Branche: Banken und Versicherungen

Unternehmensgröße: > 5000 Mitarbeiter

Im Rahmen dieses Projekts steht die Implementierung und der Betrieb von Microsoft Sentinel als zentrales SIEM-System im Vordergrund. Ziel ist es, Bedrohungen frühzeitig zu erkennen, zu analysieren und entsprechende Gegenmaßnahmen zu etablieren. Neben der technischen Integration liegt ein Schwerpunkt auf der Anpassung der Sentinel-Umgebung an die spezifischen Sicherheitsanforderungen des Unternehmens sowie der Optimierung der Security Operations.

Leistungen im Projekt:

• Einführung & Architekturdesign: Konzeption und Aufbau einer skalierbaren Sentinel-Architektur in der Cloud.
• Onboarding von Datenquellen: Integration relevanter Log-Quellen (Cloud, On-Premises, Netzwerk, Applikationen) in Sentinel.
• Use Case Development: Erstellung und Optimierung von Detection Rules, KQL-Abfragen und Workbooks zur Bedrohungserkennung.
• Incident Response Playbooks: Automatisierung von Reaktionsmaßnahmen mit Logic Apps zur Verkürzung der Reaktionszeiten.
• Dashboards & Reporting: Aufbau von Übersichten und Dashboards für Security Operations und Management.
• Threat Intelligence Integration: Einbindung von TI-Feeds zur Verbesserung der Erkennungsqualität.
• Betrieb & Optimierung: Regelmäßige Anpassung der Regeln und Use Cases basierend auf neuen Bedrohungen.
• Compliance & Audits: Unterstützung bei der Einhaltung regulatorischer Anforderungen durch Logging, Nachvollziehbarkeit und Reports.
• Training & Transition: Wissenstransfer an das SOC-Team und Etablierung von Best Practices im Umgang mit Sentinel.
• Threat Hunting: Durchführung proaktiver Jagden nach unbekannten Bedrohungen auf Basis von KQL-Abfragen, Datenmustern und Threat Intelligence.
• 3rd-Level SOC Support: Unterstützung des SOC-Teams bei komplexen Incidents, Eskalationen und forensischen Analysen.

Branche: Automobilehersteller

Unternehmensgröße: > 5000 Mitarbeiter

In diesem Projekt beim Kunden steht die Bewertung der Softwareentwicklung aus Cybersecurity-Sicht im Fokus. Ziel ist es, Schwachstellen in den entwickelten Systemen zu identifizieren und gemeinsam mit den Stakeholdern im Unternehmen daran zu arbeiten, die Software und die zugehörigen Systeme möglichst sicher zu gestalten. Im Rahmen des Projekts werden spezifische Cybersecurity-Profile für die Systeme erstellt und verschiedene Sicherheitsmaßnahmen implementiert.

Leistungen im Projekt:

• Erstellung von Cybersecurity-Profilen: Für die entwickelten Systeme werden detaillierte Profile erstellt, die ihre Sicherheitsanforderungen und potenziellen Bedrohungen beschreiben.
• Schwachstellenanalyse: Identifizierung und Bewertung von Sicherheitslücken in der Software und der Systeminfrastruktur.
• Entwurf von Infrastrukturdiagrammen: Visualisierung der IT-Architektur, um kritische Komponenten zu identifizieren und entsprechende Sicherheitsmaßnahmen vorzuschlagen.
• Empfehlungen und Systemhärtung: Vorschläge zur Erhöhung der Systemsicherheit und Implementierung von Maßnahmen zur Härtung der Infrastruktur.
• Nutzung von Cloud-Infrastrukturen und AI: Analyse von Schwachstellen in der Cloud-Umgebung sowie Einsatz von KI zur Überwachung und Erkennung von Bedrohungen.
• Untersuchung von Kommunikationswegen: Überprüfung der Sicherheit von Kommunikationsprotokollen wie SSL-Zertifikaten und der Implementierung verschlüsselter Verbindungen.
• Code-Reviews: Analyse des Quellcodes auf Sicherheitsmängel und Schwachstellen, um sichere Coding-Praktiken zu gewährleisten.
• Threat Modelling: Erstellung von Bedrohungsmodellen, um mögliche Angriffsvektoren und deren Auswirkungen auf die Systeme zu bewerten.
• Dokumentation: Sorgfältige Erfassung aller Sicherheitsmaßnahmen, Architekturänderungen und Analysen, um die Nachvollziehbarkeit und Transparenz des Projekts zu gewährleisten.

