• Durchführung einer GAP-Analyse mit Fokus auf Sicherheitstests und IKT-Risikomanagement mit dem Ziel die DORA -Konformität zu bewerten
• Erstellung eines Auditplans (Auditziel, Auditumfang, Termine, ?)
• Planung und Durchführung von Interviews mit den Fachbereichen
• Abstimmung mit Stakeholdern aus der IT -Security, den Compliance -Funktionen, wie dem Informationssicherheitsbeauftragten, und Anwendungsentwicklung
• Unterstützung des Informationssicherheitsbeauftragten bei der Weiterentwicklung der Regelwerke und Leitlinien im Rahmen des DORA -Lifecycles
• Koordination und fachliche Steuerung der Maßnahmen zur Schließung der identifizierten GAPs

• Auslegung von regulatorischen Anforderungen aus DORA: Erarbeitung einer Definition für die Anforderung der starken Authentifizierung für privilegierte und nicht -privilegierte Benutzerkonten
• Erhebung und Analyse der Anforderungen aller relevanten Stakeholder an MFA - Prozesse und -Tools
• Entwurf eines MFA-Konzepts für den MFA -Einsatz im PAM -System sowie Bank weit
• Auswertung von Lösungsalternativen für privilegierte und nicht -privilegierte Benutzerkonten inkl. Toolvergleich und Budgetplanung unter Beachtung von Management-Vorgaben, wie z.B.
  • Ausschluss von Authenticator Apps
  • Evaluierung, ob die Verfahren Phishing -resistent sind
• Entwurf von Lifecycle -Prozessen (Onboarding, Mover, Leaver, Verlust/Revo cation)
• Planung von Backup -Strategien um Arbeitsunterbrechungen bei Verlust des physischen Faktors zu verhindern
• Technischer Beratung bei der Implementation und Umsetzung von MFA über EntraID

• Erstellung eines übergreifenden PAM Governance-Konzeptes zur Erfüllung der regulatorischen Anforderungen an Banken und Einrichtungen öffentlichen Rechts
• Erstellung des IT-Sicherheits- und Datenschutzkonzepten für das PAM, inklusive Netzwerkmanagement & -segmentierung, sowie der benötigten Firewall - Freischaltungen
• Abstimmung mit Stakeholdern aus der IT und den Compliance -Funktionen, beispielsweise Interne Revision, BCM, Informationssicherheit, Datenschutz, sowie Herstellern
• Prüfung des vom Dienstleister entworfenen Notfallkonzeptes auf Einhaltung der regulatorischen Vorgaben
• Kontrolle der vom Implementierungsdienstleister erstellten Dokumentation, sowie die Steuerung der Behebung von Fehlern in der Dokumentation
• Abstimmung mit dem Implementierungsteam in wöchentlichen Sprints zur technischen und prozessualen Gestaltung des PAM -Systems, u.a.
  • Sicherung von Schnittstellen/ APIs
  • Definition von SIEM Use-Cases
  • Festlegung der Verschlüsselungsalgorithmen
• Einführung eines Prozesses zur datenschutzkonformen Einsichtnahme in Bildschirm -Aufzeichnungen
• Erstellung eines Schulungskonzeptes für die internen Mitarbeiter
• Halten von mehreren Schulungsterminen im Rahmen der PAM -Einführung
• Bewertung und Priorisierung von PenTest -Findings sowie Beratung zur Festlegung von Maßnahmen
• Durchführung und Dokumentation einer Datenschutzfolgenabschätzung - inkl. Sozialdaten
• Erarbeitung von Entscheidungsvorlagen zum Einsatz von KI in den PAM-Prozessen

• Fachliche Konzeption und Gestaltung von ein - und mehrtägigen Schulungen und Zertifizierungslehrgängen zu verschiedenen Security -Themen, u.a.
  • Rechtliche Grundlagen und praktische Umsetzung der NIS 2-Richtlinie
  • Datenschutzkonformer Einsatz von KI im Mittelstand
  • Cyber Resilience Act ? Rechtliche Grundlagen und praktische Umsetzung
  • Sichere Entwicklung ? Einführung von DevSecOps in Unternehmen
  • Härtung und Compliance Anforderungen an M 365
  • Security Manager: der Zertifizierungslehrgang zur Weiterbildung von Fachkräften im Bereich Datensicherheit (z.B. CISOs, DSB, ISB, IT -Leiter) vermittelt breit aufgestelltem Wissen und erprobte Best Practices in IT -Security Fragen (u.a. Risiko -Management, Change-Management, Incident Management, Datenschutz und sonstiger relevanter Regulatorik)
• Durchführung der Schulungen

