• Einführung eines ISMS nach ISO/IEC 27001:2013

• Planung und Durchführung BIA/BCM-Bewertung - zur Ermittlung von Maßnahmen der Risikominderung und Prozessoptimierung sowie zur Schaffung von Risikotransparenz für die GF.
• Prüfen und Bewertung des KRITIS/NIS-2-Status und Umsetzung der KRITIS/NIS2-Anforderungen.
• ISMS Scoping und Umsetzung der Anforderungen von ISO 27001:2022 als Teil des Informationssicherheitsmanagementsystems (ISMS).
• Erstellung eines Migrationsplans zur Migration der ISO/IEC 27001:2013 auf Version ISO/IEC 27001:2022.
• Assessment und Verbesserung des Krisenmanagementprozesses und der Dokumentation.
• Integration von Informationssicherheitsklauseln in Kunden- und Lieferantenverträgen, um die Einhaltung interner und gesetzlicher Anforderungen zu gewährleisten.
• Entwicklung von ISMS-relevanten Policies und Richtlinien
• Prüfung und Optimierung der SSDLC für interne und externe Softwareentwicklung.
• Verbesserung der Asset-Management-Prozesse und Asset Klassifizierung zur Stärkung der Informationssicherheit.
• Planung und Anordnung regelmäßiger Penetrationstests (intern und extern) zur Ermittlung von Schwachstellen und Verbesserung der Sicherheitsmaßnahmen.
• Erstellung von Status- und Risikoberichten für das Management, Schaffung von Transparenz  von Risiken und der Sicherheitslage zu gewährleisten.
• Auditierung externer Unternehmensstandorte
• Riskassessment zu neu geplanten Unternehmensstandorten.
• Identifizierung von wichtigen Lieferanten für das Geschäft des Kunden und Risikobewertung der Lieferkette
• Überarbeitung und Verbesserung der Prozesse zur Meldung von Vorfällen bei Lieferanten, sofern der Kunde betroffen ist.
• Informationssicherheitsschulung des IT-Personals.
• Planung und Anordnung interner und externer Penetrationstests.
• Stärkung der Cyber-Resilienz der Organisation durch proaktive Maßnahmen und verbesserte Sicherheitsrahmen und KPI-Reporting.
• Auswahl und Onboarding eines externen SIEM/SOC/EDR zur Verbesserung der Überwachung und Alarmierung Bereich der IT-/Cybersicherheit.
• Planung und Durchführung von Awarenessschulungen (Mitarbeiter, Administrator und Management).
• Assessment und Verbesserung der Incidentmanagement Prozesse und die Meldung von Vorfällen.
• Review und Optimierung der ITIL-Prozesse sowie der Rollen und Verantwortlichkeiten.
• Überprüfung und Verbesserung des Zutritts- und Zugriffsmanagements, einschließlich der privilegierten Zugriffe.
• Überprüfung und Verbesserung des Risikomanagementprozesses.
• Überprüfung und Verbesserung von BCM und Cyber Resilience Maßnahmen.
• Überprüfung und Verbesserung der ITIL-Prozesse sowie der Rollen und Verantwortlichkeiten.
• Onboarding externer Anbieter von Awarenessschulungen

• Planung und Durchführung BIA/BCM-Bewertung - zur Ermittlung von Maßnahmen der Risikominderung und Prozessoptimierung sowie zur Schaffung von Risikotransparenz für die GF.

