• Konzeptionelle, fachliche und organisatorische Unterstützung beim Aufbau und Weiterentwicklung des Informationssicherheitsmanagementsystems
• Zusammenarbeit mit externen Beratern im Zertifizierungsteam für die Unterstützungsstruktur
• Mitwirkung an Projektplanung, Identifizierung und Umsetzung der notwendigen Maßnahmen nach BSI IT-Grundschutz und ISO/IEC 27001:2022
• Mitwirkung an der Konzeption und Umsetzung von Sensibilisierungsmaßnahmen der Mitarbeitenden bzgl. Informationssicherheit
• Unterstützung der Komponentenleitung
• Erstellung eines Kommunikationskonzeptes für Incident Management
• Aufbau eines AUDIT Managementsystems für interne AUDIT Prüfungen
• Beratung in der Informationssicherheit und Ausrichtung der Organisation
• Beratung der IT bei der Konzeption und Umsetzung von ?Security by Design?
• Vorarbeiten zur Einführung eines Cyber Security Managementsystems
• Beratung im Risiko Management und seinen Prozessen
• Workshops zur Evaluierung und Fortschritt im Informationssicherheitsmanagement
• Weiterentwicklung spezifischer Informationssicherheit Themen
• Ansprechpartner für Informationssicherheit für internationale Abteilungen

• Ausarbeitung von Sicherheitsrelevanten IT-Lösungen für Cloud Infrastrukturen und inkl. Erstellung von Sicherheitsanforderungen
• Begleitung der Analyse-Teams während der Ausarbeitung und Bewertung der Business Use Cases von Changes (Service Requests) mit Schwerpunkt auf IT-Sicherheit und Datenschutz zur Implementation anstehender Projekte
• Durchführung und Begleitung von IT-Security Audits für Cloud Environments auf Basis konzerninternen Sicherheitsanforderungskatalogs / ISF und ISO 27001 ff
• Prüfung der für Migrations-, Entwicklungs- und Merger-Projekte erforderlichen Security?Requirements analog der ISO 27001 Controls / ISMS; Methodik: ISF IRAM
• Cyber Security Support für Cloud Projekte (AWS/GCP/Azure) basierend auf Technologie (Iaas, PaaS und SaaS), Kritikalität und Infrastrukturaspekte
• Erstellung von Vorab-Checks für die von den Projekten betroffenen Applikationen,
• Interfaces und Datenhaltungssystemen
• Bewertung des Business Impacts und der Kritikalität der Projektanforderungen (IT-Security-bezogene Risikoanalysen/-management als Ergänzung der BIAs)
• Feststellung von Schwachstellen (Threat Modelling) / Vulnerability Analysis
• Erarbeitung von Maßnahmen zur Risikominimierung / Threat-Modelling
• Ermittlung der Risikokandidaten in den Projekten und Evaluierung der IT-Risiken mit Risk-Team mit Zustellung an die Business Owner
• Einstufung der Projektgegebenheiten zur Initiierung des adäquaten Security-Bearbeitungsprozesses und erforderlicher Requirements
• Security-seitige Begleitung des Application resp. Project Life Cycle von der Anforderungsanalyse über Entwicklung, Implementierung, Test und Produktion
• Qualitätssicherung der Ressourcenbereitstellung und Einsteuerung der Maßnahmen
• Beratung der Projektleiter und Engineers zu Fragen aktuell implementierbarer IT/Cyber-Security Standards, OWASP und BSI aktuellen Security Vorgaben
• Zusätzliche vorzeitige Prüfungen des Security Impacts und erste Kostenschätzungen der Implementierung in der Projektphase ?Foundation?
• Zusammenarbeit mit interdisziplinären IT-Security Teams SSDLC, Cyber Defense Center, Network Security, VulS, Security Annex, Datenschutz in einem KVP-Prozess

• Durchführung einer GAP-Analyse im Hinblick auf die ISO/IEC 27001:2022
• Beratung in der Informationssicherheit und Ausrichtung der Organisation
• Erstellung von Handlungsempfehlungen für ein Cyber Security Managementsystems
• Beratung der IT bei der Konzeption und Umsetzung von ?Security by Design?
• Durchführung von Vor-Ort Besichtigungen inkl. Prüfbericht
• Vorarbeiten zur Einführung eines Cyber Security Managementsystems
• Beratung im Risiko Management und seinen Prozessen
• Gegenüberstellung der ISO 27001 und ISO 62443 und Implementierung
• Prüfung der internen AUDIT Berichte des CISO vom Mutterkonzern
• Security Workshops mit CISO, ISB und Security Kernteam
• Erstellen eines AUDIT Report für das Management und Kernteam
• Erstellen der Stellenbeschreibungen für einen Information Security Officer (ISO)
• Reporting CISO, ISB und Kernteam
• Weiterentwicklung der Informationssicherheit Themen
• Awareness Kampagnen
• Beratung bei IT-Security Tools
• Schulungen in diversen Security Themen
• Unterstützung zum Aufbau einer Intranet Präsenz für Cyber Security
• Ansprechpartner für Informationssicherheit in unterschiedlichen Abteilungen

