DRACOON ist Marktführer im Bereich Enterprise File Services bietet eine Cloud-Lösung für den sicheren Dateiaustausch an. Mit DRACOON können Unternehmen ihre sensiblen Daten in vor unbefugtem Zugriff schützen und bei der Einhaltung gesetzlicher Vorschriften, wie TISAX, KRITIS, NIS-2 oder DSGVO unterstützt werden. Ziel des Projektes ist das Security Testing der eigenentwickelten Cloud-Lösung DRACOON. Die Identifizierung von Sicherheitslücken und der Aufbau eines Frameworks in Python zum automatisierten Testen von modernen Timing- und Race-Condition-Angriffen sind dabei von zentraler Bedeutung. Ein weiterer Schwerpunkt des Projekts liegt auf der manuellen Identifizierung von Sicherheitslücken durch Pentesting-Methoden aller Frontend-Clients sowie der in einer unter Docker betriebenen Microservice-Architektur.

Aufgaben:

• Aufbau des Frameworks in Python zum automatisierten Testen von Timing- und Race-Condition-Angriffen
  Ich bin verantwortlich für die Konzeption und Koordination des Security Testings sowie für die Entwicklung eines Testautomatisierungs-Frameworks in Python. Das Framework dient dem automatisierten Testen von modernen Timing- und Race-Condition-Angriffen. Dabei erstelle ich die Testpläne und teste die Frontend-Clients und Micro-Services in Docker manuell und explorativ mit Pentesting-Methoden.
• Identifizierung von Sicherheitslücken mit Mimikatz für Pass-the-Hash-Angriffe in Windows
  Ich definiere die Angriffsoberfläche und übernehme die Identifizierung von Sicherheitslücken sowie die Planung, Steuerung und Kommunikation dazu. Dabei nutze ich Mimikatz zum Erfassen von Anmeldeinformationen und zum Durchführen von Pass-the-Hash-Angriffen in Windows-Betriebssystemen. Ich lasse mir Passwörter im Klartext anzeigen, um Hashes zu extrahieren und Sicherheitslücken aufzudecken.
• Entdeckung von Sicherheitslücken in der Cloud-Lösung mit Burp Suite und über OIDC
  Mit der Burp Suite kann ich den HTTP/HTTPS-Verkehr zu Anwendungen abfangen und manipulieren, bevor er an den Server gesendet wird. Dadurch können Sicherheitslücken in der selbst entwickelten Cloud-Lösung DRACOON schnell und effektiv aufgedeckt werden. OIDC ermöglicht es mir, die Identität eines Endnutzers gegenüber Clients durch die Authentifizierung über einen Autorisierungsserver zu bestätigen.
• Netzwerk-Monitoring, Analyse des Netzwerkverkehrs und Aufdeckung von Sicherheitslücken mit Caido
  Ich bin zuständig für die Überwachung des Netzwerks und Dokumentation des Monitorings in Jira, um eine optimale Verfügbarkeit und Leistung sicherzustellen. Caido ist ein Open-Source-Tool, das ich zur Überwachung und Analyse des Netzwerks verwende. Ich setze es ein, um den Netzwerkverkehr zu überwachen, Sicherheitslücken aufzudecken, Angriffe zu erkennen und die Netzwerkleistung zu optimieren.
• Testmanagement, Testressourcenplanung und Coaching von Werkstudenten im Bereich Security Testing
  Ich koordiniere und kontrolliere die sicherheitsrelevanten Testaktivitäten in Xray - Test Management for Jira. Gleichzeitig betreue ich Werkstudenten im Bereich Security Testing der Cloud-Lösung. Dabei übernehme ich die Einarbeitung ins Security Testing und ein ausführliches Coaching. Ich plane Testressourcen und weise Aufgaben zu. Ich gebe mein Wissen weiter und wir arbeiten agil im Projekt.

