Senior IT-Security Consultant
CISSP-ISSMP
PMP
Wilhelmshöher Straße 74
60389 Frankfurt am Main
Tel.: 0170/57 29 31 0
thomas@hetschold.de
Branchen Know-how
- Automotive - 7,5 Jahre
Koordination der Business Information Security Officer (Daimler/Mercedes-Benz Group)
Unterstützung bei der Einführung eines Cybersecurity Management Systems (Daimler Truck)
Erstellen von Sicherheitsprofilen als Information Security Architect (Daimler)
Unterstützung bei der Einführung eines toolgestützten Cloud Risiko Prozesses (Daimler)
Durchführung von Spotchecks bei Cloud Projekten (Daimler)
Unterstützung bei der Steuerung des Cloud Risiko Prozesses (Daimler)
Erstellung einer IT-Security Policy für den Automotive Bereich (BMW)
Definition, Aufbau und Betrieb des Center of Competence Automotive Security (BMW)
Erstellung einer Bedrohungs- und Risikoanalyse für die Fahrzeug Security Architektur (BMW)
Einführung einer sicheren SAP R/3 Infrastruktur (Volkswagen)
- Aviation - 10 Jahre
Unterstützung der internen IT-Security Architekten im Rahmen des internen Consultings und der Weiterentwicklung der Security Vorgaben (Lufthansa)
Umsetzung des Payment Card Industry Data Security Standards (Lufthansa)
Unterstützung bei der Einführung und Umsetzung von IT-Security Prozessen (Lufthansa)
Durchführung von Risikoanalysen für IT-Systeme mit Aircraftbezug (Lufthansa)
- Banken - 3 Jahre
Entwicklung von Sicherheitsprotokollen für elektronische Geschäftsprozesse (Deutsche Bank, Dresdner Bank, Bank of America, ABN Amro)
Entwicklung eines sicheren Online-Banking Protokolls (Dresdner Bank)
- Behörden/Öffentlicher Dienst - 2,5 Jahre
Erstellen einer Bedrohungsanalyse für das automatisierte Fahren (Land Baden-Württemberg)
Erstellung von IT-Sicherheitskonzepten für den Einsatz der elektronischen Gesundheitskarte (div. Krankenkassen)
Entwicklung eines signaturgesetzkonformen Bestellwesens (Land Niedersachsen)
Entwicklung von Sicherheitsprotokollen zum Einsatz der Health Professional Card (ABDA)
- Energie - 1 Jahr
Entwicklung eines Systems zur sicheren Vorgangssteuerung im Kernkraftwerk (RWE)
Einführung einer sicheren SAP R/3 Infrastruktur (RWE)
- IT und Telekommunikation - 8 Jahre
Entwicklung eines Produktes zur Absicherung des SAP R/3 Systems (SAP)
Entwicklung von Security Produkten (Secude, Fillmore Labs)
Entwicklung der Zugriffskontrolle einer OSI Managementplattform nach X.741 (Deutsche Telekom)
- Medien - 1,5 Jahre
Entwicklung eines Digital Rights Management Systems für eine Internet Tauschbörse (DWS/Bertelsmann)
- Transport - 0,75 Jahre
Erstellung eines Informationssicherheits-Konzeptes und eines Datenschutzkonzeptes für eine Maut-Plattform (Kapsch)
- Handel 0,5 Jahre
Beratung zum Datenschutz und Aufbau eines Datenschutzmanagementsystems sowie eines Informationssicherheitsmanagementsystems (ISMS) (Lässig)
Erfahrung Fachprozesse, Fachkompetenz
- UNECE R155, ISO 21434
- Maut Prozesse
- Automotive Prozesse
E/E-Entwicklungsprozesse
Fertigungsprozesse
Serviceprozesse
Logistikprozesse
- Aviation Prozesse
- IT-Prozesse
PCI DSS
ISO 2700x
OWASP
Dokumentation nach Common Criteria
Dokumentation nach ITSec
Spezialisierungen, Schwerpunkte
- Aufbau eines CSMS nach ISO 21434
- Datenschutzgrundverordnung (DSGVO)
- Payment Card Industry Data Security Standard (PCI DSS)
- IT-Sicherheitsprozesse
- IT-Risikomanagement
- Prozessanalyse und -modellierung
Sprachkenntnisse
- Deutsch
- Englisch (Certificate in Advanced English)
Aus- und Fortbildung
- Diplom Informatiker, J. W. Goethe-Universität, Frankfurt
- Project Management Professional
- Certified Information Systems Security Professional
- Cybersecurity Automotive Professional
- Information Security Architect (Daimler)
- ITIL Foundation
- PCI SSC Standards Training
- Projektleitung IT Projekte bei CSC Ploenzke
Bisherige Beschäftigungen
