Geschichte

IMSEC wurde 1999 durch Marcus Holthaus (MH) gegründet.

Projekte

    • Das erste Projekt beschäftigte sich mit dem Jahr-2000-Problem bei einem international tätigen Industriekonzern mit Sitz in Zürich, der in vielen seiner weltweit verbauten Produkte industrielle Steuerungssysteme einsetzte, von denen einzelne nachweislich nicht mit vierstelligen Jahreszahlen umgehen konnten. Viele davon wurde noch 1999 ausgetauscht, und es war positiv und negativ zugleich, dass die über den Jahreswechsel eingerichtete Hotline kaum in Anspruch genommen wurde.
    • Anschliessend (2000-2003) folgten Beratungsprojekte zu BS7799, ISO27000 (ab 2001) und Risikomanagement bei einer Grossbank in Zürich, einem Finanzdienstleister in Bern sowie einem Maschinenbauer in der Innerschweiz.
    • Ein langfristiger Einsatz startete 1999 bei einem Dienstleister der öffentlichen Sicherheit in Zürich und endete 2012 nach mehr als 80 durchgeführten Projekten zur Informationssicherheit, darunter Themen wie Network Security, ISMS, Client Security, SIEM, Identity Management, Security Governance, Datenschutz, Mobile Security.
    • Zwischen 2010 und 2015 folgten Einsätze bei einem Amt der Judikative im Kanton Zürich, einer Privatbank und einer Hochschule mit den Themen Identity Management, ISMS, Datenschutz, Application Security und Two-Factor Authentication sowie diverse kleinere Projektmanagement-Engagements.
    • Konkrete Referenzen sind auf Anfrage erhältlich.

Weitere persönliche Einsätze

    • Im Kontext der Fachgruppe Security der Schweizer Informatikergesellschaft (SI FGSec) und aus der Arbeitsgruppe PKI heraus (ab 1999) gründete MH 2002 das PKI-Forum Schweiz, das sich mit der Koordination der Aktivitäten der verschiedenen (damals frischen) Teilnehmer im schweizer Markt beschäftigte. Das PKI-Forum war bis 2005 aktiv und wurde 2003 aus der FSGSec (heute Information Security Society Switzerland) ausgegliedert.
    • Von 1997 bis 2004 unterrichtete MH im Nachdiplomkurs IT-Sicherheit und Datenschutz der Fachhochschule Luzern (heute HSLU CAS und MAS).
    • MH war 2002 bis 2004 Referent bei Digicomp Schweiz zum Thema Informatiksicherheit.
    • Zwischen Anfang 2015 und Ende 2017 arbeitete MH im Teilpensum (80%) als angestellter Sicherheitsarchitekt bei der Diagnostik-Abteilung eines grossen Pharma-Konzerns (kein Bezug zu IMSEC).

Mehr

    • Aufgrund MH’s persönlicher Erfahrung mit Linux und der grundsätzlich besseren Kontrollierbarkeit dieser Systeme stellte er die IMSEC-internen Computer 2001 auf Debian Linux, und später auf Ubuntu Linux um. Noch heute wird dies als Hauptbetriebssystem verwendet (neben den obligaten Windows-Systemen).
    • Ab 2004 wurden alle Linux-Aktivitäten in die neu gegründete Logintas AG ausgelagert, die sich auf Providing von Speziallösungen und technische Implementationen konzentriert.
    • IMSEC hat zwischen 2001 und 2014 gemeinsam mit Logintas eine eigene Certification Authority betrieben.
    • MH war oder ist direkt oder über IMSEC Mitglied der Schweizerischen Informatikergesellschaft, ISSS FGs Cloud Computing Security, Return on Security Investments, SwissICT SIG Sourcing & Cloud, German Unix User Group (GUUG), /ch/open.
    • Seit 2013 ist MH CA Cert Assurer.

