Audit, Risiko-Management und Architektur für den Finanzsektor und Industrie
Aktualisiert am 01.11.2024
Profil
Freiberufler / Selbstständiger
Remote-Arbeit
Verfügbar ab: 01.03.2025
Verfügbar zu: 100%
davon vor Ort: 50%
Audit (IT Security, GDPR, IT Service Management)
GRC Management
SAP Audit
IT Security Policies
IT security Instructions
IT Security Controls
Data Privacy Controls
Deutsch
Muttersprache
Englisch
verhandlungssicher
Französisch
erweiterte Kenntnisse
Italienisch
erweiterte Kenntnisse
Niederländisch
gut
Spanisch
gute passive Kenntnisse (lesen/verstehen)

Einsatzorte

Einsatzorte

Deutschland, Österreich, Schweiz
möglich

Projekte

Projekte

1 Jahr 8 Monate
2023-03 - heute

Application Security - Abstellung von IT-Security Audit-Feststellungen

IT security analyst and Project Manager BMC Discovery CMDB SAST ...
IT security analyst and Project Manager
* Abstellung von Auditfeststellungen im Bereich der Anwendungssicherheit (Source Code Scan, DAST, SAST, SCA, Vunerability Scanning):

  • Analyse der Feststellungen und vereinbarten Folgemaßnahmen;
  • Analyse und Dokumentation der Prozessketten, beteiligten Anwendungen, deren Schnittstellen und ausgetauschten Informationen (Artefakte) sowie organisatorische Fragen zwischen den involvierten Einheiten der IT Organisation;
  • Erarbeitung und Abstimmung konkreter Maßnahmen zur Verbesserung der Orchestrierung der beteiligten Anwendungen und Teams (Squads);
  • Technische Abstimmung/Anpassung des Umsetzungsplanes mit den involvierten IT-Teams und der internen Revision;
  • Erarbeitung der technischen und organisatorischen Projektplanung und Kontrolle des Implementierungsfortschrittes

* Mitwirkung an der Umstellung Fortis Tool-Landschaft im Bereich Application Scan auf den Standard der BNP Group.


* Mitwirkung an der Erarbeitung und Etablierung eines Software-Feature bezogenen Freigabesystems (Quality Gates) für geschäftliche Web-Anwendungen (Web Application Vulnerability Assessment) innerhalb des Release Management Processes.
BMC Discovery CMDB SAST DAST Qualys Titanium Bitsight Sysdig Fortify NexusIQ Service Now (Snow) RefWeb Archer SOC1 ISO 27000 SecDevOps SOX ITIL EuroSox Scrum Prince 2 SAFe Rally MS-Project BPMN MS Viso Continuous Integration Continuous Deployment
BNP Paribas Fortis
Remote / Brüssel
5 Jahre 7 Monate
2018-06 - 2023-12

IT-/OT-Risikoprüfungen - Fahrzeugindustie

IT-/OT-Risikoprüfer / GRC Manager (Informationssicherheit und Datenschutz) RZ-Sicherheit Office 365 Produkt Linie MDM Systeme ...
IT-/OT-Risikoprüfer / GRC Manager (Informationssicherheit und Datenschutz)
* Mitwirkung an der Überarbeitung der internen IT Sicherheitsleitdokumente (IT Security Policy, IT Security Instructions, IT Security Work Instructions) basierend auf CIS, NIST, BSI Best Practices (z.B. CIS Controls und CIS Benchmarks), BSI Grundschutz, OWASP Top 10 / mobile TOP 10.

* Prüfung der Implementierungsreife generischer IT Security Guidelines basierend auf CIS Controls, Härtungsmaßnahmen basiert auf CIS Benchmarks sowie der IT Security Prozesse und Verfahrensweisen basierend auf BSI Grundschutz-Empfehlungen.

