Über mich
Aktuell
Ich arbeite derzeit als Senior IT Security Engineer bei ConnectedCare GmbH (Berlin / Telgte, Deutschland, ehem. BEWATEC GmbH). Dort trage ich maßgeblich zur IT Sicherheit der ConnectedCare Plattform bei und bin ich Ansprechpartner für alle Themen der IT Sicherheit & Datenschutz.
Ich kümmere mich um zwei wichtige Bereiche: a) technische Sicherheit und b) regulatorische Tätigkeiten. Beide Bereiche interagieren stark (z.B. Erfüllung von Schwachstellenmanagement für Cyber Resilience Act) und müssen immer gemeinsam geplant werden. Sie beinhalten grundsätzlich Datenschutzthemen sowie stetigen Austausch mit verschiedenen Akteuren (internes Team Technik / Marketing / Vertrieb, Management, Datenschutzbeauftragte, Rechtsberatung, Aufsichtsbehörden etc.)
Aktivitäten: Technische Sicherheit
Im Bereich technische Sicherheit kümme ich mich um die Gestaltung & Umsetzung von Maßnahmen zur Erhöhung der IT Sicherheit der ConnectedCare Plattform. Dies umfasst die allgemeine Roadmap-Planung, Technologie-Evaluierungen, aber auch Umsetzung von Projekten/Maßnahmen und in-house Software-Entwicklungen (Terraform, Python, GoLang). Beispiele relevanter Aktiväten sind:
- Projekt AWS CloudSec Suite: IaC Entwicklung (Terraform, Python) zur Konfiguration & Deployment von AWS Cloud Security Diensten (u.a. Intrusion Detection, Firewall, Schwachstellenscanner, Notifikation zu Slack / Teams)
- Projekt Vulnerability Management: Realisierung von DefectDojo als zentrales System zur Schwachstellenverwaltung mit Graphen / Metriken zur Visualisierung des zeitlichem Verlaufs. Selbstentwickelte Skripte (Python als Terraform / AWS Lambda) realisieren den Import bekannter Schwachstellen (z.B. AWS, SonarCloud, Github) und einen “status back-sync” (z.B. Markieren als false-positive in DefectDojo aktualisiert die Schwachstelle als “suppressed” in AWS).
- Projekt Supply Chain Security: Realisierung von DependencyTrack die Nachverfolgung aller genutzten Software-Bibliotheken als Software Bill of Materials (SBOM in CycloneDX Format) inkl. Schwachstellenscan und DefectDojo-Integration.
- Planung und Begleitung von Pentests, selbständige Durchführung von einfachten Pentests (“surface scans”)
- Diverse einzelne Maßnahmen, z.B.
- Web Application Firewall: a) ModSecurity with custom rules and OWASP CRS auf reverse proxy in Kubernete Pod und (als Nachfolger) b) AWS WAFv2 mit AWS manageed core rule set (CRS).
- Installation von Sicherheitsscannern wie Sonarcloud, Github / Dependabot security alerts, AWS Inspector, Aquasec Trivy (IaC) etc.
- Grafana Dashboard als zentrale Visualisierung von Schwachstellen (wurde abgelöst durch DefectDojo)
Aktivitäten: regulatorische Aspekte
Ich bin verantwortlich für die Analyse von regulatorischen Anforderungen sowie deren Implementierung einschließlich technischer Realisierungen. Beispiele für relevante Tätigkeiten sind:
- Sicherstellung der Einhaltung von EU- und nationalen Vorschriften und Richtlinien wie NIS-2, Cyber Resilience Act (CRA) oder DSGVO durch Analyse und Umsetzung ihrer Anforderungen
- Begleitung der Einführung von ISO27001
- Die oben genannten Aufgaben umfassen eine breite Palette organisatorischer Maßnahmen, Beispiele hierfür sind:
- Entwicklung relevanter Richtlinien, insbesondere technischer Art, z.B. Incident Management, Risikomanagement, sichere Softwareentwicklung, Zugangskontrolle, kryptografische Algorithmen und Schlüssellängen (gemäß BSI TR-02102)
- Durchführung des Risikomanagements mit regelmäßigen Risikobewertungen und Abstimmung mit dem Management
- ThreatModeling (mit IriusRisk und Fokus auf dem STRIDE-Risikomodell)
- Verschiedene Einzelmaßnahmen wie technische Dokumentation, Interaktion mit Dritten (z.B. spezifische Kundenanfragen, Fachanwälte, Aufsichtsbehörden)
Vorher
Vor ConnectedCare GmbH war ich als IT Security Analyst bei Verimi GmbH (Berlin, Deutschland) involviert in den Thematiken Sicherheit-, Risiko- & Workflow-Analysen sowie Technologie- & Architektur-Sicherheit (z.B. Vulnerability Scans, Koordination von Pentests).
