Author Image

Hallo und Willkommen!

Stefan Schumacher

Sicherheitsarchitekt im Architekturmanagement bei Dataport AöR

Free. Open. Secure

Openess
Conscientiousness
Extraversion
Agreeableness
Neuroticism

Featured Posts

Hero Image
Chemnitzer Linux-Tage 2025

Chemnitzer Linux-Tage 2025 Auch auf den Chemnitzer Linux-Tagen 2025 war ich wieder mit insgesamt 2 Vorträgen vertreten. 2025-03-23: Passwortlose Logins mit PassKeys Termin: Sonntag, 14:00 - Raum V4 - Dauer 60 Min. https://chemnitzer.linux-tage.de/2025/de/programm/beitrag/188 Auf den CLT 2016 habe ich die Zwei-Faktor-Authentifizierung mit Yubikeys vorgestellt. Inzwischen hat sich in der FIDO-Welt einiges getan. So haben die FIDO-Alliance und das W3C schon 2022 sogenannte Passkeys ausgerollt. Diese sollen langfristig den Einsatz von Passwörtern überflüssig machen und Phishing-Attacken nachhaltig verhindern.

Mittwoch, 26. März 2025 | 2 Minuten Lesen
Hero Image
Chemnitzer Linux-Tage 2024

Chemnitzer Linux-Tage 2024 Auch auf den Chemnitzer Linux-Tagen 2024 war ich wieder mit insgesamt 2 Vorträgen vertreten. 2024-03-16: Sichere Datenhaltung und Backup in der Cloud Termin: Samstag, 15:00 - Raum V2 - Dauer 60 Min. https://chemnitzer.linux-tage.de/2024/de/programm/beitrag/211 Die Cloud ist anderer Leute Computer, d.h. Datenhaltung in der Cloud erfordert bestimmte Sicherheitsvorkehrungen. Schließlich kann der Betreiber der Cloud mit meinen Daten machen was er will. Daher stelle ich in diesem Vortrag einige Werkzeuge vor, um Datenhaltung in der Cloud, insbesondere automatisierte Backups, unter Linux einzurichten. Dazu zählen u.a. die verschlüsselnden Dateisysteme gocryptfs und cryfs, das Backuptool duplicity sowie rclone - das rsync für Cloud-Storage. Ich zeige, wie man sich mit diesen Werkzeugen eine einfache und sichere Datensicherungsstrategie einrichtet und dazu kostenlos verfügbaren Speicherplatz z.B. via Google, Dropbox oder Magenta nutzt. Selbstgehostete Server mit SSH/FTP/SFTP-Zugang o.ä. können natürlich auch genutzt werden. Mit rclone können Daten nicht nur synchronisiert werden, sondern es kann auch Cloud-Storage wie eine Festplatte eingemountet werden. Darüber lassen sich auf Wunsch auch bequem Daten mit mehreren Bearbeitern teilen.

Samstag, 28. September 2024 | 2 Minuten Lesen
Hero Image
Chemnitzer Linux-Tage
Mittwoch, 26. März 2025 | 0 Minuten Lesen
Hero Image
Archiv meiner Publikationen

Archiv Ich habe angefangen meine gesammelten Vortragsfolien und Publikationen in Tagungsbänden usw. zu sammeln und zentral abzulegen. Es sind nicht alle Folien und Publikationen enthalten, insbesondere nicht die Unterlagen aus den kommerziellen Schulungen die ich abgehalten habe. Außerdem habe ich einige Vorträge mehrfach gehalten, nicht jede Version der Folien ist daher im Archiv enthalten. Komplett gesammelt habe ich u.a. die Folien von Veranstaltungen des Chaos Computer Clubs, der Chemnitzer Linux-Tage, der DeepSec und DeepIntel sowie aus der Politischen Bildung in der Politischen Bildungsstätte Helmstedt, dem Reservistenverband, dem BSH, der Bundeswehr/BMVg und anderen Trägern.

