a Randstad company

Cyber Security Management, Informationssicherheit, IT-Governance, IT-Compliance, IT-Audit - ISO 27001, COBIT, CISA, CISM

Profil
Top-Skills
Cyber Security IT Audit / IT Security Audit Informationssicherheit IT Governance Projektmanagement
Verfügbar ab
02.01.2023
Noch verfügbar - Schnell sein lohnt sich: Der Experte kann bereits für Projekte vorgesehen sein.
Verfügbar zu
25%
davon vor Ort
20%
Einsatzorte

PLZ-Gebiete
Länder
Ganz Deutschland

Deutschland: Einsatz uneingeschränkt bundesweit möglich 

Remote-Arbeit
möglich
Art des Profiles
Freiberufler / Selbstständiger
Der Experte ist als Einzelperson freiberuflich oder selbstständig tätig.

9 Monate

2021-04

2021-12

Sicherheitskonzepte

IT Security Auditor / IT-Security Berater IT-Grundschutz Sicherheit von Webanwendungen IAM ...
Rolle
IT Security Auditor / IT-Security Berater
Projektinhalte

Als interner IT-Security Berater dokumentiere und auditiere ich die Informationssicherheitskonzepte einer Reihe von Services, die für einen Kunden erbracht werden. Schwerpunkt sind webbasierte Anwendungen, die vorwiegend im Intranet des Kunden betrieben werden. Einige der Anwendungen können von geschlossenen Benutzergruppen auch aus dem Internet genutzt werden.

Die Services basieren auf verschiedener Kauf- und Individualsoftware, die auf Basis virtualisierter Server (Linux, Windows), Applikationsservern, Datenbanken, Webservern und LDAP-Servern (Keycloak) betrieben werden.

Vorgehen gemäß IT-Grundschutz mit (a) Modellierung auf Basis der Architekturdokumentationen, Schutzbedarfsanalysen auf Basis der Klassifikation des Kunden, (b) Audits zur Feststellung der Maßnahmenumsetzung und (c) Risikoanalysen bei erhöhtem Schutzbedarf mit Empfehlung von Maßnahmen. Die Audits erfolgen vorwiegend mit Auswertung vorhandener Dokumentationen und mit Befragung der verantwortlichen Mitarbeiter.

Dokumentation in Deutsch mit der Software Infodas SAVe. Begleitende Dokumentation mit PowerPoint und Word. Arbeitsgrundlagen sind interne Sicherheitsrichtlinien und Handlungsanweisungen, IT-Grundschutzkompendien und organisationseigener und benutzerdefinierter Bausteine.

Produkte
InfoDas SAVe IT-Grundschutz Keycloak
Kenntnisse
IT-Grundschutz Sicherheit von Webanwendungen IAM IT-Grundschutz Standards und Vorgehensweise
Kunde
Öffentlicher Dienst
Einsatzort
Remote
11 Monate

2021-01

2021-11

Prüfungen und Verbesserung von Backup- und Recovery und Disaster Recovery

IT-Security Berater IT-Grundschutzkompendium Kriterienkatalog C5 Requirements ...
Rolle
IT-Security Berater
Projektinhalte

Als IT-Security Berater prüfe und berate ich in den Bereichen Datensicherung und Disaster Recovery (DR). Prüfung gegen das IT-Grundschutzkompendium - Prozess-Bausteine Datensicherungskonzept und Notfallmanagement. Handlungsempfehlungen auf Basis IT-Grundschutz, BSI-Standard 200-4 und BSI Kriterienkatalog Cloud Computing ? C5:2020. Risikobewertung auf Basis BSI-Standard 200-3. Maßnahmen in DR Governance und DR Management mit Anwendung von COBIT 2019.

Dokumentation in Deutsch, PowerPoint, Word, Teams, IT-Grundschutzkompendium 2021, BSI Kriterienkatalog Cloud Computing ? C5:2020 (Oktober 2020), BSI-Standard 200-4, BSI-Standard 200-3, COBIT 2019
Produkte
DataDomain EMC NetWorker Veeam Backup & Replication
Kenntnisse
IT-Grundschutzkompendium Kriterienkatalog C5 Requirements Notfallmanagement
Kunde
Handel
Einsatzort
Remote
4 Monate

2020-09

2020-12

SOx- und Key Control Tests in der 1st Line of Defence (1LoD) für das Identity und Access Management

IT Tester / IT Auditor IT Audit IAM Prozesse
Rolle
IT Tester / IT Auditor
Projektinhalte

Die Durchführung der internen SOx- und Key Control Tests in der 1st Line of Defence (1LoD) für das Identity und Access Management ist hier meine primäre Aufgabe. Die Key Controls sind die konzernweit verbindlich umzusetzenden Security-Controls mit denen die Compliance gemessen wird. Die SOx-Controls sind eine Teilmenge der Key Controls. Die Key Controls umfassen Bereiche wie Operational Resilience, Platform Security, Cyber Resilience, Identity and Access Management, Security Monitoring mit Compliance Monitoring, Foundation Controls mit Configuration Management sowie das Change Management mit nicht-agilen und agilen Methoden. Das Identity and Access Management deckt alle Systeme und Anwendungen ab.

Die hochverfügbare IT Infrastruktur ist auf mehrere Rechenzentren verteilt. Sie besteht aus Linux und Windows Systemen, Oracle und MS SQL-Datenbanken, SAP, JBOSS, Tomcat, Apache und dient als Basis für eine Vielzahl branchenspezifischer Anwendungen.

Dokumentation in Englisch, Kommunikation in Deutsch und Englisch. Projektmanagement mit agilen Methoden und Steuerung in Jira und ServiceNow.

Produkte
AD OpenLDAP ServiceNow Jira Confluence Excel Word Linux Solaris Oracle RDBMS Windows Server SAP ZBV SAP BA SAP HANA
Kenntnisse
IT Audit IAM Prozesse
Kunde
Bank
Einsatzort
Frankfurt am Main
2 Jahre

2018-07

2020-06

Vorbereitung und Durchführung von internen Key Control Tests (mit SOx-Kontrollen)

SOx-Tester, IT Auditor, Security Consultant SOx ISO27001/2 COBIT ...
Rolle
SOx-Tester, IT Auditor, Security Consultant
Projektinhalte

Vorbereitung und Durchführung der internen Key Control Tests (mit SOx) in der 1st Line of Defence (1LoD). Die Key Controls sind eine Sammlung konzernweit verbindlich umzusetzender Security-Controls. Dabei teste ich eigenständig die vollständigen Key Controls. Zu diesen gehören insbesondere Operational Resilience mit Availability, Platform Security mit Server und Endpoint Security, Cyber Resilience, Identity and Access Management, Security Monitoring mit Compliance Monitoring, Foundation Controls mit Configuration Management, Change Management für agiles und nicht-agile Vorgehensweisen. Good Practices vorwiegend aus ITIL, COBIT und NIST CSF.

Selbstentwickelte Software und auch Standardsoftware wird von der IT des Unternehmens weiterentwickelt und betrieben.

Die hochverfügbare IT Infrastruktur ist redundant auf zwei Rechenzentren verteilt. Sie besteht aus Linux und Windows Systemen, Oracle und MS SQL-Datenbanken, Tomcat, Apache, Jenkins, Puppet, MS Office, Skype, CISCO Network, Palo Alto Firewalls, Jira, Confluence und weiteren Anwendungen.

Dokumentation erfolgt in Englisch, Kommunikation erfolgt in Deutsch und English. Projektmanagement mit Nutzung agiler Methoden und Steuerung in Jira.

