Valeri Milke

DORA Readiness – Gap-Analyse und Implementierung für Banken

Bonn, Deutschland

Erfahrungen

Nov. 2024 - Bis heute
9 Monaten

DORA Readiness – Gap-Analyse und Implementierung für Banken

Forvis Mazars

  • DORA-Gap-Analysen: Durchführung umfassender Bestandsaufnahmen und Identifizierung von Abweichungen zu den DORA-Vorgaben in den Bereichen.
  • Ableitung von Maßnahmenplänen: Entwicklung detaillierter Roadmaps und Priorisierung sicherheitsrelevanter Tasks unter Berücksichtigung betrieblicher Ressourcen.
  • Umsetzungsbegleitung: Unterstützung bei der Einführung neuer Prozesse und Technologien, regelmäßige Fortschrittskontrollen und Qualitätssicherung.
  • Allgemeine Anforderungen (Governance, organisatorische Grundlagen).
  • ICT-Risikomanagement.
  • ICT-bezogenes Incident Management, Klassifizierung und Reporting.
  • Digital Operational Resilience Testing.
  • Management von ICT-Drittparteirisiken.
  • Informationsaustausch (z. B. zu Bedrohungslagen).
  • Meldeprozesse zuständiger Behörden und Aufsicht (Bafin).
  • Dokumentenreview: Prüfung und Optimierung bestehender Richtlinien, Verfahren und Dokumentationen, um die Vorgaben der DORA und relevanter Normen (z. B. ISO 27001) zu erfüllen.
  • Erstellung von Richtlinien und Verfahren: Entwicklung neuer Richtlinien für Risikomanagement, Incident Response, Third-Party-Sicherheit u. a. unter Einbeziehung unternehmensinterner Stakeholder.
  • Koordination mit Fachabteilungen: Enge Zusammenarbeit mit IT, Compliance, Legal und Management, um unternehmensweite Akzeptanz und nachhaltige Implementierung zu gewährleisten.
Juli 2024 - Jan. 2025
7 Monaten

Externer Experte für IT-Sicherheit und Konformität

Pfalzwerke AG

  • Einführung eines Managementsystems für die Informationssicherheit (ISMS) auf der Grundlage von ISO 27001, das ein systematisches Risikomanagement und den Datenschutz in der gesamten Organisation gewährleistet.
  • Bereitschaft zur NIS2-Einhaltung: Gewährleistung der Einhaltung der Richtlinie zur Netz- und Informationssicherheit (NIS2) durch strukturierte Bewertungen und Sicherheitskontrollen.
  • Durchführung umfassender Gap-Analysen zur Ermittlung von Bereichen, in denen ISO 27001 und NIS2 nicht eingehalten werden, mit Schwerpunkt auf dem Schutz kritischer Infrastrukturen.
  • Ausarbeitung und Durchführung eines detaillierten Aktionsplans zur Behebung der festgestellten Lücken, einschließlich der Festlegung von Prioritäten für Sicherheitsmaßnahmen und der Zuweisung von Ressourcen.
  • Entwicklung von Richtlinien und Verfahren: Erstellung der wichtigsten Sicherheitsrichtlinien, einschließlich Vorfallmanagement, Risikobewertung, Datenschutz und Sicherheit von Dritten, abgestimmt auf die Anforderungen von ISO 27001 und NIS2.
  • Leitung von Umsetzungsprojekten zur Verbesserung der organisatorischen Sicherheit, Beaufsichtigung von abteilungsübergreifenden Teams und Gewährleistung der fristgerechten Durchführung von Sicherheitsinitiativen.
  • Herstellung der NIS2-Readiness: Sicherstellen, dass alle operativen, technischen und Governance-Maßnahmen vorhanden sind, um die NIS2-Anforderungen zu erfüllen, einschließlich Meldepflichten, Risikobewertungen und Strategien zur Reaktion auf Vorfälle.
März 2024 - Juni 2024
4 Monaten

Extern - Freelancer

Deloitte

  • Implementierung von Data Loss Prevention.
  • Verwaltung und Unterstützung des Einsatzes von Microsoft Purview Data Loss Prevention (DLP) auf der Grundlage der BAIT (Bankaufsichtliche Anforderungen an die IT) und DORA (Digital Operational Resilience Act) Standards.
  • Entwicklung von DLP-Richtlinien in Übereinstimmung mit BAIT und DORA, mit Schwerpunkt auf dem Schutz sensibler Finanz- und Kundendaten.
  • Cloud-Sicherheit: Integration von Microsoft 365- und Azure-Umgebungen mittels MS Purview zur Einhaltung von BAIT und DORA, Gewährleistung einer sicheren Datenverarbeitung und -überwachung in Cloud-Diensten.
  • Implementierung von Endpunkt-DLP zur Kontrolle und Verhinderung von Datenverlusten über nicht autorisierte Kanäle, einschließlich Geräte, Speicher und Anwendungen von Drittanbietern.
  • Erstellung und Durchführung einer DLP-Bewusstseinskampagne, die die Mitarbeiter über die gesetzlichen Anforderungen (BAIT und DORA), den sicheren Umgang mit Daten und die besten Praktiken für den Datenschutz aufklärt.
  • Einrichtung von Datenschutzkontrollen für E-Mail, gemeinsame Nutzung von Dokumenten und Tools für die Zusammenarbeit, um die Einhaltung der IT-Sicherheitsanforderungen der BAIT und der DORA-Standards für die Ausfallsicherheit zu gewährleisten.
  • Kontinuierliche Überwachung und Reaktion auf DLP-Vorfälle, Gewährleistung der Konformität und der betrieblichen Ausfallsicherheit gemäß DORA.
Apr. 2023 - Bis heute
2 Jahren 4 Monaten

