2025 ? 2026: Sicherheits- und Notfallmanagement für kritische Infrastruktur
Rolle: Projektleiter NIS-2
Kunde: Vayu digital GmbH (Lelbach Holding, Elpro GmbH, GIP Holding) / Kritische Infrastruktur
Aufgaben:
Konzernweite Einführung eines vollständigen Sicherheits- und Notfallmanagementsystems für ein KRITIS-Unternehmen mit mehreren Tochtergesellschaften.
- Ich habe die gesamte Projektverantwortung für den konzernweiten Aufbau eines Informationssicherheits- und Notfallmanagementsystems übernommen, von der ersten Bestandsaufnahme bis zur vollständigen Umsetzung in allen Tochtergesellschaften.
- Alle relevanten IT-Systeme, Anwendungen und Dienstleister wurden vollständig erfasst und bewertet, um zu verstehen, welche Bereiche besonders schützenswert sind.
- Auf dieser Basis wurden klare Sicherheitsziele und Schutzmaßnahmen definiert, priorisiert nach Risiko und Geschäftsrelevanz.
- Ein zentrales digitales Steuerungssystem (GRC-Tool) wurde eingeführt, das alle Richtlinien, Maßnahmen und Prüfnachweise an einem Ort bündelt.
- Für den Notfall wurden vollständige Pläne entwickelt: Wer macht was? Wie wird der Betrieb aufrechterhalten? Was passiert, wenn kritische Systeme ausfallen?
- Die gesetzlichen KRITIS- und NIS2-Anforderungen wurden strukturiert umgesetzt, inklusive Governance-Strukturen und Meldeprozessen.
- Datenschutzverantwortlichkeiten und technisch-organisatorische Maßnahmen wurden konzernweit klar geregelt.
- Mitarbeitende wurden gezielt geschult, praxisnah, verständlich und auf ihre jeweiligen Rollen zugeschnitten.
- Externe Zulieferer und Tochtergesellschaften wurden aktiv in das Sicherheitssystem eingebunden und bewertet.
ERGEBNIS
- Konzernweites ISMS & BCMS aufgebaut
- NIS2-Anforderungen vollständig umgesetzt
- GRC-Tool eingeführt
- Alle Tochtergesellschaften eingebunden
KOMPETENZEN
- Projektleitung
- ISMS-Aufbau
- NIS2 / KRITIS
- Datenschutz (DSGVO)
- BCM / Notfallplanung
- Lieferantenmanagement
2025 ? 2025: ISMS-Aufbau, Zertifizierung & digitale Regulatorik
Rolle: CISO
Kunde: ACE-Alternatives GmbH / Finanzdienstleistungen / Alternative Investments
Aufgaben:
Vollständige Neueinführung eines ISMS sowie Umsetzung neuer EU-Anforderungen für Finanz- und KI-Technologien.
- Als CISO habe ich das gesamte Informationssicherheitsprogramm von Grund auf neu aufgebaut ? mit voller Verantwortung für Strategie, Umsetzung und Zertifizierung.
- Die internationale Sicherheitszertifizierung wurde in nur 9 Monaten vollständig vorbereitet
- Ein digitales Sicherheits-Tool wurde eingeführt, das alle Richtlinien, Risiken, Maßnahmen und Prüfnachweise automatisiert verwaltet.
- Die neuen EU-Anforderungen an die digitale Betriebsstabilität im Finanzsektor (DORA) wurden vollständig umgesetzt ? vom ICT-Risikomanagement bis zum Meldeprozess bei Vorfällen.
- Ein unternehmensweites Compliance-Framework für den Einsatz von KI-Systemen wurde entwickelt ? mit klaren Regeln für Risikobewertung, Dokumentation und Transparenzpflichten.
- Monatliche Berichte an Geschäftsführung und Investoren informierten klar und verständlich über Sicherheitslage, Risiken und offene Maßnahmen.
- Notfallpläne und Wiederanlaufstrategien wurden entwickelt und regelmäßig getestet ? mit dem Ziel, den Geschäftsbetrieb auch bei IT-Ausfällen aufrechtzuerhalten.