Produkte
Jira Confluence MS Office ServiceNow Tenable
Kenntnisse
SOx ISO27001/2 COBIT JIRA Agile Continuous Integration IAM Prozesse Operational Resilience Cyber Security Platform Security Change Management Identity & Access Management
Einsatzort
München
1 Jahr 4 Monate

2017-03

2018-06

Projekt- und Prozessmanagement zur Einführung einer Verschlüsselungslösung für strukturierte Daten (Datenbanken) und unstrukturierte Daten (Dateien) im Bereich Chief Information Security Office (CISO) einer Bank.

Requirements Management Agile Zertifikatsmanagement (X.509/SSL/SSH) ...
Projektinhalte

Projekt- und Prozessmanagement in Architektur und globalem Roll-out einer Key Management Lösung (Vormetric) zur Verschlüsselung von Datenbanken. Dateiverschlüsselung, MS SQL TDE, Oracle TDE, OKV. Requirement-Analysen und -Management für funktionale und nicht-funktionale Anforderungen auf Basis von zugelieferten Business Requirements für die Architektur und Konfiguration der Lösung und auch aller relevanten Governance- (COBIT), Servicemanagement- (ITIL) und Betriebsprozesse. Prüfung, Ergänzung und Neuerstellung von Guides zum Key Management, zur Administration und weitere Dokumentationen für den operativen Betrieb, das Servicemanagement und für DR Tests. Abstimmung mit Stakeholdern im Programm und mit anderen Projekten. Komplexes, heterogenes und internationales Umfeld mit mehreren externen IT Dienstleistern. Changemanagement in internationalen Umfeld. Dokumente ausschließlich in Englisch. Kommunikation im Projekt in Englisch und Deutsch.

 

Umgebung:

Key Management in Compliance zu NIST SP 800-53p1r3, internen Policies und Procedures. Governance, Management und Operations auf Basis von COBIT und ITIL.

Komplexe, internationale und heterogene IT Umgebung, Windows Server, Linux, Unix, MS SharePoint, MS SQL Server, Oracle TDE, CyberArk, Remote Desktop mit RSA und CITRIX, WebEx, MS Office mit Word, Access, PowerPoint und MS Excel inkl. Pivot

Produkte
Vormetric DSM Thales HSM ArcSight Splunk Oracle TDE OKV MS SQL TDE
Kenntnisse
Requirements Management Agile Zertifikatsmanagement (X.509/SSL/SSH) Projektmanagement Waterfall DevOps
Kunde
Bank, Frankfurt/Eschborn
2 Jahre 4 Monate

2014-09

2016-12

Business Requirement Analysen IT-Security & Cyber Security Services

Business Analyst IT Security Business Requirement Analysen Englisch verhandlungssicher Risikomanagement ...
Rolle
Business Analyst IT Security
Projektinhalte

Business Requirement Analysen IT-Security & Cyber Security Services

Bereich Chief Information Security Office (CISO) einer Bank. Spezifikation und Erstellung von KPIs / KCIs und anderer Reports. Projektmanagementaufgaben in Implementierung und Betrieb eines Security Services. Sicherstellung der Compliance zu internen Policies und regulatorischen Anforderungen. Erstellung und Pflege der Projektdokumentationen und Präsentationen. Abstimmung mit Stakeholdern und anderen Projekten im übergeordneten Programm. Komplexes, heterogenes und internationales Umfeld mit mehreren externen IT Dienstleistern. Changemanagement in internationalem Umfeld.

 

Dokumente ausschließlich in Englisch. Kommunikation im Projekt in Englisch und Deutsch.

 

Umgebung:

Komplexe, internationale und heterogene IT Umgebung, Windows Server, div. Linux/Unix, Netapp Ontap in 7-Mode und C-Mode, MS SharePoint, MS SQL Server, STEALTHbits StealthAUDIT, CyberArk, Remote Desktop mit RSA und CITRIX, WebEx, aus MS Office primär Word, Access, PowerPoint und MS Excel inkl. Pivot

Produkte
MS SQL Server MA Sharepoint MS Office Lotus Notes
Kenntnisse
Business Requirement Analysen Englisch verhandlungssicher Risikomanagement Berechtigungsmanagement Vulnerability Management Service Management ITIL, COBIT, MaRisk, UNIX, LINUX, Windows Server Projektmanagement
Einsatzort
Frankfurt
3 Monate

2014-01

2014-03

IT Sicherheitsarchitektur für IT-Systeme

Projektinhalte

IT Sicherheitsarchitektur für IT-Systeme, IT-Infrastrukturen und IT Prozesse in einer Umgebung mit Virtual Desktops Services und der Nutzung von Cloud Services.

Anwendung von Rahmenwerken und Standards wie TOGAF, COBIT, ISO 27002, SANS 20, CIS und anderen. U.a. Erstellung einer IT-Sicherheitskonzeption zur Nutzung von Cloud-Services wie Office365 und Google Cloud zur Unterstützung des Auswahlprozesses.

 

Dokumente ausnahmslos in Englisch. Mündliche und schriftliche Kommuni-kation vorwiegend in Englisch.

 

Umgebung:

Komplexe, heterogene und internationale IT Umgebung. Virtual Desktops mit Windows Terminal Services, sichere Konfiguration von Betriebssystemen, Webbrowsern und anderen Anwendungen, technische und organisatorische IT-Sicherheitsmaßnahmen für die IT-Infrastrukturen im BackOffice

Kunde
Transportation Systems
Einsatzort
Berlin
1 Monat

2013-12

2013-12

IT Risikomanagement für IT-Systeme, IT-Infrastrukturen und IT-Prozesse

Projektinhalte

IT Risikomanagement für IT-Systeme, IT-Infrastrukturen und IT-Prozesse

IT Risikobewertungen auf Basis der Microsoft STRIDE Vorgehensweise.

Erstellung der Dokumente ausschließlich in Englisch.

 

Umgebung:

Komplexe, heterogene und internationale IT Umgebung. Fokus auf Microsoft BitLocker Verschlüsselung, Virtual Desktop, Schutz vor Schadsoftware und Software Management.

Kunde
Logistik und Kommunikation
Einsatzort
Bonn
9 Monate

2013-03

2013-11

Vollzeit IT-Sicherheitsarchitektur, IT-Sicherheitsmanagement, Feinkonzeption und Steuerung der Umsetzung von IT-Sicherheitsmaßnahmen

Projektinhalte

IT-Sicherheitsarchitektur, IT-Sicherheitsmanagement, Feinkonzeption und Steuerung der Umsetzung von IT-Sicherheitsmaßnahmen.

 

Tätigkeiten in Stichworten:

Projektplanung, Entscheidungsvorlagen, Fein-planungen für IT-Sicherheitsmaßnahmen mit Schwerpunkten in den Berei-chen Serverhärtung UNIX, LINUX und Windows Server und Berechtigungs-management für administrative und technische Accounts (Privileged Ac-counts). Abstimmung auf die IT-Sicherheitsarchitektur und den IT-Betrieb in komplexen internationalen IT-Umgebungen. Erstellung von Schulungs-unterlagen für Administratoren. Erhebung von Anforderungen und Abstim-mung von Sachständen innerhalb von Workshops.

