Offen für strategische Mandate & CISO-Support

Paul Scheinast. Security Strategy
& Engineering.

Ich verbinde IT, Produktion und Business. Als Full-Stack Security Consultant sichere ich nicht nur Ihre Compliance (NIS-2, DORA), sondern die Wertschöpfungskette Ihres gesamten Unternehmens. Ich transformiere Sicherheitsanforderungen in lebbare Maßnahmen – technisch präzise, operativ machbar und wirtschaftlich fundiert.

Expertise ansehen Zertifikate (CISSP, CCSP...)
Full Stack Security Approach
Governance & GRC
Risk Management
Sec. Architecture
DevSecOps & SSDLC
Infra Hardening
OT & Produktion
Paul Scheinast

Fokus

CISO Strategic Advisory & Security Architecture @ Specific-Group

Profil

Verständnis für IT, Produktion
und Business.

Wirkungsvolle Sicherheit lässt sich nicht isoliert betrachten – man muss die operativen Risiken der Produktion verstehen, um sie zu schützen. Als interdisziplinär ausgebildeter Wirtschaftsingenieur (B.Eng.) und Technischer Informatiker (Ing.) schlage ich die Brücke zwischen Security und operativem Betrieb. Ich verbinde zwei Welten, die oft getrennt agieren, aber nur gemeinsam sicher sind.

"Um Produktion oder Betrieb zu sichern, muss man ihn und seine Einzelteile verstehen – technisch wie wirtschaftlich."

Mit über 10 Jahren Erfahrung begleite ich den gesamten Lebenszyklus von Daten: von der Qualitätssicherung (QA) über DevSecOps-Pipelines bis zur strategischen CISO-Beratung. Ich kenne die Anforderungen an stabile Software-Releases ebenso wie die Notwendigkeit robuster Governance (ISO 27001, NIS-2). Dieses Full-Stack-Verständnis garantiert Sicherheitsarchitekturen, die nicht nur auf dem Papier existieren, sondern in agilen wie klassischen Umgebungen bestehen.

"Sicherheit entsteht dort, wo Code, Infrastruktur und Business-Prozesse nahtlos ineinandergreifen."

Meine Wurzeln liegen in der direkten Arbeit am System: Server-Hardening, Container-Virtualisierung und Netzwerk-Forensik sind für mich gelebtes Handwerk. Dieses tiefe technische Verständnis ist das Fundament, auf dem meine strategischen Entscheidungen als Berater stehen.

"Meine Leidenschaft ist technischer Tiefgang. Ich gehe die Extra-Meile, um Lösungen zu bauen, die dem Audit standhalten und im Betrieb funktionieren."

10+ Jahre Exp.
M.Sc. IT-Sec & Risk (2025)
GRC NIS-2 / DORA / ISO

Full Stack Security Kompetenz

Sicherheit ist kein Silo, sondern ein Querschnittsthema. Mein Profil verbindet strategische Compliance mit operativer Härtung und ingenieurmäßiger Qualitätssicherung in der Entwicklung.

Strategic Security & GRC

Verbindung von Business-Zielen mit regulatorischer Sicherheit. Fokus auf Managementsysteme und Compliance im Finanz- & Industriesektor.

  • ISMS & Governance: Aufbau und Weiterentwicklung von Managementsystemen (anl. ISO 27001).
  • Regulatorik & Compliance: Umsetzung komplexer Anforderungen (NIS-2, DORA, EBA, EIOPA, AI Act).
  • Risk Management: Third-Party Risk Management und Risikobewertung von Lieferketten.
  • Business Alignment: Übersetzer zwischen IT, Produktion und Geschäftsführung.
CISSP Master (IT-Sec & Risk) Bachelor (W-Ing)

Technical Security & Ops

Schutz der laufenden Infrastruktur (Runtime). Härtung von Systemen, Überwachung und Abwehr von Angriffen.

  • Cloud Security Architecture: Herstellerneutrale Sicherheitsarchitekturen (Vendor-Neutral / CCSP).
  • Threat Detection: SIEM-Betrieb, Log-Analyse und Vulnerability Management (z.B. Wazuh/Greenbone).
  • Security Audits: Koordination und Durchführung technischer Sicherheitsüberprüfungen.
  • Infrastructure Hardening: Absicherung von Netzwerken und Server-Systemen.
CCSP SSCP Sec+ Home Lab Ops

Quality Eng. & DevSecOps

Sicherheit im Bauplan (Buildtime). Integration von Security-Quality-Gates in den Software-Lebenszyklus.

