Frédéric Klein

Kurze Beschreibung: Teilprojektleitung zur Modernisierung des Identity- und Access-Managements einer Online-Banking-Anwendung. Schwerpunkt war die Migration eines Mandanten von einer bestehenden SAML-basierten Integration (Shibboleth) hin zu einem SSO-Ansatz auf Basis der vorhandenen Keycloak-IAM-Architektur unter Erhalt der bestehenden Mandanten-Erweiterungen (zentrales User Management, TAN-Flow-Generatoren) und mit Fokus auf Begrenzung zusätzlicher Komplexität in der Core Domain.

Aufgaben und Tätigkeiten:

Analyse der bestehenden SAML-Integration der Spring-Boot-Anwendung via Shibboleth inkl. Authentifizierungs- und Session-Flows sowie Schnittstellen zur Online-Banking-Lösung.

Review der bestehenden Keycloak-IAM-Architektur inkl. kundenspezifischer Erweiterungen (zentrales User-Management, mandantenübergreifende TAN-Flow-Generatoren, Session-Management).

Neukonzeption einer Keycloak-Erweiterung in Form eines Custom Authenticators (Proxy-Pattern), der Authentifizierungsanfragen kontrolliert an die bestehende Online-Banking-Lösung weiterleitet mit dem Ziel, Kopplung zu reduzieren, zusätzliche Komplexität zu begrenzen und die Kapselung der fachlichen Core Domain nicht zu fragmentieren.

Technische und fachliche Steuerung des Entwicklungsteams (Priorisierung, Architekturentscheidungen, Qualitätssicherung, Abhängigkeiten/Impediments).

Regelmäßiges Reporting an das Steering Committee inkl. Status, Risiken, Entscheidungsbedarfen und Fortschritt zur Migration.

Erfolge:

Migrationsfähige Zielarchitektur für SSO definiert, die die bestehende Online-Banking-Core-Domain schützt (Proxy-Authenticator statt tiefgreifender Eingriffe in die Applikationslogik).

Konsolidierung und Wiederverwendbarkeit in der IAM-Landschaft unterstützt, indem bestehende Keycloak-Erweiterungen und Mandantenmechanismen berücksichtigt und kompatibel weiterentwickelt wurden.

Transparente Steuerung und Entscheidungsfähigkeit des Programms durch strukturiertes Stakeholder- und Steering-Committee-Reporting verbessert.

Eingesetzte Technologien:

Java.

Spring Boot.

Spring Security.

React.

Keycloak (inkl. Extensions, Session Management).

Shibboleth.

SAML (Bestandsintegration / Migration).

Eingesetzte Infrastruktur, Konzepte:

Tomcat.

Nginx.

Eingesetzte Methoden:

Scrum.

Identity & Access Management (IAM).

DevOps.

Standards & Patterns: OAuth 2.0 / OpenID Connect (typisch für SSO mit Keycloak), Token- und Session-Hardening, Back-Channel Logout.

Security Engineering: Threat Modeling, Security-by-Design, Audit-Logging/Tracing für Auth-Flows, OWASP ASVS-relevante Kontrollen.

Kurze Beschreibung: Architektur- und Performance-Beratung für interne Kunden der Group IT im Kontext bereitgestellter Private-Cloud-Services auf Basis OpenStack. Schwerpunkte waren der Aufbau eines IaaS-Serviceprodukts für den Cloud-Betrieb einer Endkunden-Software, die Diagnose und Behebung von Storage-/Disk-I/O-Performance-Problemen in virtualisierten OpenStack-Umgebungen sowie die Herstellung der Betriebsfähigkeit proprietärer Legacy-Appliances in OpenStack durch gezielte Hypervisor-/Image-Konfiguration.

Aufgaben und Tätigkeiten:

Beratung einer Business Unit beim Aufbau eines IaaS-Serviceprodukts auf Basis OpenStack, um Endkunden den Betrieb der Software Medistar in der Cloud zu ermöglichen (Service-/Architekturdesign, Betriebs- und Plattformanforderungen, technische Leitplanken).

