IT-Sicherheit, Informationssicherheit, IT-Security, Netzwerksicherheit, Aufbau ISMS, ISO27001, IT-Grundschutz, Risikoanalysen, Audits, Richtlinien
Aktualisiert am 20.05.2026
Profil
Freiberufler / Selbstständiger
Remote-Arbeit
Verfügbar ab: 24.05.2026
Verfügbar zu: 100%
davon vor Ort: 100%
Cybersecurity - Informationssicherheit
ISO27001-BSI IT-Grundschutz
25 Jahre Beratung Informationssicherheit
technische Informationssicherheit
Informationssicherheit
organisatorische Informationssicherheit
Risikomanagement
Security
Produkt-Risikoanalyse
Digital Operational Resilience Act
NIS2
IT-Sicherheitsnormen
Auditor
Sicherheitsmanagement
ISMS
Cybersecurity
Deutsch
Muttersprache
Englisch
Verhandlungssicher

Einsatzorte

Einsatzorte

Deutschland, Österreich, Schweiz
Senior Berater Informationssicherheit, Seit 25 Jahre im Berater für verschiedene technische/organisatorische Themen der Informationssicherheit.
möglich

Projekte

Projekte

10 Monate
2025-03 - 2025-12

Unterstützung CISO, Sicherheitskonzept Cloud

Senior Berater Informationssicherheit
Senior Berater Informationssicherheit
  • Unterstützung des Kunden bei der Optimierung des ISMS: Richtlinien, Assetmanagement, Risikomanagement. Durchführung von internen Audits, aktualisierung der Dokumentation in Verinice Pro, Test Verinice Veo.
  • Für mehrer Kunden des Medizingeräteherstellers (öffentliche Auftraggeber): Erstellung des Sicherheitskonzepts für eines cloudbasierte Telenotfallmedizinlösung.
  • Abgleich der umgesetzten Lösung mit den Anforderungen des BSI IT-Grundschutzes, ISO/IEC 27001:2022 und BSI C5.
  • Risikoanalyse des Untersuchungsgegenstandes
  • Modellierung und Dokumentation der Maßnahmenumsetzung der Telenotarztlösungen in Verinice Pro.
  • Prüfung der Nutzung/Übertragung der Modellierung in Verinice Veo.
Medizingerätehersteller / IT Dienstleistung
6 Monate
2024-10 - 2025-03

Optimierung des Verfahrens zur DORA-konformen Aktualisierung von Systemen

Senior Berater Informationssicherheit
Senior Berater Informationssicherheit
  • Unterstützung des Kunden bei der Optimierung der Prozesse und Verfahren zur Schwachstellenerkennung (Vulnerability Management) und Aktualisierung von IT Systemen und Anwendungen zur vollständigen der DORA-Konformität.
  • Durchführung von Workshops und technischen Auswertungen
Dienstleister der Sparkassenorganisation / Medizin
1 Monat
2024-10 - 2024-10

Bewertung der Umsetzung einer Kernbankinfrastruktur in AWS

  • Technische Prüfung der AWS Infrastruktur für das Kernbanksystem einer Bank im Auftrag des CISO (IT-Dienstleister).
IT-Dienstleister einer mittelständische Privatbank / Finanz/Banken
3 Jahre 1 Monat
2021-10 - 2024-10

Aufbau/Optimierung ISMS nach BSI IT-Grundschutz und ISO/IEC 27001

Teilprojektleiter BSI IT-Grundschutz ISO/IEC 27001
Teilprojektleiter

Aufbau/Optimierung ISMS nach BSI IT-Grundschutz und ISO/IEC 27001, Unterstützung CISO/Sicherheitsorganisation

Im Rahmen eines mehrjährigen Projektes zur Erreichung der Zertifizierungsreife (BSI IT-Grundschutz und ISO/IEC 27001) wurde das gesamte Unternehmen untersucht, Maßnahmen aufgezeigt und Grundlegende Strukturen zur Herstellung der Zertifizierbarkeit geschaffen, insbesondere:

  • Entwicklung von Informationssicherheitsrichtlinien
  • Entwicklung des Risikomanagementsystems
  • Netzwerkanalyse Unterstützung des Bereichs Netzwerk bei der Entwicklung von sicheren Architekturen
  • Umsetzung der Anforderungen der Informationssicherheit für den Personalbereich
  • Umsetzung der Sicherheitsanforderungen im Bereich Einkauf
  • Durchführung von Audits (z.B. Grundschutz-Checks).
  • Unterstützung bei der Tooleinführung ?Fuentis? und ?Corporater?

BSI IT-Grundschutz ISO/IEC 27001
Bundeseigene GmbH / öffentlich
1 Monat
2024-08 - 2024-08

Bewertung und Umsetzung der DORA Compliance

  • Prüfung und erstellung eine Umsetzungsvorlage für die Anforderungen der DORA: Risikomanagement und Assetmanagement
Mittelständische Privatbank / Finanz/Banken
9 Monate
2021-01 - 2021-09

Überarbeitung der Sicherheitsrichtlinien

Unterstützung des CISO IT-Grundschutz ISO/IEC 27001 Fuentis
Unterstützung des CISO

Überarbeitung der Sicherheitsrichtlinien, Unterstützung bei der Umsetzung von BSI IT-Grundschutz, Unterstützung CISO/Sicherheitsorganisation

  • Überarbeitung der Sicherheitsleitlinie und der Sicherheitsrichtlinien der Bank zur Vervollständigung der Compliance mit der neuen BAIT.
  • Beratung bezüglich Optimierung der Sicherheitsorganisation.
  • Unterstützung bei der Umsetzung der des BSI IT-Grundschutzes: Kontrolle Maßnahmenumsetzung, Erstellung von Informationssicherheitskonzepten.
  • Bewertung der Umsetzung von BSI IT-Grundschutzbausteinen.
  • Durchführung von Risikoanalysen.
  • Unterstützung beim Prozessdesign für Sicherheitsprozesse.
  • Optimierung der Nutzung des Tools ?Fuentis?
IT-Grundschutz ISO/IEC 27001 Fuentis
Förderbank eines Bundeslandes / Finanz
1 Jahr
2020-01 - 2020-12

Unterstützung bei der Zertifizierungsvorbereitung ISO 27001 und BSI IT-Grundschutz

  • Im Rahmen des Projektes zur Rezertifizierung nach ISO 27001 und ?ISO 27001 auf der Basis von IT-Grundschutz? wurde bei der Definition des Scopes, der Modellierung und Anpassung/Umsetzung von Sicherheitsrichtlinien und Maßnahmen das interne Projektteam unterstützt.
IT Dienstleister / Informationstechnologie
1 Jahr 7 Monate
2019-01 - 2020-07

Aufbau Risikomanagement

Projektmitarbeiter ISMS Mindestanforderungen an das Risikomanagement Sicherheitsrichtlinien ...
Projektmitarbeiter

Aufbau Risikomanagement, Erstellung Informationssicherheitsrichtlinien, Unterstützung CISO

Im Rahmen eines Outsourcingprojektes wurden die internen Informationssichereitsrichtlinien grundsätzlich überarbeitet und eine BAIT konforme Systemdokumentation inkl. Vorlagen erstellt. Das Security Risk Mangement wurde neu konzipiert. Für das gesamte Unternehmen wurden Risikoanalysen durchgeführt. Das Reporting an den Kunden wurde überarbeitet. Als Interims-Risikomanager erfolgte eine enge Abstimmung mit dem externen Kunden.