 

Anwendung interner und internationaler Richtlinien, Standards und Frame-works wie ISO 2700x, IT-Grundschutz, ITIL, COBIT und auch den Empfeh-lungen der Hersteller sowie unabhängiger kompetenter Stellen für die Planung und Etablierung technischer und organisatorischer IT-Sicherheitsmaßnahmen. Präsentationen, Moderationen und Co-Moderationen in Workshops zur Anforderungsanalyse und zur Abstimmung von Ergebnissen in der Konzeption.

 

Dokumentationen, Präsentationen und Konzepte in Englisch. Mündliche und schriftliche Kommunikation teilweise auf Englisch.

 

Umgebung:

Komplexe heterogene und internationale IT-Infrastruktur mit verschiedenen UNIX- und LINUX-Produkten und Versionen. Schwachstellenidentifikation auf Servern mit Qualys. Active Directory, Oracle Datenbanken, Kryptografie, CyberArk, SAN, NAS, SSO, LDAP, komplexe Firewalls und Netzwerk-architektur, Virenschutz bei weltweiter Vernetzung der Standorte und In-tegration verschiedener Outsourcing-Partner.

 

Kunde
Automobilbau
Einsatzort
Bremen und Stuttgart
5 Jahre

2008-03

2013-02

IT-Sicherheitsarchitektur, Sicherheits- und Risikobewertungen, IT-Compliance, IT-Architektur, Basisarchitektur

Projektinhalte

IT-Sicherheitsarchitektur, Sicherheits- und Risikobewertungen, IT-Compliance, IT-Architektur, Basisarchitektur

 

Erstellung von Risikobewertungen für Mobile Devices (iOS und Android), Web 2.0, Internetportale und andere heterogene IT-Systeme in komplexen Umgebungen. Dabei wurde jeweils die Ermittlung geeigneter Maßnahmen zur Risikobehandlung für die angemessene Gewährleistung von Vertraulichkeit, Integrität, Nachvollziehbarkeit und Verfügbarkeit durchgeführt. Anwendung der IT-Grundschutz-Kataloge für die Schichten 3 IT-Systeme, 4 Netze und 5 Anwendungen. Erstellung von Dokumentationen und Präsentationen zur Darstellung der IT-Systemarchitektur und der darauf wirkenden Risiken, geeigneter Maßnahmen und verbleibender Risiken zur Verwendung in der Entscheidungsfindung.

 

IT-Sicherheitsarchitektur und IT-Architektur für internationale Projekte mit hochverfügbaren IT-Systemen einschließlich Applikationssicherheit.

 

IT-Architektur für High-Performance Storage, CAx-Workstations, Logistik Anwendung und Remote Access. Berücksichtigung der hohen Sicherheits-anforderungen in verschiedenen Teilprojekten.

 

Erstellung von Richtlinienvorschlägen für Migrationen, Standortwahl und Netzprotokollen. Erfassung und Bewertung von Compliance-Anforderungen aus Regularien wie FRCP / eDiscovery an die IT-Architektur im internatio-nalen Umfeld. Anwendung interner und internationaler Richtlinien, Standards und Frameworks wie ISO 2700x, COBIT, TOGAF, IT-Grundschutz, Datenschutz, Datenklassifikation, ITIL und COBIT für Sicherheits- und Or-ganisationskonzepte sowie Risikobewertungen geplanter und bestehender IT-Architekturen.

 

Konzeptionen, Prüfberichte und Kommunikation teilweise auf Englisch.

 

Umgebung:

Komplexe heterogene und internationale IT-Infrastruktur mit zOS-, UNIX-, LINUX- und Windows Systemen, Mobile Devices wie iPad, iPhone (iOS) und Android, Web 2.0 Plattform Liferay, SAP, Jira, Oracle, Applikationssicherheit, Kryptografie mit Schlüsselmanagement, High-Performance Storage, NAS, CAx-Workstations, SSO, SAML, LDAP, komplexe Firewalls und mehrstufige Netzwerkzonen, mehrstufiger Virenschutz, zentrale Datensicherung, zentralem Netz- und Systemmanagement, hochverfügbare SAN und Stora-ge, weltweiter Vernetzung der Standorte und mehreren Outsourcing-Partnern. Nationale und internationale Datenschutzgesetzgebung.

Kunde
Automobilbau
Einsatzort
Wolfsburg
4 Jahre 11 Monate

2006-06

2011-04

Vorbereitung und Begleitung von Audits analog Audits zur Zertifizierung gemäß ISO 27001 auf Basis IT-Grundschutz als Berater, Coach, interner IT-Sicherheitsrevisor

Projektinhalte

Vorbereitung und Begleitung von Audits analog Audits zur Zertifizierung gemäß ISO 27001 auf Basis IT-Grundschutz als Berater, Coach, interner IT-Sicherheitsrevisor

 

Mehrere IT-gestützte Fachverfahren wurden von mir auf jährliche Audits analog zu Audits gemäß ISO 27001 auf Basis IT-Grundschutz vorbereitet. Zusätzlich wurde von mir auch die interne IT-Sicherheitsrevision durchge-führt. Dokumentation mit GSTOOL. Die Mitarbeiter wurden von mir auf die Audits vorbereitet und während der Audits begleitet.

 

Anwendung der IT-Grundschutz-Kataloge für alle Schichten. Modellierung des gesamten komplexen IT-Verbundes einschließlich aller für den Betrieb benötigter IT-Systeme und Stellen einschließlich des Datenschutzes. Erstel-lung der Referenzdokumente zur Übergabe an die externen Auditoren. Er-gänzend dazu wurden alle im Audit zusätzlich erforderlichen Dokumente, wie Notfallhandbücher und IT-Sicherheitskonzepte gesammelt und bei Bedarf erstellt, vervollständigt und aktualisiert. Anwendung der BSI-Standards „100-1 Managementsysteme für Informationssicherheit“, „100-2 IT-Grundschutz-Vorgehensweise“, „100-3 Risikoanalyse auf der Basis von IT-Grundschutz“ und „100-4 Notfallmanagement“.

 

Erstellung und Aktualisierung von IT-Sicherheitsrichtlinien für Server, IT-Nutzung, SAN, interner IT-Sicherheitsrevision und weiterer Bereiche. Die Notfallhandbücher wurden eng mit den jeweiligen Fachbereichen abgestimmt und enthielten alle erforderlichen Informationen einschließlich der organisatorischen und technischen Notfallvorsorgemaßnahmen und Wie-deranlaufverfahren. Die Schnittstellen des IT-Sicherheitsmanagements mit den unterschiedlichen Prozessen im IT-Servicemanagement (ITIL) wurden definiert und mit den Fachbereichen abgestimmt.

 

Umgebung:

GSTOOL, hochverfügbare und heterogene IT-Infrastruktur an zwei Stand-orten mit UNIX-, Windows 2003 und Windows 2008 R2 Servern, komplexe Firewalls, mehrstufiger Virenschutz, zentrale Datensicherung, zentrales Netz- und Systemmanagement, Verzeichnisverschlüsselung, hochverfügbare WAN, LAN, SAN und Storages, landesweite Vernetzung, Landesdaten-schutzgesetz.

Kunde
Öffentlicher Dienst
Einsatzort
Stuttgart
8 Jahre 1 Monat

2000-02

2008-02

Netz- und Servermanagement, IT-Sicherheit

Projektinhalte

Netz- und Servermanagement, IT-Sicherheit.

 

Rolle im Projekt:

Projektmanager, Coach für Systemadministratoren.

