Design and testing of information security systems and secure systems/applications. DORA, NIS2, CRA, ESMA Cloud Guidelines, KRITIS, ISO 27001, CSA CCM
Aktualisiert am 05.02.2025
Profil
Freiberufler / Selbstständiger
Remote-Arbeit
Verfügbar ab: 05.02.2025
Verfügbar zu: 100%
davon vor Ort: 50%
IT-Security
Informationssicherheit
Audit
ISO 27001
IT-Grundschutz
Digital Operational Resilience Act
MiFID
Cloud Security
DevSecOps
Secure coding
NIS
KRITIS
CRA
Deutsch
Muttersprache
Englisch
Verhandlungssicher
Japanisch
Grundlegend

Einsatzorte

Einsatzorte

Deutschland, Schweiz, Österreich
möglich

Projekte

Projekte

7 months
2024-07 - now

Assessment as a Service

Interner Experte DSGVO BDSG (neu) BAIT ...
Interner Experte

Verantwortlich für die Entwicklung und Führung des unternehmenseigenen Angebots für andere Unternehmen namens ?Assessment as a Service?. Der Kunde kann die Zyntak GmbH damit beauftragen sein komplettes Audit-Management zu führen oder beauftragt einzelne Prüfungen von internen Prozessen oder externen Dienstleistern.

  • Erstellung eines einheitlichen Prüfprozesses vom ersten Kickoff bis zur Maßnahmenabstimmung
  • Erstellung eines kombinierten Prüfkataloges, der die gängigen Informationssicherheits-Standards, wie NIST CSF 2.0 und ISO 27001, sowie Verweise auf die entsprechenden Regularien (DSGVO, DORA, NIS 2) enthält
  • Beratung und Erstellung von kundenindividuellen Prüfkatalogen auf Basis des kombinierten Kataloges
  • Erstellung des Audit-Programmes
  • Gestaltung von Prüf-Templates zur Durchführung, Dokumentation und Bewertung der Prüfungen
  • Durchführung von Prüfungen auf sowohl technischer als auch vertraglicher Ebene
  • Bewertung der Risiken (Risk-Assessments)
  • Erstellung eines Risikoregisters
  • Beratung des Kunden zu geeigneten Mitigationsmaßnahmen

DSGVO BDSG (neu) BAIT KWG NIS2 CRA DORA ESMA Cloud Guidelines NIST CSF ISO 27001:2022
Dienstleistungen
7 months
2024-07 - now

Datenschutzmanagement as a Service

Interner Experte DSGVO BDSG (neu) ISO 27001:2022 ...
Interner Experte

Mitarbeit an der Entwicklung des unternehmenseigenen Angebots ?Datenschutzmanagement as a Service?. Der Kunde kann die Zyntak GmbH damit beauftragen, sein komplettes Datenschutz-Managementsystem aufzubauen und zu betreiben.

  • Datenschutzrechtliche Dokumentation von Unternehmensprozessen
  • Erstellung von Schutzbedarfsanalysen
  • Führung des Verzeichnisses von Verarbeitungstätigkeiten (VvV) inklusive Prüfung und Begründung der Rechtsgrundlagen
  • Integration von Schutzbedarfs- und Risikoanalysen in das VvV
  • Beratung des Kunden zur Anpassung der Prozesse an datenschutzrechtliche Erfordernisse
  • Prüfung der technisch-organisatorische Maßnahmen
  • Beratung und Unterstützung bei der Umsetzung von technisch-organisatorischen Maßnahmen
  • Gestaltung eines Systems zum Dienstleistermanagement
    • Identifikation von Dienstleistern
    • Prüfung und Verhandlung von Auftragsverarbeitungsverträgen
    • ?Prüfung ?des Datenschutzmanagements der Dienstleister
  • Gestaltung aller notwendigen Governance-Dokumente (u.a. Leitlinien, Richtlinien, Betroffenen-Informationen, Datenschutzerklärungen etc.) und der Prozesse zu deren Einführung im Unternehmen
  • Gestaltung und Implementierung von Prozessen zur kontinuierlichen Fortentwicklung und Überwachung des DSMS (PDCA-Zyklus)

DSGVO BDSG (neu) ISO 27001:2022 AI Act
Dienstleistungen
1 year 2 months
2023-09 - 2024-10

Durchführung und Verbesserung der Dienstleister-Assessments

Externer Berater DSGVO BDSG (neu) BAIT ...
Externer Berater

Prüfung und Bewertung von Auslagerungen im Auftrag der Fachbereiche Outsourcing, Datenschutz und Informationssicherheit. Zusätzlich wurden parallel die Informationssicherheits- und Datenschutz-Prozesse verbessert.

  • Erstellung eines Prozesses zur Durchführung und Bewertung von Dienstleister-Assessments
  • Erstellung von Prüf- und Bewertungstemplates
  • Durchführung von ca. 400 Dienstleister-Assessments, sowohl technisch wie auch vertraglich für Dienstleister und Subdienstleister
  • Begleitung bzw. Führung von Vertragsverhandlungen für besonders wichtige / zeitkritische Auslagerungen, u.a. M365, Azure, AWS, SOC/SIEM-Dienstleister und ServiceNow
  • Bewertung der Risiken (Risk-Assessments) und Erstellung eines Risikoregisters
  • Abstimmung von Mitigationsmaßnahmen mit auslagernden Fachbereichen bezüglich rechtlicher / vertraglicher Risiken sowie Begleitung von deren Implementierung
  • Erstellung von Dokumentationen und Vorlageempfehlungen für den Vorstand


Informationssicherheit

  • Analyse der internen Informationssicherheits-Prozesse auf DORA-Konformität
  • Ausarbeitung und Implementierung von Verbesserungsmaßnahmen


Datenschutz

  • Durchführung von Datenschutz-Folgeabschätzungen (DSFA), z.B. für Prozesse unter Einsatz von M365, Azure, AWS und ServiceNow
  • Verhandlung von Auftragsverarbeitungsverträgen mit den Dienstleistern
  • Analyse der internen Datenschutz-Prozesse auf DSGVO-Konformität
  • Ausarbeitung und Implementierung von Verbesserungsmaßnahmen
  • Erstellung von Schulungsmaterial für die Mitarbeiter


Outsourcing

  • Analyse der internen Prozesse zum Outsourcing Management im Rahmen eines Toolwechsels
  • Ausarbeitung und Implementierung von Verbesserungsmaßnahmen, u.a. zur Umsetzung der EBA-Guidelines und zu den unterschiedlichen Anforderungen an wesentliche und nicht-wesentliche Auslagerungen
  • Dokumentation von Dienstleistern und deren Subdienstleistern im Outsourcing-Management-Tool
  • Erstellung von EXIT-Strategien

DSGVO BDSG (neu) BAIT KWG EBA-Guidelines ESMA Cloud Guidelines DORA NIST CSF ISO 27001:2013 und ISO 27001:2022 CSA CCM
Banken
8 months
2023-12 - 2024-07

ISO 27001 Zertifizierung

Interner Experte ISO 27001:2022 ITIL v4 BSI IT-Grundschutz
Interner Experte

Übernahme der Verantwortung als CISO für das Projekt der unternehmensweiten ISO 27001 Zertifizierung eines Softwareherstellers, der seine Software sowohl für den On-Premise-Betrieb beim Kunden anbietet sowie als SaaS gehostet in verschiedenen Public Clouds. Erstellung von Richtlinien und anhand des Risikoappetits und den Geschäftszielen des Unternehmens. Hauptansprechpartner für Fachbereiche bei Fragen zur Umsetzung von Vorgaben.