  • Entwicklung von Sicherheitsrichtlinien Informationssklassifizierung und Risikomanagement, Abstimmung.
  • Durchführung von Risikoanalysen inklusive Erstellung der Systemdokumentation.
  • Auswahl, Integration des Tools für das Risikomanagement. Steuerung des Dienstleisters für die Integration des Tools (Jira)
  • Integration des IT Risikomanagements in das Bank-interne Risikomanagement
  • Unterstützung des CISOs bei verschiedenen Tätigkeiten (z.B. Lieferantenmanagement, Vorgaben für den Einkauf, Prozessentwicklung und Dokumentation, ISAE 3402 Audit/Control Definition)
Atlassian JIRA Atlassian Confluence
ISMS Mindestanforderungen an das Risikomanagement Sicherheitsrichtlinien ISAE 3402 ISO 27001
Start-up Bank (IT-Tochter) / Finanz
München
1 Monat
2020-05 - 2020-05

ISO 27001 auf Basis von IT-Grundschutz - Voraudit

  • Audit verschidener Bausteine des BSI IT-Kompendiums zur Vorbereitung auf ein Zertifizierungsaudit nach ISO27001 auf der Basis von IT-Grundschutz.
  • Dokumentation und Maßnahmenempfehlung.
  • Beratung zur Zertifizierung
Städtischer IT-Dienstleistert / öffentlicher Dienst
6 Monate
2018-08 - 2019-01

Prozessentwicklung ?Security Patching?

Projektmitarbeiter ISMS ISO 27001
Projektmitarbeiter

  • Im Rahmen einer Konzernweiten Initiative zur Weiterentwicklung der Informationssicherheit wurden die Prozesse für das Security Patching der IT Systeme für den gesamten Konzern erfasst und als ?Blueprint? zu SOLL-Prozessen entwickelt, dokumentiert und abgestimmt. Projektmitarbeit im Teilprojekt ?Prozesse?.

yED
ISMS ISO 27001
Internationaler Mischkonzern
München
1 Monat
2018-10 - 2018-10

Audit der IT Infrastruktur (Kritische Infrastruktur - KRITIS)

  • Audit der IT Infrastruktur bezüglich technischer Sicherheitsmaßnahmen und organisatorischer Betriebsprozesse zur Umsetzung der Anforderungen zum Schutz Kritischer Infrastrukturen (Kritis). 
  • Dokumentation und Maßnahmenempfehlung.
  • Abstimmung mit dem IT Leiter.
Betreiber eines Tanklagers / Logistik
1 Jahr 7 Monate
2015-08 - 2017-02

Unterstützung des CISO

Pricipal Consultant Kritische Infrastrukturen ISMS ISO27001
Pricipal Consultant
Im Projekt wurde der CISO eines großen deutschen Flughafens in allen Aufgabenbereichen unterstützt. Dazu zählten insbesondere:
  • Optimierung ISMS
  • Unterstützung bei der Risikobewertung von Infrastrukturen
  • Durchführung von Audits
  • Durchführung von Awareness-Maßnahmen
  • Unterstützung bei Umsetzung der Anforderungen an kritische Infrastrukturen (z.B. Energieversorgung): Projektplanung, Kostenschätzung,...
Kritische Infrastrukturen ISMS ISO27001
großer deutscher Flughafen
1 Jahr
2016-01 - 2016-12

Erstellung einer Ausschreibung für die Neuvergabe der WAN Infrastruktur

Im Rahmen des Projektes wurde die vorhandene europäische WAN Infrastruktur des europäischen Teils eines Internationalen Herstellers von Komponenten für Haustechnik, Automation, Kommunikation, Transport und Energie analysiert, Anforderungen erfasst und eine Ausschreibung erstellt. Die Ausschreibung wurde an alle namhaften WAN Anbieter versandt, die Angebote ausgewertet und Bietergespräche geführt. Der Prozess führte zu einer Empfehlung für die Auftragsvergabe an den Vorstand.
Internationaler Konzern
9 Monate
2016-02 - 2016-10

Unterstützung bei der Auswahl eines WAN Providers

Principal Consultant Ausschreibungen LAN / WAN adaptive Anforderungsanalyse
Principal Consultant

Ausschreibung, Bietergespräche, Bewertungsschema.

Ausschreibungen LAN / WAN adaptive Anforderungsanalyse
Düsseldorf
5 Monate
2015-08 - 2015-12

Sicherheitsaudit Internetumgebung und Storage Infrastruktur

Principal Consultant, Auditor
Principal Consultant, Auditor

Audit der DMZ Umgebung des kommunalen Unternehmens: Physikalische Sicherheit, Betriebsprozesse, Netzwerke, Storage Umgebung.

Stadtwerke einer deutschen Großstadt
9 Monate
2015-03 - 2015-11

Sicherheitsaudit der Netzwerkinfrastruktur bzgl. PCI DSS

Audit der Netzwerkinfrastruktur.
Entwicklung von alternativen Netzwerkarchitekturen unter Berücksichtigung von PCI DSS Anforderungen.

Optimierung der PCI DSS Auditierbarkeit der Umgebung.

Kreditkartenabwickler
3 Monate
2015-08 - 2015-10

Analyise eine großflächigen Ausfalls von Storage Systemen

Principal Consultant Storage Systeme Virtualisierung Netzwerk ...
Principal Consultant

Analyse des Ausfalls von Storage Systemen und in Folge von Virtualisierungsinfrastruktur.

Bewertung der Infrastruktur, Bewertung der Betriebsprozesse, Empfehlung von Maßnahmen, Ergebnispräsentation auf Konzern-Management Ebene.

Storage Systeme Virtualisierung Netzwerk Betriebsprozesse
1 Jahr 1 Monat
2014-08 - 2015-08

Entwicklung von Lösungsmöglichkeiten für eine zukunftsfähige WAN Infrastruktur

Im Rahmen des Projekts wurden die Anforderungen der WAN Anbindungen mit den Beteiligen Gesellschaften erfasst und diskutiert. Wesentlich bei der Lösung war eine ausgewogenes Maß zwischen Zentralisierung und dezentralisierter Verantwortungen zu finden.

Automobilverband
1 Jahr
2014-01 - 2014-12

Bewertung Zukunftsfähigkeit der RZ Infrastruktur

Für das Management des Unternehmens wurde eine Aussage zur Zukunftsfähigkeit der existierenden IT Infrastruktur erarbeitet. Es sollte festgestellt werden, ob "eponentielles Wachstum" der Infrastruktur möglich ist. Verbesserungspotentiale wurden aufgezeigt. Basis für die Aussagen war das Gartner Reifegradmodell "Gartner IT Infrastructure and Operations Maturity Model".
IT Tochter eines der größten Reiseveranstalters der Welt
2 Jahre 7 Monate
2011-02 - 2013-08

Dokumentation/ Risikoanalyse nach BaFin Anforderungen

Teilprojektleiter
Teilprojektleiter
Projektleitung für die Pflege und Erstellung von Dokumentation entsprechend Vorgaben der BaFin (§25a KWG). Erfassung der Risiken von ca. 150 Anwendungen und Basisinfrastrukturen.
  • Koordination der Unterstützung zur Erstellung der Dokumente
  • Erstellung von Handbüchern und Durchführung von Schulungen zur Umsetzung der Risikoanalysen
  • Terminsteuerung
  • 10 Projektmitarbeiter
IT Dienstleister für die Finanzwirtschaft
2 Monate
2012-02 - 2012-03

Analyse eines großflächigen Netzwerkausfalls

Senior Consultant
Senior Consultant

Organisatorische und technische Analyse eines großflächigen Netzwerkausfalls. Präsentation der Ergebnisse vor der Geschäftsleitung.

1 Jahr 1 Monat
2010-08 - 2011-08

Temporäre Vertretung

Externer CISO
Externer CISO

Temporäre Vertretung des Chief Security Officers einer Privatbank. In diesem Zeitraum wurden Sicherheitskonzepte und Risikoanalysen erstellt und geprüft, sowie eine Bestandsaufnahme des Sicherheitsmanagements durchgeführt. Die Struktur für eine neue Sicherheitsdokumentation wurde definiert. Analyse der Anforderungen verschiedener gesetzlicher Vorgaben (z.B. Ma Risk, Datenschutz). Vorschlag eines Verfahrens zur Risikoanalyse innerhalb der IT Abteilung. Zusammenarbeit mit der Konzernrevision.

