Dr.-Ing. Markus a Campo

  
Seit 2006 bin ich von der IHK Aachen öffentlich bestellter und vereidigter Sachverständiger mit dem Bestellungstenor "Systeme und Anwendungen der Informationsverarbeitung, insbesondere im Bereich IT-Sicherheit".

Meine Schwerpunkte

• Webshops und Web-Applikationen
• Sicherheit von Smartphones
• Internet-Kriminalität
• EC- und Kreditkarten
• Incident-Response und forensische Analyse von Computern und Smartphones
• ISO 27001 und BSI-Grundschutzkataloge
• Wertgutachten z.B. bei Börsengängen (IPO)

Meine Kompetenzen

• Beratung und Gutachten im Bereich der Informationssicherheitt (EDV/IT)
• Security Check/Audit/Review
• Sicherheitsanalyse von Netzwerken
• Forensische Analyse von IT-Systemen (Computer und Smartphones)
• Sicherheitsanalyse von Internet-Shops
• Konzeption und Durchführung von Penetrationstests
• Einsatz von Kryptographie
• Einsatz von Smartphones in Unternehmen (iPhone, BlackBerry, Symbian, Android, Windows Mobile/Phone)
• Prüfungen nach den Standards BSI-Grundschutzkataloge, ISO 27001/27002
• Review des Regelwerks komplexer Firewall-Systeme
• elektronische Zahlungssysteme (ec-Karte, Kreditkarten, GiroPay)
• Schulungen auf allen Gebieten der Informationssicherheit

Meine Projekte 2013

Tätigkeiten als Gutachter

• Möglichkeiten des Missbrauchs von weißen Plastikkarten (Kopien von Kreditkarten)
• Untersuchung und Bewertung eines Outsourcing-Projekts mit Citrix-Systemen
• Bewertung zweier Gutachten zu einer Software für Hotels
• Bewertung der Echtheit von EC-Karten über das bei der Abhebung geprüfte MM-Merkmal (2 Gutachten)
• Sichere Nutzung eines Mitarbeiterportals über das Internet
• Sicherheit von deutschen Debitkarten bei Abhebungen mit EMV-Chip im Ausland

Tätigkeiten als Berater

• Entwurf einer Sicherheitsarchitektur für den Zugriff auf Webservices aus dem Internet

Tätigkeiten als Autor

• Praxissoftware Quick Check Security Audit (Autor und Herausgeber), Themen: BSI-Grundschutzkataloge, ISO 27001, BSI-Standards 100-1 (Managementsysteme für Informationssicherheit), 100-2 (IT-Grundschutz-Vorgehensweise), 100-3 (Risikoanalyse auf der Basis von IT-Grundschutz), 100-4 (Notfallmanagement)
• Organisationshandbuch Netzwerksicherheit (Autor und Herausgeber), WEKA Kissing, Themen als Autor: Notfallmanagement, Sicherheit von VMware-Systemen
• Medizintechnik und Informationstechnologie - Konzepte, Technologien, Anforderungen, TÜV Media Köln, Themen: Einsatz der BSI-Grundschutzkataloge in medizinischen Einrichtungen

Tätigkeiten als Schulungsreferent

• Sicheres Mobile Computing (Düsseldorf)

Meine Projekte 2012

Tätigkeiten als Gutachter

• Bewertung des Marktwerts des brasilianischen Online-Geschäfts eines Unternehmens
• Bewertung des Marktwerts des mexikanischen Online-Geschäfts eines Unternehmens
• Bewertung des Marktwerts des argentinischen Online-Geschäfts eines Unternehmens
• Forensische Analyse eines iPads
• Sicherheit von Debit- und Kreditkarten
• Möglicher Missbrauch einer VISA-Kreditkarte
• Sicherheit des SmartTANPlus-Verfahrens
• Analyse und Bewertung eines Systems zur Rechteverwaltung unter Windows
• Schutzmaßnahmen bei einem PMX-Gateway von Cisco
• Bewertung von Leistungsmängeln einer Telefonanlage
• Sicherheit des MM-Merkmals an deutschen Geldautomaten
• Sicherheit von Auszahlungen mit EC-Karten an Geldautomaten
• Möglichkeiten des Missbrauchs beim iTAN-Verfahren
• Sicherheit des SmartTANPlus-Verfahrens
• Fehlfunktionen eines Fahrscheindruckers für Busse
• Möglichkeiten des Missbrauchs von weißen Plastikkarten