Sonntag, 30. März 2025 | 1 Minute Lesen
Hero Image
Kryptographie
Mittwoch, 26. März 2025 | 0 Minuten Lesen
Hero Image
Veranstaltungen
Sonntag, 30. März 2025 | 0 Minuten Lesen

Skills

Enterprise Architecture nach TOGAF ADM

Designing, planning, implementing, and governing an enterprise information technology architecture. Using TOGAF (The Open Group Architecture Framework) and Archimate as well as ARC42
Sicherheitsarchitektur und Threat Modelling nach SABSA

Sicherheitsarchitektur für die Unternehmensarchitektur. Von der Strategie-Ebene über Business und Application bis zum Physical Layer.
Kryptographie

Langjähriges Interesse an Verschlüsselungstechnik und deren Anwendung. U.a. erste GnuPG Workshops in Wernigerode 1998 sowie mehrere öffentliche Workshops zu kryptographischen Themen an Hochschulen, auf Konferenzen und Open-Source-Events und für Sicherheitsbehörden sowie Bundeswehr. Forschung zu einer Didaktik der Kryptographie.
IT Security

  • Informationssicherheit seit über 25 Jahren.
  • Aufgewachsen mit SuSE Linux 4.2 und NetBSD 1.5.
  • Kryptographie seit den späten 90ern.
  • Netzwerkhacker seit 2000.
  • Umfangreiche Erfahrungen im PenTesting von Unternehmen.
  • White-Box, Gray-Box und Black-Box-Analysen.
  • BSI-Grundschutz und SDM.
Kubernetes/Zero-Trust/Container Sicherheitsarchitektur

Entwurf einer umfangreichen SABSA Sicherheitsarchitektur für ein K8S containerbasiertes Cloud-Projekt mit einer Zero-Trust-basierten Microservices-Architektur
Social Engineering und Security Awareness

Umfangreiche Erfahrungen in der psychologischen Grundlagenforschung zu Social Engineering und Security Awareness, mehrere Veröffentlichungen und Konferenzbeiträge zum Thema. Langjährige Erfahrung als Social-Engineering-PenTester sowie im Design und der Implementierung mehrerer Security-Awareness-Kampagnen. Darüberhinaus eine Spezialisierung auf die Evaluation von durchgeführten Maßnahmen.
Open Source Software

Seit knapp 30 Jahren aktiv in der Open-Source-Szene. Darunter einige Jahre als offizieller NetBSD-Entwickler mit write-permission. Zahlreiche Vorträge und Workshops zu Open-Source und Sicherheitsthemen u.a. auf dem Chaos Communication Congress und Camp, Chemnitzer Linux-Tagen, LinuxTag, GUUG FFG, IHKn und Handwerkskammern. Organisation des Magdeburger Open-Source-Tages 2008 und Veröffentlichung von technischen Fachartikeln u.a. in der CCC Datenschleuder, GUUG UpTimes, Pro-Linux u.a.
Wissensmanagement insbesondere mit LaTeX/AsciiDoc/Pandoc/Perl

25 Jahre Erfahrung in LaTeX, Autor dutzender Werke in LaTeX, Entwickler einer komplett PostgreSQL-gestützten Toolchain zur Redaktion eines Wörterbuchs. Aufbau der AsciiDoctor/BibTex/Gitlab-Toolchain und des Wissensmanagements im Architektur-Team. Neben den technischen Werkzeugen habe ich mich insbesondere im Studium in Lehrveranstaltungen der AO-Psychologie mit dem Wissensmanagement auseinandergesetzt. Anfang der 2000er habe ich das Übersetzungs- und Dokumentationssystem des NetBSD-Projektes modernisiert.
Konferenz-Speaker, Dozent und Workshop-Tutor

20 Jahre Erfahrung als Speaker auf Konferenzen, von kleinen Linux-Tagen bis hin zu internationen Sicherheitskonferenzen. Mehr als 350 öffentliche Talks und Workshops zu Sicherheits-Themen gegeben. Tätig als Dozent in der politischen Bildung und Erwachsenenbildung sowie Lehraufträge an Hochschulen.

