Als interner IT-Security Berater dokumentiere und auditiere ich die Informationssicherheitskonzepte einer Reihe von Services, die für einen Kunden erbracht werden. Schwerpunkt sind webbasierte Anwendungen, die vorwiegend im Intranet des Kunden betrieben werden. Einige der Anwendungen können von geschlossenen Benutzergruppen auch aus dem Internet genutzt werden.

Die Services basieren auf verschiedener Kauf- und Individualsoftware, die auf Basis virtualisierter Server (Linux, Windows), Applikationsservern, Datenbanken, Webservern und LDAP-Servern (Keycloak) betrieben werden.

Vorgehen gemäß IT-Grundschutz mit (a) Modellierung auf Basis der Architekturdokumentationen, Schutzbedarfsanalysen auf Basis der Klassifikation des Kunden, (b) Audits zur Feststellung der Maßnahmenumsetzung und (c) Risikoanalysen bei erhöhtem Schutzbedarf mit Empfehlung von Maßnahmen. Die Audits erfolgen vorwiegend mit Auswertung vorhandener Dokumentationen und mit Befragung der verantwortlichen Mitarbeiter.

Dokumentation in Deutsch mit der Software Infodas SAVe. Begleitende Dokumentation mit PowerPoint und Word. Arbeitsgrundlagen sind interne Sicherheitsrichtlinien und Handlungsanweisungen, IT-Grundschutzkompendien und organisationseigener und benutzerdefinierter Bausteine.

Als IT-Security Berater prüfe und berate ich in den Bereichen Datensicherung und Disaster Recovery (DR). Prüfung gegen das IT-Grundschutzkompendium - Prozess-Bausteine Datensicherungskonzept und Notfallmanagement. Handlungsempfehlungen auf Basis IT-Grundschutz, BSI-Standard 200-4 und BSI Kriterienkatalog Cloud Computing ? C5:2020. Risikobewertung auf Basis BSI-Standard 200-3. Maßnahmen in DR Governance und DR Management mit Anwendung von COBIT 2019.

Die Durchführung der internen SOx- und Key Control Tests in der 1st Line of Defence (1LoD) für das Identity und Access Management ist hier meine primäre Aufgabe. Die Key Controls sind die konzernweit verbindlich umzusetzenden Security-Controls mit denen die Compliance gemessen wird. Die SOx-Controls sind eine Teilmenge der Key Controls. Die Key Controls umfassen Bereiche wie Operational Resilience, Platform Security, Cyber Resilience, Identity and Access Management, Security Monitoring mit Compliance Monitoring, Foundation Controls mit Configuration Management sowie das Change Management mit nicht-agilen und agilen Methoden. Das Identity and Access Management deckt alle Systeme und Anwendungen ab.

Die hochverfügbare IT Infrastruktur ist auf mehrere Rechenzentren verteilt. Sie besteht aus Linux und Windows Systemen, Oracle und MS SQL-Datenbanken, SAP, JBOSS, Tomcat, Apache und dient als Basis für eine Vielzahl branchenspezifischer Anwendungen.

Dokumentation in Englisch, Kommunikation in Deutsch und Englisch. Projektmanagement mit agilen Methoden und Steuerung in Jira und ServiceNow.

Vorbereitung und Durchführung der internen Key Control Tests (mit SOx) in der 1st Line of Defence (1LoD). Die Key Controls sind eine Sammlung konzernweit verbindlich umzusetzender Security-Controls. Dabei teste ich eigenständig die vollständigen Key Controls. Zu diesen gehören insbesondere Operational Resilience mit Availability, Platform Security mit Server und Endpoint Security, Cyber Resilience, Identity and Access Management, Security Monitoring mit Compliance Monitoring, Foundation Controls mit Configuration Management, Change Management für agiles und nicht-agile Vorgehensweisen. Good Practices vorwiegend aus ITIL, COBIT und NIST CSF.

Selbstentwickelte Software und auch Standardsoftware wird von der IT des Unternehmens weiterentwickelt und betrieben.

