Durchführung von IS-Audits
Vor Ort Audits bei Niederlassungen Rechenzentren
Vor Ort Audits bei Dienstleistern
Qualitätssicherung der Maßnahmen aus den Fachbereichen
Reporting
Zusammenarbeit mit IT-Revision
Zusammenarbeit mit IT-Risk zur Definition von möglichen risikoreduzierenden Maßnahmen
Evaluation von Tools zum ISM/IS-Audit
Überprüfung der technischen und organisatorischenMaßnahmen (TOM) aus der Auftragsdatenverarbeitung imAuftrag des Datenschutzes
Schnittstellendefinitionen mit IRM (Kernprozess 0038 zu Kernprozess 0039)
Inventarisieren der einzelnen Abweichungen aus den IS-Auditberichten
Nachhalten der einzelnen Abweichungen aus den IS- Auditberichten
Angemessenheitsprüfungen zu der Detaillierung der Sollschutzmaßnahmenkatalogvorgaben in der 1st Line
Weiterentwicklung der Auditvorlagen auf Grundlage des SSMK (Angleichung SiVo-Scope SiKo vs. Audit)
Zeitraum: 08/2006 - 12/2006
Firma/Institut: Bank
Projekt: IT-Security Management
- Durchführung von Struktur- und Schutzbedarfsanalysen für geschäftskritische
Anwendungssysteme (BSI-konform)
- Planung und Durchführung von Security-Audits (Firewall, Modemnutzung, Anwendungs-
systeme)
Zeitraum: 04/2006 - 07/2006
Firma/Institut: Internet-Dienstleister
Projekt: Risk, Security & Compliance
- Aufbau und Betrieb der Einheit Risk, Security & Compliance unter Berücksichtigung
internationaler Standards (Cobit, ITIL, ISO17799, ISO27001)
- Planung und Implementierung eines prozessorientierten Risiko Management
Systems (ARIS Risk Scout)
- Planung eines Information Security Management Systems
(BSI/ISO27001-konform)
- Erstellung eines IT-Sicherheitskonzeptes (BSI-konform)
- Projektkoordination Security-Projekte (Netzwerksicherheit, OS-Hardening,
IDS/IPS, Security-Monitoring [Nagios, ArcSight], Business Continuity)
- Definition Security-Strategie, Policies und Standards, Reporting
Zeitraum: 08/2001 - 12/2005
Firma/Institut: Bank
Projekt: IT-Security Management / Consulting
- Definition, Dokumentation und Weiterentwicklung von IT-Security Policies,
Standards und Guidelines
- Erstellung bankweiter IT-Security Konzepte und -maßnahmen
- Ergänzung von IT-Architekturen um IT-Security Aspekte
- Festlegung von IT-Security Standards für IT-Dienste und Anwendungen
- Definition von IT-Security Standards / Prozessen bei Out-/Insourcing
von IT-Dienstleistungen
- Vorgabe von IT-Security Standards für die interne und externe Datenkommunikation
- Erstellung und Dokumentation von anwendungsspezifischen IT-Security
Konzepten und -maßnahmen
- Erhebung des Schutzbedarfs und Risikopotentials bei Neu- und
Weiterentwicklung von Anwendungen
- Erstellung von Bedrohungs- und Risikoanalysen im Umfang von
Security Expertisen und Konzepten
- Definition und Durchführung von Security-Audits für Anwendungs-,
Firewall- und Routersysteme
- Definition und Dokumentation von Security Standards und Guidelines für
sichere Installation und Konfiguration von Betriebssystemen (Windows, Unix)
und Anwendungen (IIS, Websphere)
- Identifikation der Anforderungen an externe Penetrationstests, Analyse
und Ermittlung des Optimierungspotentials
Zeitraum: 05/2001 - 06/2001
Firma/Institut: Öffentlicher Dienst
Projekt: Sicherheitsbetrachtung der signaturgestützten Prozesse zur
Absicherung der Transaktionsdaten (VAX/VMS)