CV

1
Dataport AöR

Feb 2022 - heute

Magdeburg

Sicherheits-Architekt im Architekturmanagement

Sicherheits-Architekt NOOTS

Mar 2025 - heute

Verantwortlichkeiten:
  • Sicherheit-Architekt in der Registermodernisierung/NOOTS
  • Threat Modelling
  • Kryptographie: Evaluation und Richtlinie
Enterprise Architecture Repository

Mar 2025 - heute

Verantwortlichkeiten:
  • Aufbau des Enterprise Architecture Repository
  • Aufbau des Konzepts zum unternehmensweiten Wissensmanagements in der Architektur
Sicherheits-Architekt Open-Source Cloud im Programm dPhoenixSuite

Feb 2022 - Feb 2025

Verantwortlichkeiten:
  • Open Source Software Security Architect im Projekt Phoenix
  • Nextcloud, OpenExchange, Keycloak, Matrix/Element, Jitsi/Jibri/Meet/JVB
  • Sicherheitsanalyse des Matrix-Krypto-Protokolls
  • Entwurf von Sicherheitskonzepten und Richtlinien u.a. für Transportverschlüsselung, CICD-Pipelines, Open-Source-Quellen
  • Entwurf der Sicherheitsarchitektur für den Souveränen Arbeitsplatz OpenDesk (SouvAP Steckbrief D-03-DP-102)
  • Konzept zur Infrastruktur-Schicht: Inter-Service-Kommunikation für dPhoenix4.0, Anforderungen an Service-Meshs und Gateways für eine Kubernetes-basierte Micro-Service-Architektur formuliert
  • Modellierung der Architektur in TOGAF/ArchiMate, Arc42
  • Architektonische Begleitung der BSI Grundschutzchecks und Herstellung der Grundschutz-Fähigkeit
  • Aufbau des Wissensmanagements im Architektur-Team über eine AsciiDoc/BibTeX-Pipeline im Gitlab zur Erstellung von Dokumenten sowie BibTeX zum Wissensmanagement
Kaishakunin.com IT-Sicherheitsberatung

Okt 2006 - Jan 2022

Magdeburg

IT-Sicherheitsberatung mit Schwerpunkt auf Social Engineering und Security Awareness

freiberuflicher IT-Sicherheitsberater

Okt 2006 - Jan 2022

Verantwortlichkeiten:
  • Penetration Testing: Durchführung von technischen Sicherheitsüberprüfungen, Einbrechen in Unternehmensnetze mit Hackermethoden, Identifizieren von Sicherheitslücken und Entwicklung von Handlungsempfehlungen
  • Einführung und/oder offene Überprüfung von Sicherheitskonzepten
  • Durchführung von Security-Awareness-Kampagnen zur Sicherheitssensibilisierung von Mitarbeitern, dabei Konzeptionierung der Lehrmethoden und des Schulungsmaterials sowie pädagogische Evaluation der Maßnahmen
  • Durchführung von technischen Schulungen und Workshops z.B. sichere kryptographische Methoden für Software-Entwickler
  • Einführung/Evaluation von Datenschutzmaßnahmen gemäß DSGVO z.B. Verfahrensverzeichnis, Belehrungen und Schulungen
  • gelistet im Beraterpool der Investitionsbank Sachsen-Anhalt
2
3
Magdeburger Institut für Sicherheitsforschung

2010 - 2021

Magdeburg

Herausgeber

2010 - 2021

Verantwortlichkeiten:
  • Herausgeber des Magdeburger Journals zur Sicherheitsforschung
  • zeitweise gemeinsam mit Jan W. Meine, Jörg Sambleben bzw. René Pfeiffer
  • Insgesamt 20 Ausgaben mit über 70 Artikeln auf über 1000 Seiten erschienen
  • alle Artikel sind offen und frei verfügbar
  • verantwortlich für den Textsatz mit LaTeX, Entwicklung der gesamten ToolChain
  • Anwerbung von Autoren
Direktor

2010 - 2021

Verantwortlichkeiten:
  • Speaker auf deutschen und internationalen Sicherheitskonferenzen
  • Autor von Fachbeiträgen zur Informationssicherheit
  • Entwicklung von Forschungsprogrammen
  • Teilnahme an Ausschreibungen und Einwerbung von Drittmitteln
  • Leitung des Themenbereichs Psychologie der Sicherheit
Sicherheitsforscher

