Deutschland: Einsatz uneingeschränkt bundesweit möglich
Als interner IT-Security Berater dokumentiere und auditiere ich die Informationssicherheitskonzepte einer Reihe von Services, die für einen Kunden erbracht werden. Schwerpunkt sind webbasierte Anwendungen, die vorwiegend im Intranet des Kunden betrieben werden. Einige der Anwendungen können von geschlossenen Benutzergruppen auch aus dem Internet genutzt werden.
Die Services basieren auf verschiedener Kauf- und Individualsoftware, die auf Basis virtualisierter Server (Linux, Windows), Applikationsservern, Datenbanken, Webservern und LDAP-Servern (Keycloak) betrieben werden.
Vorgehen gemäß IT-Grundschutz mit (a) Modellierung auf Basis der Architekturdokumentationen, Schutzbedarfsanalysen auf Basis der Klassifikation des Kunden, (b) Audits zur Feststellung der Maßnahmenumsetzung und (c) Risikoanalysen bei erhöhtem Schutzbedarf mit Empfehlung von Maßnahmen. Die Audits erfolgen vorwiegend mit Auswertung vorhandener Dokumentationen und mit Befragung der verantwortlichen Mitarbeiter.
Dokumentation in Deutsch mit der Software Infodas SAVe. Begleitende Dokumentation mit PowerPoint und Word. Arbeitsgrundlagen sind interne Sicherheitsrichtlinien und Handlungsanweisungen, IT-Grundschutzkompendien und organisationseigener und benutzerdefinierter Bausteine.
Als IT-Security Berater prüfe und berate ich in den Bereichen Datensicherung und Disaster Recovery (DR). Prüfung gegen das IT-Grundschutzkompendium - Prozess-Bausteine Datensicherungskonzept und Notfallmanagement. Handlungsempfehlungen auf Basis IT-Grundschutz, BSI-Standard 200-4 und BSI Kriterienkatalog Cloud Computing ? C5:2020. Risikobewertung auf Basis BSI-Standard 200-3. Maßnahmen in DR Governance und DR Management mit Anwendung von COBIT 2019.
Dokumentation in Deutsch, PowerPoint, Word, Teams, IT-Grundschutzkompendium 2021, BSI Kriterienkatalog Cloud Computing ? C5:2020 (Oktober 2020), BSI-Standard 200-4, BSI-Standard 200-3, COBIT 2019Die Durchführung der internen SOx- und Key Control Tests in der 1st Line of Defence (1LoD) für das Identity und Access Management ist hier meine primäre Aufgabe. Die Key Controls sind die konzernweit verbindlich umzusetzenden Security-Controls mit denen die Compliance gemessen wird. Die SOx-Controls sind eine Teilmenge der Key Controls. Die Key Controls umfassen Bereiche wie Operational Resilience, Platform Security, Cyber Resilience, Identity and Access Management, Security Monitoring mit Compliance Monitoring, Foundation Controls mit Configuration Management sowie das Change Management mit nicht-agilen und agilen Methoden. Das Identity and Access Management deckt alle Systeme und Anwendungen ab.
Die hochverfügbare IT Infrastruktur ist auf mehrere Rechenzentren verteilt. Sie besteht aus Linux und Windows Systemen, Oracle und MS SQL-Datenbanken, SAP, JBOSS, Tomcat, Apache und dient als Basis für eine Vielzahl branchenspezifischer Anwendungen.
Dokumentation in Englisch, Kommunikation in Deutsch und Englisch. Projektmanagement mit agilen Methoden und Steuerung in Jira und ServiceNow.
Vorbereitung und Durchführung der internen Key Control Tests (mit SOx) in der 1st Line of Defence (1LoD). Die Key Controls sind eine Sammlung konzernweit verbindlich umzusetzender Security-Controls. Dabei teste ich eigenständig die vollständigen Key Controls. Zu diesen gehören insbesondere Operational Resilience mit Availability, Platform Security mit Server und Endpoint Security, Cyber Resilience, Identity and Access Management, Security Monitoring mit Compliance Monitoring, Foundation Controls mit Configuration Management, Change Management für agiles und nicht-agile Vorgehensweisen. Good Practices vorwiegend aus ITIL, COBIT und NIST CSF.
Selbstentwickelte Software und auch Standardsoftware wird von der IT des Unternehmens weiterentwickelt und betrieben.
Die hochverfügbare IT Infrastruktur ist redundant auf zwei Rechenzentren verteilt. Sie besteht aus Linux und Windows Systemen, Oracle und MS SQL-Datenbanken, Tomcat, Apache, Jenkins, Puppet, MS Office, Skype, CISCO Network, Palo Alto Firewalls, Jira, Confluence und weiteren Anwendungen.
Dokumentation erfolgt in Englisch, Kommunikation erfolgt in Deutsch und English. Projektmanagement mit Nutzung agiler Methoden und Steuerung in Jira.
Projekt- und Prozessmanagement in Architektur und globalem Roll-out einer Key Management Lösung (Vormetric) zur Verschlüsselung von Datenbanken. Dateiverschlüsselung, MS SQL TDE, Oracle TDE, OKV. Requirement-Analysen und -Management für funktionale und nicht-funktionale Anforderungen auf Basis von zugelieferten Business Requirements für die Architektur und Konfiguration der Lösung und auch aller relevanten Governance- (COBIT), Servicemanagement- (ITIL) und Betriebsprozesse. Prüfung, Ergänzung und Neuerstellung von Guides zum Key Management, zur Administration und weitere Dokumentationen für den operativen Betrieb, das Servicemanagement und für DR Tests. Abstimmung mit Stakeholdern im Programm und mit anderen Projekten. Komplexes, heterogenes und internationales Umfeld mit mehreren externen IT Dienstleistern. Changemanagement in internationalen Umfeld. Dokumente ausschließlich in Englisch. Kommunikation im Projekt in Englisch und Deutsch.
Umgebung:
Key Management in Compliance zu NIST SP 800-53p1r3, internen Policies und Procedures. Governance, Management und Operations auf Basis von COBIT und ITIL.
Komplexe, internationale und heterogene IT Umgebung, Windows Server, Linux, Unix, MS SharePoint, MS SQL Server, Oracle TDE, CyberArk, Remote Desktop mit RSA und CITRIX, WebEx, MS Office mit Word, Access, PowerPoint und MS Excel inkl. Pivot
Business Requirement Analysen IT-Security & Cyber Security Services
Bereich Chief Information Security Office (CISO) einer Bank. Spezifikation und Erstellung von KPIs / KCIs und anderer Reports. Projektmanagementaufgaben in Implementierung und Betrieb eines Security Services. Sicherstellung der Compliance zu internen Policies und regulatorischen Anforderungen. Erstellung und Pflege der Projektdokumentationen und Präsentationen. Abstimmung mit Stakeholdern und anderen Projekten im übergeordneten Programm. Komplexes, heterogenes und internationales Umfeld mit mehreren externen IT Dienstleistern. Changemanagement in internationalem Umfeld.
Dokumente ausschließlich in Englisch. Kommunikation im Projekt in Englisch und Deutsch.
Umgebung:
Komplexe, internationale und heterogene IT Umgebung, Windows Server, div. Linux/Unix, Netapp Ontap in 7-Mode und C-Mode, MS SharePoint, MS SQL Server, STEALTHbits StealthAUDIT, CyberArk, Remote Desktop mit RSA und CITRIX, WebEx, aus MS Office primär Word, Access, PowerPoint und MS Excel inkl. Pivot
IT Sicherheitsarchitektur für IT-Systeme, IT-Infrastrukturen und IT Prozesse in einer Umgebung mit Virtual Desktops Services und der Nutzung von Cloud Services.
Anwendung von Rahmenwerken und Standards wie TOGAF, COBIT, ISO 27002, SANS 20, CIS und anderen. U.a. Erstellung einer IT-Sicherheitskonzeption zur Nutzung von Cloud-Services wie Office365 und Google Cloud zur Unterstützung des Auswahlprozesses.
Dokumente ausnahmslos in Englisch. Mündliche und schriftliche Kommuni-kation vorwiegend in Englisch.
Umgebung:
Komplexe, heterogene und internationale IT Umgebung. Virtual Desktops mit Windows Terminal Services, sichere Konfiguration von Betriebssystemen, Webbrowsern und anderen Anwendungen, technische und organisatorische IT-Sicherheitsmaßnahmen für die IT-Infrastrukturen im BackOffice
IT Risikomanagement für IT-Systeme, IT-Infrastrukturen und IT-Prozesse
IT Risikobewertungen auf Basis der Microsoft STRIDE Vorgehensweise.
Erstellung der Dokumente ausschließlich in Englisch.
Umgebung:
Komplexe, heterogene und internationale IT Umgebung. Fokus auf Microsoft BitLocker Verschlüsselung, Virtual Desktop, Schutz vor Schadsoftware und Software Management.
IT-Sicherheitsarchitektur, IT-Sicherheitsmanagement, Feinkonzeption und Steuerung der Umsetzung von IT-Sicherheitsmaßnahmen.