Identifikation von Disk-I/O-Jitter in virtualisierten Gastbetriebssystemen eines OpenStack-Clusters; Erstellung strukturierter Analyse- und Benchmark-Reports auf Basis von fio, diskspd und Phoronix.

Enge Zusammenarbeit mit dem Infrastruktur-/Plattformteam bei Root-Cause-Analyse und Remediation (Hypothesenbildung, Messkonzept, Re-Tests, Ergebnisvalidierung).

Untersuchung des Impacts von I/O-Jitter auf Datenbank-Workloads (u. a. Oracle, PostgreSQL) inkl. Analyse von Oracle-spezifischen I/O-Mechanismen und Kalibrierungsverfahren.

Unterstützung bei der Inbetriebnahme proprietärer Legacy-Firewalls auf Linux-Basis in OpenStack durch Anpassung der VM-Bootumgebung sowie der libvirt-/SCSI-Schicht mittels Image Properties/Metadata (KVM-/Libvirt-Konfigurationsparameter).

Nutzung von IaC-Ansätzen zur wiederholbaren Provisionierung/Parametrisierung (Terraform) im Kontext der Private-Cloud-Services.

Erfolge:

Performance-Transparenz hergestellt und Entscheidungsgrundlagen geschaffen, indem I/O-Jitter reproduzierbar nachgewiesen, quantifiziert und in verwertbaren Benchmark-Reports dokumentiert wurde.

Betriebsfähigkeit geschäftskritischer Workloads in der Private Cloud verbessert (Datenbank-Workloads und Legacy-Appliances), indem technische Ursachen analysiert und zielgerichtete Konfigurationsmaßnahmen umgesetzt wurden.

Enablement einer Business Unit beim Aufbau eines marktnahen IaaS-Serviceprodukts auf OpenStack-Basis durch praxisnahe Architektur- und Plattformberatung.

Eingesetzte Technologien:

Terraform.

Ansible.

fio, diskspd, Phoronix, iostat, vmstat, sar (Benchmarking/Performance-Analyse).

PowerShell.

Eingesetzte Infrastruktur, Konzepte:

OpenStack: Nova, Cinder, Neutron, Glance, Heat.

KVM Hypervisor.

libvirt (SCSI-/Storage-Stack).

Cloudbase-Init (Windows Cloud-Init).

Betriebssysteme: Linux, Windows.

Datenbanken: Oracle, PostgreSQL.

Storage: Pure Storage.

Eingesetzte Methoden:

Cloud Shared Responsibility Model.

Performance-/Benchmark-getriebene Fehleranalyse (Messkonzept, Reproduzierbarkeit, Validierung).

Storage-/VM-Tuning: Virtio-SCSI, IO-Threading, Queue-Depth-Tuning, NUMA/CPU-Pinning.

Kurze Beschreibung: Leitende Full-Stack-Entwicklung und Softwarearchitektur für EjectX, ein KI-gestütztes Inspektionssystem zur Erkennung sicherheitsrelevanter Produktabweichungen im pharmazeutischen Umfeld. Fokus auf Modernisierung und Stabilisierung des Tech-Stacks, Schnittstellen zu Data-Science-Pipelines, Einführung eines API-Gateways und Standardisierung von Security/IAM sowie Automatisierung von AWS-Deployments und Aufbau von Observability in Kubernetes.

Aufgaben und Tätigkeiten:

Fachliche und technische Führung eines Entwicklungsteams (4 FTE) inkl. Architekturentscheidungen, Priorisierung und Qualitätssicherung.

Analyse bestehender Inspektionssysteme unter Berücksichtigung vorhandener Schnittstellen und Integrationsrestriktionen (System-/Interface-Assessment).

