Offen für strategische Mandate & CISO-Support

Paul Scheinast. Security Strategy
& Engineering.

Ich verbinde IT, Produktion und Business. Als Full-Stack Security Consultant transformiere ich regulatorische Pflichten (NIS-2, DORA) in lebbare Maßnahmen – technisch fundiert und wirtschaftlich sinnvoll.

Expertise ansehen Zertifikate (CISSP, CCSP...)
Full Stack Security Approach
Governance & GRC
Risk Management
Sec. Architecture
DevSecOps & SSDLC
Infra Hardening
OT & Produktion
Paul Scheinast Workspace

Fokus

CISO Office Support & Security Engineering @ Specific-Group

Profil

Verständnis für IT, Produktion
und Business.

In einer Welt zunehmender Cyber-Bedrohungen reicht es nicht, Firewalls zu konfigurieren. Man muss die Geschäftsrisiken verstehen. Als interdisziplinär ausgebildeter Wirtschaftsingenieur (B.Sc.) und Technischer Informatiker (Ing.) verbinde ich zwei Welten, die oft getrennt agieren.

Mit über 10 Jahren Erfahrung – von der Low-Level Perl-Entwicklung bis zur strategischen CISO-Beratung – verstehe ich den gesamten Lebenszyklus von Daten. Meine Wurzeln liegen in der Praxis: Web-Scraping, Linux-Server-Härtung und Docker-Containerisierung haben mich gelehrt, wie Systeme angegriffen werden – und wie man sie verteidigt.

"Meine Leidenschaft für IT-Sicherheit treibt mich an, ständig neue Technologien zu erforschen. Ich gehe die Extra-Meile, um nachhaltigen Mehrwert zu schaffen."

10+ Jahre Exp.
M.Sc. IT-Sec & Risk (2025)
GRC NIS-2 / DORA / ISO

Full Stack Security Kompetenz

Sicherheit ist kein Silo, sondern ein Querschnittsthema. Mein Profil verbindet strategische Compliance mit operativer Härtung und ingenieurmäßiger Qualitätssicherung in der Entwicklung.

Strategic Security & GRC

Verbindung von Business-Zielen mit regulatorischer Sicherheit. Fokus auf Managementsysteme und Compliance im Finanz- & Industriesektor.

  • ISMS & Governance: Aufbau und Weiterentwicklung von Managementsystemen (anl. ISO 27001).
  • Regulatorik & Compliance: Umsetzung komplexer Anforderungen (NIS-2, DORA, EBA, EIOPA, AI Act).
  • Risk Management: Third-Party Risk Management und Risikobewertung von Lieferketten.
  • Business Alignment: Übersetzer zwischen IT, Produktion und Geschäftsführung.
CISSP Master (IT-Sec & Risk) Bachelor (W-Ing)

Technical Security & Ops

Schutz der laufenden Infrastruktur (Runtime). Härtung von Systemen, Überwachung und Abwehr von Angriffen.

  • Cloud Security Architecture: Herstellerneutrale Sicherheitsarchitekturen (Vendor-Neutral / CCSP).
  • Threat Detection: SIEM-Betrieb, Log-Analyse und Vulnerability Management (z.B. Wazuh/Greenbone).
  • Security Audits: Koordination und Durchführung technischer Sicherheitsüberprüfungen.
  • Infrastructure Hardening: Absicherung von Netzwerken und Server-Systemen.
CCSP SSCP Sec+ Home Lab Ops

Quality Eng. & DevSecOps

Sicherheit im Bauplan (Buildtime). Integration von Security-Quality-Gates in den Software-Lebenszyklus.

  • SSDLC: Secure Software Development Life Cycle – Sicherheit von Anfang an.
  • Secure Code Review: Analyse von Source Code auf Sicherheitslücken (SAST / DAST).
  • DevSecOps Pipelines: Automatisierte Sicherheitstests in CI/CD Umgebungen.
  • Quality Assurance: Testmethodik und Qualitätssicherung als Sicherheitsfaktor.
CTFL (ISTQB) Software Dev Exp HTL (Informatik)

Beruflicher Werdegang

April 2023 - Heute

IT Security Consultant

Specific-Group Austria Wien

Strategische Schlüsselrolle im CISO-Office. Operative Brücke zwischen Management-Entscheidungen (GRC) und technischer Implementierung in der Softwareentwicklung und Infrastruktur.