* Prüfung der technischen und organisatorischen Sicherheit für geplante IT/OT Vorhaben wie:

- Änderung von Sourcing-/Cloud-Strategien (z.B. O365);
- Anpassung von Mobile Device Strategien (z.B. Intune, Mobile Iron,Wandera);
- Identity and Access Management (IAM) für Cloud- und On-Premise Anwendungen (CASB, PingID, SLAM 2.0);
- Konsolidierung von Maschinen- und Produktionssteuerungssystemen (z.B. ERP <=> MES <=> SCADA);
- Telematics und Vorausschauende Wartung
- RZ-Konsolidierung;
- IT/OT Verfügbarkeit für kritische Geschäftsprozesse (BCM);
- Sicherheitsarchitektur bezgl. Verarbeitung von "streng vertraulichen" Dokumenten und Artefakten;  
- Managed File Transfer (MFT), Electronic data interchange (EDI), Product Lifecycle Management Systems (PLM)


mit folgenden Inhalten:
-Ermittlungen und Dokumentation von Bedrohungen (z.B. Ausfall, Sabotage, Spionage, Verstoß gegen regulatorische Vorgaben wie ITSiG, EU-DSGVO (GDPR) etc.);
- Ermittlung und Dokumentation von technischen und organisatorischen Schwachstellen (z.B. active / passiv Code Scanning, Penetration Testing, IT Architekturanalyse);
- Ermittlung der sich hieraus ergebenden Einzelrisiken,Risikoverkettungen und systemischen Risiken;
- Ermittlung der Eintrittswahrscheinlichkeiten von Risiken;
- Ermittlung des Schadenpotentials der Risiken;
- Bewertung des Brutto-Risikos;
- Erarbeitung von technischen und organisatorischen Risikominderungsvorschlägen;
- Bewertung des verbleibenden Netto-Risikos;
- Bewertung des IT Vorhabens aus der Sicht des IT Risikomanagements;
- Diskussion der Bewertung mit den betroffenen Fachabteilungen;
- Abgabe von Umsetzungsempfehlungen zu den IT Vorhaben;
- Review von Umsetzungsmaßnahmen;
- Steuerung der GRC Aktivitäten manuell und mittels Tool - Unterstützung (SAP GRC);
- Prüfung der Anwendbarkeit und Vollständigkeit der IT SecurityPolicies, Security Instructions, Hardening Guidelines etc.


* Mitwirkung an der Überarbeitung der internen IT-Service Management (ITSM) Richtlinien gem. ITIL und ISO20000.

* Projektmanagement für Mitigation Projekte in den Bereichen:
- IT Security Policies und Security Instructions;
- Cloud Computing Security (z.B. AWS, Azure, CASB);
- DevOps und DevSecOps;
- IT/OT Security und Datenschutz;
- MES-, ERP-, CRM-Systeme;
- PLM-, MFT- und EDI-Systeme.
RZ-Sicherheit Office 365 Produkt Linie MDM Systeme Mobile Iron Intune ERP SAP (R3/S4/HANA/HEC) div. SAP Module (BW/CRM/MM/SD etc.) SAP Success Factors (HCM) SAP Ariba Outsourcing-Konzepte Produktionssteuerungsanlagen VPN Sicherheit SSL-/TLS-Sicherheit PKI Diffie Hallman Trust Centers (CA) Digitale Zertifikate X.509 symetrische und asymetrische Verschlüsselungen RSA AES DES 3DES Hash MD SHA Cipher Suites PGP S/MIME Digitale Unterschriften Firewalls Zoning-Konzepte IDS IPS Penetration Tests Industrial Control Systems (ICS) SCADA Distributed Control Systems (DCS) PLC RTU PID ITSM ITIL ISO 20000 COBIT SOC 1 SOC 2 ISMS ISO 27000 Serie BSI-Grundschutz Business Continuity IT-Service Continuity TISAX ISO 31000 ISO 37500 ISO 50600 BSI C5 ITSiG NIST Cybersecurity Framework OWASP TOM C-I-A Analyse EU-DSGVO (GDPR) Sperrkonzepte Löschkonzepte ICE 62443 VDI/VDE 2182: BSI -Security-Kompendium BSI TR-02102-1 NAMUR NA153: Automation Security ISO 22300 ISO 27019 RBAC BSI 100/200 Managed File Transfer (MFT) Electronic data interchange (EDI) Product Lifecycle Management Systems (PLM) Eurex-C Axway TSIM/SecureRelay TruFusion Siemens Teamcenter PTC Windchill Desktop-Automation tools UIpath (robot automation) SUN/Oracle-JRE OpenJDK (Coretto) Proxy Reverse Proxy Cloud Access Service Provider (CASB) IDS/IPS SIEM SPLUNK Identity Security F5 Web-Application Firewall Checkpoint OAuth 2.0 SAML 2.0 Vormetric Mobile Iron zero trust security Salesforce VDWH ENX-Network verschiedene MES-Systeme MS PKI Cloud PKI PrimeKey (EJBCA) Android enterprise Wandera Identity and Access Management (IAM) DevOps DevSecOps Cyberark Netskope F5 IT Security Policies IT Security Instructions Hardening Guidelines IAM PingID Embedded Coder DAST SAST Embadded Systems Application Security Testing Veracode PEN-Testing Burp Suite CIS Benchmarks CIS Controls Jira Atlassian Confluence ProPlan SAP-GRC BMC Service Now SOX EuroSox SAFe SecDevOps CMMC
ZF Group
Friedrichshafen, Deutschland und verschiedene Standorte weltweit / Remote
1 Jahr
2021-01 - 2021-12