Abbau technischer Schulden sowie Migration veralteter Framework-Versionen zur Erhöhung von Wartbarkeit, Sicherheit und Delivery-Fähigkeit.

Entwicklung und Stabilisierung von Schnittstellen zu Data-Science-Pipelines (Integration von ML/AI-Komponenten in die Produktplattform).

Backend- und Frontend-Entwicklung entlang definierter User Stories unter Nutzung von Definition-of-Ready-/Definition-of-Done-Kriterien.

Einführung und Durchsetzung von Coding Guidelines mit Schwerpunkt Clean Code (Konsistenz, Testbarkeit, Review-Standards).

Einführung eines API-Gateways auf Basis OpenResty/OpenNginx inkl. Anbindung an Keycloak via OpenID Connect zur zentralisierten Authentifizierung/Autorisierung.

Ablösung manueller Infrastruktur-Provisionierung in AWS durch automatisiertes Application Deployment mittels GitHub Actions sowie Terraform und Ansible (Infrastructure-/Deployment-Automation).

Aufbau eines Monitorings-/Observability-Setups mit Prometheus/Grafana, Deployment im Kubernetes-Cluster inkl. operativer Baseline für Betrieb und Fehleranalyse.

Erfolge:

Delivery- und Betriebsreife des Systems erhöht durch konsequenten Abbau technischer Schulden und Framework-Migrationen (reduziertes Wartungsrisiko, modernisierte Basis).

Security- und Zugriffskonzepte vereinheitlicht durch Einführung eines zentralen API-Gateways mit OIDC-Integration an Keycloak (konsistente AuthN-/AuthZ-Schicht).

Reproduzierbare Deployments und bessere Skalierbarkeit etabliert durch IaC- und CI/CD-Automatisierung (Terraform/Ansible + GitHub Actions) sowie Kubernetes-basierte Betriebsplattform.

Transparenz im Betrieb verbessert durch Einführung von Prometheus/Grafana als Monitoring-Standard im Cluster.

Eingesetzte Technologien:

JavaScript, TypeScript.

Node.js, AdonisJS.

Vue.js.

Cypress (E2E-/Frontend-Tests).

Python, TensorFlow (Data-Science-/ML-Integration).

Nginx, OpenResty (API Gateway).

Terraform.

Eingesetzte Infrastruktur, Konzepte:

AWS.

Docker.

Kubernetes.

Ansible.

GitHub Actions (CI/CD).

IAM / Identity: Keycloak, OpenID Connect (OpenIDC).

Observability: Prometheus, Grafana.

Eingesetzte Methoden:

Scrum.

Clean Code (Coding Guidelines, Reviews, Qualitätsstandards).

Architektur- und Engineering-Practices: Domain-driven Schnittstellenschnitt (z. B. Bounded Contexts), API-Design (REST/Async), ADRs (Architecture Decision Records).

Kubernetes Ops: Helm/Kustomize, Ingress-Standards, Resource Limits/Requests, Horizontal Pod Autoscaling.

Kurze Beschreibung: Leitungsrolle im Engineering- und Consulting-Umfeld mit Prokura und Verantwortung für Aufbau, Skalierung und Steuerung einer Software-Delivery-Organisation. Schwerpunkt war der Aufbau von sieben Full-Stack-Teams (ca. 60 Entwickler und Business Analysten), die Umsetzung mehrerer paralleler Kundeninitiativen (Public Sector, Healthcare, Automotive) sowie die Etablierung von DevOps/IaC, Security-Verantwortung und der Aufbau einer Tech-Business-Inkubation mit Ausgründungen.

Aufgaben und Tätigkeiten:

Aufbau und Skalierung von sieben Full-Stack-Teams im Software Delivery (Headcount ca. 60) inkl. Recruiting, Teamzuschnitt, Delivery-Strukturen, Coaching/Mentoring sowie Architektur- und Technologie-Governance.

Rolle als Lead Software-/DevOps-Architekt und Entwickler in kritischen Vorhaben; Enablement der Teams durch Standards, Reviews, Best Practices und technisches Coaching.

