• Analyse der Informationssicherheitsorganisation
• Erstellen von Datenschutzkonzepten nach DSGVO für bestimmte Informationsverbünde
• Durchführen/Erstellen von Datenschutz-Folgeabschätzungen
• Erstellung eines IT-Sicherheitskonzeptes nach BSI-Grundschutz Kompendium 200
  • Strukturanalyse
  • Schutzbedarfsfeststellung
  • Modellierung der Anforderungen und Maßnahmen
  • Grundschutzcheck
• Durchführung einer ergänzenden Risikoanalyse nach BSI-Standard 200-3

• Erstellung / Überarbeitung von IT-Sicherheitskonzepten nach BSI-Grundschutz Kompendium 200
  • Strukturanalyse
  • Schutzbedarfsfeststellung
  • Modellierung der Anforderungen und Maßnahmen
  • Grundschutzcheck 
  • Durchführung einer ergänzenden Risikoanalyse nach BSI-Standard 200-3
• Berücksichtigung der BSI-C5-Cloud-Anforderungskriterien für einen sicheren Cloud-Betrieb.
• Erstellung einer Umsetzungsplanung für NIS2 / DORA in ein bestehendes ISMS (ISO27001/BSI GS Kompendium)

• Analyse der Informationssicherheitsorganisation
• Erstellen von Datenschutzkonzepten nach DSGVO für bestimmte Informationsverbünde
• Durchführen/Erstellen von Datenschutz-Folgeabschätzungen
• Erstellung eines IT-Sicherheitskonzeptes nach BSI-Grundschutz Kompendium 200
  • Strukturanalyse
  • Schutzbedarfsfeststellung
  • Modellierung der Anforderungen und Maßnahmen
  • Grundschutzcheck
• Durchführung einer ergänzenden Risikoanalyse nach BSI-Standard 200-3
• Berücksichtigung der BSI-C5-Cloud-Anforderungskriterien für einen sicheren Cloud-Betrieb

• Analyse der Informationssicherheitsorganisation
• Erstellen von Datenschutzkonzepten nach DSGVO für bestimmte Informationsverbünde
• Durchführen/Erstellen von Datenschutz-Folgeabschätzungen
• Überprüfung/Anpassung Verträge Auftragsdatenverarbeitung
• Überprüfung von Change Requests (Änderung oder Neuverfahren) hinsichtlich des Impacts auf DS-Vorgaben (Privacy by Design / - Default)
• Beratung bei der Gewährleistung und Weiterentwicklung des Datenschutzmanagements
• Beratung bei der Umsetzung und Weiterentwicklung technischer und organisatorischer Maßnahmen
• Erstellen und Prüfen von Auftragsverarbeitungsvereinbarungen,
• Durchführen von Datenschutz-Folgenabschätzungen
• Dokumentieren und Pflegen der relevanten Prozesse und der kontinuierlichen Optimierung (PDCA)
• Beraten und Unterrichten der Fachbereiche bei allen Fragen des Datenschutzes
• Coaching und Sensibilisierung der MA für den Datenschutz

• Analyse der Informationssicherheitsorganisation
• Konzeption, Weiterentwicklung von IT-Sicherheitsstrategien und IT-Konzepten
• Optimierung des ConfigurationMgmt Prozesses hinsichtlich des CMDB-Befüllungsgrades und -Qualität im Zusammenspiel aller beteiligten ITIL-Prozesse - Implementierung in bestehende Prozesslandschaft (Berücksichtigung Schnittstellen zu anderen Prozessen inkl. Software-Lösungen; Abstimmung mit Prozess-Ownern)
• Schulungen (Lessons-Learned) der operativen MA im Rahmen der Einführung der Lösung
• Planung Durchführung von IT-Regelaudits
• Nutzung regulatorischer Vorgaben an Information Security Risk Management
• Durchführung operatives Risikomanagement: Risikoidentifikation, -bewertung, -behandlung
• Vorbereitung und Durchführung von Security Assessments zu Identifikation, Bewertung und Behandlung von Schwachstellen in der IT-Sicherheitsorganisation
• Vorbereitung und Durchführung von Audits (Outsourcing Kontrolle) einschließlich Entwicklung eines "Audit Universe" zur risikoorientierten Planung von Prüfungen
• Selbstständige Maßnahmenverfolgung nach IT-Sicherheitsaudits inkl. Reporting
• Entwicklung von Maßnahmen für Handlungsbedarfe aufgrund von Audits von Wirtschaftsprüfern, Aufsichtsbehörden oder der Revision
• Schulung der CFG-MA für IT-Audits