Tätigkeiten in Stichworten:
Projektplanung, Entscheidungsvorlagen, Fein-planungen für IT-Sicherheitsmaßnahmen mit Schwerpunkten in den Berei-chen Serverhärtung UNIX, LINUX und Windows Server und Berechtigungs-management für administrative und technische Accounts (Privileged Ac-counts). Abstimmung auf die IT-Sicherheitsarchitektur und den IT-Betrieb in komplexen internationalen IT-Umgebungen. Erstellung von Schulungs-unterlagen für Administratoren. Erhebung von Anforderungen und Abstim-mung von Sachständen innerhalb von Workshops.
Anwendung interner und internationaler Richtlinien, Standards und Frame-works wie ISO 2700x, IT-Grundschutz, ITIL, COBIT und auch den Empfeh-lungen der Hersteller sowie unabhängiger kompetenter Stellen für die Planung und Etablierung technischer und organisatorischer IT-Sicherheitsmaßnahmen. Präsentationen, Moderationen und Co-Moderationen in Workshops zur Anforderungsanalyse und zur Abstimmung von Ergebnissen in der Konzeption.
Dokumentationen, Präsentationen und Konzepte in Englisch. Mündliche und schriftliche Kommunikation teilweise auf Englisch.
Umgebung:
Komplexe heterogene und internationale IT-Infrastruktur mit verschiedenen UNIX- und LINUX-Produkten und Versionen. Schwachstellenidentifikation auf Servern mit Qualys. Active Directory, Oracle Datenbanken, Kryptografie, CyberArk, SAN, NAS, SSO, LDAP, komplexe Firewalls und Netzwerk-architektur, Virenschutz bei weltweiter Vernetzung der Standorte und In-tegration verschiedener Outsourcing-Partner.
IT-Sicherheitsarchitektur, Sicherheits- und Risikobewertungen, IT-Compliance, IT-Architektur, Basisarchitektur
Erstellung von Risikobewertungen für Mobile Devices (iOS und Android), Web 2.0, Internetportale und andere heterogene IT-Systeme in komplexen Umgebungen. Dabei wurde jeweils die Ermittlung geeigneter Maßnahmen zur Risikobehandlung für die angemessene Gewährleistung von Vertraulichkeit, Integrität, Nachvollziehbarkeit und Verfügbarkeit durchgeführt. Anwendung der IT-Grundschutz-Kataloge für die Schichten 3 IT-Systeme, 4 Netze und 5 Anwendungen. Erstellung von Dokumentationen und Präsentationen zur Darstellung der IT-Systemarchitektur und der darauf wirkenden Risiken, geeigneter Maßnahmen und verbleibender Risiken zur Verwendung in der Entscheidungsfindung.
IT-Sicherheitsarchitektur und IT-Architektur für internationale Projekte mit hochverfügbaren IT-Systemen einschließlich Applikationssicherheit.
IT-Architektur für High-Performance Storage, CAx-Workstations, Logistik Anwendung und Remote Access. Berücksichtigung der hohen Sicherheits-anforderungen in verschiedenen Teilprojekten.
Erstellung von Richtlinienvorschlägen für Migrationen, Standortwahl und Netzprotokollen. Erfassung und Bewertung von Compliance-Anforderungen aus Regularien wie FRCP / eDiscovery an die IT-Architektur im internatio-nalen Umfeld. Anwendung interner und internationaler Richtlinien, Standards und Frameworks wie ISO 2700x, COBIT, TOGAF, IT-Grundschutz, Datenschutz, Datenklassifikation, ITIL und COBIT für Sicherheits- und Or-ganisationskonzepte sowie Risikobewertungen geplanter und bestehender IT-Architekturen.
Konzeptionen, Prüfberichte und Kommunikation teilweise auf Englisch.
Umgebung:
Komplexe heterogene und internationale IT-Infrastruktur mit zOS-, UNIX-, LINUX- und Windows Systemen, Mobile Devices wie iPad, iPhone (iOS) und Android, Web 2.0 Plattform Liferay, SAP, Jira, Oracle, Applikationssicherheit, Kryptografie mit Schlüsselmanagement, High-Performance Storage, NAS, CAx-Workstations, SSO, SAML, LDAP, komplexe Firewalls und mehrstufige Netzwerkzonen, mehrstufiger Virenschutz, zentrale Datensicherung, zentralem Netz- und Systemmanagement, hochverfügbare SAN und Stora-ge, weltweiter Vernetzung der Standorte und mehreren Outsourcing-Partnern. Nationale und internationale Datenschutzgesetzgebung.
Vorbereitung und Begleitung von Audits analog Audits zur Zertifizierung gemäß ISO 27001 auf Basis IT-Grundschutz als Berater, Coach, interner IT-Sicherheitsrevisor
Mehrere IT-gestützte Fachverfahren wurden von mir auf jährliche Audits analog zu Audits gemäß ISO 27001 auf Basis IT-Grundschutz vorbereitet. Zusätzlich wurde von mir auch die interne IT-Sicherheitsrevision durchge-führt. Dokumentation mit GSTOOL. Die Mitarbeiter wurden von mir auf die Audits vorbereitet und während der Audits begleitet.
Anwendung der IT-Grundschutz-Kataloge für alle Schichten. Modellierung des gesamten komplexen IT-Verbundes einschließlich aller für den Betrieb benötigter IT-Systeme und Stellen einschließlich des Datenschutzes. Erstel-lung der Referenzdokumente zur Übergabe an die externen Auditoren. Er-gänzend dazu wurden alle im Audit zusätzlich erforderlichen Dokumente, wie Notfallhandbücher und IT-Sicherheitskonzepte gesammelt und bei Bedarf erstellt, vervollständigt und aktualisiert. Anwendung der BSI-Standards „100-1 Managementsysteme für Informationssicherheit“, „100-2 IT-Grundschutz-Vorgehensweise“, „100-3 Risikoanalyse auf der Basis von IT-Grundschutz“ und „100-4 Notfallmanagement“.
Erstellung und Aktualisierung von IT-Sicherheitsrichtlinien für Server, IT-Nutzung, SAN, interner IT-Sicherheitsrevision und weiterer Bereiche. Die Notfallhandbücher wurden eng mit den jeweiligen Fachbereichen abgestimmt und enthielten alle erforderlichen Informationen einschließlich der organisatorischen und technischen Notfallvorsorgemaßnahmen und Wie-deranlaufverfahren. Die Schnittstellen des IT-Sicherheitsmanagements mit den unterschiedlichen Prozessen im IT-Servicemanagement (ITIL) wurden definiert und mit den Fachbereichen abgestimmt.
Umgebung:
GSTOOL, hochverfügbare und heterogene IT-Infrastruktur an zwei Stand-orten mit UNIX-, Windows 2003 und Windows 2008 R2 Servern, komplexe Firewalls, mehrstufiger Virenschutz, zentrale Datensicherung, zentrales Netz- und Systemmanagement, Verzeichnisverschlüsselung, hochverfügbare WAN, LAN, SAN und Storages, landesweite Vernetzung, Landesdaten-schutzgesetz.
Netz- und Servermanagement, IT-Sicherheit.
Rolle im Projekt:
Projektmanager, Coach für Systemadministratoren.
Tätigkeiten:
Coaching der internen IT-Mitarbeiter; Konzepterstellung; Planung von Erweiterungen im Bereich Netze und Server sowie Projektma-nagement bei der Realisierung; Sicherheitsüberprüfung von Servern und Netzen; Sicherheitsüberprüfungen u.a. mit Microsoft MBSA und Portscan-nern
Umgebung:
Windows NT 4.0 und 2000 Server, MS Exchange Server, MS SQL Server, Windows 2000 Professional, Windows 98, NAI Total Virus Defense, Legato Networker, CISCO Router, Internet, Watchguard Firewall, TCP/IP, DHCP, DNS, WINS; Netz: Ethernet mit 3Com- und Cisco-Komponenten.
Vorbereitung auf ein Audit zum IT-Grundschutz-Zertifikat des BSI.
Durchführung aller vorbereitenden Maßnahmen und Begleitung des Audits. Anwendung der IT-Grundschutz-Kataloge für alle Schichten. Durchführung der Basis-Sicherheitschecks. Erstellung und Zusammenstellung aller erfor-derlichen Informationen, der Referenzdokumente (IT-Strukturanalyse, Schutzbedarfsfeststellung, Modellierung des IT-Verbunds, Ergebnisse des Basis-Sicherheitschecks) und IT-Sicherheitskonzepte. Erstellung der Refe-renzdokumente „Ergänzende Sicherheitsanalyse“ und „Risikoanalyse“ für hohen Schutzbedarf.
Umgebung:
Komplexe heterogene IT-Infrastruktur für über 10000 Endanwender mit branchenüblichen Anwendungen und IT-Servicemanagement gemäß ITIL. IT-Grundschutzhandbuch des BSI
Netzmanagement WAN,
Tätigkeiten:
Konzeptionen, Auftragsvergaben, Umsetzungssteuerung, Qualitätskontrollen, Störungsmanagement, IT-Sicherheitsmanagement. Konzeptionelle und beratende Mitarbeit bei der Planung zur unternehmensweiten Einführung von Windows 2000 Clients und Servern
Umgebung:
WAN mit Frame-Relay, Token-Ring LAN, Cisco Router, Netzmanagement, TCP/IP, DHCP, DNS, Novell- und Windows, NT/2000-Server, Windows 95- und 2000-Clients, SNA
Datenschutz- und IT-Sicherheitskonzept für eine komplexe Anwendung mit sehr hohen Sicherheitsanforderungen als Plattform zur Abwicklung von Vorgängen zwischen öffentlicher Verwaltung und Bürgern. Vollständiges Konzept mit den Teilen Sicherheitsleitlinie, Datenschutzkonzept, IT-Sicherheitskonzept, Betriebskonzept, Schulungskonzept sowie mehrere Anlagen mit über 600 individuellen Einzelmaßnahmen erstellt.
