Wilhelmshöher Straße 74
60389 Frankfurt am Main
Tel.: 0170/57 29 31 0
thomas@hetschold.de

 

Branchen Know-how

• Automotive - 7,5 Jahre
  Koordination der Business Information Security Officer (Daimler/Mercedes-Benz Group)
  Unterstützung bei der Einführung eines Cybersecurity Management Systems (Daimler Truck)
  Erstellen von Sicherheitsprofilen als Information Security Architect (Daimler)
  Unterstützung bei der Einführung eines toolgestützten Cloud Risiko Prozesses (Daimler)
  Durchführung von Spotchecks bei Cloud Projekten (Daimler)
  Unterstützung bei der Steuerung des Cloud Risiko Prozesses (Daimler)
  Erstellung einer IT-Security Policy für den Automotive Bereich (BMW)
  Definition, Aufbau und Betrieb des Center of Competence Automotive Security (BMW)
  Erstellung einer Bedrohungs- und Risikoanalyse für die Fahrzeug Security Architektur (BMW)
  Einführung einer sicheren SAP R/3 Infrastruktur (Volkswagen)
• Aviation - 10 Jahre
  Unterstützung der internen IT-Security Architekten im Rahmen des internen Consultings und der Weiterentwicklung der Security Vorgaben (Lufthansa)
  Umsetzung des Payment Card Industry Data Security Standards (Lufthansa)
  Unterstützung bei der Einführung und Umsetzung von IT-Security Prozessen (Lufthansa)
  Durchführung von Risikoanalysen für IT-Systeme mit Aircraftbezug (Lufthansa)
• Banken - 3 Jahre
  Entwicklung von Sicherheitsprotokollen für elektronische Geschäftsprozesse (Deutsche Bank, Dresdner Bank, Bank of America, ABN Amro)
  Entwicklung eines sicheren Online-Banking Protokolls (Dresdner Bank)
• Behörden/Öffentlicher Dienst - 2,5 Jahre
  Erstellen einer Bedrohungsanalyse für das automatisierte Fahren (Land Baden-Württemberg)
  Erstellung von IT-Sicherheitskonzepten für den Einsatz der elektronischen Gesundheitskarte (div. Krankenkassen)
  Entwicklung eines signaturgesetzkonformen Bestellwesens (Land Niedersachsen)
  Entwicklung von Sicherheitsprotokollen zum Einsatz der Health Professional Card (ABDA)
• Energie - 1 Jahr
  Entwicklung eines Systems zur sicheren Vorgangssteuerung im Kernkraftwerk (RWE)
  Einführung einer sicheren SAP R/3 Infrastruktur (RWE)
• IT und Telekommunikation - 8 Jahre
  Entwicklung eines Produktes zur Absicherung des SAP R/3 Systems (SAP)
  Entwicklung von Security Produkten (Secude, Fillmore Labs)
  Entwicklung der Zugriffskontrolle einer OSI Managementplattform nach X.741 (Deutsche Telekom)
• Medien - 1,5 Jahre
  Entwicklung eines Digital Rights Management Systems für eine Internet Tauschbörse (DWS/Bertelsmann)
• Transport - 0,75 Jahre
  Erstellung eines Informationssicherheits-Konzeptes und eines Datenschutzkonzeptes für eine Maut-Plattform (Kapsch)
• Handel 0,5 Jahre
  Beratung zum Datenschutz und Aufbau eines Datenschutzmanagementsystems sowie eines Informationssicherheitsmanagementsystems (ISMS) (Lässig)

 

Erfahrung Fachprozesse, Fachkompetenz

• UNECE R155, ISO 21434
• Maut Prozesse
• Automotive Prozesse
  E/E-Entwicklungsprozesse
  Fertigungsprozesse
  Serviceprozesse
  Logistikprozesse
• Aviation Prozesse
• IT-Prozesse
  PCI DSS
  ISO 2700x
  OWASP
  Dokumentation nach Common Criteria
  Dokumentation nach ITSec

 