Funktion als Sicherheitsbevollmächtigter (SiBe): Aufbau eines Full-Stack-Teams bei einer oberen Bundesbehörde (14 Mannjahre) inkl. Rahmenbedingungen aus Sicherheitsüberprüfung (SÜG § 10) und einschlägigen Vorgaben (BVerfSchG § 3 Abs. 2).

Aufbau eines Machine-Learning-Teams für Healthcare-Kunden (10 Mannjahre) mit Schwerpunkten Object Detection, Pose Estimation und Natural Language Processing; fachliche und organisatorische Steuerung.

Aufbau einer Tech Business Incubator-Einheit inkl. Konzeption, Teamaufbau, Delivery und erfolgreicher Ausgründung/Kapitalisierung von zwei Startups im Healthcare-Umfeld (KI-gestützte Echtzeitanalyse operativer Eingriffe, ubiquitäre Patientenüberwachung).

Aufbau eines DevOps-Teams (10 Mannjahre) und Evangelisierung/Einführung von Infrastructure as Code (Standardisierung, Automatisierung, Delivery-Beschleunigung).

Aufbau eines Infrastrukturteams (2 Mannjahre) für On-Prem-/Hybrid-Plattformthemen (u. a. VMware ESX, Proxmox, Unifi, Active Directory, Keycloak) inkl. Betriebs- und Integrationsaspekten.

End-to-End-Einführung eines ERP-Systems Odoo bei einem Automotive-Kunden (10 Mannjahre) inkl. Organisations-/Prozessberatung, Integration und Delivery-Steuerung.

Migration einer Bestandsverwaltungssoftware für Versicherungspolicen (30 Mannjahre) inkl. Programmsteuerung, Modernisierungsschwerpunkten und Übergangs-/Parallelbetriebsaspekten.

Erfolge:

Skalierbare Delivery-Organisation aufgebaut (7 Teams, ~60 FTE) und damit parallele, mehrdomänige Kundenprogramme lieferfähig gemacht.

DevOps- und IaC-Fähigkeiten etabliert und in der Delivery verankert (höhere Wiederholbarkeit, geringere Betriebs-/Deploy-Risiken).

Innovation/Business-Building operationalisiert: Inkubator-Einheit aufgebaut und zwei Ausgründungen bis zur Kapitalisierung begleitet.

Public-Sector-Fähigkeit gestärkt durch Aufbau eines Teams unter hohen Sicherheitsanforderungen inkl. formaler Sicherheitsfreigaben.

Eingesetzte Technologien:

Java, Spring Boot.

Python.

Node.js.

ECMAScript/TypeScript, HTML5, CSS, Sass/Less.

Angular.

TensorFlow, YOLO (ML/CV).

Maven, Gradle.

Terraform, Vagrant.

OpenID (u. a. OIDC-Kontext), OpenAPI.

Eingesetzte Infrastruktur, Konzepte:

Jira, Confluence.

GitLab, Bitbucket.

CI/CD & Plattform: Jenkins, OpenShift, Kubernetes, Docker, Rancher.

Cloud/Compute: AWS EC2.

IAM: Keycloak, Active Directory.

Daten/Storage: InfluxDB, MongoDB, PostgreSQL.

Computer Vision: OpenCV.

Schnittstellen: REST.

Eingesetzte Methoden:

Scrum.

Engineering Leadership: OKR-/Zielsysteme, Capability-/Skill-Matrix, Communities of Practice, Architektur-Governance durch Architecture Review Boards.

Delivery Excellence: SDLC-Standards, Definition-of-Ready/Done, Quality Gates, Testing-Strategien (E2E/Contract/Perf).

Security & Compliance: Secure SDLC, Threat Modeling, IAM-Hardening, Audit-/Logging-Standards (insb. Public Sector).