Privatbank
7 Monate
2010-02 - 2010-08

Bewertung der Effizienz Firewallbetrieb

Senior Consultant
Senior Consultant

Analyse zur Bewertung der Effizienz des IT-Betriebes (Plan-Build-Run) einer Abteilung (Firewall Design/Betrieb) mit ca. 35 Mitarbeitern. Präsentation der Ergebnisse bei der Geschäftsleitung des Unternehmens.

IT Dienstleister im Bankenumfeld

Aus- und Weiterbildung

Aus- und Weiterbildung

5 Monate
2025-12 - heute

ISO/IEC 27001 Senior Lead Auditor

PECB
PECB
3 Jahre
2014-01 - 2016-12

"Auditteamleiter für ISO 27001 Audits auf der Basis von IT-Grundschutz"

Zertifizierung, Bundesamt für Sicherheit in der Informationstechnik
Zertifizierung
Bundesamt für Sicherheit in der Informationstechnik
3 Jahre
2011-01 - 2013-12

"ISO 27001-Auditor für Audits auf der Basis von IT-Grundschutz"

Zertifizierung, Bundesamt für Sicherheit in der Informationstechnik
Zertifizierung
Bundesamt für Sicherheit in der Informationstechnik
5 Jahre
2006-01 - 2010-12

"Anerkannter Auditor für ISO 27001-Audits auf Basis von IT Grundschutz?

Zertifizierung, Bundesamt für Sicherheit in der Informationstechnik
Zertifizierung
Bundesamt für Sicherheit in der Informationstechnik
1 Monat
2007-05 - 2007-05

Schulung "St. Gallener Leadership Seminar?

St. Gallener Management Institut
St. Gallener Management Institut
6 Jahre
2001-01 - 2006-12

"Lizenzierter IT Grundschutz Auditor?

Zertifizierung, Bundesamt für die Sicherheit in der Informationstechnik
Zertifizierung
Bundesamt für die Sicherheit in der Informationstechnik
1 Monat
2006-06 - 2006-06

Schulung "Verhandlungstechnik?

Zienterra Institut für Rhetorik und Kommunikation
Zienterra Institut für Rhetorik und Kommunikation
6 Monate
2005-05 - 2005-10

Schulung ?Presentation skills?

Zienterra Institut für Rhetorik und Kommunikation
Zienterra Institut für Rhetorik und Kommunikation
1 Monat
2004-10 - 2004-10

"Cisco Certified Network Associate ? CCNA?

Zertifizierungen,
Zertifizierungen
1 Monat
2003-02 - 2003-02

"Aufbau und Auditierung von Informationssicherheits-Managementsystemen nach ISO 17799 bzw. BS7799?

Zertifizierung, TÜV IT GmbH
Zertifizierung
TÜV IT GmbH

7 Jahre 8 Monate
1990-10 - 1998-05

Technische Informatik

Diplom Informatiker (FH), TU München, FH-München
Diplom Informatiker (FH)
TU München, FH-München

Position

Position

  • Projektleiter
  • Sicherheitsverantwortlicher im Projekt
  • Architekt
  • Auditor
  • Informationssicherheit
  • Interim CISO

Kompetenzen

Kompetenzen

Top-Skills

Cybersecurity - Informationssicherheit ISO27001-BSI IT-Grundschutz 25 Jahre Beratung Informationssicherheit technische Informationssicherheit Informationssicherheit organisatorische Informationssicherheit Risikomanagement Security Produkt-Risikoanalyse Digital Operational Resilience Act NIS2 IT-Sicherheitsnormen Auditor Sicherheitsmanagement ISMS Cybersecurity

Schwerpunkte

Beratung in allen Themengebieten der Informationssicherheit

  • Aufbau und Optimierung von ISMS nach ISO/IEC 27001, BSI IT-Grundschutz
  • Informationssicherheits-Risikomanagement
  • Technische IT Architekturen: Sicherheitskonzepte, Bewertung, Root cause Analyse
  • Audits auf System- und Architekturebene
  • Prozessberatung Sicherheitsprozesse ISMS, sichere Betriebsprozesse
  • Compliance DORA, BAIT, Kritis, NIS2, TISAX®, PCI-DSS
  • Projektleitung, Projektmanagement
  • Sicherheitsbeauftragter im Projekt
  • Interim CISO

Produkte / Standards / Erfahrungen / Methoden

Atlassian Confluence
Atlassian JIRA
Ausschreibungen
BAIT
ISAE 3402
ISMS - Informationssicherheits Management System
ISO 27001
Kritische Infrastrukturen
Mindestanforderungen an das Risikomanagement
Sicherheitsrichtlinien
yED

Kenntnisse und Erfahrungen

  • Sicherheitsorganisation (ISMS)
  • Informationssicherheits-Risikoanalysen
  • Sicherheitskonzepte, Security Audit
  • Konzeption von Infrastrukturen (technisch): Netzwerk, Cloud, Anwendungsarchitektur
  • Netzwerksicherheit: Netzwerksegmentierung, Firewall, Routing/Switching
  • Remote Access, VPN, Netzwerkverschlüsselung
  • Sicherheit in IT-Betriebsprozessen (alle Prozesse, insbesondere Patching, Schwachstellenmanagement, Change, ?)
  • Sichere technische Infrastrukturen
  • Kritische Infrastrukturen (Rritis-relevant)


Management Summary

  • Seit 25 Jahren berate ich ausschließlich im Bereich Informationssicherheit. Durch eine technisches Studium (Informatik) und kontinuierliche Weiterbildung bin ich in der Lage komplexe Zusammenhänge zu verstehen, einzuordnen und aus Sicht der Informationsicherheit zu bewerten. Aus diesem Grund ist es mir auch möglich, Vorgaben (Richtlinien) so zu formulieren/optimieren, dass sie technisch umsetzbar und optimal für den Kunden sind. ?Sicherheit nach Maß?
  • Zu den Standards BSI IT Grundschutz und ISO/IEC 27001 habe ich langjährige, fundierte Kenntnisse: Als zweiter zertifizierte Auditor für den IT-Grundschutz und als Lead Auditor ISO/IEC 27001 habe ich Zertifizierungen nach Standards vorbereitet (ISMS Einführung mit Richtlinien und Sicherheitsprozessen), interne Audits durchgeführt, Informationssicherheits-Managementsysteme optimiert. Dies in unterschiedlichen Branchen. Schwerpunkte in der Branchenerfahrung sind Banken (Beratungsthemen waren oft die Umsetzung BAIT/DORA, Projektleitung für Umsetzungsprojekte, Erstellung/Bewertung von Sicherheitskonzepten, externer CISO), Automotive (technische Bewertung von Infrastrukturen, Erstellung von Ausschreibungen, ...), öffentlicher Dienst (Unterstützung CISO, Audits, Sicherheitskonzepte), IT Dienstleister, Transport und Verkehr.
  • Im Bankenumfeld habe ich in letzter Zeit für einen großen IT-Dienstleister der Sparkassenorganisation ein Projekt zur Umsetzung des Patchmanagements entsprechend DORA unterstützt. Für einen großen Dienstleister der Genossenschaftsbanken war ich Teilprojektleiter zur Umsetzung der Anforderungen des Risikomanagements und Sicherheitsdokumentation für alle Anwendungen des Kunden.Dabei wurden die Anwendungs-/Systemverantwortlichen bei der Erstellung der Sicherheitskonzepte und Risikoanalysen unterstützt um einen hohen Reifegrad zu erreichen.


