2023 - 2024: Strategische Weiterentwicklung eines ISMS nach ISO/IEC 27001Aufgaben:Ich begleitete ein Unternehmen der Energiewirtschaft beim strategischen Ausbau und der Weiterentwicklung eines ISMS nach ISO/IEC 27001:2022. Auf Basis einer initialen Reifegradanalyse entwickelte ich eine Roadmap, führte Schutzbedarfs- und Risikoanalysen durch und unterstützte die Pflege der ISMS-Dokumentation. Zudem baute ich ein KPI-basiertes Reporting auf, beriet zur Integration mit QM/BCM und wählte geeignete Sicherheitskontrollen (Annex A). Die größte Herausforderung bestand in der Harmonisierung mit bestehenden Managementsystemen sowie der Sensibilisierung des Top-Managements ? gelöst durch zielgerichtete Workshops und Schulungen.
- ISO/IEC 27001:2022
- ISMS-Roadmap & Reifegradanalyse
- Risikomanagement nach BSI 200-3
- Strategische Beratung & Reporting
- Auditvorbereitung & Kontrollauswahl
- Schulungsdurchführung für Führungskräfte
2023: Konzeption und Einführung eines unternehmensweiten BCM-SystemsAufgaben:In der öffentlichen Verwaltung konzipierte ich ein BCM-System nach ISO 22301, um Krisenfestigkeit und Wiederanlaufstrategien zu stärken. Nach einer initialen Gap-Analyse entwickelte ich ein maßgeschneidertes Konzept inklusive Rollenmodell, Eskalationspfade und Notfallhandbuch. Ich führte die Business Impact Analyse (BIA) durch, begleitete Risikoanalysen, erarbeitete Kommunikationsprozesse für Krisenfälle und führte Notfallübungen inklusive Lessons Learned durch. Die besondere Herausforderung war die Abstimmung mit technischen und nicht-technischen Beteiligten ? durch klare Kommunikation und strukturierte Tools konnte das BCM erfolgreich eingeführt werden.
- ISO 22301 / BCM-Konzeption
- BIA & Risikoanalyse
- Notfallhandbuch & Wiederanlaufstrategie
- Krisenkommunikation & Übungen
- Toolunterstützung & Fachbereichskoordination
2022 - 2023: Aufbau eines integrierten ISMS/BCMS im regulierten UmfeldAufgaben:Für einen Finanzdienstleister entwickelte ich ein integriertes ISMS/BCMS-Zielbild und setzte dieses mit Fokus auf Prozesse, Richtlinien und Awareness-Maßnahmen um. Ich harmonisierte bestehende Dokumentationen, begleitete die Auswahl eines ISMS-Tools, definierte jährliche Prüfzyklen und unterstützte technisch (Netzsegmentierung, Logging). Zusätzlich koordinierte ich mit Datenschutz, Risiko- und Complianceteams zur Einhaltung regulatorischer Anforderungen. Die Herausforderung bestand in der Verzahnung technischer, organisatorischer und regulatorischer Anforderungen, die ich durch ein abgestimmtes Steuerungsmodell löste.
- ISMS/BCMS-Verknüpfung
- Toolauswahl & Integration
- Richtlinienentwicklung & Reviewprozesse
- MaRisk/ BaFin / DORA-Anforderungen
- Awareness-Kampagnen
2022: Strategische Beratung zur Informationssicherheits-GovernanceAufgaben:Im Kontext eines Industrieunternehmens entwickelte ich eine dezentrale ISMS-Governance-Struktur, definierte Steuerungsgremien, plante Review-Zyklen und begleitete interne Audits. Ich erstellte eine Sicherheitsstrategie mit Governance-Modell, unterstützte bei der Risikoerhebung und führte Workshops mit Standortverantwortlichen durch. Besonderer Schwerpunkt lag auf dem Aufbau eines ISMS Boards und der Etablierung einheitlicher Sicherheitsrichtlinien über mehrere Unternehmensstandorte hinweg.
