IT Security Beratung PKI Kryptographie BSI IT Grundschutz Praktiker Informationssicherheit KRITIS

Kryptographie (20 Jahre Berufserfahrung)

• Digitale Verschlüsselung: Fundierte Implementierung und Konfiguration standardisierter kryptographischer Algorithmen wie AES (AES-256-GCM), RSA und ECC (ECIES) unter strenger Einhaltung von NIST Special Publications (z.B. NIST SP 800-56A, NIST SP 800-108 für sichere Schlüsselableitung) und BSI Technischen Richtlinien zur hochsicheren Verschlüsselung und Schlüsselvereinbarung. Expertise im Einsatz von kryptographischen Bibliotheken und Cloud-basierten Security-Services wie OpenSSL, pycryptography, AWS CloudHSM und AWS KMS für Data at Rest und Data in Transit. Fokus auf Compliance-Anforderungen und regulatorische Frameworks.
• Digitale Signaturen: Konzeption und Integration robuster digitaler Signaturverfahren basierend auf RSA/DSA und ECDSA zur Gewährleistung von Datenintegrität, Authentizität, Nichtabstreitbarkeit (Non-Repudiation) und Content Commitment. Versierter Einsatz von Industriestandard-Bibliotheken wie pycryptography und OpenSSL. Beitrag zur digitalen Transformation durch sichere elektronische Prozesse.
• Sichere Protokolle & Applikationssicherheit: Design und Implementierung von End2End-Verschlüsselungssystemen und sicheren Kommunikationsprotokollen, insbesondere TLS (Transport Layer Security) gemäß RFC 8446 (TLS 1.3). Anwendung von JOSE-Standards (JSON Object Signing and Encryption - RFC 7515, RFC 7516, RFC 7518, RFC 7519) zur umfassenden Absicherung von Webanwendungen, APIs und Datenaustausch auf Applikationsebene (z.B. JWT, JWE, JWS, JWK). Sicherstellung der IT-Sicherheit in komplexen Enterprise-Architekturen.
• Kryptographische Sicherheitsprüfungen: Durchführung umfassender Sicherheitsprüfungen, Penetrationstests und Validierungen zur Sicherstellung der Sicherheit und Integrität kryptographischer Implementierungen. Fokus auf die Identifizierung von Schwachstellen, Analyse von Zufallsgeneratoren (PRNG/CSPRNG) und die Einhaltung kryptographischer Best Practices. Erstellung von Risikoberichten und Handlungsempfehlungen für das Management.

---

PKI (20 Jahre Berufserfahrung)