Extern - Freelancer

TÜV Rheinland Gruppe

  • Sicherheitsberatung.
  • Verwaltung und Unterstützung des TISAX-Zertifizierungsprozesses.
  • Implementierung Bug Bounty Programm.
  • Cloud-Sicherheit: Implementierung von CSPM/CNAPP und Container-Sicherheitslösungen (Wiz, Aqua & TrendMicro).
  • Aufbau eines Lieferantenmanagements: Integration in den Einkauf, Erstellung von Sicherheitsanforderungen: SaaS-Lösungen, Hosting und Betrieb, Software und Hardware. Vertragsanhänge mit Sicherheitsverpflichtung.
  • Unterstützung von Pentest-Planungen einschließlich Red Teaming und Tiber-Tests.
  • Erstellung verschiedener ISMS-Richtlinien wie Lieferantenmanagement, Schwachstellen- und Patch-Management, Cloud-Sicherheit gemäß ISO 27001:2022.
Okt. 2022 - Bis heute
2 Jahren 10 Monaten

ISO 27001, TISAX und §8a KRITIS Auditor

Dekra

  • Zertifizierungsaudits ISMS nach ISO 27001 und TISAX.
  • §8a Audits für KRITIS: Krankenhäuser, Pharma, Energiesektor.
  • Tätigkeit als Lead- und Co-Auditor.
Jan. 2021 - Dez. 2023
2 Jahren

CISO der Gruppe (Externer Freiberufler)

Berner Gruppe

  • Chief Information Security Officer Berner Group für 42 Tochtergesellschaften.
  • Verwaltung des internen 15P-Sicherheitsteams sowie der Partner, MSPs und Freiberufler.
  • ISMS Programm-Management: Implementierung ISMS für die Berner Group nach ISO 27001, NIS2, DORA, TISAX und BSI IT-Grundschutz mit ISMS Tool Intervalid.
  • Zertifizierungsbegleitung TISAX nach VDA ISA 6.0 und Zertifizierung nach für mehrere EU-Standorte.
  • Management und Evaluierung Ausschreibung für Data Loss Prevention (DLP), SIEM+SOC, EDR, Vulnerability Management ISMS, Penetration Testing und Security Awareness Plattform inkl. Phishing Kampagnen (SoSafe, KnowBe4, Proofpoint).
  • Lieferantenmanagement: Erstellung Richtlinien und Prozessen zum Third-Party Risk Management von Fragebögen, Risikobewertungen, Aufnahme von Sicherheitsanforderungen in Verträge.
  • Überwachung der IT-Sicherheitsanforderungen aus Sicht der Gesetze und Vorschriften.
  • Lenkung und KPIs.
  • Implementierung & Betrieb SIEM/SOAR + SOC, EDR, NDR und Schwachstellenmanagement.
  • Implementierung einer Zero-Trust-Architektur.
  • Schwachstellen-Scanning und Patch-Management.
  • Sensibilisierung für Sicherheit: Implementierung eines toolbasierten Awareness-Programms mit SoSafe inkl. Phishing-Kampagnen.
  • Penetrationstests: Koordination, Anforderungen, Analyse, Empfehlungen von Pentests für die gesamte Anwendungs- und Infrastrukturlandschaft.
  • Cloud-Sicherheit: Posture Management, Risikobewertung, Bedrohungsmodellierung mit STRIDE, Sicherheitsbewertung, Härtung der Azure-Infrastruktur während eines Migrationsprojekts von OnPrem-Infrastruktur zu Azure.
  • Sicherheit in der Lieferantenbeziehung: Anforderungen an die Informationssicherheit bei Lieferanten, Hosting, Software und Hardware sowie beim Outsourcing von Softwareentwicklung.
  • Sichere Webanwendungen, Apps, IoT, Infrastruktur, Cloud, WAF & DDoS-Schutz.
  • Vermögensverwaltung: Konzept und Implementierung der CMDB in ServiceNow.
  • Unterstützung bei der Implementierung der Whistleblower Software nach HinSchG) inkl. Policy und Prozess.
Jan. 2020 - Jan. 2025
5 Jahren 1 Monate