Compliance-Prüfung Softwareeinsatz - Fahrzeugindustrie

IT-Auditor DSGVO (GDPR) BetrVG NIST Cybersecurity Framework ...
IT-Auditor

Mitwirkung an der Prüfung und Verbesserung des innerbetrieblichen Risikomanagements und der Compliance beim Softwareeinsatz:
- Prüfung von Test- und Entwicklungswerkzeugen auf:

  • Mitbestimmungspflichtigkeit gem. §87, Abs. 1, No, 6 BetrVG,
  • Einhaltung der Vorgaben nach DSGVO (GDPR),
  • Einhaltung der IT-Security Vorgaben;


- Erarbeitung von Risikoeinschätzungen auf der Grundlage von gefundenen Schwachstellen und Bedrohungsszenerien;

- Erstellung von Prüfberichten und Handlungsempfehlungen;

- Mitarbeit an der Überprüfung und Anpassung von IT Security Policies, IT Security Instructions, Hardening Guidelines;

- Kontrolle der Umsetzung von Handlungsempfehlungen.

DSGVO (GDPR) BetrVG NIST Cybersecurity Framework ISO 20000 ISO 27001 ISO 27005 Datenbankschemata TestBanch Redmine TestLink Jenkins SCRUM DevOps Kanaban ISTQB agiles Testen automatisiertes Testen. DevSecOps IT Security Policies IT Security Instructions Hardening Guidelines IAM Ping ID Embadded Coder Embadded Systems
Siemens Mobility
Erlangen - Deutschland
9 Monate
2020-01 - 2020-09

Sicherheitskonzept (BSI 100-x/200-x)

IT Security and Covernance Consultant BSI Grundschutz BSI 100-x/200-x ISO 27000 serie ...
IT Security and Covernance Consultant

Beratung zur Eingliederung des Sicherheitskonzeptes (Siko) der nachgeordneten Behörde (Brandenburgisches Landesamt für Denkmalpflege und Archäologisches Landesmuseum (BLDAM)) in das Sicherheitskonzept des IT Landesbetriebes (ZIT-BB):
- Analyse der Anforderungen des Landesbetriebes;
- Analyse des Ist-Situation und des bestehenden Siko der Behörde;
- Erarbeitung prinzipieller Lösungsvorschläge und Lösungsvarianten;
- Abstimmung einer Vorgehensweise (Projektplan, Phasenplan, Meilensteine, Arbeitspakete) zur Umsetzung der Anforderungen des Landesbetriebes;
- Mitwirkung an der Erarbeitung der Ausschreibungsunterlagen (Leistungen, Lose, etc.) für die Umsetzungsphasen.