Fähigkeiten und Erfahrungen

Methodisch

Sicherheitsmanagement

  • Durchführung verschiedener Projekte mit Übernahme der Aufgaben eines Sicherheitsverantwortlichen/CISO.
  • Entwicklung von an die Anforderung angepassten, insbesondere effizienten Sicherheitslösungen (technisch/organisatorisch).
  • Aufbau/Optimierung von Informationssicherheit-Managementsystemen
  • Sicherheitskonzepte: Erstellung, Überarbeitung, Kundenpräsentation, Bewertung


Standards:

ISO/IEC 27001, BSI IT-Grundschutz, BSI Standards 200-X, ISAE 3402, BAIT/DORA, Kritis/NIS2, PCI-DSS, TISAX

  • Beratung, Einführung, Auditierung, Zertifizierungsvorbereitung von ISMS nach ISO/IEC 27001 und IT-Grundschutz.
  • Richtlinienerstellung: Musterrichtliniensatz (konform zu ISO/IEC 27001, BSI IT-Grundschutz, z.T. DORA) als Referenz für den Kunden und Startpunkt von Richtlinienüberarbeitung liegt vor. Diese enthalten auch Vorschläge für KPIs.
  • Beratung bezüglich Assetmanagement (ISO/IEC 27001, BSI IT-Grundschutz, DORA), Schutzbedarfsfeststellung, Schulung bzgl. Assetmanagement.
  • Beratung Risikomanagement: Beratung von Kunden zur Einführung von Risikomanagementsystemen (ISO/IEC 27005, BSI 200-3). Entwicklung von Verfahren zur Risikoanalyse, angepasst an Unternehmensbedürfnisse
  • Erstellung von Sicherheitskonzepten, Durchführung von Risikoanalysen. Musterdokumentation liegt Basis für Kundenanpassung vor.
  • Entwicklung von normengerechten Dokumentationsprozessen.
  • Audits/ GAP Analysen im Bereich ISO 27001 / BSI IT-Grundschutz, Kritis, BAIT, DORA.
  • Adaptierung von Informationssicherheits-Managementsystemen an externe Compliance-Vorgaben (z.B. BAIT / DORA).
  • Entwicklung von Controls für ein internes IKS zur ISAE3402 Testierung.
  • Gap-Analyse, Beratung und Architekturentwicklung zur Umsetzung der Anforderungen des PCI-DSS


Projektmanagement

  • Fähigkeit, große, komplexe Projekte unter herausfordernden Rahmenbedingungen, in der vorgegebenen Zeit und im vorgegebenen Budget abzuschließen.
  • Erfolgsrezept ist eine strukturierte Arbeitstechnik, tiefe fachlich, technische Einarbeitung bzw. Erfahrung, intensive Analyse, klare Kommunikation und Delegation von Aufgaben.
  • Teilprojektleitung


Präsentationsfähigkeiten

  • Fähigkeit entsprechend den Erwartungen der Zuhörerschaft - auch auf Managementebene - Sachverhalte prägnant darzustellen, Entscheidungen vor- und aufzubereiten und herbeizuführen.
  • Durchführung von Schulungen. U.a. zur Sensibilisierung von Sicherheitsthemen, Sicherheitsmanagement., Schutzbedarfsfeststellung, Risikoanalyse.


Betriebsprozesse

  • Muster-Prozessdefinitionen (Swimlane, ITIL konform) für die wesentlichen sicherheitsrelevanten Betriebsprozesse vorhanden. Diese dienen als Grundlage für kundenspezifische Anpassungen.
  • Reifegradmodelle für Betriebsprozesse.


Gremienarbeit

  • Bitkom, VD TÜV.


Technisch

Cloud Computing / Virtualisierung / Containerisierung

  • Analyse, Bewertung und konzeptionelle Beratung bezüglich technischen Cloud Architekturen bezüglich Informationssicherheit.
  • Entwicklung von Sicherheitsmaßnahmen zur Optimierung der Infrastruktur.
  • Erstellung, Bewertung, Überarbeitung, Präsentation von Sicherheitskonzepten
    • Amazon Web Services (AWS)
    • MS Azure.
    • Container (Docker) Architekturen


IoT

  • Erfahrungen im Bereich der Vernetzung von Produktionsanlagen und Haussteuerungen (IoT).
  • Kenntnis der Architektur von Backend Systemen zur Auswertung von IoT Meldungen.


Anwendungsarchitektur

  • Technische Beratung und Bewertung von Anwendungsarchitekturen bezüglich Sicherheit und Betriebssicherheit, Notfallfähigkeit.
  • Entwicklung von sicheren Architekturen.
  • Erstellung und Bewertung von Notfallkonzepten.
  • Sicherheit von Container-basierten Architekturen (Docker).
  • Analyse/Root Cause Analyse von Sicherheitsvorfällen auf technischer und organisatorischer Ebene.


Netzwerk / Netzwerkarchitektur

  • Experte IP, insbesondere Sicherheitsaskpekte
  • Experte bezüglich Netzwerkarchitektur und Netzwerkdesign auch in sehr großen Netzwerkinfrastrukturen
  • Netzwerkzonierung und Segmentierung übergeordneter als auch auf Detailebene (z.B. DMZ, Managementnetz, Containerisierung, Cloud)
  • Experte bezüglich Sicherheitsmaßnahmen in Netzwerken: Firewalls, IPS, Verschlüsselung, Authentisierung, VPN, Remote Access etc.
  • Entwicklung, Auditierung, Bewertung und Optimierung von Netzwerk Zonierungskonzepten, Segmentierungskonzepten.
  • Dokumentation von Netzwerkarchitekturen auf Basis vorliegender Systemkonfigurationen
  • Entwicklung, Auditierung, Bewertung und Optimierung von WAN Konzepten.
  • Detailkenntnisse Routing (dynamisch/statisch), IP-Adresskonzepte (IPv4, IPv6) und andere Basisdienste (DHCP, DNS,IPsec,...)
  • Detailkenntnisse: Cisco, Check Point, Fortinet, Openwrt
  • Root Cause Analyse von Ausfällen


Storage / Storage Area Networks

  • Analyse von Storage-Systemen und Storage Area Networks bezüglich Ausfallsicherheit, Risikobewertung, Fehleranalyse.
  • Root Cause Analyse von Ausfällen


Authentisierung / Autorisierung

  • Experte bezüglich PKI Infrastrukturen und Zertifikaten, X.509 und Authentisierungssystemen wie Radius, Kerberos.
  • Produktkenntnis: Microsoft Certificate Services, Keycloak


Security Incident and Event / Monitoring (SIEM) / Zentrales Logging

  • Techniken, Prozesse, Methoden.
  • Aufbau eines SIEM Systems für eine große deutsche Privatbank (2005)


Root Cause Analysis

  • Untersuchung von großen Netzwerkausfällen uf Basis von Konfigurationen und Logfiles, Interviews
  • Untersuchung von Storageausfällen auf Basis von Konfigurationen und Logfiles, Interviews


GRC Tools

  • Kenntnisse bzw. Arbeit mit den folgenden Tools


BSI IT-Grundschutz Tools

  • Verinice/Verinice.veo
  • Fuentis
  • DocSetMinder
  • Corporater
  • CISO Assistant


Sonstige Tools

  • Microsoft Office 365
  • Atlassin Confluence/Jira


Beruflicher Werdegang

03/2018 ? heute

Rolle: Partner, Kommanditist

Kunde: auf Anfrage


03/2017 ? 02/2018

Rolle: Nachvertragliches Wettbewerbsverbot - Sabbatical


07/2014 ? 02/2017

Rolle: Principal Consultant

Kunde: TÜV Rheinland i-sec GmbH


10/2000 ? 06/2014

Rolle: Mitglied der Geschäftsleitung, Partner, Senior Consultant

Kunde: auf Anfrage


03/1998 ? 09/2000

Rolle: Berater Informationssicherheit

Kunde: Zenk Gesellschaft für Systemberatung mbH

Betriebssysteme

Container Technologie
Linux
Microsoft Windows
und zugehörigen Services (Windows 11, Windows Server, Active Directory, Entra ID)