• Erstellung eines einheitlichen Prüfprozesses vom ersten Kickoff bis zur Maßnahmenabstimmung
• Erstellung eines kombinierten Prüfkataloges, der die gängigen Informationssicherheits -Standards, wie NIST CSF 2.0 und ISO 27001, sowie Verweise auf die entsprechenden Regularien (DSGVO, DORA, NIS 2) enthält
• Beratung und Erstellung von kundenindividuellen Prüfkatalogen auf Basis des kombinierten Kataloges
• Überprüfung, ob der Kunde branchenspezifischer Regulatorik unterfällt (z.B. im Banken- oder öffentlichen Sektor) und bei Bedarf Ergänzung des Prüfkatalogs
• Erstellung des Audit -Programmes
• Gestaltung von Prüf -Templates zur Durchführung, Dokumentation und Bewertung der Prüfungen
• Durchführung von Prüfungen auf sowohl technischer als auch vertraglicher Ebene
• Bewertung der Risiken (Risk -Assessments)
• Erstellung eines Risikoregisters
• Beratung des Kunden zu geeigneten Mitigation-Maßnahmen

Mitarbeit an der Entwicklung des unternehmenseigenen Angebots ?Datenschutzmanagement as a Service?. Der Kunde kann die Zyntak GmbH damit beauftragen, sein komplettes Datenschutz-Managementsystem aufzubauen und zu betreiben.

• Datenschutzrechtliche Dokumentation von Unternehmensprozessen
• Erstellung von Schutzbedarfsanalysen
• Führung des Verzeichnisses von Verarbeitungstätigkeiten (VvV) inklusive Prüfung und Begründung der Rechtsgrundlagen
• Integration von Schutzbedarfs- und Risikoanalysen in das VvV
• Beratung des Kunden zur Anpassung der Prozesse an datenschutzrechtliche Erfordernisse
• Prüfung der technisch-organisatorische Maßnahmen
• Beratung und Unterstützung bei der Umsetzung von technisch-organisatorischen Maßnahmen
• Gestaltung eines Systems zum Dienstleistermanagement
  • Identifikation von Dienstleistern
  • Prüfung und Verhandlung von Auftragsverarbeitungsverträgen
  • ?Prüfung ?des Datenschutzmanagements der Dienstleister
• Gestaltung aller notwendigen Governance-Dokumente (u.a. Leitlinien, Richtlinien, Betroffenen-Informationen, Datenschutzerklärungen etc.) und der Prozesse zu deren Einführung im Unternehmen
• Gestaltung und Implementierung von Prozessen zur kontinuierlichen Fortentwicklung und Überwachung des DSMS (PDCA-Zyklus)

• Erstellung einer Anforderungsliste nach AI -Act für Hochrisiko -KI -Systeme und nicht -Hochrisiko -KI -Systeme
• Durchführung der nach AI -Act erforderlichen Prüfung, ob es sich bei der geplanten Automatisierungslösung um eine Hochrisiko -KI handelt
• Anpassung des Bewertungsprozesses derart, dass die Automatisierungslösung nicht als Hochrisiko -KI eingestuft wird
• Überprüfung und ggf. Anpassung des Bewertungsprozesses im Hinblick auf Datenschutzrisiken
• Analyse, ob die Bank KRITIS -relevante Anlagen betreibt
• Vergleich von verschiedenen Lösungen (Eventbasierte Workflows über TIM oder UC4, Decision -Trees, LLM, Reinforced-Learning)
• Erstellung eines Pflichtenhefts für die vom Kunden gewählte Lösung zur Vorbereitung des Beschaffungsprozesses

