Im Fokus des Projekts stand zunächst die Einführung und Konfiguration von Jira und Confluence Cloud zur Generierung und Abbildung von internen Geschäftsprozessen (interne Workflows, Wissensmanagement, Verwendung zu Dokumentationszwecken u.a. des ISMS). Aufgrund wachsender Anforderungen und optimierter Prozesse erfolgt eine stetige Administration und Anpassungen an veränderte Rahmenbedingungen.

Aufgaben:

• Gesamtkonzeption der Atlassian Umgebung mit Fokus auf Security Aspekten
• Aufsetzen und Konfiguration der Umgebung sowie Durchführung eines Security Reviews
• Definition und Implementierung des Berechtigungskonzepts in Confluence (globale Berechtigungen, Bereichskonfigurationen und Berechtigungen) sowie Jira Cloud (globale Berechtigungen, Projektberechtigung)
• Implementierung einer sicheren Benutzerauthentifizierung im Zusammenspiel mit Azure AD
• Evaluation Jira Classic vs. Next-Gen Project Features
• Definition, Konfiguration und Implementierung von Jira Classic Projekten und zugehörigen Schemata (Felder, Workflows, Berechtigungen, Bildschirme, Benachrichtigungen)
• Definition, Konfiguration und Implementierung von Jira Next-Gen Projekten (Projekt-Berechtigungen, Rollenkonfiguration)
• Implementierung Jira Workflows (zum Teil mit Automatisierung)
• Evaluation von Plugins unter funktionalen sowie nicht-funktionalen Aspekten
• Inhaltlicher Aufbau eines Managementsystems für Informationssicherheit (ISMS) auf Basis der Confluence Umgebung
• Erstellung von Templates zur Durchführung von Internal Audits nach ISO 27001

Durchführung von Security- und Risk Assessments für Produkte und Services im Umfeld eines deutschen Automobilherstellers. 

Insgesamt umfasste die Tätigkeit eine Vielzahl von Einzelprojekten mit unterschiedlichsten fachlichen und technologischen Schwerpunkten.  

Das Projekt hatte die Neuerstellung und Erweiterung eines Notfallkonzepts sowie Geschäftsfortführungsplans für die IT.  

Die bereits vorliegende Dokumentation bildete die Basis zur Erstellung einer weiterführenden Dokumentation des IT-Notfallkonzepts sowie der Geschäftsfortführungspläne. Weiterführend standen sowohl die Erstellung von Dokumenten-Templates zur Erstellung von Wiederherstellungs- und Wiederanlaufplänen als auch weiterführende Beratung zum Risikomanagement und Informationssicherheitsmanagement-System. 

Entwicklung und Implementierung eines VAIT-konformen Testbenutzerkonzept Im Fokus des Projektes stand die Entwicklung und Integration eines VAIT-konformen Testbenutzerkonzepts in die existierende IAM Systemlandschaft. Maßgebliche notwendige Aufgaben umfassten der Definition und Etablierung von Prozessen sowie zugehöriger Dokumentation und Berücksichtigung unternehmensinterner und regulatorischer Vorgaben der VAIT sowie der Planung, Durchführung und Kontrolle notwendiger Tätigkeiten zur Risikominderung.

• Prozessdefinition zur Verlängerung von Testbenutzerkonten.
• Prozessdefinition zur Vergabe, Prüfung und Kontrolle von Berechtigungen, Gültigkeitsdauer von Testbenutzerkonten.
• Erstellung automatisierter Abfragen mittels Power Query zur automatisierten Auswertung von Compliance-Checklisten und Visualisierung definierter Metriken und KPIs zum Konformitätsstatus innerhalb Excel.
• Definition und Implementierung von Excel-Formularen zur Erstellung und Änderung von Benutzerkonten spezifischer Zielsysteme.
• Prozessdefinition und Einführung zur Unterstützung IAM Prozesse zu Erstellung und Änderung von Benutzerkonten.

Durchführung von Security- und Risk Assessments für Produkte und Services im Customer und Enterprise Umfeld eines global agierenden Telekommunikationskonzerns, sowie Projektmanagement im Kontext von IT-Security.
Insgesamt umfasste die Tätigkeit eine Vielzahl von Einzelprojekten mit unterschiedlichsten fachlichen und technologischen Schwerpunkten. Die Projektsprache war dabei stets Englisch.

• Information Security Management sowie Risk Assessments unter Berücksichtigung interner und externer Richtlinien sowie allgemeiner Security Best-Practice (ISO 27001, BSI IT-Grundschutz, OWASP, CIS Benchmark, Common Criteria, DSGVO)
• Security Projekt Management und Consulting in strategischen Projekten inklusive Budgetkoordination und Abstimmung mit internationalen Stakeholdern bis Senior Management Level
• Definition von Security Architekturen und Controls, Erstellung von Sicherheitskonzepten und Risiko-Registern, Prozessdefinition und Implementierung, Konzeption und Einführung von Security Richtlinien, Review von Solution Designs, Koordination von Penetrationstests, Ableitung von Handlungsempfehlungen und Maßnahmen zur Risikoreduzierung
• Security Assurance in den Bereichen Telecommunications, Consumer und Enterprise mit diversen technologischen Schwerpunkten (unter anderem Web- und Mobile Application, Network Communications, On-Premise-Services oder Cloud Solutions)

Review und Support zur Migration eines bestehenden On-Premise Micro-Services Backend zu einer in der Cloud gehosteten Kubernetes-Infrastruktur. Der Service wurde zentral für verschiedene OpCos des Kunden angeboten und betrieben.

• Beratung und Sicherstellung der Berücksichtigung von Vodafone Security Controls, Policies und Standards
• Evaluierung der ganzheitlichen Architektur, von Infrastruktur zur Instanz/Micro-Service-Ebene mit Kubernetes
• Evaluierung von AWS Best Practice und Security Controls (Hardening, CIS Benchmark)
• Erarbeiten und umsetzen von Kubernetes Security Controls

Durchführung einer Analyse von angebotenen Kunden-Produkten und Lösungen zur Identifikation von erhobenen personenbezogenen sowie personenbeziehbarer Daten.

• Analyse angebotener Kunden-Produkte und Lösungen
• Weiterführende Analyse von involvierten IT-Systemen und Identifikation von Abweichungen zu Vorgaben und Unternehmensrichtlinien
• Bewertung bestehender Kontrollen, als auch Beratung zur Einführung oder Verbesserung von Sicherheitsmaßnahmen.

Threat Modeling für mobile Android-Applikationen unter Berücksichtigung von Security Best Practice Standards (OWASP Top 10). 

• Identifikation potentieller Schwachstellen für Android-Applikationen
• Erstellung konkreter Bedrohungsszenarien und generische Risikoanalyse
• Konzeptionierung von Optionen zur Reduzierung oder Beseitigung identifizierter Schwachstellen
• Schutzbedarfsfeststellung für Android-Applikationen

Review und Security-Support zur Neuentwicklung einer bestehenden Mobile Application (Android und iOS).

• Beratung und Sicherstellung der Berücksichtigung von Vodafone Security Controls, Policies und Standards
• Evaluierung der Applikation gegenüber Best Practice Standards zur Entwicklung sicherer Mobiler Applikationen
• Review der Integration mit bestehenden Backend-Systemen