Branchen

Branchen

  • Banken und Finanzinstitute
  • Automotive
  • Luftfahrt
  • öffentlicher Dienst
  • Medizin, Medizintechnik
  • Transport
  • Telekommunikation

Einsatzorte

Einsatzorte

Deutschland, Österreich, Schweiz
Senior Berater Informationssicherheit, Seit 25 Jahre im Berater für verschiedene technische/organisatorische Themen der Informationssicherheit.
möglich

Projekte

Projekte

10 Monate
2025-03 - 2025-12

Unterstützung CISO, Sicherheitskonzept Cloud

Senior Berater Informationssicherheit
Senior Berater Informationssicherheit
  • Unterstützung des Kunden bei der Optimierung des ISMS: Richtlinien, Assetmanagement, Risikomanagement. Durchführung von internen Audits, aktualisierung der Dokumentation in Verinice Pro, Test Verinice Veo.
  • Für mehrer Kunden des Medizingeräteherstellers (öffentliche Auftraggeber): Erstellung des Sicherheitskonzepts für eines cloudbasierte Telenotfallmedizinlösung.
  • Abgleich der umgesetzten Lösung mit den Anforderungen des BSI IT-Grundschutzes, ISO/IEC 27001:2022 und BSI C5.
  • Risikoanalyse des Untersuchungsgegenstandes
  • Modellierung und Dokumentation der Maßnahmenumsetzung der Telenotarztlösungen in Verinice Pro.
  • Prüfung der Nutzung/Übertragung der Modellierung in Verinice Veo.
Medizingerätehersteller / IT Dienstleistung
6 Monate
2024-10 - 2025-03

Optimierung des Verfahrens zur DORA-konformen Aktualisierung von Systemen

Senior Berater Informationssicherheit
Senior Berater Informationssicherheit
  • Unterstützung des Kunden bei der Optimierung der Prozesse und Verfahren zur Schwachstellenerkennung (Vulnerability Management) und Aktualisierung von IT Systemen und Anwendungen zur vollständigen der DORA-Konformität.
  • Durchführung von Workshops und technischen Auswertungen
Dienstleister der Sparkassenorganisation / Medizin
1 Monat
2024-10 - 2024-10

Bewertung der Umsetzung einer Kernbankinfrastruktur in AWS

  • Technische Prüfung der AWS Infrastruktur für das Kernbanksystem einer Bank im Auftrag des CISO (IT-Dienstleister).
IT-Dienstleister einer mittelständische Privatbank / Finanz/Banken
3 Jahre 1 Monat
2021-10 - 2024-10

Aufbau/Optimierung ISMS nach BSI IT-Grundschutz und ISO/IEC 27001

Teilprojektleiter BSI IT-Grundschutz ISO/IEC 27001
Teilprojektleiter

Aufbau/Optimierung ISMS nach BSI IT-Grundschutz und ISO/IEC 27001, Unterstützung CISO/Sicherheitsorganisation

Im Rahmen eines mehrjährigen Projektes zur Erreichung der Zertifizierungsreife (BSI IT-Grundschutz und ISO/IEC 27001) wurde das gesamte Unternehmen untersucht, Maßnahmen aufgezeigt und Grundlegende Strukturen zur Herstellung der Zertifizierbarkeit geschaffen, insbesondere:

  • Entwicklung von Informationssicherheitsrichtlinien
  • Entwicklung des Risikomanagementsystems
  • Netzwerkanalyse Unterstützung des Bereichs Netzwerk bei der Entwicklung von sicheren Architekturen
  • Umsetzung der Anforderungen der Informationssicherheit für den Personalbereich
  • Umsetzung der Sicherheitsanforderungen im Bereich Einkauf
  • Durchführung von Audits (z.B. Grundschutz-Checks).
  • Unterstützung bei der Tooleinführung ?Fuentis? und ?Corporater?

BSI IT-Grundschutz ISO/IEC 27001
Bundeseigene GmbH / öffentlich
1 Monat
2024-08 - 2024-08

Bewertung und Umsetzung der DORA Compliance

  • Prüfung und erstellung eine Umsetzungsvorlage für die Anforderungen der DORA: Risikomanagement und Assetmanagement
Mittelständische Privatbank / Finanz/Banken
9 Monate
2021-01 - 2021-09

Überarbeitung der Sicherheitsrichtlinien

Unterstützung des CISO IT-Grundschutz ISO/IEC 27001 Fuentis
Unterstützung des CISO

Überarbeitung der Sicherheitsrichtlinien, Unterstützung bei der Umsetzung von BSI IT-Grundschutz, Unterstützung CISO/Sicherheitsorganisation

  • Überarbeitung der Sicherheitsleitlinie und der Sicherheitsrichtlinien der Bank zur Vervollständigung der Compliance mit der neuen BAIT.
  • Beratung bezüglich Optimierung der Sicherheitsorganisation.
  • Unterstützung bei der Umsetzung der des BSI IT-Grundschutzes: Kontrolle Maßnahmenumsetzung, Erstellung von Informationssicherheitskonzepten.
  • Bewertung der Umsetzung von BSI IT-Grundschutzbausteinen.
  • Durchführung von Risikoanalysen.
  • Unterstützung beim Prozessdesign für Sicherheitsprozesse.
  • Optimierung der Nutzung des Tools ?Fuentis?
IT-Grundschutz ISO/IEC 27001 Fuentis
Förderbank eines Bundeslandes / Finanz
1 Jahr
2020-01 - 2020-12

Unterstützung bei der Zertifizierungsvorbereitung ISO 27001 und BSI IT-Grundschutz

  • Im Rahmen des Projektes zur Rezertifizierung nach ISO 27001 und ?ISO 27001 auf der Basis von IT-Grundschutz? wurde bei der Definition des Scopes, der Modellierung und Anpassung/Umsetzung von Sicherheitsrichtlinien und Maßnahmen das interne Projektteam unterstützt.
IT Dienstleister / Informationstechnologie
1 Jahr 7 Monate
2019-01 - 2020-07

Aufbau Risikomanagement

Projektmitarbeiter ISMS Mindestanforderungen an das Risikomanagement Sicherheitsrichtlinien ...
Projektmitarbeiter

Aufbau Risikomanagement, Erstellung Informationssicherheitsrichtlinien, Unterstützung CISO

Im Rahmen eines Outsourcingprojektes wurden die internen Informationssichereitsrichtlinien grundsätzlich überarbeitet und eine BAIT konforme Systemdokumentation inkl. Vorlagen erstellt. Das Security Risk Mangement wurde neu konzipiert. Für das gesamte Unternehmen wurden Risikoanalysen durchgeführt. Das Reporting an den Kunden wurde überarbeitet. Als Interims-Risikomanager erfolgte eine enge Abstimmung mit dem externen Kunden.

  • Entwicklung von Sicherheitsrichtlinien Informationssklassifizierung und Risikomanagement, Abstimmung.
  • Durchführung von Risikoanalysen inklusive Erstellung der Systemdokumentation.
  • Auswahl, Integration des Tools für das Risikomanagement. Steuerung des Dienstleisters für die Integration des Tools (Jira)
  • Integration des IT Risikomanagements in das Bank-interne Risikomanagement
  • Unterstützung des CISOs bei verschiedenen Tätigkeiten (z.B. Lieferantenmanagement, Vorgaben für den Einkauf, Prozessentwicklung und Dokumentation, ISAE 3402 Audit/Control Definition)
Atlassian JIRA Atlassian Confluence
ISMS Mindestanforderungen an das Risikomanagement Sicherheitsrichtlinien ISAE 3402 ISO 27001
Start-up Bank (IT-Tochter) / Finanz
München
1 Monat
2020-05 - 2020-05

ISO 27001 auf Basis von IT-Grundschutz - Voraudit

  • Audit verschidener Bausteine des BSI IT-Kompendiums zur Vorbereitung auf ein Zertifizierungsaudit nach ISO27001 auf der Basis von IT-Grundschutz.
  • Dokumentation und Maßnahmenempfehlung.
  • Beratung zur Zertifizierung
Städtischer IT-Dienstleistert / öffentlicher Dienst
6 Monate
2018-08 - 2019-01

Prozessentwicklung ?Security Patching?