- ISMS-Governance-Strategie
- Gremienmodell & Auditplanung
- Dezentrale Steuerung & Rollenkonzepte
- Risikoregister & Eskalationsprozesse
2021 - 2022: Einführung eines automatisierten ISMS mit ToolintegrationAufgaben:Als Projektleiter führte ich ein ISMS-Tool zur Automatisierung zentraler ISMS-Prozesse ein. Ich begleitete die Toolauswahl, konzipierte automatisierte Workflows (Change-, Dokumenten- und Risikomanagement), definierte Rollen- und Berechtigungskonzepte und unterstützte die Migration bestehender Dokumente. Ergänzend wurden Schulungen zur Toolnutzung durchgeführt und technische Integrationen zu bestehenden Systemen realisiert. Die Herausforderung lag in der nahtlosen Toolanbindung und Standardisierung der ISMS-Abläufe.
- ISMS-Toolintegration
- Automatisierung von ISMS-Prozessen
- Asset- und Prozessmapping
- Change- und Dokumentenmanagement
- Toolschulung & Migration
2021: Aufbau eines Sicherheitsmanagementsystems für Managed ServicesAufgaben:Bei einem Managed Services Provider entwickelte ich ein Sicherheitskonzept zur Steuerung interner und externer Services (u. a. SIEM, XDR). Ich definierte Sicherheitsrichtlinien und Betriebsprozesse, konzipierte einen Risikobehandlungsplan und beriet zu technischen Sicherheitsmaßnahmen wie Endpoint-Härtung und Logging. Zudem begleitete ich interne Audits und die sicherheitsseitige Übergabe von Services in den Betrieb.
- SIEM/XDR-Konzepte
- Interne/externe Betriebsprozesse
- Risikobehandlung ausgelagerter Dienste
- Cloud Security & Auditprozesse
2020 - 2021: Implementierung eines Sicherheitskonzepts für kritische Infrastruktur (KRITIS)Aufgaben:In einer Krankenhausgruppe entwickelte ich ein Informationssicherheitskonzept gemäß §8a BSI-Gesetz, inklusive Risiko- und Schutzbedarfsanalyse kritischer Assets. Ich erstellte die KRITIS-relevante Dokumentation zur Auditvorbereitung, beriet bei technischen Schutzmaßnahmen (u. a. Netzwerksegmentierung, Systemhärtung), unterstützte bei der Incident Response Planung und etablierte eine Meldekette für IT-Sicherheitsvorfälle. Die Kombination aus strategischer Konzeption und operativer Umsetzungsbegleitung war entscheidend für die erfolgreiche Auditfähigkeit im KRITIS-Kontext.
- KRITIS-Umsetzung nach §8a BSI-Gesetz
- Schutzbedarfs- & Risikoanalysen
- Auditvorbereitung & Maßnahmenkatalog
- Technische Umsetzung & Incident Response
- Schulung von Führungskräften & IT-Admins
2020: Informationssicherheits- und BCM-Beratung für ein Data CenterAufgaben:In einem Rechenzentrumsbetrieb konzipierte ich ein Notfallhandbuch inklusive Wiederanlaufkonzept und entwickelte ein physischen Sicherheitskonzept (Zutritt, Brandschutz, Redundanz). Ich unterstützte bei der Risikobewertung zentraler Assets, etablierte ein Sicherheitsmonitoring mit SNMP/Syslog und koordinierte die BCM-Integration mit Facility Management. Durch praxisnahe Schulungen wurden Mitarbeitende auf Notfallrollen vorbereitet und die ISO 27001-Auditvorbereitung erfolgreich begleitet.
