loading

Freelancer profile Steffen Müller from Königstein, Information Security Manager/Technical Information Security Consultant (CISSP CCSP CISA Prince2) | Profiles from freelancers and companies

You are here:  Freelancers  »  Steffen Müller

 
 

Steffen Müller, Information Security Manager/Technical Information Security Consultant (CISSP CCSP CISA Prince2)

Profileimage by Steffen Mueller Information Security Manager/Technical Information Security Consultant  (CISSP CCSP CISA Prince2) from Koenigstein
Steffen Müller
Infosec-Freelancer.de

Information Security Manager/Technical Information Security Consultant (CISSP CCSP CISA Prince2)

61462 Königstein Freelancer in
 
 
 

partly available
Hourly-/Daily rates: 105.00 €/hour 840.00 €/day
8 Stunden netto für den Raum Frankfurt am Main +75km
Last update: 17.02.2017 17:45

Attachments
- none -
Language skills
German (first language)English (business fluent)

Abilities, knowledge, experiences of Steffen Müller

Kernkompetenzen:

Security Management

• Sicherheitsprüfungen Infrastruktur Design/Implementierung und Beratung
• IT-Sicherheitsmanagement & GRC (Governance, Risk, Compliance) Beratung • Anforderungsbestimmung und Analyse
• Sicherheitsrichtlinien, Sicherheitsüberwachung (Monitoring) und Auditierung

Technische Beratung & Architektur (keine Systemadministration!)

• (Privileged) Identity & Access Management
Federated Identity Management (Ein- und Anbindung externer Benutzer mit Hilfe von z.B. SAML, OpenIDConnect mit JWT über OAuth)
Verzeichnisdienste, Public Key Infrastrukturen, Single Sign On, Smartcards, eToken

• Privileged Activity Monitoring (Aufzeichnung/Auswertung/Korrelation) • Security Information & Event Monitoring (SIEM)
• Digitale Signaturen
• Netzwerk- und Systemsicherheit

• Netzwerk-Design
• AAA (Authentifizierung, Autorisierung und Accounting) • VPNs & Mobile Computing
• Rechenzentrumssicherheit

IT-Governance, Risk & Compliance

• Bedrohungsanalysen und Risikobewertung
• Performance-Messung – was sind die KPIs? • IT Steuerung - Profiling/Optimierung

Welche Prozesse sind relevant?

Was sind kritische Erfolgsfaktoren für wirksame Kontrollmechanismen? • Business Awareness (Management Bewusstsein)
• Bewusstseinsschärfung von Mitarbeitern
• Benchmarking

Was und wie tun es andere? Wo steht Ihre Organisation im Vergleich?

Was können Sie jetzt sofort tun, was mittel- und langfristig? • Richtlinien,Verfahren,Prüfungen/Expertisen

Security Prüfungen/Expertisen

Audit-Berater – als Subject Matter Expert (fachlich kompetenter Experte) und Mittler zwischen Audit Problem Eigentümer und Auditoren nach den ISO 27000, ISACA CobiT und BSI Grundschutz Rahmenwerken mit eigenen Änderungen. Pragmatische Ausrichtung der Prozesse an ITIL-Prinzipien.

Expertisen/Gutachten – Bewertungen von Security-Konzepten und Beratung. 


References of Steffen Müller

11/2016 – 12/2016 DP/DHL
Senior Security Advisor & Risk Manager
Neubewertung und fachliche Unterstützung bei der Erstellung und Erweiterung eines Sicherheitskonzepts für virtual firewall und load balancer Services, welche als Bausteine für Cloud basierte DP/DHL Services dienen sollen. Erstellt wurden dabei eine initiale Risikobewertung, eine Thread Modellierung nach der STRIDE Methodik, ein angepasster Maßnahmenkatalog mit den entsprechenden Kontrollanforderungen zur Mitigierung der identifizierten Risiken, sowie die Restrisikobewertung mit Empfehlungen.

08/2016 – 10/2016 Falkatus / CSL
Senior Security Advisor
Fachliche Beratung und Review der Agentur für die Erstellung von Security Awareness e-learning Material zur Schulung von Mitarbeitern zu den Themen Informationsklassifizierung und sicheren Umgang mit Patientendaten.

03/2016 – 06/2016 Deutsche Bank PWCC DCRO Technology
Senior Security Advisor & Risikomanager
Unterstützung der 3 Layers of Defence (3LoD) (3 Verteidigungslinien) Initiative der Bank mit technischem Know-How und IT Security Expertise.
Beratung bei Bewertung und Identifikation von möglichen bereichsübergreifenden Themen (z.B. Idenditäts & Zugriffs Management, Security Monitoring, Security Architektur) zur Verringerung/Vermeidung von unkoordinierten Lösungsansätzen und daraus resultierender Redundanzen oder Insellösungen.