Branche: Banken und Versicherungen

Unternehmensgröße: > 5000 Mitarbeiter

In diesem Projekt lag der Schwerpunkt auf der Analyse täglicher geschäftlicher Incidents und Vorfälle in verschiedenen SIEM-Systemen. Das Hauptziel bestand darin, bei Notfällen, wie beispielsweise einer Ransomware-Attacke, eine koordinierte Analyse mit allen Security-Teams durchzuführen, um zeitnah Maßnahmen einzuleiten und möglichen Schaden abzuwenden.

Leistungen im Projekt:

• Überwachung und Analyse: Tägliche Beobachtung von SIEM-Systemen zur frühzeitigen Erkennung von Sicherheitsvorfällen.

• Vorfallserkennung und -bewertung: Identifikation und Priorisierung von Incidents nach Dringlichkeit und potenziellem Risiko.

• Dokumentation von Incidents: Sorgfältige Erfassung aller sicherheitsrelevanten Ereignisse für Nachvollziehbarkeit und Reporting.

• Reaktion auf Vorfälle: Koordinierte Maßnahmen zur Eindämmung von Bedrohungen und Wiederherstellung der Betriebsfähigkeit.

• Berichterstattung: Erstellung von Reports und Handlungsempfehlungen zur Prävention zukünftiger Vorfälle.

• Koordination mit anderen Teams: Abstimmung mit SIEM-Administratoren und Security-Teams für effektive Incident Response.

• Verbesserung bestehender Security-Regeln: Optimierung von Detection- und Alarmsystemen zusammen mit SIEM-Administratoren.

• Bedrohungsmodellierung: Erstellung von Threat Models zur Bewertung möglicher Angriffsvektoren und deren Auswirkungen auf die Systeme.

Branche: Banken und Versicherungen

Unternehmensgröße: > 5000 Mitarbeiter

In diesem Projekt bestand die Aufgabe darin, die Einrichtung eines Cloud-basierten SIEM-Systems (Microsoft Sentinel) strukturell zu entwickeln und zu implementieren. Die Umsetzung umfasst die Installation von zwei Test-Azure-Tenants.

Leistungen im Projekt:

• Erstellung der Azure-Subscription und Ressource Groups: Einrichtung von Microsoft Sentinel und Anbindung relevanter Azure-Ressourcen an das SIEM.

• Aktivierung der Azure Defender Connectoren: Sicherstellung der Integration von Defender-Diensten in Sentinel.

• Definition von sicherheitsrelevanten Logs: Festlegung, welche System- und Sicherheitsereignisse überwacht werden.

• Identifikation und Erstellung von Analytics-Regeln: Entwicklung von Regeln zur Erkennung von Anomalien und Sicherheitsvorfällen.

• Aktivierung des Machine Learning (ML) Workspace: Nutzung von ML-Funktionalitäten zur proaktiven Bedrohungserkennung.

• Aktivierung von Threat Intelligence: Einbindung externer Bedrohungsinformationen zur Verbesserung der Detektion.

• Koordination mit Verantwortlichen der Microsoft Defender-Produkte: Erstellung und Abstimmung von Security Policies.

• Anbindung an Azure DevOps: Integration von DevOps-Prozessen für kontinuierliches Monitoring und Reporting.

Branche: IT-Service / produizerendes Unternehmen

Unternehmensgröße: > 10000 Mitarbeiter

In meiner Rolle als Data Center Engineer koordinierte und verantworte ich in diesem Projekt die Umsetzung einer Vielzahl an IT-Security Maßnahmen in Forschungseinrichtungen und staatlichen Institutionen.

Leistungen im Projekt:

• Definition und Härtung von SSH-Richtlinien: Erstellung sicherer SSH-Konfigurationen zur Minimierung von Angriffsflächen.