- Externe IT-Dienstleister wurden systematisch geprüft und ihre Leistung sowie Sicherheitsstandards kontinuierlich überwacht.
ERGEBNIS
- Zertifizierungsreife nach ISO 27001
- DORA umgesetzt
KOMPETENZEN
- CISO-Gesamtverantwortung
- Zertifizierung & Audits
- EU-Regulatorik (DORA/AI Act)
- Risikomanagement
- BCM / Resilienz
- Dienstleistersteuerung
2024 ? 2025: Informationssicherheit & Datenschutz
Rolle: Informationssicherheitsbeauftragter
Kunde: Ruhdi GmbH / Mittelstand / Finanzdienstleistungen
Aufgaben:
Aufbau eines vollständigen Sicherheits- und Datenschutzprogramms sowie Einführung von KI-Governance im mittelständischen Umfeld.
- Ich habe das gesamte Informationssicherheits- und Datenschutzprogramm strukturiert aufgebaut ? mit klaren Verantwortlichkeiten, praxistauglichen Richtlinien und messbaren Zielen.
- Eine Bestandsaufnahme der Sicherheitslage deckte konkrete Schwachstellen auf, aus denen ein priorisierter Maßnahmenplan mit direktem Nutzen für das Unternehmen entstand.
- Erstmals wurden verbindliche KI-Richtlinien eingeführt: klare Regeln, wie KI-Systeme im Unternehmen eingesetzt werden dürfen ? und welche Risiken zu beachten sind.
- Externe IT- und Cloud-Dienstleister wurden systematisch auf ihre Sicherheitsstandards geprüft und bewertet.
- Interne und externe Prüfungen wurden vorbereitet und begleitet ? ohne operative Unterbrechungen.
- Notfallszenarien wurden überarbeitet und Mitarbeitende auf ernsthafte Sicherheitsvorfälle vorbereitet.
ERGEBNIS
- Zertifizierungsreife ISO 27001 und ISO 22301
KOMPETENZEN
- ISMS & DSMS Aufbau
- KI-Governance
- Risikomanagement
- Prozessautomatisierung
- Auditbegleitung
- IT-Dienstleisterprüfung
2023 ? 2024: Geordnete Bankschließung mit lückenloser Sicherheit
Rolle: Informationssicherheitsbeauftragter
Kunde: Horváth AG / Finanzsektor / Banking / BaFin-reguliert
Aufgaben:
Sicherstellung der vollständigen regulatorischen Compliance und Datensicherheit während eines laufenden Bankabwicklungsprozesses unter BaFin-Aufsicht.
- Ich habe die Informationssicherheit während eines hochsensiblen Bankabwicklungsprozesses vollständig verantwortet ? in einem Umfeld unter direkter Aufsicht der Bundesbehörde.
- Vorstand und Geschäftsführung wurden wöchentlich, monatlich und quartalsweise mit präzisen, verständlichen Berichten zur Sicherheitslage, aktuellen Risiken und offenen Maßnahmen versorgt.
- Alle externen Prüfungen durch Wirtschaftsprüfer und Regulatoren wurden koordiniert und erfolgreich bestanden ? ohne Unterbrechung des Abwicklungsbetriebs.
- Sicherheitsvorfälle wurden systematisch analysiert, dokumentiert und zielgerichtet behoben ? mit Fokus auf schnelle Schadensbegrenzung.
- Notfallpläne und Wiederherstellungskonzepte wurden aktualisiert und auf die speziellen Anforderungen einer Bankschließung angepasst.
- IT- und Cloud-Dienstleister wurden kontinuierlich überwacht ? ihre Berichte und Prüfnachweise regelmäßig ausgewertet und bei Bedarf Nachbesserungen eingefordert.