Umgebung:
Signaturgesetz, Internet-Recht, nationale Datenschutz-Gesetzgebung, IT-Grundschutzkataloge des BSI
Spezialist, Projektmanager (Festanstellung)
Erstellung und Umsetzung von Netzkonzepten in heterogener Umgebung. Administration von Netzen unterschiedlichster Größenordnungen an mehre-ren Standorten. Planung, Steuerung und Durchführung von Maßnahmen im Bereich IT-Sicherheit und Datenschutz, Verfügbarkeit, Strategieentwicklung, Projektmanagement, Betreuung und Weiterentwicklung technischer Anwendungsprogramme, Systemintegration, Anwenderschulungen.
Umgebung:
LAN, WAN, Novell, LanManager und weitere Betriebssysteme, IBM AS/400, verschiedene Digital VAX-Systeme, Netzmanagement, E-Mail, SQL-Server (Microsoft, Gupta, Oracle)
Projekte (Auszug)
Zeitraum 07/2017 ? 12/2018(geplantes Ende)
Branche: Finanzierungsdienstleister, München
Projekt: Vorbereitung und Durchführung des internen Key Control Tests (mit SOx-Kontrollen) in der 1st Line of Defence.
Erstellung von Prozessdokumentationen für das Schwachstellenmanagement und für DDoS Tests.
Erstellung von Business Continuity Guides für verschiedene Szenarios.
Das Unternehmen ist durch die Zugehörigkeit zum Konzern (Internationale Bank) dazu verpflichtet Informationssicherheit und Cyber Security auch gemäß internationaler Standards, wie z.B. SOx, zu betreiben.
In der IT des Unternehmens wird selbstentwickelte Software und auch Standardsoftware von ihm selbst betrieben.
Die hochverfügbare IT Infrastruktur ist redundant auf zwei Rechenzentren verteilt. Sie besteht aus Linux und Windows Systemen, Oracle Datenbanken, MS Office, Skype, CISCO Network, Palo Alto Firewalls, Jira, Confluence und weiteren Services.
Dokumentation und Kommunikation erfolgt in Deutsch und English. Projektmanagement mit agilen Methoden in Jira.
Zeitraum 02/2017 ? 06/2018
Branche: Bank, Frankfurt/Eschborn
Projekt: Projekt-, Requirement- und Prozessmanagement zur Einführung einer Verschlüsselungslösung für strukturierte Daten (Datenbanken) und unstrukturierte Daten (Dateien) im Bereich Chief Information Security Office (CISO) einer Bank.
Requirements Management für eine geplante Lösung zum Management von Zertifikaten (X.509) die von verschiedenen CAs (PKI) ausgestellt werden.
Projekt- und Prozessmanagement in Architektur und globalem Roll-out einer Key Management Lösung (Vormetric DSM) zur Verschlüsselung von Datenbanken und Dateien.
Management der funktionalen und nicht-funktionalen Anforderungen auf Basis vorhandener Business Requirements für die Gesamtarchitektur der Lösung. Berücksichtigung ader relevanten Policies zur Security, zur Governance (COBIT) und zu Service und Betrieb (ITIL).
Prüfung, Ergänzung und Neuerstellung von Guides zum Key Management, zum Betrieb, Deployment, Incident Management und weitere Dokumentationen für den operativen Betrieb, das Servicemanagement und für DR Tests.
Komplexes, heterogenes und internationales Umfeld mit mehreren externen IT Dienstleistern. Changemanagement in internationalen Umfeld.
Dokumente ausschließlich in Englisch. Kommunikation im Projekt in Englisch und Deutsch.
Umgebung: Key Management in Compliance zu NIST SP 800-57p1r4, internen Policies und Procedures. Governance, Management und Operations auf Basis von COBIT und ITIL. HSMs von Thales.
Komplexe, internationale und heterogene IT Umgebung, Windows Server, Linux, Unix, MS SharePoint, MS SQL Server, MS SQL TDE, Oracle TDE, OKV, CyberArk, PKI / CA, Geneos, ArcSight, Splunk, Syslog, Remote Desktop mit RSA und CITRIX, WebEx, MS Office mit Word, Access, PowerPoint und MS Excel inkl. Pivot
Zeitraum 09/2014 ? 12/2016
Branche: Bank, Frankfurt/Eschborn
Projekt: Vulnerability Management, Business Requirement Analysen IT-Security & Cyber Security Services
Spezifikation und Erstellung von KPIs / KCIs und anderer Reports. Projektmanagementaufgaben in Implementierung und Betrieb eines Security Services. Sicherstellung der Compliance zu internen Policies und regulatorischen Anforderungen. Erstellung und Pflege der Projektdokumentationen und Präsentationen. Abstimmung mit anderen Projekten im übergeordneten Programm. Komplexes, heterogenes und internationales Umfeld mit mehreren externen IT Dienstleistern. Change- und Deployment-Management in internationalem Umfeld.
Dokumente ausschließlich in Englisch. Kommunikation im Projekt in Englisch und Deutsch.
Umgebung: Komplexe, internationale und heterogene IT Umgebung, Windows Server, div. Linux/Unix, Netapp Ontap in 7-Mode und C-Mode, MS SharePoint, MS SQL Server, STEALTHbits StealthAUDIT, CyberArk, Remote Desktop mit RSA und CITRIX, WebEx, MS Office mit Word, Access, PowerPoint und MS Excel inkl. Pivot
Zeitraum: 01/2014 ? 03/2014
Industrie: Transportation Systems, Berlin
Projekt: IT Sicherheitsarchitektur für IT-Systeme, IT-Infrastrukturen und IT Prozesse in einer Umgebung mit Virtual Desktops Services und der Nutzung von Cloud Services.
Anwendung von Rahmenwerken und Standards wie TOGAF, COBIT, ISO 27002, SANS 20, CIS und anderen. Requirement-Analyse für funktionale und nicht-funktionale Anforderungen als Basis für IT Risikobewertungen. Durchführung vollständiger IT Risikobewertungen mit Indentifikation von Risiken, Risikobewertung, Definition von IT Sicherheitsmaßnahmen und der Bewertung von Restrisiken. Authentisierung on-premise und federated.
Dokumente werden ausnahmslos in englischer Sprache erstellt. Die sprachliche und schriftliche Kommunikation findet nahezu ausnahmslos in englischer Sprache statt.
Environment: Komplexe, heterogene und internationale IT Umgebung. Arbeitsschwerpunkte sind Virtual Desktops, sichere Konfiguration von Betriebssystemen, Webbrowsern und anderen Anwendungen, technische und organisatorische IT-Sicherheitsmaßnahmen für die IT-Infrastrukturen im Backoffice mit Produkten von Citrix und Microsoft sowie die Einbindung und Nutzung von Cloud-Services wie Office 365.
Zeitraum: 12/2013
Industrie: Logistik und Kommunikation, Bonn
Projekt: IT Risikomanagement für IT-Systeme, IT-Infrastrukturen und IT-Prozesse
Erstellung von IT Risikobewertungen auf Basis der Microsoft STRIDE Vorgehensweise. Vollständige IT Risikobewertungen einschließlich Indentifikation von Risiken, Risikobewertung, Definition von IT Sicherheitsmaßnahmen und der Bewertung von Restrisiken.
Alle Dokumente wurden in englischer Sprache erstellt.
Umgebung: Komplexe, heterogene und internationale IT Umgebung. Fokus auf Microsoft BitLocker Verschlüsselung, Virtual Desktop, Schutz vor Schadsoftware und Software Management.
Zeitraum: 03/2013 bis 11/2013 in Vollzeit
Branche: Automobilbau, Deutschland
Projekt: IT-Sicherheitsarchitektur, IT-Sicherheitsmanagement, Feinkonzeption und Steuerung der Umsetzung von IT-Sicherheitsmaßnahmen.
Tätigkeiten in Stichworten: Secure Configuration, Hardening, Vulnerability Management, Management von Administrator-Accounts (privileged Accounts), Maßnahmen zur Reduzierung der Risiken aus Credential Theft.
Projektplanung, Entscheidungsvorlagen, Feinplanungen für IT-Sicherheitsmaßnahmen in Abstimmung auf die IT-Sicherheitsarchitektur und den IT-Betrieb in komplexen internationalen IT-Umgebungen, Steuerung der Umsetzung der IT-Sicherheitsmaßnahmen.
Anwendung interner und internationaler Richtlinien, Standards und Frameworks wie ISO 2700x, IT-Grundschutz, ITIL, COBIT und auch die Empfehlungen der Hersteller sowie unabhängiger kompetenter Stellen für die Planung und Etablierung von technischen und organisatorischen IT-Sicherheitsmaßnahmen.