• Erstellung eines neuen Prozesses zur Durchführung und Bewertung von Dienstleistern, welcher es ermöglicht Prüfungen innerhalb von einer Woche durchzuführen, statt wie zuvor mehrere Monate
• Erstellung von Prüf- und Bewertungstemplates, welche eine standardisierte Prüfung ermöglichen
• Gestaltung eines Prozesses zur Durchführung von Risk -Assessment inkl. entsprechender Dokumentation
• Planung und Dokumentation der bevorstehenden Dienstleister -Assessments in Confluence
• Durchführung von ca. 400 Dienstleister -Assessments, sowohl technisch wie auch vertraglich für Dienstleister und Subdienstleister innerhalb eines Jahres u.a.
  • Betreiber von Rechenzentren
  • Managed Kubernetes
  • Managed Kafka
  • SOC/SIEM
  • Docker
• Begleitung bzw. Führung von Vertragsverhandlungen für wesentliche IKT-Auslagerungen, u.a. M365, Azure, AWS, SOC/SIEM -Dienstleister und ServiceNow
• Schwachstellenbewertung und Abtleitung der Risiken
• Erstellung eines Risikoregisters
• Abstimmung von Migrationsmaßnahmen mit auslagernden Fachbereichen bzgl. rechtlicher/ vertraglicher Risiken
• Begleitung der Implementierung von technischen Migrationsmaßnahmen inkl. der Beratung zu Umsetzungsoptionen . bspw.
  • Abwägung zwischen der Aggregation von Cloud -Logs in Cloud-Watch und anschließende Weiterleitung in die SIEM vs. direkte Anbindung an die SIEM
  • Containerisierung über Docker, Kubernetes und OpenShift
• Erstellung von klar strukturierten Dokumentationen und Vorlageempfehlungen für den Vorstand

• Analyse der internen Informationssicherheits-Prozesse auf DORA -Konformität
• Ausarbeitung und Implementierung von Verbesserungsmaßnahmen
• Beratung und Unterstützung des Informationssicherheitsbeauftragten bei der strategischen Neuausrichtung des Teams in Bezug auf die veränderten regulatorischen Anforderungen und daraus resultierenden Prozessänderungen. Dabei u.a. auch Begleitung in Management-Meetings
• Unterstützung durch Begleitung von PenTests, z.B. des SIEMs 

• Durchführung von Datenschutz -Folgenabschätzungen (DSFA) z.B. für Prozesse die M365, Azure, AWS und ServiceNow nutzten
• Durchführung von DSFAs zu Prozessen in denen Sozialdaten verarbeitet wurden
• Verhandlung von Auftragsverarbeitungsverträgen mit den Dienstleistern
• Analyse der internen Datenschutz -Prozesse auf DSGVO -Konformität
• Ausarbeitung und Implementierung von Verbesserungsmaßnahmen
• Beratung und Unterstützung des Datenschutzbeauftragten bei der strategischen Neuausrichtung des Teams in Bezug auf die veränderten strategischen Anforderungen und daraus resultierenden Prozessänderungen
• Erstellung von Schulungsmaterial für die Mitarbeiter

• Analyse der internen Prozesse zum Outsourcing Management im Rahmen eines Toolwechsels
• Ausarbeitung und Implementierung von Verbesserungsmaßnahmen, u.a. zur Umsetzung der EBA -Guidelines und zu den unterschiedlichen Anforderungen an wesentliche und nicht -wesentliche Auslagerungen
• Dokumentation von Dienstleistern und deren Subdienstleistern im Outsourcing -Management-Tool
• Erstellung der EXIT -Strategien aller wesentlichen IKT-Auslagerungen (ca. 15 Stück, u.a. zu AWS, Azure, M365, ServiceNow, Rechenzentren, SOC-Dienstleiste )
• Erstellung von Cloud -Migrationsstrategien für alle wesentlichen IKT -Auslagerungen mit Cloud -bezug u.a. AWS, Azure, M365, ServiceNow

Die Tätigkeit als CISO umfasst e unter anderem den Entwurf der Informationssicherheitsstrategie des Unternehmens , sowie die Umsetzung der informationssicherheitsrelevanten Maßnahmen in Zusammenarbeit mit der Geschäftsführung, sowie den Prozess - und Asset -Ownern.