  • Konzeption & Weiterentwicklung des ISMS nach ISO 27001.
  • Transformation regulatorischer Anforderungen (NIS-2, DORA) in technische Controls (ISO 27002).
  • Steuerung des Penetrationtest-Lifecycles & Durchführung technischer Reviews (Web/Code/Container).
  • Etablierung von SSDLC-Standards und Security Gates in der Entwicklung.
  • Aufbau des Third-Party Risk Managements (Lieferketten-Sicherheit).
GRC & Compliance (Eramba) ISO 27001 NIS-2 / DORA TPRM PenTest Mgmt Vuln. Scanning (Greenbone) SIEM (Wazuh)
Okt 2022 - März 2023

IT Consultant (QA & Test Automation)

Expleo Group

Qualitätssicherung in agilen Teams als Vorstufe zur Sicherheit. Analyse von Anforderungen und Ableitung robuster Test-Szenarien.

Quality Assurance Agile (Scrum / Kanban) Test Automation CTFL Req. Analysis
2015 - 2022

Back-end Developer & Architect

OBVSG Bibliothekenverbund

Langjährige Verantwortung für Architektur und Betrieb kritischer Infrastruktur. Entwicklung hochverfügbarer Systeme.

Critical Infrastructure Software Architecture Docker Perl & Node.js Legacy Migration
2013 - 2015

DevOps & Full-Stack Developer

Konzeptra & Swiss Life Select

Fokus auf Web-Scraping (Selenium, PhantomJS), Linux Server Wartung und Netzwerk-Monitoring.

Linux Hardening Network Security Monitoring Web Scraping Privacy / Tor

Akademischer Werdegang

M.Sc.

IT Sicherheits- und Risikomanagement

FH Burgenland

Thema der Masterarbeit: Strategische Vorteile von herstellerneutralen IT-Security-Personenzertifizierungen in Österreich.
Erwarteter Abschluss: Dez 2025

B.Sc.

Wirtschaftsingenieurwesen

Hamburger Fern-Hochschule

Schwerpunkt Wirtschaftsinformatik | 2020 - 2023

Ing.

Technische Informatik

HTL Mödling

Fachschule und Kolleg | 2006 - 2012

Zertifizierungen

CISSP - Certified Information Systems Security Professional

ISC²

CCSP - Certified Cloud Security Professional

ISC²

SSCP - Systems Security Certified Practitioner

ISC²

Security+

CompTIA

CTFL - Certified Tester Foundation Level

ISTQB®
● LIVE ENVIRONMENT

Enterprise Security Lab & Integrated GRC

Als Full Stack Security-Berater verbinde ich strategische Governance mit tiefem technischem Verständnis. Ich betreibe eine hochverfügbare Service-Orientierte Architektur (SOA), um Compliance-Vorgaben (ISO 27001, NIS-2) nicht nur zu definieren, sondern ihre technische Implementierbarkeit ("Lebbarkeit") unter Realbedingungen zu validieren.

Hardening Immutable Zero Trust

Resilient Storage

Data Integrity & Availability
Hybrid RAID 10 Performance

Kombination aus IBM ServeRAID M5110 (Hardware-Cache mit BBU-Schutz für Write-Performance) und BTRFS RAID 10 auf OS-Ebene für maximale Flexibilität.

Self-Healing Integrity

Nutzung von BTRFS Checksummen zur Erkennung von Bit-Rot (Silent Data Corruption). Automatisierte Reparatur beschädigter Blöcke aus dem RAID-Spiegel (Self-Healing).

Smart Backup & Classification Logic

Intelligente Datenklassifizierung mittels setfattr / getfattr (Extended Attributes) stellt sicher, dass Daten je nach Klassifizierung gesichert werden. Client-seitige AES-256 Verschlüsselung erfolgt strikt vor dem Upload in die Cloud. Zudem ermöglicht die Architektur sicheres Löschen durch Crypto Shredding.

Forward Error Correction Resilience

Einsatz von par2 zur Erzeugung von 10% Redundanzdaten. Dies ermöglicht die mathematische Rekonstruktion defekter Archive.

Multi-Tier Backup
Snapshots (30min) -> Local -> Offsite -> Cloud

Defense Strategy

Network, App & Host Layer
Layer 7 (WAF) Application

Gehärteter Apache Reverse Proxy mit ModSecurity und dem vollen OWASP Core Rule Set (CRS). Schützt proaktiv vor SQLi, XSS und Code Injection.