- Sicherheitstechnische Prüfung und unabhängige Beurteilung der
spezifizierten Prozesse und der zugehörigen Dokumentation im
Hinblick auf die Erfüllung der definierten sicherheitstechnischen
Anforderungen
- Darstellung von erkennbaren Schwachstellen,Sicherheitslücken,
Optimierungspotentialen und Restrisiken
- Erarbeiten von Vorschlägen und Maßnahmen zur Steigerung der
Sicherheit des Verfahrens, sofern Schwachstellen, Defizite oder
Sicherheitslücken erkannt wurden sowie Aufzeigen ggf. weiterer
Handlungsbedarfe
Zeitraum: 04/2001 - 05/2001
Firma/Institut: Energieversorger
Projekt: Penetrationstest der Zugangssysteme zum Corporate Network
- Scanning und Penetration der Zugangssysteme mittels frei
verfügbare Tools (nessus, nmap, etc.) zum Netzwerk des Kunden
über das Internet,
- Analyse und Bewertung der Ergebnisse aus den Penetrationstests
- Aufzeigen von Sicherheitslücken und -risiken
- Empfehlungen zur Optimierung der technischen und organisatorischen
Sicherheitsmaßnahmen
Zeitraum: 02/2001 - 05/2001
Firma/Institut: Bank
Projekt: Basis-Systeme/Plattformen
- Unterstützung bei der Planung zur Bereitstellung der
Basisinfrastruktur für das Projektumfeld Portale
(Entwicklungs-, Test- und Produktionsumgebung
[Solaris, SUN-Plattformen])
- Erstellung eines DV-Konzeptes
- Planung und Durchführung eines Benchmark-Tests mit BEA WebLogic und
Brokat Twister 4.5 unter Einsatz von Lasttest-Tools der Firmen Mercury und Segue
Zeitraum: 09/2000 - 12/2000
Firma/Institut: Öffentlicher Dienst
Projekt: Integration Firewall
- Qualitätssicherung des Grobkonzeptes
- Logische und technische Feinkonzeption der Firewallarchitektur
- Produktvergleich und Produktempfehlung
(GeNuGate, Checkpoint FW-1 [SUN, Nokia], Cisco PIX)
Zeitraum: 04/2000 - 01/2001
Firma/Institut: Telekommunikation
Projekt: VPN-Infrastruktur
- Teilprojektleitung: Kostenkalkulation, Ablaufplanung
(Teilprojekt Clientmigration für 3000 Arbeitsplätze [WIN NT4.0])
- Ermittlung und Konzeption einer reibungslosen Clientmigration auf
die neue VPN-Infrastruktur
- Koordinationsplanung der Umstellungsaktivitäten
Zeitraum: 11/1999 - 03/2000
Firma/Institut: Börse
Projekt: Zentraler RAS-Zugang
- Projektleitung, -management
- Konzeption, Test und Implementierung eines zentralen RAS-Zugangs
unter Berücksichtigung von starken Authentisierungs-
(Safe Word 5.1 Softtoken, Veridicom 5th sense Fingerprint Reader)
und Verschlüsselungsmechanismen(Cisco Secure VPN-Client, Cisco Secure ACS 2.3 for Unix)
Zeitraum: 09/1999 - 10/1999
Firma/Institut: Bundeswehr
Projekt: Sicherheitsstudie zur Implementierung eines Führungsinformationssystems
- Ist-Analyse der beteiligten Infrastruktur
- Ermittlung und Bewertung der Sicherheitsanforderungen
- Konzeption der Realisierungsmöglichkeit
Zeitraum: 08/1999 - 09/1999
Firma/Institut: Bank
Projekt: SSL-Anbindung einer WWW-Serverfarm
- Unterstützung in der Test- und Realisierungsphase, u.a. Negativtests
- Betrachtung verschiedener technischer Architekturen im Hinblick auf Performance, Umsetzbarkeit und Skalierbarkeit
- Produktauswahl Kryptobeschleuniger (nCipher) und SSL-Proxy-Server (Netscape, Microsoft, Stronghold)
Zeitraum: 03/1999 - 04/1999
Firma/Institut: Bank
Projekt: Sicherheitskonzept HBCI Version 2.1
- Erstellen eines Sicherheitskonzeptes für das HBCI-Verfahren
- Konzeption für die privaten Bankschlüssel (Schlüsselmanagement)
