Kategorie-Archiv: Beruf

Eigene Veröffentlichungen

Folgende Artikel habe ich bisher in Fachzeitschriften und Büchern veröffentlicht (Stand Januar 2017):

  1. Basse, G. : Managed Services für ein standardbasiertes Risikomanagement.
    Branchenbuch IT-Sicherheit 2017, DATAKONTEXT Verlag, ISSN 1886-5757
  2. Basse, G. : Nutzung von IT-Grundschutz bei der Konzeption komplexer IT-Sicherheitsstrukturen.
    Vortrag auf dem 2. IT-Grundschutz-Tag 2015 des BSI. siehe www.bsi.bund.de
  3. Basse, G. : Der Apple IIGS.
    Load Magazin #1 ISSN 2194-3567 (2012) 50-52
  4. Basse, G. : Totgeglaubte leben länger
    Load Magazin #1 ISSN 2194-3567 (2012) 52-53
  5. Online-Veröffentlichungen aus Projekten zur Informationssicherheit in der niedersächsischen Landesverwaltung
    • Informationssicherheit in Projekten (PDF).
      Nds. Ministerium für Inneres und Sport, 2006
    • 13 Aussagen zur Informationssicherheit (PDF).
      Nds. Ministerium für Inneres und Sport, 2006
    • Richtlinie für Informationssicherheit der Muster-Institution (PDF)
      Nds. Ministerium für Inneres und Sport, 2007
    • Richtlinie zur Organisationsstruktur in der Muster-Institution (PDF)
      Nds. Ministerium für Inneres und Sport, 2007
    • Richtlinie zur Dokumentationsstruktur in der Muster-Institution (PDF)
      Nds. Ministerium für Inneres und Sport, 2007
  6. Basse, G.: Projekt Netzübergänge
    iznMail 4 (2007) 29-31
  7. Basse, G.: Freie Emulatoren unter Linux
    freeX 1 (2005) 13-26
  8. Basse, G.: Der Zahn der Zeit- Zugriff auf 15 Jahre alte Dokumente
    freeX 5 (2003) 23-27
  9. Basse, G.: FreeBSD 5 Administration mit Webminin: Redaktion freeX (Hrsg): FreeBSD 5, C&L Verlag, Böblingen, ISBN 3-936546-06-1
  10. Basse, G.: NetBSD Administration mit Webminin: Redaktion freeX (Hrsg): NetBSD 1.6, C&L Verlag Böblingen, S.739-765, ISBN 3-936546-00-2
  11. Basse, G.: Usermin- Eine sinnvoll Ergänzung
    freeX 1 (2003) 45-46
  12. Basse, G.: Kalender mit Netzwerkanschluss
    freeX 2 (2002) 25-27
  13. Basse, G.: Netzwerk- und Systemmonitoring mit BigBrother
    freeX 1 (2002)
  14. Basse, G., Nadzeyka, L. und Braun, J:Administration mit Webmin
    in: Redaktion freeX (Hrsg): FreeBSD 4, C&L Verlag Böblingen (2001) ISBN3-932311-88-4
  15. Basse, G.: Agenda VR3 in der Praxis
    freeX 6 (2001) 35-39
  16. Linuxverwaltung mit Webmin
    1. Nadzeyka, L. und Basse, G.: Oscarverleihung-Systemadministration mit Webmin
      freeX 4 (2000) 20-26
    2. Nadzeyka, L. und Basse, G.: Benutzerverwaltung mit Webmin
      freeX 4 (2000) 64-68
    3. Basse, G.: Webserver mit Webmin verwalten
      freeX 4 (2001) 38-43
  17. Basse, G.: Der Linuxtag 1999 in Kaiserslautern
    Linux Magazin 9 (1999)
  18. Basse, G.: Novell Netware Emulation unter Linux
    c’t 20 (1998) 214-221 Achtung ! Nur gegen Gebühr im Heise Online Kiosk einsehbar
  19. Netzwerkmanagement mit Linux
    1. Basse, G.: Men in Black
      Linux Magazin 7 (1998) 69-73
    2. Basse, G.: Agentenfieber
      Linux Magazin 8 (1998) 56-61
    3. Basse, G.: /a>Kommandobrücke
      Linux Magazin 9 (1998) 42-48
  20. Basse, G.: Der Macintosh-like Windowmanager mlvwm
    Linux Magazin 11 (1997) 16-20
  21. Basse, G.: Hier kommt die Maus- das Paket OffiX
    Linux Magazin 12 (1996) 55-58
  22. Basse, G.: Täuschend echt- FVWM95
    Linux Magazin 9 (1996) 54-60
  23. Basse, G.: DOS und Linux verbinden
    Linux Magazin 9 (1996) 35-40
  24. Basse, G. und Demmel, S.: 3. internationaler Linux-Kongress
    Linux Magazin 7 (1996) 8-13
  25. Basse, G.: Ein 386SX wird zum Printserver
    Linux Magazin 6 (1996) 32-38
  26. Basse, G.: Die Maschen des Netzes
    Linux Magazin 5 (1996) 44-54
  27. Basse, G.: StarOffice für Linux
    Linux Magazin 5 (1996) 7-9
  28. Basse, G.: Linux in heterogenen Netzwerken
    Linux Magazin 4 (1996) 7-15
  29. Basse, G.: Emacs als C++ Entwicklungsumgebung.
    Linux Magazin 2 (1996) 12-14
  30. G. Basse, M.G. Lorenz and W. Wackernagel: A biological assay for the sensitive and quantifiable detection of extracellular microbial DNases. Journal of Microbiological Methods, Volume 20, Issue 2, July 1994, Pages 137-147