2010 - 2021

Verantwortlichkeiten:
  • Social Engineering
  • Security Awareness
  • Wahrnehmung und Konstruktion von Sicherheit
  • Didaktik der Kryptographie
  • Sicherheit in der Schule und Ausbildung
  • Leitung/Durchführung von verschiedenen anerkannten Lehrerfortbildungen
  • Soziale Phänomene des Internets
  • Sicher unterwegs im Internet
  • Cyber-Krieg und Cyber-Frieden
  • Anonymität und Überwachung im Internet
DeepSec InDepth Security Conference

2012 - 2019

Vienna/Austria

Member of the Scientific Advisory Board

2012 - 2019

Verantwortlichkeiten:
  • Editor of the Proceedings with René Pfeiffer
  • Member of the Scientific Advisory Board
4
5
Politische Bildungsstätte Helmstedt

2012 - 2020

Helmstedt

freier Dozent politische Bildung/Erwachsenenbildung

2012 - 2020

Verantwortlichkeiten:
  • Inhaltliche Konzeptionierung und Durchführung von Seminaren
  • IT-Sicherheit, Darknet, Cyberwar, Cyber-Terror, Sicher unterwegs im Internet
  • Drohneneinsätze, Moral und Ethik für Soldaten, Künstliche Intelligenz in der Kriegsführung,
  • Soziale Medien und Verschwörungstheorien, Radikalisierung im Internet
E-Businesslotsen Mitteldeutschland

2012 - 2014

Halle

freier Dozent IT-Sicherheit

2012 - 2014

Verantwortlichkeiten:
  • Inhaltliche Konzeptionierung und Durchführung von Präsenz- und Web-Seminaren
  • Sicher unterwegs im Internet, Anonymität und Onlineüberwachung, Datensicherung,
  • Schadsoftware, Hacker-Angriffe erkennen und abwehren,
  • Erstellung eines Flyers zu sicheren Passwörtern und eines Leitfadens zur IT-Sicherheit in KMU
6
7
Helmholtz-Zentrum für Umweltforschung

Oktober 2010 - März 2013

Arbeitsgruppe Integriertes Wasser-Ressourcen-Management, Magdeburg

Wissenschaftlicher Assistent

Oktober 2010 - März 2013

Verantwortlichkeiten:
  • Pflege der Projekt-Webseiten
  • Evaluation von Bildungsmaßnahmen, Statistische Auswertungen, Literaturrecherche
Magdeburger Open-Source-Tag

Oktober 2007 - Oktober 2008

Magdeburg

Leiter des Organisationskommitees

Oktober 2007 - Oktober 2008

Verantwortlichkeiten:
  • Organisationsleitung des Open-Source-Tages
  • Einwerbung von Drittmitteln und Sponsoren
  • Anwerbung von Referenten und Open-Source-Projekten für die Ausstellung
  • Pflege der Projekt-Webseite und Programm-Hefte/-Flyer
8
9
Arbeitsgruppe русско-немецкий словарь

April 2005 - März 2010

OvGU Magdeburg, Akademie der Wissenschaften und der Literatur Mainz

Softwareentwickler webbasiertes CMS/PostgreSQL

April 2005 - März 2010

Verantwortlichkeiten:
  • Umstellung der gesamten Toolchain auf ein internetbasiertes Redaktionssystem
  • NetBSD, Apache, PostgreSQL, Perl, pg/Perl, LaTeX
  • Abbildung der Wörterbuchstruktur in der Datenbank
Institut für fremdsprachlichle Philologien (Anglistik und Slawistik)

Oktober 2002 - September 2006

OvGU Magdeburg, FGSE, IfPH

Systemadministrator, IT-Hiwi

Oktober 2002 - September 2006

Verantwortlichkeiten:
  • Nutzerbetreuung und -schulung
  • Netzwerkbetreuung
  • Datensicherung
  • Einrichtung eines zentralen Institutsservers (NetBSD, Apache, Perl, Samba, PostgreSQL)
10