Tätigkeiten als Berater

• Concept-Review eines remoten Zugangs über Microsoft Remote Desktop
• Risikoanalyse eines digitalen Archivs
• Concept-Review/Code-Review des Web-Portals einer Versicherung
• Concept-Review einer IT-Infrastruktur zum Datenaustausch über VPN-Strecken
• Code-Review/Penetrationstest zweier Web-basierter Dienste einer Bank
• Sicherheit und Einsatzmöglichkeiten von Skype
• Security-Audit von Netzwerk, IT-Systemen und Anwendungen eines Dienstleisters
• Sicherheit und Einsatzmöglichkeiten von Microsoft Lync
• Auslesen von Daten einer ec-Karte von Magnetstreifen und Chip
• Review des Regelwerks eines Firewall-Clusters
• Concept-Review eines Verfahren zum sicheren Erstellen und Verteilen von Systemimages
• Forensische Analyse eines Symbian-Mobiltelefons
• Concept-Review einer Segmentierung in Subnetzwerke
• Concept-Review einer SharePoint-Anbindung über das Internet
• Code-Review einer Web-Anwendung
• Review einer medizinischen IT-Anwendung
• Concept-Review einer Internet-Anbindung (Citrix)
• Concept-Review einer virtualisierten IT-Infrastrukur (VMware)

Tätigkeiten als Autor

• Praxissoftware Quick Check Security Audit (Autor und Herausgeber), WEKA Kissing, Themen: BSI-Grundschutzkataloge, ISO 27001, SAS70/IDW PS 951
• Organisationshandbuch Netzwerksicherheit (Autor und Herausgeber), WEKA Kissing, Themen als Autor: Dateiablage und Rechteverwaltung, sichere Konfiguration des IIS 7.5, Prüfung der Sicherheit, Microsoft Direct Access, Sicherheit von IPv6, Microsoft Direct Access, Sicherheit von IPv6, IPv6-Router und -Firewalls, Einsatz von Archivsystemen, XML-Firewalls, Schutz von Web-Applikationen, sichere Programmierung von Web-Applikationen, Sicherheit von Skype
• Medizintechnik und Informationstechnologie - Konzepte, Technologien, Anforderungen, TÜV Media Köln, Themen: BSI-Gundschutz, ISO 27000-Familie

Tätigkeiten als Schulungsreferent

• Certified Mobile Device Manager (Stuttgart, Frankfurt)
• Sicherheitskonzepte und Risiken: Vortrag auf der Konferenz „Mobile Enterprise in der Praxis“ (Wiesbaden)
• Datendiebstahl und Manipulation: Vortrag auf der Konferenz „Mobile Enterprise in der Praxis“ (Wiesbaden)
• IT-Sicherheitsüberprüfung nach BSI-Grundschutz und ISO 27001 (Stuttgart, 2x Frankfurt, Düsseldorf, 2x Berlin, Köln, München)
• Mobile Device Management (Frankfurt)
• Sicherheit mobiler Endgeräte (München)
• IT-Sicherheitskonzepte und -überprüfung nach BSI-Grundschutz und ISO 27001 (Berlin)
• IT-Forensik 2x (Tübingen)
• Workshop Virenschutz bei privater Nutzung des Internets (Fellbach)
• Vortrag auf dem Anwendertag IT-Forensik 2012 an der TU Darmstadt: Forensik mobiler Geräte in der Praxis
• VPN-Workshop Baden-Baden