 

Tätigkeiten:

Coaching der internen IT-Mitarbeiter; Konzepterstellung; Planung von Erweiterungen im Bereich Netze und Server sowie Projektma-nagement bei der Realisierung; Sicherheitsüberprüfung von Servern und Netzen; Sicherheitsüberprüfungen u.a. mit Microsoft MBSA und Portscan-nern

 

Umgebung:

Windows NT 4.0 und 2000 Server, MS Exchange Server, MS SQL Server, Windows 2000 Professional, Windows 98, NAI Total Virus Defense, Legato Networker, CISCO Router, Internet, Watchguard Firewall, TCP/IP, DHCP, DNS, WINS; Netz: Ethernet mit 3Com- und Cisco-Komponenten.

Kunde
Maschinenbau
Einsatzort
Bremen
11 Monate

2005-02

2005-12

Vorbereitung auf ein Audit zum IT-Grundschutz-Zertifikat des BSI

Projektinhalte

Vorbereitung auf ein Audit zum IT-Grundschutz-Zertifikat des BSI.

 

Durchführung aller vorbereitenden Maßnahmen und Begleitung des Audits. Anwendung der IT-Grundschutz-Kataloge für alle Schichten. Durchführung der Basis-Sicherheitschecks. Erstellung und Zusammenstellung aller erfor-derlichen Informationen, der Referenzdokumente (IT-Strukturanalyse, Schutzbedarfsfeststellung, Modellierung des IT-Verbunds, Ergebnisse des Basis-Sicherheitschecks) und IT-Sicherheitskonzepte. Erstellung der Refe-renzdokumente „Ergänzende Sicherheitsanalyse“ und „Risikoanalyse“ für hohen Schutzbedarf.

 

Umgebung:

Komplexe heterogene IT-Infrastruktur für über 10000 Endanwender           mit branchenüblichen Anwendungen und IT-Servicemanagement gemäß ITIL. IT-Grundschutzhandbuch des BSI

Kunde
Versicherung
Einsatzort
Oberursel
1 Jahr

2000-10

2001-09

Netzmanagement WAN

Projektinhalte

Netzmanagement WAN,

 

Tätigkeiten:

Konzeptionen, Auftragsvergaben, Umsetzungssteuerung, Qualitätskontrollen, Störungsmanagement, IT-Sicherheitsmanagement. Konzeptionelle und beratende Mitarbeit bei der Planung zur unternehmensweiten Einführung von Windows 2000 Clients und Servern

 

Umgebung:

WAN mit Frame-Relay, Token-Ring LAN, Cisco Router, Netzmanagement, TCP/IP, DHCP, DNS, Novell- und Windows, NT/2000-Server, Windows 95- und 2000-Clients, SNA

Kunde
Krankenkasse
Einsatzort
Hamburg
5 Monate

2000-02

2000-06

Datenschutz- und IT-Sicherheitskonzept

Projektinhalte

Datenschutz- und IT-Sicherheitskonzept für eine komplexe Anwendung mit sehr hohen Sicherheitsanforderungen als Plattform zur Abwicklung von Vorgängen zwischen öffentlicher Verwaltung und Bürgern. Vollständiges Konzept mit den Teilen Sicherheitsleitlinie, Datenschutzkonzept, IT-Sicherheitskonzept, Betriebskonzept, Schulungskonzept sowie mehrere Anlagen mit über 600 individuellen Einzelmaßnahmen erstellt.

 

Umgebung:

Signaturgesetz, Internet-Recht, nationale Datenschutz-Gesetzgebung, IT-Grundschutzkataloge des BSI

Kunde
Unternehmensberatung
Einsatzort
Bremen
12 Jahre 2 Monate

1985-09

1997-10

Spezialist, Projektmanager (Festanstellung)

Projektinhalte

Spezialist, Projektmanager (Festanstellung)

Erstellung und Umsetzung von Netzkonzepten in heterogener Umgebung.  Administration von Netzen unterschiedlichster Größenordnungen an mehre-ren Standorten. Planung, Steuerung und Durchführung von Maßnahmen im Bereich IT-Sicherheit und Datenschutz, Verfügbarkeit, Strategieentwicklung, Projektmanagement, Betreuung und Weiterentwicklung technischer Anwendungsprogramme, Systemintegration, Anwenderschulungen.

 

Umgebung:

LAN, WAN, Novell, LanManager und weitere Betriebssysteme, IBM AS/400, verschiedene Digital VAX-Systeme, Netzmanagement, E-Mail, SQL-Server (Microsoft, Gupta, Oracle)

 

Kunde
Industrie / Schiffbau
Einsatzort
Bremen

Projekte   (Auszug)

Zeitraum        07/2017 ? 12/2018(geplantes Ende)

Branche: Finanzierungsdienstleister, München

Projekt: Vorbereitung und Durchführung des internen Key Control Tests (mit SOx-Kontrollen) in der 1st Line of Defence.

Erstellung von Prozessdokumentationen für das Schwachstellenmanagement und für DDoS Tests.

Erstellung von Business Continuity Guides für verschiedene Szenarios.

Das Unternehmen ist durch die Zugehörigkeit zum Konzern (Internationale Bank) dazu verpflichtet Informationssicherheit und Cyber Security auch gemäß internationaler Standards, wie z.B. SOx, zu betreiben.

In der IT des Unternehmens wird selbstentwickelte Software und auch Standardsoftware von ihm selbst betrieben.

Die hochverfügbare IT Infrastruktur ist redundant auf zwei Rechenzentren verteilt. Sie besteht aus Linux und Windows Systemen, Oracle Datenbanken, MS Office, Skype, CISCO Network, Palo Alto Firewalls, Jira, Confluence und weiteren Services.

Dokumentation und Kommunikation erfolgt in Deutsch und English. Projektmanagement mit agilen Methoden in Jira.

 

Zeitraum        02/2017 ? 06/2018

Branche:         Bank, Frankfurt/Eschborn

Projekt:           Projekt-, Requirement- und Prozessmanagement zur Einführung einer Verschlüsselungslösung für strukturierte Daten (Datenbanken) und unstrukturierte Daten (Dateien) im Bereich Chief Information Security Office (CISO) einer Bank.

Requirements Management für eine geplante Lösung zum Management von Zertifikaten (X.509) die von verschiedenen CAs (PKI) ausgestellt werden.

Projekt- und Prozessmanagement in Architektur und globalem Roll-out einer Key Management Lösung (Vormetric DSM) zur Verschlüsselung von Datenbanken und Dateien.

Management der funktionalen und nicht-funktionalen Anforderungen auf Basis vorhandener Business Requirements für die Gesamtarchitektur der Lösung. Berücksichtigung ader relevanten Policies zur Security, zur Governance (COBIT) und zu Service und Betrieb (ITIL).

Prüfung, Ergänzung und Neuerstellung von Guides zum Key Management, zum Betrieb, Deployment, Incident Management und weitere Dokumentationen für den operativen Betrieb, das Servicemanagement und für DR Tests.

Komplexes, heterogenes und internationales Umfeld mit mehreren externen IT Dienstleistern. Changemanagement in internationalen Umfeld.

Dokumente ausschließlich in Englisch. Kommunikation im Projekt in Englisch und Deutsch.

Umgebung:     Key Management in Compliance zu NIST SP 800-57p1r4, internen Policies und Procedures. Governance, Management und Operations auf Basis von COBIT und ITIL. HSMs von Thales.