Ausbildung und Projekterfahrung

Hier sind meine Projekterfahrungen und Fertigkeiten stichpunktartig zusammengefasst.

Ausbildung

  1. Diplom-Biologe
    Carl von Ossietzky Uni Oldenburg
  2. Software-Entwickler Technik
    Bundestechnologiezentrum f. Elektro- und Informationstechnik

Zusatzausbildungen und Zertifizierungen

  • PRINCE2 ™ Practioneer Certfication
  • Zertifizierter ISO 27001:2005 Lead Auditor
  • Lizenzierter Auditteamleiter für ISO 27001-Audits auf Basis von IT-Grundschutz
  • Foundation Certificate in IT Service Management (ITIL)
  • Check Point VPN-1/FW-1 NG Certification
  • Sophos Antivirus & Enterprise Manager
  • Cobion Certified Engineer
  • T/Bone SecureMail Gateway (jetzt Zertificon)
  • Certified Radware Intelligent Application Switching Engineer
  • Tripwire Certified Professional
  • SUN Enterprise Computing Certification
  • SUN Workgroup Computing Certification
  • SAP Business Workflow
  • Certified Netware Administrator

Projekte

Ein kurzer und unvollständiger Abriss meiner bisherigen Projekterfahrungen:

  • IT-Sicherheitskonzeptionen für Voice-over-IP Umgebungen mit Alcatel, Cisco und Unify
  • Informationssicherheitsrevision von Speichernetzen
  • Konzeption der Migration von Sicherheitsgateways in Forschung und Lehre und der öffentlichen Verwaltung
  • Projektmanagement in der öffentlichen Verwaltung, Migration eines Content Security Systems von Open Source Systemen auf Appliances für 150.000 User
  • Entwickeln eines Qualitätssicherungshandbuchs für IT-Sicherheitskonzeptionen auf Basis von IT-Grundschutz / BSI Standard 100-2
  • IT-Sicherheitskonzeption des WAN Netzes einer Landesrundfunkanstalt
  • Konzeption sicherer Netzübergänge (Firewalls, Content Security Systeme etc) für Behörden und Industrieunternehmen
    ( Check Point )
  • Erstellen verbindlicher Richtlinien zur Projektplanung, -umsetzung und -dokumentation sowie des IT-Sicherheitsmanagements für ein Grossunternehmen.
  • Entwicklung eines Benutzerkonzepts für einen Datennetzbetreiber
  • Systemadministration von SUN Solaris- und LINUX Serversystemen eines Dienstleistungs-Rechenzentrums
  • Entwicklung einer IT-Security Policy für einen Energieversorger
  • Entwicklung von Betriebskonzepten und Definition von Service Level Agreements für partielles Outsourcing von IT Security Infrastrukturen
  • Konzeptionelle und technische Unterstützung beim Aufbau des Bereichs „Internet Service Providing“ im Rechenzentrum eines grossen, deutschen Telekommunikationsunternehmens.
  • Projektkoordination und Projektleitung im IT-Security Bereich
  • Konzeption, Aufbau und Betrieb eines Internet Service Provider-Betriebs für ein mittelständisches Unternehmen
  • Betreuung von Internet-Servern (WWW, E-Mail, FTP) unter UNIX und Windows NT im Rahmen eines mehrjährigen, globalen Grossprojekts