• Leitung des ISO 27001 Implementierungsprojektes
• Vorbereitung der ISO 27001 Zertifizierung
• Erstellung von Leit- und Richtlinien im Einklang mit dem Risikoappetit des Unternehmens
• Analyse des IST -Zustands des Unternehmens inkl. Schwachstellenbewertung
• Aufzeigen der Points-of-Improvement
• Prüfung der Konzepte und Prozesse von Fachbereichen auf Einhaltung der internen Vorgaben, sowie Orientierung an ITIL
• Leitung von Workshops
• Einführung der Softwareentwicklungsrichtlinie und DevSecOps
• Erstellung von Trainingsmaterialien und Durchführung von internen und externen Schulungen
• Kontrolle der Informationssicherheit durch die Durchführung von internen Audits
• Zentraler Ansprechpartner des Informationssicherheitsvorfallmanagement
• Technische Beratung zum sicheren Einsatz von Technologien:
  • Containerisierung (Docker, Kubernetes)
  • Cloud (Open Telekom Cloud - OTC, StackIT, AWS)
  • Logging (Fluentd, Log Tanks der OTC, Cloudwatch)
  • Betriebssysteme (RedHat based ? EulerOS, CentOS, RedHat)
  • Monitoring (Grafana, Prometheus)
  • Objektspeicher (OBS der OTC, AWS S3)
  • Authentifizierung (SAML, oAuth, OpenID -Connect)
• Unterstützung bei der Auswahl eines neuen Cloud Anbieters im Rahmen einer Cloud-Migration inkl. Vorschläge zur Architekturanpassung, um zukünftige Cloud-Migrationen zu erleichtern
• Gestaltung bei der Entwicklung einer gesicherten Schnittstelle zum Austausch von Daten über eine REST -API (API -Management)
• Sichere Konfiguration von Tools in Zusammenarbeit mit der IT:
  • Microsoft-Produkte: M365, Azure Active Directory (AAD), SharePoint, Microsoft Defender, Microsoft Intune
  • Code-Repositories: GitHub
  • Cloud Infrastruktur: StackIT, Open Telekom Cloud

Erstellung eines Bewertungsprozesses für Risiken beim Einsatz von KI mit dem Ziel KI-Systeme zu zertifizieren

• Recherche von wissenschaftlichen Publikationen zu KI-Modellen und Verifizierung von Eigenschaften von KIs
• Recherche von wissenschaftlichen Publikationen zu Angriffsmethoden auf KI-Systeme
• Erstellung eines Bewertungsprozesses von KI-Systemen
• Erstellung einer Teststrecke inkl. Use-Cases zum Sichern von KIs

Ziel des Enterprise Architecture Boards ist die Festlegung der unternehmensweiten IT-Strategie. Die Teilnahme am Enterprise Architecture Boards erfolgte in der Tätigkeit als Vertreter der Informationssicherheit.

• Abgabe des Votums für die Informationssicherheit als Mitglied des Boards
• Bewertung von verschiedenen Cloud-Betriebsmodellen und IT-Sicherheitsprüfung der verschiedenen Cloud-Anbieter
• Beratung zu verschiedenen Lösungsvorschlägen, wie direct-connect vs. VPN, IAM/PAM-Umsetzung in der Cloud
• Definition der Sicherheitsanforderungen an eine Cloud
• Abstimmung mit der IT bzgl. der sicheren Gestaltung der CloudArchitektur
• Begleitung der Überführung der bis dahin hauptsächlich OnPrem laufenden Systeme in eine Cloud Umgebung

Unterstützung beim Aufbau eines IKS für die KRITIS relevanten Dienstleistungen des Unternehmens, sowie Begleitung der internen Prüfungen.

• Durchführung der KRITIS-Betroffenheitsprüfung
• Gestaltung und Prüfung der Kontrollen auf Vollständigkeit gegen die ?Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 und Absatz 1a BSIG umzusetzenden Maßnahmen?
• Konzeption der Bewertungsmetriken von internen Kontrollen
• Begleitung der internen Prüfungen

Analyse und Verbesserung des bestehenden Entwicklungsprozesses, sodass dieser die Secure Coding Prinzipien nach OWASP und NIST umsetzt und den Informationssicherheitsvorgaben des Unternehmens gerecht wird.

• Analyse bestehender Entwicklungsprozesse
• Konzeption eines sicheren Entwicklungsprozesses
• Schulung des Entwicklungsteams auf die internen Vorgaben
• Beratung des Entwicklungsteam bei der Umsetzung der Aufgaben (z.B. Umsetzung des 4-Augen-Prinzips in Jira Service Management, Auswahl des Verschlüsselungsalgorithmus in MSSQL oder Auswahl von Code-Analyse-Tools)

Unterstützung der Kollegen bei der Gestaltung der Schutzbedarfsanalysen, sodass diese zu den von mir gestalteten IS-Audits und zum Risikomanagement passen

• Konzeption der abgefragten Metriken bei der Schutzbedarfsanalyse, sodass diese an die Folgeprozesse (Auditmanagement, Risikobewertung) alle nötigen Informationen liefern kann
• Sparring-Partner bei der Erstellung des Bewertungsprozesses bzw. der Verrechnung der einzelnen Metriken
• Durchführung von Schutzbedarfsanalysen mit den Fachbereichen, sowie Ansprechpartner für Rückfragen zu den Schutzbedarfsanalysen

Unterstützung der Kollegen beim Aufbau des Informationssicherheitsrisikomanagements, sodass dieses zu den Vorprozessen (Schutzbedarfsanalyse, IS-Audits, Schwachstellenmanagement) passt.