ERGEBNIS
- Beseitigung aller Findings
KOMPETENZEN- BaFin-Aufsichtsrecht
- Incident Management
- C-Level-Reporting
- Externe Auditkoordination
- BCM / Wiederherstellung
- Dienstleisterkontrolle
2023 ? 2024: Zugangs- und Berechtigungsmanagement
Rolle: IAM Lead
Kunde: T60 Consulting GmbH / IT-Consulting / Finanzsektor
Aufgaben:
- Ich habe ein vierköpfiges Spezialistenteam geführt und dafür gesorgt, dass im gesamten Unternehmen jeder Mitarbeitende genau die Zugriffsrechte hat ? nicht mehr und nicht weniger.
- Klare Regeln für die Vergabe, Änderung und Entziehung von Zugriffsrechten wurden entwickelt ? von der Einstellung bis zum Unternehmensaustritt.
- IT, Recht, Datenschutz und HR wurden systematisch eingebunden, damit Berechtigungen stets aktuell und compliant sind.
- Mitarbeitende wurden praxisnah geschult, wie sie sicher mit ihren Zugangsdaten und IT-Systemen umgehen.
KOMPETENZEN
- IAM-Teamleitung (4 Pers.)
- Berechtigungskonzepte
- Richtlinienentwicklung
- Abteilungskoordination
- Auditunterstützung
ERGEBNIS
- Komplette Überarbeitung des Rollen- und Rechtekonzepts
2023 ? 2023: Aufbau eines Sicherheitsteams & Zertifizierungsvorbereitung
Rolle: Informationssicherheitsbeauftragter
Kunde: Testvolt AG / Energietechnologie / Batteriespeicher
Aufgaben:
- Ein komplettes internes Sicherheitsteam mit drei Mitarbeitenden wurde aufgebaut ? mit klaren Rollen, Verantwortlichkeiten und Entwicklungsperspektiven.
- Alle notwendigen Dokumente, Richtlinien und Nachweise für die internationale Zertifizierung wurden erstellt und auf Prüfungsreife gebracht.
- Das Unternehmen war nach 6 Monaten vollständig auf externe Audits vorbereitet ? IT, Legal, HR und Produktentwicklung wurden dabei eng eingebunden.
KOMPETENZEN
- Teamaufbau (3 Pers.)
- ISMS & BCM
- Dokumentation
- Schulungskonzepte
- Auditplanung
ERGEBNIS
- Zertifizierungsreife gemäß ISO27001 und ISO22301
- Datenschutzaudit
2021 ? 2023: Digitalisierung des Sicherheitsmanagements & CISO-Aufbau
Rolle: IT-Security Officer
Kunde: Bitwala GmbH / Nuri Bank GmbH / FinTech / Banking / Krypto
Aufgaben:
- Das gesamte Sicherheitsmanagement wurde digitalisiert: Ein GRC-Tool wurde ausgewählt, eingeführt und so konfiguriert, dass alle Risiken, Maßnahmen und Prüfnachweise zentral und automatisiert verwaltet werden.
- Schwachstellen in IT-Infrastruktur, Cloud, Datenverschlüsselung und Zugriffsmanagement wurden gezielt identifiziert und durch standardisierte Prozesse dauerhaft beseitigt.
- Ein unternehmensweites Security-Champions-Programm wurde ins Leben gerufen ? Mitarbeitende wurden zu internen Botschaftern für Sicherheit und Datenschutz entwickelt.
- Alle internen Audits wurden eigenständig geplant, vorbereitet und durchgeführt ? inklusive Koordination externer Prüfer.
- Die CISO-Rolle für die Nuri Bank GmbH wurde vollständig vorbereitet und sukzessive übernommen.
KOMPETENZEN
- GRC-Tool-Einführung
- IS-Programm-Steuerung
- Interne Audits
- Security Champions Programm
- CISO-Aufbau
- Dienstleisterprüfung
ERGEBNIS
- Erfolgreiche Zertifizierung nach ISO27001:2022
- Datenschutzaudit
2018 ? 2021: Sicherheitsstrategie
Rolle: Informationssicherheitsbeauftragter
Kunde: LucaNet AG / Finanz-SaaS / Konzern / International
Aufgaben:
- Ich habe ein fünfköpfiges, agiles Sicherheitsteam aufgebaut und geführt ? mit Verantwortung für die gesamte IS-Strategie in einem international aufgestellten Konzern.