• Automatisierung von System- und Softwareaufgaben: Effiziente Durchführung wiederkehrender Aufgaben durch Skripte und Tools.

• Schulung der Mitarbeiter: Sensibilisierung und Training für IT-Sicherheit und Best Practices.

• Unterstützung interner Teams bei Kundenanfragen: Koordination und fachliche Beratung bei sicherheitsrelevanten Themen.

• Dokumentation: Sorgfältige Erfassung aller Änderungen, Sicherheitsmaßnahmen und Prozesse.

• Unterstützung des Softwareentwicklungsprozesses: Beratung und Sicherheitsintegration im DevOps- und Entwicklungsworkflow.

• Automatisierung der Sicherheitsupdates: Planung und Umsetzung von automatisierten Updates zur Reduzierung von Risiken.

• Verteilung von Sicherheitsupdates bei Bedarf: Notfallmäßige Patch-Verteilung auf allen Servern zur Schließung kritischer Schwachstellen.

• Entwicklung von Notfallplänen und Durchführung von Tests: Erstellung von Plänen für IT-Notfälle und regelmäßige Testläufe.

• Planung von Cloud-Infrastrukturen: Konzeption sicherer und skalierbarer Cloud-Umgebungen.

• DevOps: Integration von Sicherheitsprozessen in CI/CD-Pipelines und DevOps-Workflows.

Branche: IT-Service / Startup

Unternehmensgröße: > 15 Mitarbeiter

Das Ziel dieses Projekts war die Migration lokaler E-Mail-Postfächer in die Azure Cloud, der Aufbau einer hybriden IT-Infrastruktur und die Synchronisation der Benutzer in die Cloud. Zusätzlich umfasste das Projekt das Definieren von Richtlinien für Azure Defender und die Untersuchung von Security-Incidents.

Leistungen im Projekt:

• Erweiterung des lokalen Domain Forests: Integration des Unternehmensnetzwerks in die öffentliche Domain.

• Bestellung von SSL-Zertifikaten für Exchange Server: Sicherstellung verschlüsselter Kommunikation.

• Erwerb passender Azure-Lizenzen: Bereitstellung benötigter Lizenzen für Cloud-Dienste.

• Einrichtung von DNS-Records: Konfiguration von Exchange, Autodiscover und Azure beim Domain-Anbieter.

• Synchronisation von AD-Usern in die Cloud: Bereitstellung der Benutzerkonten für Cloud-Dienste.

• Migration von Postfächern: Sicherer Übergang von lokalen Mailboxen in die Cloud.

• Save Attachment-Richtlinien: Definition von Richtlinien zum sicheren Umgang mit E-Mail-Anhängen.

• E-Mail-Security-Einstellungen und Phishing-Tests: Schutzmaßnahmen und Schulung zur Prävention von Angriffen.

• DNS-Records für sichere E-Mail: Einrichtung von SPF, DKIM u. a. zur Absicherung und Vertrauensstellung von Domains.

• Cloud App Security Einstellungen: Konfiguration und Monitoring zur Absicherung von Cloud-Anwendungen.

• Tagesgeschäft: Incident-Analyse im Defender Portal: Überwachung und Auswertung laufender Sicherheitsvorfälle.

• E-Mail-Quarantäne-Richtlinien: Verwaltung von potenziell gefährlichen Nachrichten im Microsoft Defender Portal.

Branche: IT-Service / produzierendes Unternehmen

Unternehmensgröße: > 30000 Mitarbeiter

Im Jahr 2021 wurde die Schwachstelle 'log4j' bekannt, die nahezu alle Systeme weltweit betraf. Mein Auftrag bestand darin, diese Schwachstelle in allen Java 8-Versionen der Java-Webapplikationen, die auf mehr als 200 Servern installiert waren, so schnell wie möglich zu beheben. Zusätzlich galt es, in Zusammenarbeit mit dem Entwicklerteam die Java-Version auf Java 9 zu aktualisieren.

Leistungen im Projekt:

• IT‑forensische Analyse: Durchführung forensischer Untersuchungen zur Erfassung, Sicherung und Auswertung digitaler Beweise.

• Identifikation betroffener Applikationen (Log4j): Auffinden und Inventarisierung aller Anwendungen und Komponenten, die Log4j oder anfällige Bibliotheken nutzen.