• Migration BSI-GS-Katalog nach BSI-GS-Kompendium 100-1  / -2/ -3 -> 200-1 / -2/ -3
• Erstellung eines IT-Sicherheitskonzeptes nach BSI-Grundschutz KompendiumS?trukturanalyse
• Schutzbedarfsfeststellung
• Modellierung der Anforderungen und Maßnahmen
• Basis Sicherheitscheck und Risikoanalyse

• Durchführung operatives Risikomanagement: Risikoidentifikation, -bewertung, -behandlung
• Durchführung und Auswertung eines Self-Assessment aller Bereiche / Information Security Assessments, einschließlich der Erfassung und Bewertung relevanter Sicherheitsrisiken
• Durchführung und Auswertung einer vor Ort GAP-Analyse
• Durchführung notwendiger Maßnahmen aus der GAP-Analyse
• Prozessanpassungen (Informationspflichten, Betroffenen Rechte, Meldepflichten) und Implementierung in bestehende Prozesslandschaft (Berücksichtigung Schnittstellen zu anderen Prozessen inkl. Software-Lösungen; Abstimmung mit Prozess-Ownern)
• Erstellen Datenschutzkonzept nach DSGVO
• Überarbeitung der Verfahrensverzeichnisse
• Umstellung Vorabkontrollen auf Datenschutzfolgeabschätzung DSF
• Erstellen Richtlinie Löschkonzept
• Überprüfung/Anpassung Verträge Auftragsdatenverarbeitung
• Coaching und Sensibilisierung der MA
• Durchführung Security-Audit der SAP-Systemlandschaft inkl. Entwicklung eines "Audit Universe" zur risikoorientierten Planung von Prüfungen
• Benutzer, Berechtigungen
• Berechtigungskombinationen / Protokollierung
• Systemintegrität Anwendungsebene / SAP Java Stack / Datenbank
• Systemintegrität Betriebssystem / Netze
• Access Logging
• Implementation SAP ILM (Information Lifecycle Management)
• Löschkonzept

• Konzeption, Weiterentwicklung eines Risk-Management und IKS
• Selbstständige Erstellung und Prüfung von IT-Risikoanalysen
• Definition und Umsetzung der notwendigen Prozesse und Dokumentationen
• Kontrolle der Umsetzung und Qualität der geforderten Schutzmaßnahmen und vereinbarten Deliverables (Berichtswesen, Reports) gemäß den Leistungsscheinen

• Analyse der Informationssicherheitsorganisation
• Konzeption, Weiterentwicklung von IT-Sicherheitsstrategien und IT-Konzepten im Konzern. Definition und Durchsetzung von Security- und Complianceprozessen
• Prozessdesign und Implementierung in bestehende Prozesslandschaft (Berücksichtigung Schnittstellen zu anderen Prozessen inkl. Software-Lösungen) für den Aufbau einer Risikomanagement-Organisation im Kontext von Informationssicherheitsrisiken nach neustem (state-of-the-art) Standard/Vorgaben und Best Practices
• Abstimmung mit den beteiligten Stakeholdern (CISO, Risikomanagement, Informationssicherheitsmanager / ISMS-Verantwortlicher, Fachabteilungen/Betrieb, Prozess-Ownern)
• Durchführung von Schulungen (Lessons-Learned) der operativen MA im Rahmen der Einführung der Lösung
• Planung, Durchführung / Begleitung sowie Nachbereitung von Audits gemäß BSI-Standards und Kundenvorgaben.
• Sichtung und Prüfung der von der Institution erstellten Referenzdokumente.
• Planung und Durchführung von Vor-Ort-Prüfungen (SAP-Konfiguration).
• Erstellung und Übergabe eines Audit-Reports nach Beendigung der Vor-Ort-Prüfung.
• Erarbeitung der für die Audits erforderlichen Daten (Struktur-, Risiko- und Schutzbedarfsanalysen, Basis-Sicherheits-Check) inkl. Entwicklung eines "Audit Universe?
• Nutzung regulatorischer Vorgaben an Information Security Risk Management
• Kontrolle und Steuerung von Outsourcing-Dienstleistern
• Durchführung operatives Risikomanagement: Risikoidentifikation, -bewertung, -behandlung
• Vorbereitung und Durchführung von Security Assessments zu Identifikation, Bewertung und Behandlung von Schwachstellen in der IT-Sicherheitsorganisation