Projektmitarbeiter ISMS ISO 27001
Projektmitarbeiter

  • Im Rahmen einer Konzernweiten Initiative zur Weiterentwicklung der Informationssicherheit wurden die Prozesse für das Security Patching der IT Systeme für den gesamten Konzern erfasst und als ?Blueprint? zu SOLL-Prozessen entwickelt, dokumentiert und abgestimmt. Projektmitarbeit im Teilprojekt ?Prozesse?.

yED
ISMS ISO 27001
Internationaler Mischkonzern
München
1 Monat
2018-10 - 2018-10

Audit der IT Infrastruktur (Kritische Infrastruktur - KRITIS)

  • Audit der IT Infrastruktur bezüglich technischer Sicherheitsmaßnahmen und organisatorischer Betriebsprozesse zur Umsetzung der Anforderungen zum Schutz Kritischer Infrastrukturen (Kritis). 
  • Dokumentation und Maßnahmenempfehlung.
  • Abstimmung mit dem IT Leiter.
Betreiber eines Tanklagers / Logistik
1 Jahr 7 Monate
2015-08 - 2017-02

Unterstützung des CISO

Pricipal Consultant Kritische Infrastrukturen ISMS ISO27001
Pricipal Consultant
Im Projekt wurde der CISO eines großen deutschen Flughafens in allen Aufgabenbereichen unterstützt. Dazu zählten insbesondere:
  • Optimierung ISMS
  • Unterstützung bei der Risikobewertung von Infrastrukturen
  • Durchführung von Audits
  • Durchführung von Awareness-Maßnahmen
  • Unterstützung bei Umsetzung der Anforderungen an kritische Infrastrukturen (z.B. Energieversorgung): Projektplanung, Kostenschätzung,...
Kritische Infrastrukturen ISMS ISO27001
großer deutscher Flughafen
1 Jahr
2016-01 - 2016-12

Erstellung einer Ausschreibung für die Neuvergabe der WAN Infrastruktur

Im Rahmen des Projektes wurde die vorhandene europäische WAN Infrastruktur des europäischen Teils eines Internationalen Herstellers von Komponenten für Haustechnik, Automation, Kommunikation, Transport und Energie analysiert, Anforderungen erfasst und eine Ausschreibung erstellt. Die Ausschreibung wurde an alle namhaften WAN Anbieter versandt, die Angebote ausgewertet und Bietergespräche geführt. Der Prozess führte zu einer Empfehlung für die Auftragsvergabe an den Vorstand.
Internationaler Konzern
9 Monate
2016-02 - 2016-10

Unterstützung bei der Auswahl eines WAN Providers

Principal Consultant Ausschreibungen LAN / WAN adaptive Anforderungsanalyse
Principal Consultant

Ausschreibung, Bietergespräche, Bewertungsschema.

Ausschreibungen LAN / WAN adaptive Anforderungsanalyse
Düsseldorf
5 Monate
2015-08 - 2015-12

Sicherheitsaudit Internetumgebung und Storage Infrastruktur

Principal Consultant, Auditor
Principal Consultant, Auditor

Audit der DMZ Umgebung des kommunalen Unternehmens: Physikalische Sicherheit, Betriebsprozesse, Netzwerke, Storage Umgebung.

Stadtwerke einer deutschen Großstadt
9 Monate
2015-03 - 2015-11

Sicherheitsaudit der Netzwerkinfrastruktur bzgl. PCI DSS

Audit der Netzwerkinfrastruktur.
Entwicklung von alternativen Netzwerkarchitekturen unter Berücksichtigung von PCI DSS Anforderungen.

Optimierung der PCI DSS Auditierbarkeit der Umgebung.

Kreditkartenabwickler
3 Monate
2015-08 - 2015-10

Analyise eine großflächigen Ausfalls von Storage Systemen

Principal Consultant Storage Systeme Virtualisierung Netzwerk ...
Principal Consultant

Analyse des Ausfalls von Storage Systemen und in Folge von Virtualisierungsinfrastruktur.

Bewertung der Infrastruktur, Bewertung der Betriebsprozesse, Empfehlung von Maßnahmen, Ergebnispräsentation auf Konzern-Management Ebene.

Storage Systeme Virtualisierung Netzwerk Betriebsprozesse
1 Jahr 1 Monat
2014-08 - 2015-08

Entwicklung von Lösungsmöglichkeiten für eine zukunftsfähige WAN Infrastruktur

Im Rahmen des Projekts wurden die Anforderungen der WAN Anbindungen mit den Beteiligen Gesellschaften erfasst und diskutiert. Wesentlich bei der Lösung war eine ausgewogenes Maß zwischen Zentralisierung und dezentralisierter Verantwortungen zu finden.

Automobilverband
1 Jahr
2014-01 - 2014-12

Bewertung Zukunftsfähigkeit der RZ Infrastruktur

Für das Management des Unternehmens wurde eine Aussage zur Zukunftsfähigkeit der existierenden IT Infrastruktur erarbeitet. Es sollte festgestellt werden, ob "eponentielles Wachstum" der Infrastruktur möglich ist. Verbesserungspotentiale wurden aufgezeigt. Basis für die Aussagen war das Gartner Reifegradmodell "Gartner IT Infrastructure and Operations Maturity Model".
IT Tochter eines der größten Reiseveranstalters der Welt
2 Jahre 7 Monate
2011-02 - 2013-08

Dokumentation/ Risikoanalyse nach BaFin Anforderungen

Teilprojektleiter
Teilprojektleiter
Projektleitung für die Pflege und Erstellung von Dokumentation entsprechend Vorgaben der BaFin (§25a KWG). Erfassung der Risiken von ca. 150 Anwendungen und Basisinfrastrukturen.
  • Koordination der Unterstützung zur Erstellung der Dokumente
  • Erstellung von Handbüchern und Durchführung von Schulungen zur Umsetzung der Risikoanalysen
  • Terminsteuerung
  • 10 Projektmitarbeiter
IT Dienstleister für die Finanzwirtschaft
2 Monate
2012-02 - 2012-03

Analyse eines großflächigen Netzwerkausfalls

Senior Consultant
Senior Consultant

Organisatorische und technische Analyse eines großflächigen Netzwerkausfalls. Präsentation der Ergebnisse vor der Geschäftsleitung.

1 Jahr 1 Monat
2010-08 - 2011-08

Temporäre Vertretung

Externer CISO
Externer CISO

Temporäre Vertretung des Chief Security Officers einer Privatbank. In diesem Zeitraum wurden Sicherheitskonzepte und Risikoanalysen erstellt und geprüft, sowie eine Bestandsaufnahme des Sicherheitsmanagements durchgeführt. Die Struktur für eine neue Sicherheitsdokumentation wurde definiert. Analyse der Anforderungen verschiedener gesetzlicher Vorgaben (z.B. Ma Risk, Datenschutz). Vorschlag eines Verfahrens zur Risikoanalyse innerhalb der IT Abteilung. Zusammenarbeit mit der Konzernrevision.

Privatbank
7 Monate
2010-02 - 2010-08

Bewertung der Effizienz Firewallbetrieb

Senior Consultant
Senior Consultant

Analyse zur Bewertung der Effizienz des IT-Betriebes (Plan-Build-Run) einer Abteilung (Firewall Design/Betrieb) mit ca. 35 Mitarbeitern. Präsentation der Ergebnisse bei der Geschäftsleitung des Unternehmens.