Komplexe, internationale und heterogene IT Umgebung, Windows Server, Linux, Unix, MS SharePoint, MS SQL Server, MS SQL TDE, Oracle TDE, OKV, CyberArk, PKI / CA, Geneos, ArcSight, Splunk, Syslog, Remote Desktop mit RSA und CITRIX, WebEx, MS Office mit Word, Access, PowerPoint und MS Excel inkl. Pivot

Zeitraum        09/2014 ? 12/2016

Branche:         Bank, Frankfurt/Eschborn

Projekt:           Vulnerability Management, Business Requirement Analysen IT-Security & Cyber Security Services

Spezifikation und Erstellung von KPIs / KCIs und anderer Reports. Projektmanagementaufgaben in Implementierung und Betrieb eines Security Services. Sicherstellung der Compliance zu internen Policies und regulatorischen Anforderungen. Erstellung und Pflege der Projektdokumentationen und Präsentationen. Abstimmung mit anderen Projekten im übergeordneten Programm. Komplexes, heterogenes und internationales Umfeld mit mehreren externen IT Dienstleistern. Change- und Deployment-Management in internationalem Umfeld.

Dokumente ausschließlich in Englisch. Kommunikation im Projekt in Englisch und Deutsch.

Umgebung:     Komplexe, internationale und heterogene IT Umgebung, Windows Server, div. Linux/Unix, Netapp Ontap in 7-Mode und C-Mode, MS SharePoint, MS SQL Server, STEALTHbits StealthAUDIT, CyberArk, Remote Desktop mit RSA und CITRIX, WebEx, MS Office mit Word, Access, PowerPoint und MS Excel inkl. Pivot

Zeitraum:   01/2014 ? 03/2014

Industrie:  Transportation Systems, Berlin

Projekt:    IT Sicherheitsarchitektur für IT-Systeme, IT-Infrastrukturen und IT Prozesse in einer Umgebung mit Virtual Desktops Services und der Nutzung von Cloud Services.

Anwendung von Rahmenwerken und Standards wie TOGAF, COBIT, ISO 27002, SANS 20, CIS und anderen. Requirement-Analyse für funktionale  und nicht-funktionale Anforderungen als Basis für IT Risikobewertungen. Durchführung vollständiger IT Risikobewertungen mit Indentifikation von Risiken, Risikobewertung, Definition von IT Sicherheitsmaßnahmen und der Bewertung von Restrisiken. Authentisierung on-premise und federated.

Dokumente werden ausnahmslos in englischer Sprache erstellt. Die sprachliche und schriftliche Kommunikation findet nahezu ausnahmslos in englischer Sprache statt.

Environment: Komplexe, heterogene und internationale IT Umgebung. Arbeitsschwerpunkte sind Virtual Desktops, sichere Konfiguration von Betriebssystemen,  Webbrowsern und anderen Anwendungen, technische und organisatorische IT-Sicherheitsmaßnahmen für die IT-Infrastrukturen im Backoffice mit Produkten von Citrix und Microsoft sowie die Einbindung und Nutzung von Cloud-Services wie Office 365.

 

 

Zeitraum:   12/2013

Industrie:  Logistik und Kommunikation, Bonn

Projekt:    IT Risikomanagement für IT-Systeme, IT-Infrastrukturen und IT-Prozesse

Erstellung von IT Risikobewertungen auf Basis der Microsoft STRIDE Vorgehensweise. Vollständige IT Risikobewertungen einschließlich Indentifikation von Risiken, Risikobewertung, Definition von IT Sicherheitsmaßnahmen und der Bewertung von Restrisiken.

Alle Dokumente wurden in englischer Sprache erstellt.

 

Umgebung: Komplexe, heterogene und internationale IT Umgebung. Fokus auf Microsoft BitLocker Verschlüsselung, Virtual Desktop, Schutz vor Schadsoftware und Software Management.

 

 

Zeitraum:   03/2013 bis 11/2013 in Vollzeit

Branche:    Automobilbau, Deutschland

Projekt:    IT-Sicherheitsarchitektur, IT-Sicherheitsmanagement, Feinkonzeption und Steuerung der Umsetzung von IT-Sicherheitsmaßnahmen.

Tätigkeiten in Stichworten: Secure Configuration, Hardening, Vulnerability Management, Management von Administrator-Accounts (privileged Accounts), Maßnahmen zur Reduzierung der Risiken aus Credential Theft.

Projektplanung, Entscheidungsvorlagen, Feinplanungen für IT-Sicherheitsmaßnahmen in Abstimmung auf die IT-Sicherheitsarchitektur und den IT-Betrieb in komplexen internationalen IT-Umgebungen, Steuerung der Umsetzung der IT-Sicherheitsmaßnahmen.

Anwendung interner und internationaler Richtlinien, Standards und Frameworks wie ISO 2700x, IT-Grundschutz, ITIL, COBIT und auch die Empfehlungen der Hersteller sowie unabhängiger kompetenter Stellen für die Planung und Etablierung von technischen und organisatorischen IT-Sicherheitsmaßnahmen.

Dokumentationen, Präsentationen und Konzepte werden von mir fast ausschließlich in englischer Sprache erstellt. Die mündliche und schriftliche Kommunikation erfolgt teilweise in englischer Sprache.

Umgebung: Komplexe heterogene und internationale IT-Infrastruktur mit verschiedenen UNIX- und LINUX-Produkten und Versionen. Windows 2008 R2 Server. Weiterhin: Active Directory, Oracle Datenbanken, Kryptografie, Keymanagement, Passwortmanagement, Cyber-Ark, SAN, NAS, SSO, LDAP, komplexe Firewalls und Netzwerkarchitektur, Virenschutz bei weltweiter Vernetzung der Standorte und Integration verschiedener Outsourcing-Partner. 

 

 

Zeitraum: 03/2008 bis 9/2008  und ab 10/2009 bis 12/2012 in Vollzeit,  

          01/2011 bis 04/2011 in Teilzeit (50%)

Branche:  Automobilbau, Deutschland

Projekt:  IT-Sicherheitsarchitektur, Sicherheits- und Risikobewertungen, IT-Compliance, IT-Architektur, Basisarchitektur

Erstellung von Risikobewertungen für mobile Devices, Web 2.0, Internetportale und andere heterogene IT-Systeme in komplexen Umgebungen. Dabei wurde jeweils die Ermittlung geeigneter Maßnahmen zur Risikobehandlung für die angemessene Gewährleistung von Vertraulichkeit, Integrität, Nachvollziehbarkeit und Verfügbarkeit durchgeführt.

IT-Sicherheitsarchitektur mit Erstellung und Bewertung von Handlungsalternativen sowie der Prüfung von Architekturanträgen.

Sicherheitsarchitektur und IT-Architektur für internationale Projekte mit hochverfügbaren IT-Systemen einschließlich Applikationssicherheit.

IT-Architektur für High-Performance Storage, CAx-Workstations, Logistik Anwendung und Remote Access.

Erstellung von Richtlinienvorschlägen für Migrationen, Standortwahl und Netzprotokollen. Erfassung und Bewertung von Compliance-Anforderungen an die IT-Architektur im internationalen Umfeld mit dem Schwerpunkt USA, FRCP, eDiscovery. Anwendung interner und internationaler Richtlinien, Standards und Frameworks wie ISO 2700x, TOGAF, IT-Grundschutz, ITIL und COBIT für Sicherheits- und Organisationskonzepte sowie Risikobewertungen geplanter und bestehender IT-Architekturen. Bezüglich Verfügbarkeit wurden geeignete und wirksame Notfallvorsorgemaßnahmen ermittelt und vorgegeben. Konzeption und Kommunikation teilweise in englischer Sprache.