Vor meiner Position bei Verimi war ich tätig als Forscher und F&E Software-Ingenieur an der INSA de Lyon, Frankreich, in angewandten Forschungsprojekten mit internationalen Industriepartnern. Meine Arbeit konzentrierte sich auf Forschungs- und Entwicklungsaktivitäten (insbesondere die Architektur-Konzepte und Prototypen-Entwicklung verteilter sicherer Infrastrukturen, Daten-Nachverfolgbarkeit, Sicherheit und Reputation) sowie Koordination von gemeinsamen Aktivitäten mit internationalen Partnern.
Diese Tätigkeit umfasste die Entwicklung einer privaten Hybrid-Blockchain Plattform für die Nachverfolgbarkeit von Daten und Nutzeraktivitäten (insbesonderer Big Data und Machine Learning Modellen) sowie dem Schutz der Privatsphäre durch Anonymisierung und Analytics auf verschlüsselten Daten. Für die Realisierung verwendete ich ausschließlich moderne und freie Technologien, einige davon sind Java / Maven / Gitlab (+ CI) / Spring (Boot, Data etc.) / Apache Cassandra / Apache Kafka / Swagger REST / Angular2 / TypeScript etc. Die F&E umfasste den gesamten Software-Lebenszyklus startend mit der Forschung, Vision, Spezifikation, Software-Entwicklung bis hin zum Deployment mit modernen Technologien wie z.B. Docker / Kubernetes / AWS etc.
In der Wissenschaft
Meine Forschungstätigkeiten nach der Promotion vereinen Arbeiten bei der WHO, angewandte Forschung in Industrieprojekten sowie EU-Projekten.
Die letzte Forschungsaktivität wurde parallel zu meiner beruflichen Tätigkeit durchgeführt und zielte auf die Entwicklung eines sicheren digitalen Wahlsystems auf Basis homomorpher Verschlüsselung ab (Veröffentlichung bei Springer Nature in 2024). Zuvor war ich an einem F&E-Projekt beteiligt, in dem ich ein Blockchain-System entwickelte, das auf einem völlig neuen „demokratischen Konsens“ basiert, bei dem Systeme eines vertrauenswürdigen Konsortiums über die Gültigkeit der Blockspeicherung abstimmt. Bei der WHO habe ich meine Erfahrungen als IT-Spezialist in der Dietary Exposure Assessment (DEX)-Gruppe der Internationalen Agentur für Krebsforschung (IARC, WHO) in Frankreich genutzt, um eine neue, sichere und datenschutzfreundliche Datenanalyse-Infrastruktur für den weltweiten Einsatz zu entwerfen. Nach meiner Promotion war ich in mehrere europäische Projekte (z. B. Nathcare, Sphera) als post-doc Forscher bei der INSA de Lyon, Frankreich, eingebunden, wo ich Krankenhausinformationssysteme in der Alpenregion Europas bewertete.
Meine Deutsch-Französische Dissertation (Universität Passau, Prof. Kosch, und INSA de Lyon, Prof. Brunie) schloss ich 09/2013 ab. Sie wurde im Rahmen des MDPS-Doktorandenkollegs durchgeführt, welches sich zum IRIXYS Innovation Center entwickelte. In der Doktorarbeit habe ich einen spieltheoretischen Ansatz entwickelt, um einen sicheren Betrieb von komplexen verteilten Systems zu gewährleisten. Der Ansatz ermöglicht die Analyse von strategischen Entscheidungen egoistischer Individuen.
![[screenshot]](/images/dc_inspector_1.png){kind=link}
![[screenshot]](/images/dc_inspector_2.png){kind=link}