  • Konzeption von „virtual private networks“ für Banken, Behörden und Industrieunternehmen
  • Kaufmännisches IT- Management für individuelle Applikationserstellung
  • Migrationen von IT-Security Infrastrukturen
  • Konzeption und Implementierung einer Sicherheits-Infrastruktur im Gesundheitswesen
  • Erstellung eines IT-Sicherheitskonzepts für eine mehrfach redundante Microsoft Exchange Umgebung ( über 30.000 User ).
  • Teilprojektleitung bei der Einführung eines CRM Systems
  • Schwachstellenscan des internen Netzes eines Finanzinstituts
  • IT Security Policy in der öffentlichen Verwaltung- Coaching, fachliche Beratung und Redaktion
  • Konzeption der technischen Betriebsführung für SAP R/3 für ein Dienstleistungsrechenzentrum
  • Sicherheitsanalysen und Einführung von Firewallsystemen ( Watchguard ) in verschiedenen Unternehmen
  • Analyse und Optimierung von heterogenen Netzwerken
  • Durchführung von IT-Sicherheitsprojekte unter Anwendung der BSI Standards 100-1, 100-2, 100-3.
  • Konzeption von Intranet und Internet-Anbindung eines grossen Geldinstituts
  • Aufbau eines Intranets für ein mittelständiges Unternehmen

IT-Grundschutz



Seit Juni 2007 bin ich Auditteamleiter für ISO 27001-Audits auf Basis IT-Grundschutz vom Bundesamt für Sicherheit in der Informationstechnik lizenziert (Lizenz-Nummer BSI-IGL-0150-2012).

Der IT-Grundschutz des BSI definiert den Aufbau eines ISMS gemäss dem „Plan-Do-Check-Act“ Zyklus. Er liefert ausserdem einen modularen Ansatz, um alle organisatorischen, infrastrukturellen, personellen und technischen Komponenten zu modellieren, die zur Abwickung eines IT-gestützten Geschäftsprozesses notwendig sind (IT-Verbund). Anhand dieser Modellierung werden diesem IT-Verbund bereits vordefinierte Gefährdungen zu geordnet und gleichzeitig Massnahmen bestimmt, die zu deren Bekämpfung erforderlich sind.

Dieser Ansatz macht eine zeitaufwändige und fehlerträchtige Risikoanalyse mit der Betrachtung von Eintrittswahrscheinlichkeiten und Schadenshöhen überflüssig und implementiert eine Basissicherheit, die für die Befriedigung normaler Schutzbedarfsanforderungen genügt. Für hohe und sehr hohe Anforderungen bietet diese Basissicherheit eine solide Grundlage für weitergehende Analysen und zusätzliche Massnahmen.

Der Inhalt des IT-Grundschutzes ist in den folgenden Dokumenten niedergelegt:

  1. BSI Standard 100-1: Allgemeine Beschreibung des Ansatzes „ISO 27001 auf Basis IT-Grundschutz“
  2. BSI Standard 100-2: IT-Grundschutz Methodik (Zertifizierbar)
  3. BSI Standard 100-3: Risikoanalyse auf Basis IT-Grundschutz
  4. BSI Standard 100-4: Notfallvorsorge
  5. IT-Grundschutzkataloge: Bausteinkatalog zur Modellierung von IT-Verbünden, Gefährdungskatalog und Massnahmenkatalog.