IT Dienstleister im Bankenumfeld

Aus- und Weiterbildung

Aus- und Weiterbildung

5 Monate
2025-12 - heute

ISO/IEC 27001 Senior Lead Auditor

PECB
PECB
3 Jahre
2014-01 - 2016-12

"Auditteamleiter für ISO 27001 Audits auf der Basis von IT-Grundschutz"

Zertifizierung, Bundesamt für Sicherheit in der Informationstechnik
Zertifizierung
Bundesamt für Sicherheit in der Informationstechnik
3 Jahre
2011-01 - 2013-12

"ISO 27001-Auditor für Audits auf der Basis von IT-Grundschutz"

Zertifizierung, Bundesamt für Sicherheit in der Informationstechnik
Zertifizierung
Bundesamt für Sicherheit in der Informationstechnik
5 Jahre
2006-01 - 2010-12

"Anerkannter Auditor für ISO 27001-Audits auf Basis von IT Grundschutz?

Zertifizierung, Bundesamt für Sicherheit in der Informationstechnik
Zertifizierung
Bundesamt für Sicherheit in der Informationstechnik
1 Monat
2007-05 - 2007-05

Schulung "St. Gallener Leadership Seminar?

St. Gallener Management Institut
St. Gallener Management Institut
6 Jahre
2001-01 - 2006-12

"Lizenzierter IT Grundschutz Auditor?

Zertifizierung, Bundesamt für die Sicherheit in der Informationstechnik
Zertifizierung
Bundesamt für die Sicherheit in der Informationstechnik
1 Monat
2006-06 - 2006-06

Schulung "Verhandlungstechnik?

Zienterra Institut für Rhetorik und Kommunikation
Zienterra Institut für Rhetorik und Kommunikation
6 Monate
2005-05 - 2005-10

Schulung ?Presentation skills?

Zienterra Institut für Rhetorik und Kommunikation
Zienterra Institut für Rhetorik und Kommunikation
1 Monat
2004-10 - 2004-10

"Cisco Certified Network Associate ? CCNA?

Zertifizierungen,
Zertifizierungen
1 Monat
2003-02 - 2003-02

"Aufbau und Auditierung von Informationssicherheits-Managementsystemen nach ISO 17799 bzw. BS7799?

Zertifizierung, TÜV IT GmbH
Zertifizierung
TÜV IT GmbH

7 Jahre 8 Monate
1990-10 - 1998-05

Technische Informatik

Diplom Informatiker (FH), TU München, FH-München
Diplom Informatiker (FH)
TU München, FH-München

Position

Position

  • Projektleiter
  • Sicherheitsverantwortlicher im Projekt
  • Architekt
  • Auditor
  • Informationssicherheit
  • Interim CISO

Kompetenzen

Kompetenzen

Top-Skills

Cybersecurity - Informationssicherheit ISO27001-BSI IT-Grundschutz 25 Jahre Beratung Informationssicherheit technische Informationssicherheit Informationssicherheit organisatorische Informationssicherheit Risikomanagement Security Produkt-Risikoanalyse Digital Operational Resilience Act NIS2 IT-Sicherheitsnormen Auditor Sicherheitsmanagement ISMS Cybersecurity

Schwerpunkte

Beratung in allen Themengebieten der Informationssicherheit

  • Aufbau und Optimierung von ISMS nach ISO/IEC 27001, BSI IT-Grundschutz
  • Informationssicherheits-Risikomanagement
  • Technische IT Architekturen: Sicherheitskonzepte, Bewertung, Root cause Analyse
  • Audits auf System- und Architekturebene
  • Prozessberatung Sicherheitsprozesse ISMS, sichere Betriebsprozesse
  • Compliance DORA, BAIT, Kritis, NIS2, TISAX®, PCI-DSS
  • Projektleitung, Projektmanagement
  • Sicherheitsbeauftragter im Projekt
  • Interim CISO

Produkte / Standards / Erfahrungen / Methoden

Atlassian Confluence
Atlassian JIRA
Ausschreibungen
BAIT
ISAE 3402
ISMS - Informationssicherheits Management System
ISO 27001
Kritische Infrastrukturen
Mindestanforderungen an das Risikomanagement
Sicherheitsrichtlinien
yED

Kenntnisse und Erfahrungen

  • Sicherheitsorganisation (ISMS)
  • Informationssicherheits-Risikoanalysen
  • Sicherheitskonzepte, Security Audit
  • Konzeption von Infrastrukturen (technisch): Netzwerk, Cloud, Anwendungsarchitektur
  • Netzwerksicherheit: Netzwerksegmentierung, Firewall, Routing/Switching
  • Remote Access, VPN, Netzwerkverschlüsselung
  • Sicherheit in IT-Betriebsprozessen (alle Prozesse, insbesondere Patching, Schwachstellenmanagement, Change, ?)
  • Sichere technische Infrastrukturen
  • Kritische Infrastrukturen (Rritis-relevant)


Management Summary

  • Seit 25 Jahren berate ich ausschließlich im Bereich Informationssicherheit. Durch eine technisches Studium (Informatik) und kontinuierliche Weiterbildung bin ich in der Lage komplexe Zusammenhänge zu verstehen, einzuordnen und aus Sicht der Informationsicherheit zu bewerten. Aus diesem Grund ist es mir auch möglich, Vorgaben (Richtlinien) so zu formulieren/optimieren, dass sie technisch umsetzbar und optimal für den Kunden sind. ?Sicherheit nach Maß?
  • Zu den Standards BSI IT Grundschutz und ISO/IEC 27001 habe ich langjährige, fundierte Kenntnisse: Als zweiter zertifizierte Auditor für den IT-Grundschutz und als Lead Auditor ISO/IEC 27001 habe ich Zertifizierungen nach Standards vorbereitet (ISMS Einführung mit Richtlinien und Sicherheitsprozessen), interne Audits durchgeführt, Informationssicherheits-Managementsysteme optimiert. Dies in unterschiedlichen Branchen. Schwerpunkte in der Branchenerfahrung sind Banken (Beratungsthemen waren oft die Umsetzung BAIT/DORA, Projektleitung für Umsetzungsprojekte, Erstellung/Bewertung von Sicherheitskonzepten, externer CISO), Automotive (technische Bewertung von Infrastrukturen, Erstellung von Ausschreibungen, ...), öffentlicher Dienst (Unterstützung CISO, Audits, Sicherheitskonzepte), IT Dienstleister, Transport und Verkehr.
  • Im Bankenumfeld habe ich in letzter Zeit für einen großen IT-Dienstleister der Sparkassenorganisation ein Projekt zur Umsetzung des Patchmanagements entsprechend DORA unterstützt. Für einen großen Dienstleister der Genossenschaftsbanken war ich Teilprojektleiter zur Umsetzung der Anforderungen des Risikomanagements und Sicherheitsdokumentation für alle Anwendungen des Kunden.Dabei wurden die Anwendungs-/Systemverantwortlichen bei der Erstellung der Sicherheitskonzepte und Risikoanalysen unterstützt um einen hohen Reifegrad zu erreichen.