  • Durchführung einer Bedrohungsanalyse und Risikoanalyse
  • Erstellung von Richtlinien im Einklang mit dem Risikoappetit des Unternehmens
  • Analyse des IST-Zustands des Unternehmens und Aufzeigen der Points-of-Improvement
  • Prüfung der Konzepte und Prozesse von Fachbereichen auf Einhaltung der internen Vorgaben, sowie Orientierung an ITIL
  • Leitung von Workshops
  • Konfiguration von Tools in Zusammenarbeit mit der IT. Beispielsweise M365, Azure Active Directory (AAD), Sharepoint, Microsoft Defender, Microsoft Intune, GitHub

ISO 27001:2022 ITIL v4 BSI IT-Grundschutz
Softwarehersteller
11 months
2023-09 - 2024-07

KI-Risikomanagement

Interner Experte
Interner Experte

Erstellung eines Bewertungsprozesses für Risiken beim Einsatz von KI mit dem Ziel KI-Systeme zu zertifizieren

  • Recherche von wissenschaftlichen Publikationen zu KI-Modellen und Verifizierung von Eigenschaften von KIs
  • Recherche von wissenschaftlichen Publikationen zu Angriffsmethoden auf KI-Systeme
  • Erstellung eines Bewertungsprozesses von KI-Systemen
  • Erstellung einer Teststrecke inkl. Use-Cases zum Sichern von KIs

Softwarehersteller
7 months
2023-03 - 2023-09

Ziel des Enterprise Architecture Boards

Interner Experte ESMA Cloud Guidelines BAIT MaRisk ...
Interner Experte

Ziel des Enterprise Architecture Boards ist die Festlegung der unternehmensweiten IT-Strategie. Die Teilnahme am Enterprise Architecture Boards erfolgte in der Tätigkeit als Vertreter der Informationssicherheit.

  • Abgabe des Votums für die Informationssicherheit als Mitglied des Boards
  • Bewertung von verschiedenen Cloud-Betriebsmodellen und IT-Sicherheitsprüfung der verschiedenen Cloud-Anbieter
  • Beratung zu verschiedenen Lösungsvorschlägen, wie direct-connect vs. VPN, IAM/PAM-Umsetzung in der Cloud
  • Definition der Sicherheitsanforderungen an eine Cloud
  • Abstimmung mit der IT bzgl. der sicheren Gestaltung der CloudArchitektur
  • Begleitung der Überführung der bis dahin hauptsächlich OnPrem laufenden Systeme in eine Cloud Umgebung

ESMA Cloud Guidelines BAIT MaRisk ISO 27001:2013 und ISO 27001:2022 KRITIS
Wertpapierhandel und Kryptoverwaltung
11 months
2022-11 - 2023-09

KRITIS Vorbereitung

Interner Experte KRITIS
Interner Experte

Unterstützung beim Aufbau eines IKS für die KRITIS relevanten Dienstleistungen des Unternehmens, sowie Begleitung der internen Prüfungen.

  • Durchführung der KRITIS-Betroffenheitsprüfung
  • Gestaltung und Prüfung der Kontrollen auf Vollständigkeit gegen die ?Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 und Absatz 1a BSIG umzusetzenden Maßnahmen?
  • Konzeption der Bewertungsmetriken von internen Kontrollen
  • Begleitung der internen Prüfungen

KRITIS
Wertpapierhandel und Kryptoverwaltung
1 year 2 months
2022-08 - 2023-09

Optimierung des Softwareprozesses

Interner Experte OWASP SAMM (Software Assurance Maturity Model) NIST SSDF (Secure Software Development Framework)
Interner Experte

Analyse und Verbesserung des bestehenden Entwicklungsprozesses, sodass dieser die Secure Coding Prinzipien nach OWASP und NIST umsetzt und den Informationssicherheitsvorgaben des Unternehmens gerecht wird.

  • Analyse bestehender Entwicklungsprozesse
  • Konzeption eines sicheren Entwicklungsprozesses
  • Schulung des Entwicklungsteams auf die internen Vorgaben
  • Beratung des Entwicklungsteam bei der Umsetzung der Aufgaben (z.B. Umsetzung des 4-Augen-Prinzips in Jira Service Management, Auswahl des Verschlüsselungsalgorithmus in MSSQL oder Auswahl von Code-Analyse-Tools)

OWASP SAMM (Software Assurance Maturity Model) NIST SSDF (Secure Software Development Framework)
Wertpapierhandel und Kryptoverwaltung
1 year 6 months
2022-04 - 2023-09

Gestaltung der Schutzbedarfsanalysen

Interner Experte ESMA Cloud Guidelines BAIT MaRisk ...
Interner Experte

Unterstützung der Kollegen bei der Gestaltung der Schutzbedarfsanalysen, sodass diese zu den von mir gestalteten IS-Audits und zum Risikomanagement passen

  • Konzeption der abgefragten Metriken bei der Schutzbedarfsanalyse, sodass diese an die Folgeprozesse (Auditmanagement, Risikobewertung) alle nötigen Informationen liefern kann
  • Sparring-Partner bei der Erstellung des Bewertungsprozesses bzw. der Verrechnung der einzelnen Metriken
  • Durchführung von Schutzbedarfsanalysen mit den Fachbereichen, sowie Ansprechpartner für Rückfragen zu den Schutzbedarfsanalysen

ESMA Cloud Guidelines BAIT MaRisk ISO 27001:2013 und ISO 27001:2022 KRITIS
Wertpapierhandel und Kryptoverwaltung
1 year 11 months
2021-11 - 2023-09

Unterstützung beim Aufbau des Informationssicherheitsrisikomanagements

Interner Experte ESMA Cloud Guidelines BAIT MaRisk ...
Interner Experte

Unterstützung der Kollegen beim Aufbau des Informationssicherheitsrisikomanagements, sodass dieses zu den Vorprozessen (Schutzbedarfsanalyse, IS-Audits, Schwachstellenmanagement) passt.