Associate Partner - Information Security Consulting

Insentis GmbH

  • Verbesserung des Informationssicherheits-Managementsystems (ISMS) auf Basis der ISO 27001, NIS2. DORA, B3S, TISAX und BSI IT-Grundschutz.
  • Durchführung umfassender Gap-Analysen zur Ermittlung von Gaps und Ableitung von Maßnahmenplänen nach oben genannten Standard und Regularien), Steuerung und KPIs.
  • Schwachstellen- und Patch-Management, Sicherheitsmonitoring.
  • Risikoanalyse & Bedrohungsmodellierung mittels Threat Modeling nach STRIDE.
  • Third-Party- und Supply-Chain-Risk-Management: Entwicklung von Vendor-Risikobewertungen, Implementierung von Risikoklassifizierungen, Durchführung von Lieferanten-Assessments und Implementierung technischer Monitoring-Lösungen (z. B. Security ScoreCard).
  • Cloud-Sicherheit: Absicherung von Cloud-Umgebungen, insbesondere AWS und Azure. Expertise in CSPM/CNAPP (Wiz), Cloud-Migration, sicheren CI/CD-Pipelines, Container-Sicherheit und Best Practices in AWS-, Azure- und Office 365-Umgebungen.
  • Anwendungssicherheit: Penetrationstests, DevSecOps, OWASP, Pre-Commit Hooks, Verwaltung von Schlüsseln & Secrets, IDE-Plugins, statische Quellcodeanalyse, Dependency-Checks, Container-Scanning, Schwachstellenmanagement, CIS-Benchmarks & Compliance.
  • Cloud-Sicherheit: Sicherheitsbewertung und -Härtung gemäß CIS-Benchmarks und Cloud Conformity in AWS, Office 365 und Azure.
Jan. 2020 - Dez. 2021
2 Jahren
Luxemburg

Leiter der IT-Sicherheit (Freelancer)

Encevo-Gruppe

  • Verbesserung des Informationssicherheitsmanagementsystems (ISMS) im Hinblick auf B3S: Branchenspezifische Sicherheitsstandards.
  • Cloud-Sicherheit: Risikobewertung, Bedrohungsmodellierung mit STRIDE, Sicherheitsbewertung, Härtung der AWS-Infrastruktur während eines Migrationsprojekts von OnPrem-Infrastruktur zu AWS.
  • GDPR-Programmmanagement (EU-DSGVO), Steuerung und KPIs.
  • Einführung eines Lebenszyklusmanagements für die Produktsicherheit gemäß IEC 62443.
  • Schwachstellen-Scanning und Patch-Management.
  • Konzept, RfP & Implementierung einer Data Loss Prevention (DLP) Lösung.
  • Anforderungen an die Informationssicherheit für Lieferanten und Produkte und Hosting.
  • Anwendungssicherheit: SAST, DAST, IAST, DevSecOps, OWASP, CWE, Pre-commit Hooks, Keys & Secrets Management, IDE-Plugins, Statische Source Code Analyse, Dependency-Checks, Container-Scanning, Vulnerability Management, CIS-Benchmarks & Compliance.
  • Cloud-Sicherheit: Sicherheitsunterstützung im AWS-Cloud-Migrationsprojekt.
  • Implementierung & Betrieb SIEM/SOAR + SOC, EDR, NDR.
Feb. 2016 - Dez. 2020
3 Jahren 11 Monaten

Leitender Berater für Informationssicherheit - Teamleiter, Key Account Manager

@-yet GmbH

  • Teamgröße: >15.
  • Informationssicherheitsmanagementsystem (ISMS) und Governance.
  • Interim-CISO in einem KRITIS-Unternehmen.
  • Interne Revision nach BAIT und Unterstützung der externen BAIT Revision.
  • PMO mehrere Sicherheitsprojekte.
  • Risikoanalyse und Bedrohungsmodellierung mit STRIDE.
  • Reaktion auf Zwischenfälle und Forensik.
  • DevSecOps: Pre-commit Hooks, Keys & Secrets Management, IDE-Plugins, Statische Quellcode-Analyse, Dependency-Checks, Container-Scanning, Vulnerability Management & Scanning, Security Monitoring, CIS-Benchmarks & Compliance.
  • Penetrationstests, Anwendungssicherheit, OWASP, CWE, ISO 27034, Sicherheit mobiler Geräte.
  • Cloud-Sicherheit: Cloud-Migrationsprojekte, AWS, Azure, Office365, Google Cloud Platform.
  • Sensibilisierung für Sicherheit: Schulung und Simulation von Phishing und Angriffen.
  • Implementierung einer Lösung zur Verhinderung von Datenverlusten (DLP).
Jan. 2009 - Jan. 2016
6 Jahren 1 Monate

Senior IT-Security Consultant

softScheck GmbH

  • Teamleiter 6P, öffentliches Reden.
  • Key Account Management, Kundenakquise.
  • Threat Modeling der BSI TR-03109 für SMGW nach STRIDE für das BSI.
  • Anwendungssicherheit und Schwachstellenmanagement.
  • SSDLC, Lebenszyklus der Sicherheitsentwicklung, ISO 27034.
  • Penetrationstests und Fuzzing.
  • Statische Quellcode-Analyse.
  • Sicherheit von Webanwendungen, OWASP, JavaEE.
  • Mobile Sicherheit, iOS, Android, MSTG, MASVS, Backend.
  • Bedrohungsmodellierung, Sicherheitsarchitektur und Infrastruktur.
  • Härtung der Produktionsimplementierung, Sicherheitsanforderungen.
Jan. 2009 - Dez. 2009
1 Jahr