Dokumentationen, Präsentationen und Konzepte werden von mir fast ausschließlich in englischer Sprache erstellt. Die mündliche und schriftliche Kommunikation erfolgt teilweise in englischer Sprache.
Umgebung: Komplexe heterogene und internationale IT-Infrastruktur mit verschiedenen UNIX- und LINUX-Produkten und Versionen. Windows 2008 R2 Server. Weiterhin: Active Directory, Oracle Datenbanken, Kryptografie, Keymanagement, Passwortmanagement, Cyber-Ark, SAN, NAS, SSO, LDAP, komplexe Firewalls und Netzwerkarchitektur, Virenschutz bei weltweiter Vernetzung der Standorte und Integration verschiedener Outsourcing-Partner.
Zeitraum: 03/2008 bis 9/2008 und ab 10/2009 bis 12/2012 in Vollzeit,
01/2011 bis 04/2011 in Teilzeit (50%)
Branche: Automobilbau, Deutschland
Projekt: IT-Sicherheitsarchitektur, Sicherheits- und Risikobewertungen, IT-Compliance, IT-Architektur, Basisarchitektur
Erstellung von Risikobewertungen für mobile Devices, Web 2.0, Internetportale und andere heterogene IT-Systeme in komplexen Umgebungen. Dabei wurde jeweils die Ermittlung geeigneter Maßnahmen zur Risikobehandlung für die angemessene Gewährleistung von Vertraulichkeit, Integrität, Nachvollziehbarkeit und Verfügbarkeit durchgeführt.
IT-Sicherheitsarchitektur mit Erstellung und Bewertung von Handlungsalternativen sowie der Prüfung von Architekturanträgen.
Sicherheitsarchitektur und IT-Architektur für internationale Projekte mit hochverfügbaren IT-Systemen einschließlich Applikationssicherheit.
IT-Architektur für High-Performance Storage, CAx-Workstations, Logistik Anwendung und Remote Access.
Erstellung von Richtlinienvorschlägen für Migrationen, Standortwahl und Netzprotokollen. Erfassung und Bewertung von Compliance-Anforderungen an die IT-Architektur im internationalen Umfeld mit dem Schwerpunkt USA, FRCP, eDiscovery. Anwendung interner und internationaler Richtlinien, Standards und Frameworks wie ISO 2700x, TOGAF, IT-Grundschutz, ITIL und COBIT für Sicherheits- und Organisationskonzepte sowie Risikobewertungen geplanter und bestehender IT-Architekturen. Bezüglich Verfügbarkeit wurden geeignete und wirksame Notfallvorsorgemaßnahmen ermittelt und vorgegeben. Konzeption und Kommunikation teilweise in englischer Sprache.
Umgebung: Komplexe heterogene und internationale IT-Infrastruktur mit zOS-, UNIX-, LINUX- und Windows Systemen, mobile Devices wie iPad, iPhone (iOS) und Android, Web 2.0 Plattformen, Applikationssicherheit, Kryptografie mit Schlüsselmanagement, High-Performance Storage, NAS, CAx-Workstations, SSO, LDAP, komplexe Firewalls und mehrstufige Netzwerkzonen, mehrstufiger Virenschutz, zentrale Datensicherung, zentralem Netz- und Systemmanagement, hochverfügbare SAN und Storage, weltweiter Vernetzung der Standorte und mehrere Outsourcing-Partner.
Branche: Öffentlicher Dienst , Stuttgart
Projekt: Vorbereitung und Begleitung von Audits analog Audits zur Zertifizierung gemäß ISO 27001 auf Basis IT-Grundschutz.
Rolle im Projekt: Berater, Coach, interner IT-Sicherheitsrevisior
Tätigkeiten: Mehrere IT-gestützte Fachverfahren wurden von mir auf jährliche Audits analog zu Audits gemäß ISO 27001 auf Basis IT-Grundschutz vorbereitet. Dabei wurden von mir auch die interne IT-Sicherheitsrevision durchgeführt. Die Dokumentation erfolgte im GSTOOL des BSI. Die Mitarbeiter der verschiedenen Fachbereiche wurden von mir auf die Audits vorbereitet und während der Audits begleitet.
Erstellung der Referenzdokumente zur Übergabe an die externen Auditoren. Ergänzend dazu wurden alle im Audit zusätzlich erforderlichen Dokumente, wie Notfallhandbücher und IT-Sicherheitskonzepte gesammelt und bei Bedarf erstellt und aktualisiert und abschließend den Referenzdokumenten beigefügt. Anwendung der BSI-Standards ?100-1 Managementsysteme für Informationssicherheit?, ?100-2 IT-Grundschutz-Vorgehensweise?, ?100-3 Risikoanalyse auf der Basis von IT-Grundschutz? und ?100-4 Notfallmanagement?. Weitere Tätigkeiten: Erstellung und Aktualisierung von IT-Sicherheitsrichtlinien für Server, IT-Nutzung, SAN, IT-Sicherheitsrevision und weiterer Bereiche. Die Notfallhandbücher wurden eng mit den jeweiligen fahbereichen abgestimmt und enthielten alle erforderlichen Informationen einschließlich der organisatorischen und technischen Notfallvorsorgemaßnahmen und Wiederanlaufverfahren. Die Schnittstellen des IT-Sicherheitsmanagements mit den unterschiedlichen Servicemanagementprozessen wurden definiert und mit den Fachbereichen abgestimmt.
Umgebung: GSTOOL, Verinice, hochverfügbare und heterogene IT-Infrastruktur an zwei Standorten mit UNIX-, Windows 2003 und Windows 2008 R2 Servern, komplexe Firewalls, mehrstufiger Virenschutz, zentrale Datensicherung, zentrales Netz- und Systemmanagement, Verzeichnisverschlüsselung, hochverfügbare SAN und Storages, landesweite Vernetzung
Zertifizierungen
CISA ? Certified Information Systems Auditor der ISACA
CISM ? Certified Information Security Manager der ISACA
IT-Compliance Manager ? Frankfurt School of Banking and Finance / ISACA
COBIT 5 Foundation ? Zertifikat der ISACA zu COBIT 5
Ausbildung
Abschluss: Dipl.-Ing.(FH)
Schwerpunkt: technische Programmierung
Mögliche Einsatzbereiche sind beispielsweise:
IT-Qualifikationen
IT-Compliance:
IT-Compliance Manager - Frankfurt School of Banking and Finance / ISACA
IT-Sicherheitsmanagement:
Certified Information Security Manager - CISM
IT-Security Audits- und Assurance:
Certified Infor-mation Systems Auditor - CISA
IT-Governance:
COBIT mit Zertifizierung zum COBIT Practitioner
IT-Security:
IT-Grundschutz des BSI mit Datenschutz, Cyber Security Fundamentals ISACA, IT-Risikomanagement, ISO/IEC 27001/2, ISO/IEC 22301, Notfallmanagement, Applikationssicherheit, Schwachstel-lenmanagement, IT-Sicherheitsarchitektur
IT-Servicemanagement:
Changemanagement in inter-nationalen Unternehmen, ITIL, ITIL Foundation Zertifikat
Projektmanagement:
Requirements Management und PMO in internationalen Unternehmen, PM-Schulung mit Abschluss als Zertifizierter Projektorganisator - IPMI Bremen
IT Sicherheitsmanagement, IT Compliance, IT Grundschutz
IT Sicherheitsarchitektur
IT Governance
Audits und Assurance
Berufliche Stationen und Branchenerfahrungen
2004 ? laufend:
Freiberuflicher und unabhängiger IT-Berater mit Projekten in den Bereichen IT-Sicherheit, IT-Grundschutz, IT-Compliance, IT-Sicherheitsarchitektur, IT-Sicherheitsmanagement, Anforderungsanalyse, Business Continuity Management, Projektmanagement
Branchen:
Automobilbau, Öffentlicher Dienst, Banken, IT-Dienstleister, Lebensversicherung, Bauwirtschaft, Maschinen-bau, Logistik, Transportsysteme
1997 ? 2004:
Festanstellung als IT-Berater in einer IT-Unternehmensberatung mit Projekten zur IT-Security, IT-Grundschutz, Datenschutz, eCommerce, Anwendungs-, Netz-werk- und Systemmanagement
Branchen:
Unternehmensberatungen, Lebensmittelverarbeitung, Medizintechnik, Krankenkasse, Dienstleistungsrechen-zentrum
1985 ? 1997:
Festanstellung als technischer Programmierer und Anwendungs-, System- und Netzwerkmanagement und Administration
Branche:
Schiffbau und Maschinenbau
iOS, Android, RHEL, HP UX, Windows 2008 R2 Server
Vermeidung unsicherer Protokolle wie: SNMPv1, SNMPv2, Telnet, FTP, TFTP, HTTP, LPR/LPD, rlogin, rsh, SMTP, VNC, ICMP, FINGER, BOOTP, NTP, CDP, SSH1, SSH2
IT Architektur
IT Security Architecture
TOGAF und SABSA Architektur Frameworks
Ich verfüge über 29 Jahre berufliche Erfahrungen in den nachstehenden Branchen mit
Betriebsgrößen von bis zu mehr als 25.000 Mitarbeitern:
Deutschland: Einsatz uneingeschränkt bundesweit möglich
Als interner IT-Security Berater dokumentiere und auditiere ich die Informationssicherheitskonzepte einer Reihe von Services, die für einen Kunden erbracht werden. Schwerpunkt sind webbasierte Anwendungen, die vorwiegend im Intranet des Kunden betrieben werden. Einige der Anwendungen können von geschlossenen Benutzergruppen auch aus dem Internet genutzt werden.