• Konzeption der Bewertung von Risiken nach den CERT-Bund Empfehlungen, sodass sie zum Bewertungsschema von Audit-Findings und Schwachstellen passen
• Sparring-Partner für den Aufbau des Bedrohungs- und Risikokatalogs
• Durchführung von Risikobewertungen, sowie Ansprechpartner für Rückfragen zum Informationssicherheitsrisikomanagement

Übernahme des Aufbaus des Audit-Managements und federführende Steuerung der Mitarbeiter und Dienstleister, die für das Audit-Team tätig waren.

• Konzeption der Auditprozesse zur Planung und Prüfung von Systemen und ggfs. deren Dienstleister
• Erstellung von Bewertungsprozessen nach gängigen Standards (CVSS, MITRE ATT&CK)
• Steuerung der Mitarbeiter und Dienstleister im Rahmen der Durchführung von IS-Audits
• Erstellung des Audit-Programms (Planung der Audits für die nächsten drei Jahre)
• Erstellung von Prüfkatalogen anhand der internen Vorgaben
• Erstellung von Kapazitätsplanungen der Team-Mitglieder (interne und externe) für das kommende Jahr
• Planung des Budgetbedarfs für externe Unterstützung, durchzuführende Penetrationtests und Tools, die in diesem Bereich unterstützen
• Angebotsvergleiche und Kostenabschätzung von verschiedenen Alternativen (z.B. PenTest-Anbieter gegen PenTest-Tools)
• Schulung von internen Mitarbeitern und externen Dienstleistern zur Prüfung von IT-Systemen
• Gestaltung der Übergabe von Audit-Findings in das Schwachstellenmanagement
• Mitgestaltung der Schwachstellenprozesse (Bewertung nach CVSS, Festlegung der Mitigationszeiten nach Kritikalität)

Operative Ausführung von Prüfungen von IT-Systemen und Prozessen

• Validierung von Schutzbedarfsanalysen
• Prüfung von Prozessen, ob die organisatorischen Vorgaben eingehalten wurden
• IT-Architekturanalysen von IT-Systemen, wie Kryptoverwaltung inklusive Blockchain-Nodes, MTF, Handelsplattformen insbesondere im Kontext der angewandten Technologien, wie:
  • Containerisierung (Docker, Kubernetes, VMWare)
  • Cloud (AWS, Azure)
  • Datenbanken (MySQL,PostgreSQL)
  • Betriebssysteme (Windows, RedHeadLinux, CentOS, Ubuntu)
  • Pro?grammiersprachen (Objective-C, C/C++, C#, Java, Python, Bash)
• Identifizierung und Bewertung von Angriffsvektoren und Angreifer-Profilen anhand der IT-Architekturanalyse sowie der nicht umgesetzten organisatorischen Vorgaben
• Identifizierung von Findings / Schwachstellen anhand der Angriffsvektoren und Angreifer-Profile
• Identifizierung von Maßnahmen zur Behebung der Findings
• Abstimmung der Maßnahmen mit den Verantwortlichen und gemeinsame Erstellung eines Maßnahmenplans
• Planung und Begleitung von Penetration-Tests inklusive Unterstützung bei der Mitigation
• Beratung der Fachbereiche während der Neuentwicklung oder Anpassung von Systemen in Bezug auf Informationssicherheitsanforderungen und wie diese in dem konkreten Projekt umgesetzt werden können
• Unterstützung bei der Entwicklung von IT-Systemen als Security-Architect in der Design-Phase
• Begleitung von PenTests / Penetrationtests und Unterstützung bei der Bewertung der Ergebnisse

Allgemeine Aufgaben im Informationssicherheitsmanagement, die zusätzlich zu den anderen genannten Projekten durchgeführt wurden.