Es ist möglich, das ISMS für einen IT-Verbund vor diesem Hintergrund auditieren und zertifizieren zu lassen. Das BSI bietet hierzu drei Stufen an und unterscheidet Massnahmen des Grundschutzkatalogs in drei Siegelstufen:

  1. Auditortestat Eingangsstufe: Bestätigung der Umsetzung der Massnahmen der Siegelstufe A.
  2. Auditortestat Ausbaustufe: Bestätigung der Umsetzung der Massnahmen der Siegelstufe A und B.
  3. Zertifikat“ISO 27001 auf Basis IT-Grundschutz“: Bestätigung der Umsetzung der Massnahmen der Siegelstufe A, B und C.

Das Audit wird immer durch einen unabhängigen Auditor durchgeführt, dieser legt die Prüfergebnisse in einem Auditreport nieder. Das BSI prüft und bestätigt in jedem Fall die Abgrenzung des IT-Verbunds, bei Zertifikaten zusätzlich den vollständigen Auditreport.

Informationssicherheitsrevision Revision und -beratung


IS-Revision und IS-Beratung

 

Die Informationssicherheitsrevision (IS-Revision) untersucht regelmässig die Lage der Informationssicherheit einer Organisation. Grundlage des Verfahrens ist der IT-Grundschutz des BSI. Im Gegensatz zu einer Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz ist für eine erfolgreiche IS-Revision jedoch keine vollständige Umsetzung des IT-Grundschutzes erforderlich.
Die Durchführung von IS-Revisionen ist für Bundesbehörden durch den Umsetzungsplan Bund (UP Bund) verpflich-tend und muss alle zwei Jahre geschehen. Der UP Bund beschreibt, wie die Vorgaben des nationalen Plans für den Schutz von Informationsinfrastrukturen (NPSI) in Bundesbehörden umzusetzen sind.
Folgende Arten von IS-Revisionen sind möglich:

  1. IS-Kurzrevision
    Die IS-Kurzrevision verschafft dem IS-Management mit wenig Aufwand einen Überblick über den Sicherheitsstatus beim Auftraggeber. Betrachtet werden Aspekte aus dem IT-Grundschutz, die eine wesentliche Grundlage für Informationssicherheit bilden und sich aufgrund von Erfahrungswerten als problembehaftet erwiesen haben (z. B. Sicherheitsorganisation, Umgang mit mobilen Datenträgern). Die IS-Kurzrevision betrachtet dabei die gesamte Institution.
  2. IS-Querschnittsrevision
    Eine IS-Querschnittsrevision betrachtet nach einem risikobasierten Ansatz wichtige Teile der IT-Struktur einer Organisation. Grundlage der Prüfung sind die jeweiligen Bausteine der IT-Grundschutzkataloge. Dieses Vorgehen schafft einen vollständigen Überblick zur Sicherheitslage in den relevanten Bereichen einer Organisation. Es setzt eine begonnene IT-Sicherheitskonzeption nach BSI Standard 100-2 voraus, da die Referenzdokumente zur IT-Struktur, dem Schutzbedarf und der Modellierung des Informationsverbunds vor Beginn der Prüfung vorliegen müssen.
  3. IS-Partialrevision

    Eine IS-Partialrevision beschränkt sich auf einen speziellen Ausschnitt der Institution. Die Prüftiefe ist wesentlich größer als bei der IS-Kurzrevision. Sie ist prädestiniert für die IS-Revision von kritischen Geschäftsprozessen. Da sich eine IS-Partialrevision auf bestimmte IT-Verfahren beschränkt, werden auch nur die damit verbundenen Systeme und die hierfür anzuwendenden Bausteine des IT-Grundschutzes betrachtet. Abhängig vom definierten Prüfumfang kann bei einer IS-Partialrevision eine stichprobenbasierte Prüfung oder eine vollständige Prüfung aller zutreffenden Maßnahmen sinnvoll sein. Darüber hinaus gelten die gleichen Regelungen und Abläufe wie bei der IS-Querschnittsrevision.