  • Konzeption der Bewertung von Risiken nach den CERT-Bund Empfehlungen, sodass sie zum Bewertungsschema von Audit-Findings und Schwachstellen passen
  • Sparring-Partner für den Aufbau des Bedrohungs- und Risikokatalogs
  • Durchführung von Risikobewertungen, sowie Ansprechpartner für Rückfragen zum Informationssicherheitsrisikomanagement

ESMA Cloud Guidelines BAIT MaRisk ISO 27001:2013 und ISO 27001:2022 KRITIS
Wertpapierhandel und Kryptoverwaltung
1 year 11 months
2021-11 - 2023-09

Aufbau Auditmanagement

Interner Experte ESMA Cloud Guidelines BAIT MaRisk ...
Interner Experte

Übernahme des Aufbaus des Audit-Managements und federführende Steuerung der Mitarbeiter und Dienstleister, die für das Audit-Team tätig waren.

  • Konzeption der Auditprozesse zur Planung und Prüfung von Systemen und ggfs. deren Dienstleister
  • Erstellung von Bewertungsprozessen nach gängigen Standards (CVSS, MITRE ATT&CK)
  • Steuerung der Mitarbeiter und Dienstleister im Rahmen der Durchführung von IS-Audits
  • Erstellung des Audit-Programms (Planung der Audits für die nächsten drei Jahre)
  • Erstellung von Prüfkatalogen anhand der internen Vorgaben
  • Erstellung von Kapazitätsplanungen der Team-Mitglieder (interne und externe) für das kommende Jahr
  • Planung des Budgetbedarfs für externe Unterstützung, durchzuführende Penetrationtests und Tools, die in diesem Bereich unterstützen
  • Angebotsvergleiche und Kostenabschätzung von verschiedenen Alternativen (z.B. PenTest-Anbieter gegen PenTest-Tools)
  • Schulung von internen Mitarbeitern und externen Dienstleistern zur Prüfung von IT-Systemen
  • Gestaltung der Übergabe von Audit-Findings in das Schwachstellenmanagement
  • Mitgestaltung der Schwachstellenprozesse (Bewertung nach CVSS, Festlegung der Mitigationszeiten nach Kritikalität)

ESMA Cloud Guidelines BAIT MaRisk KWG MiFiD II ISO 27001:2013 und ISO 27001:2022 KRITIS
Wertpapierhandel und Kryptoverwaltung
1 year 11 months
2021-11 - 2023-09

Durchführung von Audits

Interner Experte ESMA Cloud Guidelines BAIT MaRisk ...
Interner Experte

Operative Ausführung von Prüfungen von IT-Systemen und Prozessen

  • Validierung von Schutzbedarfsanalysen
  • Prüfung von Prozessen, ob die organisatorischen Vorgaben eingehalten wurden
  • IT-Architekturanalysen von IT-Systemen, wie Kryptoverwaltung inklusive Blockchain-Nodes, MTF, Handelsplattformen insbesondere im Kontext der angewandten Technologien, wie:
    • Containerisierung (Docker, Kubernetes, VMWare)
    • Cloud (AWS, Azure)
    • Datenbanken (MySQL,PostgreSQL)
    • Betriebssysteme (Windows, RedHeadLinux, CentOS, Ubuntu)
    • Pro?grammiersprachen (Objective-C, C/C++, C#, Java, Python, Bash)
  • Identifizierung und Bewertung von Angriffsvektoren und Angreifer-Profilen anhand der IT-Architekturanalyse sowie der nicht umgesetzten organisatorischen Vorgaben
  • Identifizierung von Findings / Schwachstellen anhand der Angriffsvektoren und Angreifer-Profile
  • Identifizierung von Maßnahmen zur Behebung der Findings
  • Abstimmung der Maßnahmen mit den Verantwortlichen und gemeinsame Erstellung eines Maßnahmenplans
  • Planung und Begleitung von Penetration-Tests inklusive Unterstützung bei der Mitigation
  • Beratung der Fachbereiche während der Neuentwicklung oder Anpassung von Systemen in Bezug auf Informationssicherheitsanforderungen und wie diese in dem konkreten Projekt umgesetzt werden können
  • Unterstützung bei der Entwicklung von IT-Systemen als Security-Architect in der Design-Phase
  • Begleitung von PenTests / Penetrationtests und Unterstützung bei der Bewertung der Ergebnisse

ESMA Cloud Guidelines BAIT MaRisk KWG MiFiD II ISO 27001:2013 und ISO 27001:2022 KRITIS
Wertpapierhandel und Kryptoverwaltung
1 year 11 months
2021-11 - 2023-09

Informationssicherheit

Referent Informationssicherheit, Interner Experte ESMA Cloud Guidelines BAIT MaRisk ...
Referent Informationssicherheit, Interner Experte

Allgemeine Aufgaben im Informationssicherheitsmanagement, die zusätzlich zu den anderen genannten Projekten durchgeführt wurden.

  • Mitgestaltung aller informationssicherheitsrelevanter Richtlinien und Korrektur der Richtlinien bei Abweichungen zu gängiger Regulatorik, Standards oder Widersprüchen innerhalb der Sollmaßnahmen
  • Unterstützung bei der Erstellung von Quartalsberichten inklusive Kontrolle der Richtigkeit der getätigten Angaben, wie Risikostände, Schwachstellenbefunde und Auditergebnisse
  • Kontrolle welche regulatorischen Anforderungen bei IT-Projekten einzuhalten sind (z.B. KRITIS Betroffenheit)
  • Beratung der Fachbereiche bei der Umsetzung von Maßnahmen, z.B. Key-Lifecycle-Management, Protokollinfrastruktur, Sharepoint- und Intune-Konfiguration, Azure-Richtlinienscans
  • Erstellung von Phishing-Kampagnen
  • Zusammenarbeit mit anderen Fachbereichen in der Prozessgestaltung:
    • Informationssicherheitsvorfall-Management (ISVM) / Incident-Management
    • Change- & Patch-Management
    • Schwachstellenmanagement
    • Risikomanagement
    • Auslagerungsmanagement
    • IT-Service-Continuity Management (ITSCM)
    • Business Continuity Management (BCM)
    • Mobile Device Management (MDM)
    • Netzwerkmanagement
    • Logging, Monitoring & SIEM
    • IA?M / PAM
  • Bewertung und Auswahl von Tools inklusive Budgetplanung/- vergleich für den eigenen Fachbereich
  • Bewertung und Analyse von hochkritischen Informationssicherheitsereignissen
  • Vergleich verschiedener GRC-Tool-Anbieter und Schreiben der Entscheidungshilfe für die Auswahl des GRC-Tools
  • Abstimmung mit dem GRC-Tool-Anbieter zur Abbildung der Informationssicherheitsprozesse im GRC-Tool

ESMA Cloud Guidelines BAIT MaRisk KWG MiFiD II ISO 27001:2013 und ISO 27001:2022 ITILv4 KRITIS
Wertpapierhandel und Kryptoverwaltung
9 months
2021-03 - 2021-11

Software-Prüfungen

Externer Berater OWASP Mobile Security Testing Guide (MSTG) OWASP Mobile Application Security Verification Standard (ASVS)
Externer Berater

Gestaltung, Koordination und Durchführung von Software-Prüfungen von Eigenentwicklungen sowie iOS und Windows Apps.