Die Services basieren auf verschiedener Kauf- und Individualsoftware, die auf Basis virtualisierter Server (Linux, Windows), Applikationsservern, Datenbanken, Webservern und LDAP-Servern (Keycloak) betrieben werden.
Vorgehen gemäß IT-Grundschutz mit (a) Modellierung auf Basis der Architekturdokumentationen, Schutzbedarfsanalysen auf Basis der Klassifikation des Kunden, (b) Audits zur Feststellung der Maßnahmenumsetzung und (c) Risikoanalysen bei erhöhtem Schutzbedarf mit Empfehlung von Maßnahmen. Die Audits erfolgen vorwiegend mit Auswertung vorhandener Dokumentationen und mit Befragung der verantwortlichen Mitarbeiter.
Dokumentation in Deutsch mit der Software Infodas SAVe. Begleitende Dokumentation mit PowerPoint und Word. Arbeitsgrundlagen sind interne Sicherheitsrichtlinien und Handlungsanweisungen, IT-Grundschutzkompendien und organisationseigener und benutzerdefinierter Bausteine.
Als IT-Security Berater prüfe und berate ich in den Bereichen Datensicherung und Disaster Recovery (DR). Prüfung gegen das IT-Grundschutzkompendium - Prozess-Bausteine Datensicherungskonzept und Notfallmanagement. Handlungsempfehlungen auf Basis IT-Grundschutz, BSI-Standard 200-4 und BSI Kriterienkatalog Cloud Computing ? C5:2020. Risikobewertung auf Basis BSI-Standard 200-3. Maßnahmen in DR Governance und DR Management mit Anwendung von COBIT 2019.
Dokumentation in Deutsch, PowerPoint, Word, Teams, IT-Grundschutzkompendium 2021, BSI Kriterienkatalog Cloud Computing ? C5:2020 (Oktober 2020), BSI-Standard 200-4, BSI-Standard 200-3, COBIT 2019Die Durchführung der internen SOx- und Key Control Tests in der 1st Line of Defence (1LoD) für das Identity und Access Management ist hier meine primäre Aufgabe. Die Key Controls sind die konzernweit verbindlich umzusetzenden Security-Controls mit denen die Compliance gemessen wird. Die SOx-Controls sind eine Teilmenge der Key Controls. Die Key Controls umfassen Bereiche wie Operational Resilience, Platform Security, Cyber Resilience, Identity and Access Management, Security Monitoring mit Compliance Monitoring, Foundation Controls mit Configuration Management sowie das Change Management mit nicht-agilen und agilen Methoden. Das Identity and Access Management deckt alle Systeme und Anwendungen ab.
Die hochverfügbare IT Infrastruktur ist auf mehrere Rechenzentren verteilt. Sie besteht aus Linux und Windows Systemen, Oracle und MS SQL-Datenbanken, SAP, JBOSS, Tomcat, Apache und dient als Basis für eine Vielzahl branchenspezifischer Anwendungen.
Dokumentation in Englisch, Kommunikation in Deutsch und Englisch. Projektmanagement mit agilen Methoden und Steuerung in Jira und ServiceNow.
Vorbereitung und Durchführung der internen Key Control Tests (mit SOx) in der 1st Line of Defence (1LoD). Die Key Controls sind eine Sammlung konzernweit verbindlich umzusetzender Security-Controls. Dabei teste ich eigenständig die vollständigen Key Controls. Zu diesen gehören insbesondere Operational Resilience mit Availability, Platform Security mit Server und Endpoint Security, Cyber Resilience, Identity and Access Management, Security Monitoring mit Compliance Monitoring, Foundation Controls mit Configuration Management, Change Management für agiles und nicht-agile Vorgehensweisen. Good Practices vorwiegend aus ITIL, COBIT und NIST CSF.
Selbstentwickelte Software und auch Standardsoftware wird von der IT des Unternehmens weiterentwickelt und betrieben.
Die hochverfügbare IT Infrastruktur ist redundant auf zwei Rechenzentren verteilt. Sie besteht aus Linux und Windows Systemen, Oracle und MS SQL-Datenbanken, Tomcat, Apache, Jenkins, Puppet, MS Office, Skype, CISCO Network, Palo Alto Firewalls, Jira, Confluence und weiteren Anwendungen.
Dokumentation erfolgt in Englisch, Kommunikation erfolgt in Deutsch und English. Projektmanagement mit Nutzung agiler Methoden und Steuerung in Jira.
Projekt- und Prozessmanagement in Architektur und globalem Roll-out einer Key Management Lösung (Vormetric) zur Verschlüsselung von Datenbanken. Dateiverschlüsselung, MS SQL TDE, Oracle TDE, OKV. Requirement-Analysen und -Management für funktionale und nicht-funktionale Anforderungen auf Basis von zugelieferten Business Requirements für die Architektur und Konfiguration der Lösung und auch aller relevanten Governance- (COBIT), Servicemanagement- (ITIL) und Betriebsprozesse. Prüfung, Ergänzung und Neuerstellung von Guides zum Key Management, zur Administration und weitere Dokumentationen für den operativen Betrieb, das Servicemanagement und für DR Tests. Abstimmung mit Stakeholdern im Programm und mit anderen Projekten. Komplexes, heterogenes und internationales Umfeld mit mehreren externen IT Dienstleistern. Changemanagement in internationalen Umfeld. Dokumente ausschließlich in Englisch. Kommunikation im Projekt in Englisch und Deutsch.
Umgebung:
Key Management in Compliance zu NIST SP 800-53p1r3, internen Policies und Procedures. Governance, Management und Operations auf Basis von COBIT und ITIL.
Komplexe, internationale und heterogene IT Umgebung, Windows Server, Linux, Unix, MS SharePoint, MS SQL Server, Oracle TDE, CyberArk, Remote Desktop mit RSA und CITRIX, WebEx, MS Office mit Word, Access, PowerPoint und MS Excel inkl. Pivot
Business Requirement Analysen IT-Security & Cyber Security Services
Bereich Chief Information Security Office (CISO) einer Bank. Spezifikation und Erstellung von KPIs / KCIs und anderer Reports. Projektmanagementaufgaben in Implementierung und Betrieb eines Security Services. Sicherstellung der Compliance zu internen Policies und regulatorischen Anforderungen. Erstellung und Pflege der Projektdokumentationen und Präsentationen. Abstimmung mit Stakeholdern und anderen Projekten im übergeordneten Programm. Komplexes, heterogenes und internationales Umfeld mit mehreren externen IT Dienstleistern. Changemanagement in internationalem Umfeld.
Dokumente ausschließlich in Englisch. Kommunikation im Projekt in Englisch und Deutsch.
Umgebung:
Komplexe, internationale und heterogene IT Umgebung, Windows Server, div. Linux/Unix, Netapp Ontap in 7-Mode und C-Mode, MS SharePoint, MS SQL Server, STEALTHbits StealthAUDIT, CyberArk, Remote Desktop mit RSA und CITRIX, WebEx, aus MS Office primär Word, Access, PowerPoint und MS Excel inkl. Pivot
IT Sicherheitsarchitektur für IT-Systeme, IT-Infrastrukturen und IT Prozesse in einer Umgebung mit Virtual Desktops Services und der Nutzung von Cloud Services.
Anwendung von Rahmenwerken und Standards wie TOGAF, COBIT, ISO 27002, SANS 20, CIS und anderen. U.a. Erstellung einer IT-Sicherheitskonzeption zur Nutzung von Cloud-Services wie Office365 und Google Cloud zur Unterstützung des Auswahlprozesses.
Dokumente ausnahmslos in Englisch. Mündliche und schriftliche Kommuni-kation vorwiegend in Englisch.
Umgebung:
Komplexe, heterogene und internationale IT Umgebung. Virtual Desktops mit Windows Terminal Services, sichere Konfiguration von Betriebssystemen, Webbrowsern und anderen Anwendungen, technische und organisatorische IT-Sicherheitsmaßnahmen für die IT-Infrastrukturen im BackOffice
IT Risikomanagement für IT-Systeme, IT-Infrastrukturen und IT-Prozesse
IT Risikobewertungen auf Basis der Microsoft STRIDE Vorgehensweise.
Erstellung der Dokumente ausschließlich in Englisch.
Umgebung:
Komplexe, heterogene und internationale IT Umgebung. Fokus auf Microsoft BitLocker Verschlüsselung, Virtual Desktop, Schutz vor Schadsoftware und Software Management.
IT-Sicherheitsarchitektur, IT-Sicherheitsmanagement, Feinkonzeption und Steuerung der Umsetzung von IT-Sicherheitsmaßnahmen.