BSI Grundschutz BSI 100-x/200-x ISO 27000 serie ITIL Prince 2 VOL/VOF DSGVO (GDPR) Verinice Identity and Access Management
BLDAM
Zossen bei Berlin
4 Monate
2019-10 - 2020-01

SAP Audit - Retail

Prüfer (IT-Security/IT-Service Management) ISO 27001 BSI-Grundschutz ISO 20000 ...
Prüfer (IT-Security/IT-Service Management)

- Interne Prüfung des SAP-Betriebes bezüglich:

  • Übereinstimmung der SLAs mit den betrieblichen Anforderungen in Bezug auf Vertraulichkeit, Verfügbarkeit und Integrität,
  • Umsetzung von Best-Practices im SAP-Betrieb,
  • Umsetzung von Rollen und Rechten unter Anwendung der BSI-Empfehlungen,
  • Erreichung der Business-Ziele bei der Neuausrichtung von SAP-Anwendungen/Migrationen,

- Erarbeitung von Folgemaßnahmen entsprechend der Audit-Ergebnisse;

- Review des internen IT Kontrollstandards (MICS (IT Security Policies, IT Security Instructions, Hardening Guidelines)).

ISO 27001 BSI-Grundschutz ISO 20000 ITIL V.3/V.4. Rechte- und Rollenkonzepte Massendatenverarbeitung SAP R/3 SAP S/4 SAP HANA SAP HEC SAP FI SAP Success Factors SAP Ariba IaaS SaaS Multi-Cloud Connections BPMN Business Case Analysis Business Impact Analysis Business Continuity Konzepte Sourcing Strategies IT Security Policies IT Security Instructions Hardening Guidelines
C&A
Düsseldorf, Deutschland; Brüssel, Belgien
1 Jahr 2 Monate
2018-11 - 2019-12

Compliance Kontrollen DSGVO, EnWG, KritisV - Energieversorgung

Auditor / Enterprise Architekt DSGVO (GDPR) ISO 19011 ISO 27001 ...
Auditor / Enterprise Architekt

- Entwurf eines dreistufigen generischen Prüfprogrammes zur turnusgemäßen Prüfung von konzerninternen und externen Auftrags(daten)verarbeitungen (ADV):

  • Ermittlung und Abgleich der Quellen zur Erfassung aller ADVs mit DSGVO-Bezug;
  • Erarbeitung eines Klassifizierungsschemas für ADVs;
  • Zuordnung verschiedener TOM-Kataloge zu den ADV-Klassen;
  • Erarbeitung eines Vorgehens zur Ermittlung angemessener Stichprobengrößen;
  • Erarbeitung eines kombinierten Prüfvorgehens aus Self-Assessment und Audit zur Durchführung der Stichproben;
  • Erarbeitung eines Vorgehens zur Auswahl der Auditkandidaten für die jährliche Stichprobe;
  • Abschätzen des benötigten Ressourcebedarfes zur Umsetzung des Auditprogrammes. 

 

- Durchführung von IT-/OT-, Datenschutz-Audits und kombinierten Audits (andere Sachverhalte wie EnWG §§6 ff.) zur Überprüfung der Umsetzbarkeit des vorgeschlagenen Prüfprogrammes sowie der Ermittlung der Angemessenheit der technisch-organisatorischen Maßnahmen (TOMs (IT Security und Datenschuts Instructions/Controls)):

  • Sichtung von Rahmenverträgen und Leistungsscheinen, TOMs, Prozessbeschreibungen und Arbeitsanweisungen bezüglich des zu prüfenden Auftragsverarbeitungsverfahrens;
  • Prüfung der internen und externen Verarbeitungsregister;
  • Prüfung der Dokumentation zur Rechtmäßigkeit der Verarbeitungstätigkeiten
  • Interviews und Vor-Ort-Besichtigungen
  • Dokumentation von Feststellungen;
  • Erarbeitung von Folgemaßnahmen;
  • Erarbeitung von Auditberichten;
  • Kontrolle der Umsetzung der Folgemaßnahmen.

 

- Mitwirkung an den technischen Festlegungen für die IT-Unterstützung des Programmes.