Veröffentlichungen

Psychologische Grundlagen des Social-Engineering
Die Datenschleuder - Das Fachblatt für den Datenreisenden 2010-10-10
Stefan Schumacher

Social-Engineering ist eine Angriffsstrategie, die nicht die Technik als Opfer auserkoren hat. Stattdessen wird hier viel lieber – und vor allem effizienter – der Mensch, bzw. sein Verhalten angegriffen. Dieser Artikel zeigt, wie Social-Engineering funktioniert und erklärt die zugrundeliegenden Tricks anhand sozialpsychologischer Studien und Experimente. Außerdem werden Beispiele, Warnsignale und Gegenmaßnahmen vorgestellt. Er richtet sich an Sicherheitsverantwortliche und Systemadministratoren, die verstehen wollen, wie Social-Engineering funktioniert und dieses Wissen in ihre Sicherheitsmaßnahmen integrieren wollen.

Details
Informationstechnologie und Sicherheitspolitik: Wird der dritte Weltkrieg im Internet ausgetragen?
Buch
Jörg Sambleben Stefan Schumacher

Informationstechnologie verändert seit mehreren Jahrzehnten nicht nur technische Handlungsfelder, sondern auch gesellschaftliche. Insbesondere in der Außen- und Sicherheitspolitik wird unter dem Stichwort »Cyberwar« das Gefährdungspotenzial von IT und Computern diskutiert. Außerdem werden Kriegsspiele im Cyberspace durchgeführt und mögliche Angriffs- und Verteidigungsstrategien entworfen. Dieses Buch beschäftigt sich daher mit dem Verhältnis von Informationstechnologie und Sicherheitspolitik und deren wechselseitigen Einflüssen. Es stellt die zwingend notwendigen technischen Grundlagen sowie aktuelle sicherheitspolitische Diskussionen vor. Dabei wird insbesondere der Frage nachgegangen, ob es einen Cyberwar gibt und welche Konsequenzen Cyber-Aggressionen hätten.

Details
Informationssicherheit in Versorgungsunternehmen umsetzen
Thüringer Wasser-Journal (#18) 22. Thüringer Wasserkolloquium 2017
Stefan Schumacher

Versorgungsunternehmen sind als Betreiber kritischer Infrastrukturen vielfältigen Angriffen aus dem Internet ausgesetzt. Sowohl einfache Bürorechner, Abrechnungssystem als auch Industriesteuerungsanlagen werden regelmäßig von verschiedenen Akteuren attackiert. Darunter fallen auch ungezielte automatisierte Massenangriffe. Der Beitrag zeigt, wie Sie Ihre Infrastruktur vor Angriffen schützen können, wie Sie dazu strategisch vorgehen müssen und welche technisch-organisatorische Maßnahmen implementiert werden sollten. Desweiteren werden in einem Überblick Standards bzw. Richtlinien wie ISO 27001 oder das BSI Grundschutzkonzept vorgestellt. Der Beitrag wurde im Rahmen der Trinkwassertagung Thüringen in Erfurt 2017 im Tagungsband veröffentlicht.

Details
Soziale Kompetenzen für Informatiker
GUUG UpTimes 2013/3
Stefan Schumacher

Trotz breiten Aufgabenspektrums gilt die Informatik als technozentrisch: Informatiker werden traditionell als Ingenieur oder Naturwissenschaftler ausgebildet. Soziale Kompetenzen kommen in der Ausbildung kaum vor. Dieser Artikel stellt Grundlagen der sozialen Kompetenzen vor und zeigt, wie sie trainiert werden.