  • Verbesserung des bestehenden Software-Prüfungskonzeptes durch Anpassung an aktuelle Entwicklungen (Änderung am Betriebssystem und Erweiterung auf Microsoft-Apps)
  • Erweiterung des Prüfungsumfangs auf Kundenwunsch
  • Einarbeitung und Verbesserung der eingesetzten Tools (eigene Softwareentwicklung)
  • Schwachstellenidentifikation und Bewertung nach CVSS
  • Ansprechpartner des Teams bei Rückfragen
  • Koordination und Verteilung der Prüfungen im Team
  • Ansprechpartner beim Kunden zur Besprechung der Ergebnisse und Handlungsempfehlungen von durchgeführten Prüfungen

OWASP Mobile Security Testing Guide (MSTG) OWASP Mobile Application Security Verification Standard (ASVS)
Automobilbranche
11 months
2021-01 - 2021-11

Security Incident Management

Externer Berater
Externer Berater

Unterstützung des internen Teams bei der Analyse und Bewertung von Sicherheitsereignissen. 

  • Analyse von eingehenden Sicherheitsereignissen im IT- und OTBereich
  • Bewertung und Priorisierung der Sicherheitsereignisse und - vorfälle
  • Erstellung von Statistiken zu Sicherheitsereignissen und - vorfällen
  • Lessons Learned mit dem internen Team zu den festgestellten Sicherheitsereignissen und -vorfällen
  • Verbesserung des Security-Incident-Management Prozesses
  • Begleitung der Behebung von Ursachen der Vorfälle

Produzierendes Gewerbe
1 year 7 months
2020-05 - 2021-11

Erstellung von Security-Konzepten

Externer Berater ISO 27001:2013 ISO 27019 BSI-Grundschutz ...
Externer Berater

Fortlaufende Beratung bezüglich einer eigenentwickelten SaaSAnwendung. Hierbei wurden mit dem Fachbereich und anderen Stake-Holder, wie Entwicklern, Sicherheitsmaßnahmen definiert und umgesetzt. Ebenso musste darauf geachtet werden, dass die internen Konzernvorgaben umgesetzt wurden und eine Dokumentation der umgesetzten Maßnahmen erstellt wurde.

  • KRITIS Betroffenheitsprüfung für den abgebildeten Prozess
  • Analyse der bereits erstellten Security-Konzepte
  • Bestimmung der Gaps zwischen Security-Konzept und Konzernvorgaben
  • Beratung bei der Auswahl des Cloud-Anbieters
  • Begleitung von Penetration-Tests der Software-as-a-Service
  • Anwendung und Unterstützung bei der Mitigation
  • Vorschlagen von Maßnahmen zur Schließung der Gaps (beispielsweise durch Erstellung eines Backup-&-RecoveryKonzeptes)
  • Überprüfung, ob das Implementationsteam die Maßnahmen korrekt umgesetzt hat (beispielsweise, ob das Backup-&- Recovery-Konzept entsprechend umgesetzt wurde)
  • Dokumentation der umgesetzten Maßnahmen
  • Ansprechpartner bei Rückfragen der Informationssicherheit vom Kunden zu ergriffenen Maßnahmen

ISO 27001:2013 ISO 27019 BSI-Grundschutz KRITIS ISO 27001
Energieversorger
9 months
2020-11 - 2021-07

PKI-Sollkonzept

Externer Berater BAIT ISO 27001:2013 BSI-Grundschutz ...
Externer Berater

Erstellung eines Public-Key-Infrastructure (PKI) Sollkonzeptes sowohl für die Mensch-zur-Maschine als auch Maschine-zur-Maschine Kommunikation.

  • Anforderungsanalyse beim Kunden, was dieser benötigt
  • Erstellung eines PKI-Sollkonzeptes anhand von gängigen Standards und regulatorischen Anforderungen
  • Abstimmung mit Umsetzungsdienstleister, was dieser zu beachten hat

BAIT ISO 27001:2013 BSI-Grundschutz ISO 27001
Banken

Aus- und Weiterbildung

Aus- und Weiterbildung

Informatik

M. Sc.

Technische Universität Ilmenau


Informatik

B. Sc.

Technische Universität Ilmenau


Zertifikate

  • ISO 27001:2013 Foundation
  • CompTIA Security+
  • Certified Ethical Hacker (CEH)
  • CCSK

Kompetenzen

Kompetenzen

Top-Skills

IT-Security Informationssicherheit Audit ISO 27001 IT-Grundschutz Digital Operational Resilience Act MiFID Cloud Security DevSecOps Secure coding NIS KRITIS CRA

Produkte / Standards / Erfahrungen / Methoden

Profil

  • Der Freiberufler ist Experte für IT-Security, Informationssicherheit und Datenschutz. Auf Grundseiner Erfahrungen in den regulierten Bereichen der Finanzdienstleistungen (Wertpapierhandel, Banken) und der kritischen Infrastruktur besitzt er umfassendes Wissen im Bereich der Regulatorik DSGVO, BDSG, DORA, NIS2, BAIT, ESMA Cloud Guidelines, KRITIS und MiFiD II, sowie der gängigen Standards, u.a. ISO 27001, BSI-Grundschutz undNIST CSF.
  • Neben der Tätigkeit als Information-Security-Officer, hat der Freiberufler sich auf das Planen und Durchführen von Prüfungen auf Grundlage gängiger Standards und der geltenden Regulatorik spezialisiert. Ebenso berät er Kunden bei der Auswahl sowie Umsetzung von Maßnahmen zur Behebung von Findings aus anderen Prüfungen.