Tätigkeiten in Stichworten:
Projektplanung, Entscheidungsvorlagen, Fein-planungen für IT-Sicherheitsmaßnahmen mit Schwerpunkten in den Berei-chen Serverhärtung UNIX, LINUX und Windows Server und Berechtigungs-management für administrative und technische Accounts (Privileged Ac-counts). Abstimmung auf die IT-Sicherheitsarchitektur und den IT-Betrieb in komplexen internationalen IT-Umgebungen. Erstellung von Schulungs-unterlagen für Administratoren. Erhebung von Anforderungen und Abstim-mung von Sachständen innerhalb von Workshops.
Anwendung interner und internationaler Richtlinien, Standards und Frame-works wie ISO 2700x, IT-Grundschutz, ITIL, COBIT und auch den Empfeh-lungen der Hersteller sowie unabhängiger kompetenter Stellen für die Planung und Etablierung technischer und organisatorischer IT-Sicherheitsmaßnahmen. Präsentationen, Moderationen und Co-Moderationen in Workshops zur Anforderungsanalyse und zur Abstimmung von Ergebnissen in der Konzeption.
Dokumentationen, Präsentationen und Konzepte in Englisch. Mündliche und schriftliche Kommunikation teilweise auf Englisch.
Umgebung:
Komplexe heterogene und internationale IT-Infrastruktur mit verschiedenen UNIX- und LINUX-Produkten und Versionen. Schwachstellenidentifikation auf Servern mit Qualys. Active Directory, Oracle Datenbanken, Kryptografie, CyberArk, SAN, NAS, SSO, LDAP, komplexe Firewalls und Netzwerk-architektur, Virenschutz bei weltweiter Vernetzung der Standorte und In-tegration verschiedener Outsourcing-Partner.
IT-Sicherheitsarchitektur, Sicherheits- und Risikobewertungen, IT-Compliance, IT-Architektur, Basisarchitektur
Erstellung von Risikobewertungen für Mobile Devices (iOS und Android), Web 2.0, Internetportale und andere heterogene IT-Systeme in komplexen Umgebungen. Dabei wurde jeweils die Ermittlung geeigneter Maßnahmen zur Risikobehandlung für die angemessene Gewährleistung von Vertraulichkeit, Integrität, Nachvollziehbarkeit und Verfügbarkeit durchgeführt. Anwendung der IT-Grundschutz-Kataloge für die Schichten 3 IT-Systeme, 4 Netze und 5 Anwendungen. Erstellung von Dokumentationen und Präsentationen zur Darstellung der IT-Systemarchitektur und der darauf wirkenden Risiken, geeigneter Maßnahmen und verbleibender Risiken zur Verwendung in der Entscheidungsfindung.
IT-Sicherheitsarchitektur und IT-Architektur für internationale Projekte mit hochverfügbaren IT-Systemen einschließlich Applikationssicherheit.
IT-Architektur für High-Performance Storage, CAx-Workstations, Logistik Anwendung und Remote Access. Berücksichtigung der hohen Sicherheits-anforderungen in verschiedenen Teilprojekten.
Erstellung von Richtlinienvorschlägen für Migrationen, Standortwahl und Netzprotokollen. Erfassung und Bewertung von Compliance-Anforderungen aus Regularien wie FRCP / eDiscovery an die IT-Architektur im internatio-nalen Umfeld. Anwendung interner und internationaler Richtlinien, Standards und Frameworks wie ISO 2700x, COBIT, TOGAF, IT-Grundschutz, Datenschutz, Datenklassifikation, ITIL und COBIT für Sicherheits- und Or-ganisationskonzepte sowie Risikobewertungen geplanter und bestehender IT-Architekturen.
Konzeptionen, Prüfberichte und Kommunikation teilweise auf Englisch.
Umgebung:
Komplexe heterogene und internationale IT-Infrastruktur mit zOS-, UNIX-, LINUX- und Windows Systemen, Mobile Devices wie iPad, iPhone (iOS) und Android, Web 2.0 Plattform Liferay, SAP, Jira, Oracle, Applikationssicherheit, Kryptografie mit Schlüsselmanagement, High-Performance Storage, NAS, CAx-Workstations, SSO, SAML, LDAP, komplexe Firewalls und mehrstufige Netzwerkzonen, mehrstufiger Virenschutz, zentrale Datensicherung, zentralem Netz- und Systemmanagement, hochverfügbare SAN und Stora-ge, weltweiter Vernetzung der Standorte und mehreren Outsourcing-Partnern. Nationale und internationale Datenschutzgesetzgebung.
Vorbereitung und Begleitung von Audits analog Audits zur Zertifizierung gemäß ISO 27001 auf Basis IT-Grundschutz als Berater, Coach, interner IT-Sicherheitsrevisor
Mehrere IT-gestützte Fachverfahren wurden von mir auf jährliche Audits analog zu Audits gemäß ISO 27001 auf Basis IT-Grundschutz vorbereitet. Zusätzlich wurde von mir auch die interne IT-Sicherheitsrevision durchge-führt. Dokumentation mit GSTOOL. Die Mitarbeiter wurden von mir auf die Audits vorbereitet und während der Audits begleitet.
Anwendung der IT-Grundschutz-Kataloge für alle Schichten. Modellierung des gesamten komplexen IT-Verbundes einschließlich aller für den Betrieb benötigter IT-Systeme und Stellen einschließlich des Datenschutzes. Erstel-lung der Referenzdokumente zur Übergabe an die externen Auditoren. Er-gänzend dazu wurden alle im Audit zusätzlich erforderlichen Dokumente, wie Notfallhandbücher und IT-Sicherheitskonzepte gesammelt und bei Bedarf erstellt, vervollständigt und aktualisiert. Anwendung der BSI-Standards „100-1 Managementsysteme für Informationssicherheit“, „100-2 IT-Grundschutz-Vorgehensweise“, „100-3 Risikoanalyse auf der Basis von IT-Grundschutz“ und „100-4 Notfallmanagement“.
Erstellung und Aktualisierung von IT-Sicherheitsrichtlinien für Server, IT-Nutzung, SAN, interner IT-Sicherheitsrevision und weiterer Bereiche. Die Notfallhandbücher wurden eng mit den jeweiligen Fachbereichen abgestimmt und enthielten alle erforderlichen Informationen einschließlich der organisatorischen und technischen Notfallvorsorgemaßnahmen und Wie-deranlaufverfahren. Die Schnittstellen des IT-Sicherheitsmanagements mit den unterschiedlichen Prozessen im IT-Servicemanagement (ITIL) wurden definiert und mit den Fachbereichen abgestimmt.
Umgebung:
GSTOOL, hochverfügbare und heterogene IT-Infrastruktur an zwei Stand-orten mit UNIX-, Windows 2003 und Windows 2008 R2 Servern, komplexe Firewalls, mehrstufiger Virenschutz, zentrale Datensicherung, zentrales Netz- und Systemmanagement, Verzeichnisverschlüsselung, hochverfügbare WAN, LAN, SAN und Storages, landesweite Vernetzung, Landesdaten-schutzgesetz.
Netz- und Servermanagement, IT-Sicherheit.
Rolle im Projekt:
Projektmanager, Coach für Systemadministratoren.
Tätigkeiten:
Coaching der internen IT-Mitarbeiter; Konzepterstellung; Planung von Erweiterungen im Bereich Netze und Server sowie Projektma-nagement bei der Realisierung; Sicherheitsüberprüfung von Servern und Netzen; Sicherheitsüberprüfungen u.a. mit Microsoft MBSA und Portscan-nern
Umgebung:
Windows NT 4.0 und 2000 Server, MS Exchange Server, MS SQL Server, Windows 2000 Professional, Windows 98, NAI Total Virus Defense, Legato Networker, CISCO Router, Internet, Watchguard Firewall, TCP/IP, DHCP, DNS, WINS; Netz: Ethernet mit 3Com- und Cisco-Komponenten.
Vorbereitung auf ein Audit zum IT-Grundschutz-Zertifikat des BSI.
Durchführung aller vorbereitenden Maßnahmen und Begleitung des Audits. Anwendung der IT-Grundschutz-Kataloge für alle Schichten. Durchführung der Basis-Sicherheitschecks. Erstellung und Zusammenstellung aller erfor-derlichen Informationen, der Referenzdokumente (IT-Strukturanalyse, Schutzbedarfsfeststellung, Modellierung des IT-Verbunds, Ergebnisse des Basis-Sicherheitschecks) und IT-Sicherheitskonzepte. Erstellung der Refe-renzdokumente „Ergänzende Sicherheitsanalyse“ und „Risikoanalyse“ für hohen Schutzbedarf.
Umgebung:
Komplexe heterogene IT-Infrastruktur für über 10000 Endanwender mit branchenüblichen Anwendungen und IT-Servicemanagement gemäß ITIL. IT-Grundschutzhandbuch des BSI
Netzmanagement WAN,
Tätigkeiten:
Konzeptionen, Auftragsvergaben, Umsetzungssteuerung, Qualitätskontrollen, Störungsmanagement, IT-Sicherheitsmanagement. Konzeptionelle und beratende Mitarbeit bei der Planung zur unternehmensweiten Einführung von Windows 2000 Clients und Servern
Umgebung:
WAN mit Frame-Relay, Token-Ring LAN, Cisco Router, Netzmanagement, TCP/IP, DHCP, DNS, Novell- und Windows, NT/2000-Server, Windows 95- und 2000-Clients, SNA
Datenschutz- und IT-Sicherheitskonzept für eine komplexe Anwendung mit sehr hohen Sicherheitsanforderungen als Plattform zur Abwicklung von Vorgängen zwischen öffentlicher Verwaltung und Bürgern. Vollständiges Konzept mit den Teilen Sicherheitsleitlinie, Datenschutzkonzept, IT-Sicherheitskonzept, Betriebskonzept, Schulungskonzept sowie mehrere Anlagen mit über 600 individuellen Einzelmaßnahmen erstellt.