- Unterstützung des Line-Managements (Deputy Team Leader):

  • Teammanagement (interne und externe Mitarbeiter);
  • Unterstützung bei der Arbeitsplanung und -piorisierung sowie im Berichtswesen;
  • Organisation der fachbereichsübergreifenden Zusammenarbeit;
  • Unterstützung bei der rechtlichen Bewertung von vermuteten Comliance-Verstößen (z.B. unbundling gem. EnWG, Datenschutzverletzungen).

DSGVO (GDPR) ISO 19011 ISO 27001 ISO 27002 ISO 27019 BDEW Whitepaper 2015/2018 ITIL v2/v3 ISO 20000 KritisV BNetzA IT Sicherheitskatalog BSI-Grundschutz (BSI 100-x/200-x) EnWG Verschlüsselung Anonymisierung Datensparsamkeit Rechte der betroffenen Personen Informationskonzept Sperrkonzept Löschkonzept Zutrittskonzept Berechtigungskonzept Register der Verarbeitungstätigkeiten Rechtmäßigkeit der Verarbeitung Management von Datenschutzverstößen MoSCoW-Analyse TOGAF BPMN SAP Ariba SAP HCM Salesforce OT (SCADA) HiScout CANEA IT Security Instructions IT Security Controls Datenschutz Anweisungen und Controls
E.ON SE
verschiedene Standorte innerhalb der EU
9 Monate
2017-09 - 2018-05

Regulatorische Compliance, IT Sicherheit und Datenschutz - Versicherung

Auditor z/OS und z/OS Anwendungen Guidewire Insurance Platform Vmware ...
Auditor

Mitarbeit an der Bearbeitung der IT-Sicherheits- und Datenschutzbelange im Zusammenhang mit einem geplanten Austausch der Core-IT Systeme :

- Prüfung der internen IT-Sicherheits- und Datenschutzleitdokumente auf Vollständigkeit und Anwendbarkeit für das Vorhaben;

- Prüfung der IT-Vorhaben auf Abdeckung durch externe/interne datschutzrechtliche Vereinbarungen (Datenschutzerklärungen, Betriebsvereinbarungen);

- Prüfung des Verzeichnisses der Verarbeitungstätigkeiten bezüglich Abeckung von geplanten bzw. anzupassenden Verarbeitungstätigkeiten;

- Prüfung von IT-Vorhaben auf DSGVO-konforme Abdeckung der Rechte der betroffenen Personen;

- Prüfung der technischen und organisatorischen Planungsdokumente auf Übereinstimmung der mit den internen und externen/regulatorischen Anforderungen in Bezug auf Vertraulichkeit, Verfügbarkeit, Authentizität;

- Ableitung, Abstimmung und Dokumentation von Klarstellungs- und Anpassungsbedarf in Planung und Dokumentation der IT-Vorhaben mit Blick auf regulatorische Vorgaben (KritisV, DSGVO);

- Prüfung des Umsetzungsstandes der Anpassungsmaßnahmen.

z/OS und z/OS Anwendungen Guidewire Insurance Platform Vmware LINUX Apache TomCat MS-SQL Server JAVA EE SOA SOAP REST XML PRINCE 2 + Agile (Scrum und Kanban Artefakte) JIRA BPMN UML Confluence MindMap ITIL ISO 20.000 ISO 27.000 ISO 31.000 DSGVO (GDPR) Rechte Betroffner Personen Register der Verarbeitungstätigkeiten Betriebsvereinbarungen Datenschutzvereinbarungen KritisV STRIDE OWASP Autorisierung- und Authentifizierung-Konzepte CERT Secure Coding Clean Code CIS Hardening Guides BSI-Grundschutz BSI-Isi ISTQB MaRisk Center for Internet Security (CIS) Controls CIS Benchmarks (Hardening Guidelines)
VHV Versicherung
Hannover, Deutschland
7 Monate
2017-09 - 2018-03

KritisV und DSGVO Compliance - Energieversorgung (Wärme)

Assessor/Berater (Data Protection and Enterprise Architecure) ISO 27001/27002 ISO 27005 (ISO 31.000) ISO 27019 ...
Assessor/Berater (Data Protection and Enterprise Architecure)