1/2016 - 1/2016 British Telecom, Eschborn (Telekommunikation)
Senior Security Spezialist & Advisor (Interim)
Interim Senior Spezialist & Sicherheitsberater für einen neu erworbenen BT-Kunden im Logistikbereich. Erfolgreiche Anpassung des hoch zeitkritischen ISMS Rahmens und Erstellung einer BIA (Business Impact Analyse). Beratung im Bereich Sicherheitsarchitektur, Governance, Risk & Compliance für alle Fragestellungen im Bereich der vertragsrelevanten Dienstleistungen.
Direkter Partner des globalen Teamleads Business Continuity/Kundensicherheit.

11/2015 – 12/2015 Deutsche Bank
Senior Security Solution Architect & Advisor / TISO
Projekt litt unter einer internen Reorganisationsinitiative. Linien Management des Bereichs wurde in mehreren Ebenen ausgetauscht. Verantwortlichkeiten und Berichtslinie danach bis zur jährlichen „Mandatory Time Away“ (Pflichtabwesenheitszeit) Ende Dezember nicht zu klären.
Projekt endete daher vertragsgemäß mit Pflichtabwesenheitszeit am 17. Dezember 2015.

04/2014 - 10/2015 Deutsche Bank
Senior Security Architect & Advisor
Senior Security Architekt verantwortlich für Design des Administrative Minimal Rights for Vendors (minimale Administratorrechte für Anbieter (AMR4V)) technischen Unterbaus. Das AMR4V-Projekt verbindet zwei große Anstrengungen, um effektiv regulatorische Anbieter Governance-Anforderungen zu erfüllen:
1. präventivBegrenzungundKontrolledesprivilegiertenZugangszuSystemen. 2. erstelleneinerzufriedenstellendenBeweisketteprivilegierterZugriffebeideren
Auftreten.
Effektive Begrenzung und Steuerung des Zugriffs auf ein IT-System stützt sich auf die Fähigkeit der Mittlerkomponente (Middleware) zur Überprüfung des Zwecks, warum ein System-Administrator den Zugriff anfordert, bevor der Zugang technisch gewährt wird und er/sie privilegiert auf dem System arbeiten darf.
Die Entscheidung ob der Zugriff gewährt oder abgelehnt wird basiert auf einer Überprüfung der Change Ticket oder Incident Ticket Stati, sowie von Attributen.
Der zweite Teil ist eine zufriedenstellende Beweiskette (Audit-Trail) der privilegierten Aktionen auf einem Zielsystem zur Verfügung zu stellen. Diese Beweiskette basiert auf einer ausgereiften Kombination und Konsolidierung von Steuerelementen und Informationsströmen.
Schlüsselinformationen und Informationsströme sind:
  • Ticket-Informationen (ServiceNOW).
  • SAML 2.0 IAM Attribute ausgerichtet an einvernehmlich definierten Zugangs
    Szenarien (Attribut & rollenbasierte Zugriffssteuerung – ABAC/RBAC).
  • Security Event Monitoring (ArcSight/Splunk).
  • AMR4V Komponenten basiertem Application Security Event Monitoring
    (ArcSight/Splunk).
  • Sitzungsüberwachung (Zugangsgewährung) und Aufzeichnung (perspektivisch
    ObserveIT, übergangsweise Balabit SCB).
    Diese Kontroll- und Beweiskette wird konsultiert, um Governance-Funktionen zu erfüllen, indem Sie Aufgaben wie Überprüfung von Änderungen und Wurzel Ursache Analysen wirkungsvoll unterstützt. Sie deckt auch regulatorische Anforderungen (z.B. KWG Paragraph 25ff.) über die laufende Überwachung der Anbieter ab. Sie liefert Beweise für mögliche gerichtliche Auseinandersetzungen oder wenn die Ursache einer Dienstleistungsstörung nachgewiesen werden muss. Dies geschieht durch die effektive Beantwortung der Fragen "Wer hat was, wo, wann, warum und wie getan?".
10/2010 – 03/2014 Deutsche Bank – Security Execution Management
Management Consultant – TISO IES/GSR
Senior Security Advisor & TISO GSR (Global Security & Risk) & GT (Global Technology) mit direkter Berichtslinie zu Direktoren GSR/GT.
Verantwortlich für Management von Fachexperten der Bank sowie dem Outsourcing Partner IBM bei Planung und Umsetzung von Risikomanagement- und Prüfaktivitäten. Hierbei werden Themen wie z.B. Operational Risk Management, regulatorische Prüfungen und die Einhaltung von Richtlinien und Frameworks koordiniert und fachlich unterstützt.
Selbstständige sowie eigenverantwortliche fachliche Unterstützung von Projekten zur Mitigierung von Risiken als technischer Ansprechpartner (UNIX, Netzwerke, PKI, Activity Monitoring), sowie fachliche Bewertung von Risk Assessments.
Fachliche Unterstützung bei Self-Assessments, IT-Risikoanalysen in unterschiedlichen IT-Infrastrukturbereichen in einem globalen Kontext.
Aktive Gestaltung der Kommunikation und Kooperation mit anderen Bereichen in GT, Audit Resolution sowie Group & Global Audit als focal point und Projekt Manager (SCCM Integration, Activity Monitoring).
Fachliche Unterstützung bei der Vorbereitung von Berichten und Präsentationen für das IT-Management.
Funktion als Technologie Spezialist mit tiefgreifendem Erfahrungsschatz in den Bereichen Infrastruktur – und Applikationssicherheit.