- seit 2004 selbstständig (Senior Security Consultant, Prozessgestaltung)
- 2003 - 2004 Secude GmbH (CTO)
- 2001 - 2003 Fillmore Labs GmbH (Geschäftsführer)
- 1996 - 2001 Secude GmbH (CTO)
- 1993 - 1997 GMD - Forschungszentrum Informationstechnik GmbH (Wissenschaftlicher Mitarbeiter, Projektleiter)
- 1990 - 1993 selbstständig (IT Consultant, Software Entwickler)
Projektleitungs- und Führungserfahrung
- Daimler, Teilprojektleiter, 1,5 Jahre
- Lufthansa, Projektmanagement, 7 Jahre
- CTO Secude GmbH, Leitung Entwicklung und Consulting mit 30 Mitarbeitern, 7 Jahre
- Geschäftsführer Fillmore Labs GmbH, 7 Mitarbeiter, 2 Jahre
- Secude GmbH, Programmmanagement, 7 Jahre
- Fillmore Labs GmbH, Projektmanagement, 2 Jahre
- GMD (Fraunhofer Gesellschaft), 2 Jahre
Sonstiges
Projektbeispiele chronologisch
- Unterstützung des internen IT-Security Architekturteams beim internen Consulting und der Weiterentwicklung der Security Vorgaben
Projektausführung und / oder Consulting im Rahmen der IT-Security auf Basis von definierten Zielen und Erfolgskriterien.
Entwicklung und Umsetzung von IT-Domain Security Architektur(en) und der Entwicklungsvorhaben und / oder dem Produkt-, Service- und Providermanagement für geschäftskritische Anwendungen aller Lufthansa Group Geschäftsfelder.
Entwicklung, Bewertung und Verwaltung einer konzernweiten Informationssicherheitsarchitektur, -strategie sowie eine Definition von konzernweit gültigen Guidelines.
Entwicklung relevanter Attribute für die Sicherheitsarchitektur der Deutschen Lufthansa Group (z.B. Modelle, Vorlagen, Standards).
Bewertung der am Markt angebotenen Security-Lösungen, -Dienstleistungen und -Tools.
Gruppenweite Sicherheitsbewertung von bestehenden IT-Systemen sowie von Sicherheitsdiensten.
- Beratung zum Datenschutz und Aufbau eines Datenschutzmanagementsystems (DSMS) sowie eines Informationssicherheitsmanagementsystems (ISMS)
Beratung hinsichtlich der IT-Systeme (z.B. interne IT-Infrastruktur, Onlineshops, Applikationen) zwecks Datenschutzkonformität und Informationssicherheit.
Beratung und Unterstützung bei der Implementierung eines Löschkonzepts sowie bei der Durchführung von Datenschutzfolgenabschätzungen.
Beratung und Unterstützung bei der Überprüfung und Implementierung der technischen und organisatorischen Maßnahmen (TOMs).
Erstellung der notwendigen Informationssicherheitsdokumentation.
- Koordination der Business Information Security Officer (BISO)
Unterstützen bei der Definition und Entwicklung geeigneter, konzernweit gültiger Zielstrukturen und Prozesse für die Information Security in den Geschäfts- und den Zentralbereichen.
Weiterentwicklung konzernweit gültiger Rollen-, Gremien- und Zusammenarbeitsmodelle im sehr komplexen Umfeld der Information Security.
Steuerung und Weiterentwicklung des neuen Gremiums der Information Security Verantwortlichen der Geschäftsbereiche.
- Unterstützung bei der Einführung eines Cybersecurity Management Systems (CSMS)
Gemäß UN Regulierung 155 müssen Automobilhersteller zukünftig die Umsetzung eines Cybersecurity Management Systems nachweisen, um eine Typzulassung zu erhalten. Dazu ist die Einhaltung der ISO/IEC 21434 notwendig.
Ermitteln des Status Quo bei allen betroffenen Fahrzeugtypen.
Erweitern des Fahrzeugentwicklungsprozesses, so dass die Anforderungen der ISO zukünftig berücksichtigt werden.
Erstellen von Fahrzeug-TARAs (Threat Analysis and Risk Analysis).
- Erstellen von Sicherheitsprofilen als Information Security Architect (ISA)
Erstellen eines C4-Modells und Data Flow Modells im Rahmen der Analyse von IT-Systemen zur Ermittlung möglicher Schwachstellen und Bedrohungen sowie ermitteln von Cloud-spezifischen Bedrohungen.
Bewertung der Bedrohungen und Risiken.
Entwickeln von angemessenen Gegenmaßnahmen, um Risiken auf ein akzeptables Maß zu reduzieren.