• Mitgestaltung aller informationssicherheitsrelevanter Richtlinien und Korrektur der Richtlinien bei Abweichungen zu gängiger Regulatorik, Standards oder Widersprüchen innerhalb der Sollmaßnahmen
• Unterstützung bei der Erstellung von Quartalsberichten inklusive Kontrolle der Richtigkeit der getätigten Angaben, wie Risikostände, Schwachstellenbefunde und Auditergebnisse
• Kontrolle welche regulatorischen Anforderungen bei IT-Projekten einzuhalten sind (z.B. KRITIS Betroffenheit)
• Beratung der Fachbereiche bei der Umsetzung von Maßnahmen, z.B. Key-Lifecycle-Management, Protokollinfrastruktur, Sharepoint- und Intune-Konfiguration, Azure-Richtlinienscans
• Erstellung von Phishing-Kampagnen
• Zusammenarbeit mit anderen Fachbereichen in der Prozessgestaltung:
  • Informationssicherheitsvorfall-Management (ISVM) / Incident-Management
  • Change- & Patch-Management
  • Schwachstellenmanagement
  • Risikomanagement
  • Auslagerungsmanagement
  • IT-Service-Continuity Management (ITSCM)
  • Business Continuity Management (BCM)
  • Mobile Device Management (MDM)
  • Netzwerkmanagement
  • Logging, Monitoring & SIEM
  • IA?M / PAM
• Bewertung und Auswahl von Tools inklusive Budgetplanung/- vergleich für den eigenen Fachbereich
• Bewertung und Analyse von hochkritischen Informationssicherheitsereignissen
• Vergleich verschiedener GRC-Tool-Anbieter und Schreiben der Entscheidungshilfe für die Auswahl des GRC-Tools
• Abstimmung mit dem GRC-Tool-Anbieter zur Abbildung der Informationssicherheitsprozesse im GRC-Tool

Gestaltung, Koordination und Durchführung von Software-Prüfungen von Eigenentwicklungen sowie iOS und Windows Apps.

• Verbesserung des bestehenden Software-Prüfungskonzeptes durch Anpassung an aktuelle Entwicklungen (Änderung am Betriebssystem und Erweiterung auf Microsoft-Apps)
• Erweiterung des Prüfungsumfangs auf Kundenwunsch
• Einarbeitung und Verbesserung der eingesetzten Tools (eigene Softwareentwicklung)
• Schwachstellenidentifikation und Bewertung nach CVSS
• Ansprechpartner des Teams bei Rückfragen
• Koordination und Verteilung der Prüfungen im Team
• Ansprechpartner beim Kunden zur Besprechung der Ergebnisse und Handlungsempfehlungen von durchgeführten Prüfungen

Unterstützung des internen Teams bei der Analyse und Bewertung von Sicherheitsereignissen. 

• Analyse von eingehenden Sicherheitsereignissen im IT- und OTBereich
• Bewertung und Priorisierung der Sicherheitsereignisse und - vorfälle
• Erstellung von Statistiken zu Sicherheitsereignissen und - vorfällen
• Lessons Learned mit dem internen Team zu den festgestellten Sicherheitsereignissen und -vorfällen
• Verbesserung des Security-Incident-Management Prozesses
• Begleitung der Behebung von Ursachen der Vorfälle

Fortlaufende Beratung bezüglich einer eigenentwickelten SaaSAnwendung. Hierbei wurden mit dem Fachbereich und anderen Stake-Holder, wie Entwicklern, Sicherheitsmaßnahmen definiert und umgesetzt. Ebenso musste darauf geachtet werden, dass die internen Konzernvorgaben umgesetzt wurden und eine Dokumentation der umgesetzten Maßnahmen erstellt wurde.

• KRITIS Betroffenheitsprüfung für den abgebildeten Prozess
• Analyse der bereits erstellten Security-Konzepte
• Bestimmung der Gaps zwischen Security-Konzept und Konzernvorgaben
• Beratung bei der Auswahl des Cloud-Anbieters
• Begleitung von Penetration-Tests der Software-as-a-Service
• Anwendung und Unterstützung bei der Mitigation
• Vorschlagen von Maßnahmen zur Schließung der Gaps (beispielsweise durch Erstellung eines Backup-&-RecoveryKonzeptes)
• Überprüfung, ob das Implementationsteam die Maßnahmen korrekt umgesetzt hat (beispielsweise, ob das Backup-&- Recovery-Konzept entsprechend umgesetzt wurde)
• Dokumentation der umgesetzten Maßnahmen
• Ansprechpartner bei Rückfragen der Informationssicherheit vom Kunden zu ergriffenen Maßnahmen

Erstellung eines Public-Key-Infrastructure (PKI) Sollkonzeptes sowohl für die Mensch-zur-Maschine als auch Maschine-zur-Maschine Kommunikation.

• Anforderungsanalyse beim Kunden, was dieser benötigt
• Erstellung eines PKI-Sollkonzeptes anhand von gängigen Standards und regulatorischen Anforderungen
• Abstimmung mit Umsetzungsdienstleister, was dieser zu beachten hat