Wissenschaftlicher Mitarbeiter

Hochschule BRS

  • BMBF-Forschungsprojekt SoftSCheck.
  • Modellierung von Bedrohungen.
  • Penetrationstests.
  • Dynamische Analyse und Fuzzing.
  • Bewertung von Sicherheitstools.
Jan. 2008 - Dez. 2009
2 Jahren
Bonn, Deutschland

Werkstudent

Hubwoo

  • SAP-basierte Beschaffungslösungen.
  • Penetrationstests.
  • Modellierung von Bedrohungen.
  • Technische Sicherheitsbeurteilungen.
  • Projektleitung.
  • Level 2 Kundenbetreuung.
Juni 2007 - Sept. 2008
1 Jahr 4 Monaten
Sankt Augustin, Deutschland

Praktikum

Fraunhofer IAIS

  • Rahmen für autonome Unterwasserfahrzeuge.
  • Wire-Frame-Modeling.
  • KI & Physik-Engines.
  • Bewertung der Sicherheit.

Bedrohungsanalyse JavaEE-basierte Webanwendung

  • Bedrohungsanalyse einer JavaEE-basierten Webanwendung für den globalen Einsatz und verschiedene Einsatzszenarien. Es wurde eine Kombination aus der STRIDE-Methodik verwendet. Erstellung von technischen und prozessorientierten Maßnahmen zur Risiko-/Bedrohungsabwehr nach dem Defense-in-Depth-Prinzip.

Bedrohungsanalyse globale Wartungsplattform für Maschinen

  • Bedrohungsmodellierung gemäß STRIDE, einschließlich Bedrohungsbewertung, Maßnahmen zur Risikominderung und Priorisierung je nach Risiko und Aufwand zur Risikominderung.

Bedrohungsmodellierung Smart Meter Gateway

  • Im Rahmen eines Projekts für das BSI wurde das Referenzdesign eines Smart-Meter-Gateways einer Bedrohungsanalyse mittels Threat Modeling unterzogen und die Sicherheitsarchitektur mit weiteren Sicherheitsmaßnahmen angereichert. Bedrohungsszenarien waren Local Metrological Network (LMN), Home Area Network (HAN) und Wide Area Network (WAN).

Bedrohungsmodellierung für verteilte Anwendungen: Agend - Broker Architektur

  • Überprüfung und Weiterentwicklung der Architektur einer verteilten Anwendung für den Fernsupport. >300.000 Client-Geräte.

Beratung zum Security Development Lifecycle (SDL)

  • Beratung zu Sicherheitsentwicklungsprozessen, einschließlich Bedrohungsanalyse, Architekturüberprüfung, Codeüberprüfung, Pentests, Deployment Hardening.

Bewertung der DLP-Technologie

  • Für ein mittelständisches Unternehmen hat er eine gründliche Bewertung verschiedener DLP-Lösungen, darunter Forcepoint und Symantec, durchgeführt.

Bewertung von Methoden zur Generierung von UUIDs für das Gesundheitswesen

  • Durchführung einer Eignungsprüfung und Evaluierung für verschiedene Möglichkeiten zur Erzeugung von UUIDs. Das Ziel ist die Eindeutigkeit von Dokumenten im Gesundheitswesen. Die Bewertung erfolgte auf der Grundlage kryptographischer und mathematischer Instrumente wie der Laplace-Formel.

Blackbox App Security Assessment (iOS und Android)

  • Sicherheitsbewertung einer Banking-App für iOS und Android einschließlich aller interagierenden Backend-Systeme.

Blackbox Offsite-Pentest & Spearphishing

  • Durchführung eines simulierten Spearphishing-Angriffs als Awareness- & Hardening-Maßnahme. Durchführung eines umfangreichen Black Box Offsite Pentest.

Cloud-Forensik: Azure & Office365

  • Analyse eines laufenden Sicherheitsvorfalls, bei dem sich ein Angreifer Zugang zu privilegierten Azure-Konten verschafft. Office 356 wurde auch verwendet, um interne Phishing-E-Mails zu versenden und Betrugsversuche durch CEOs zu starten. Auswertung von Azure-Protokollen, Cloud-App-Sicherheitsprotokollen, Konfiguration von Alarmierungsregeln. Auswertung von internen Überwachungssystemen wie SIEM, Graylog, Firewalls, Cylance, Proofpoint TAP, Onsite Domain Security Check mit Voyeur.

Code-Review Bankensoftware

  • Durchführung eines manuellen und automatisierten Code-Reviews für eine Bankensoftware mit Appscan Source. Programmiersprachen: Java, Perl, PHP, JS und verschiedene Deployment- und Build-Plattformen wie Vagrant, Maven, Gradle.