Meine Projekte 2011

Tätigkeiten als Gutachter

• Sicherheit von Transaktionen an Geldautomaten mit einer EC-Karte und einer Kreditkarte
• Möglicher Missbrauch einer Kreditkarte
• Ermittlung des Marktwerts einer Software aus dem Bereich der Energieversorgung
• Bewertung des Marktwerts des Online-Geschäfts eines Unternehmens als Vorbereitung zum Börsengang
• Sicherheit bei der Nutzung der Suchfunktion von SharePoint 2010
• Umfang und Wert von geleisteten Arbeiten bei einer Web-Applikation
• Möglichkeiten der Aufdeckung von Kartenmissbrauch durch Betrugserkennungssysteme
• Bestimmung des Wertanteils eines Forschungsprojekts an einem Software-Produkt
• Bewertung des Marktwerts des US-amerikanischen Online-Geschäfts eines Unternehmens
• Bewertung des Marktwerts des kanadischen Online-Geschäfts eines Unternehmens
• Sicherheit von iTAN plus und HBCI beim Online-Banking
• Absicherung eines PMX-Gateways von Cisco

Tätigkeiten als Berater

• Audit eines Archivierungssystems
• Untersuchung der Sicherheit dreier Webshops
• forensische Analyse eines iPhones
• Firmendaten auf dem Smartphone vor unberechtigtem Zugriff schützen, Interview bei SearchSecurity.de
• Einsatz von Mobiltelefonen mit Windows Phone 7
• Untersuchung einer gehackten Web-Applikation (Incident-Response)
• Audit des Rechenzentrums eines Auftragsdatenverarbeiters
• Concept-Review eines Server- und Firewall-Konzepts
• Incident-Response nach einem Einbruch über das Internet
• Concept-Review/Code Review einer Web-Applikation
• forensische Analyse eines Laptops, eines USB-Sticks und eines BlackBerry-Smartphones
• forensische Analyse von Festplatten nach einem Virenbefall
• Security-Scan und Concept-Review einer IIS-Installation
• Concept-Review einer Anbindung externer Geräte an ein Firmennetzwerk über Microsoft Direct Access
• Bedrohung von Systemen unter Mac OS X durch Malware
• Concept-Review einer Lösung zur automatischen Provisionierung von iPads zum Anschluss an ein Firmennetzwerk
• Review einer Konfiguration zur sicheren Anbindung von Laptops unter Mac OS X an ein Firmennetzwerk
• Untersuchung zu möglichen Risiken auf Grund kultureller Unterschiede
• Concept-Review einer VPN-Anbindung von EEG-Stromerzeugern

Tätigkeiten als Autor

• Praxissoftware Quick Check Security Audit (Autor und Herausgeber), WEKA Kissing, Themen: BSI-Grundschutzkataloge, ISO 27001, SAS70/IDW PS 951
• Organisationshandbuch Netzwerksicherheit (Autor und Herausgeber), WEKA Kissing, Themen als Autor: Härtung von BlackBerrys und iPhones, Smartphone-Forensik, Netzwerkbackup unter Linux, Virenschutz, Internet Explorer 9, Firewalls, Incident-Response, Einsatz der McAfee-Tools
• Wie sicher das iPhone mit Chroot, Verschlüsselung und Backup ist, Artikel in SearchSecurity.de
• iPhone mit Tools und Bordmitteln gegen unerwünschte Zugriffe absichern, Artikel in SearchSecurity.de
• Blackberry OS von RIM – das Sicherheitskonzept und seine Risiken, Artikel in SearchSecurity.de
• Tipps für eine sichere iPhone-Konfiguration per Enterprise-Software, Artikel in SearchSecurity.de
• Android - Sicherheitskonzept und Risiken beim beliebten Google Smartphone OS, Artikel in SearchSecurity.de
• Blackberry- und Apple-Smartphones sicher in Unternehmensnetze einbinden, WEKA Kissing
• Sicherheitskonzept der SiMKo-2-Smartphones von Telekom und BSI, Artikel in SearchSecurity.de
• Smartphone-Forensik, WEKA Kissing
• CompTIA Security+ - Vorbereitung auf die Prüfung SYO-301, mitp-Verlag Frechen

Tätigkeiten als Schulungsreferent

• IT-Forensik, Tübingen (2x)
• Vortrag: Forensische Gutachten
• IT-Forensik, Esslingen
• Smartphones & Tablets sicher in Firmennetzwerke einbinden, Düsseldorf (2x), Frankfurt/Main (3x), München (2x)
• Smartphones und Datenschutz, Düsseldorf
• Smartphone-Forensik, Köln
• Vortrag: Forensik vor Gericht
• Sicherheit mobiler Endgeräte
• Vortrag zum Thema "Praxis von IT-Sicherheit nach den Standards ISO 27001 und BSI Grundschutz"
• In fünf Tagen zum Certified Mobile Device Manager (Tage vier und fünf)