- Prüfung der im Business Bereich Wärme eingesetzten Information Assets (IA) auf Datenschutzrelevanz;

- Prüfung der Zuordnung der IAs zu Datenverarbeitungsprozessen und deren Dokumentation im Register der Verarbeitungstätigkeiten;

- Prüfung der IAs auf Schnittstellen mit Auftragsverarbeitung;

- Prüfung der Auftragsverarbeitungs-Verträge und ggf. relevante Betriebsvereinbarungen;

- Prüfung der Abdeckung der IAs durch Datenschutzvereinbarungen und Anbindung an die Prozesse zur Sicherstellung der Rechte der betroffen Personen;

- Organisation und Durchführung von IT-Security und Datenschutz-Assessments inkl. organisatorischer und technischer Tests/Pen-Tests;

- Impact Analysen und Auswertung von Testergebnissen im Bereich Informationssicherheit und Datenschutz;

- Ableitung von technischen und organisatorischen Anpassungsmaßnahmen (TOM);

- Initiierung der Anpassungsprojekte;

- Zusammenstellung von Prozeß-Dokumentationen und Compliance-Nachweisen in Vorbereitung von IT-/OT-Security-und Datenschutz-Audits.

ISO 27001/27002 ISO 27005 (ISO 31.000) ISO 27019 BDEW Whitepaper 2015 BSI IT-Grundschutz BSIG EnWG BSI-KritisV ITSiG BDSG DSGVO (GDPR) NIST CIA Analyse OWASP Top 10 Auftragsverarbeitung Register der Verarbeitungstätigkeiten Betriebsvereinbarung Datenschutzvereinbarung Rechte der Betroffenen Personen Wasserfall-Model (VPPM) BPMN QPR ProcessDesinger
Vattenfall Wärme
Berlin, Deutschland; Solna, Schweden; Amsterdam, Niederlande
1 Jahr 3 Monate
2016-10 - 2017-12

z/OS Mainframe Security Prüfungen - Bankdienstleister

Prüfer (IT Security) z/OS RACF SMF ...
Prüfer (IT Security)

- Abstimmung des Audit-Inhaltes und der Prüfungsberichte mit der Innenrevision (Risiko-Management);
- Prüfung der REXX/SQL-Script basierten z/OS Sicherheitsprüfungen;
- Prüfung Job-Control-Flies (JCLs);
- Prüfung der Änderungshistorie der Prüfscripte und Job-Control-Files;
- Prüfung Ausführungsnachweise für die Prüfscripte;
- Prüfung der Archivierung und der Nachvollziehbarkeit der Sicherheitsprüfungsergebnisse;
- Prüfung des Änderungsprozesses für z/OS Sicheheitsprüfungen.

z/OS RACF SMF SAS DB2 ADABAS REXX SQL JCL ISO 9001 ISO 27001 ISO 27002 ISO 27005 KwG IMS DB/DC BaFin MaRisk
Finanz Informatik Technologie Service (FI-TS)
Haar, Deutschland
6 Monate
2017-06 - 2017-11

Technisch-Organisatorische IT-Sicherheitsprüfung E-Mail Archivierung - Bank

Prüfer (IT Security) ITSM gem. ISO 20.000 ISMS gem. ISO27001/27002 Risk-Mgmt. gem. ISO 27.005 ...
Prüfer (IT Security)

- Abstimmung des Audit-Scope mit dem CISO der Bank bezüglich der Prüfungsbereiche Vertraulichkeit, Verfügbarkeit und Integrität;
- Erarbeitung und Abstimmung spezifischer technischer und organisatorischer Security-Controls aus der technischen Service-Dokumentation mit Focus auf technische und organisatorische Fragestellungen sowie die Einbindung in das Risiko-Management der Bank und des IT-Dienstleisters;
- Prüfung der Dokumente und Nachweise;

- Durchfühurng von organisatorischen und technischen Sicherheitstests;
- Erstellen von Audit-Berichten und Ableitung von Folgemaßnahmen.