Umgebung: Komplexe heterogene und internationale IT-Infrastruktur mit zOS-, UNIX-, LINUX- und Windows Systemen, mobile Devices wie iPad, iPhone (iOS) und Android, Web 2.0 Plattformen, Applikationssicherheit, Kryptografie mit Schlüsselmanagement, High-Performance Storage, NAS, CAx-Workstations, SSO, LDAP, komplexe Firewalls und mehrstufige Netzwerkzonen, mehrstufiger Virenschutz, zentrale Datensicherung, zentralem Netz- und Systemmanagement, hochverfügbare SAN und Storage, weltweiter Vernetzung der Standorte und mehrere Outsourcing-Partner. 


 
Zeitraum:  06/2006 ? 2/2008, 10/2008 ? 09/2009 in Vollzeit,
           01/2011 bis 04/2011 in Teilzeit (50%)

Branche:   Öffentlicher Dienst , Stuttgart

Projekt:   Vorbereitung und Begleitung von Audits analog Audits zur Zertifizierung gemäß ISO 27001 auf Basis IT-Grundschutz.

Rolle im Projekt: Berater, Coach, interner IT-Sicherheitsrevisior

Tätigkeiten: Mehrere IT-gestützte Fachverfahren wurden von mir auf jährliche Audits analog zu Audits gemäß ISO 27001 auf Basis IT-Grundschutz vorbereitet. Dabei wurden von mir auch die interne IT-Sicherheitsrevision durchgeführt. Die Dokumentation erfolgte im GSTOOL des BSI. Die Mitarbeiter der verschiedenen Fachbereiche wurden von mir auf die Audits vorbereitet und während der Audits begleitet.

Erstellung der Referenzdokumente zur Übergabe an die externen Auditoren. Ergänzend dazu wurden alle im Audit zusätzlich erforderlichen Dokumente, wie Notfallhandbücher und IT-Sicherheitskonzepte gesammelt und bei Bedarf erstellt und aktualisiert und abschließend den Referenzdokumenten beigefügt. Anwendung der BSI-Standards ?100-1 Managementsysteme für Informationssicherheit?, ?100-2 IT-Grundschutz-Vorgehensweise?, ?100-3 Risikoanalyse auf der Basis von IT-Grundschutz? und ?100-4 Notfallmanagement?. Weitere Tätigkeiten: Erstellung und Aktualisierung von IT-Sicherheitsrichtlinien für Server, IT-Nutzung, SAN, IT-Sicherheitsrevision und weiterer Bereiche. Die Notfallhandbücher wurden eng mit den jeweiligen fahbereichen abgestimmt und enthielten alle erforderlichen Informationen einschließlich der organisatorischen und technischen Notfallvorsorgemaßnahmen und Wiederanlaufverfahren. Die Schnittstellen des IT-Sicherheitsmanagements mit den unterschiedlichen Servicemanagementprozessen wurden definiert und mit den Fachbereichen abgestimmt.

Umgebung:       GSTOOL, Verinice, hochverfügbare und heterogene IT-Infrastruktur an zwei Standorten mit UNIX-, Windows 2003 und Windows 2008 R2 Servern, komplexe Firewalls, mehrstufiger Virenschutz, zentrale Datensicherung, zentrales Netz- und Systemmanagement, Verzeichnisverschlüsselung, hochverfügbare SAN und Storages, landesweite Vernetzung



Zeitraum: 02/2005 -   12/2005
Branche: Versicherung - Vorbereitung auf das Audit zum IT-Grundschutz-Zertifikat des BSI
Rolle im Projekt: Berater, Coach
Tätigkeiten:
Für einen Fachbereich wurde das IT-Grundschutz-Zertifikat des BSI angestrebt. Ich bereitete die Prüfung vor. Dazu stellte ich die erforderlichen Informationen, wie Referenzdokumente (IT-Strukturanalyse, Schutzbedarfsfeststellung, Modellierung des IT-Verbunds, Ergebnisse des Basis-Sicherheitschecks) und IT-Sicherheitskonzepte, zusammen und organisierte alle vorbereitenden Maßnahmen.
Für die zukünftig angestrebte Zertifizierung gemäß ISO 27001 auf Basis IT-Grundschutz habe ich die zusätzlich zu erstellenden Referenzdokumente ¿Ergänzende Sicherheitsanalyse¿ und "Risikoanalyse" im ersten Entwurf erstellt.
Dem hohen Schutzbedarf entsprechend erstellte ich zusätzlich zu den zuvor genannten Tätigkeiten im Rahmen der kontinuierlichen Aufrechterhaltung und Verbesserung der IT-Sicherheitsmaßnahmen, spezielle IT-Sicherheitskonzepte für verschiedene Bereiche der IT. Grundlage waren vollständige Risikobetrachtungen auf deren Basis geeignete Maßnahmen geplant und implementiert sowie bereits umgesetzte Maßnahmen wirksam erhalten werden. Eingeflossen sind hier auch die aus dem Projekt KRITIS gewonnenen Ergebnisse und Vorschläge.
Projektumgebung:
Komplexe heterogene IT-Infrastruktur für über 1000 Endanwender mit branchenüblichen Anwendungen und IT-Servicemanagement gemäß ITIL.
Grundlagen:
IT-Grundschutzhandbuch des BSI, BDSG/Bundesdatenschutzgesetz

Zeitraum:  02/2000 - 05/2006  
Branche:   Maschinenbau  -  Netzwerk- und Servermanagement, IT-Sicherheit
Rolle im Projekt:
Projektmanager, Coach für Systemadministratoren (Einsatz wechselnd 10-30%)
Tätigkeiten:
Coaching der internen IT-Mitarbeiter; Konzepterstellung; Planung von Erweiterungen und Optimierungen im Bereich Netzwerke und Server sowie Projektmanagement bei der Realisisierung; Wartung mit laufender Sicherheitsüberprüfung von DV-Anlagen und Netzwerk
Sicherheitsüberprüfungen u.a. mit Microsoft MBSA und Portscannern
Projektumgebung:
Windows NT 4.0 und 2000 Server, MS Exchange Server, MS SQL Server, Windows 2000 Professional, Windows 98, NAI Total Virus Defense, Legato Networker, CISCO Router, Internet, Watchguard Firewall, TCP/IP, DHCP, DNS, WINS
Netzwerk: Ethernet mit 3Com- und Cisco-Komponenten


Zeitraum: 06/2003 - 07/2003  
Branche:  Öffentlicher Dienst / Rechenzentrum - Serverkonfiguration, Konzeption, IT-Sicherheit
Rolle im Projekt: Berater
Tätigkeiten:
Planung, Installation und Konfiguration der Serverbetriebssysteme und Datenbankserver zur Einführung eines Content Management Systems (CMS).
Planung und Einrichtung von IPsec-Verbindungen.
Sichere Konfiguration der Server nach den Empfehlungen des BSI (Bundesamt für Sicherheit in der Informationsverarbeitung).
Erstellung der Dokumentation.
Erstellung eines Migrationskonzepts zur Migration der bestehenden Internetpräsenz auf Basis von Windows NT 4.0 auf Windows 2000 und IIS 5.0.
Projektumgebung:  
Windows 2000 Advanced Server, Oracle 8i Datenbankserver, CMS RedDot 5, Ipsec,  Internet Information Server (IIS) 5.0, FTP-Server, Installation der Server in
Internet, DMZ und Intranet