• Erste Sicherheitsgegenmaßnahmen: Sofortmaßnahmen zur Eindämmung (z. B. Netzwerksegmentierung, Zugangsbeschränkungen, temporäre Abschaltungen riskanter Dienste).

• Patchen von Schutzprogrammen auf Linux‑Servern: Einspielen von Sicherheitsupdates und Patches (inkl. relevantem JVM/Library‑Patching) auf betroffenen Servern.

• Sammlung digitaler forensischer Beweise: Sichere Sicherstellung von Logs, Speicherabbildern, Netzwerktraces und relevanten Artefakten zur späteren Analyse.

• Prüfung vorhandener Schwachstellen (kontrollierte Tests): Geplante, genehmigte Tests zur Verifikation der Verwundbarkeit und Dokumentation der Ergebnisse (keine unautorisierte Ausnutzung).

• Live‑Security‑Monitoring: Kontinuierliche Überwachung relevanter Telemetrie (Logs, Endpunkt‑Status, Netzwerkverkehr) zur Erkennung von Indicators of Compromise.

• Purple Teaming: Gemeinsame Übungen von Offensive- und Defensive‑Teams zur Verbesserung der Erkennungs- und Reaktionsfähigkeit.

• Blue Teaming: Stärkung der Verteidigungsmaßnahmen durch Hardening, Monitoring und Playbook‑Optimierung.

• Automatisierte Verteilung von Updates: Orchestrierung und Rollout von Patches nach Version und Umgebung; Koordination mit dem Entwicklerteam zur Erstellung paketierter Updates.

• Entwicklung und Test von Notfallplänen: Erstellung von Incident‑Response‑Plänen (Runbooks) und regelmäßige Testläufe (Tabletop/Simulations‑Tests), um Reaktionsprozesse zu verifizieren.

Branche: IT-Service / produzierendes Unternehmen

Unternehmensgröße: > 30000 Mitarbeiter

Das Ziel dieses Projekts war es, Security-Updates für Frontend- und Backend-Webserver mittels eines sicheren VPN-Tunnels zu verteilen. Hierfür wurde eine spezielle Lösung implementiert, die es ermöglichte, eine bestimmte Version der Java-Schnittstelle an 23 Unternehmen in Deutschland zu verteilen. Der Transfer der Updates musste über einen VPN-Site-to-Site-Tunnel erfolgen, um die speziellen Unternehmensrichtlinien zu erfüllen, die das direkte Herunterladen von Dateien aus dem öffentlichen Internet untersagen.

Leistungen im Projekt:

• Analyse von Security Incidents: Überwachung und Auswertung von Vorfällen zur Identifikation von Bedrohungen und schnellen Gegenmaßnahmen.

• Definition und Härtung von SSH-Richtlinien: Erstellung sicherer SSH-Konfigurationen und Absicherung der Serverzugänge.

• Webadministration: Verwaltung und Absicherung webbasierter Dienste und Applikationen.

• Automatisierung von System- und Softwareaufgaben über DevOps: Effiziente Durchführung wiederkehrender Aufgaben durch CI/CD-Prozesse und Skripte.

• Schulung der Mitarbeiter: Sensibilisierung und Training für Sicherheitsbewusstsein und Best Practices.

• Security Live Monitoring: Echtzeit-Überwachung von Systemen, Netzwerken und Anwendungen zur frühzeitigen Erkennung von Bedrohungen.

• Unterstützung des Softwareentwicklungsprozesses: Integration von Sicherheitsmaßnahmen in DevOps- und Entwicklungsworkflows.

• Automatisierung von Sicherheitsupdates: Planung und Durchführung automatisierter Updates zur Reduzierung von Risiken.

• Verteilung von Sicherheitsupdates bei Notfällen: Schnelle Patch-Distribution auf allen Servern zur Behebung kritischer Schwachstellen.

• Entwicklung und Test von Notfallplänen: Erstellung von Incident-Response-Plänen und Durchführung regelmäßiger Tests.

• Unterstützungspläne für Cloud-Infrastrukturen: Beratung, Planung und Absicherung von Cloud-Umgebungen.