ITSM gem. ISO 20.000 ISMS gem. ISO27001/27002 Risk-Mgmt. gem. ISO 27.005 NIST CIA Analysis KWG KritisV BSIG ITSG DSGVO BDSG Sarbanes?Oxley (SOX) MaRisk Outlook Exchange HypAchive Windows Server Cluster EMC²-Storage Lösungen Hochverfügbarkeitsarchitektur Active Directory Berechtigungskonzepte
IKB Deutsche Industriebank
Düsseldorf, Deutschland
4 Monate
2016-10 - 2017-01

Konformitätsprüfungen EU-DSGVO und Datenschutzgesetzgebung EU Mitgliedsstaten (Gesundheitsdaten)

Compliance-Berater (Data Protection) DSGVO (Verordnung 2016/679) EU int. Datenschutzverordnung (Verordnung EC 45/2001) nationales Datenschutzrecht gem. EU-Richtlinie 95/46/EC ...
Compliance-Berater (Data Protection)

Datenschutzprüfung der technischen und organisatorischen Konzepte zum EU-weiten Datenaustausch von Patientendaten mit seltenen oder/und komplexen Erkrankungen unter Nutzung der eHealth-DSI (CEF-2015, 2017).
- Erarbeitung von technischen und organisatorischen Anpassungsmaßnahmen zur Sicherstellung der Konformität der IT-Lösungen mit nationalem Recht und EU-Recht.

DSGVO (Verordnung 2016/679) EU int. Datenschutzverordnung (Verordnung EC 45/2001) nationales Datenschutzrecht gem. EU-Richtlinie 95/46/EC BDSG Datenschutzgesetze der Deutschen Länder DSG 2000 (Österreich) Data Protection Act U.K Dirctory Konzepte DNS NDS LDAP X.500 Active Dirctory Cloud Directory HL7 FHIR IHE Profiles XUA++ ANTA IT-Architektur BPMN (ADONIS) Enterprise-Architektur Authorisierung Berechtigungskonzepte Authentifizierung ISO 27001 ISO 27002 ISO 20.000 COBIT
EU-Kommission/DG-SANTE
Brüssel Belgien
9 Monate
2016-01 - 2016-09

IT-/OT-Konformitätsprüfungen - Energieversorgung (Virtuelle Kraftwerke)

Prüfer/Berater (Regulatory Compliance and Architecture) Kanban Scrum Prince2 ...
Prüfer/Berater (Regulatory Compliance and Architecture)

- Prüfung der Anwendbarkeit und Auswirkungen der BSI-KritisV (BSI-G/EnWG) auf den Betrieb des Virtuellen Kraftwerks in den Bereichen der Regelenergie und erneuerbaren Energien (Wind, PV, Bio-Gas);
- Prüfung der IT-/OT-Sicherungsmaßnahmen der virtuellen Kraftwerksinfrastruktur entlang Anforderungen der Netzbetreiber (TSOs);
- Prüfung der verteilten Prozessdatenverarbeitung auf Konformität mit dem BSDG und der DSGVO;
- Prüfung der horizontalen Continuous Development / Continuous Deployment Prozesse (Scrum, Kanban);
- Prüfung der vertikalen Implementierungsprozesse für Fachprojekte im Bereich Steuerung von Regelenergie Assets wie Windkraft-, Solar- und Biomasse-Anlagen und Batteriespeicher  (PRINCE2 Agil);
- Prüfung der Software-Entwicklungs- und Testprozesse;
- Erarbeitung und Prüfung vor Folgemaßnahmen zur Anpassung des ISMS.

- Unterstützung des Line-Managements:
    ?    Teammanagement;
    ?    Unterstützung bei der Projektbesetzung, Arbeitsplanung
    ?    Übernahme der Product-Owner-Rolle für Umsetzung von Folgemaßnahmen;
    ?    Methodische Beratung zu agiler und klassischer Projektleitung (incl. Mischformen).