- Planung Anbindung an Zertifizierungsinstanzen (CA)
Zeitraum: 01/1999 - 03/1999
Firma/Institut: Öffentlicher Dienst
Projekt: Sicherheitskonzept im Rahmen einer BaaN-Einführung
- Identifikation der Sicherheitsaspekte und des Kommunikationsverhaltens der BaaN-Anwendung (SUN-Plattformen)
- Analyse der Absicherungsmöglichkeiten für Daten, Kommunikation und Endsysteme
bei Integration von Digitalen Signaturen
Zeitraum: 01/1998 - 10/1998
Firma/Institut: Unternehmensberatung
Projekt: Netzwerk-Administration des Corporate Networks
- Konfiguration/Administration der Cisco- und AVM-Router
- Betreuung WAN-Verbindungen (FrameRelay Netz, ISDN Fest- und Wählverbindungen)
- Unterstützung bei der Planung und Implementierung des IP-Adress Konzeptes (LAN, WAN)
Zeitraum: 01/1996 - 10/1998
Firma/Institut: Unternehmensberatung
Projekt: Betrieb des zentralen Internet-Zugangs mit den zugehörigen Subkomponenten
- Konzeption und Realisierung der Firewall-Architektur (Screend-Subnet,
Bastions-Host, Innerer -, Äußerer-Router)
- Installation, Konfiguration und Administration der einzelnen Server (Proxy- [TIS-Firewall Toolkit],
SMTP- [Smail, Exim], DNS- [Linux], Web-Server [Netscape, IIS])
- Definition und Konfiguration der Access-Listen (Cisco IOS) auf den äußeren und inneren Routersystemen
- Testen kommerzieller Firewall- und Tunnel-Software (Altavista Firewall, -Tunnel)
Zeitraum: 01/1994 - 10/1998
Firma/Institut: Unternehmensberatung
Projekt: Systemadministration Digital Unix (ALPHA-Plattformen)
- Konfiguration/Administration des Betriebssystem Digital Unix mit den Komponenten
SAP R/3 und Oracle, Drucker und Spool-Subsystem Unispool, Fantasia (Formularsoftware)
- Verwaltung von Systemressourcen (CPU-Auslastung, Prozesssteuerung, Plattenbelegung)
- Automatisierung von Routineaufgaben (Entwicklung effektiver Shell-Skripte)
- Datensicherung und ¿Wiederherstellung
- SAP-Basis-Betreuung (SAP R/3)
Zeitraum: 06/1993 - 01/1994
Firma/Institut: Unternehmensberatung
Projekt: Migration SAP R/2 zu SAP R/3
- Technische Unterstützung bei der Planung und Konzeption
- Installation/Konfiguration Digital Unix (Version 3.2C,G, 4.0A,B,D)
- Installation/Konfiguration von RAID-Systemen (Mylex, HSZ40, -50, -70)
Zeitraum: 10/1991 - 04/1994
Firma/Institut: Unternehmensberatung
Projekt: Betreuung IBM Mainframe 3090 (Systemprogrammierung)
- Wartung und Pflege der IBM- sowie Fremdprodukte (MVS/JES2, SMP/E, TUBES, VTAM)
- Performance-Analyse und Tuning-Maßnahmen (SLR, CMF, RESOLVE)
- DASD-Management (HSM, DFDSS)
- SAP R/2-Basisbetreuung
- Optimierung von RZ-Abläufen (IBM NETVIEW)
Schulabschluss
Abitur
BSI IT-Grundschutz, SIZ ? ?Sicherer IT-Betrieb?, ISO/IEC 27000- Normenreihe, PCI DSS, ITIL (Security Management), Common Criteria (CC), Cobit (Control Objectives for Information and Related Technology), Projektmanagement, NIST Cybersecurity Framework
Fachliche Kompetenz
IT-Security Management Practices
Security Policies, Standards, Richtlinien und Prozeduren, Sicherheitskonzepte, Bedrohungs- und Risikoanalysen, Security-Audits, Security Awareness und Training
Risiko-Management
Planung, Konzeption u. Implementierung Risiko-Management Systeme (Risikoidentifikation, -evaluierung, - mitigation, -reporting/controlling)
Telecommunications and Network Security