02/2002 - 03/2002   Dienstleistungsrechenzentrum - Anwendungsmanagement
Rolle im Projekt:
Applicationsservice Manager         
Tätigkeiten:
Betreuung mehrerer B2B-Marktplätze: Hard- und softwaretechnische Administration
Projektumgebung:
B2B-Marktplatzsoftware von CommerceOne
Betriebssyteme von Microsoft (NT / 2000)
LDAP-Directory-Server (Novell)
Internet Information Server (IIS)

Zeitraum:  10/2000 - 09/2001  
Branche:   Krankenkasse - Netzwerkmanagement WAN
Rolle im Projekt: Optimierung und Qualitätssicherung des unternehmensweiten Netzwerkes    
Tätigkeiten:
Konzeptionen, Auftragsvergaben, Umsetzungsüberwachung und -steuerung
Sicherstellung optimaler Verfügbarkeit durch Qualitätskontrollen, Störungsmanagement, IT-Sicherheitsmanagement (Prüfungen, Koordination)
konzeptionelle und beratende Mitarbeit bei der Planung zur unternehmensweiten Einführung von Windows 2000 Professional und Windows 2000 Server  
Projektumgebung:
WAN mit Frame-Relay, Token-Ring LAN, Cisco Router, Netzwerkmanagement-Software,
TCP/IP, DHCP, DNS, Novell- und Windows NT/2000-Server, Windows 95- und 2000-Clients, SNA

Zeitraum:  02/2000 - 06/2000  
Branche:   Unternehmensberatung - Datenschutz- und IT-Sicherheitskonzept
Rolle im Projekt: Berater IT-Sicherheitsmanagment     
Tätigkeiten:
Spezifikation und Erstellung der ersten Version des Datenschutz und IT-Sicherheitskonzepts
für eine komplexe Anwendung mit sehr hohen Sicherheitsanforderungen.
Geplant und teilweise realisiert wurde vom Auftraggeber eine Plattform zur
Abwicklung von Vorgängen zwischen öffentlicher Verwaltung und Bürgern.
Nach den Empfehlungen des IT-Grundschutzhandbuches wurde ein vollständiges
Konzept mit den Bestandteilen
1. Sicherheitspolitik - grundsätzliche Vorgaben
2. Datenschutzkonzept - Berücksichtigung datenschutzrechtlicher Belange
3. IT-Sicherheitskonzept - Berücksichtigung technischer Belange
4. Betriebskonzept - Berücksichtigung organisatorischer Belange
5. Schulungskonzept - Regelung der Sicherheits-Weiterbildung der Mitarbeiter
6. Anlagen mit über 600 individuellen Einzelmaßnahmen
Das Konzept wurde so geschrieben und aufgeteilt, dass es problemlos als Grundlage für zukünftige Audits und zur Fortschrittskontrolle bei der Umsetzung
der Maßnahmen verwendbar ist.
Projektumgebung:
Signaturgesetz, Internet-Recht, Datenschutz-Gesetzgebung, IT-Grundschutzhandbuch des BSI

01/1999 - 01/2000   Industrie - Projektmanagement Jahr 2000
Rolle im Projekt:
Projektmanager, Auditor
Tätigkeiten:
Projektmanagement im Jahr 2000 - Projekt, Qualitätsmanagement, Prüfungen, Zertifizierungen, Koordination
Erstellung des IT-Notfallkonzepts für das gesamte Unternehmen  
Projektumgebung:
alle IT-gestützten Unternehmensprozesse inkl. Produktion, Verwaltung und IT


Zeitraum:  09/1985 - 10/1997  
Branche:   Industrie / Schiffbau - Spezialist, Projektmanager (Festanstellung)   
Tätigkeiten:
Erstellung und Umsetzung von Netzwerkkonzepten in heterogener Umgebung
Administration von Netzwerken unterschiedlichster Größenordnungen (3 bis 700 Anwender) an mehreren Standorten Planung, Steuerung und Durchführung von Maßnahmen
im Bereich IT-Sicherheit und Datenschutz, Strategieentwicklung, Projektmanagement
Betreuung und Weiterentwicklung technischer Anwendungsprogramme         
Systemintegration, Anwenderschulung
Projektumgebung:
LAN, WAN, verschiedene Netzwerkbetriebssysteme, IBM AS/400, verschiedene Digital VAX-Systeme, Netzwerkmanagementanwendungen, E-Mail-Server, SQL-Server (Microsoft, Gupta, Oracle)

 

 

Zertifizierungen

CISA ? Certified Information Systems Auditor der ISACA

CISM ? Certified Information Security Manager der ISACA

IT-Compliance Manager ? Frankfurt School of Banking and Finance / ISACA

COBIT 5 Foundation ? Zertifikat der ISACA zu COBIT 5

 

Ausbildung

Abschluss:                     Dipl.-Ing.(FH)

Schwerpunkt:                 technische Programmierung

Mögliche Einsatzbereiche sind beispielsweise:

  • Erstellung, Aktualisierung und Umsetzung von Sicherheitskonzepten und Risikobewertungen unter Einbeziehung des Datenschutzes und anderer IT-Compliance Anforderungen

  • Einführung und Verbesserung von Security Services wie z.B. Verschlüsselungslösungen für Dateien und Datenbanken, Zertifikatsmanagement, Härtung von Endpoints, Schwachstellenmanagement

  • Planung, Einführung oder Verbesserung bedarfsgerechten IT-Sicherheitsmanagements mit Schnittstellen zu allen relevanten Governance-, Architektur-, Service- und Betriebsprozessen

  • IT-Sicherheitsarchitektur und IT-Architektur auf Basis von Architekturframeworks wie TOGAF und SABSA mit Planung und Einführung von IT-Security Services wie Firewalls, IDS, Virenschutz, Authentisierung, Keymanagement, Identifikation, VPN, Monitoring, Logging u.a.m. mit Integration in vorhandene oder in Planung befindlicher IT-Infrastrukturen

  • Vorbereitung und Begleitung von Audits zur Zertifizierung gemäß ISO 27001 oder gemäß ISO 27001 auf Basis von IT-Grundschutz mit Durchführung der internen IT-Sicherheitsrevision. Interne Audits / Tests in der 1st LoD auch für SOx. Alles mit Erstellung oder Aktualisierung aller erforderlichen Dokumentationen

  • Planung, Einführung und Betrieb von Business Continuity Management (BCM), Availability Management, Continutity Management und Security Management gemäß ITIL

  • Durchführung von IT-Sicherheitsaudits mit Schwerpunkten wie Cyber Security, Prozessqualität, Verfügbarkeit, Restrisikobeurteilung 

  • Durchführung von IT-Audits  auf Basis von Cobit 5 / Cobit 2019 oder auch die Prüfung von Vollständigkeit und Eignung funktionaler und nicht-funktionaler IT-Architekturplanungen als Quality Gate

Deutsch
Englisch gut, TOEIC 915 (gold, 2/2013), English CV is available

Top Skills
Cyber Security IT Audit / IT Security Audit Informationssicherheit IT Governance Projektmanagement
Schwerpunkte
COBIT ISO27001/2 Requirements Management SOx Zertifikatsmanagement (X.509/SSL/SSH)
Aufgabenbereiche
Projektmanagement Risikomanagement
Produkte / Standards / Erfahrungen / Methoden
AD ArcSight Berechtigungsmanagement Business Requirement Analysen Change Management Confluence Continuous Integration Cyber Security Excel Identity & Access Management IT Audit ITIL, COBIT, MaRisk, UNIX, LINUX, Windows Server Jira MA Sharepoint MS Office MS SQL TDE OKV OpenLDAP Operational Resilience Oracle TDE Platform Security SAP BA SAP HANA SAP ZBV Service Management ServiceNow Splunk Thales HSM Vormetric DSM Vulnerability Management Word