Die hochverfügbare IT Infrastruktur ist redundant auf zwei Rechenzentren verteilt. Sie besteht aus Linux und Windows Systemen, Oracle und MS SQL-Datenbanken, Tomcat, Apache, Jenkins, Puppet, MS Office, Skype, CISCO Network, Palo Alto Firewalls, Jira, Confluence und weiteren Anwendungen.

Dokumentation erfolgt in Englisch, Kommunikation erfolgt in Deutsch und English. Projektmanagement mit Nutzung agiler Methoden und Steuerung in Jira.

Projekt- und Prozessmanagement in Architektur und globalem Roll-out einer Key Management Lösung (Vormetric) zur Verschlüsselung von Datenbanken. Dateiverschlüsselung, MS SQL TDE, Oracle TDE, OKV. Requirement-Analysen und -Management für funktionale und nicht-funktionale Anforderungen auf Basis von zugelieferten Business Requirements für die Architektur und Konfiguration der Lösung und auch aller relevanten Governance- (COBIT), Servicemanagement- (ITIL) und Betriebsprozesse. Prüfung, Ergänzung und Neuerstellung von Guides zum Key Management, zur Administration und weitere Dokumentationen für den operativen Betrieb, das Servicemanagement und für DR Tests. Abstimmung mit Stakeholdern im Programm und mit anderen Projekten. Komplexes, heterogenes und internationales Umfeld mit mehreren externen IT Dienstleistern. Changemanagement in internationalen Umfeld. Dokumente ausschließlich in Englisch. Kommunikation im Projekt in Englisch und Deutsch.

Umgebung:

Key Management in Compliance zu NIST SP 800-53p1r3, internen Policies und Procedures. Governance, Management und Operations auf Basis von COBIT und ITIL.

Komplexe, internationale und heterogene IT Umgebung, Windows Server, Linux, Unix, MS SharePoint, MS SQL Server, Oracle TDE, CyberArk, Remote Desktop mit RSA und CITRIX, WebEx, MS Office mit Word, Access, PowerPoint und MS Excel inkl. Pivot

Business Requirement Analysen IT-Security & Cyber Security Services

Bereich Chief Information Security Office (CISO) einer Bank. Spezifikation und Erstellung von KPIs / KCIs und anderer Reports. Projektmanagementaufgaben in Implementierung und Betrieb eines Security Services. Sicherstellung der Compliance zu internen Policies und regulatorischen Anforderungen. Erstellung und Pflege der Projektdokumentationen und Präsentationen. Abstimmung mit Stakeholdern und anderen Projekten im übergeordneten Programm. Komplexes, heterogenes und internationales Umfeld mit mehreren externen IT Dienstleistern. Changemanagement in internationalem Umfeld.

Dokumente ausschließlich in Englisch. Kommunikation im Projekt in Englisch und Deutsch.

Umgebung:

Komplexe, internationale und heterogene IT Umgebung, Windows Server, div. Linux/Unix, Netapp Ontap in 7-Mode und C-Mode, MS SharePoint, MS SQL Server, STEALTHbits StealthAUDIT, CyberArk, Remote Desktop mit RSA und CITRIX, WebEx, aus MS Office primär Word, Access, PowerPoint und MS Excel inkl. Pivot

IT Sicherheitsarchitektur für IT-Systeme, IT-Infrastrukturen und IT Prozesse in einer Umgebung mit Virtual Desktops Services und der Nutzung von Cloud Services.

Anwendung von Rahmenwerken und Standards wie TOGAF, COBIT, ISO 27002, SANS 20, CIS und anderen. U.a. Erstellung einer IT-Sicherheitskonzeption zur Nutzung von Cloud-Services wie Office365 und Google Cloud zur Unterstützung des Auswahlprozesses.

Dokumente ausnahmslos in Englisch. Mündliche und schriftliche Kommuni-kation vorwiegend in Englisch.