Expertise

  • Planung & Durchführung von Informationssicherheits- und Datenschutz-Prüfungen
  • Konzeption von sicheren Entwicklungsprozessen
  • Erstellung von Richtlinien und Anforderungen auf Grundlage gängiger Standards, wie BSI-Grundschutz, ISO 27001 und NIST CSF, sowie regulatorischer Vorgaben
  • Beratung bei der Umsetzung von Maßnahmen

Branchen

Branchen

  • Wertpapierhandel
  • Kryptoverwaltung
  • Banken
  • Energieversorger
  • Automobilindustrie

Einsatzorte

Einsatzorte

Deutschland, Schweiz, Österreich
möglich

Projekte

Projekte

7 months
2024-07 - now

Assessment as a Service

Interner Experte DSGVO BDSG (neu) BAIT ...
Interner Experte

Verantwortlich für die Entwicklung und Führung des unternehmenseigenen Angebots für andere Unternehmen namens ?Assessment as a Service?. Der Kunde kann die Zyntak GmbH damit beauftragen sein komplettes Audit-Management zu führen oder beauftragt einzelne Prüfungen von internen Prozessen oder externen Dienstleistern.

  • Erstellung eines einheitlichen Prüfprozesses vom ersten Kickoff bis zur Maßnahmenabstimmung
  • Erstellung eines kombinierten Prüfkataloges, der die gängigen Informationssicherheits-Standards, wie NIST CSF 2.0 und ISO 27001, sowie Verweise auf die entsprechenden Regularien (DSGVO, DORA, NIS 2) enthält
  • Beratung und Erstellung von kundenindividuellen Prüfkatalogen auf Basis des kombinierten Kataloges
  • Erstellung des Audit-Programmes
  • Gestaltung von Prüf-Templates zur Durchführung, Dokumentation und Bewertung der Prüfungen
  • Durchführung von Prüfungen auf sowohl technischer als auch vertraglicher Ebene
  • Bewertung der Risiken (Risk-Assessments)
  • Erstellung eines Risikoregisters
  • Beratung des Kunden zu geeigneten Mitigationsmaßnahmen

DSGVO BDSG (neu) BAIT KWG NIS2 CRA DORA ESMA Cloud Guidelines NIST CSF ISO 27001:2022
Dienstleistungen
7 months
2024-07 - now

Datenschutzmanagement as a Service

Interner Experte DSGVO BDSG (neu) ISO 27001:2022 ...
Interner Experte

Mitarbeit an der Entwicklung des unternehmenseigenen Angebots ?Datenschutzmanagement as a Service?. Der Kunde kann die Zyntak GmbH damit beauftragen, sein komplettes Datenschutz-Managementsystem aufzubauen und zu betreiben.

  • Datenschutzrechtliche Dokumentation von Unternehmensprozessen
  • Erstellung von Schutzbedarfsanalysen
  • Führung des Verzeichnisses von Verarbeitungstätigkeiten (VvV) inklusive Prüfung und Begründung der Rechtsgrundlagen
  • Integration von Schutzbedarfs- und Risikoanalysen in das VvV
  • Beratung des Kunden zur Anpassung der Prozesse an datenschutzrechtliche Erfordernisse
  • Prüfung der technisch-organisatorische Maßnahmen
  • Beratung und Unterstützung bei der Umsetzung von technisch-organisatorischen Maßnahmen
  • Gestaltung eines Systems zum Dienstleistermanagement
    • Identifikation von Dienstleistern
    • Prüfung und Verhandlung von Auftragsverarbeitungsverträgen
    • ?Prüfung ?des Datenschutzmanagements der Dienstleister
  • Gestaltung aller notwendigen Governance-Dokumente (u.a. Leitlinien, Richtlinien, Betroffenen-Informationen, Datenschutzerklärungen etc.) und der Prozesse zu deren Einführung im Unternehmen
  • Gestaltung und Implementierung von Prozessen zur kontinuierlichen Fortentwicklung und Überwachung des DSMS (PDCA-Zyklus)

DSGVO BDSG (neu) ISO 27001:2022 AI Act
Dienstleistungen
1 year 2 months
2023-09 - 2024-10

Durchführung und Verbesserung der Dienstleister-Assessments

Externer Berater DSGVO BDSG (neu) BAIT ...
Externer Berater

Prüfung und Bewertung von Auslagerungen im Auftrag der Fachbereiche Outsourcing, Datenschutz und Informationssicherheit. Zusätzlich wurden parallel die Informationssicherheits- und Datenschutz-Prozesse verbessert.

  • Erstellung eines Prozesses zur Durchführung und Bewertung von Dienstleister-Assessments
  • Erstellung von Prüf- und Bewertungstemplates
  • Durchführung von ca. 400 Dienstleister-Assessments, sowohl technisch wie auch vertraglich für Dienstleister und Subdienstleister
  • Begleitung bzw. Führung von Vertragsverhandlungen für besonders wichtige / zeitkritische Auslagerungen, u.a. M365, Azure, AWS, SOC/SIEM-Dienstleister und ServiceNow
  • Bewertung der Risiken (Risk-Assessments) und Erstellung eines Risikoregisters
  • Abstimmung von Mitigationsmaßnahmen mit auslagernden Fachbereichen bezüglich rechtlicher / vertraglicher Risiken sowie Begleitung von deren Implementierung
  • Erstellung von Dokumentationen und Vorlageempfehlungen für den Vorstand


Informationssicherheit

  • Analyse der internen Informationssicherheits-Prozesse auf DORA-Konformität
  • Ausarbeitung und Implementierung von Verbesserungsmaßnahmen


Datenschutz

  • Durchführung von Datenschutz-Folgeabschätzungen (DSFA), z.B. für Prozesse unter Einsatz von M365, Azure, AWS und ServiceNow
  • Verhandlung von Auftragsverarbeitungsverträgen mit den Dienstleistern
  • Analyse der internen Datenschutz-Prozesse auf DSGVO-Konformität
  • Ausarbeitung und Implementierung von Verbesserungsmaßnahmen
  • Erstellung von Schulungsmaterial für die Mitarbeiter


Outsourcing

  • Analyse der internen Prozesse zum Outsourcing Management im Rahmen eines Toolwechsels
  • Ausarbeitung und Implementierung von Verbesserungsmaßnahmen, u.a. zur Umsetzung der EBA-Guidelines und zu den unterschiedlichen Anforderungen an wesentliche und nicht-wesentliche Auslagerungen
  • Dokumentation von Dienstleistern und deren Subdienstleistern im Outsourcing-Management-Tool
  • Erstellung von EXIT-Strategien

DSGVO BDSG (neu) BAIT KWG EBA-Guidelines ESMA Cloud Guidelines DORA NIST CSF ISO 27001:2013 und ISO 27001:2022 CSA CCM
Banken
8 months
2023-12 - 2024-07

ISO 27001 Zertifizierung

Interner Experte ISO 27001:2022 ITIL v4 BSI IT-Grundschutz
Interner Experte

Übernahme der Verantwortung als CISO für das Projekt der unternehmensweiten ISO 27001 Zertifizierung eines Softwareherstellers, der seine Software sowohl für den On-Premise-Betrieb beim Kunden anbietet sowie als SaaS gehostet in verschiedenen Public Clouds. Erstellung von Richtlinien und anhand des Risikoappetits und den Geschäftszielen des Unternehmens. Hauptansprechpartner für Fachbereiche bei Fragen zur Umsetzung von Vorgaben.