DLP-Optimierung und -Feinabstimmung

  • Hat die bestehende DLP-Infrastruktur eines Technologieunternehmens optimiert, um Fehlalarme zu minimieren und die Effizienz der Datenschutzkontrollen zu maximieren.

Entwicklung des Sicherheitskonzepts iOS-App inkl. Backend und MDM-Integration

  • Entwicklung eines Sicherheitskonzeptes für den Einsatz einer iOS-App im Rahmen eines Roll-Outs inklusive der zugehörigen Backend-Systeme und Integration in die Mobile Device Management Lösung AirWatch.

Entwicklung eines Sicherheitskonzeptes für den Einsatz einer iOS-App mit MDM-Integration und Backend-API

  • Entwicklung eines Sicherheitskonzepts für eine konzerninterne iOS-App mit MDM-Integration (Airwatch) einer zugehörigen Backend-Web-API und Administrations-Webanwendung. Das Sicherheitskonzept definierte MUSS-Anforderungen, die zum Going-Live umgesetzt werden mussten und weitere priorisierte KANN-Anforderungen, die zu einer späteren Erhöhung des Sicherheitsniveaus beitrugen. Im Rahmen der Entwicklung des Sicherheitskonzepts wurde eine Sicherheitsbewertung der iOS-App, des zugehörigen Backends (REST-API) und der Administrations-Webanwendung sowie eine ganzheitliche Bedrohungsanalyse mit Hilfe des Threat Modeling nach der STRIDE-Methodik durchgeführt.
Hybrid

Entwicklung eines Sicherheitskonzeptes für die Migration in die Microsoft Cloud (Azure + Office365)

  • Beratung bei der Migration der internen IT-Infrastruktur in die Microsoft Cloud (Azure + Office 365) als Teil einer hybriden Architektur. Erstellung eines Sicherheitskonzeptes und Härtung nach Microsoft Best Practices und CIS Benchmarks. Anschließende Durchführung einer Konformitätsprüfung für die korrekte Umsetzung der Maßnahmen aus dem Sicherheitskonzept.

Entwurf einer individuellen DLP-Strategie

  • HAT eine maßgeschneiderte DLP-Strategie für ein Unternehmen des Gesundheitswesens entwickelt, um den Schutz von Patientendaten zu gewährleisten und gleichzeitig einen nahtlosen Datenaustausch innerhalb des Unternehmens zu ermöglichen.

Erstellung Business Continuity Management System KRITIS Unternehmen: B3S Pharma

  • Implementierung eines KRITIS-konformen BCMS inklusive Desaster Recovery nach ISO 22301 auf Basis des BSI IT-Grundschutzes für ein Pharmaunternehmen (B3S: Branchenspezifische Sicherheitsstandards Pharma). Durchführung einer Ist-Aufnahme und GAP-Analyse. Management von Programmen zur Herstellung der Konformität nach ISO 22301 und B3S Pharma.

Erstellung eines Sicherheitsleitfadens für sichere Webentwicklung nach OWASP, CWE/SANS und BSI

  • Erstellung eines Sicherheitsleitfadens für sichere Webentwicklung nach OWASP, CWE/SANS und BSI für die Eigenentwicklung und insbesondere für das Outsourcing von Entwicklungsprojekten.
Remote

Forensische Analyse eines Sicherheitsvorfalls: Kryptojacking

  • Analyse eines laufenden Sicherheitsvorfalls, bei dem sich Angreifer über Remote-Support-Lösungen Zugang zum Netzwerk verschafften, sich im Netzwerk ausbreiteten und ca. 10.000 Systeme mit Schadcode infizierten, der die Systeme zum Mining von Kryptowährungen nutzte. Im Rahmen der Analysen wurden der Einfallspfad und der Ablauf der Ereignisse ermittelt, infizierte Systeme bestimmt und Maßnahmen zur Bereinigung bzw. Absicherung weiterer Bereiche definiert.

Fuzzing einer Mensch-Maschine-Schnittstelle (HMI)

  • Fuzzing eines HMIs über die Protokolle snmp, DNP3 und PROFINET.

Fuzzing einer Siemens Simatic S7 SPS

  • Fuzzing einer Siemens SIMATIC S7 SPS über die snmp Schnittstelle und Entwicklung eines Metasploit Fuzzing Moduls und eines Exploid Moduls als PoC für eine identifizierte Schwachstelle.

Gerichtsverfahren Forensik: Windows- und Android-Client

  • Aufgrund eines Verdachts auf illegale Aktivitäten auf einem Arbeitsplatzrechner und einem Android-Smartphone eines Betriebsratsmitglieds sollten diese Endgeräte auf verdächtige und illegale Aktivitäten untersucht werden. Die Ergebnisse der Analyse wurden dann in einem Gerichtsverfahren verwendet.

Härtung einer Cloud-basierten IT-Infrastruktur bei Microsoft Azure

  • Sicherheitsbeurteilung einer Cloud-basierten IT-Infrastruktur mit Azure AD, Dynamics, Office 365, eigenen virtuellen Netzwerken und Servern. Prüfung von Rechte- & Rollenkonzept, Authentifizierungsverfahren (MFA - Multi-Faktor-Authentifizierung), Session Management, SIEM, Monitoring und Alerting.