• Zertifikatsmanagement & PKI-Betrieb: Umfassende Expertise im Lebenszyklusmanagement von X.509-Zertifikaten (Ausstellung, Veröffentlichung, Widerruf) und deren Bereitstellung zur Sicherstellung der Authentizität von Benutzern, Geräten und Diensten. Erfahrung im Aufbau und Betrieb von Zertifizierungsstellen (CAs), inklusive der Implementierung von Offline Root CAs und Online Issuing CAs in produktionskritischen Umgebungen.
• Schlüsselmanagement: Design und Implementierung sicherer Schlüsselmanagementlösungen für Generierung, Speicherung, Archivierung und Verteilung von privaten und öffentlichen Schlüsseln unter Anwendung gängiger Standards wie PKCS#7, PKCS#10, PKCS#11 (Hardware Security Modules - HSMs), PKCS#12. Fokus auf Key Lifecycle Management und Data Protection.
• Vertrauenshierarchien & Interoperabilität: Konzeption und Etablierung robuster Vertrauenshierarchien (z.B. Cross-Zertifizierungen, Bridge CAs) zur Gewährleistung der Vertrauenswürdigkeit und Integrität der PKI-Umgebung. Sicherstellung der Interoperabilität zwischen heterogenen PKI-Systemen und Anwendungen durch den Einsatz standardisierter Protokolle und APIs (z.B. ACME, OCSP, CRL, SCEP, CMP). Beitrag zur Skalierbarkeit und Resilienz der Infrastruktur.
• PKI-Sicherheitsrichtlinien & Compliance: Entwicklung, Implementierung und Durchsetzung von umfassenden Certificate Policies (CP) und Certificate Practice Statements (CPS) gemäß nationalen und internationalen Standards (z.B. BSI TR-03145, RFC 3647, RFC 5280). Sicherstellung der Compliance mit regulatorischen Anforderungen (z.B. eIDAS, DORA, DSGVO) und Industriestandards (z.B. CA/Browser Forum Baseline Requirements). Governance-Beratung für PKI-Strategien.
• Audits & Risikomanagement in PKI: Durchführung regelmäßiger Sicherheitsaudits, Konformitätsprüfungen und Risikobewertungen spezifisch für PKI-Umgebungen zur Identifizierung und Behebung von Schwachstellen und zur kontinuierlichen Verbesserung der Sicherheitslage. Erstellung von Audit-Reports und Action Plans.
• Integration & Beratung von PKI-Diensten: Erfolgreiche Integration von PKI-Diensten in komplexe IT-Infrastrukturen, darunter VPNs, SSL/TLS-Verbindungen, S/MIME-basierte E-Mail-Verschlüsselung, Code Signing, Device Authentication und IoT-Sicherheit. Beratung von Kunden und Cross-funktionalen Teams bei der Konzeption, Implementierung und Wartung von PKI-Lösungen und Security-Roadmaps.
• Schulung & Support: Durchführung von Schulungen und Bereitstellung von technischem Support sowie Change Management für IT-Personal und Endbenutzer zu Best Practices der PKI-Nutzung und relevanten Sicherheitsmaßnahmen.

---

AWS Cloud Security (AWS Cloud Solution Architect Associate)

• Cloud-Netzwerksicherheit (AWS VPC): Design, Erstellung und Management von AWS Virtual Private Clouds (VPCs) zur logischen Isolierung von Cloud-Ressourcen in einer privaten, sicheren Netzwerkumgebung. Expertise in der Konfiguration von Subnetzen (public/private), Routing-Tabellen, Internet Gateways (IGW), NAT Gateways und Bastion Hosts zur Sicherstellung kontrollierten Datenverkehrs und Netzwerksegmentierung. Fokus auf Security by Design.
• Identitäts- und Zugriffsmanagement (IAM & RBAC): Implementierung robuster IAM-Richtlinien und -Rollen zur detaillierten Verwaltung des Zugriffs auf AWS-Ressourcen. Konzeption und Umsetzung von Role-Based Access Control (RBAC)-Modellen und strikte Anwendung des Least Privilege Principle für Identity-Based Policies und Resource-Based Policies (z.B. für Cross-Account Sharing). Erfahrung mit Single Sign-On (SSO) Integrationen.
• Feingranulare Zugriffskontrollen: Konfiguration und Verwaltung von Security Groups zur Steuerung des ein- und ausgehenden Datenverkehrs auf Instanz-Ebene (OSI Layer 4). Einrichtung und Management von Network Access Control Lists (Network ACLs) als zusätzliche, zustandslose Sicherheitsschicht auf Subnetz-Ebene für Defense in Depth.
• Sichere Schlüsselverwaltung in AWS: Konzeption und Aufbau von AWS-Architekturen für die sichere Credentials- und Schlüsselverwaltung unter Nutzung von AWS CloudHSM (Hardware Security Module), AWS Key Management Service (KMS) und AWS Secrets Manager für die Speicherung, Rotation und den Schutz von sensiblen Daten. Sicherstellung der Kryptographischen Compliance in der Cloud.
• Hochverfügbarkeit & Disaster Recovery in der Cloud: Design und Implementierung hochverfügbarer und ausfallsicherer Architekturen unter Nutzung von Availability Zones (AZs) und Regionen zur Sicherstellung von Redundanz, Business Continuity (BCM) und Desaster Recovery (DR). Entwicklung von Cloud-agnostischen Konzepten zur Entkopplung kritischer Schlüssel vom HSM für BCM-Verfahren.
• Container Security in AWS: Bereitstellung und Absicherung von Container-Anwendungen über AWS ECR (Elastic Container Registry) und AWS ECS (Elastic Container Service) mit Fargate für serverloses Container-Management. Integration von Container-Security-Scans und Best Practices.