  • SSDLC: Secure Software Development Life Cycle – Sicherheit von Anfang an.
  • Secure Code Review: Analyse von Source Code auf Sicherheitslücken (SAST / DAST).
  • DevSecOps Pipelines: Automatisierte Sicherheitstests in CI/CD Umgebungen.
  • Quality Assurance: Testmethodik und Qualitätssicherung als Sicherheitsfaktor.
CTFL (ISTQB) SSDLC HTL (Informatik)

Beruflicher Werdegang

Vom High-Availability Engineering zur strategischen Security Governance. Eine Evolution von Tech zu Management.

Heute Seit April 2023
Active Role

Security Consultant

Specific-Group Austria Wien, AT
CISO-Advisory Pre-Sales Full-Stack

Strategic Advisory & CISO-Office: Entwicklung von Entscheidungsvorlagen zur Optimierung des Security-Budgets (CapEx/OpEx Shift). Technical Pre-Sales & Bid-Management: Durchführung von High-Level Solution Engineering und ROI-Kalkulationen für GRC-Projekte (Fokus: Eramba). Konzeption skalierbarer Sicherheitsarchitekturen, die technische Härtung mit regulatorischer Compliance (NIS-2, DORA) in Einklang bringen.

Governance & Business

  • Business Alignment & Advisory: Strategische Ausrichtung des Security-Programms an den Geschäftszielen sowie Erstellung von Entscheidungsvorlagen für das Senior Management.
  • Pre-Sales & Solution Lifecycle: Bid-Management, Aufwandsschätzung und PoC-Design im Pre-Sales Prozess. Identifikation von Upselling-Potenzialen durch Architecture-Reviews.
  • GRC & Supply Chain: Implementierung von ISMS (ISO 27001) und Steuerung von Lieferkettenrisiken via Third-Party Risk Mgmt (TPRM).

Architecture & Ops

  • Security Architecture: Übersetzung komplexer Compliance-Vorgaben (NIS-2, DORA) in praktikable technische Sicherheitsarchitekturen.
  • DevSecOps & SSDLC: Etablierung von Standards für sichere Softwareentwicklung und Integration von Security-by-Design in Infrastrukturprojekte.
  • Hands-On Offensive Security: Eigenständige Durchführung von Penetrationstests, Vulnerability-Scans, Code Reviews und Härtungsprüfungen (Container/Web).
GRC & Compliance (Eramba) Pre-Sales ISO 27001 / NIS-2 / DORA / AI Act KPI/KRI Reporting Eramba GRC Engineering TPRM & Supply Chain SSDLC & DevSecOps Vuln-Scan (Greenbone) & PenTest Mgmt SIEM (Wazuh)
2022 - 2023 Quality Eng.

IT Consultant (QA)

Expleo Group Wien, AT
Quality Assurance Test Automation

Verantwortung für Quality Assurance in einem agilen Entwicklungsteam. Qualitätssicherung als Vorstufe zur Sicherheit: Sicherstellung der Software-Integrität durch strenge Prozess-Standards und Automatisierung. Analyse komplexer Anforderungen auf Vollständigkeit und Konsistenz, um logische Fehler bereits vor der Implementierung zu eliminieren ("Shift Left").

QA Methodology

  • Requirements Engineering: Analyse von Anforderungen auf Konsistenz zur Vermeidung von Design-Flaws.
  • Defect Management: Dokumentation und Erstellung detaillierter Fehleranalysen sowie Reporting der Testergebnisse.
  • Agile Process: Effiziente Zusammenarbeit im Team und flexible Abstimmung mit Kundenanforderungen.