Abstimmen der Ergebnisse mit dem Projekt.
- Bedrohungsanalyse IT-Sicherheit und autonomes Fahren für das Land Baden-Würtemmbert
Analyse und Identifikation neuer Bedrohungen durch das vernetzte und automatisierte Fahren
Es sollen sowohl präventive Maßnahmen als auch die Erkennung von Angriffen sowie die Ergreifung geeigneter Gegenmaßnahmen erforscht werden
Dabei sollen unter anderem neue Ansätze zur Erkennung von Straftaten sowie Verfahren für die Nachvollziehbarkeit von Entscheidungen automatisierter Fahrfunktionen, die auf maschinellen Lernverfahren beruhen, berücksichtigt werden
- Teilprojektleitung Entwicklung und Einführung eines toolgestützten Cloud Risiko Prozesses für Daimler AG
Erstellen und umsetzen eines Konzepts für den Support inkl. Providerauswahl
Erstellen und umsetzen eines Konzepts für eine weltweite Multiplikator-Struktur zur Ergänzung des Supports
Erstellen und umsetzen eines Konzepts für Spotchecks zur Prüfung, ob Projekte die Prozessvorgaben eingehalten haben sowie Risiken richtig erkannt und mitigiert haben
Unterstützen des Arbeitspakets Kommunikation
- Unterstützung der Steuerung des Cloud Risiko Prozesses für Daimler AG
Prüfen von Projektunterlagen für die Cloudnutzung
Abstimmen der Risiko-Assessments mit IT und Legal
Prüfen, ob mitigierende Maßnahmen vom Projekt umgesetzt wurden (Spotchecks)
Verbesserungen am Cloud Risiko Prozess vorschlagen und mit den verantwortlichen Stakeholdern abstimmen
Einführen eines Tools zur Steuerung des Cloud Risiko Prozesses
- Konzepterstellung Informationssicherheit und Datenschutz für Kapsch TrafficCom
Verstehen der Systemarchitektur des Mautprogrammes
Abstimmen des Sicherheitskonzeptes mit den verantwortlichen Stakeholdern
Sicherstellen, dass das Sicherheitskonzept mit der Informationssicherheits-Strategie des ISMS zusammenpasst
Entwickeln einer Informationssicherheits-Risikomanagement Vorgehensweise
Ableiten eines Betriebskonzepts aus dem Sicherheitskonzept
- Projektleitung bei der Konzeption und Umsetzung der Anforderungen aus dem Payment Card Industry Data
Security Standard (PCI DSS) für die Lufthansa Airlines. Durchführung der Budgetplanung
Erfolgreiche Zertifizierung gemäß PCI DSS sowie Re-Zertifizierung
Erstellen von Schutzbedarfsfeststellungen und Risikoanalysen
Prozessberatung für die Erstellung von Schutzbedarfsfeststellungen, Risikoanalysen und die Umsetzung des Identity Management in
Anlehnung an ISO 2700x
Unterstützung bei der Einführung eines Security Monitoring
- Erstellung von Sicherheitskonzepten für den Einsatz der elektronischen Gesundheitskarte
Erstellung von Sicherheitskonzepten auf Basis ISO 2700x
Evaluation diverser Hardware Security Module
- Betrieb des Center of Competence Automotive Security
Erstellung einer IT-Security Policy für den Automotive Bereich
Monatliche Durchführung des Steuerkreises CoC Automotive Security
Erstellung von Entscheidungsvorlagen für das Hauptabteilungsleiter-Gremium gemäß der Vorgaben des Auftraggebers
Kommunikation des Automotive Security Know-hows an alle beteiligten Abteilungen
Fortschreibung des BMW Geährdungskatalogs in Abstimmung mit der Stabsstelle für Informationsschutz auf Basis ISO 2700x
Definition des Standardschutzes für Automotive Security in Abstimmung mit der Stabsstelle für Informationssicherheit
Review vorhandener Security-Maßnahmen der Steuergeräteverantwortlichen
Anforderungsmanagement für Security-Maßnahmen der Automotive Security
- Definition und Aufbau des Center of Competence Automotive Security
Identifikation und Analyse der Anforderungen an ein CoC Automotive Security
Definition der Aufgaben und Beschreibung der Rollen und Prozesse des CoC Automotive Security
Abstimmung mit allen relevanten Ansprechpartnern der beteiligten Abteilungen
Erstellung eines Maßnahmenplans zur Umsetzung des CoC Automotive Security
Umsetzung des Maßnahmenplans und Integration des CoC Automotive Security in die Prozesslandschaft des Auftraggebers
Unterstützung der Projektleitung bei der Implementierung des CoC Automotive Security inklusive Koordination aller beteiligten Stellen
- Bedrohungs- und Risikoanalyse Fahrzeug Security