Netzwerkstrukturen, Übertragungsmethoden (IPSec, VPN) und Sicherheitsmaßnahmen für private und öffentliche Netze (Intranet, Extranet, Internet)), ZERO Trust, SASE (Secure Access Service Edge)
Security Architecture and Models
Design, Implementierung und Monitoring sicherer Betriebssysteme (Equipment, Netzwerk, Applikationen), Operating System Hardening, Cloud-Security
Cryptograhy
Hash- und Verschlüsselungsalgorithmen, Schlüsselmanagement, Public Key Infrastructure, Digitale Signaturen, TLS/SSL, PGP, S-MIME
Access Control Systems and Methodology
Konzepte, Methodiken, Techniken, Identifikation von Zugriffsverletzungen durch Angriffstechniken (Brute Force, Dictionary, Spoofing, Denial of Service, etc.), Penetrationstests
Operations Security
Techniken für Audit und Monitoring von Sicherheitsvorfällen (Incident Analyse/Reporting), CERT
Business Continuity and Desaster Recovery Planning
Definition, Planung und Implementierung von Notfall- und Katastrophen- Konzepten
Physical Security
physikalische Schutzmaßnahmen für unternehmensweite IT-Ressourcen und sensitiven Informationen (RZ-Sicherheit)
Applications and Systems Security
Applikation, System und DB Schwachstellen, Bedrohungen und Schutzmechanismen
Datenschutz und Datensicherheit
gesetzliche Rahmenbedingungen (DSGVO, BDSG, TMG, TKG), Auswahl adäquater technischer und organisatorischer Sicherheitsmaßnahmen BDSG §9
IT-Kompetenz
Anwendungsprogramme
MS Office (Word, Excel, Powerpoint), MS-Project, MS-Exchange, VISIO, Lotus Notes, Outlook, Sendmail, Exim, Smail, Apache, IIS, Websphere, Hiscout, ServiceNow, BSI IT-Grundschutztool
Beruflicher Werdegang
2005-04 - heute
Kunde: auf Anfrage
1991-10 - 2005-03
Kunde: CSC Ploenzke AG
Aufgaben:
1989-10 - 1991-09
Kunde: Didier Werke Wiesbaden
Aufgaben:
1986-07 - 1989-09
Kunde: D.O.S. Rechenzentrum Wiesbaden
Aufgaben:
Durchführung von IS-Audits
Vor Ort Audits bei Niederlassungen Rechenzentren
Vor Ort Audits bei Dienstleistern
Qualitätssicherung der Maßnahmen aus den Fachbereichen
Reporting
Zusammenarbeit mit IT-Revision
Zusammenarbeit mit IT-Risk zur Definition von möglichen risikoreduzierenden Maßnahmen
Evaluation von Tools zum ISM/IS-Audit
Überprüfung der technischen und organisatorischenMaßnahmen (TOM) aus der Auftragsdatenverarbeitung imAuftrag des Datenschutzes
Schnittstellendefinitionen mit IRM (Kernprozess 0038 zu Kernprozess 0039)
Inventarisieren der einzelnen Abweichungen aus den IS-Auditberichten
Nachhalten der einzelnen Abweichungen aus den IS- Auditberichten
Angemessenheitsprüfungen zu der Detaillierung der Sollschutzmaßnahmenkatalogvorgaben in der 1st Line
Weiterentwicklung der Auditvorlagen auf Grundlage des SSMK (Angleichung SiVo-Scope SiKo vs. Audit)
Zeitraum: 08/2006 - 12/2006
Firma/Institut: Bank
Projekt: IT-Security Management
- Durchführung von Struktur- und Schutzbedarfsanalysen für geschäftskritische
Anwendungssysteme (BSI-konform)
- Planung und Durchführung von Security-Audits (Firewall, Modemnutzung, Anwendungs-
systeme)
Zeitraum: 04/2006 - 07/2006
Firma/Institut: Internet-Dienstleister
Projekt: Risk, Security & Compliance
- Aufbau und Betrieb der Einheit Risk, Security & Compliance unter Berücksichtigung
internationaler Standards (Cobit, ITIL, ISO17799, ISO27001)
- Planung und Implementierung eines prozessorientierten Risiko Management