Spezialisierungen, Schwerpunkte

• Aufbau eines CSMS nach ISO 21434
• Datenschutzgrundverordnung (DSGVO)
• Payment Card Industry Data Security Standard (PCI DSS)
• IT-Sicherheitsprozesse
• IT-Risikomanagement
• Prozessanalyse und -modellierung

 

Sprachkenntnisse

• Deutsch
• Englisch (Certificate in Advanced English)

 

Aus- und Fortbildung

• Diplom Informatiker, J. W. Goethe-Universität, Frankfurt
• Project Management Professional
• Certified Information Systems Security Professional
• Cybersecurity Automotive Professional
• Information Security Architect (Daimler)
• ITIL Foundation
• PCI SSC Standards Training
• Projektleitung IT Projekte bei CSC Ploenzke

 

Bisherige Beschäftigungen

• seit 2004 selbstständig (Senior Security Consultant, Prozessgestaltung)
• 2003 - 2004 Secude GmbH (CTO)
• 2001 - 2003 Fillmore Labs GmbH (Geschäftsführer)
• 1996 - 2001 Secude GmbH (CTO)
• 1993 - 1997 GMD - Forschungszentrum Informationstechnik GmbH (Wissenschaftlicher Mitarbeiter, Projektleiter)
• 1990 - 1993 selbstständig (IT Consultant, Software Entwickler)

 

Projektleitungs- und Führungserfahrung

• Daimler, Teilprojektleiter, 1,5 Jahre
• Lufthansa, Projektmanagement, 7 Jahre
• CTO Secude GmbH, Leitung Entwicklung und Consulting mit 30 Mitarbeitern, 7 Jahre
• Geschäftsführer Fillmore Labs GmbH, 7 Mitarbeiter, 2 Jahre
• Secude GmbH, Programmmanagement, 7 Jahre
• Fillmore Labs GmbH, Projektmanagement, 2 Jahre
• GMD (Fraunhofer Gesellschaft), 2 Jahre

 

Sonstiges

• Mensa-Mitglied

 