Umgebung:

Komplexe, heterogene und internationale IT Umgebung. Virtual Desktops mit Windows Terminal Services, sichere Konfiguration von Betriebssystemen, Webbrowsern und anderen Anwendungen, technische und organisatorische IT-Sicherheitsmaßnahmen für die IT-Infrastrukturen im BackOffice

IT Risikomanagement für IT-Systeme, IT-Infrastrukturen und IT-Prozesse

IT Risikobewertungen auf Basis der Microsoft STRIDE Vorgehensweise.

Erstellung der Dokumente ausschließlich in Englisch.

Umgebung:

Komplexe, heterogene und internationale IT Umgebung. Fokus auf Microsoft BitLocker Verschlüsselung, Virtual Desktop, Schutz vor Schadsoftware und Software Management.

IT-Sicherheitsarchitektur, IT-Sicherheitsmanagement, Feinkonzeption und Steuerung der Umsetzung von IT-Sicherheitsmaßnahmen.

Tätigkeiten in Stichworten:

Projektplanung, Entscheidungsvorlagen, Fein-planungen für IT-Sicherheitsmaßnahmen mit Schwerpunkten in den Berei-chen Serverhärtung UNIX, LINUX und Windows Server und Berechtigungs-management für administrative und technische Accounts (Privileged Ac-counts). Abstimmung auf die IT-Sicherheitsarchitektur und den IT-Betrieb in komplexen internationalen IT-Umgebungen. Erstellung von Schulungs-unterlagen für Administratoren. Erhebung von Anforderungen und Abstim-mung von Sachständen innerhalb von Workshops.

Anwendung interner und internationaler Richtlinien, Standards und Frame-works wie ISO 2700x, IT-Grundschutz, ITIL, COBIT und auch den Empfeh-lungen der Hersteller sowie unabhängiger kompetenter Stellen für die Planung und Etablierung technischer und organisatorischer IT-Sicherheitsmaßnahmen. Präsentationen, Moderationen und Co-Moderationen in Workshops zur Anforderungsanalyse und zur Abstimmung von Ergebnissen in der Konzeption.

Dokumentationen, Präsentationen und Konzepte in Englisch. Mündliche und schriftliche Kommunikation teilweise auf Englisch.

Umgebung:

Komplexe heterogene und internationale IT-Infrastruktur mit verschiedenen UNIX- und LINUX-Produkten und Versionen. Schwachstellenidentifikation auf Servern mit Qualys. Active Directory, Oracle Datenbanken, Kryptografie, CyberArk, SAN, NAS, SSO, LDAP, komplexe Firewalls und Netzwerk-architektur, Virenschutz bei weltweiter Vernetzung der Standorte und In-tegration verschiedener Outsourcing-Partner.

IT-Sicherheitsarchitektur, Sicherheits- und Risikobewertungen, IT-Compliance, IT-Architektur, Basisarchitektur

Erstellung von Risikobewertungen für Mobile Devices (iOS und Android), Web 2.0, Internetportale und andere heterogene IT-Systeme in komplexen Umgebungen. Dabei wurde jeweils die Ermittlung geeigneter Maßnahmen zur Risikobehandlung für die angemessene Gewährleistung von Vertraulichkeit, Integrität, Nachvollziehbarkeit und Verfügbarkeit durchgeführt. Anwendung der IT-Grundschutz-Kataloge für die Schichten 3 IT-Systeme, 4 Netze und 5 Anwendungen. Erstellung von Dokumentationen und Präsentationen zur Darstellung der IT-Systemarchitektur und der darauf wirkenden Risiken, geeigneter Maßnahmen und verbleibender Risiken zur Verwendung in der Entscheidungsfindung.

IT-Sicherheitsarchitektur und IT-Architektur für internationale Projekte mit hochverfügbaren IT-Systemen einschließlich Applikationssicherheit.

IT-Architektur für High-Performance Storage, CAx-Workstations, Logistik Anwendung und Remote Access. Berücksichtigung der hohen Sicherheits-anforderungen in verschiedenen Teilprojekten.