  • Durchführung einer Bedrohungsanalyse und Risikoanalyse
  • Erstellung von Richtlinien im Einklang mit dem Risikoappetit des Unternehmens
  • Analyse des IST-Zustands des Unternehmens und Aufzeigen der Points-of-Improvement
  • Prüfung der Konzepte und Prozesse von Fachbereichen auf Einhaltung der internen Vorgaben, sowie Orientierung an ITIL
  • Leitung von Workshops
  • Konfiguration von Tools in Zusammenarbeit mit der IT. Beispielsweise M365, Azure Active Directory (AAD), Sharepoint, Microsoft Defender, Microsoft Intune, GitHub

ISO 27001:2022 ITIL v4 BSI IT-Grundschutz
Softwarehersteller
11 months
2023-09 - 2024-07

KI-Risikomanagement

Interner Experte
Interner Experte

Erstellung eines Bewertungsprozesses für Risiken beim Einsatz von KI mit dem Ziel KI-Systeme zu zertifizieren

  • Recherche von wissenschaftlichen Publikationen zu KI-Modellen und Verifizierung von Eigenschaften von KIs
  • Recherche von wissenschaftlichen Publikationen zu Angriffsmethoden auf KI-Systeme
  • Erstellung eines Bewertungsprozesses von KI-Systemen
  • Erstellung einer Teststrecke inkl. Use-Cases zum Sichern von KIs

Softwarehersteller
7 months
2023-03 - 2023-09

Ziel des Enterprise Architecture Boards

Interner Experte ESMA Cloud Guidelines BAIT MaRisk ...
Interner Experte

Ziel des Enterprise Architecture Boards ist die Festlegung der unternehmensweiten IT-Strategie. Die Teilnahme am Enterprise Architecture Boards erfolgte in der Tätigkeit als Vertreter der Informationssicherheit.

  • Abgabe des Votums für die Informationssicherheit als Mitglied des Boards
  • Bewertung von verschiedenen Cloud-Betriebsmodellen und IT-Sicherheitsprüfung der verschiedenen Cloud-Anbieter
  • Beratung zu verschiedenen Lösungsvorschlägen, wie direct-connect vs. VPN, IAM/PAM-Umsetzung in der Cloud
  • Definition der Sicherheitsanforderungen an eine Cloud
  • Abstimmung mit der IT bzgl. der sicheren Gestaltung der CloudArchitektur
  • Begleitung der Überführung der bis dahin hauptsächlich OnPrem laufenden Systeme in eine Cloud Umgebung

ESMA Cloud Guidelines BAIT MaRisk ISO 27001:2013 und ISO 27001:2022 KRITIS
Wertpapierhandel und Kryptoverwaltung
11 months
2022-11 - 2023-09

KRITIS Vorbereitung

Interner Experte KRITIS
Interner Experte

Unterstützung beim Aufbau eines IKS für die KRITIS relevanten Dienstleistungen des Unternehmens, sowie Begleitung der internen Prüfungen.

  • Durchführung der KRITIS-Betroffenheitsprüfung
  • Gestaltung und Prüfung der Kontrollen auf Vollständigkeit gegen die ?Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 und Absatz 1a BSIG umzusetzenden Maßnahmen?
  • Konzeption der Bewertungsmetriken von internen Kontrollen
  • Begleitung der internen Prüfungen

KRITIS
Wertpapierhandel und Kryptoverwaltung
1 year 2 months
2022-08 - 2023-09

Optimierung des Softwareprozesses

Interner Experte OWASP SAMM (Software Assurance Maturity Model) NIST SSDF (Secure Software Development Framework)
Interner Experte

Analyse und Verbesserung des bestehenden Entwicklungsprozesses, sodass dieser die Secure Coding Prinzipien nach OWASP und NIST umsetzt und den Informationssicherheitsvorgaben des Unternehmens gerecht wird.

  • Analyse bestehender Entwicklungsprozesse
  • Konzeption eines sicheren Entwicklungsprozesses
  • Schulung des Entwicklungsteams auf die internen Vorgaben
  • Beratung des Entwicklungsteam bei der Umsetzung der Aufgaben (z.B. Umsetzung des 4-Augen-Prinzips in Jira Service Management, Auswahl des Verschlüsselungsalgorithmus in MSSQL oder Auswahl von Code-Analyse-Tools)

OWASP SAMM (Software Assurance Maturity Model) NIST SSDF (Secure Software Development Framework)
Wertpapierhandel und Kryptoverwaltung
1 year 6 months
2022-04 - 2023-09

Gestaltung der Schutzbedarfsanalysen

Interner Experte ESMA Cloud Guidelines BAIT MaRisk ...
Interner Experte

Unterstützung der Kollegen bei der Gestaltung der Schutzbedarfsanalysen, sodass diese zu den von mir gestalteten IS-Audits und zum Risikomanagement passen

  • Konzeption der abgefragten Metriken bei der Schutzbedarfsanalyse, sodass diese an die Folgeprozesse (Auditmanagement, Risikobewertung) alle nötigen Informationen liefern kann
  • Sparring-Partner bei der Erstellung des Bewertungsprozesses bzw. der Verrechnung der einzelnen Metriken
  • Durchführung von Schutzbedarfsanalysen mit den Fachbereichen, sowie Ansprechpartner für Rückfragen zu den Schutzbedarfsanalysen

ESMA Cloud Guidelines BAIT MaRisk ISO 27001:2013 und ISO 27001:2022 KRITIS
Wertpapierhandel und Kryptoverwaltung
1 year 11 months
2021-11 - 2023-09

Unterstützung beim Aufbau des Informationssicherheitsrisikomanagements

Interner Experte ESMA Cloud Guidelines BAIT MaRisk ...
Interner Experte

Unterstützung der Kollegen beim Aufbau des Informationssicherheitsrisikomanagements, sodass dieses zu den Vorprozessen (Schutzbedarfsanalyse, IS-Audits, Schwachstellenmanagement) passt.