Entwicklung und Erstellung einer Bedrohungs- und Risiko-Analyse auf Basis der VIVA Kriterien (Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität) für die Security-Architektur des neuesten Fahrzeug-Modells sowohl für die Fahrzeugseite, als auch für die Infrastrukturseite
Mit den relevanten Ansprechpartnern das Risikoprofil der jeweiligen Kunden- und Systemfunktion diskutieren und priorisieren (Schutzbedarfsfeststellung)
Das Gesamtrisiko für das Fahrzeug aus den Einzelrisiken der Kunden- und Systemfunktionen ableiten
Das Gesamtrisiko für die Infrastruktur aus den Einzelrisiken der jeweiligen Kundenfunktionen ableiten
Festlegung von Security-Bausteinen, die geeignet sind, die Bordnetzarchitektur abzusichern
Bestimmen des Restrisikos gemäß der BMW Vorgaben
- Digital Rights Management for Napster
Entwurf und Entwicklung einer hochperformanten PKI für 50 Millionen Napster-Nutzer
Entwurf von ganz neuen Obfuscation Techniken und Integration in die Napster Software, zur Durchsetzung von Digital Rights Management
- Identrus
Identrus war eine Initiative international agierender Großbanken zum Aufbau einer Public-Key-Infrastruktur im Business-2-Business Umfeld, um den E-Commerce zu fördern
Zusammen mit Identrus wurden neue Sicherheitsprotokolle für elektronische Geschäftsprozesse entwickelt
Die dafür entwickelte Software wurde als Referenzsoftware eingesetzt, um wiederum Software von Drittanbietern auf ihre Kompatibilität zu testen
Patenteinreichungen:
20020165827: System and method for facilitating signing by buyers in electronic commerce
20020112156: System and method for secure smartcard issuance
- BaanERP Security
Entwurf und Entwicklung eines Client-Server-Systems unter Verwendung von signaturgesetzkonformen Hardwarekomponenten zur sicheren Anmeldung an ein Baan ERP-System für das Land Niedersachsen
Anders als im SAP Fall konnte hier die Integration der Sicherheitsfunktionalität nicht direkt im Baan ERP-System erfolgen
Die Realisierung wurde sowohl client- als auch serverseitig als Middleware ausgeführt
Clientseitig wurde der Microsoft Protokollstack erweitert und serverseitig agiert die Middleware als Proxy, der erst nach erfolgreicher Benutzerauthentifikation die Verbindung zum BaanERP-Server erlaubt
Als Hardwarekomponente wurde die SigG-konforme Smartcard der Deutschen Telekom eingesetzt
- Security für SAP R/3
Entwurf und Entwicklung eines Produktes zur Absicherung der Client/Server Kommunikation von SAP R/3
Exportrestriktionen machten es für SAP notwendig, eine Schnittstelle in das R/3 System so zu integrieren, dass Drittprodukte die Kommunikationsverschlüsselung realisieren konnten, ohne dass SAP selbst Sicherheitsfunktionalität implementieren würde
Das Protokoll musste die starke Authentifikation der Anwender gewährleisten und die Client-Server-Verbindung verschlüsseln
Der Einsatz von Hardware zur Erhöhung der Sicherheit musste möglich sein
- Secure Online Banking
Entwurf und Entwicklung eines sicheren Online-Banking-Protokolls für die Dresdner Bank
Zum Zeitpunkt des Projektes setzten gängige Online-Banking Implementierungen ausschließlich auf PIN/TAN-Verfahren zur Authentifikations- und Transaktionssicherheit
Digitale Signaturen sind noch heute in diesem Bereich unüblich, dabei eignen sie sich hervorragend um genau diese Funktionalität sicherzustellen
In Kooperation mit verschiedenen Firmen wurde auf Basis von digitalen Signaturen ein Online-Banking Protokoll entwickelt, das den kompletten Prozess modelliert, von der Zertifikatsausstellung bis zur Online-Transaktionsabwicklung
- Security in OSI-Management
Entwurf von Spezifikationen um Zugriffskontrolle in eine bestehende X.700 OSI Managementplattform zu integrieren
Implementierung von Zugriffskontrolle für OSI Management (X.741)
Veröffentlichung wissenschaftlicher Papiere über Sicherheitspolitiken und ihrer Repräsentation
Entwurf von Spezifikationen um Sicherheitspolitiken in eine bestehende OSI Managementplattform zu integrieren
Implementierung von Sicherheitspolitiken in eine bestehende OSI Management Plattform
Zeugnisse und Referenzen