• Prüfen und Bewertung des KRITIS/NIS-2-Status und Umsetzung der KRITIS/NIS2-Anforderungen.
• Erstellung einer digitalen Roadmap und einer ISO 27001 / NIS-2 / KRITIS Roadmap.
• Assessment und Verbesserung des Krisenmanagementprozesses und der Dokumentation.
• Integration von Informationssicherheitsklauseln in Kunden- und Lieferantenverträgen, um die Einhaltung interner und gesetzlicher Anforderungen zu gewährleisten.
• Entwicklung von ISMS-relevanten Richtlinien
• Sicherstellung der organisatorischen Bereitschaft für Audits durch das Luftfahrt Bundesamt  (LBA) und Unterstützung der Auditprozesse.
• Prüfung und Optimierung der SSDLC für interne und externe Softwareentwicklung.
• Implementierung von Escrow-Vereinbarungen in Zusammenarbeit mit der Rechtsabteilung und dem Einkauf.
• Verbesserung der Asset-Management-Prozesse und Asset Klassifizierung zur Stärkung der Informationssicherheit.
• Planung und Anordnung regelmäßiger Penetrationstests (intern und extern) zur Ermittlung von Schwachstellen und Verbesserung der Sicherheitsmaßnahmen.
• Überprüfung der Einhaltung der EU-CER-Anforderungen und Berichterstattung.
• Erstellung von Status- und Risikoberichten für das Management, Schaffung von Transparenz  von Risiken und der Sicherheitslage zu gewährleisten.
• Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) und laufende Aktualisierung des Status.
• Identifizierung von wichtigen Lieferanten für das Geschäft des Kunden
• Risikobewertung der Lieferkette
• Überarbeitung und Verbesserung der Prozesse zur Meldung von Vorfällen bei Lieferanten, sofern der Kunde betroffen ist.
• Verbesserte Segmentierung des IT/OT-Netzes, um die Sicherheit zu erhöhen und potenzielle Risiken zu mitigieren.
• Assessment und Optimierung der Assetverwaltung für die IT- und OT-Bereiche.
• Informationssicherheitsschulung des OT-Personals.
• Planung und Anordnung interner und externer Penetrationstests.
• Stärkung der Cyber-Resilienz der Organisation durch proaktive Maßnahmen und verbesserte Sicherheitsrahmen und KPI-Reporting.
• Auswahl und onboarding eines externen SIEM/SOC/EDR zur Verbesserung der Überwachung und Alarmierung Bereich der IT-/Cybersicherheit.
• Planung und Durchführung von Awarenessschulungen (Mitarbeiter, Administrator und Management).
• Assessment und Verbesserung der Incidentmanagement Prozesse und die Meldung von Vorfällen.
• Review und Optimierung der ITIL-Prozesse sowie der Rollen und Verantwortlichkeiten.
• Erstellung von KI-Richtlinien in Zusammenarbeit mit der Rechtsabteilung zur sicheren Nutzung und Steuerung von künstlicher Intelligenz (KI) innerhalb der Organisation.
• ISMS Scoping und Umsetzung der Anforderungen von ISO 27001:2022 als Teil des Informationssicherheitsmanagementsystems (ISMS).
• Interimistische Leitung des InfoSec-Teams (erste 3 Monate).
• Einführung von Informationssicherheitsstandards und -prozessen in der globalen KAM- und Vertriebsorganisation.
• Überprüfung und Verbesserung des Zutritts- und Zugriffsmanagements, einschließlich der privilegierten Zugriffe.
• Auditierung externer Unternehmensstandorte
• Riskassessment zu neu geplanten Unternehmensstandorten.
• Durchführung interner Audits in Zusammenarbeit mit der internen Auditabteilung.
• Überprüfung und Verbesserung des Risikomanagementprozesses.
• Überprüfung und Verbesserung von BCM und Cyber Resilience Maßnahmen.
• Überprüfung und Verbesserung der ITIL-Prozesse sowie der Rollen und Verantwortlichkeiten.

Verantwortlich für die IT-Sicherheit in der Gruppe und in den Tochtergesellschaften

Entwicklung und Umsetzung von Richtlinien zur Cyber-Resilienz, Planung von Audits und Pen-Tests sowie Management-Berichterstattung,

Erstellung von Richtlinien für den Umgang mit VS-NfD-Informationen

ISMS-Scoping workshop

Verbesserung des Schwachstellenmanagementprozesses

Vorbereitung auf die Prüfung und Zertifizierung nach ISO 27001

Entwicklung von Awareness- und Phishing-Kampagnen, Erstellung neuer Richtlinien und Prozesse für die Datenträgervernichtung, Anpassung des IT-Sec-Warenkorbs, Auditierung von Lieferanten und Dienstleistern (GDPR, Prozesse, Cybersicherheit), Risikobewertung,

Erstellung von Spezifikationen für die Sicherheit der Lieferkette für alle relevanten Lieferanten.