Ziel des Projektes ist die Sicherstellung der Zuverlässigkeit und Funktionalität der Softwarekomponenten für die eigenentwickelte Cloud-Lösung DRACOON im Bereich Enterprise File Services. Im Rahmen der Software-Qualitätssicherung legt das Unternehmen großen Wert auf die kontinuierliche Verbesserung der Testprozesse sowie den Auf- und Ausbau der Testautomatisierung in der QA-Abteilung. Es sollen Frontend-Clients unter Windows, macOS, iOS, iPadOS, Android und Web sowie die Integration der Software unter Linux getestet werden. Darüber hinaus sollen sowohl manuelle als auch automatisierte Tests einer unter Docker betriebenen Microservice-Architektur durchgeführt und aufgesetzt werden. Dies beinhaltet unter anderem die Planung und Koordination der Tests und des gesamten Qualitätssicherungsprozesses.

Aufgaben:

• Erstellung von Basic- und Functional-Tests mit Citrus zum Aufbau der Testautomatisierung in Java
  Um die Funktionalität der DRACOON Softwarekomponenten sicherzustellen, führe ich Basis-, Funktions- und Integrationstests in Citrus, Cucumber und Gherkin durch. Ich bin verantwortlich für das Definieren und Anlegen von Testdaten zum Aufbau und zur Implementierung der Testautomatisierung in Java und Swift sowie für die Vorbereitung der Tests der unter Docker betriebenen Micro-Services-Architektur.
• Testmanagement in Jira, Erstellung von Testplänen zur Testautomatisierung und Testprozessoptimierung
  Im SCRUM-Projekt sorge ich eigenverantwortlich für die Bereitstellung der Testinfrastruktur, die kontinuierliche Verbesserung der Testprozesse und die Umsetzung der Anforderungen in Testfälle. Ich überwache die Testdurchführung und berichte der Projektleitung den Status. Ich erstelle und verwalte die Testpläne für die Testautomatisierung und das manuelle Testen in Xray - Test Management for Jira.
• Entwicklung eines Bash-Skripts zur Analyse und Extraktion von Informationen aus einer REST-API
  Basierend auf den Spezifikationen von Swagger entwickle ich ein Bash-Skript zur effizienten Analyse und Extraktion relevanter Informationen aus einer REST-API sowie zur Optimierung von Entwicklungs- und Integrationsprozessen. Im Projekt ist, wie bei den meisten GNU/ Linux basierten Betriebssystemen, bash die voreingestellte Schnittstelle, die ich dann durch API Tests verifiziere.
• Entwicklung eines Frameworks zur Durchführung automatisierter Integrationstests mit XCTest/ XCUItest
  Ich entwickle ein Framework zur Durchführung von automatisierten Integrations- und UI-Tests mit XCTest und XCUItest. Dies beinhaltet auch die Implementierung von automatisierten Tests in Java für Multitasking-Funktionalitäten. Durch den Auf- und Ausbau der Testautomatisierung entfallen manuelle Testschritte und der Releaseprozess wird beschleunigt.
• Leitung des Redesigns der Benutzeroberfläche und der Usability Tests der App mit Sketch und Appium
  Ich steuere das Redesign und Testen der Benutzeroberfläche für die iOS und Android Apps. Mit meinem Know-how im UX/UI Design mit Sketch, über iOS und Android HIG (Human Interface Guidelines), erreiche ich eine Reduktion der Klicks zur Erstellung von Shares um 70%. Um die User Experience zu verbessern, passe ich die Apps an die Haupt-Webanwendung an. Das Design erstelle ich modular in Sketch.
• Entwicklung von Bash- und PowerShell-Skripten zur Automatisierung von Prozessen mit Javascript
  Ich verantworte auch den Rekrutierungsprozess in der QS-Abteilung. Dies beinhaltet die Koordination der Bewerbungsverfahren und die Auswahl der Kandidaten. Dafür entwickle ich ein Bash- und PowerShell-Skript zur Automatisierung des Onboarding-Prozesses mit Javascript und Spring in Jetbrains (IDE Suite). So kann ich die Einarbeitungszeit auf Linux, MacOS und Windows um 90% reduziert werden.

