2024 - heute: Optimierung Informationssicherheitsprozesse bei einem FinanzdienstleisterAufgaben:Im Rahmen eines laufenden Projekts unterstütze ich einen Finanzdienstleister bei der Optimierung des Risk-Reportings, der Durchführung strukturierter Risk Assessments sowie der Evaluierung eines neuen GRC-Tools. Hierzu zählen die Erstellung eines Kriterienkatalogs, die Anbieterauswahl sowie die Entwicklung eines Rollenkonzepts für den künftigen Einsatz. Zusätzlich begleite ich die Vorbereitung auf ein Audit der Bundesbank sowie ein internes Audit. Weitere Schwerpunkte liegen in der Einführung neuer Policies, der Ressourcenplanung und der steuernden Projektunterstützung.
- Risk Reporting & Assessment
- GRC-Toolauswahl & Rollenkonzepte
- Auditvorbereitung (Bundesbank, intern)
- Policy-Management & Projektsteuerung
2023 - 2024: Migration im BankensektorAufgaben:Im Rahmen eines Bankenprojekts begleitete ich aus Informationssicht die Migration von Cloud-Diensten und unterstützte bei der Umsetzung eines ISMS gemäß ISO/IEC 27001 und BaFin-Vorgaben für Cloud-as-a-Service. Ich koordinierte die Abstimmung der Controls, führte eine Schutzbedarfsklassifizierung durch und entwickelte Reportingformate für Firewall-Regeln und Schwachstellenmanagement. Zudem unterstützte ich bei der Absicherung der Transportverschlüsselung (TLS). Die größte Herausforderung war die regulatorisch konforme Umsetzung von Cloud-Security-Maßnahmen in enger Abstimmung mit externen Dienstleistern.
- ISO 27001 & BaFin-Anforderungen
- Cloud Security & TLS-Verschlüsselung
- Firewall- & Schwachstellenreporting
- Zusammenarbeit mit Providern & Dokumentation
2022 - 2023: Externe Datenschutzbeauftragte (2022?2023)Aufgaben:Im Rahmen eines Beratungsmandats übernahm ich die Funktion als externer Datenschutzbeauftragter. Zu meinen Aufgaben zählten die Durchführung von Datenschutzaudits, die Umsetzungsberatung beim Aufbau eines Datenschutzmanagementsystems, die fortlaufende Datenschutzberatung sowie die Durchführung von regelmäßigen Überprüfungsaudits. Ergänzend konzipierte und leitete ich Schulungen für Mitarbeitende und Management.
- Datenschutz & DSGVO
- Datenschutzaudits
- Prozessberatung & Schulungskonzepte
2020 - 2022: Externer ISB für SportartikelherstellerAufgaben:Einführung eines ISMS nach ISO 27001 zur Minimierung von IT-Risiken und Erfüllung regulatorischer Anforderungen. Umsetzung technischer Maßnahmen wie Passwortrichtlinien, MFA für O365, Einführung eines Vulnerability Managements sowie laufende Schulungen. Besondere Herausforderung war die Integration neuer Richtlinien in bestehende Prozesse, begleitet durch kontinuierliches Monitoring.
- ISMS nach ISO 27001
- MFA, O365-Sicherheit & Schwachstellenmanagement
- Sicherheitsrichtlinien & Awareness
- Monitoring & Schulungskonzepte
2022: Notfallkonzept nach BSI 100-4 in der ImmobilienbrancheAufgaben:Konzeption und Umsetzung eines Notfallkonzepts nach BSI 100-4 für ein Immobilienunternehmen. Durchführung einer Business Impact Analyse (BIA), Risikobewertung, Definition von Notfallprozessen und Durchführung von Tests. Erfolgsfaktor war die enge Abstimmung zwischen IT und Management zur Realisierung eines ganzheitlichen Ansatzes.
- BSI 100-4/ BCM
- BIA & Risikobewertung
- Notfallprozesse & Testdurchführung
- IT-/Management-Koordination
2021: Automatisiertes Schwachstellenmanagement für LeasinggesellschaftAufgaben:Implementierung eines automatisierten Schwachstellenscanners (OpenVAS) zur Risikominimierung. Entwicklung von KPIs, regelmäßige Testplanung, Übergabe an das SOC. Der Fokus lag auf einer klar strukturierten Priorisierung von Schwachstellen anhand definierter Bewertungsrichtlinien.
- Vulnerability Scanning (OpenVAS)
- KPI-Definition & Schwachstellenbewertung
- SOC-Anbindung & Risikobewertung
2021: ISMS für KRITIS-LogistikunternehmenAufgaben:Einführung eines ISO 27001-konformen ISMS für einen Betreiber kritischer Infrastruktur. Durchführung der Schutzbedarfsanalyse, Entwicklung von Sicherheitsrichtlinien und Vorbereitung auf die Zertifizierung. Besonderes Augenmerk lag auf der Einhaltung der KRITIS-Anforderungen und dokumentierter Umsetzungsschritte.