---

BSI IT-Grundschutz (BSI IT-Grundschutzpraktiker)

• Informationssicherheitsmanagement (ISMS): Umfassende Erfahrung im Aufbau, der Implementierung und Pflege von Informationssicherheitsmanagementsystemen (ISMS) gemäß BSI IT-Grundschutz Standards 200-1, 200-2, 200-3. Leitung von ISMS-Implementierungsprojekten.
• Gefährdungsanalyse & Risikomanagement: Durchführung detaillierter Gefährdungsanalysen und Schutzbedarfsanalysen basierend auf den BSI IT-Grundschutz-Katalogen und dem IT-Grundschutz Kompendium zur Identifizierung, Bewertung und Priorisierung von Risiken und Schwachstellen in komplexen IT-Infrastrukturen. Erstellung von Risikobewertungen und Risikobehandlungsplänen.
• Sicherheitsmaßnahmen & Konzepte: Implementierung von standardisierten Sicherheitsmaßnahmen und Entwicklung von Sicherheitskonzepten gemäß den IT-Grundschutz-Bausteinen. Durchführung von IT-Grundschutz Quick-Checks (GAP-Analysen) zur Bestandsaufnahme und Ableitung von Optimierungsmaßnahmen.
• Audit & Compliance: Vorbereitung und Begleitung von internen und externen Audits und Zertifizierungen nach ISO/IEC 27001 auf Basis von IT-Grundschutz zur Überprüfung der Einhaltung von Sicherheitsstandards und -richtlinien. Sicherstellung der Compliance mit nationalen und internationalen Regelwerken sowie Corporate Governance Vorgaben.
• Awareness & Schulung: Konzeption und Durchführung von Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter zur Förderung des Sicherheitsbewusstseins und zur Einhaltung von Sicherheitsrichtlinien. Entwicklung von Awareness-Programmen.
• Kontinuierliche Verbesserung: Etablierung von Prozessen zur kontinuierlichen Überwachung, Verbesserung und Weiterentwicklung der Sicherheitsmaßnahmen und des ISMS. Unterstützung bei der Entwicklung effektiver Sicherheitsstrategien und der Minimierung von Risiken im Rahmen des ISMS-Lebenszyklus.

---

Ethical Hacking

• Penetrationstests & Schwachstellenanalyse: Durchführung von Intermediate Penetrationstests (White Box) auf Netzwerke, Anwendungen und Systeme zur proaktiven Identifizierung von Sicherheitslücken und potenziellen Angriffsvektoren. Fokus auf Web Application Penetration Testing (WAPT) und Network Penetration Testing.
• Vulnerability Assessment: Durchführung von umfassenden Schwachstellenbewertungen unter Verwendung führender Tools der Branche wie Nmap, OpenVAS, Nessus, Nikto und Burp Suite. Erstellung von Vulnerability Reports mit Priorisierung und Remediation-Empfehlungen.
• Sicherheitsbewertung & Architekturprüfung: Detaillierte Analyse und Bewertung der Sicherheitsarchitektur von IT-Systemen und Anwendungen, inklusive der Überprüfung von Konfigurationen und Implementierungen. Durchführung von Security Architecture Reviews.
• Reporting & Risikokommunikation: Erstellung detaillierter Berichte über die Ergebnisse von Sicherheitsüberprüfungen, inklusive einer klaren Bewertung der Risiken, Priorisierung von Schwachstellen und praxisorientierten Empfehlungen zur Behebung identifizierter Mängel. Präsentation der Ergebnisse vor Management und Stakeholdern.
• Compliance & Risikominderung: Sicherstellung der Einhaltung von Sicherheitsstandards und regulatorischen Anforderungen durch gezielte Sicherheitsüberprüfungen und Empfehlungen zur Verbesserung der gesamten Sicherheitslage. Beitrag zur Cybersecurity Resilienz.