  • Konzeption der Bewertung von Risiken nach den CERT-Bund Empfehlungen, sodass sie zum Bewertungsschema von Audit-Findings und Schwachstellen passen
  • Sparring-Partner für den Aufbau des Bedrohungs- und Risikokatalogs
  • Durchführung von Risikobewertungen, sowie Ansprechpartner für Rückfragen zum Informationssicherheitsrisikomanagement

ESMA Cloud Guidelines BAIT MaRisk ISO 27001:2013 und ISO 27001:2022 KRITIS
Wertpapierhandel und Kryptoverwaltung
1 year 11 months
2021-11 - 2023-09

Aufbau Auditmanagement

Interner Experte ESMA Cloud Guidelines BAIT MaRisk ...
Interner Experte

Übernahme des Aufbaus des Audit-Managements und federführende Steuerung der Mitarbeiter und Dienstleister, die für das Audit-Team tätig waren.

  • Konzeption der Auditprozesse zur Planung und Prüfung von Systemen und ggfs. deren Dienstleister
  • Erstellung von Bewertungsprozessen nach gängigen Standards (CVSS, MITRE ATT&CK)
  • Steuerung der Mitarbeiter und Dienstleister im Rahmen der Durchführung von IS-Audits
  • Erstellung des Audit-Programms (Planung der Audits für die nächsten drei Jahre)
  • Erstellung von Prüfkatalogen anhand der internen Vorgaben
  • Erstellung von Kapazitätsplanungen der Team-Mitglieder (interne und externe) für das kommende Jahr
  • Planung des Budgetbedarfs für externe Unterstützung, durchzuführende Penetrationtests und Tools, die in diesem Bereich unterstützen
  • Angebotsvergleiche und Kostenabschätzung von verschiedenen Alternativen (z.B. PenTest-Anbieter gegen PenTest-Tools)
  • Schulung von internen Mitarbeitern und externen Dienstleistern zur Prüfung von IT-Systemen
  • Gestaltung der Übergabe von Audit-Findings in das Schwachstellenmanagement
  • Mitgestaltung der Schwachstellenprozesse (Bewertung nach CVSS, Festlegung der Mitigationszeiten nach Kritikalität)

ESMA Cloud Guidelines BAIT MaRisk KWG MiFiD II ISO 27001:2013 und ISO 27001:2022 KRITIS
Wertpapierhandel und Kryptoverwaltung
1 year 11 months
2021-11 - 2023-09

Durchführung von Audits

Interner Experte ESMA Cloud Guidelines BAIT MaRisk ...
Interner Experte

Operative Ausführung von Prüfungen von IT-Systemen und Prozessen

  • Validierung von Schutzbedarfsanalysen
  • Prüfung von Prozessen, ob die organisatorischen Vorgaben eingehalten wurden
  • IT-Architekturanalysen von IT-Systemen, wie Kryptoverwaltung inklusive Blockchain-Nodes, MTF, Handelsplattformen insbesondere im Kontext der angewandten Technologien, wie:
    • Containerisierung (Docker, Kubernetes, VMWare)
    • Cloud (AWS, Azure)
    • Datenbanken (MySQL,PostgreSQL)
    • Betriebssysteme (Windows, RedHeadLinux, CentOS, Ubuntu)
    • Pro?grammiersprachen (Objective-C, C/C++, C#, Java, Python, Bash)
  • Identifizierung und Bewertung von Angriffsvektoren und Angreifer-Profilen anhand der IT-Architekturanalyse sowie der nicht umgesetzten organisatorischen Vorgaben
  • Identifizierung von Findings / Schwachstellen anhand der Angriffsvektoren und Angreifer-Profile
  • Identifizierung von Maßnahmen zur Behebung der Findings
  • Abstimmung der Maßnahmen mit den Verantwortlichen und gemeinsame Erstellung eines Maßnahmenplans
  • Planung und Begleitung von Penetration-Tests inklusive Unterstützung bei der Mitigation
  • Beratung der Fachbereiche während der Neuentwicklung oder Anpassung von Systemen in Bezug auf Informationssicherheitsanforderungen und wie diese in dem konkreten Projekt umgesetzt werden können
  • Unterstützung bei der Entwicklung von IT-Systemen als Security-Architect in der Design-Phase
  • Begleitung von PenTests / Penetrationtests und Unterstützung bei der Bewertung der Ergebnisse

ESMA Cloud Guidelines BAIT MaRisk KWG MiFiD II ISO 27001:2013 und ISO 27001:2022 KRITIS
Wertpapierhandel und Kryptoverwaltung
1 year 11 months
2021-11 - 2023-09

Informationssicherheit

Referent Informationssicherheit, Interner Experte ESMA Cloud Guidelines BAIT MaRisk ...
Referent Informationssicherheit, Interner Experte

Allgemeine Aufgaben im Informationssicherheitsmanagement, die zusätzlich zu den anderen genannten Projekten durchgeführt wurden.

  • Mitgestaltung aller informationssicherheitsrelevanter Richtlinien und Korrektur der Richtlinien bei Abweichungen zu gängiger Regulatorik, Standards oder Widersprüchen innerhalb der Sollmaßnahmen
  • Unterstützung bei der Erstellung von Quartalsberichten inklusive Kontrolle der Richtigkeit der getätigten Angaben, wie Risikostände, Schwachstellenbefunde und Auditergebnisse
  • Kontrolle welche regulatorischen Anforderungen bei IT-Projekten einzuhalten sind (z.B. KRITIS Betroffenheit)
  • Beratung der Fachbereiche bei der Umsetzung von Maßnahmen, z.B. Key-Lifecycle-Management, Protokollinfrastruktur, Sharepoint- und Intune-Konfiguration, Azure-Richtlinienscans
  • Erstellung von Phishing-Kampagnen
  • Zusammenarbeit mit anderen Fachbereichen in der Prozessgestaltung:
    • Informationssicherheitsvorfall-Management (ISVM) / Incident-Management
    • Change- & Patch-Management
    • Schwachstellenmanagement
    • Risikomanagement
    • Auslagerungsmanagement
    • IT-Service-Continuity Management (ITSCM)
    • Business Continuity Management (BCM)
    • Mobile Device Management (MDM)
    • Netzwerkmanagement
    • Logging, Monitoring & SIEM
    • IA?M / PAM
  • Bewertung und Auswahl von Tools inklusive Budgetplanung/- vergleich für den eigenen Fachbereich
  • Bewertung und Analyse von hochkritischen Informationssicherheitsereignissen
  • Vergleich verschiedener GRC-Tool-Anbieter und Schreiben der Entscheidungshilfe für die Auswahl des GRC-Tools
  • Abstimmung mit dem GRC-Tool-Anbieter zur Abbildung der Informationssicherheitsprozesse im GRC-Tool

ESMA Cloud Guidelines BAIT MaRisk KWG MiFiD II ISO 27001:2013 und ISO 27001:2022 ITILv4 KRITIS
Wertpapierhandel und Kryptoverwaltung
9 months
2021-03 - 2021-11

Software-Prüfungen

Externer Berater OWASP Mobile Security Testing Guide (MSTG) OWASP Mobile Application Security Verification Standard (ASVS)
Externer Berater

Gestaltung, Koordination und Durchführung von Software-Prüfungen von Eigenentwicklungen sowie iOS und Windows Apps.