Systems (ARIS Risk Scout)
- Planung eines Information Security Management Systems
(BSI/ISO27001-konform)
- Erstellung eines IT-Sicherheitskonzeptes (BSI-konform)
- Projektkoordination Security-Projekte (Netzwerksicherheit, OS-Hardening,
IDS/IPS, Security-Monitoring [Nagios, ArcSight], Business Continuity)
- Definition Security-Strategie, Policies und Standards, Reporting
Zeitraum: 08/2001 - 12/2005
Firma/Institut: Bank
Projekt: IT-Security Management / Consulting
- Definition, Dokumentation und Weiterentwicklung von IT-Security Policies,
Standards und Guidelines
- Erstellung bankweiter IT-Security Konzepte und -maßnahmen
- Ergänzung von IT-Architekturen um IT-Security Aspekte
- Festlegung von IT-Security Standards für IT-Dienste und Anwendungen
- Definition von IT-Security Standards / Prozessen bei Out-/Insourcing
von IT-Dienstleistungen
- Vorgabe von IT-Security Standards für die interne und externe Datenkommunikation
- Erstellung und Dokumentation von anwendungsspezifischen IT-Security
Konzepten und -maßnahmen
- Erhebung des Schutzbedarfs und Risikopotentials bei Neu- und
Weiterentwicklung von Anwendungen
- Erstellung von Bedrohungs- und Risikoanalysen im Umfang von
Security Expertisen und Konzepten
- Definition und Durchführung von Security-Audits für Anwendungs-,
Firewall- und Routersysteme
- Definition und Dokumentation von Security Standards und Guidelines für
sichere Installation und Konfiguration von Betriebssystemen (Windows, Unix)
und Anwendungen (IIS, Websphere)
- Identifikation der Anforderungen an externe Penetrationstests, Analyse
und Ermittlung des Optimierungspotentials
Zeitraum: 05/2001 - 06/2001
Firma/Institut: Öffentlicher Dienst
Projekt: Sicherheitsbetrachtung der signaturgestützten Prozesse zur
Absicherung der Transaktionsdaten (VAX/VMS)
- Sicherheitstechnische Prüfung und unabhängige Beurteilung der
spezifizierten Prozesse und der zugehörigen Dokumentation im
Hinblick auf die Erfüllung der definierten sicherheitstechnischen
Anforderungen
- Darstellung von erkennbaren Schwachstellen,Sicherheitslücken,
Optimierungspotentialen und Restrisiken
- Erarbeiten von Vorschlägen und Maßnahmen zur Steigerung der
Sicherheit des Verfahrens, sofern Schwachstellen, Defizite oder
Sicherheitslücken erkannt wurden sowie Aufzeigen ggf. weiterer
Handlungsbedarfe
Zeitraum: 04/2001 - 05/2001
Firma/Institut: Energieversorger
Projekt: Penetrationstest der Zugangssysteme zum Corporate Network
- Scanning und Penetration der Zugangssysteme mittels frei
verfügbare Tools (nessus, nmap, etc.) zum Netzwerk des Kunden
über das Internet,
- Analyse und Bewertung der Ergebnisse aus den Penetrationstests
- Aufzeigen von Sicherheitslücken und -risiken
- Empfehlungen zur Optimierung der technischen und organisatorischen
Sicherheitsmaßnahmen
Zeitraum: 02/2001 - 05/2001
Firma/Institut: Bank
Projekt: Basis-Systeme/Plattformen
- Unterstützung bei der Planung zur Bereitstellung der
Basisinfrastruktur für das Projektumfeld Portale
(Entwicklungs-, Test- und Produktionsumgebung
[Solaris, SUN-Plattformen])
- Erstellung eines DV-Konzeptes
- Planung und Durchführung eines Benchmark-Tests mit BEA WebLogic und
Brokat Twister 4.5 unter Einsatz von Lasttest-Tools der Firmen Mercury und Segue
Zeitraum: 09/2000 - 12/2000
Firma/Institut: Öffentlicher Dienst