- BCM & Notfallkonzepte für Rechenzentren
- Physische Sicherheit & Monitoring
- Risikoanalyse & Wiederanlaufstrategien
- ISO 27001-Auditvorbereitung
- Koordination IT-Betrieb & Facility Management
2019: Aufbau eines zentralen Security-Dashboards für die GeschäftsführungAufgaben:Ich entwickelte ein zentrales Security-Dashboard für ein Handelsunternehmen, definierte relevante KPIs (z. B. Schwachstellen, Incidents, Awareness-Fortschritt), band SIEM- und externe Tools (EDR, Phishing-Simulation) an und implementierte das Reporting in die ISMS-Managementbewertung. Die größte Herausforderung bestand in der KPI-Definition zur Entscheidungsunterstützung auf Führungsebene ? gelöst durch gezielte Visualisierung und strukturierte Berichterstattung.
- Security-KPIs & Dashboarding (Power BI, SIEM)
- Konzernweites Reporting & Rollout
- Integration externer Security-Tools
- Managementbewertung & Risikoreviews
2018 - 2019: Einführung eines rollenbasierten Berechtigungskonzepts (RBAC)Aufgaben:Ich analysierte bestehende Berechtigungsvergaben (Active Directory, Fileserver), entwickelte ein rollenbasiertes Zugriffskonzept und setzte dieses in einer gruppenbasierten Struktur mit Freigabe-Workflows um. Zusätzlich erstellte ich eine ISMS-konforme Zugriffsrichtlinie, dokumentierte Rollenprofile und schulte IT-Admins sowie Key-User. Die Herausforderung bestand in der Überführung gewachsener Rechtevergaben in ein revisionssicheres RBAC-Modell.
- RBAC-Analyse & Umsetzung
- ISMS-Zugriffskonzepte
- Auditfähigkeit & Nachvollziehbarkeit
- Schulung & Schnittstellenkommunikation
2018: Netzwerksegmentierung & Zero Trust-KonzeptionAufgaben:Ich analysierte die Netzstruktur eines Chemieunternehmens, entwickelte ein Zonenmodell basierend auf Rollen und führte Mikrosegmentierung via VLANs & Firewall-Regeln ein. Ergänzend wurde ein NDR-System zur lateralen Bewegungsanalyse eingeführt, ein internes Zertifikatsmanagement etabliert und eine ISMS-konforme Segmentierungsrichtlinie erstellt. Der Fokus lag auf der Umsetzung von Zero Trust-Prinzipien in Produktions- und IT-Umgebung.
- Netzsegmentierung & Zonenmodell
- Zero Trust & Least Privilege
- Firewall-/NDR-Integration
- ISMS-Netzrichtlinien & Auditbegleitung
2017 - 2018: Härtung und Security-Monitoring von Server-InfrastrukturenAufgaben:Ich führte Schwachstellenscans durch, leitete technische Maßnahmen ab und implementierte ein Server-Härtungsprogramm (CIS Benchmarks). Ergänzend wurde ein zentrales Log- und SIEM-Monitoring etabliert, technische Baselines gepflegt und eine Minimaldokumentation zur ISO 27001-Compliance erstellt. Die Herausforderung lag in der Skalierung technischer Sicherheitsmaßnahmen über heterogene Serverumgebungen hinweg.
- Server-Härtung (Windows/Linux)
- SIEM & Syslog-Integration
- Baseline-Management
- Patch- & Log-Policy nach ISO 27001
2017: Einführung eines EDR/XDR-Konzepts bei einem MittelständlerAufgaben:Ich wählte und implementierte eine EDR-Lösung mit Fokus auf Verhaltensanalysen, entwickelte Detection Rules (MITRE ATT&CK) und begleitete die Integration in das zentrale ITSM-System. Zudem konzipierte ich einen Sicherheitsvorfallmanagementprozess und beriet zur Härtung von Endpoints, Applikationskontrolle & USB-Regelungen. Die Herausforderung bestand in der strukturierten Einführung eines EDR-Frameworks mit operativem Incident Handling.
- EDR/XDR-Implementierung
- MITRE ATT&CK & Detection Rules
- ITSM-Integration & Incident Handling
- Endpoint-Schutzmaßnahmen & Reaktionsprozesse