Produkte

IMSEC hat mehrere Produkte zur Marktreife gebracht:

    • Ab 1999 wurde das Produkt ISiMan entwickelt, ein Werkzeug zur Unterstützung des Managements von Informationssicherheit. Es basierte auf Microsoft Access und enthielt verschiendene Kataloge, darunter den BS7799, ISO27000 sowie den Grundschutzkatalog des deutschen Bundesamts für Informationssicherheit (BSI). Es war bis 2010 verfügbar.
    • Ab 2005 erfolgte die Entwicklung des Security Indicent and Event Management (SIEM) Systems «ALOIS (Advanced Logging and Intrusion Detection System»). Dieses wurde durch IMSEC/Logintas selbst eingesetzt sowie bei drei Referenz-Kunden. Das Produkt wurde ab 2007 als Inkubator-Projekt der Apache-Foundation weiterentwickelt. Aufgrund des Inhouse-Forks des grössten Kontributors und des agressiven Markteintritts von Splunk wurde die Weiterentwicklung 2012 eingestellt – bis zu diesem Zeitpunkt waren ein paar wenige Integrationspartner gefunden worden. Das genutzte Know-How und die Erfahrungen in den Bereichen Software-Architektur und SIEM Operations wurden in verschiedenen Beratungsprojekten verwendet.
    • Ab 1999 wurde zunächst hausintern das Zeiterfassungssystem «Time and Money (TaM)» erstellt, basierend auf MS Access. Im Laufe der Jahre wurde es zu einem Portal aufgebaut, das für Mitarbeiter das eigene Zeitmanagement erlaubte und mit der persönlichen Agenda und ihrer Task-Liste verbunden war. Den Kunden erlaubte es Einblick in die Details der Leistungserbringung und -abrechnung, und der Geschäftsleitung den Überblick über Einsätze und Personalplanung. Das Produkt wurde ab 2008 auch extern angeboten.
    • Dazu kamen die Logintas-Produkte Logas Gateway und Logas Server, sowie das Configuration Management Tool «Concept Tables», die auf der Logintas-Site beschrieben werden.

Zusätzlich hat IMSEC Kompentenz bei der Nutzung verschiedener Werkzeuge erlangt und diese zum Teil in Kundenprojekten eingesetzt oder eingeführt. Die Kompetenz bezieht sich jeweils auf Nutzung und Betrieb:

    • Atlassian JIRA (ab 2015)
    • Atlassian Confluence Wiki (ab 2015)
    • SerNet verinice., einem Werkzeug für die operative Unterstützung von ISMS Projekten und Betrieb
    • Bugzilla (ab 2004)
    • MediaWiki (ab 2002)
    • MoinMoin Wiki (ab 2002)

Dazu kommen die von Logintas eingesetzen und betriebenen Systeme.

Personal

Neben der Administration, die weiterhin von seiner Lebenspartnerin organisiert wird, hatten IMSEC und Logintas zwischen 2002 und 2012 zwei langfristige technische Mitarbeiter (beides ETH-Absolventen). Zusätzlich haben über die Jahre etwa zwanzig Personen wiederholt als direkte Partner inhaltlich an Projekten mitgearbeitet oder den Betrieb der eigenen Systeme betreut, im Maxium acht gleichzeitig (ca. 2009).

MH pflegt den Kontakt zu diesen Partnern und ist an der Zusammenarbeit mit weiteren Partnern interessiert. Wesentliche Kriterien sind Unbhängigkeit, Professionalität, Fachkompetenz und Enthusiasmus.

Persönliche Qualifikation

  • MH hat 1999 das Doktorat der Informatik an der Universität Zürich mit der Dissertation «Management von Informationssicherheit in Unternehmen» abgeschlossen. verfügt über Zertifikate zu Security (CISSP, ab 2014), Linux (LPIC2, ab 2013), Software Architecture und ATAM Evaluator (SEI, ab 2016), Machine Learning (ab 2017) und Englisch (ab 2015).
  • MH besucht regelmässig Konferenzen, Fachveranstaltungen und Weiterbildungen im Kontext von Information Security, Open Source, Recht und Gesellschaft und Open Source, z.B. etwa alle drei Jahre den Chaos Communication Congress, 2017 die DevOpsDays Zürich, 2017 OpenRheinRuhr sowie früher auch den LinuxTag, sowie Veranstaltungen der ISC2.
  • Er  wohnt in Hünenberg ZG.

Zusätzliche Informationen zu MH’s Lebenslauf finden sich in seinen Profilen bei LinkedIn und XING.

Neues

Erfolgreiches Wachstum war und wäre kein Problem, doch mit der Grösse entstand Komplexität und Koordinationsaufwand. MH wollte und möchte weiterhin flexibel blieben und sich aktiv und intensiv mit neuen Technologien und Themen beschäftigen. Er hat daher 2012 beschlossen, sich auf seine Kernkompetenzen zu fokussieren: Beratung zu Informationssicherheit und Open Source sowie technische Referenzimplementationen in diesen Bereichen.