- KRITIS & ISO 27001
- Schutzbedarf & Richtlinienentwicklung
- Zertifizierungsvorbereitung & Compliance
2018 - 2021: Cybersecurity-Strategie für AutomobilzuliefererAufgaben:Entwicklung einer unternehmensweiten Cybersecurity-Strategie mit Fokus auf Cloud Security und Penetrationstests. Durchführung von Red Teaming (MITRE ATT&CK), Awareness-Schulungen und Maßnahmen zur Sicherheitsarchitektur. Erfolgsfaktor war die reaktionsfähige Strategieentwicklung angesichts dynamischer Bedrohungslagen.
- Red Teaming & Cloud Security
- MITRE ATT&CK & Awareness
- Strategieentwicklung & Sicherheitsplanung
2019 - 2020: Datenschutzmanagement für IndustrieunternehmenAufgaben:Einführung eines DSGVO-konformen Datenschutzkonzepts für ein Industrieunternehmen. Aufbau eines Datenschutzmanagementsystems (DMS) mit Verfahrensverzeichnissen, Datenschutzfolgenabschätzungen (DSFA) und Vertraulichkeitsvereinbarungen. Erfolgsfaktor war die praxisnahe Integration des Datenschutzes in bestehende Geschäftsprozesse.
- DSGVO & Datenschutzmanagementsystem
- DSFA, VVT & interne Richtlinien
- Prozessintegration & Compliance
2019: ISMS-Aufbau nach TISAX für IngenieurbürosAufgaben:Implementierung eines TISAX-konformen ISMS zur Erfüllung von Anforderungen eines Großkunden aus der Automobilindustrie. Begleitung der Auditvorbereitung, Dokumentation sicherheitsrelevanter Prozesse und anschließende Übergabe an das interne Management. Die Herausforderung lag in der Detailtiefe der TISAX-Anforderungen und ihrer praxisnahen Umsetzung.
- TISAX & Auditvorbereitung
- ISMS-Dokumentation & Übergabe
- Kundenkommunikation & Nachweisführung
2019: Sicherheitsrichtlinien und Patch-Management im SoftwareunternehmenAufgaben:Entwicklung und Einführung einer IT-Sicherheitsrichtlinie, Umsetzung eines Patch-Management-Reportings sowie Einführung eines Log-Analyse-Systems. Die Herausforderung bestand in der Koordination mit unterschiedlichen IT-Teams, um Anforderungen konsistent und praxistauglich umzusetzen.
- Sicherheitsrichtlinien & Patch-Management
- Log-Analyse & Reporting
- Teamkommunikation & Prozessdesign
2018: Firewall-Regelvalidierung für SoftwareunternehmenAufgaben:Konzeption eines Firewall-Regelvalidierungsprozesses, inklusive Definition von Überwachungsparametern und Testszenarien. Ziel war die nachhaltige Sicherstellung regelkonformer Netzwerkzugriffe. Erfolgsfaktor war die präzise Formulierung von Regeln und deren automatisierte Prüfung.
- Firewall-Regelvalidierung
- Überwachungskriterien & Testszenarien
- Netzwerksicherheit & Regelmanagement
2017 - 2022: Externer Datenschutzbeauftragter in verschiedenen BranchenAufgaben:Beratung von Unternehmen aus Solartechnik, Gastronomie und Metallbau zur DSGVO-konformen Umsetzung von Datenschutzprozessen. Erstellung von Verfahrensverzeichnissen, Auftragsverarbeitungsverträgen, Systemprüfungen und Kameraeinschätzungen. Erfolgsfaktor war die branchenspezifische Anpassung bei gleichzeitigem Erhalt der gesetzlichen Konformität.
- Datenschutzberatung & DSGVO
- Branchenübergreifende Prozessberatung
- VVT, AVV & Videoüberwachung
2015 - 2022: Interner CISO im RechenzentrumsbetriebAufgaben:Verantwortlich für die ISO 27001-Zertifizierung eines Rechenzentrums. Durchführung von Schutzbedarfsanalysen, kontinuierliche ISMS-Optimierung, Auditvorbereitung und Prozessautomatisierung mit DHC Vision. Erfolgsfaktor war die effiziente und automatisierte Umsetzung der ISMS-Prozesse im laufenden Betrieb.
- CISO-Funktion & ISO 27001-Zertifizierung
- ISMS-Automatisierung (DHC Vision)
- Auditmanagement & Prozessoptimierung