Umgebung:
Signaturgesetz, Internet-Recht, nationale Datenschutz-Gesetzgebung, IT-Grundschutzkataloge des BSI
Spezialist, Projektmanager (Festanstellung)
Erstellung und Umsetzung von Netzkonzepten in heterogener Umgebung. Administration von Netzen unterschiedlichster Größenordnungen an mehre-ren Standorten. Planung, Steuerung und Durchführung von Maßnahmen im Bereich IT-Sicherheit und Datenschutz, Verfügbarkeit, Strategieentwicklung, Projektmanagement, Betreuung und Weiterentwicklung technischer Anwendungsprogramme, Systemintegration, Anwenderschulungen.
Umgebung:
LAN, WAN, Novell, LanManager und weitere Betriebssysteme, IBM AS/400, verschiedene Digital VAX-Systeme, Netzmanagement, E-Mail, SQL-Server (Microsoft, Gupta, Oracle)
Projekte (Auszug)
Zeitraum 07/2017 ? 12/2018(geplantes Ende)
Branche: Finanzierungsdienstleister, München
Projekt: Vorbereitung und Durchführung des internen Key Control Tests (mit SOx-Kontrollen) in der 1st Line of Defence.
Erstellung von Prozessdokumentationen für das Schwachstellenmanagement und für DDoS Tests.
Erstellung von Business Continuity Guides für verschiedene Szenarios.
Das Unternehmen ist durch die Zugehörigkeit zum Konzern (Internationale Bank) dazu verpflichtet Informationssicherheit und Cyber Security auch gemäß internationaler Standards, wie z.B. SOx, zu betreiben.
In der IT des Unternehmens wird selbstentwickelte Software und auch Standardsoftware von ihm selbst betrieben.
Die hochverfügbare IT Infrastruktur ist redundant auf zwei Rechenzentren verteilt. Sie besteht aus Linux und Windows Systemen, Oracle Datenbanken, MS Office, Skype, CISCO Network, Palo Alto Firewalls, Jira, Confluence und weiteren Services.
Dokumentation und Kommunikation erfolgt in Deutsch und English. Projektmanagement mit agilen Methoden in Jira.
Zeitraum 02/2017 ? 06/2018
Branche: Bank, Frankfurt/Eschborn
Projekt: Projekt-, Requirement- und Prozessmanagement zur Einführung einer Verschlüsselungslösung für strukturierte Daten (Datenbanken) und unstrukturierte Daten (Dateien) im Bereich Chief Information Security Office (CISO) einer Bank.
Requirements Management für eine geplante Lösung zum Management von Zertifikaten (X.509) die von verschiedenen CAs (PKI) ausgestellt werden.
Projekt- und Prozessmanagement in Architektur und globalem Roll-out einer Key Management Lösung (Vormetric DSM) zur Verschlüsselung von Datenbanken und Dateien.
Management der funktionalen und nicht-funktionalen Anforderungen auf Basis vorhandener Business Requirements für die Gesamtarchitektur der Lösung. Berücksichtigung ader relevanten Policies zur Security, zur Governance (COBIT) und zu Service und Betrieb (ITIL).
Prüfung, Ergänzung und Neuerstellung von Guides zum Key Management, zum Betrieb, Deployment, Incident Management und weitere Dokumentationen für den operativen Betrieb, das Servicemanagement und für DR Tests.
Komplexes, heterogenes und internationales Umfeld mit mehreren externen IT Dienstleistern. Changemanagement in internationalen Umfeld.
Dokumente ausschließlich in Englisch. Kommunikation im Projekt in Englisch und Deutsch.
Umgebung: Key Management in Compliance zu NIST SP 800-57p1r4, internen Policies und Procedures. Governance, Management und Operations auf Basis von COBIT und ITIL. HSMs von Thales.
Komplexe, internationale und heterogene IT Umgebung, Windows Server, Linux, Unix, MS SharePoint, MS SQL Server, MS SQL TDE, Oracle TDE, OKV, CyberArk, PKI / CA, Geneos, ArcSight, Splunk, Syslog, Remote Desktop mit RSA und CITRIX, WebEx, MS Office mit Word, Access, PowerPoint und MS Excel inkl. Pivot
Zeitraum 09/2014 ? 12/2016
Branche: Bank, Frankfurt/Eschborn
Projekt: Vulnerability Management, Business Requirement Analysen IT-Security & Cyber Security Services
Spezifikation und Erstellung von KPIs / KCIs und anderer Reports. Projektmanagementaufgaben in Implementierung und Betrieb eines Security Services. Sicherstellung der Compliance zu internen Policies und regulatorischen Anforderungen. Erstellung und Pflege der Projektdokumentationen und Präsentationen. Abstimmung mit anderen Projekten im übergeordneten Programm. Komplexes, heterogenes und internationales Umfeld mit mehreren externen IT Dienstleistern. Change- und Deployment-Management in internationalem Umfeld.
Dokumente ausschließlich in Englisch. Kommunikation im Projekt in Englisch und Deutsch.
Umgebung: Komplexe, internationale und heterogene IT Umgebung, Windows Server, div. Linux/Unix, Netapp Ontap in 7-Mode und C-Mode, MS SharePoint, MS SQL Server, STEALTHbits StealthAUDIT, CyberArk, Remote Desktop mit RSA und CITRIX, WebEx, MS Office mit Word, Access, PowerPoint und MS Excel inkl. Pivot
Zeitraum: 01/2014 ? 03/2014
Industrie: Transportation Systems, Berlin
Projekt: IT Sicherheitsarchitektur für IT-Systeme, IT-Infrastrukturen und IT Prozesse in einer Umgebung mit Virtual Desktops Services und der Nutzung von Cloud Services.
Anwendung von Rahmenwerken und Standards wie TOGAF, COBIT, ISO 27002, SANS 20, CIS und anderen. Requirement-Analyse für funktionale und nicht-funktionale Anforderungen als Basis für IT Risikobewertungen. Durchführung vollständiger IT Risikobewertungen mit Indentifikation von Risiken, Risikobewertung, Definition von IT Sicherheitsmaßnahmen und der Bewertung von Restrisiken. Authentisierung on-premise und federated.
Dokumente werden ausnahmslos in englischer Sprache erstellt. Die sprachliche und schriftliche Kommunikation findet nahezu ausnahmslos in englischer Sprache statt.
Environment: Komplexe, heterogene und internationale IT Umgebung. Arbeitsschwerpunkte sind Virtual Desktops, sichere Konfiguration von Betriebssystemen, Webbrowsern und anderen Anwendungen, technische und organisatorische IT-Sicherheitsmaßnahmen für die IT-Infrastrukturen im Backoffice mit Produkten von Citrix und Microsoft sowie die Einbindung und Nutzung von Cloud-Services wie Office 365.
Zeitraum: 12/2013
Industrie: Logistik und Kommunikation, Bonn
Projekt: IT Risikomanagement für IT-Systeme, IT-Infrastrukturen und IT-Prozesse
Erstellung von IT Risikobewertungen auf Basis der Microsoft STRIDE Vorgehensweise. Vollständige IT Risikobewertungen einschließlich Indentifikation von Risiken, Risikobewertung, Definition von IT Sicherheitsmaßnahmen und der Bewertung von Restrisiken.
Alle Dokumente wurden in englischer Sprache erstellt.
Umgebung: Komplexe, heterogene und internationale IT Umgebung. Fokus auf Microsoft BitLocker Verschlüsselung, Virtual Desktop, Schutz vor Schadsoftware und Software Management.
Zeitraum: 03/2013 bis 11/2013 in Vollzeit
Branche: Automobilbau, Deutschland
Projekt: IT-Sicherheitsarchitektur, IT-Sicherheitsmanagement, Feinkonzeption und Steuerung der Umsetzung von IT-Sicherheitsmaßnahmen.
Tätigkeiten in Stichworten: Secure Configuration, Hardening, Vulnerability Management, Management von Administrator-Accounts (privileged Accounts), Maßnahmen zur Reduzierung der Risiken aus Credential Theft.
Projektplanung, Entscheidungsvorlagen, Feinplanungen für IT-Sicherheitsmaßnahmen in Abstimmung auf die IT-Sicherheitsarchitektur und den IT-Betrieb in komplexen internationalen IT-Umgebungen, Steuerung der Umsetzung der IT-Sicherheitsmaßnahmen.
Anwendung interner und internationaler Richtlinien, Standards und Frameworks wie ISO 2700x, IT-Grundschutz, ITIL, COBIT und auch die Empfehlungen der Hersteller sowie unabhängiger kompetenter Stellen für die Planung und Etablierung von technischen und organisatorischen IT-Sicherheitsmaßnahmen.