Verbesserung von BCM und Cyber-Resilienz

Verbesserung der ITIL-Prozesse sowie der Rollen und Verantwortlichkeiten.

Erweiterung und Verbesserung der SIEM-Protokollierung und -Warnungen einschließlich der zugehörigen Prozesse.

Überprüfung des Designs der Netzwerkzugangskontrolle und der Berichterstattung

Verbesserung der Dateneinspeisung für das ISMS- und Compliance-Reporting

Vorbereitung und Präsentation der Managementberichte

Präsentation der Berichte vor dem SMC und dem Cybersecurity Steering Committee

Verbesserung der Netzwerksegmentierung zur Erhöhung der Cyber-Resilienz.

Verbesserung des Risikomanagementprozesses

Lieferantenaudit

Design der Cybersecurity Minimum Vorgaben für Lieferantenverträge.

Angleichung an die globale Cybersicherheitsstrategie

Erstellung und Veröffentlichung von Cybersicherheitsrichtlinien in den Bereichen IT und OT

Angleichung der Cyberstrategie an die Holdinggesellschaft in Frankreich.

DSGVO Compliance Audit auf die gesamten IT-/Geschäftsprozesse, IT-security Audit

Review der aktuellen Lieferverträge und ergänzung um aktuelle Cyber Security Klauseln. 

Harmonisierung und Zentralisierung des globalen Zertifikatsmanagement.

CA Assessment, Tool assessment, erstellen, review der globalen Anforderungen, Auswahl Dienstleister, Kostenreduktion durch Prozessmonitoring und -optimierung.

Awarenestraining für Zertifikatsbesteller.

Optimirung der Domänenvalidierung vor Zertifikatserstellung, verbessern des Automatisierungsgrades vom Request bis zur Installation.

Optimierung/Erweiterung des globalen Zertifikatsmanagemnt

Prozess-Design - Emergency Escalation process certificate renewal, revocation, domain verification

Erstellen einer Vendor und CA score card zur finalen auswahl von Serviceprovider und CA.

Audit der vorhandenen Vulnberability Scan Policies zur Endpoint Protection, anpassen der Scans und Maßnahemen an aktuelle Verfahren und Prozesse, 

Verbesserung der Qualys Scans/Checks Dokumentation der aktuellen Policies und Exception Prozesse.

Gesamt-Assessment der vorhandenen IT-Infrastruktur hinsichtlich DSGVO, ISO 27001, ITIL. Erstellen von Risikoanalysen, Bereitstellen von Mitigations-Maßnahmeplänen, Zeitplan, vorbereiten der ADV Dokumente, erstellen Datenschutzfolgenabschätzung, Awarenessworkshop mit Geschäftsführung, Mitarbeitern, IT-Leitung.

ISO 27001 und ISO 20000/ITIL Assessment auf IT Infrastruktur, DR-Prozesse, Datenschutz / DSGVO

Erstellen Risk Assessment Dokumentation und Maßnahmenplan, ACP Bewertung, BIA, Report ans IT Management, erstellen der Maßnahmenpläne und DSGVO Dokumente, durchführen Awareness Schulung für GF und Mitarbeiter

Review und Optimierung der globalen Endpoint und Gateway Security (Trend Micro, McAfee, Kaspersky), Patch Prozesse, Harmonisierung der globalen Monitoring und Reporting- und Incident Handling-Prozesse nach Best Practice und ITIL, Security/Prozess Assessment externer Service Provider, Assessment ISO 27001, BDSG und DSGVO  Relevanz (interne MA und Dienstleister), Mapping DSGVO zu Konzern DS Guidelines, Erstellen von Maßnahmenplänen, Einbinden Rechtsabteilung zu DSGVO Umsetzung, DS und IS Awareness Schulung

ISO 27001 und ISO 20000 Assessment auf Patch Management von Middleware Applikationen

Review, anpassen, erstellen der Dokumente zum Patch Management, errichten der Compliance zur ISO 27001, Datenschutz und ITIL, Design des globalen Middleware Patch Prozess inkl. und Rollen, Tasks und Dokumentationen für EMEA, AMERICAS, APAC.

Awareness Training der Service-Verantwortlichen