DevOps Practices: GitOps, IaC-Modulstandards, Plattform-Self-Service, Observability-Standards (Metrics/Logs/Traces).

Kurze Beschreibung: VP Operations in einem Startup zur Entwicklung einer digitalen Schnittstelle für ein taktisches COFDM-Modem mit sehr kleinem ROM-Footprint (max. 50 KB). Verantwortet wurden Business- und Finanzierungsaktivitäten (Business Plan, Investorengewinnung, Finanzierungsrunden) sowie die prototypische Hardware-/Signalpfad-Konzeption (ADC-Kaskade, Dynamik-/Noise-Optimierung), Feldtest-Tooling (GPS-gestützte Vermessung) und die Full-Stack-Entwicklung eines Webinterfaces inklusive bare-metal Embedded Backend (minimaler IP-/TCP-Stack und Webserver ohne RTOS auf SmartFusion2/ARM Cortex).

Aufgaben und Tätigkeiten:

Erstellung des Business Plans inkl. Ableitung von Produkt-/Marktannahmen, Kosten-/Finanzplanung und Investorenstory.

Akquisition von Investorenkapital sowie Koordination und Steuerung von Finanzierungsrunden (Pipeline, Unterlagen, Stakeholder-Management).

Prototypische Konzeption der Empfangseinheit bzw. ADC-Kaskade inkl. Optimierung von Dynamikbereichen und Noise-Schwellen (Signalqualität, Robustheit in Feldbedingungen).

Entwicklung eines GPS-gestützten Vermessungswerkzeugs zur Erfassung von Sende-/Empfangswerten in Pilotfrequenzen; Durchführung/Begleitung von Feldversuchen mit Pilotkunden und Aufbereitung der Messergebnisse.

Full-Stack-Entwicklung eines Webinterfaces bei strikten Ressourcenrestriktionen (ROM-Footprint) mit Frontend (jQuery/HTML/CSS/SASS; punktuell Vue.js/Angular) und Backend als minimaler TCP/IP-Stack plus Webserver.

Implementierung zentraler Embedded-Komponenten bare metal ohne RTOS auf SmartFusion2 (ARM Cortex IP Core) mit dem Ziel maximaler Kontrolle über Ressourcenverbrauch und deterministisches Laufzeitverhalten.

Technische Abstimmung von Mess- und Testaufbauten (z. B. Spektrumanalysator/Netzwerkanalysator) zur Validierung von RF- und Empfangseigenschaften.

Erfolge:

Prototypische End-to-End-Lösung (Embedded Backend + Web-UI + Feldtest-Tooling) realisiert, die Entwicklung, Demonstration und Pilotierung beim Kunden ermöglichte.

Betrieb unter extremen Ressourcenrestriktionen ermöglicht (ROM-Footprint-Optimierung) durch minimalistische Protokoll-/Webserver-Implementierung und strikt schlanke UI-Architektur.

Mess- und Feldtestfähigkeit verbessert durch GPS-gestütztes Vermessungswerkzeug und strukturierte Datenerhebung in Pilotfrequenzen.

Finanzierungsvorbereitung und Investorengespräche professionalisiert durch Business Plan und koordinierte Finanzierungsrunden.

Eingesetzte Technologien:

C (Embedded, bare metal).

JavaScript.

HTML5, CSS3, SASS.

jQuery.

Vue.js, AngularJS/Angular (2).

Eingesetzte Infrastruktur, Konzepte:

SmartFusion2 (SoC/FPGA-Umfeld), ARM Cortex (IP Core).

Jira.

Leaflet (Karten-/GPS-Visualisierung im Vermessungstool).

RF-/Mess-Equipment: R&S Spectrum Analyzer, Network Analyzer.

Receiver Circuit Design & Noise Optimization (Hardware-/RF-Designaktivitäten).

ADC Dynamic Range Optimization (Signalpfad-Optimierung).

Eingesetzte Methoden:

Scrum.