06/2010 – 10/2010 Telekom – IS Management
Senior Consultant – Project Security Manager OneIdentity
Überführung von IT Services in den Zustand „geregeltes System“ im Hinblick auf Datenschutz, Sicherheitskonzepte, Dokumentation zur Anbindung an das zentrale Identity Management der Telekom. Koordination der Prozessbeteiligten. Review, Abstimmung und fachliche Unterstützung der Fachseiten bei der Erfüllung der Compliance relevanten Anforderungen.

02/2010 – 05/2010 T-Mobile GHS – IS Management
Senior Security Consultant – Regional Security Manager (DACH)
Vorantreiben des Procurements einer PCI-DSS GRC Lösung zur Konsolidierung von PCI-DSS Audit Findings und Reports der Ländergesellschaften (Sicherheitskonzept, Vendor Hearings, interne Koordination mit Service Provider).
Organisatorische Unterstützung der Abteilung DIS (Data & IT Security) beim Teambildungsprozess. Etablierung einer offenen Kommunikationskultur durch Unterstützung des Communication Officers bei der Einführung eines Wikis zur Teamkommunikation.
  • Entwicklung von Security relevanten Vorschlägen, Prozeduren und Richtlinien für verschiedene Plattformen und diverse Systemumgebungen für europäische NatCos.
  • Review von Entwicklungen, Assessments und Implementierung von Security Initiativen/Plänen sowie den entsprechenden Controls.
  • Untersuchung und Empfehlung von angemessenen Maßnahmen zur Eindämmung von Sicherheitsvorfällen.
  • Projekt Management Unterstützung für Services in hochkomplexen Information/IT Security Projekten und Vorfällen.
  • Identifizierung von Security bezogenen Risiken für das Unternehmen. Sicherstellung von angemessenem Vorgehen und Auswahl von geeigneten Produkten.
  • Aufrechterhaltung und Unterstützung der Awareness für die Corporate Security Policies und gesetzliche Vorgaben.
?10/2008 – 12/2009 Europäische Zentralbank – IS Management
Senior Security Consultant
Fachliche und organisatorische Unterstützung des Senior Information Security Advisor und seines Teams. Erarbeitung eines stringenten jedoch umsetzbaren und realitätsnahen Security Policy Frameworks (Policies, Guidelines, Procedures) in enger Abstimmung mit Fachabteilungen. Bereinigung von Policies ohne Bezug zur Realität („shelfware“). Erstellung technischer Guidelines zur sicheren Konfiguration und Design von IT Services und Infrastrukturen.
Security „Marketing“ ggü. technischen und nichttechnischen Fachabteilungen (Brücken schlagen und vermitteln).
Unterstützung bei der Etablierung und Implementierung des „Be@ware“ Awareness Programms der EZB u.a. durch fachliche Mitwirkung an einem E-Learning Konzept (hier Vorschläge zur Implementierung eines Learning Management System (LMS) als auch Erstellung eigener Lern- und Testinhalte.
Design einer Remote Access Lösung für Mitglieder anderer Zentralbanken, als auch sicherer und nachvollziehbarer Zugriff von „supporting 3rd parties“ (z.B. Hersteller, SW Entwickler) mit Session Aufzeichnung und Unterbindung direkten IP Zugriffs (über CITRIX ICA).