---

Projekthistorie (Auszug)

---

Branche: Finanzwesen | 07/2024 – 09/2025
Projekt: Kryptographie und Compliance im DORA-Kontext bei einer Bank (Bereich CISO)

• Rolle: IT-Security Consultant / Crypto SME (Subject Matter Expert)
• Fokus: Strategische Umsetzung und operative Überwachung kryptographischer Maßnahmen gemäß den Vorgaben des Digital Operational Resilience Act (DORA) im Bereich Informationssicherheit und CISO-Beratung.
• Tätigkeiten:
  • Durchführung von Analysen und Reviews zur Umsetzung von Sicherheitsmaßnahmen für Data at Rest und Data in Transit unter Berücksichtigung von Datenklassifizierungen (Confidentiality, Integrity, Availability) und den DORA-Anforderungen.
  • Expertengerechte Beratung im CISO-Bereich zu anwendbarer Kryptographie in Übereinstimmung mit dem IT-Kryptographie Standard und dem Asset Lifecycle im Kontext der DORA Compliance und Operational Resilience.
  • Erhebung des Ist-Zustandes bezüglich der Verschlüsselung von Daten bei Übertragung, Speicherung und Nutzung im Rahmen einer Baseline-Analyse.
  • Review und Abstimmung zur Einhaltung der IT-Security Key Controls in Zusammenarbeit mit der First Line of Defense (Security Baseline) und der Second Line of Defense (Riskmanagement). Aktiver Beitrag zur Corporate Governance.
  • Beratung und Entwicklungssteuerung zur Erstellung eines Online-Fragebogens für den Aufbau eines zentralen Crypto-Repositories über alle IT-Assets der Bank.
  • Beratung der Asset Owner im Rahmen des SOLL/IST-Abgleichs (GAP-Analyse) und Identifizierung von Gaps in Bezug auf den Ist-Zustand und die DORA-Anforderungen, inklusive Erstellung von Handlungsempfehlungen.
• Keywords: DORA, IT-Kryptographie Standard, Data at Rest, Data in Transit, Datenklassifizierung, CISO-Beratung, GAP-Analyse, Regulatorische Compliance, Informationssicherheit im Finanzwesen, Operational Resilience, Risikomanagement, Security Baseline, Corporate Governance, Asset Management, Crypto SME.

---

Branche: Automotive | 05/2024
Design eines AWS Cloud Security Accounts im Rahmen eines AWS Gesamtprojektes

• Rolle: Cloud Security Architect / Solution Designer
• Fokus: Konzeption und Implementierung robuster AWS Cloud Security Architekturen mit Schwerpunkt auf Credentials- und Schlüsselverwaltung sowie Zugriffsmanagement in einer Enterprise Cloud Environment.
• Tätigkeiten:
  • Konzeption und Aufbau einer AWS Architektur zur sicheren Credentials- und Schlüsselverwaltung bestehend aus AWS CloudHSM, AWS Key Management Service (KMS) und AWS Secrets Manager. Fokus auf Key Management Strategy.
  • Konzeption und Implementierung eines Role-Based Access Control (RBAC)-Modells unter strikter Einhaltung des Least Privilege Principle unter Verwendung von Identity-Based und Resource-Based Policies für Cross-Account Sharing. Beitrag zur Zero-Trust-Architektur.
  • Konzeption eines Cloud-agnostischen Konzepts zur Entkopplung kritischer Schlüssel von AWS CloudHSM bzw. zum Ermöglichen eines Desaster Recovery (BCM)-Verfahrens. Business Continuity Planning (BCP).
  • Erstellung von technischen Proof-of-Concepts (PoCs) im Rahmen interner Freigabeprozesse und Projekt-Milestones:
    • Aufbau eines isolierten VPCs inkl. Subnetzen, Security Groups und Endpoints für Netzwerksegmentierung.
    • Bereitstellung von Docker-Containern über AWS ECR und AWS ECS mit Fargate für Container-Orchestrierung und Security Hardening.
    • Vorstellung kryptografischer Operationen unter Verwendung des AWS CloudHSM und der AWS CloudHSM CLI.
• Keywords: AWS Cloud Security, AWS VPC, IAM, RBAC, Least Privilege, AWS CloudHSM, AWS KMS, AWS Secrets Manager, Disaster Recovery, BCM, Docker, AWS ECR, AWS ECS, Fargate, Cloud-Architektur, Solution Design, Enterprise Cloud, Key Management Strategy, Zero-Trust, Business Continuity Planning, Container Orchestrierung, Security Hardening.