Erstellung von Richtlinienvorschlägen für Migrationen, Standortwahl und Netzprotokollen. Erfassung und Bewertung von Compliance-Anforderungen aus Regularien wie FRCP / eDiscovery an die IT-Architektur im internatio-nalen Umfeld. Anwendung interner und internationaler Richtlinien, Standards und Frameworks wie ISO 2700x, COBIT, TOGAF, IT-Grundschutz, Datenschutz, Datenklassifikation, ITIL und COBIT für Sicherheits- und Or-ganisationskonzepte sowie Risikobewertungen geplanter und bestehender IT-Architekturen.

Konzeptionen, Prüfberichte und Kommunikation teilweise auf Englisch.

Umgebung:

Komplexe heterogene und internationale IT-Infrastruktur mit zOS-, UNIX-, LINUX- und Windows Systemen, Mobile Devices wie iPad, iPhone (iOS) und Android, Web 2.0 Plattform Liferay, SAP, Jira, Oracle, Applikationssicherheit, Kryptografie mit Schlüsselmanagement, High-Performance Storage, NAS, CAx-Workstations, SSO, SAML, LDAP, komplexe Firewalls und mehrstufige Netzwerkzonen, mehrstufiger Virenschutz, zentrale Datensicherung, zentralem Netz- und Systemmanagement, hochverfügbare SAN und Stora-ge, weltweiter Vernetzung der Standorte und mehreren Outsourcing-Partnern. Nationale und internationale Datenschutzgesetzgebung.

Vorbereitung und Begleitung von Audits analog Audits zur Zertifizierung gemäß ISO 27001 auf Basis IT-Grundschutz als Berater, Coach, interner IT-Sicherheitsrevisor

Mehrere IT-gestützte Fachverfahren wurden von mir auf jährliche Audits analog zu Audits gemäß ISO 27001 auf Basis IT-Grundschutz vorbereitet. Zusätzlich wurde von mir auch die interne IT-Sicherheitsrevision durchge-führt. Dokumentation mit GSTOOL. Die Mitarbeiter wurden von mir auf die Audits vorbereitet und während der Audits begleitet.

Anwendung der IT-Grundschutz-Kataloge für alle Schichten. Modellierung des gesamten komplexen IT-Verbundes einschließlich aller für den Betrieb benötigter IT-Systeme und Stellen einschließlich des Datenschutzes. Erstel-lung der Referenzdokumente zur Übergabe an die externen Auditoren. Er-gänzend dazu wurden alle im Audit zusätzlich erforderlichen Dokumente, wie Notfallhandbücher und IT-Sicherheitskonzepte gesammelt und bei Bedarf erstellt, vervollständigt und aktualisiert. Anwendung der BSI-Standards „100-1 Managementsysteme für Informationssicherheit“, „100-2 IT-Grundschutz-Vorgehensweise“, „100-3 Risikoanalyse auf der Basis von IT-Grundschutz“ und „100-4 Notfallmanagement“.

Erstellung und Aktualisierung von IT-Sicherheitsrichtlinien für Server, IT-Nutzung, SAN, interner IT-Sicherheitsrevision und weiterer Bereiche. Die Notfallhandbücher wurden eng mit den jeweiligen Fachbereichen abgestimmt und enthielten alle erforderlichen Informationen einschließlich der organisatorischen und technischen Notfallvorsorgemaßnahmen und Wie-deranlaufverfahren. Die Schnittstellen des IT-Sicherheitsmanagements mit den unterschiedlichen Prozessen im IT-Servicemanagement (ITIL) wurden definiert und mit den Fachbereichen abgestimmt.

Umgebung:

GSTOOL, hochverfügbare und heterogene IT-Infrastruktur an zwei Stand-orten mit UNIX-, Windows 2003 und Windows 2008 R2 Servern, komplexe Firewalls, mehrstufiger Virenschutz, zentrale Datensicherung, zentrales Netz- und Systemmanagement, Verzeichnisverschlüsselung, hochverfügbare WAN, LAN, SAN und Storages, landesweite Vernetzung, Landesdaten-schutzgesetz.