• Gestalten von Prozessen und Implementierung in bestehende Prozesslandschaft (Berücksichtigung Schnittstellen zu anderen Prozessen inkl. Software-Lösungen) für den Aufbau einer Risikomanagement-Organisation im Kontext von Informationssicherheitsrisiken nach neustem (state-of-the-art) Standard/Vorgaben und Best Practices
• Abstimmung mit den beteiligten Stakeholdern (CISO, Risikomanagement, Informationssicherheitsmanager / ISMS-Verantwortlicher, Fachabteilungen/Betrieb, Prozess-/Verfahrens-Owner)
• Durchführung von Schulungen (Lessons-Learned) der operativen MA im Rahmen der Einführung der Lösung
• Koordination von internen Audits
• Gestaltung und Leitung von Information Security Assessments, einschließlich der Erfassung und Bewertung relevanter Sicherheitsrisiken
• Nutzung der zentralen Dienstvorschrift Informationssicherheit ZDV 54 (ZDV A.960/1) und bundeswehrspezifischer IT-Grundschutzbausteine
• Definition und Durchsetzung von Security- und Compliance Prozessen
• Implementierung neu entwickelter Prozesse in die bestehende Prozesslandschaft
• Schnittstellendefinition und Abstimmung
• Coaching bei der Erstellung von IT-Sicherheitskonzepten und Datenschutzkonzepten
• Projektbezogene interne Prüfung und Abnahme aller IT-Sicherheitskonzepte
• Vorlage der IT-Sicherheitsdokumentationen beim IT-AmtBw
• Anpassungen nach Vorgaben des IT-AmtBw (Mitprüfungsbemerkungen)
• Aktualisierung der IT-Sicherheitsdokumente (plan do check act Methode)
• Kommunikation mit den Projekten zu Sicherheitsanforderungen und Zuarbeit
• Absprache mit dem (stellv.) IT-SiBe
• Beratung der Projekte bezüglich Grundschutz und Erstellung von IT-SichhK, IT-Sicherheitsanfragen und Datenschutz.
• Überprüfung des Schutzbedarfs einzelner Zielobjekte SASPF. (Systeme mit PersDat mit besonderem Schutzbedarf)
• Durchführung operatives Risikomanagement inkl. Erstellung von projektrelevanten Risikoanalysen und Maßnahmenempfehlungen.
• Leitung und Koordination der Umsetzung von IT-Sicherheitsmaßnamen durch die Delivery.
• Planung und Durchführung regelmäßiger interner IT-Audits einschließlich Entwicklung eines "Audit Universe" zur risikoorientierten Planung von Prüfungen
• Vorbereitung und Durchführung von Security Assessments zu Identifikation, Bewertung und Behandlung von Schwachstellen in der IT-Sicherheitsorganisation

• Planung und Durchführung von IT-Transitions (IT-Outsourcing):
• Due Diligence, Transition-Durchführung, Abstimmung der GSD331-Richtlinien mit dem Outsourcing-Kunden.
• Sicherstellung der vereinbarten vertraglichen Service Level (Nachweis durch Monitoring / Reporting).
• Erstellung von projektrelevanten Risikoanalysen und Maßnahmenempfehlungen.
• Zusammenarbeit mit den Linienverantwortlichen für IT-Sicherheit und Risikomanagement.
• Überwachung der vertragskonformen Leistungserbringung durch den IT-Outsourcing-Partner
• Ansprechpartner und Koordinator für SOX 404 relevante Maßnahmen.

Gesamtprojektleiter - Projekt Netztrennung

• Migration aller Kunden-Netzwerke in die gSNI Netzstruktur (IBM Policy).
• Umsetzungskoordination innerhalb des Gesamtprojekts.
• Budgetverantwortung: 3,6 Millionen Eur

• Vorbereitung eines SOX-Audits (prepared for certification)
• Einführung von 15 COBIT Prozessen. Prozessanalyse, Prozessdefinition, Prozessdokumentation, coaching der MA und Testabnahme der Prozesse entsprechend der Control Objectives
• Bewertung der Prozessreife nach COBIT
• Erfolgreiche SOX-Zertifizierung durch KPMG

Projektsprache:

Englisch

Projektgröße:

> 20 MA

• Durchführung einer generellen RZ-Optimierung durch ITIL und
• Implementierung eines Performance Availability Managements (PAM).
• Umstellung des Monitoring-Prozesses von 5x8h auf einen 3-Schichtbetrieb 7x24h.

Projektsprache:

Englisch

Projektgröße:

> 30 MA

> 90 MA

Projektsprache:

Englisch

Budgetverantwortung:

> 5 Millionen Euro

Projektgröße:

> 35 MA

• Erarbeitung/Darstellung  der  Geschäftsprozesse, Schwachstellenbewertung, Definition von Wertschöpfungsketten. 
• Entwurf des IT-Konzeptes incl. Realisierbarkeitsbeurteilung und Aufwandschätzung.
• Projektleitung/-kontrolle während der gesamten Realisierungs- und Implementierungsphasen. 
• Budgetverantwortung.

1998 - 1998:

Projekt: Material-Überschuß-Ermittlungsystem