Hinweis: einen Großteil der unten stehenden Projekte habe ich in meiner Zeit als Senior Consultant Pentest bei der secunet Security Networks AG (2012 – 2016) sowie als Manager IT-Security & Pentest by Sopra Steria Consulting (2016 – 2019) erbracht. Eine explizite Namensnennung der Kunden ist daher nicht möglich.
IT-Security Consulting
- seit 2020: Externer CISO (Central Information Security Officer) / ISB (Informationssicherheitsbeauftragter) bei einer europäischen SE der Softwareentwicklung
- 2017 – 2019: Projektleiter, ISMS-Consultant & ICS-Spezialist
- Umsetzung KRITIS (IT-Sicherheitsgesetz für Unternehmen der Kritischen Infrastrukturen bzw. EU NIS-Richtlinie für Netzwerk- & Informationssicherheit) bei div. (Uni-)Kliniken & Krankenhäusern
- 2017 – 2019: Projektleiter, ICS-Spezialist
- Analyse und Ausarbeitung zur sicheren Netzwerkseparierung von heterogenen IT- & OT-Netzwerken mit mehr als 40.000 Systemen und multiplen Standorten
- 2017 – 2018: Projektleiter, Tester
- Evaluation der im industriellen Umfeld nutzbaren Antivirus-Lösung für Produktionsanlagen mit anschließender Ausarbeitung des Implementierungsplanes
- 2016 – 2017: Projektleiter, ISMS-Consultant & ICS-Spezialist
- Umsetzung KRITIS (IT-Sicherheitsgesetz für Unternehmen der Kritischen Infrastrukturen bzw. EU NIS-Richtlinie für Netzwerk- & Informationssicherheit) bei mehreren Energieversorgern & Stadtwerken
- 2015 – 2017: ICS-Spezialist, Pentester, ISMS-Consultant
- Architekturanalyse, Netzstrukturplan nach BNetzA-Vorgaben und Technische Audits bei mehreren deutschen Energieversogern/ÜNBs
Pentesting
- 2020: Projektleiter, Pentester
- Penetrationstest auf den gesamten Internet-Footprint einer deutschen Aktiengesellschaft (Baubranche)
- Firewall-Rule-Audit der Perimeter-Firewalls und Firewall-Cluster
- 2020: Projektleiter, Pentester
- Externer Penetrationstest in einem Unternehmen der Gesundheits-/Pflegebranche
- 2019: Projektleiter, Pentester
- Div. Pentests auf die IT-Infrastruktur sowie die Endgeräte einer deutschen Berufsgenossenschaft
- 2018 – 2019: Projektleiter, Pentester, ICS-Spezialist
- Technischer Penetrationstest auf OT-Technik eines Krankenhausverbundes [NDA-Projekt]
- 2016 – 2019: ICS-Spezialist, Pentester
- Architektur- und Security-Analysen & Penetrationstest der Produktionsanlagen bei einem internationalen Maschinenbauer [NDA-Projekt]
- 2012 – 2019: Projektleiter, Pentester
- Div. Penetrationstests auf die IT- sowie Prozessleitsysteme eines Logistikdienstleisters
- 2017 – 2018: Projektleiter, Pentester
- Div. Penetrationstests auf die IoT- & Hausautomatisierungstechnik sowie die in der IT-Infrastruktur eingebetteten OT-Geräte (Zugangskontrolle, Multifunktionsgeräte etc.) eines deutschen Ministeriums
- 2015: Projektleiter, Pentester
- Penetrationstests auf Prototypen von Netzwerk- und 4G-Routern, China [NDA-Projekt]
- 2014: Projektleiter, Pentester
- Greybox-Penetrationstests einer AWS-ähnlichen Cloud-Lösung in der Entwicklungsphase, China/BRD [NDA-Projekt]
- 2014 – 2016: Teilprojektleiter, Pentester
- Technische Sicherheitsanalysen auf Fahrzeug-Prototypen eines deutschen Automobilherstellers [NDA]
- 2013 – 2016: Projektleiter, Pentester
- Div. Penetrationstest auf die IT-Infrastruktur sowie Webportale einer EU-Behörde
Awareness & Schulungen
- 2016 – 2019: Autor & Referent
- Ca. 35 durchgeführte Live-Hacking-Veranstaltungen „IT-Security Gefahren für Klein- & Mittelständler im Tagesgeschäft“ für einen internationalen Versicherungskonzern
- 2016 – 2019: Schulungsleiter & Referent
- Div. IT-Security Awareness-Schulungen (2h bis 3 Tage) in den Bereichen Gesundheitssektor sowie Energieversorger mit verschiedenen Zielruppen (Entwickler, Administratoren, Management) und Themen
- 2015 – 2016: Autor & Referent
- Vortrag: Industrielles LiveHacking (ICS / SCADA)
Vorträge & Veröffentlichungen
- DMEA 2019
- „Den vernetzten Patienten auf dem Radar behalten – IT-Sicherheit nach KRITIS im hochautomatisierten Klinikumfeld“ [Vortrag]
- ETIM 2019
- „KRITIS meets Big Data & AI – loving union or forced marriage?“ [Vortrag]
- Europäischer Polizeikongress 2018
- „Cyber-Sicherheit – Dynamische Cyber-Abwehr (Fachforum 2B Cyber-Sicherheit: Prävention & Repression)“ [Vortrag / Fachgespräch]
- PROTEKT 2018
- „IT-Sicherheit nach KRITIS im hochautomatisierten Klinikumfeld“ [Vortrag]
- Krankenhaus Technik & Management, 2017
- „Penetrationstest im Krankenhaus: Ein Patient wird ungeplant zum White Hat Hacker“ [Veröffentlichung]
- HAMEK 2017
- „Die Herausforderungen von KRITIS im Gesundheitssektor“ [Vortrag]
- AKMT (Arbeitskreis Medizintechnik) NRW 2017
- „KRITIS @ Health“ [Vortrag]
- Management-Kompass 2/2017
- „Kritische Infrastrukturen – Mehr Security statt nur Safety“ [Veröffentlichung]
- KES 1/2016
- „Sicherheit für industrielle IT: Penetrationstests in industriellen Umgebungen“ [Veröffentlichung]