Projekt: Integration Firewall
- Qualitätssicherung des Grobkonzeptes
- Logische und technische Feinkonzeption der Firewallarchitektur
- Produktvergleich und Produktempfehlung
(GeNuGate, Checkpoint FW-1 [SUN, Nokia], Cisco PIX)
Zeitraum: 04/2000 - 01/2001
Firma/Institut: Telekommunikation
Projekt: VPN-Infrastruktur
- Teilprojektleitung: Kostenkalkulation, Ablaufplanung
(Teilprojekt Clientmigration für 3000 Arbeitsplätze [WIN NT4.0])
- Ermittlung und Konzeption einer reibungslosen Clientmigration auf
die neue VPN-Infrastruktur
- Koordinationsplanung der Umstellungsaktivitäten
Zeitraum: 11/1999 - 03/2000
Firma/Institut: Börse
Projekt: Zentraler RAS-Zugang
- Projektleitung, -management
- Konzeption, Test und Implementierung eines zentralen RAS-Zugangs
unter Berücksichtigung von starken Authentisierungs-
(Safe Word 5.1 Softtoken, Veridicom 5th sense Fingerprint Reader)
und Verschlüsselungsmechanismen(Cisco Secure VPN-Client, Cisco Secure ACS 2.3 for Unix)
Zeitraum: 09/1999 - 10/1999
Firma/Institut: Bundeswehr
Projekt: Sicherheitsstudie zur Implementierung eines Führungsinformationssystems
- Ist-Analyse der beteiligten Infrastruktur
- Ermittlung und Bewertung der Sicherheitsanforderungen
- Konzeption der Realisierungsmöglichkeit
Zeitraum: 08/1999 - 09/1999
Firma/Institut: Bank
Projekt: SSL-Anbindung einer WWW-Serverfarm
- Unterstützung in der Test- und Realisierungsphase, u.a. Negativtests
- Betrachtung verschiedener technischer Architekturen im Hinblick auf Performance, Umsetzbarkeit und Skalierbarkeit
- Produktauswahl Kryptobeschleuniger (nCipher) und SSL-Proxy-Server (Netscape, Microsoft, Stronghold)
Zeitraum: 03/1999 - 04/1999
Firma/Institut: Bank
Projekt: Sicherheitskonzept HBCI Version 2.1
- Erstellen eines Sicherheitskonzeptes für das HBCI-Verfahren
- Konzeption für die privaten Bankschlüssel (Schlüsselmanagement)
- Planung Anbindung an Zertifizierungsinstanzen (CA)
Zeitraum: 01/1999 - 03/1999
Firma/Institut: Öffentlicher Dienst
Projekt: Sicherheitskonzept im Rahmen einer BaaN-Einführung
- Identifikation der Sicherheitsaspekte und des Kommunikationsverhaltens der BaaN-Anwendung (SUN-Plattformen)
- Analyse der Absicherungsmöglichkeiten für Daten, Kommunikation und Endsysteme
bei Integration von Digitalen Signaturen
Zeitraum: 01/1998 - 10/1998
Firma/Institut: Unternehmensberatung
Projekt: Netzwerk-Administration des Corporate Networks
- Konfiguration/Administration der Cisco- und AVM-Router
- Betreuung WAN-Verbindungen (FrameRelay Netz, ISDN Fest- und Wählverbindungen)
- Unterstützung bei der Planung und Implementierung des IP-Adress Konzeptes (LAN, WAN)
Zeitraum: 01/1996 - 10/1998
Firma/Institut: Unternehmensberatung
Projekt: Betrieb des zentralen Internet-Zugangs mit den zugehörigen Subkomponenten
- Konzeption und Realisierung der Firewall-Architektur (Screend-Subnet,
Bastions-Host, Innerer -, Äußerer-Router)
- Installation, Konfiguration und Administration der einzelnen Server (Proxy- [TIS-Firewall Toolkit],
SMTP- [Smail, Exim], DNS- [Linux], Web-Server [Netscape, IIS])
- Definition und Konfiguration der Access-Listen (Cisco IOS) auf den äußeren und inneren Routersystemen
- Testen kommerzieller Firewall- und Tunnel-Software (Altavista Firewall, -Tunnel)
Zeitraum: 01/1994 - 10/1998
Firma/Institut: Unternehmensberatung