Projektbeispiele chronologisch

• Unterstützung des internen IT-Security Architekturteams beim internen Consulting und der Weiterentwicklung der Security Vorgaben
  Projektausführung und / oder Consulting im Rahmen der IT-Security auf Basis von definierten Zielen und Erfolgskriterien.
  Entwicklung und Umsetzung von IT-Domain Security Architektur(en) und der Entwicklungsvorhaben und / oder dem Produkt-, Service- und Providermanagement für geschäftskritische Anwendungen aller Lufthansa Group Geschäftsfelder.
  Entwicklung, Bewertung und Verwaltung einer konzernweiten Informationssicherheitsarchitektur, -strategie sowie eine Definition von konzernweit gültigen Guidelines.
  Entwicklung relevanter Attribute für die Sicherheitsarchitektur der Deutschen Lufthansa Group (z.B. Modelle, Vorlagen, Standards).
  Bewertung der am Markt angebotenen Security-Lösungen, -Dienstleistungen und -Tools.
  Gruppenweite Sicherheitsbewertung von bestehenden IT-Systemen sowie von Sicherheitsdiensten.
• Beratung zum Datenschutz und Aufbau eines Datenschutzmanagementsystems (DSMS) sowie eines Informationssicherheitsmanagementsystems (ISMS)
  Beratung hinsichtlich der IT-Systeme (z.B. interne IT-Infrastruktur, Onlineshops, Applikationen) zwecks Datenschutzkonformität und Informationssicherheit.
  Beratung und Unterstützung bei der Implementierung eines Löschkonzepts sowie bei der Durchführung von Datenschutzfolgenabschätzungen.
  Beratung und Unterstützung bei der Überprüfung und Implementierung der technischen und organisatorischen Maßnahmen (TOMs).
  Erstellung der notwendigen Informationssicherheitsdokumentation.
• Koordination der Business Information Security Officer (BISO)
  Unterstützen bei der Definition und Entwicklung geeigneter, konzernweit gültiger Zielstrukturen und Prozesse für die Information Security in den Geschäfts- und den Zentralbereichen.
  Weiterentwicklung konzernweit gültiger Rollen-, Gremien- und Zusammenarbeitsmodelle im sehr komplexen Umfeld der Information Security.
  Steuerung und Weiterentwicklung des neuen Gremiums der Information Security Verantwortlichen der Geschäftsbereiche.
• Unterstützung bei der Einführung eines Cybersecurity Management Systems (CSMS)
  Gemäß UN Regulierung 155 müssen Automobilhersteller zukünftig die Umsetzung eines Cybersecurity Management Systems nachweisen, um eine Typzulassung zu erhalten. Dazu ist die Einhaltung der ISO/IEC 21434 notwendig.
  Ermitteln des Status Quo bei allen betroffenen Fahrzeugtypen.
  Erweitern des Fahrzeugentwicklungsprozesses, so dass die Anforderungen der ISO zukünftig berücksichtigt werden.
  Erstellen von Fahrzeug-TARAs (Threat Analysis and Risk Analysis).
• Erstellen von Sicherheitsprofilen als Information Security Architect (ISA)
  Erstellen eines C4-Modells und Data Flow Modells im Rahmen der Analyse von IT-Systemen zur Ermittlung möglicher Schwachstellen und Bedrohungen sowie ermitteln von Cloud-spezifischen Bedrohungen.
  Bewertung der Bedrohungen und Risiken.
  Entwickeln von angemessenen Gegenmaßnahmen, um Risiken auf ein akzeptables Maß zu reduzieren.
  Abstimmen der Ergebnisse mit dem Projekt.
• Bedrohungsanalyse IT-Sicherheit und autonomes Fahren für das Land Baden-Würtemmbert
  Analyse und Identifikation neuer Bedrohungen durch das vernetzte und automatisierte Fahren
  Es sollen sowohl präventive Maßnahmen als auch die Erkennung von Angriffen sowie die Ergreifung geeigneter Gegenmaßnahmen erforscht werden
  Dabei sollen unter anderem neue Ansätze zur Erkennung von Straftaten sowie Verfahren für die Nachvollziehbarkeit von Entscheidungen automatisierter Fahrfunktionen, die auf maschinellen Lernverfahren beruhen, berücksichtigt werden
• Teilprojektleitung Entwicklung und Einführung eines toolgestützten Cloud Risiko Prozesses für Daimler AG
  Erstellen und umsetzen eines Konzepts für den Support inkl. Providerauswahl
  Erstellen und umsetzen eines Konzepts für eine weltweite Multiplikator-Struktur zur Ergänzung des Supports