Embedded Engineering Practices: Linker-Script-/Memory-Layout-Optimierung, Static Analysis, Unit-Tests auf Target, deterministische Timing-Analysen.

Networking/Protocols: lwIP-ähnliche Minimalstacks, HTTP/1.1-Minimalprofile, sichere Update-Mechanismen (Bootloader/OTA).

RF/Field Testing: standardisierte Messprotokolle, automatisierte Reportgenerierung, Heatmaps/Geo-Fencing für Coverage-Analysen.

Kurze Beschreibung: Gründung und Aufbau von Panaccess als Conditional-Access-Plattform für digitale Videodienste. Verantwortungsumfang umfasste strategisches Business Development und globale Partnerschaften, Aufbau von Vertriebskanälen in LATAM/EMEA, Seed-Finanzierung (2 Mio. EUR) sowie Projektleitung in der Entwicklung sicherheitskritischer Hardware- und Embedded-Komponenten (FPGA/Embedded) für PCMCIA-basierte Conditional Access Modules (CAM) im Umfeld integrierter Empfangsdecoder (IRD) und Multiplex-/Modulator-Infrastruktur (QAM/QPSK).

Aufgaben und Tätigkeiten:

Strategisches Business Development mit Aufbau weltweiter Partnerschaften mit etablierten Industrieanbietern (Partnerstrategie, Go-to-Market, Vertrags-/Kooperationsanbahnung).

Aufbau und Skalierung von Vertriebskanälen in LATAM und EMEA (Channel-Strategie, Pipeline-Aufbau, Partner-Enablement).

Akquisition von Investorenkapital und Durchführung der Seed-Finanzierung in Höhe von 2 Mio. EUR (Investor Relations, Fundraising-Prozess, Kapitalisierungskoordination).

Projektleitung bei der Entwicklung von Security-Hardware auf Basis FPGA und eingebetteter Systeme für PCMCIA-gestützte Conditional-Access-Module (CAM).

Steuerung von Entwicklung und Integration im Einsatzkontext von IRDs (Integrated Receiver Decoders) sowie Multiplex-/Modulator-Systemen für QAM und QPSK (Schnittstellen, Systemtests, Integration in Headend-Umgebungen).

Umsetzung/Koordination von technischen Komponenten rund um DVB-spezifische Signal-/Metadatenverarbeitung (z. B. Multiplexing/Remultiplexing) und Scrambling-/Entschlüsselungsketten.

Erfolge:

Seed-Finanzierung in Höhe von 2 Mio. EUR realisiert und damit Wachstum und Produktentwicklung des Startups ermöglicht.

Internationale Markterschließung unterstützt durch Aufbau von Vertriebskanälen in LATAM und EMEA sowie durch strategische Industriepartnerschaften.

Technische Produktfähigkeit im sicherheitskritischen Broadcast-Umfeld etabliert durch Entwicklung und Integration von FPGA-/Embedded-Security-Hardware für CAM-/IRD-/Headend-Ökosysteme.

Eingesetzte Technologien:

C / C++ (Embedded/Systems).

Perl (Scripting/Tooling).

HTML5, CSS3.

JavaScript, jQuery.

PHP5.

DVB Multiplex, NIT Remultiplex.

Common Scrambling Algorithm (CSA2, CSA3).

FPGA.

Eingesetzte Infrastruktur, Konzepte:

Jenkins (Build/Automation).

PostgreSQL.

Eingesetzte Methoden:

Scrum.

Secure Engineering: Key-Management-/KMS-Konzepte, Secure Boot/Hardware Root of Trust, Penetration-Testing im Embedded-Kontext.

Broadcast/Headend: DVB-C-/S-/S2-Umfelder, CAS-/DRM-Prozesse, Monitoring von Entitlement-/ECM-/EMM-Flows.

Produkt & Go-to-Market: Channel-Partner-Programme, Pricing/Packaging für B2B-Plattformen, Partner-Zertifizierung/Enablement.