Projekt: Systemadministration Digital Unix (ALPHA-Plattformen)
- Konfiguration/Administration des Betriebssystem Digital Unix mit den Komponenten
SAP R/3 und Oracle, Drucker und Spool-Subsystem Unispool, Fantasia (Formularsoftware)
- Verwaltung von Systemressourcen (CPU-Auslastung, Prozesssteuerung, Plattenbelegung)
- Automatisierung von Routineaufgaben (Entwicklung effektiver Shell-Skripte)
- Datensicherung und ¿Wiederherstellung
- SAP-Basis-Betreuung (SAP R/3)
Zeitraum: 06/1993 - 01/1994
Firma/Institut: Unternehmensberatung
Projekt: Migration SAP R/2 zu SAP R/3
- Technische Unterstützung bei der Planung und Konzeption
- Installation/Konfiguration Digital Unix (Version 3.2C,G, 4.0A,B,D)
- Installation/Konfiguration von RAID-Systemen (Mylex, HSZ40, -50, -70)
Zeitraum: 10/1991 - 04/1994
Firma/Institut: Unternehmensberatung
Projekt: Betreuung IBM Mainframe 3090 (Systemprogrammierung)
- Wartung und Pflege der IBM- sowie Fremdprodukte (MVS/JES2, SMP/E, TUBES, VTAM)
- Performance-Analyse und Tuning-Maßnahmen (SLR, CMF, RESOLVE)
- DASD-Management (HSM, DFDSS)
- SAP R/2-Basisbetreuung
- Optimierung von RZ-Abläufen (IBM NETVIEW)
Schulabschluss
Abitur
BSI IT-Grundschutz, SIZ ? ?Sicherer IT-Betrieb?, ISO/IEC 27000- Normenreihe, PCI DSS, ITIL (Security Management), Common Criteria (CC), Cobit (Control Objectives for Information and Related Technology), Projektmanagement, NIST Cybersecurity Framework
Fachliche Kompetenz
IT-Security Management Practices
Security Policies, Standards, Richtlinien und Prozeduren, Sicherheitskonzepte, Bedrohungs- und Risikoanalysen, Security-Audits, Security Awareness und Training
Risiko-Management
Planung, Konzeption u. Implementierung Risiko-Management Systeme (Risikoidentifikation, -evaluierung, - mitigation, -reporting/controlling)
Telecommunications and Network Security
Netzwerkstrukturen, Übertragungsmethoden (IPSec, VPN) und Sicherheitsmaßnahmen für private und öffentliche Netze (Intranet, Extranet, Internet)), ZERO Trust, SASE (Secure Access Service Edge)
Security Architecture and Models
Design, Implementierung und Monitoring sicherer Betriebssysteme (Equipment, Netzwerk, Applikationen), Operating System Hardening, Cloud-Security
Cryptograhy
Hash- und Verschlüsselungsalgorithmen, Schlüsselmanagement, Public Key Infrastructure, Digitale Signaturen, TLS/SSL, PGP, S-MIME
Access Control Systems and Methodology
Konzepte, Methodiken, Techniken, Identifikation von Zugriffsverletzungen durch Angriffstechniken (Brute Force, Dictionary, Spoofing, Denial of Service, etc.), Penetrationstests
Operations Security
Techniken für Audit und Monitoring von Sicherheitsvorfällen (Incident Analyse/Reporting), CERT
Business Continuity and Desaster Recovery Planning
Definition, Planung und Implementierung von Notfall- und Katastrophen- Konzepten
Physical Security
physikalische Schutzmaßnahmen für unternehmensweite IT-Ressourcen und sensitiven Informationen (RZ-Sicherheit)
Applications and Systems Security
Applikation, System und DB Schwachstellen, Bedrohungen und Schutzmechanismen
Datenschutz und Datensicherheit
gesetzliche Rahmenbedingungen (DSGVO, BDSG, TMG, TKG), Auswahl adäquater technischer und organisatorischer Sicherheitsmaßnahmen BDSG §9
IT-Kompetenz
Anwendungsprogramme