  Erstellen und umsetzen eines Konzepts für Spotchecks zur Prüfung, ob Projekte die Prozessvorgaben eingehalten haben sowie Risiken richtig erkannt und mitigiert haben
  Unterstützen des Arbeitspakets Kommunikation
• Unterstützung der Steuerung des Cloud Risiko Prozesses für Daimler AG
  Prüfen von Projektunterlagen für die Cloudnutzung
  Abstimmen der Risiko-Assessments mit IT und Legal
  Prüfen, ob mitigierende Maßnahmen vom Projekt umgesetzt wurden (Spotchecks)
  Verbesserungen am Cloud Risiko Prozess vorschlagen und mit den verantwortlichen Stakeholdern abstimmen
  Einführen eines Tools zur Steuerung des Cloud Risiko Prozesses
• Konzepterstellung Informationssicherheit und Datenschutz für Kapsch TrafficCom
  Verstehen der Systemarchitektur des Mautprogrammes
  Abstimmen des Sicherheitskonzeptes mit den verantwortlichen Stakeholdern
  Sicherstellen, dass das Sicherheitskonzept mit der Informationssicherheits-Strategie des ISMS zusammenpasst
  Entwickeln einer Informationssicherheits-Risikomanagement Vorgehensweise
  Ableiten eines Betriebskonzepts aus dem Sicherheitskonzept
• Projektleitung bei der Konzeption und Umsetzung der Anforderungen aus dem Payment Card Industry Data Security Standard (PCI DSS) für die Lufthansa Airlines. Durchführung der Budgetplanung
  Erfolgreiche Zertifizierung gemäß PCI DSS sowie Re-Zertifizierung
  Erstellen von Schutzbedarfsfeststellungen und Risikoanalysen
  Prozessberatung für die Erstellung von Schutzbedarfsfeststellungen, Risikoanalysen und die Umsetzung des Identity Management in Anlehnung an ISO 2700x
  Unterstützung bei der Einführung eines Security Monitoring
• Erstellung von Sicherheitskonzepten für den Einsatz der elektronischen Gesundheitskarte
  Erstellung von Sicherheitskonzepten auf Basis ISO 2700x
  Evaluation diverser Hardware Security Module
• Betrieb des Center of Competence Automotive Security
  Erstellung einer IT-Security Policy für den Automotive Bereich
  Monatliche Durchführung des Steuerkreises CoC Automotive Security
  Erstellung von Entscheidungsvorlagen für das Hauptabteilungsleiter-Gremium gemäß der Vorgaben des Auftraggebers
  Kommunikation des Automotive Security Know-hows an alle beteiligten Abteilungen
  Fortschreibung des BMW Geährdungskatalogs in Abstimmung mit der Stabsstelle für Informationsschutz auf Basis ISO 2700x
  Definition des Standardschutzes für Automotive Security in Abstimmung mit der Stabsstelle für Informationssicherheit
  Review vorhandener Security-Maßnahmen der Steuergeräteverantwortlichen
  Anforderungsmanagement für Security-Maßnahmen der Automotive Security
• Definition und Aufbau des Center of Competence Automotive Security
  Identifikation und Analyse der Anforderungen an ein CoC Automotive Security
  Definition der Aufgaben und Beschreibung der Rollen und Prozesse des CoC Automotive Security
  Abstimmung mit allen relevanten Ansprechpartnern der beteiligten Abteilungen
  Erstellung eines Maßnahmenplans zur Umsetzung des CoC Automotive Security
  Umsetzung des Maßnahmenplans und Integration des CoC Automotive Security in die Prozesslandschaft des Auftraggebers
  Unterstützung der Projektleitung bei der Implementierung des CoC Automotive Security inklusive Koordination aller beteiligten Stellen
• Bedrohungs- und Risikoanalyse Fahrzeug Security
  Entwicklung und Erstellung einer Bedrohungs- und Risiko-Analyse auf Basis der VIVA Kriterien (Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität) für die Security-Architektur des neuesten Fahrzeug-Modells sowohl für die Fahrzeugseite, als auch für die Infrastrukturseite
  Mit den relevanten Ansprechpartnern das Risikoprofil der jeweiligen Kunden- und Systemfunktion diskutieren und priorisieren (Schutzbedarfsfeststellung)
  Das Gesamtrisiko für das Fahrzeug aus den Einzelrisiken der Kunden- und Systemfunktionen ableiten
  Das Gesamtrisiko für die Infrastruktur aus den Einzelrisiken der jeweiligen Kundenfunktionen ableiten
  Festlegung von Security-Bausteinen, die geeignet sind, die Bordnetzarchitektur abzusichern
  Bestimmen des Restrisikos gemäß der BMW Vorgaben
• Digital Rights Management for Napster