  • Verbesserung des bestehenden Software-Prüfungskonzeptes durch Anpassung an aktuelle Entwicklungen (Änderung am Betriebssystem und Erweiterung auf Microsoft-Apps)
  • Erweiterung des Prüfungsumfangs auf Kundenwunsch
  • Einarbeitung und Verbesserung der eingesetzten Tools (eigene Softwareentwicklung)
  • Schwachstellenidentifikation und Bewertung nach CVSS
  • Ansprechpartner des Teams bei Rückfragen
  • Koordination und Verteilung der Prüfungen im Team
  • Ansprechpartner beim Kunden zur Besprechung der Ergebnisse und Handlungsempfehlungen von durchgeführten Prüfungen

OWASP Mobile Security Testing Guide (MSTG) OWASP Mobile Application Security Verification Standard (ASVS)
Automobilbranche
11 months
2021-01 - 2021-11

Security Incident Management

Externer Berater
Externer Berater

Unterstützung des internen Teams bei der Analyse und Bewertung von Sicherheitsereignissen. 

  • Analyse von eingehenden Sicherheitsereignissen im IT- und OTBereich
  • Bewertung und Priorisierung der Sicherheitsereignisse und - vorfälle
  • Erstellung von Statistiken zu Sicherheitsereignissen und - vorfällen
  • Lessons Learned mit dem internen Team zu den festgestellten Sicherheitsereignissen und -vorfällen
  • Verbesserung des Security-Incident-Management Prozesses
  • Begleitung der Behebung von Ursachen der Vorfälle

Produzierendes Gewerbe
1 year 7 months
2020-05 - 2021-11

Erstellung von Security-Konzepten

Externer Berater ISO 27001:2013 ISO 27019 BSI-Grundschutz ...
Externer Berater

Fortlaufende Beratung bezüglich einer eigenentwickelten SaaSAnwendung. Hierbei wurden mit dem Fachbereich und anderen Stake-Holder, wie Entwicklern, Sicherheitsmaßnahmen definiert und umgesetzt. Ebenso musste darauf geachtet werden, dass die internen Konzernvorgaben umgesetzt wurden und eine Dokumentation der umgesetzten Maßnahmen erstellt wurde.

  • KRITIS Betroffenheitsprüfung für den abgebildeten Prozess
  • Analyse der bereits erstellten Security-Konzepte
  • Bestimmung der Gaps zwischen Security-Konzept und Konzernvorgaben
  • Beratung bei der Auswahl des Cloud-Anbieters
  • Begleitung von Penetration-Tests der Software-as-a-Service
  • Anwendung und Unterstützung bei der Mitigation
  • Vorschlagen von Maßnahmen zur Schließung der Gaps (beispielsweise durch Erstellung eines Backup-&-RecoveryKonzeptes)
  • Überprüfung, ob das Implementationsteam die Maßnahmen korrekt umgesetzt hat (beispielsweise, ob das Backup-&- Recovery-Konzept entsprechend umgesetzt wurde)
  • Dokumentation der umgesetzten Maßnahmen
  • Ansprechpartner bei Rückfragen der Informationssicherheit vom Kunden zu ergriffenen Maßnahmen

ISO 27001:2013 ISO 27019 BSI-Grundschutz KRITIS ISO 27001
Energieversorger
9 months
2020-11 - 2021-07

PKI-Sollkonzept

Externer Berater BAIT ISO 27001:2013 BSI-Grundschutz ...
Externer Berater

Erstellung eines Public-Key-Infrastructure (PKI) Sollkonzeptes sowohl für die Mensch-zur-Maschine als auch Maschine-zur-Maschine Kommunikation.

  • Anforderungsanalyse beim Kunden, was dieser benötigt
  • Erstellung eines PKI-Sollkonzeptes anhand von gängigen Standards und regulatorischen Anforderungen
  • Abstimmung mit Umsetzungsdienstleister, was dieser zu beachten hat

BAIT ISO 27001:2013 BSI-Grundschutz ISO 27001
Banken

Aus- und Weiterbildung

Aus- und Weiterbildung

Informatik

M. Sc.

Technische Universität Ilmenau


Informatik

B. Sc.

Technische Universität Ilmenau


Zertifikate

  • ISO 27001:2013 Foundation
  • CompTIA Security+
  • Certified Ethical Hacker (CEH)
  • CCSK

Kompetenzen

Kompetenzen

Top-Skills

IT-Security Informationssicherheit Audit ISO 27001 IT-Grundschutz Digital Operational Resilience Act MiFID Cloud Security DevSecOps Secure coding NIS KRITIS CRA

Produkte / Standards / Erfahrungen / Methoden

Profil

  • Der Freiberufler ist Experte für IT-Security, Informationssicherheit und Datenschutz. Auf Grundseiner Erfahrungen in den regulierten Bereichen der Finanzdienstleistungen (Wertpapierhandel, Banken) und der kritischen Infrastruktur besitzt er umfassendes Wissen im Bereich der Regulatorik DSGVO, BDSG, DORA, NIS2, BAIT, ESMA Cloud Guidelines, KRITIS und MiFiD II, sowie der gängigen Standards, u.a. ISO 27001, BSI-Grundschutz undNIST CSF.
  • Neben der Tätigkeit als Information-Security-Officer, hat der Freiberufler sich auf das Planen und Durchführen von Prüfungen auf Grundlage gängiger Standards und der geltenden Regulatorik spezialisiert. Ebenso berät er Kunden bei der Auswahl sowie Umsetzung von Maßnahmen zur Behebung von Findings aus anderen Prüfungen.


Expertise

  • Planung & Durchführung von Informationssicherheits- und Datenschutz-Prüfungen
  • Konzeption von sicheren Entwicklungsprozessen
  • Erstellung von Richtlinien und Anforderungen auf Grundlage gängiger Standards, wie BSI-Grundschutz, ISO 27001 und NIST CSF, sowie regulatorischer Vorgaben
  • Beratung bei der Umsetzung von Maßnahmen

Branchen

Branchen

  • Wertpapierhandel
  • Kryptoverwaltung
  • Banken
  • Energieversorger
  • Automobilindustrie

Vertrauen Sie auf Randstad

Im Bereich Freelancing
Im Bereich Arbeitnehmerüberlassung / Personalvermittlung

Fragen?

Rufen Sie uns an +49 89 500316-300 oder schreiben Sie uns:

Das Freelancer-Portal

Direktester geht's nicht! Ganz einfach Freelancer finden und direkt Kontakt aufnehmen.