• Unterstützung der TISAX Zertifizierung für lokale und globale Standorte
• Durchführung eines Risiko Management für lokalen Standort
• Erarbeitung von Maßnahmen zur Risikominimierung
• Aufbau einer Security Organisationsstruktur
• Verantwortung im Risk Management, Bewerten und Tracken von Risiken
• Beratung der IT bei der Konzeption und Umsetzung von ?Security by Design?
• Durchführung von IT-Security Audits für Cloud Environm. auf Basis BSI & ISO27001
• Definition von IT-Security Vorgaben in Zusammenarbeit mit ISO bei der Umsetzung
• Durchführung und Begleitung von IT-Security Audits auf Basis des TISAX VDA
• Zentraler Ansprechpartner für Sicherheitsvorfälle und Informationssicherheit
• Beauftragung, Überwachung und Steuerung der Pentests und Code Review
• Gegenüberstellung der ISO 27001 und ISO 62443 und Implementierung
• Steuerung der Prozeduren zur Behandlung der Informationssicherheit
• Koordinieren der Lizenzen für mehrere Windows- und UNIX Systeme
• Security Evaluierung unterschiedlicher Datenbanksysteme
• Weiterentwicklung der Informationssicherheit Themen
• Security Workshops mit IT-Verantwortlichen
• Erstellung der BCM Notfallpläne
• Reporting an Management und Geschäftsführung
• Aufbau einer Intranet Präsenz für Cyber Security
• Tracken von Bedrohungen und Schwachstellenscans
• Entwicklung von IT-Sicherheitskonzepten
• Beratung einer Cyber Security Versicherung
• Beratung bei IT-Security Tools
• Schulungen in diversen Security Themen
• Awareness Kampagnen

• Durchführung und Begleitung von IT-Security Audits auf Basis des konzerninternen Sicherheitsanforderungskatalogs auf Basis von ISF und der ISO 27001 ff
• Prüfung der für Migrations-, Entwicklungs- und Merger-Projekte erforderlichen Security ?Requirements analog der ISO 27001 Controls / ISMS; Methodik: ISF IRAM
• Begleitung der Analyse-Teams während der Ausarbeitung und Bewertung der Business Use Cases von Changes (Service Requests) mit Schwerpunkt auf ITSicherheit und Datenschutz zur Implementation anstehender Projekte
• Erstellung von Vorab-Checks für die von den Projekten betroffenen Applikationen, Interfaces und Datenhaltungssystemen
• Bewertung des Business Impacts und der Kritikalität der Projektanforderungen (ITSecurity-bezogene Risikoanalysen/-management als Ergänzung der BIAs)
• Feststellung von Schwachstellen (Threat Modelling) / Vulnerability Analysis
• Erarbeitung von Maßnahmen zur Risikominimierung / Threat-Modelling
• Einstufung der Projektgegebenheiten zur Initiierung des adäquaten SecurityBearbeitungsprozesses und erforderlicher Requirements
• Risikominimierung durch Ausarbeitung erweiterter Security-Anforderungen
• Security-seitige Begleitung des Application resp. Project Life Cycle von der Anforderungsanalyse über Entwicklung, Implementierung, Test und Produktion
• Qualitätssicherung der Ressourcenbereitstellung und Einsteuerung der Maßnahmen
• Beratung der Projektleiter und Engineers zu Fragen aktuell implementierbarer IT/Cyber-Security Standards, OWASP und BSI aktuellen Security Vorgaben

• Durchführung und Begleitung von IT-Security Audits auf Basis des konzerninternen Sicherheitsanforderungskatalogs auf Basis von ISF und der ISO 27001 ff
• Prüfung der für Migrations-, Entwicklungs- und Merger-Projekte erforderlichen Security ?Requirements analog der ISO 27001 Controls / ISMS; Methodik: ISF IRAM
• Begleitung der Analyse-Teams während der Ausarbeitung und Bewertung der Business Use Cases von Changes (Service Requests) mit Schwerpunkt auf IT-Sicherheit und Datenschutz zur Implementation anstehender Projekte.
• Erstellung von Vorab-Checks für die von den Projekten betroffenen Applikationen, Interfaces und Datenhaltungssystemen
• Bewertung des Business Impacts und der Kritikalität der Projektanforderungen (IT-Security-bezogene Risikoanalysen/-management als Ergänzung der BIAs)
• Feststellung von Schwachstellen (Threat Modelling) / Vulnerability Analysis
• Erarbeitung von Maßnahmen zur Risikominimierung / Threat-Modelling
• Einstufung der Projektgegebenheiten zur Initiierung des adäquaten Security-Bearbeitungsprozesses und erforderlicher Requirements
• Risikominimierung durch Ausarbeitung erweiterter Security-Anforderungen
• Security-seitige Begleitung des Application resp. Project Life Cycle von der Anforderungsanalyse über Entwicklung, Implementierung, Test und Produktion
• Qualitätssicherung der Ressourcenbereitstellung und Einsteuerung der Maßnahmen