ISMS GAP-Analyse nach ISO 27001

  • Durchführung einer GAP-Analyse nach ISO 27001, Ableitung von Quick Wins und Maßnahmen zur Herstellung der Konformität nach ISO 27001.

Implementierung eines KRITIS-konformen ISMS nach ISO 27001 auf Basis des BSI IT-Grundschutzes

  • Implementierung eines KRITIS-konformen ISMS nach ISO 27001 auf Basis des BSI IT-Grundschutzes für ein Energieunternehmen (B3S: Branchenspezifische Sicherheitsstandards Energie). Durchführung einer Ist-Aufnahme und GAP-Analyse. Management von Programmen zur Herstellung der Konformität nach BSI IT-Grundschutz 2019. Unterstützung bei der Zertifizierung nach ISO 27001 und BSI IT-Grundschutz 2019.

Interim-CISO

  • Interimistischer Chief Information Security Officer in einem KRITIS-Unternehmen eines Weltkonzerns. Aufbau eines ISMS nach ISO 27001 und B3S. Durchführung von Risikoanalysen. Kommunikation mit den CISOs der anderen Tochtergesellschaften des Konzerns.

Interne Revision nach BAIT

  • Durchführung eines internen Audits nach BAIT, Ableitung von Quick Wins und Maßnahmen zur Herstellung der Konformität nach BAIT.

KRITIS: Penetrationstests für kritische Infrastrukturen

  • Interner und externer Penetrationstest bei einem Energieversorgungsunternehmen (Firma KRITIS).

Konzeption und Implementierung eines Secure Development Lifecycle & Product Security nach IEC 62443 inkl. Zertifizierungsunterst

  • 1.Prozesse/Sicherheit: Implementierung eines praktischen, anwendbaren sicheren Entwicklungsprozesses mit dem Ziel, bis Ende 2024 die Zertifizierung nach IEC 62443-4-1 Level 3 zu erreichen.
  • 2.Systemarchitektur/Produktsicherheit: Durchführung von Sicherheitsworkshops und Entwicklung eines Bedrohungsmodells, um bis Mitte 2026 die IEC 62443-3-3 SL(C)2-Zertifizierung für Systeme zu erreichen.
  • 3.Schulung und Sensibilisierung: Entwicklung und Umsetzung von Schulungsprogrammen zur Verbesserung der internen Sicherheitskompetenzen.

Konzeptüberprüfung File Service Web-Plattform

  • Durchführung einer Konzeptprüfung einer selbst entwickelten File-Service-Webplattform zum Herunter- und Hochladen von Daten mit einem clientbasierten Autorisierungskonzept.

Migration einer Fintech-Anwendung in einen Kubernetes-Container und Bereitstellung in der Amazon AWS Cloud

  • Architektur- und DevSecOps-Beratung für die sichere Migration einer Fintech-Anwendung in eine Kubernetes-Container-Architektur und Bereitstellung in einer Amazon AWS-Cloud. Härtung gemäß CIS-Benchmarks. Anschließende dynamische Sicherheitsüberprüfung nach Abschluss der Migration. Sichere CI/CD Pipeline, Pre-commit Hooks, Keys & Secrets Management, IDE-Plugins, Statische Source Code Analyse, Dependency-Checks, Container-Scanning, Vulnerability Management & Scanning, Security Monitoring, CIS-Benchmarks & Compliance.

Migration zu einer Cloud-basierten virtuellen Firewall

  • Konzeption einer Migration zu einer Cloud-basierten virtuellen Firewall. Durchführung von Forensik der Systeme und des Netzwerkverkehrs zur Identifizierung kompromittierter Systeme vor dem Go-Live der Zielarchitektur innerhalb der Cloud-basierten virtuellen Firewall. Nach der Migration Durchführung eines Penetrationstests und Compliance-Checks hinsichtlich des Sicherheitskonzepts.

Office 365 Migration & Lizenzierung

  • Migration der Microsoft-Infrastruktur zu Office 365 und Azure AD. Auswahl geeigneter heterogener Lizenzen unter Berücksichtigung von Geschäfts- und Sicherheitsanforderungen. Erstellung eines Sicherheitskonzepts und Durchführung eines Konformitätsaudits.

Penetration Testing Energieversorger (Firma KRITIS)

  • Prüfung des Testsystems eines Energieversorgungsunternehmens mit 8 Netzwerken, Firewalls, mehreren Management-Schnittstellen, http, RTU, ICCP, IEC 60870-5-104.

Penetrationstests von Bankensoftware

  • Durchführung von mehr als 20 Penetrationstests an verschiedenen Bankanwendungen einer Großbank in Deutschland. Sowohl Blackbox- als auch Whitebox-Tests mit bereitgestellten Berechtigungen und Testdaten. Bei den Anwendungen handelte es sich sowohl um intern genutzte Anwendungen als auch um Anwendungen, die für Endkunden nach außen hin zugänglich sind.