Intrusion Detection Network

Dualer Ansatz: Suricata (Signaturbasiert) für bekannte Bedrohungen + Zeek (Verhaltensbasiert) zur Erkennung von Anomalien im Traffic-Flow.

Aggressive Blocking Active Defense

Fail2Ban agiert als zentraler Aggregator für alle Sicherheitslogs. Egal ob PortSentry (Recon), Apache ModSec (Web) oder Suricata (IDS) einen Alarm auslöst – die IP wird sofort global auf allen Containern via iptables gesperrt.

Threat Intelligence Prevention

Automatisierter Download von Feodo Tracker und Emerging Threats IP-Listen fängt bekannte Botnetze und C2-Server am Gateway ab.

Active Defense
Fail2Ban + Geo-Blocking + Threat Intel Feeds

DevSecOps & Ops

Automation & Container Security
Immutable Infrastructure Resilience

Strategie der "Daily Rebuilds": Container werden täglich automatisiert zerstört und frisch aus gepatchten Images neu gebaut. Verhindert Configuration Drift und persistente Malware.

Isolation Security

Strikte Trennung von IoT-Geräten (VLANs) und Nutzung von dedizierten Docker Bridge Networks ("Intern"), um Container-Kommunikation intern und vom Host zu isolieren.

Auto-Patching Remediation

Einsatz von debsecan zur laufenden Analyse. Kritische CVEs werden via Cron-Jobs direkt in den Containern & OS gefixt, was die "Time-to-Remediate" minimiert.

Automation
Infrastructure as Code (IaC) + Cron Orchestration: RUNNING

Strategic GRC

Vulnerability to Risk Mapping
Centralized GRC Governance

Einsatz von Eramba zur Abbildung von Risiken, Compliance-Vorgaben (ISO 27001, NIS-2) und Third-Party Risk Management. Verknüpfung technischer Audits mit Business-Risiken.

Vuln Mgmt & SIEM Operations

Greenbone (OpenVAS) für kontinuierliche Schwachstellen-Scans und Wazuh XDR als zentrales SIEM zur Log-Korrelation und Echtzeit-Alarmierung.

Reporting
CISO-Dashboarding & Audit Evidence
DENKWEISE & FORSCHUNG

Evolutionäre Strategien für
komplexe Ökosysteme.

Meine Arbeit verbindet Finanzmathematik, Cybersicherheit und biologische Evolutionstheorie. Das Ziel: Statische Modelle durch dynamische, adaptive Systeme zu ersetzen, die in einer volatilen Welt nicht nur funktionieren, sondern überleben.

In der Finanzwelt hat die Moderne Portfoliotheorie (MPT) lange dominiert, scheitert aber regelmäßig an "Schwarzen Schwänen". In der IT-Sicherheit sehen wir dasselbe: Compliance-Checklisten versagen gegen adaptive Angreifer.

Warum "Evolutionäre Sicherheit"?
  • Adaptivität vor Optimierung: Lieber überlebensfähig als effizient.
  • Trust Anchors: Zertifikate als Währung des Vertrauens.
  • Short-Lived Assets: Verteidigungswert verfällt durch Mutation.

Evolutionäre Finanz

// Aus der Bachelorarbeit
"Die passive Strategie (Buy and Hold) gleicht einem Organismus mit hoher Überlebensfähigkeit, während aktive Strategien auf schnelle Reproduktion zielen."

Märkte sind keine perfekten Maschinen, sondern biologische Ökosysteme. Anlagestrategien konkurrieren wie Spezies um Kapital.

Kompetenz als Asset

// Aus der Masterarbeit
"Zertifizierungen transformieren die abstrakte Ressource 'Sicherheitskompetenz' in ein messbares, kommunizierbares und marktfähiges Asset."

Sicherheit darf kein Cost-Center sein. Durch Zertifizierung wird abstraktes Wissen in handelbare "Trust Anchors" transformiert.

Cyber-Ökologie

// Aus der Forschung
"Das Problem ist nicht, dass Cyber-Risiko teuer ist, sondern dass es akzeleriert. Statische Modelle versagen, weil sie keine Evolution abbilden."

Das "Co-evolutionäre Wettrüsten" zwischen Angreifern und Verteidigern erfordert den Abschied von statischen Sicherheitsmodellen.