---

Branche: Automotive | 2021-2024
Unterstützung bei der Implementierung und Pflege eines ISMS nach BSI IT-Grundschutz

• Rolle: ISMS Specialist / Information Security Officer Support
• Fokus: Aktive Unterstützung bei der Implementierung und Pflege eines Informationssicherheitsmanagementsystems (ISMS) gemäß BSI IT-Grundschutz in einer komplexen Organisationsstruktur.
• Tätigkeiten:
  • Erstellung und Aktualisierung von Sicherheitskonzepten sowie Durchführung von Risikoanalysen und Schutzbedarfsanalysen nach BSI-Methodik.
  • Entwicklung und Implementierung von Sicherheitsrichtlinien und -prozeduren zur Steigerung des Sicherheitsniveaus.
  • Organisation von Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter zur Förderung der Sicherheitskultur.
  • Überwachung der Wirksamkeit des ISMS und Durchführung regelmäßiger interner Audits.
  • Beratung des Managements in sicherheitsrelevanten Fragen und Koordination der Reaktion auf Sicherheitsvorfälle im Rahmen des Incident Response Managements.
• Kerntätigkeiten: Strukturanalyse, Schutzbedarfsanalyse, Modellierung nach IT-Grundschutzkompendium, IT-Grundschutz Quick-Check (GAP-Analyse), Risikomanagement.
• Ergebnis: Maßgeblicher Beitrag zur Entwicklung effektiver Sicherheitsstrategien, der Identifizierung und Minimierung von Risiken sowie der Schließung von Sicherheitslücken, wodurch die Cyber-Resilienz des Unternehmens gestärkt wurde.
• Tools/Methoden/Technologien: BSI IT-Grundschutz Standard 200-1, 200-2, 200-3, Office365, BSI IT-Grundschutzkompendium, Ethical Hacking (zur Veranschaulichung von Schwachstellen).
• Keywords: ISMS, BSI IT-Grundschutz, Informationssicherheitsbeauftragter, Risikoanalyse, Schutzbedarfsanalyse, Sicherheitskonzepte, Audits, Compliance, ISO 27001, GAP-Analyse, Risikomanagement, Sicherheitsstrategie, Incident Response, Sicherheitskultur, Cyber-Resilienz, Prozessoptimierung.

---

Branche: Automotive | 2020-2021
Entwicklung und Aktualisierung von PKI-Richtlinien und -Verfahren

• Rolle: PKI Policy & Compliance Specialist
• Fokus: Konzeption und Pflege von Certificate Policies (CP) und Certificate Practice Statements (CPS) unter Berücksichtigung von nationalen und internationalen Standards sowie Best Practices der Industrie.
• Tätigkeiten:
  • Entwicklung von CP und CPS unter Berücksichtigung der technischen Richtlinien BSI TR-03145 "Secure Certification Authority Operation" und BSI TR-02102 "Kryptographische Verfahren: Empfehlungen und Schlüssellängen".
  • Analyse und Integration von Best Practices führender PKIs (z.B. DigiCert, Google) durch Marktstudien und Forschung.
  • Gewährleistung der Compliance mit regulatorischen Anforderungen (z.B. eIDAS) und Anpassung der Richtlinien entsprechend. Revisionssicherheit der Prozesse.
  • Überwachung und Aktualisierung der PKI-Richtlinien und -Verfahren, um deren Konformität mit aktuellen Entwicklungen im Bereich Security und Steuergeräteentwicklung sicherzustellen. Beitrag zur Produkt- und Systemsicherheit.
  • Beratung zum Einsatz der PKI, insbesondere bei der Validierung von Zertifikaten nach den Empfehlungen aus dem RFC 5280, durch Bereitstellung von Beispiel-Skripten in Python.
• Tools/Methoden/Technologien: RFC3647, RFC5280, Python, Technische Richtlinien und Empfehlungen des BSI, Marktstudien.
• Keywords: PKI, Certificate Policy (CP), Certificate Practice Statement (CPS), BSI TR-03145, BSI TR-02102, RFC 5280, Zertifikatsvalidierung, Regulatorische Compliance, Best Practices, Security Engineering, eIDAS, Revisionssicherheit, Produktsicherheit, Systemintegration.