MS Office (Word, Excel, Powerpoint), MS-Project, MS-Exchange, VISIO, Lotus Notes, Outlook, Sendmail, Exim, Smail, Apache, IIS, Websphere, Hiscout, ServiceNow, BSI IT-Grundschutztool
Beruflicher Werdegang
2005-04 - heute
Kunde: auf Anfrage
1991-10 - 2005-03
Kunde: CSC Ploenzke AG
Aufgaben:
1989-10 - 1991-09
Kunde: Didier Werke Wiesbaden
Aufgaben:
1986-07 - 1989-09
Kunde: D.O.S. Rechenzentrum Wiesbaden
Aufgaben:
"Der IT-Consultant [...] war vom 1. November 1991 bis 31.März 2005 zuletzt als Leading Professional in der Service Unit e-Business + Technology Central unseres Unternehmens tätig. Zum 1. Oktober 1998 wechselte er vom internen EDV Service in die Rolle des Technologieberaters zur Geschäftsstelle Technologie Wiesbaden, die zwischenzeitlich in Service Unit e-Business + Technology Central in Wiesbaden integriert ist. [...] Der IT-Consultant begann frühzeitig, sich auf die Themenbereiche IT-Infrastruktur (Betriebssysteme, Systemarchitekturen, Netztopologien) und IT-Security mit den Schwerpunktthemen IT-Security Management Prozesse, Business Continuity und Disaster Recovery und Telecommunication & Network Security zu spezialisieren. Er agierte in verschiedenen Kundenprojekten als Technologieberater und ?architekt in diesen Themenfeldern. Zuletzt verantwortete er in der Rolle des Teamleads IT-Security die Themenentwicklung innerhalb der Service Unit. [...] In seinen Projekten hat der IT-Consultant seine fachlichen und methodischen Kompetenzen als Technologieberater und -architekt mit großem Erfolg eingebracht und sein Wissen kontinuierlich und engagiert in verschiedenen Themenfeldern und Aufgabengebieten ausgebaut. Er verfügt über eine breite und tiefe Erfahrung in der Sicherheitsberatung mit sehr guten und fundierten Fachkenntnissen, die ihn zu einem stets nachgefragten Berater machten. Neue Themen griff er eigenständig auf und entwickelte sie mit großem Engagement erfolgreich für das Unternehmen weiter. Der IT-Consultant setzte sein Wissen in pragmatische Lösungen um und hatte einen Blick für das Wichtige und Wesentliche. Er arbeitete selbstständig, methodisch und gründlich, zeigte stets Initiative, großen Fleiß und Eifer sowie schnelle Auffassungsgabe und war auch in schwierigsten Situationen souverän und flexibel. Die ihm übertragenen Aufgaben erledigte IT-Consultant stets zu unserer vollsten Zufriedenheit. Der IT-Consultant erweiterte ständig seine Kenntnisse durch Teilnahme an Kursen, Fachforen und Seminaren, in denen er zum Teil auch die Rolle des Vortragenden übernahm. Bei seinen Einsätzen in Projektteams förderte er die aktive Zusammenarbeit und trug so wesentlich zum Teamerfolg bei. Aus heterogenen Gruppen formte er effiziente Teams, die er umfassend informierte und durch sein persönliches Vorbild motivierte und zu Erfolgen führte. Sein kollegiales Wesen sicherte ihm stets ein sehr gutes Verhältnis zu Führungskräften, Kollegen und unseren Geschäftspartnern. Der IT-Consultant verlässt unser Unternehmen auf eigenen Wunsch zum 31. März 2005. Wir danken ihm für die gute und erfolgreiche Zusammenarbeit und wünschen ihm für den weiteren Berufs- und Lebensweg alles Gute und viel Erfolg."
— Projekt diverse Security-Projekte, 10/98 - 03/05
Referenz durch Director Service Unit, Unternehmensberatung (78000 MA), vom 31.03.05
Projekt im Rahmen einer Festanstellung durchgeführt