Meine Projekte 2010

Tätigkeiten als Gutachter

• Bewertung der Angemessenheit eines Verfahrens zur Datensicherung
• Bewertung der Echtheit von E-Mails
• Möglichkeiten des unberechtigten Abhebens von Geld an Geldautomaten mit einer EC-Karte und einer Kreditkarte
• Beschlagnahme der Datenbank eines Internet-Shops wegen des Verdachts des unerlaubten Kopierens der Inhalte eines Mitbewerbers
• Ermittlung des Marktwerts eines Unternehmens zum Zwecke des Börsengangs
• Möglichkeiten des unberechtigten Abhebens von Geld an einem Geldautomaten mit einer EC-Karte
• Untersuchung zweier defekter externer Festplatten
• Bewertung der Sicherheit von Webshops
• Bewertung von Test und Abnahme eines Webshops

Tätigkeiten als Berater

• Organisation und Durchführung eines Sicherheits-Workshops
• Untersuchung der Sicherheit von iPhones und Ausarbeitung von Lösungsansätzen zum Einsatz in einem Unternehmen
• Untersuchung der Sicherheit eines Webshops (Code-Analyse, Validierung von Eingaben)
• Review des Datensicherungskonzepts eines Unternehmens
• Konzept für die Überwachung von Exchange mit den Microsoft Audit Collection Services (ACS)
• Review des Regelwerks eines Firewall-Clusters

Tätigkeiten als Autor

• Praxissoftware Quick Check Security Audit (Autor und Herausgeber), WEKA Kissing, Themen: BSI-Grundschutzkataloge, ISO 27001
• Organisationshandbuch Netzwerksicherheit (Autor und Herausgeber), WEKA Kissing, Themen als Autor: Smartphone-Sicherheit (iPhone, Blackberry, Android, Symbian, WebOS), Intrusion-Detection mit Snort, remote Administration, Microsoft System Center Mobile Device Manager, Härtung von BlackBerry-Smartphones und iPhones über restriktive Konfiguration von Policies, Backup unter Linux
• Windows Kompendium, WEKA Kissing, Themen: Cloud-Computing mit Microsoft Azure, Sicherer Einsatz von Exchange Server 2010
• Verschlüsselung in Theorie und Praxis, WEKA Kissing
• Security Audit für KMU – Teil 1: IT-Sicherheit nach den Standards ISO 27001 und BSI Grundschutz, Artikel in SearchSecurity.de
• Security Audit für KMU – Teil 2: Wie bringt man die Standards ISO 27001 und IT-Grundschutz unter einen Hut? Artikel in SearchSecurity.de
• Security Audit für KMU – Teil 3: Beispiel-Audit – Zutrittskontrolle nach ISO 27001 und IT-Grundschutz, Artikel in SearchSecurity.de
• Die besten Security Apps für das Apple iPhone, Artikel in SearchSecurity.de
• Intrusion-Detection mit Snort und Zusatztools, WEKA Kissing

Tätigkeiten als Schulungsreferent

• IT-Forensik, Tübingen
• IT-Forensik für EDV-Sachverständige, Köln
• IT-Forensik, Walldorf

Meine Projekte 2009

Tätigkeiten als Gutachter

• Bewertung der Funktionen und des Fertigstellungsgrades von KFZ-Diagnosegeräten
• Begehung eines Rechenzentrums und Bewertung der dortigen Sicherheitsmaßnahmen inkl. der angebotenen Software-Dienstleistungen
• Zugriffsmöglichkeiten auf eine Krankenhaus-Datenbank
• Möglichkeiten des unberechtigten Abhebens von Geld an einem Geldautomaten mit einer Kreditkarte (zwei Fälle)
• Untersuchung der beschlagnahmten Datenbank eines Internet-Shops auf unerlaubt kopierte Inhalte zweier Mitbewerber
• Private Nutzung eines dienstlichen PCs
• Gutachten über Freiberuflichkeit bzw. Gewerblichkeit von Dienstleitungen im IT-Bereich
• Untersuchung einer Navision-Datenbank nach Hinweisen auf den Missbrauch einer Lizenz
• Bewertung der Datensicherung eines Unternehmens
• Bewertung der Verschlüsselungssoftware TrueCrypt für den Einsatz in einer Unternehmensumgebung
• Bewertung der Verschlüsselungssoftware McAfee Endpoint Encryption for Mobile für den Einsatz in einer Unternehmensumgebung