Pentest Online Banking Web-Plattform

  • Durchführung eines Penetrationstests auf einer Online-Banking-Webplattform und einer dazugehörigen Banking-App für Android, die mit Apache Cordova erstellt wurde. Blackbox und Whitebox gemäß dem OWASP Testing Guide v4.

RFP-Prozess und DLP-Implementierung

  • Dieses Projekt umfasste die Ausarbeitung eines überzeugenden Angebots, die Durchführung eingehender Anbieterbewertungen und schließlich die Überwachung der erfolgreichen Bereitstellung einer robusten Data Loss Prevention-Lösung für ein multinationales Finanzinstitut.

Reaktion auf Vorfälle: IT-Betrug

  • Incident-Response-Projekt für einen IT-Betrugsfall – E-Mail-Phishing-Angriffe. Ermittlungsmaßnahmen wie E-Mail-Header-Analyse, Log-File-Analyse, Analyse der Angreifer-IP und Informationsbeschaffung. Abwehrmaßnahmen wie E-Mail-Server- und Systemhärtung sowie Awareness-Maßnahmen mit Phishing-Kampagne.

Sensibilisierungskampagne für die Krise

  • Planung und Begleitung einer Krisensensibilisierungskampagne und Auswertung der Krisenkommunikation. Entwicklung von Maßnahmen zum BCM und Optimierung des diesbezüglichen Prozesses.

Sicherheitsbewertung Cloud Single-Sign-On Implementierung in Online-Banking Anwendungen

  • Sicherheitsbewertung einer Cloud-basierten Single-Sign-On-Implementierung (Verimi) in einer Online-Banking-Webanwendung und mobilen Apps (Android & iOS). Identifizierung von Sicherheitsschwachstellen und Entwicklung von Sicherheitsmaßnahmen für eine sichere Implementierung.

Sicherheitsbewertung Supplier-Relationship-Management

  • Vollständige Sicherheitsbewertung einschließlich Überprüfung der Architektur, Penetrationstest, Konfigurationsprüfung und Härtung der Bereitstellung.

Sicherheitsbewertung einer Filial-App (iOS und Android)

  • Durchführung eines Security Assessments einer Banking-App für iOS und Android inkl. aller interagierenden Backend-Systeme zur Nutzung in einer Bank-Filiale.

Sicherheitsbewertung einer neu entwickelten iOS-App für Versicherungen inkl. Azure SSO-Authentifizierung

  • Architekturberatung und Konzeptüberprüfung für ein Projekt zur Entwicklung einer iOS-Anwendung für Versicherungsvertreter. Bedrohungsanalyse mit der Threat Modeling Methode nach STRIDE. Penetrationstest und Konfigurationsprüfung von Servern, Azure ADFS, Web Application Firewall DenyAll-rWeb.

Sicherheitsbewertung nach ISO 27001 und BSI IT-Grundschutz

  • Durchführung einer Sicherheitsbewertung der gesamten Unternehmens-IT einschließlich der internen Softwareentwicklung bei einem Finanzdienstleister.

Sicherheitsprüfung Mobile-Device-Management-Lösung

  • Sicherheitstests einer MDM-Lösung - insbesondere die Umgehung der Root-Erkennung und die Installation von Malware.

Sicherheitsprüfung Roboterbetriebssystem

  • Sicherheitstests des Roboter-Frameworks ROS. ROS wurde auf einen exemplarischen Roboter (Trossen Robotics - PhantomX Reactor) aufgesetzt.

Sicherheitsprüfung industrielles VPN-Gateway IGW/922 von SSV

  • Verifizierung der Schutzmechanismen als VPN-Gateway mit Penetrationstests und Fuzzing. Außerdem wurde die Management-Schnittstelle überprüft.

Sicherheitstest Airlock WAF Ergon Informatik AG (Web Application Firewall)

  • Prüfen Sie die Filterregeln auf Vollständigkeit (Blacklisting & Whitelisting) gegen aktuelle Bedrohungen von Web-Applikationen und Web-Services und prüfen Sie die Verwundbarkeit der Airlock WAF selbst.

Sicherheitstest einer Spiele-App (Android und iOS) 10 - 50 Millionen Downloads

  • Whitebox-Test einer Spiele-App für Android, iOS und des Backend-Servers sowie einer internen Verwaltungsschnittstelle, die über VPN zugänglich ist.

Sicherheitstests Web Application Firewall

  • Überprüfung einer WAF auf Sicherheitsschwächen und Vollständigkeit der Schutzmechanismen gegen aktuelle Angriffe auf Webanwendungen gemäß dem OWASP Web Application Testing Guide. Die folgenden angreifbaren Webanwendungen wurden verwendet: Eigenentwicklung, Webgoat, DVWA, Hackazon, Vulnversure, Mutillidae.

Strategie für Cloud-Sicherheit

  • Implementierung einer Cloud-Sicherheitsstrategie als Sicherheitskontrolle nach BSI C5. Durchführung einer Risikoanalyse zur Erfassung von Cloud-basierten Assets. Ziel-Cloud-Plattformen waren Azure, Office365, Amazon AWS, Google Cloud Platform.