Auf einer Sicherheitskonferenz habe ich als Sprecher einem Vortrag mit dem Titel (auf Anfrage) eine Sicherheitslücke vorgestellt. Ein Teil der Software akzeptierte beliebige User-Agents ungefiltert, was ausgenutzt werden konnte, um über die Exportfunktion des Reporting-Tools eine bösartige Excel-Datei zu erzeugen. Über diese kann ein Angreifer unter Umständen Remote Code Execution (RCE) auf dem Rechner eines Administrators erlangen. Die Details der Schwachstelle, den Weg zu ihrer Entdeckung und Lösungsansätze habe ich in englischer Sprache vor ca. 100 japanischen Sicherheitsexperten präsentiert.

Aufgaben:

• Präsentation zum Thema "Abusing Webapp Reports for RCE" auf einer Sicherheitskonferenz in Tokyo
  Als Sprecher & Experte im Bereich Security Testing habe ich bei einer Sicherheitskonferenz einen Vortrag in PowerPoint und POC-Video in englischer Sprache vorbereitet und gehalten. Dabei ging es um das Software Security Testing nach OWASP als anerkanntes Framework, das beim Aufbau einer unternehmensweiten Testkultur sowie Prozesse helfen kann.
• Erarbeitung von Beispielen und Best Practices aus CVE und CWE für die Präsentation
  Für meinen Vortrag suche ich zunächst praktische Beispiele für CVE (Common Vulnerabilities and Exposures), die mit einer CVE-Nummer in der Liste der öffentlichen Sicherheitslücken von Computersystemen aufgeführt sind. Anhand der CWE (Common Weakness Enumeration) kategorisiere ich anschauliche Beispiele für Hard- und Softwareschwachstellen und nutze dazu Tools wie Burp Suite, Mimikatz und Charles.

• Evaluierung von Testautomatisierungstools für die iOS und iPadOS Apps und Bewertung nach Kriterien
  Ich informiere mich über relevante Testautomatisierungs-Frameworks und liste deren Eigenschaften auf. Dann erstelle ich mit den Stakeholdern harte und weiche Kriterien, die das Framework erfüllen muss. Ich sortiere die Eigenschaften nach den Kriterien, um eine objektive Vergleichbarkeit zu schaffen und das passende Framework auszuwählen. Wir haben XCUITest/ Swift und Appium verwendet.
• Implementierung eines Testautomatisierungstools, Erstellung der Testpläne und der Tests mit XCTest
  Ich plane die E2E-Tests mit XCTest anhand der von den Stakeholdern vorgegebenen Kriterien und lege fest, welche Teile der Software getestet werden. Anschließend erstelle ich die Tests anhand der Spezifikationen in Swift mit XCtest und XCUItest und teste die Software. Die Ergebnisse, Bugs und Sicherheitslücken werden verifiziert, dokumentiert und mit den beteiligten Entwicklern geteilt.

Zusammen mit einem Kollegen habe ich im Vortrag "Testing-Landscape mit Control Flow und Decision Table" vor ca. 100 Zuhörern Methoden zur Visualisierung und Priorisierung von Testautomatisierungsaufwänden für Softwarefeatures vorgestellt. Zuvor hatten wir uns als Sprecher für Testbirds "Bugs, Bier und Brezn" beworben und das Thema anhand von Beispielen aus der Praxis in einer PowerPoint-Präsentation aufbereitet. Testbirds ist ein Anbieter von QA und UX Software Crowdtesting, der im Jahr 2022 unter dem Motto ?Bugs, Bier & Brezn? zu einem Event einlädt. Im Anschluss an den Vortrag stellten wir uns den Fachfragen der anwesenden Besuchern.

Aufgabe:

• Präsentation zu Methoden der Visualisierung und Priorisierung von Testautomatisierungsaufwänden
  Ich bereite die PowerPoint-Präsentation mit dem Titel "Testing-Landscape mit Control Flow und Decision Table" mit vor und halte sie auf der oben genannten Veranstaltung vor einem Fachpublikum. Im Vortrag erläutern wir die Anwendung von Kontrollflussanalysen und Entscheidungstabellen zur Optimierung von Testabdeckungen und Testprozessen sowie zur effizienten Gestaltung von Teststrategien.