Dokumentationen, Präsentationen und Konzepte werden von mir fast ausschließlich in englischer Sprache erstellt. Die mündliche und schriftliche Kommunikation erfolgt teilweise in englischer Sprache.
Umgebung: Komplexe heterogene und internationale IT-Infrastruktur mit verschiedenen UNIX- und LINUX-Produkten und Versionen. Windows 2008 R2 Server. Weiterhin: Active Directory, Oracle Datenbanken, Kryptografie, Keymanagement, Passwortmanagement, Cyber-Ark, SAN, NAS, SSO, LDAP, komplexe Firewalls und Netzwerkarchitektur, Virenschutz bei weltweiter Vernetzung der Standorte und Integration verschiedener Outsourcing-Partner.
Zeitraum: 03/2008 bis 9/2008 und ab 10/2009 bis 12/2012 in Vollzeit,
01/2011 bis 04/2011 in Teilzeit (50%)
Branche: Automobilbau, Deutschland
Projekt: IT-Sicherheitsarchitektur, Sicherheits- und Risikobewertungen, IT-Compliance, IT-Architektur, Basisarchitektur
Erstellung von Risikobewertungen für mobile Devices, Web 2.0, Internetportale und andere heterogene IT-Systeme in komplexen Umgebungen. Dabei wurde jeweils die Ermittlung geeigneter Maßnahmen zur Risikobehandlung für die angemessene Gewährleistung von Vertraulichkeit, Integrität, Nachvollziehbarkeit und Verfügbarkeit durchgeführt.
IT-Sicherheitsarchitektur mit Erstellung und Bewertung von Handlungsalternativen sowie der Prüfung von Architekturanträgen.
Sicherheitsarchitektur und IT-Architektur für internationale Projekte mit hochverfügbaren IT-Systemen einschließlich Applikationssicherheit.
IT-Architektur für High-Performance Storage, CAx-Workstations, Logistik Anwendung und Remote Access.
Erstellung von Richtlinienvorschlägen für Migrationen, Standortwahl und Netzprotokollen. Erfassung und Bewertung von Compliance-Anforderungen an die IT-Architektur im internationalen Umfeld mit dem Schwerpunkt USA, FRCP, eDiscovery. Anwendung interner und internationaler Richtlinien, Standards und Frameworks wie ISO 2700x, TOGAF, IT-Grundschutz, ITIL und COBIT für Sicherheits- und Organisationskonzepte sowie Risikobewertungen geplanter und bestehender IT-Architekturen. Bezüglich Verfügbarkeit wurden geeignete und wirksame Notfallvorsorgemaßnahmen ermittelt und vorgegeben. Konzeption und Kommunikation teilweise in englischer Sprache.
Umgebung: Komplexe heterogene und internationale IT-Infrastruktur mit zOS-, UNIX-, LINUX- und Windows Systemen, mobile Devices wie iPad, iPhone (iOS) und Android, Web 2.0 Plattformen, Applikationssicherheit, Kryptografie mit Schlüsselmanagement, High-Performance Storage, NAS, CAx-Workstations, SSO, LDAP, komplexe Firewalls und mehrstufige Netzwerkzonen, mehrstufiger Virenschutz, zentrale Datensicherung, zentralem Netz- und Systemmanagement, hochverfügbare SAN und Storage, weltweiter Vernetzung der Standorte und mehrere Outsourcing-Partner.
Branche: Öffentlicher Dienst , Stuttgart
Projekt: Vorbereitung und Begleitung von Audits analog Audits zur Zertifizierung gemäß ISO 27001 auf Basis IT-Grundschutz.
Rolle im Projekt: Berater, Coach, interner IT-Sicherheitsrevisior
Tätigkeiten: Mehrere IT-gestützte Fachverfahren wurden von mir auf jährliche Audits analog zu Audits gemäß ISO 27001 auf Basis IT-Grundschutz vorbereitet. Dabei wurden von mir auch die interne IT-Sicherheitsrevision durchgeführt. Die Dokumentation erfolgte im GSTOOL des BSI. Die Mitarbeiter der verschiedenen Fachbereiche wurden von mir auf die Audits vorbereitet und während der Audits begleitet.
Erstellung der Referenzdokumente zur Übergabe an die externen Auditoren. Ergänzend dazu wurden alle im Audit zusätzlich erforderlichen Dokumente, wie Notfallhandbücher und IT-Sicherheitskonzepte gesammelt und bei Bedarf erstellt und aktualisiert und abschließend den Referenzdokumenten beigefügt. Anwendung der BSI-Standards ?100-1 Managementsysteme für Informationssicherheit?, ?100-2 IT-Grundschutz-Vorgehensweise?, ?100-3 Risikoanalyse auf der Basis von IT-Grundschutz? und ?100-4 Notfallmanagement?. Weitere Tätigkeiten: Erstellung und Aktualisierung von IT-Sicherheitsrichtlinien für Server, IT-Nutzung, SAN, IT-Sicherheitsrevision und weiterer Bereiche. Die Notfallhandbücher wurden eng mit den jeweiligen fahbereichen abgestimmt und enthielten alle erforderlichen Informationen einschließlich der organisatorischen und technischen Notfallvorsorgemaßnahmen und Wiederanlaufverfahren. Die Schnittstellen des IT-Sicherheitsmanagements mit den unterschiedlichen Servicemanagementprozessen wurden definiert und mit den Fachbereichen abgestimmt.
Umgebung: GSTOOL, Verinice, hochverfügbare und heterogene IT-Infrastruktur an zwei Standorten mit UNIX-, Windows 2003 und Windows 2008 R2 Servern, komplexe Firewalls, mehrstufiger Virenschutz, zentrale Datensicherung, zentrales Netz- und Systemmanagement, Verzeichnisverschlüsselung, hochverfügbare SAN und Storages, landesweite Vernetzung
Zertifizierungen
CISA ? Certified Information Systems Auditor der ISACA
CISM ? Certified Information Security Manager der ISACA
IT-Compliance Manager ? Frankfurt School of Banking and Finance / ISACA
COBIT 5 Foundation ? Zertifikat der ISACA zu COBIT 5
Ausbildung
Abschluss: Dipl.-Ing.(FH)
Schwerpunkt: technische Programmierung
Mögliche Einsatzbereiche sind beispielsweise:
IT-Qualifikationen
IT-Compliance:
IT-Compliance Manager - Frankfurt School of Banking and Finance / ISACA
IT-Sicherheitsmanagement:
Certified Information Security Manager - CISM
IT-Security Audits- und Assurance:
Certified Infor-mation Systems Auditor - CISA
IT-Governance:
COBIT mit Zertifizierung zum COBIT Practitioner
IT-Security:
IT-Grundschutz des BSI mit Datenschutz, Cyber Security Fundamentals ISACA, IT-Risikomanagement, ISO/IEC 27001/2, ISO/IEC 22301, Notfallmanagement, Applikationssicherheit, Schwachstel-lenmanagement, IT-Sicherheitsarchitektur
IT-Servicemanagement:
Changemanagement in inter-nationalen Unternehmen, ITIL, ITIL Foundation Zertifikat
Projektmanagement:
Requirements Management und PMO in internationalen Unternehmen, PM-Schulung mit Abschluss als Zertifizierter Projektorganisator - IPMI Bremen
IT Sicherheitsmanagement, IT Compliance, IT Grundschutz
IT Sicherheitsarchitektur
IT Governance
Audits und Assurance
Berufliche Stationen und Branchenerfahrungen
2004 ? laufend:
Freiberuflicher und unabhängiger IT-Berater mit Projekten in den Bereichen IT-Sicherheit, IT-Grundschutz, IT-Compliance, IT-Sicherheitsarchitektur, IT-Sicherheitsmanagement, Anforderungsanalyse, Business Continuity Management, Projektmanagement
Branchen:
Automobilbau, Öffentlicher Dienst, Banken, IT-Dienstleister, Lebensversicherung, Bauwirtschaft, Maschinen-bau, Logistik, Transportsysteme
1997 ? 2004:
Festanstellung als IT-Berater in einer IT-Unternehmensberatung mit Projekten zur IT-Security, IT-Grundschutz, Datenschutz, eCommerce, Anwendungs-, Netz-werk- und Systemmanagement
Branchen:
Unternehmensberatungen, Lebensmittelverarbeitung, Medizintechnik, Krankenkasse, Dienstleistungsrechen-zentrum
1985 ? 1997:
Festanstellung als technischer Programmierer und Anwendungs-, System- und Netzwerkmanagement und Administration
Branche:
Schiffbau und Maschinenbau
iOS, Android, RHEL, HP UX, Windows 2008 R2 Server
Vermeidung unsicherer Protokolle wie: SNMPv1, SNMPv2, Telnet, FTP, TFTP, HTTP, LPR/LPD, rlogin, rsh, SMTP, VNC, ICMP, FINGER, BOOTP, NTP, CDP, SSH1, SSH2
IT Architektur
IT Security Architecture
TOGAF und SABSA Architektur Frameworks
Ich verfüge über 29 Jahre berufliche Erfahrungen in den nachstehenden Branchen mit
Betriebsgrößen von bis zu mehr als 25.000 Mitarbeitern:
Direktester geht's nicht! Ganz einfach Freelancer finden und direkt Kontakt aufnehmen.