Automation & Ops

  • Test Design: Ableitung deterministischer Test Cases aus den Anforderungsspezifikationen.
  • Automation Engineering: Mitarbeit bei der Automatisierung von Testabläufen für CI/CD-Pipelines (Regressionstests).
  • Execution: Durchführung systematischer Tests zur Validierung der Systemstabilität.
ISTQB CTFL Agile (Scrum / Kanban) Test Automation Defect Analysis Req. Analysis
2015 - 2022 Full-Stack Dev

Back-End Developer

Österreichischer Bibliothekenverbund Wien, AT
End-to-End Ownership Perl / Node

Full-Lifecycle Engineering: Eigenverantwortliche Architektur und Implementierung komplexer Backend-Systeme. Von der Schnittstellendefinition mittels Swagger/OpenAPI über die Entwicklung der Business-Logik (Perl/Bash/NodeJS) bis hin zur Containerisierung ( Docker).

Erfolgreiche Steuerung von Projekten in hybriden Umgebungen: Rigide Einhaltung von Spezifikationen im Wasserfall-Modell sowie adaptive Weiterentwicklung in agilen (Kanban) Settings.

Algorithms & Data Ops

  • Stochastische Datenbereinigung (Upgrade 086u): Implementierung von Fuzzy-Matching-Algorithmen basierend auf der Levenshtein-Distanz zur Wahrscheinlichkeitsberechnung von Dubletten und Tippfehlern.
  • Verbund-Migration: Entwicklung komplexer Heuristiken für den ISBN-Abgleich (Titel, Autor, Metadaten) zur Sicherstellung der Datenkonsistenz bei der Systemfusion.

Architecture & Process

  • Hybrid Project Management: Orchestrierung von Großprojekten nach Wasserfall (Meilenstein-Treue) und Maintenance-Tasks via Agile/Kanban (Rapid Response).
  • Workflow-Engine (MemoWorkflow): Design einer zustandsbasierten State-Machine mit bidirektionaler Synchronisation (SQL/Oracle) und strenger Äquivalenzklassen-Validierung.
  • Test-Driven Reliability: Einsatz von Test::More und Test::Mock::Simple für Stress-Tests und Mocking externer Abhängigkeiten in CI-Pipelines.
Docker Swagger / OpenAPI Wasserfall & Agile Levenshtein Algo Perl (Test::More) Bash Automation
2015 - 2015 Full-Stack Dev

Full-Stack Developer

Swiss Life Select Wien, AT
SSDLC Perl Sencha JS

Entwicklung von Full-Stack-Anwendungen mit Fokus auf nahtlose Front-End und Back-End-Integration. Implementierung komplexer Business-Logik und ansprechender Benutzeroberflächen unter Verwendung von Perl und Sencha JS.

Frontend & UX

  • Implementierung intuitiver User-Experiences (UX) und Benutzeroberflächen.
  • Enge Zusammenarbeit mit Designern zur pixelgenauen Umsetzung von Anforderungen.

Backend & API

  • Integration von Drittanbieter-APIs zur funktionalen Erweiterung der Plattform.
  • Sicherstellung der Datakonsistenz zwischen Client und Server.
Sencha JS Perl Backend API Integration
2013 - 2015 Ops Roots

DevOps & Linux Admin

Konzeptra Wien, AT
Linux Hardening Data Eng.

Hands-on "from Scratch". Operativer Fokus auf Low-Level Server-Management und massiver Datenverarbeitung. Aufbau von High-Performance Web-Scraping Architekturen und rigorose Härtung von GNU/Linux-Systemen.

Infra & Hardening

  • Server Ops: Instandhaltung von Linux-Servern und Monitoring via MRTG.
  • Privacy Engineering: Einsatz von Tor und Polipo zur Anonymisierung und Performance-Steigerung.

Data & Algo

  • Scraping: Entwicklung von Bots mit Selenium, PhantomJS und Perl.
  • Optimization: Nutzung von Inline-C sowie Soundex/Levenshtein Algorithmen für Datenqualität.
Linux Kernel Tor / Privacy Algorithm Design C / Perl

Akademischer Werdegang

M.Sc.

IT Security & Risk Management

FH Burgenland 2025

Strategischer Fokus

Brückenschlag zwischen technischer Sicherheit und Unternehmensführung. Fokus auf GRC (Governance, Risk, Compliance), um Sicherheit messbar und zum Business-Enabler zu machen.

Thesis: "Strategische Vorteile von herstellerneutralen IT-Security-Personenzertifizierungen in Österreich."