Ich führe IS-Revisionen in allen drei Kategorien durch, je nach Prüfgegenstand auch gemeinsam mit technischen Experten. Die Ergebnisse werden in der seitens des BSI vorgegebenen Form dokumentiert und auf Wunsch in Form von zielgruppenorientierten Workshops erläutert.

Mein Lebenslauf

Geboren wurde ich 1964 in Oldenburg, wo ich auch meine Schulzeit und mein Studium absolvierte. Frühzeitig entdeckte ich mein Interesse an der Biologie, später an der Computer-Programmierung. Nach dem Abitur entschied ich mich dennoch für ein Studium der Biologie, das ich mit einer Diplomarbeit im Bereich der molekularen Genetik der Mikroorganismen abschloss. Während des Studiums und in der Zeit danach vertiefte ich mein Interesse an der praktischen Informatik. Seit 1995 bin ich nur noch auf diesem Gebiet tätig, nach einer Fortbildung als Software- Entwickler. Seit 1997 lebe ich in Hannover und bin beruflich in der Informationstechnologie tätig, seit vielen Jahren mit dem Schwerpunkt Informationssicherheit.

Meine bisherige Laufbahn in Kürze:

  • Seit Februar 2014 PRINCE2 Practioneer (Projektmanagement)
  • Seit Dezember 2009 zertifizierter IS-Revisions- und IS-Beratungsexperte auf der Basis von IT-Grundschutz
  • Seit April 2008 zertifizierter ISO 27001:2005 Lead Auditor (britisches BSi)
  • Seit Mai 2007 durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) lizenzierter Auditor für ISO 27001 Audits auf Basis von IT-Grundschutz (Lizenznummer BSI-IGL-0150-2007)
  • Seit Januar 2002 Anstellung als IT Security Consultant bei der Controlware GmbH
  • Von Januar 1997 bis Dezember 2001 Anstellung als DV-Berater und Systemspezialist bei der Gesellschaft für RZ-Automation und Systemsoftware (GRASS) mbH , Langenhagen, Tätigkeit in verschiedenen Projekten.
  • Seit 1996 Veröffentlichung zahlreicher Artikel in Fachmagazinen zum Thema Linux, Netzwerke, X11 Window System und Programmierung
  • Von Januar 1996 bis Dezember 1996 Teilnahme an einer Fortbildung zum Softwareentwickler Technik an der Bundesfachlehranstalt für Elektrotechnik, ua. Zertifizierung als Novell Netware Administrator (CNA).Abschlußprojekt: „Erfassung occulometrischer Meßdaten und Auswertung mit Visual C++ für die objektive Werbeanalyse“
  • Von Oktober 1992 bis März 1995 Beschäftigung in einem BMFT-Projekt zu Aspekten des horizontalen Gentransfers bei Mikroorganismen. In diesem Zusammenhang wurden veröffentlicht :

    G. Basse, M.G. Lorenz, W. Wackernagel: A biological assay for the quantifiable and sensitive detection of microbial DNases.
    J. Microbiol. Methods 20 (1994) 137-147

  • Im August 1992 Vollendung des Studiums in der Arbeitsgruppe Genetik der Uni Oldenburg (Prof. Dr. W. Wackernagel, Priv. Doz. Dr. M.G. Lorenz).Diplomarbeit: „Charakterisierung von transformationsdefizienten Mutanten von Pseudomonas stutzeri isoliert nach Transposonmutagenese“
  • Ab 1985 Studium im Diplomstudiengang Biologie an der Carl-von-Ossietzky Universität Oldenburg Parallel zum Studium Besuch zahlreicher Veranstaltungen im Hochschulrechenzentrum und im Fachbereich Informatik.