- Die konzernweite IT-Sicherheitsstrategie wurde entwickelt und in Abstimmung mit allen Niederlassungen und Management-Direktoren umgesetzt.
- Internationale Sicherheitszertifizierungen und Wirtschaftsprüferprüfungen für Finanz-SaaS-Dienste wurden erfolgreich vorbereitet und abgeschlossen.
- Ein vollständiges Notfallmanagementsystem wurde aufgebaut ? mit klaren Wiederherstellungsplänen für alle kritischen Geschäftsprozesse.
- Lieferanten und Partner wurden systematisch koordiniert und auf Sicherheitsstandards geprüft.
KOMPETENZEN
- Teamführung (5 Pers.)
- Konzernweite IS-Strategie
- Zertifizierung & SOC
- BCM-Aufbau
- Lieferantenmanagement
- Niederlassungskoordination
ERGEBNIS
- Erfolgreiche Zertifizierung nach ISO27001:2022
- Erfolgreiche Zertifizierung nach ISO 22301:2019
- Erfolgreiche Attestierung SOC1 / SOC2
2018 ? 2018: IT-Sicherheit
Rolle: Cyber Security Manager
Kunde: Capgemini Outsourcing Services GmbH / IT-Outsourcing / Öffentlicher Sektor / Finanz
Aufgaben:
- Sicherheitskonzepte für Behörden und Finanzinstitute wurden entwickelt und weiterentwickelt ? jeweils angepasst an die spezifischen regulatorischen Anforderungen.
- Rechenzentren wurden umfassend auditiert und auf Schwachstellen in Betrieb, Zutritt und IT-Infrastruktur geprüft.
- Unternehmen aus der IT-Industrie wurden bei der datenschutzkonformen Gestaltung ihrer Anwendungen beraten ? konkret und praxisnah.
- Ausschreibungen wurden bearbeitet und Presales-Aktivitäten unterstützt ? mit fachlichem Input zu Sicherheitsanforderungen und Lösungskonzepten.
KOMPETENZEN
- Rechenzentrumsaudits
- GDPR-Beratung
- Öffentlicher Sektor
- Presales / Ausschreibungen
- IS-Konzepte
ERGEBNIS
- Erfolgreiche Zertifizierung nach ISO27001:2022
- Audits nach BSI IT Grundschutz
- Datenschutzaudits
2015 ? 2017: IT-Compliance Beratung
Rolle: Consultant IT Compliance
Kunde: Controlware GmbH / IT-Beratung / Energie / Finanz / Öffentlich
Aufgaben:
- Risikoanalysen für Finanzinstitute wurden durchgeführt ? mit klaren Ergebnissen und direkt umsetzbaren Handlungsempfehlungen für das Management.
- IT-Compliance-Audits für Energieversorger, Banken und Telekommunikationsunternehmen wurden eigenständig geplant und durchgeführt.
- Energieversorger und öffentliche Auftraggeber wurden bei der Einführung von Sicherheitsmanagementsystemen beraten ? von der Konzeption bis zur Zertifizierungsreife.
- Mitarbeitende verschiedener Branchen wurden zu Informationssicherheit, Datenschutz und regulatorischen Anforderungen geschult ? verständlich und praxisorientiert.
- Sicherheitskonzepte für ein Rechenzentrum wurden entwickelt und die Zertifizierungsvorbereitung vollständig begleitet.
KOMPETENZEN
- Risikoanalysen
- Compliance-Audits
- Datenschutz
- Zertifizierungsvorbereitung
- Schulungen
- Projektleitung
ERGEBNIS
- Erfolgreiche Zertifizierung nach ISO27001:2022 (Energie)
- Erfolgreiche Zertifizierung nach ISO27001:2022 (Gesundheit)
- Datenschutzaudits
weitere Projekte auf Anfrage