ISO 27001 ISMS Risk Frameworks Scientific Research
B.Eng.

Wirtschaftsingenieurwesen

HFH (Schwerpunkt Wirtschaftsinformatik) 2023

Interdisziplinäre Kompetenz

Verständnis für ökonomische Zusammenhänge und Prozessoptimierung. Sicherheit muss sich rechnen – hier bringe ich ROI-Betrachtung und Business-Logic in technische Projekte ein.

Thesis: "Buy and Hold vs. antizyklisches Investieren mit Indexfonds – ein Performancevergleich für Privatanleger bei einem langem Anlagehorizont"

Financial Math Process Engineering Statistics
Ing.

Technische Informatik

HTL Mödling 2012

Technisches Fundament

Tiefes technisches Verständnis "from scratch". Hardware-nahe Programmierung, Netzwerke und Elektrotechnik bilden das unverzichtbare Fundament, um OT/IoT-Systeme wirklich zu verstehen.

Low-Level Code Network Engineering Electronics

Zertifizierungen

Strategic Governance & Risk

CISSP

Elite-Level Information Security

Der globale Goldstandard. Nachweis interdisziplinärer Meisterschaft über alle 8 Sicherheitsdomänen (CBK) – von der physischen Sicherheit bis zur Softwareentwicklung.

Cloud & Tech Stack

CCSP

Cloud Security Arch.

Sicherheit für Cloud-Native Architekturen. Beherrschung des "Shared Responsibility Models" und komplexer Multi-Cloud-Umgebungen.

SSCP

Sec. Operations

Technische Implementierung und Härtung. Die operative "Hands-on"-Kompetenz zur Absicherung kritischer Infrastrukturen.

Security+

Vendor-Neutral Core

Herstellerneutrale Validierung operativer Kompetenz. Das essentielle, DoD-konforme Fundament für robuste Verteidigungslinien.

AI Assurance & Quality

CTFL

QA Foundations

Methodisches Fundament für strukturierte Software-Tests. Industriestandard für effizientes Testmanagement und Defect-Tracking.

Third-Party Verification

Zertifikate auf Credly prüfen Offizieller Nachweis digitaler Badges
● LIVE ENVIRONMENT

Enterprise Security Lab & Integrated GRC

Als Full Stack Security-Berater verbinde ich strategische Governance mit tiefem technischem Verständnis. Ich betreibe eine hochverfügbare Service-Orientierte Architektur (SOA), um Compliance-Vorgaben (ISO 27001, NIS-2) nicht nur zu definieren, sondern ihre technische Implementierbarkeit ("Lebbarkeit") unter Realbedingungen zu validieren.

Hardening Immutable Zero Trust

Resilient Storage

Data Integrity & Availability
Hybrid RAID 10 Performance

Kombination aus IBM ServeRAID M5110 (Hardware-Cache mit BBU-Schutz für Write-Performance) und BTRFS RAID 10 auf OS-Ebene für maximale Flexibilität.

Self-Healing Integrity

Nutzung von BTRFS Checksummen zur Erkennung von Bit-Rot (Silent Data Corruption). Automatisierte Reparatur beschädigter Blöcke aus dem RAID-Spiegel (Self-Healing).

Smart Backup & Classification Logic

Intelligente Datenklassifizierung mittels setfattr / getfattr (Extended Attributes) stellt sicher, dass Daten je nach Klassifizierung gesichert werden. Client-seitige AES-256 Verschlüsselung erfolgt strikt vor dem Upload in die Cloud. Zudem ermöglicht die Architektur sicheres Löschen durch Crypto Shredding.

Forward Error Correction Resilience

Einsatz von par2 zur Erzeugung von 10% Redundanzdaten. Dies ermöglicht die mathematische Rekonstruktion defekter Archive.

Multi-Tier Backup
Snapshots (30min) -> Local -> Offsite -> Cloud

Defense Strategy

Network, App & Host Layer
Layer 7 (WAF) Application

Gehärteter Apache Reverse Proxy mit ModSecurity und dem vollen OWASP Core Rule Set (CRS). Schützt proaktiv vor SQLi, XSS und Code Injection.