IT-Qualifikationen

IT-Compliance:

IT-Compliance Manager - Frankfurt School of Banking and Finance / ISACA

 

IT-Sicherheitsmanagement:

Certified Information Security Manager - CISM

 

IT-Security Audits- und Assurance:

Certified Infor-mation Systems Auditor - CISA

 

IT-Governance:

COBIT mit Zertifizierung zum COBIT Practitioner

 

IT-Security:

IT-Grundschutz des BSI mit Datenschutz, Cyber Security Fundamentals ISACA, IT-Risikomanagement, ISO/IEC 27001/2, ISO/IEC 22301, Notfallmanagement, Applikationssicherheit, Schwachstel-lenmanagement, IT-Sicherheitsarchitektur

 

IT-Servicemanagement:

Changemanagement in inter-nationalen Unternehmen, ITIL, ITIL Foundation Zertifikat

 

Projektmanagement:

Requirements Management und PMO in internationalen Unternehmen, PM-Schulung mit Abschluss als Zertifizierter Projektorganisator - IPMI Bremen

 

IT Sicherheitsmanagement, IT Compliance, IT Grundschutz

  • IT Sicherheitsmanagement und Risikomanagement gemäß ISO/IEC 27001, 27002, 27005 und IT Grundschutz
  • IT Risikoanalysen, IT Risikobewertungen
  • IT Sicherheitsrichtlinien und Policies
  • IT Sicherheitskonzepte, Notfallhandbücher/BCM, Datenschutzkonzepte
  • Integration des IT-Sicherheitsmanagements mit IT Servicemanagement und IT Architektur
  • Planung, Einführung und Betrieb von Sicherheitslösungen inkl. Dokumentation, Betriebsanweisungen und Changemanagement
  • Nationale und internationale IT Compliance einschließlich Datenschutz, EU-GDPR/DS-GVO und eDiscovery
  • IT Grundschutz: IT Grundschutzkataloge des BSI (praktisch alle Schichten und Bausteine, Standards 100-1 bis 100-4), Technische Richtlinien, Datenschutz, Verinice
  • SANS 20, NIST SP 800-53, NIST SP 800-57, ISO/IEC 27001/2, ISO/IEC 22301
  • Cyber Security / Schwachstellenmangement u.a. mit Qualys, Nessus, StealthAUDIT, McAfee
  • Privileged Accounts; CyberArk
  • Verschlüsselung für Data in Use, Data in Motion und Data at Rest inkl. Datenbanken

 

IT Sicherheitsarchitektur

  • Ermittlung, Planung, Einführung und Betrieb technischer und organisatorischer IT-Sicherheitsmaßnahmen in komplexen IT-Infrastrukturen.
  • Architekturframeworks TOGAF und SABSA.

 

IT Governance

  • Anforderungsanalysen, Anforderungsmanagement
  • COBIT 5 mit Enabling Processes, Assurance, Risk und COBIT 5 for Information Security
  • KPIs/Metriken in IT und IT-Security

 

Audits und Assurance

  • IT-Security- und Risikoaudits mit Bewertungen und Maßnahmenempfehlungen und Priorisierung
  • Auditvorbereitung für Zertifizierungsaudits

 

 

Berufliche Stationen und Branchenerfahrungen

2004 ? laufend:

Freiberuflicher und unabhängiger IT-Berater mit Projekten in den Bereichen IT-Sicherheit, IT-Grundschutz, IT-Compliance, IT-Sicherheitsarchitektur, IT-Sicherheitsmanagement, Anforderungsanalyse, Business Continuity Management, Projektmanagement

 

Branchen:

Automobilbau, Öffentlicher Dienst, Banken, IT-Dienstleister, Lebensversicherung, Bauwirtschaft, Maschinen-bau, Logistik, Transportsysteme

 

1997 ? 2004:

Festanstellung als IT-Berater in einer IT-Unternehmensberatung mit Projekten zur IT-Security, IT-Grundschutz, Datenschutz, eCommerce, Anwendungs-, Netz-werk- und Systemmanagement

 

Branchen:

Unternehmensberatungen, Lebensmittelverarbeitung, Medizintechnik, Krankenkasse, Dienstleistungsrechen-zentrum

 

1985 ? 1997:

Festanstellung als technischer Programmierer und Anwendungs-, System- und Netzwerkmanagement und Administration

 

Branche:

Schiffbau und Maschinenbau

Betriebssysteme
Linux Solaris SUN OS, Solaris Windows Windows Server

iOS, Android, RHEL, HP UX, Windows 2008 R2 Server

Programmiersprachen
Fortran Pascal
Datenbanken
Lotus Notes MS SQL Server Oracle Oracle RDBMS
Secure Configuration, Hardening, Installation, Betrieb
Datenkommunikation
Ethernet FDDI Internet, Intranet ISDN LAN, LAN Manager LU6.2 NetBios PC-Anywhere RFC Router SMTP SNA SNMP TCP/IP Token Ring Windows Netzwerk
WLAN, WEP, WPA
PKI, Zertifikate, Kryptografie
SSL/TLS
mutual Authentication
SSO - Single Sign On
NTLM
Kerberos

 

Vermeidung unsicherer Protokolle wie: SNMPv1, SNMPv2, Telnet, FTP, TFTP, HTTP, LPR/LPD, rlogin, rsh, SMTP, VNC, ICMP, FINGER, BOOTP, NTP, CDP, SSH1, SSH2

 

Design / Entwicklung / Konstruktion

IT Architektur

IT Security Architecture

TOGAF und SABSA Architektur Frameworks

 

Managementerfahrung in Unternehmen
Agile IAM Prozesse JIRA Agile Tenable Waterfall

Ich verfüge über 29 Jahre berufliche Erfahrungen in den nachstehenden Branchen mit

Betriebsgrößen von bis zu mehr als 25.000 Mitarbeitern:

  • Automobilbau (IT-Sicherheitsarchitektur, Sicherheits- und Risikobewertungen, IT-Compliance, IT-Architektur), Secure Configuration, Privilege Management
  • Öffentlicher Dienst (IT-Security, Standards und IT-Grundschutz-Kataloge des BSI, ISO 27001, GSTOOL, Audit)
    • Lebensversicherung (IT-Security, Standards und IT-Grundschutzhandbuch des BSI, Audit)
    • Maschinenbau (Anwendungs-, System- und Netzwerkadministration, IT-Security, Projektmgmt.)
    • Schiffbau (Anwendungs-, System- und Netzwerkadministration, IT-Security, Projektmgmt.)
    • Lebensmittelverarbeitung (Jahr2000-Audit, Notfallkonzept, Migration, Projektmanagement)
    • Krankenkassen (IT-Security, Qualitätssicherung, Netzwerkmanagement, Projektmanagement)
    • Unternehmensberatungen (Datenschutz, IT-Security, IT-Grundschutzhandbuch des BSI, Qualitätssicherung)
    • Dienstleistungsrechenzentren (Dokumentation, Qualitätssicherung)
    • Wohnungswirtschaft (Netzwerkmanagement, Coaching von Administratoren)
    • Medizintechnik (Netzwerkmanagement, Coaching von Administratoren)
Ihr Kontakt zu Gulp

Fragen? Rufen Sie uns an +49 89 500316-300 oder schreiben Sie uns:

Jetzt bei GULP Direkt registrieren und Freelancer kontaktieren