Tätigkeiten als Berater

• Prüfung von Computersystemen auf die Existenz von Backdoors
• Bewertung des Patch-Managements in einer Windows-Forest-Umgebung
• Untersuchung von Sicherheitsrichtlinien, Durchführung eines Workshops zur Bewertung und Komplettierung der Richtlinien
• Audit einer Web-Anwendung, Suche nach Sicherheitslücken
• Überwachung von administrativen Tätigkeiten bei MS Exchange

Tätigkeiten als Autor

• CISSP, von Mike Meyers und Shon Harris, deutsche Übersetzung im MITP-Verlag Bonn, Überarbeitung des Buches für die 3. Auflage
• Rootkits und SPAM, WEKA Kissing
• Security-Base/Security-Newsletter, WEKA Kissing
• Praxissoftware Quick Check Security Audit (Autor und Herausgeber), WEKA Kissing
• Organisationshandbuch Netzwerksicherheit, WEKA Kissing
• Praxishandbuch Windows Security Administration, WEKA Kissing

Tätigkeiten als Schulungsreferent

• Security Workshop Ljubljana/Slowenien
• Security Workshop Belgrad/Serbien
• Security Workshop Bukarest/Rumänien
• IT-Forensik mit Open-Source-Software, Brühl
• Vortrag zum Thema Informationssicherheit und Datenschutz - Risiken und Verantwortung

Meine Projekte 2008

Tätigkeiten als Gutachter

• Begehung eines Rechenzentrums und Bewertung der dortigen Sicherheitsmaßnahmen inkl. der angebotenen Software-Dienstleistungen
• Möglichkeiten des unberechtigten Abhebens von Geld an einem Geldautomaten
• Untersuchung eines Geldautomaten
• Forensische Analyse einer Festplatte, Suche nach Malware
• Möglichkeiten zum Missbrauch von kostenpflichtigen Downloads für Mobiltelefone
• Analyse der Zugriffe auf einen Windows-PC über Einwahlverbindung
• Analyse und Bewertung eines WLAN-Konzepts für ein Unternehmen (zwei Projekte)

Tätigkeiten als Berater

• Audit einer Web-Anwendung, Suche nach Sicherheitslücken
• Möglichkeiten des Schutzes von E-Mails gegen interne Angriffe
• Audit einer Unix-Umgebung, Suche nach Sicherheitslücken
• Audit einer SAP-Umgebung, Suche nach Sicherheitslücken
• Konzept für den sicheren Umgang mit Logdaten in einem Unternehmen
• Konzept und Produktrecherche für die Verschlüsselung externer Mails in einem Unternehmen (Webmailer/PKI)
• Konzept und Produktrecherche für den sicheren Einsatz von USB-Sticks in einem Unternehmen
• Review des Regelwerks von Firewalls
• Analyse und Bewertung der Sicherheit einer Citrix-Umgebung
• Review einer VoIP-Umgebung unter Sicherheitsaspekten
• Forensische Beweissicherung von Netzwerkdaten in einem Unternehmen

Tätigkeiten als Autor

• Sichere Nutzung des Internet Explorers, WEKA Kissing
• Security-Base/Security-Newsletter, WEKA Kissing
• Praxissoftware Quick Check Security Audit (Autor und Herausgeber), WEKA Kissing
• Organisationshandbuch Netzwerksicherheit, WEKA Kissing
• Praxishandbuch Windows Security Administration, WEKA Kissing

Tätigkeiten als Schulungsreferent

• Security Workshop Bukarest/Rumänien (zwei Veranstaltungen)
• Security Workshop Nürnberg
• IT-Forensik, Reutlingen
• Workshop LAN-Sicherheit
• Workshop Sicherheit Apache-Webserver in Zusammenarbeit mit einem Redaktionssystem