Netz- und Servermanagement, IT-Sicherheit.

Rolle im Projekt:

Projektmanager, Coach für Systemadministratoren.

Tätigkeiten:

Coaching der internen IT-Mitarbeiter; Konzepterstellung; Planung von Erweiterungen im Bereich Netze und Server sowie Projektma-nagement bei der Realisierung; Sicherheitsüberprüfung von Servern und Netzen; Sicherheitsüberprüfungen u.a. mit Microsoft MBSA und Portscan-nern

Umgebung:

Windows NT 4.0 und 2000 Server, MS Exchange Server, MS SQL Server, Windows 2000 Professional, Windows 98, NAI Total Virus Defense, Legato Networker, CISCO Router, Internet, Watchguard Firewall, TCP/IP, DHCP, DNS, WINS; Netz: Ethernet mit 3Com- und Cisco-Komponenten.

Vorbereitung auf ein Audit zum IT-Grundschutz-Zertifikat des BSI.

Durchführung aller vorbereitenden Maßnahmen und Begleitung des Audits. Anwendung der IT-Grundschutz-Kataloge für alle Schichten. Durchführung der Basis-Sicherheitschecks. Erstellung und Zusammenstellung aller erfor-derlichen Informationen, der Referenzdokumente (IT-Strukturanalyse, Schutzbedarfsfeststellung, Modellierung des IT-Verbunds, Ergebnisse des Basis-Sicherheitschecks) und IT-Sicherheitskonzepte. Erstellung der Refe-renzdokumente „Ergänzende Sicherheitsanalyse“ und „Risikoanalyse“ für hohen Schutzbedarf.

Umgebung:

Komplexe heterogene IT-Infrastruktur für über 10000 Endanwender           mit branchenüblichen Anwendungen und IT-Servicemanagement gemäß ITIL. IT-Grundschutzhandbuch des BSI

Netzmanagement WAN,

Tätigkeiten:

Konzeptionen, Auftragsvergaben, Umsetzungssteuerung, Qualitätskontrollen, Störungsmanagement, IT-Sicherheitsmanagement. Konzeptionelle und beratende Mitarbeit bei der Planung zur unternehmensweiten Einführung von Windows 2000 Clients und Servern

Umgebung:

WAN mit Frame-Relay, Token-Ring LAN, Cisco Router, Netzmanagement, TCP/IP, DHCP, DNS, Novell- und Windows, NT/2000-Server, Windows 95- und 2000-Clients, SNA

Datenschutz- und IT-Sicherheitskonzept für eine komplexe Anwendung mit sehr hohen Sicherheitsanforderungen als Plattform zur Abwicklung von Vorgängen zwischen öffentlicher Verwaltung und Bürgern. Vollständiges Konzept mit den Teilen Sicherheitsleitlinie, Datenschutzkonzept, IT-Sicherheitskonzept, Betriebskonzept, Schulungskonzept sowie mehrere Anlagen mit über 600 individuellen Einzelmaßnahmen erstellt.

Umgebung:

Signaturgesetz, Internet-Recht, nationale Datenschutz-Gesetzgebung, IT-Grundschutzkataloge des BSI

Spezialist, Projektmanager (Festanstellung)

Erstellung und Umsetzung von Netzkonzepten in heterogener Umgebung.  Administration von Netzen unterschiedlichster Größenordnungen an mehre-ren Standorten. Planung, Steuerung und Durchführung von Maßnahmen im Bereich IT-Sicherheit und Datenschutz, Verfügbarkeit, Strategieentwicklung, Projektmanagement, Betreuung und Weiterentwicklung technischer Anwendungsprogramme, Systemintegration, Anwenderschulungen.

Umgebung:

LAN, WAN, Novell, LanManager und weitere Betriebssysteme, IBM AS/400, verschiedene Digital VAX-Systeme, Netzmanagement, E-Mail, SQL-Server (Microsoft, Gupta, Oracle)