• Unterstützung des internen ISO bei der Konzeption und Umsetzung seiner Aufgaben
• Strukturierung der bisherigen Dokumentationen im Sharepoint-Portal (Governance Level)
• Abgleich der Konzernanforderungen an das ISMS mit den bislang umgesetzten Regelungen und Richtlinien; MaRisk, BaFin, Basel II
• Abgleich der Regelungen mit Anforderungen der ISO 27001; Erstellen einer Gap-Liste
• Einordnen der Regelwerke in das ISO 27001 Control Framework
• Dokumentation des Security Monitorings und der Requirement Dokumente
• Überarbeitung des Informationssicherheits- und des Datensicherheitskonzepts
• Integration des IT-Security-Handbuchs
• Erstellung des Berechtigungskonzeptes nach Konzernanforderungen
• Erstellen eines Konzeptes zur Videoüberwachung; Erstellen eines Anforderungskatalogs und einer System-Checklist für die Videoüberwachung
• Erstellung eines Konzeptes für das Auslagerungscontrolling nach Konzernvorgabe und Datenschutz
• Erarbeitung von neuen Anforderungen durch die EU-DSGVO

ISMS und IT-Sicherheit:

• Statusaufnahme und laufende Auditierungen von Informations- und IT-Sicherheit des Kundenumfelds
• Konzeption des ISMS nach ISO 27001 ff angepasst an Firmenstruktur und -größe
• Feststellung der Schwachstellen
• Bewertung der Risiken / Entwicklung von KPIs
• Vorschlag von Risikominimierungsmaßnahmen
• Einbeziehung des BSI IT Grundschutzes
• Hinführung zur Zertifizierung nach ISO 27001
• Prüfung und Aufwandsschätzung für KRITIS IT-Sicherheitsgesetz
• Begleitung bei der operativen Umsetzung eines BCM
• Aufbau des Incident Managements/Notfall Managements

Datenschutz- und Datensicherheit:

• Durchführung von Datenschutz-/sicherheitsaudits
• Sicherstellung der Anforderungen aus dem BDSG
• Datenschutz und Sicherheits-Check-Up
• Erstellung von Datenschutzkonzepten/-handbüchern, von Verfahrensanweisungen und spezifischen Richtlinien (Passwort, Kryptografie, Berechtigungen, Überwachung)
• Entwicklung der Kundenorganisation in Datensicherheitsbelangen
• Sicherstellung der gesetzlichen Anforderungen des Bundesdatenschutzgesetzes und der EU-DS-Richtlinien

• Security Beratung nach ISO 27001 für Entwicklung, Betrieb und Architektur sowie für die Einführung des ISMS (Information Security Management Systems): im Wesentlichen handelt es sich hierbei um die Security Beratung hinsichtlich einer BSI Grundschutz konformen Architektur, Betriebsorganisation sowie im Vorfeld der Definition geeigneter übergreifender Testszenarien
• Mitarbeit bei der Erstellung der für die BSI Grundschutzzertifizierung notwendigen Sicherheitskonzepte mit den Schwerpunkten ISMS, Übergreifende Konzepte (z.B. Accountmanagement, Zugangs-/Zugríffs-/Zutrittskonzept, etc.), systemspezifische Konzepte sowie Betriebskonzepte (für Security Belange)
• Unterstützung BSI Grundschutz Zertifizierung:
• Prüfung der Zertifizierungsreife, Unterstützung bei der Auswahl des BSI-Grundschutzauditors, Unterstützung bei der Beantragung der Zertifizierung, Begleitung der Zertifizierung
• Teilprojektleitung ?BSI-Grundschutz Zertifizierung: Security Consulting?
• Unterstützung Datenschutz: Zusammenstellung, Prüfung und Auswertung der vorhandenen, Datenschutz-relevanten Unterlagen
• Einbeziehen des BSI IT Grundschutz-Bausteins mit den erforderlichen Maßnahmen
• Datenschutz Consulting für die im Projekt involvierten internen Mitarbeiter
• Koordinationstätigkeiten im obigen Sinne sowie Koordinationsunterstützung mit externen Stellen