Intrusion Detection Network

Dualer Ansatz: Suricata (Signaturbasiert) für bekannte Bedrohungen + Zeek (Verhaltensbasiert) zur Erkennung von Anomalien im Traffic-Flow.

Aggressive Blocking Active Defense

Fail2Ban agiert als zentraler Aggregator für alle Sicherheitslogs. Egal ob PortSentry (Recon), Apache ModSec (Web) oder Suricata (IDS) einen Alarm auslöst – die IP wird sofort global auf allen Containern via iptables gesperrt.

Threat Intelligence Prevention

Automatisierter Download von Feodo Tracker und Emerging Threats IP-Listen fängt bekannte Botnetze und C2-Server am Gateway ab.

Active Defense
Fail2Ban + Geo-Blocking + Threat Intel Feeds

DevSecOps

Automation & Container Security
Immutable Infrastructure Resilience

Strategie der "Daily Rebuilds": Container werden täglich automatisiert zerstört und frisch aus gepatchten Images neu gebaut. Verhindert Configuration Drift und persistente Malware.

Isolation Security

Strikte Trennung von IoT-Geräten (VLANs) und Nutzung von dedizierten Docker Bridge Networks ("Intern"), um Container-Kommunikation intern und vom Host zu isolieren.

Auto-Patching Remediation

Einsatz von debsecan zur laufenden Analyse. Kritische CVEs werden via Cron-Jobs direkt in den Containern & OS gefixt, was die "Time-to-Remediate" minimiert.

Automation
Infrastructure as Code (IaC) + Cron Orchestration: RUNNING

Strategic GRC

Vulnerability to Risk Mapping
Centralized GRC Governance

Einsatz von Eramba zur Abbildung von Risiken, Compliance-Vorgaben (ISO 27001, NIS-2) und Third-Party Risk Management. Verknüpfung technischer Audits mit Business-Risiken.

Vuln Mgmt & SIEM Operations

Greenbone (OpenVAS) für kontinuierliche Schwachstellen-Scans und Wazuh XDR als zentrales SIEM zur Log-Korrelation und Echtzeit-Alarmierung.

Reporting
CISO-Dashboarding & Audit Evidence
DENKWEISE & FORSCHUNG

Evolutionäre Strategien für
komplexe Ökosysteme.

Meine Arbeit verbindet Finanzmathematik, Cybersicherheit und biologische Evolutionstheorie. Das Ziel: Statische Modelle durch dynamische, adaptive Systeme zu ersetzen, die in einer volatilen Welt nicht nur funktionieren, sondern überleben.

In der Finanzwelt hat die Moderne Portfoliotheorie (MPT) lange dominiert, scheitert aber regelmäßig an "Schwarzen Schwänen". In der IT-Sicherheit sehen wir dasselbe: Compliance-Checklisten versagen gegen adaptive Angreifer.

Warum "Evolutionäre Sicherheit"?
  • Adaptivität vor Optimierung: Lieber überlebensfähig als effizient.
  • Trust Anchors: Zertifikate als Währung des Vertrauens.
  • Short-Lived Assets: Verteidigungswert verfällt durch Mutation.

Evolutionäre Finanz

// Aus der Bachelorarbeit
"Die passive Strategie (Buy and Hold) gleicht einem Organismus mit hoher Überlebensfähigkeit, während aktive Strategien auf schnelle Reproduktion zielen."

Märkte sind keine perfekten Maschinen, sondern biologische Ökosysteme. Anlagestrategien konkurrieren wie Spezies um Kapital.

Kompetenz als Asset

// Aus der Masterarbeit
"Zertifizierungen transformieren die abstrakte Ressource 'Sicherheitskompetenz' in ein messbares, kommunizierbares und marktfähiges Asset."

Sicherheit darf kein Cost-Center sein. Durch Zertifizierung wird abstraktes Wissen in handelbare "Trust Anchors" transformiert.

Cyber-Ökologie

// Aus der Forschung
"Das Problem ist nicht, dass Cyber-Risiko teuer ist, sondern dass es akzeleriert. Statische Modelle versagen, weil sie keine Evolution abbilden."

Das "Co-evolutionäre Wettrüsten" zwischen Angreifern und Verteidigern erfordert den Abschied von statischen Sicherheitsmodellen.