Fähigkeiten und Erfahrungen

Methodisch

Sicherheitsmanagement

  • Durchführung verschiedener Projekte mit Übernahme der Aufgaben eines Sicherheitsverantwortlichen/CISO.
  • Entwicklung von an die Anforderung angepassten, insbesondere effizienten Sicherheitslösungen (technisch/organisatorisch).
  • Aufbau/Optimierung von Informationssicherheit-Managementsystemen
  • Sicherheitskonzepte: Erstellung, Überarbeitung, Kundenpräsentation, Bewertung


Standards:

ISO/IEC 27001, BSI IT-Grundschutz, BSI Standards 200-X, ISAE 3402, BAIT/DORA, Kritis/NIS2, PCI-DSS, TISAX

  • Beratung, Einführung, Auditierung, Zertifizierungsvorbereitung von ISMS nach ISO/IEC 27001 und IT-Grundschutz.
  • Richtlinienerstellung: Musterrichtliniensatz (konform zu ISO/IEC 27001, BSI IT-Grundschutz, z.T. DORA) als Referenz für den Kunden und Startpunkt von Richtlinienüberarbeitung liegt vor. Diese enthalten auch Vorschläge für KPIs.
  • Beratung bezüglich Assetmanagement (ISO/IEC 27001, BSI IT-Grundschutz, DORA), Schutzbedarfsfeststellung, Schulung bzgl. Assetmanagement.
  • Beratung Risikomanagement: Beratung von Kunden zur Einführung von Risikomanagementsystemen (ISO/IEC 27005, BSI 200-3). Entwicklung von Verfahren zur Risikoanalyse, angepasst an Unternehmensbedürfnisse
  • Erstellung von Sicherheitskonzepten, Durchführung von Risikoanalysen. Musterdokumentation liegt Basis für Kundenanpassung vor.
  • Entwicklung von normengerechten Dokumentationsprozessen.
  • Audits/ GAP Analysen im Bereich ISO 27001 / BSI IT-Grundschutz, Kritis, BAIT, DORA.
  • Adaptierung von Informationssicherheits-Managementsystemen an externe Compliance-Vorgaben (z.B. BAIT / DORA).
  • Entwicklung von Controls für ein internes IKS zur ISAE3402 Testierung.
  • Gap-Analyse, Beratung und Architekturentwicklung zur Umsetzung der Anforderungen des PCI-DSS


Projektmanagement

  • Fähigkeit, große, komplexe Projekte unter herausfordernden Rahmenbedingungen, in der vorgegebenen Zeit und im vorgegebenen Budget abzuschließen.
  • Erfolgsrezept ist eine strukturierte Arbeitstechnik, tiefe fachlich, technische Einarbeitung bzw. Erfahrung, intensive Analyse, klare Kommunikation und Delegation von Aufgaben.
  • Teilprojektleitung


Präsentationsfähigkeiten

  • Fähigkeit entsprechend den Erwartungen der Zuhörerschaft - auch auf Managementebene - Sachverhalte prägnant darzustellen, Entscheidungen vor- und aufzubereiten und herbeizuführen.
  • Durchführung von Schulungen. U.a. zur Sensibilisierung von Sicherheitsthemen, Sicherheitsmanagement., Schutzbedarfsfeststellung, Risikoanalyse.


Betriebsprozesse

  • Muster-Prozessdefinitionen (Swimlane, ITIL konform) für die wesentlichen sicherheitsrelevanten Betriebsprozesse vorhanden. Diese dienen als Grundlage für kundenspezifische Anpassungen.
  • Reifegradmodelle für Betriebsprozesse.


Gremienarbeit

  • Bitkom, VD TÜV.


Technisch

Cloud Computing / Virtualisierung / Containerisierung

  • Analyse, Bewertung und konzeptionelle Beratung bezüglich technischen Cloud Architekturen bezüglich Informationssicherheit.
  • Entwicklung von Sicherheitsmaßnahmen zur Optimierung der Infrastruktur.
  • Erstellung, Bewertung, Überarbeitung, Präsentation von Sicherheitskonzepten
    • Amazon Web Services (AWS)
    • MS Azure.
    • Container (Docker) Architekturen


IoT

  • Erfahrungen im Bereich der Vernetzung von Produktionsanlagen und Haussteuerungen (IoT).
  • Kenntnis der Architektur von Backend Systemen zur Auswertung von IoT Meldungen.


Anwendungsarchitektur

  • Technische Beratung und Bewertung von Anwendungsarchitekturen bezüglich Sicherheit und Betriebssicherheit, Notfallfähigkeit.
  • Entwicklung von sicheren Architekturen.
  • Erstellung und Bewertung von Notfallkonzepten.
  • Sicherheit von Container-basierten Architekturen (Docker).
  • Analyse/Root Cause Analyse von Sicherheitsvorfällen auf technischer und organisatorischer Ebene.


Netzwerk / Netzwerkarchitektur

  • Experte IP, insbesondere Sicherheitsaskpekte
  • Experte bezüglich Netzwerkarchitektur und Netzwerkdesign auch in sehr großen Netzwerkinfrastrukturen
  • Netzwerkzonierung und Segmentierung übergeordneter als auch auf Detailebene (z.B. DMZ, Managementnetz, Containerisierung, Cloud)
  • Experte bezüglich Sicherheitsmaßnahmen in Netzwerken: Firewalls, IPS, Verschlüsselung, Authentisierung, VPN, Remote Access etc.
  • Entwicklung, Auditierung, Bewertung und Optimierung von Netzwerk Zonierungskonzepten, Segmentierungskonzepten.
  • Dokumentation von Netzwerkarchitekturen auf Basis vorliegender Systemkonfigurationen
  • Entwicklung, Auditierung, Bewertung und Optimierung von WAN Konzepten.
  • Detailkenntnisse Routing (dynamisch/statisch), IP-Adresskonzepte (IPv4, IPv6) und andere Basisdienste (DHCP, DNS,IPsec,...)
  • Detailkenntnisse: Cisco, Check Point, Fortinet, Openwrt
  • Root Cause Analyse von Ausfällen


Storage / Storage Area Networks

  • Analyse von Storage-Systemen und Storage Area Networks bezüglich Ausfallsicherheit, Risikobewertung, Fehleranalyse.
  • Root Cause Analyse von Ausfällen


Authentisierung / Autorisierung

  • Experte bezüglich PKI Infrastrukturen und Zertifikaten, X.509 und Authentisierungssystemen wie Radius, Kerberos.
  • Produktkenntnis: Microsoft Certificate Services, Keycloak


Security Incident and Event / Monitoring (SIEM) / Zentrales Logging

  • Techniken, Prozesse, Methoden.
  • Aufbau eines SIEM Systems für eine große deutsche Privatbank (2005)


Root Cause Analysis

  • Untersuchung von großen Netzwerkausfällen uf Basis von Konfigurationen und Logfiles, Interviews
  • Untersuchung von Storageausfällen auf Basis von Konfigurationen und Logfiles, Interviews


GRC Tools

  • Kenntnisse bzw. Arbeit mit den folgenden Tools


BSI IT-Grundschutz Tools

  • Verinice/Verinice.veo
  • Fuentis
  • DocSetMinder
  • Corporater
  • CISO Assistant


Sonstige Tools

  • Microsoft Office 365
  • Atlassin Confluence/Jira


Beruflicher Werdegang

03/2018 ? heute

Rolle: Partner, Kommanditist

Kunde: auf Anfrage


03/2017 ? 02/2018

Rolle: Nachvertragliches Wettbewerbsverbot - Sabbatical


07/2014 ? 02/2017

Rolle: Principal Consultant

Kunde: TÜV Rheinland i-sec GmbH


10/2000 ? 06/2014

Rolle: Mitglied der Geschäftsleitung, Partner, Senior Consultant

Kunde: auf Anfrage


03/1998 ? 09/2000

Rolle: Berater Informationssicherheit

Kunde: Zenk Gesellschaft für Systemberatung mbH

Betriebssysteme

Container Technologie
Linux
Microsoft Windows
und zugehörigen Services (Windows 11, Windows Server, Active Directory, Entra ID)

Branchen

Branchen

  • Banken und Finanzinstitute
  • Automotive
  • Luftfahrt
  • öffentlicher Dienst
  • Medizin, Medizintechnik
  • Transport
  • Telekommunikation

Vertrauen Sie auf Randstad

Im Bereich Freelancing
Im Bereich Arbeitnehmerüberlassung / Personalvermittlung

Fragen?

Rufen Sie uns an +49 89 500316-300 oder schreiben Sie uns:

Das Freelancer-Portal

Direktester geht's nicht! Ganz einfach Freelancer finden und direkt Kontakt aufnehmen.