03/2007 – 09/2008 Deutsche Post AG Brief
Senior Security Consultant + consulting Auditor
Fachliche und organisatorische Unterstützung des Chief Information Security Officer (CISO). Bewertung von IT Vorhaben im Hinblick auf Sicherheit, Überprüfung von Sicherheitskonzepten, sicherheitsrelevanten Prozessen und Architekturen von Dienstleistern (Audits). Definition und Einführung eines Basis Prozesses zum Management von Schwachstellen. Grobkonzept für eine Security, Information and Event Management (SIEM) Plattform auf Basis von Arcsight SIEM. Gestaltung eines Informationssicherheitsportals auf Wiki Basis (Atlassian Confluence). Fachliche Betreuung und Unterstützung bei Web Application Scans. Security Advisor für Fachabteilungen. 
09/2006 – 03/2007 Deutsche Bank
Senior Security Consultant (Governance) + consulting Auditor
Fachliche Begleitung von Audit Issue Resolutions – Vermittlung der Sichtweise eines Auditors hin zum Audit Closure Management. Fachliche Mitwirkung bei der Erstellung eines konzernweiten Security Monitoring Frameworks. Maßgebliche fachliche Mitwirkung bei der Einführung eines neuen und vereinfachten Audit Resolution Prozesses.
Weitere Projekte zur Information (in Englischer Sprache)

05/2006 – 08/2006 SAP Subsidiary
Senior Security Architect, Advisor
Supporting invitations to tender in context of the German electronic health card with a clear focus on an acceptable level of security during the implementation of an embedded middleware system. Reviewing and commenting the implementation of the card management system, the PKI and mass production processes. Main focus is protection of privacy, clean and tamper proof audit trail as well as technical measures to ensure availability, integrity, non repudiation and confidentiality. Local „security evangelist “

12/2005 – 03/2006 Hessische Zentrale für Datenverarbeitung
Technical Project Manager
Planning and engineering of several projects in the public sector as technical Project Manager. Advisory and design of an out-of-band management solution to enhance the quality of service with a clear focus on security.

06/2004 – 11/2005 Eumetsat Darmstadt
Senior Consultant Networks & Security
Project definition, consolidation, requirements evaluation, design, implementation and documentation of a secure mobile computing platform (VPN). Supervising consultancy for the network refactoring project in terms of general network and system security (evaluation of an 802.1x based authentication infrastructure, Open CA centrally managed endpoint security policy enforcement and reporting). Establishment of an incident response process in close cooperation with the IT support division.
Introduction of OSSIM for consolidated incident reporting and alerting. Assisting the organization with the preparation for a BS 7799 audit planned for 2005 based on experience with the ‘German „IT Grund-schutzhandbuch“.

04/2003 – 01/2004 Star Alliance
Freelancing technical co-project manager
Consultancy during the introduction of a PKI/Bridge CA (Open CA) and Novell eDirectory for all partner airlines of the group. The Directory is to serve as a container to centrally store and manage user data, certificates and credentials. RBAC (role based access control) to applications from different airlines is handled by Novell iChain as secure gatekeeper accessing the directory to retrieve user data and credentials. Supported the introduction of a baseline Security Policy and adjustment of the IT infrastructure to meet the prior defined rules. Setup and administration of LINUX based firewalls (iptables) as well as Checkpoint NG on NOKIA hardware (IP530). Supported operation team with general network design (Cisco environment) regarding security. Introduction of a service monitoring tool (NAGIOS) to enhance service availability by in- time problem notification of administrators.

05/2001 – 01/2003 DBV Winterthur
Freelancing technical co-project manager
Introduction of Entrust PKI (Public key Infrastructure) for safe client certificate based RBAC to backend systems in the B2B (selling) and B2C Internet portal of an international insurance company. VPN Re- Design with integration of the existing Utimaco based infrastructure. Technical consulting (mainly IPSEC usage on Cisco equipment) for the LAN/WAN Re-Design Project. Supported the CSO and IT security personnel by adapting the IT security policy to a new VPN and LAN/WAN infrastructure. Designed and implemented an export and import interface for the user administration database to the Radius LDAP backend in the VPN environment written in Perl and bash. Created a tool for mass updating Cisco routers via ISDN written with the expect tool from TCL specially tailored to the customer’s demands. Designed and implemented the new VPN infrastructure based on a highly scalable dial up infrastructure. Created a Perl written accounting tool allowing to check the provider bills against an own radius accounting.
Wrote a complete operating documentation for the VPN and PKI. Introduced the CRICKET grapher based on rrdtool to allow graphical analyses of network traffic. Attended and supported technical discussions between ISP and customer.