  Entwurf und Entwicklung einer hochperformanten PKI für 50 Millionen Napster-Nutzer
  Entwurf von ganz neuen Obfuscation Techniken und Integration in die Napster Software, zur Durchsetzung von Digital Rights Management
• Identrus
  Identrus war eine Initiative international agierender Großbanken zum Aufbau einer Public-Key-Infrastruktur im Business-2-Business Umfeld, um den E-Commerce zu fördern
  Zusammen mit Identrus wurden neue Sicherheitsprotokolle für elektronische Geschäftsprozesse entwickelt
  Die dafür entwickelte Software wurde als Referenzsoftware eingesetzt, um wiederum Software von Drittanbietern auf ihre Kompatibilität zu testen
  Patenteinreichungen:
  20020165827: System and method for facilitating signing by buyers in electronic commerce
  20020112156: System and method for secure smartcard issuance
• BaanERP Security
  Entwurf und Entwicklung eines Client-Server-Systems unter Verwendung von signaturgesetzkonformen Hardwarekomponenten zur sicheren Anmeldung an ein Baan ERP-System für das Land Niedersachsen
  Anders als im SAP Fall konnte hier die Integration der Sicherheitsfunktionalität nicht direkt im Baan ERP-System erfolgen
  Die Realisierung wurde sowohl client- als auch serverseitig als Middleware ausgeführt
  Clientseitig wurde der Microsoft Protokollstack erweitert und serverseitig agiert die Middleware als Proxy, der erst nach erfolgreicher Benutzerauthentifikation die Verbindung zum BaanERP-Server erlaubt
  Als Hardwarekomponente wurde die SigG-konforme Smartcard der Deutschen Telekom eingesetzt
• Security für SAP R/3
  Entwurf und Entwicklung eines Produktes zur Absicherung der Client/Server Kommunikation von SAP R/3
  Exportrestriktionen machten es für SAP notwendig, eine Schnittstelle in das R/3 System so zu integrieren, dass Drittprodukte die Kommunikationsverschlüsselung realisieren konnten, ohne dass SAP selbst Sicherheitsfunktionalität implementieren würde
  Das Protokoll musste die starke Authentifikation der Anwender gewährleisten und die Client-Server-Verbindung verschlüsseln
  Der Einsatz von Hardware zur Erhöhung der Sicherheit musste möglich sein
• Secure Online Banking
  Entwurf und Entwicklung eines sicheren Online-Banking-Protokolls für die Dresdner Bank
  Zum Zeitpunkt des Projektes setzten gängige Online-Banking Implementierungen ausschließlich auf PIN/TAN-Verfahren zur Authentifikations- und Transaktionssicherheit
  Digitale Signaturen sind noch heute in diesem Bereich unüblich, dabei eignen sie sich hervorragend um genau diese Funktionalität sicherzustellen
  In Kooperation mit verschiedenen Firmen wurde auf Basis von digitalen Signaturen ein Online-Banking Protokoll entwickelt, das den kompletten Prozess modelliert, von der Zertifikatsausstellung bis zur Online-Transaktionsabwicklung
• Security in OSI-Management
  Entwurf von Spezifikationen um Zugriffskontrolle in eine bestehende X.700 OSI Managementplattform zu integrieren
  Implementierung von Zugriffskontrolle für OSI Management (X.741)
  Veröffentlichung wissenschaftlicher Papiere über Sicherheitspolitiken und ihrer Repräsentation
  Entwurf von Spezifikationen um Sicherheitspolitiken in eine bestehende OSI Managementplattform zu integrieren
  Implementierung von Sicherheitspolitiken in eine bestehende OSI Management Plattform

 

Zeugnisse und Referenzen

• Empfehlung der Deutsche Lufthansa AG (Mai 2015)
• Zeugnis der Actano GmbH (Juni 2007)
• Zeugnis des Forschungszentrums Informationstechnik GmbH (September 2002)
• Referenzschreiben von Digital World Services (März 2002)
• Zeugnis der Secude GmbH (September 2001)
• Cybersecurity Automotive Professional (TÜV 2021)
• Certificate of ISSMP (Mai 2022)
• Certificate of CISSP (Mai 2022)
• Certificate of PMP (Dezember 2014)
• ITIL Foundation (März 2016)
• Certificate of PCI SSC Standards Training (April 2010)
• Certificate of Advanced English (März 2007)
• IQ-Profil (Mensa e.V.) (November 2003)
• Zertifikat: IT-Projekte leiten von CSC Ploenzke (Mai 2001)
• Diplom der J.-W. Goethe Universität (Oktober 1993)