---

Branche: Automotive | 2019-2020
Koordination einer Ausschreibung zur Einführung eines OCSP-Responders

• Rolle: IT Procurement & Project Coordinator
• Fokus: Strategische Beschaffung und detaillierte Evaluierung eines Online Certificate Status Protocol (OCSP)-Responders für die PKI-Infrastruktur im Rahmen eines internationalen Beschaffungsprozesses.
• Tätigkeiten:
  • Bedarfsanalyse basierend auf internen Analysen und Marktforschung.
  • Erstellung eines Request for Information (RFI) gemäß Konzernvorgabe und Kontaktaufnahme potenzieller Hersteller/Lieferanten.
  • Sichtung und Auswertung der beantworteten RFIs mit anschließender Koordination und Moderation von Produktpräsentationen (international).
  • Erstellung eines Request for Proposal (RFP) gemäß Konzernvorgabe mit anschließender detaillierter Auswertung und Abgleich mit dem avisierten Umsetzungsplan und Budget.
  • Erstellung eines Abschlussberichts mit entsprechender Einsatzempfehlung für das Senior Management und Business Case-Präsentation.
• Tools/Methoden/Technologien: Office365, RFI/RFP-Templates.
• Keywords: OCSP, PKI-Infrastruktur, Ausschreibung, RFI, RFP, Vendor Management, Produktbewertung, Projektmanagement, Beschaffung, IT Procurement, Business Case, Senior Management Reporting, International Project, Budget Management.

---

Branche: Automotive | 2017-2019
Agile Projektleitung für die Eigenentwicklung einer proprietären PKI-Zertifikatsmanagementlösung

• Rolle: Agile Project Lead / Product Owner
• Fokus: Agile Leitung eines Softwareentwicklungsprojekts zum Aufbau einer proprietären PKI-Zertifikatsmanagementlösung nach Scrum-Methodik mit internationalen Stakeholdern.
• Tätigkeiten:
  • Beratung und Steuerung des Entwicklungsteams in der Rolle des Product Owner in enger Zusammenarbeit mit dem Scrum Master. Verantwortung für Product Backlog und Sprint Planning.
  • Anforderungsanalyse und Reporting mit/an Stakeholder aus verschiedenen Fachabteilungen und internationalen Gesellschaften. Sicherstellung der Business Alignment.
  • Koordination von Penetrationstests und Bewertung der Reports mit anschließender Ableitung von Remediation-Maßnahmen und Erstellung von Realisierungsplänen.
  • Programmierung und Durchführung von kryptografischen (Verschlüsselung und Signatur) Schnittstellentests mittels Python.
• Tools/Methoden/Technologien: Scrum, Jira, Confluence, Kanban-Board, Elliptische-Kurven-Kryptographie (ECC), PKI-relevante RFCs (RFC5280, RFC6960), ASN.1, Diverse PKCS#-Standards (PKCS#7, PKCS#10, PKCS#12), Technische Richtlinien für kryptografische Verfahren und Empfehlungen des BSI, Python (PyCryptography), JOSE (JSON Object Signing and Encryption), JSON, ISO15118-2, Verfahren und Empfehlungen gemäß NIST (DH-Session Key NIST SP 800-56A, Key Derivation NIST SP 800-56r2 oder Key Encryption NIST SP 800-38A).
• Keywords: Agile Projektleitung, Scrum, Product Owner, PKI-Zertifikatsmanagement, Softwareentwicklung, Penetrationstests, Kryptographie, Python, ECC, PKCS, NIST, BSI, JOSE, JSON, ISO15118-2, Product Backlog, Sprint Planning, Stakeholder Management, Business Alignment, Remediation, Internationales Projektmanagement, Teamführung.