzdienstleister
(Banken und Finanzdienstleistungen, 1000-5000 Mitarbeiter)
06/2016 – 09/2017
Banken/Finanzen
Rolle
Architekt
Projekt
Entwicklung und Einführung einer Privilege Brokering und Monitoring Plattform für die Mainframe und Unix Landschaft. zwecks Trennung technischer und persönlicher Accounts, ITIL-basierte Authorisierung, Audit Trail Capturing und Keystroke Logging
meine Aufgaben
Betreuung der Plattform als technischer Architekt
Direct Report an den Program Manager
Kommunikation mit Vendoren, Test Management und Suppliern
Prüfen und Einfordern von Best Practices in zugelieferter Software
Pflege Pflichtenheft/Lastenheft und Begleitung der Umsetzung
Kontinuierliche Zusammenarbeit mit dem CISO Stab
Umsetzung des Privilege Brokering u.a. für z/OS Mainframes
Erweiterung von Backend und Middle Tier
Herstellung von MAS Compliance: periodischer Transfer von Audit Trails (PL/SQL)
Erweiterung der dbAdapter ETL-Logik um Technologie-Matching
Refactoring des Oracle 11g Datenbank-Designs
Integration einer ClearTrust SAML IdP Webservice SessionCookie Validierung
Einführung automatisierter Headless Browser Tests
Fortgeschrittene Analyse im Netzwerk- und Web Stack: DOM, Ajax, HTTP Request-Handling, SSH- und RDP-Protokollspezifika
Umsetzung der Server Compliance auf Dateisystemebene
Verantwortung für Deployment und Verfügbarkeit des Systems in den INT, UAT und PROD Umgebungen
Integration Geneos System Monitoring
Schnittstellenbetreuung: Oracle 11g, CyberARK Credential Store, ServiceNOW und FBRemedy ITSM Systeme, LDAP, Active Directory, dBiB
Integration mehrerer Balabit Shell Control Boxes (SCB)
Steuerung des Last- und Performancetest-Teams
Performanceoptimierung des Clusters
Entwurf komplexer Netzwerk- und Firewallkonfigurationen
Transport Security: TLS (1.2), Client- und –Server Zertifikatssicherheit; SSH channels, SSH forwarding, MS RDP Zertifikate, local Certificate Authorities
CyberARK PSM Key/Credential Management
TOTP (Time based One Time Passwords, RFC 6238)
Tomcat, Java WebStart, dWeb
TeamForge, SVN
05/2015
-
05/2016
Architekt
IT-Dienstleister
(Internet und Informationstechnologie, 10-50 Mitarbeiter)
05/2015 – 05/2016
IT-Dienstleister, Telekommunikation
Rolle
Architekt
Projekt
Datenmaskierung in sicherheitskritischer Telekommunikationsdatenbank
Position
In meiner Verantwortung lagen die fachliche und technische Entwicklung des gesamten Projektes vom Angebot über die Realisierung und bis hin zur Bereitstellung und Unterstützung des Kunden bei der Einführung.
meine Aufgaben
eigenverantwortliche Erarbeitung und Präsentation einer Lösung für Mandantenfähigkeit und Datenmaskierung
enge Zusammenarbeit mit den internen Projektbeteiligten: ein Gesamtprojektleiter, ein Datenbankentwickler, ein Frontendentwickler, drei Tester
Teilnahme an Präsenzterminen beim Kunden, kontinuierliche Abstimmung kundenseitiger technischer Projektleitung
Architektur- und Quellcodereview der komplexen, 15 Jahre alten Oracle-Datenbankapplikation und des zugehörigen Frontends
Durchführung einer „Proof-of-Concept“-Phase einschließlich Erstellung eines funktionalen technischen Prototyps
Prototyp beim Kunden demonstrieren
detailliertes Angebot für das Hauptprojekt erstellen
sensible Kundendaten (SCD) im Datenmodell identifizieren
PL/SQL-Skripte zur Validierung fachlicher Datenintegrität erstellen
Bash-Installationsskripte entwickeln
Oracle 12c Datenbankinstanzen administrieren
IT-Konzept (DV-Konzept) und Betriebshandbuch erstellen
Feinabstimmung der technischen Lösung direkt mit Oracle
Begleitung der (erfolgreichen) Sicherheitsabnahme durch die Konzernsicherheit des Kunden
„Get-Well“-Phase begleiten, einschließlich Bereitstellung von Bugfixes
Technologien
Oracle 11g, Oracle 12c, Oracle Data Redaction, Oracle Row Level Security, Oracle Fine Grained Auditing, Oracle Flashback, PL/SQL, Bash, MS Visio, MS Word, DELL Code Tester for Oracle, SQL Developer, MS IIS classic ASP, Active Directory
Reisebereitschaft
Verfügbar in den Ländern
Deutschland
Sonstige Angaben
Zertifikate:
10/2016LDAP & Active Directory
05/2010ITIL Foundation v3 Upgrade
11/2009Oracle BPM Suite
02/2007Oracle Certified Associate (OCA)-Database Development
01/2007ITIL Foundation v2 Certificate
Security Architect
Profil folgen
Für diese Anzeige benötigen Sie die Enterprise-Mitgliedschaft.
Profil folgen
Bitte geben Sie einen Namen für Ihre neue Merkliste an