Details

Absolvierte Schulungen

TOGAF® 9 Foundation and Certified (Level 1 and Level 2)
Advised Skills 2022-05-09 - 2022-05-12

The TOGAF standard is a framework for enterprise architecture which provides a comprehensive approach for designing, planning, implementing, and governing an enterprise information architecture. After this course participants gain an understanding of the necessary knowledge to give C-level support when implementing EA in your organization and adopt and implement tools and practical examples of Enterprise Architecture

Zertifikat ansehen
ArchiMate® 3 - Foundation and Practitioner
Advised Skills 2022-07-11 - 2022-07-12

ArchiMate® is an international standard established by The Open Group®. The standard describes the graphical language for enterprise architecture modelling. This training course is intended to enable the learners to develop the skills and knowledge required to perform effective Enterprise Architecture modelling using the ArchiMate® 3.2 language. During the training course participants learn about the structure of the language, as well as its concepts, principles and assumptions. The training focuses to great extent on practical exercises consisting in analyzing and creating models compatible with the ArchiMate® 3.2 standard.

Zertifikat ansehen
Arc42
educative 2024-06-13

In dieser Schulung erlernst du die Architekturdokumentation mittels Arc42. Arc42 bietet dir ein Framework für die Dokumentation. Software- und Systemarchitekten müssen Arc42 beherrschen, auch für alle anderen Architektenrollen ist der Dokumentationsstandard relevant. Der Unterschied zu C4 wird erläutert.

Container-Technologien mit Docker und Kubernetes - Administration und Entwicklung
DevNinjas 2023-01-30 -- 2023-02-01 && 2024-01-08 -- 2024-01-12

Bau und Administration von Containern mit Docker und Kubernetes

DevOps Fundamentals
SerView 2023-02-16 -- 2023-02-17

In diesem Training lernen Sie praxisnah und interaktiv die Grundlagen von DevOps. Dabei verinnerlichen Sie alle wichtigen Prinzipien und Best Practices für eine bessere Zusammenarbeit und Kommunikation zwischen Development und IT Operations. Auch Schlüsselkonzepte der Cloud-Technologie und Automatisierung werden detailliert besprochen und anhand praktischer Beispiele vermittelt. Zudem erfahren Sie mehr über transformative Führung und Teambildung in einer DevOps-Kultur und befassen sich mit Ansätzen der agilen Projektleitung.

Prozessmodellierung mit Aris
ITBBZ 2022-11-07 -- 2022-11-08

Der ARIS Architect 10 der Software AG ist eines der weltweit führenden Prozessmodellierungstools. Dieser Kurs bietet eine Einführung in das ARIS-Konzept und das praktische Arbeiten mit der Software. Ziel ist es, das tägliche Arbeiten und einfache Projekte mit ARIS selbstständig zu erledigen. Im Vordergrund stehen die Modellierung und Modellauswertung.

Automatisierung mit Ansible
ExperTeach 2023-01-23 -- 2023-01-27

Ansible® ist eine auf Open Source basierende IT-Automatisierungs-Engine, mit der Provisionierung, Konfigurationsmanagement, Anwendungsbereitstellung, Orchestrierung und viele weitere IT-Prozesse automatisiert werden können. Mit Ansible können Sie Software installieren, tägliche Aufgaben automatisieren, Infrastruktur- und Netzwerkkomponenten bereitstellen, Sicherheit und Compliance verbessern, Systeme patchen und komplexe Workflows orchestrieren.

Kubernetes-Paketmanagement mit HELM
DevNinjas 2024-12-09 -- 2024-12-11

Ansible® ist eine auf Open Source basierende IT-Automatisierungs-Engine, mit der Provisionierung, Konfigurationsmanagement, Anwendungsbereitstellung, Orchestrierung und viele weitere IT-Prozesse automatisiert werden können.

Growth-Mindset für Architekten
ITBBZ intern 2024-11-28

Ansible® ist eine auf Open Source basierende IT-Automatisierungs-Engine, mit der Provisionierung, Konfigurationsmanagement, Anwendungsbereitstellung, Orchestrierung und viele weitere IT-Prozesse automatisiert werden können.

Change-Management für erfolgreichere Projekte
ITBBZ intern 2024-11-25 -- 2024-11-26

Ansible® ist eine auf Open Source basierende IT-Automatisierungs-Engine, mit der Provisionierung, Konfigurationsmanagement, Anwendungsbereitstellung, Orchestrierung und viele weitere IT-Prozesse automatisiert werden können.