Symantec DLP-Implementierung

  • HAT die Data Loss Prevention-Lösung von Symantec erfolgreich bei einem weltweit tätigen Finanzinstitut implementiert, um vertrauliche Daten vor unbefugter Offenlegung zu schützen und Compliance-Anforderungen zu erfüllen.

Testen der VoIP-Infrastruktur (Cisco)

  • Blackbox-Penetrationstest für ein neu eingeführtes VoIP-System von Cisco.

Threat Modeling der BSI TR-03109 für SMGW nach STRIDE für das BSI

Umfassende DLP-Implementierung und -Schulung

  • Führte eine umfassende DLP-Lösung von McAfee für ein Fortune-500-Unternehmen ein und schulte die Mitarbeiter, um sicherzustellen, dass sie die neuen Sicherheitsrichtlinien verstehen und einhalten.

Unterstützung und Leitung externer Audits gemäß BAIT

  • Unterstützung und Leitung des externen BAIT-Audits mit der Rolle als Leiter, Ableitung von Quick Wins und Maßnahmen zur Herstellung der Konformität nach BAIT.

WAF-Härtung und Regelüberprüfung

  • Prüfung einer Web Application Firewall zum Schutz von Bankensoftware auf ausreichende Härtung und Blacklisting sowie Whitelisting-Regeln mit der Fuzzing-Methode und der Verwendung aktueller Angriffsstrings. Weitere Optimierung für Bruteforce und DoS-Schutz.

Whitebox-Penetrationstest und Code-Review Messenger-App (iOS und Android)

  • Durchführung von Whitebox-Penetrationstests und Code-Review einer Messenger-App für iOS und Android sowie der zugehörigen Backend http-API und eines webbasierten Administrationsportals.

Workshop: ISO 27034-konforme sichere Entwicklung

  • Durchführung eines zweitägigen Workshops zur sicheren Entwicklung gemäß ISO 27034 und Microsofts SDL.

Workshop: Sicherheitstests für Webanwendungen

  • 2-tägige Workshops zu Sicherheitstests von Webanwendungen, einschließlich Übungen mit Burp Suite und Webgoat.

Überprüfung der Architektur und Risikoanalyse mit Hilfe von Threat Modeling Banking Software

  • Überprüfung der technischen Architektur und Risikoanalyse mit Hilfe der Bedrohungsmodellierung nach STRIDE für eine Bankensoftware.
  • Standard: MaRisk.

Zusammenfassung

Valeri Milke ist Geschäftsführer der VamiSec GmbH, die sich auf die Beratung und Zertifizierung von Unternehmen im Bereich Informationssicherheit und Compliance spezialisiert hat. Dabei lag und liegt der Fokus immer auf der Zusammenführung von IT-Sicherheit und Compliance. Er setzt sich dafür ein, ein ISMS und IT-Sicherheitsmaßnahmen nach dem Stand der Technik zu etablieren, das tatsächliche Cyber-Risiko zu reduzieren und damit nicht nur Vermögenswerte zu schützen, sondern auch Compliance herzustellen und gleichzeitig die Innovationsfähigkeit von Unternehmen zu fördern. Seine Expertise umfasst das ISMS und die Sicherung von Cloud- und On-Premise-Umgebungen nach den Standards ISO 27001, TISAX und BSI IT-Grundschutz sowie die Entwicklung umfassender Strategien für Risikomanagement, Third-Party Risk Management und Incident Response. Er hat einen speziellen Fokus auf die Einhaltung neuer Regulierungen wie dem DORA, NIS2, CRA und AI Act.

Sprachen

Englisch
Verhandlungssicher
Deutsch
Fortgeschritten

Ausbildung

Okt. 2006 - Juni 2010

Fachhochschule Bonn-Rhein-Sieg

Bachelor of Science · Informatik · Deutschland · 1.3

Zertifikate & Bescheinigungen

BSI IT-Grundschutz-Praktiker

BSI IT-Grundschutz

Betrieblicher Datenschutzbeauftragter

IHK

Experte für Cloud-Sicherheit

CeLS

Experte für die NIS2-Richtlinie

TÜV Nord

ISMS Lead Auditor nach ISO 27001

TÜV Rheinland AG

KI-Beauftragter (EU AI Act)

BEN DIGITAL

Kommunikationsmanagement

WPC

Penetrationstest (IP-Netzwerke)

CeLS

Penetrationstester (Web)

CeLS

Projektleitung

Projekt-Management-Institut (PMI)

QS-Tag - Nicht-funktionale-Prüfung

QS-Tag

Zertifizierter Auditor nach BSIG §8a (KRITIS - kritische Infrastrukturen)

Zertifizierter Datenschutzbeauftragter nach EU-GDPR

IHK

Zertifizierter Whistleblowing-Beauftragter nach HinSchG

Ifb Hinweisgeberschutz-Gesetz

Zusätzliche Prüfverfahrens-Kompetenz für § 8a (3) BSIG