01/2000 – 03/ 2001 TeleCash
Freelancing lead Consultant/system integrator
Introduced Linux as a new operating system to a leading EC/Credit card billing provider (Part of Dt. Telekom). Established and supported a Net900 Micro Payment system based on Linux and Postgres DB. Net900 was positioned as payment follow-up system of VTX in the market. System administration, design and implementation of a platform independent backup concept with AMANDA. Consultation in questions of system and network security (Checkpoint FW1, Linux based solutions). Support of internal coworkers with Cisco Router/Switches as well as Internet generally. Design and implementation of a multi-location mail system based on Postfix MTA running on Linux. Training of coworkers and computer center personnel in terms of a baseline security policy. Writing/reviewing technical documentation.

06/1999 – 12/ 1999 DBV Winterthur
Freelancing lead Consultant/technical project assistant
Conception, co-ordination and realization of a VPN with use of Crypto hard/software to offer high secure Remote Access for approx. 500 agencies, 2000 free brokers and about 600 field representatives. Design and implementation of a basic Utimaco PKI. Design and implementation of a redundant VPN Crypto Gateway with 2 Radware Fireproofs based on Utimaco Safeguard VPN. Defined processes for X.509 certificate distribution. Supported the CIO in the decision process (risk-usability-cost) for a suitable Certificate storage (Smartcard, Hard disk, Diskette or upcoming USB Token). This project was realized as a reference project together with KPN/QWest Germany. Product evaluation for a Web2Host solution in the context of the VPN and in-house use - Replacement of Attachmate InfoConnect by Attachmate e-Vantage. Support of internal coworkers with the administration/auditing of the Checkpoint/Cisco PIX Firewall systems as well as configuration of Cisco Routers/Switches.
Special feature: Successfully implemented a dial out solution for the integration and co- ordination of all specialized divisions and internal/external specialists involved in NOVADATA PRISMA as the tool for the software and inventory data distribution within the VPN. Tight co-operation with NOVADATA, as well as consulting of the Internet/Intranet group and their support in co-operation with the ISP. Direct consulting of the IT managers and the steering committee in questions of network optimization and cost/use analysis.

Project Experience as employee
1998 – 1999 Xlink Internet Service GmbH/KPN Qwest (Employee)
Head of technical division + Senior Consultant/technical project manager
Tasks:
Advisor and technical contact during the realization of a VPDN (Virtual private Dialup Network) for D2 Mannesmann (today VODAFONE Germany). Project leader in Cologne for the Xlink pilot project "Voice/FAX of over IP" (Internet telephony/FAX) together with NOKIA IP Telephony Systems (former Vienna Systems) and the American Xlink/Eunet intl. mother KPN/QWEST.
Binding insurance companies of the GDV (federation of German insurance companies) to the VIS (federation information system) over the Xlink infrastructure by secured tunneling. Here particularly consulting with the selection of hardware (Cisco) and Traveler Solutions (Notebooks with crypted GSM/Modem binding). Occasionally „support of last resort“ for field technicians.

1997 – 1999 Xlink Internet Service GmbH (Employee)
Head of technical division + Senior Consultant
Tasks:
Realization of a VPN/VPDN concept for an insurance company of the GDV, today ERGO group. Responsible for planning and implementation of the POPs (Points of Presence) Cologne, Düsseldorf, as well as further „Robo POPs“ (remotely administered) with Xlink Cologne. Full responsibility for technology and technical support of Key Customers and technical sales support (Presales). Pre-Sales Senior consultant for many different tasks at Xlink (leading German ISP) such as network design, trouble shooting, 3rd level support, firewall, mail and UNIX system administration.

1995 - 1997 NTG/Xlink Karlsruhe (Employee)
Network specialist + Consultant
Tasks:
Network design and troubleshooting, UNIX system administration. Technical field support, 3rd level support, local ISDN NetGW Guru. Local Linux advocate.

August 1994 – April 1995 Stopa Anlagenbau Gamshurst
Software Developer
Tasks:
Porting of a DB based (Informix SE) stock management system with SPS binding (Siemens SIMATIC) from Interactive UNIX to Linux, with Stopa Anlagenbau, Gamshurst as a freelancer.

January 1994 to July 1994: Schiele SCT GmbH
Software Developer
Tasks:
Co-operation as developer with the production of a WWW based distributor information system with data base binding for Pfeiffer & May sanitary wholesale as a freelancer with SCT Schiele Computer Services Karlsruhe.

1987 to 1994
freelancing advisor / study / apprenticeship
Consulting, planning and implementation of networks and IT in enterprises. Specialization on Data Transmission and BBS systems.

From 1987 to 1994 Sysop of an own Fidonet BBS. 


Location flexibility of Steffen Müller

Bevorzugt im Raum Frankfurt am Main +75km (z.B. Mainz, Wiesbaden, Darmstadt)