Kanban Scrum Prince2 JIRA Confluence Redmine MindMap JAVA Scala Jenkins Git-Lab Clean Code CERT Secure Coding Nexus Linux VMware Docker PostgreSQL MS SQL-Server Industrial Control Systems (ICS) SCADA Thrift 101/104/101 Gateways Modbus OPC XML-DA PLC RTU PID controllers Distribute Control systems (DCS) DCS ISO 27001 ISO 27002 ISO 27005 ISO 27019 NIST Cybersecurity Framework C-I-A Analyse BSIG EnWG BSI-KritisV ITSiG BDEW Whitepaper BNetzA-SiKa BSDG GDPR (DSGVO) Berechtigungskonzepte (Authorisation/Authentication) DevOps DevSecOps
E.ON
Essen, Deutschland; Brüssel Belgien
11 Monate
2015-02 - 2015-12

IT Prozess und Security Prüfungen - Börse

Prüfer/Berater (Regulatory Compliance ITSM/ISMS) OWASP STRIDE V-Modell ...
Prüfer/Berater (Regulatory Compliance ITSM/ISMS)

- Interne Vorbereitungs-Assessments zur ISO 20000 Rezertifizierung;
- Interne Prüfung der Einhaltung des IT-Securiy-Managementprozesses in der IBM Mainframe Softwareentwicklung;

- End-to-End IT-Architekturprüfung bezüglich der Mainframe basierten Transaktionssysteme (SWIFT);
- Review der Quality- und Security-Gates des internen Solution Development Life Cycles (SDLC) mit Focus auf IBM-Mainframe- und VMS-Systeme;
- Erarbeitung und Prüfung von technischen und organisatorischen Folgemaßnahmen (z.B. IT Security Policy, IT security Instructions, IT Security Controls, Datenschutz Anweisungen und Controls) im Rahmen des ISMS.

OWASP STRIDE V-Modell BPMN UML z/OS Linux on System z OpenVMS COBOL JAVA/JEE C/C++ DB2 Bizagi BPM FreeMind Merlin MAS ISTQB IMS DB/DC ISO 20000 ISO 27000 - series (27001/27002/27005) ISO 31000 ISO 9001 ITIL 2011 KwG Sarbanes?Oxley (SOX) MaRisk IT Security Policy IT security Instructions IT Security Controls Datenschutz Anweisungen und Controls
Deutsche Börse
Frankfurt/M, Deutschland
3 Monate
2014-11 - 2015-01

IT Architekturprüfungen - Global Bank

Assessor (Business and IT Architecture) z/OS core Banking HTML5 ...
Assessor (Business and IT Architecture)

Prüfung der IT-Architekturstrategie gegen die Direct-Channel-Business-Strategie;
Erarbeitungund Prüfung von Anpassungsmaßnahmen.

z/OS core Banking HTML5 CSS JAVA Script JAVA C++ XML WebServices SOA SOAP WDSL UDDI SSO BPNM SCRUM PMI Spax Enterprise Architect JIRA Confluence MindMap Viso IT Archtecture Enterprise Architecture
BNP Paribas Fortis
Brüssel, Belgien
5 Monate
2014-05 - 2014-09

IT Prozess Compliance Prüfungen - Global Bank

Assessor/Consultant (Regulatory and internal Compliance) MS-Project CA Clarity OPAL Green ...
Assessor/Consultant (Regulatory and internal Compliance)

- Prüfung von IT-Programmen und IT-Projekten auf die Einhaltung der Bank internen Richtlinien "Project Process Standard" (PPS) und "Financial Reporting Governance Board" (FGB):

  • Ausrichtung auf die Geschäftsstrategie, Ausrichtung auf die IT Strategie,
  • Ausrichtung auf die Architekturgrundsätze, Ausrichtung auf den Geschäftsnutzen,
  • Vollständigkeit und Plausibilität der Planungsunterlagen, Bereitstellung/Verfügbarkeit der erforderlichen Ressourcen (Kapazität),
  • Einhaltung der regulatorische Vorgaben;

- Erarbeitung und Prüfung von Audit-Folge- und Risikomanagement-Maßnahmen resultierend aus internenund externen Audits (KWG, MAS, SOX/FFIEC).

MS-Project CA Clarity OPAL Green NARdb dbRACE Visio MindMap IT-Application-Taxonomy-Map SharePoint Lotus Notes MS SQL-Server Citrix VDI C# .Net XML WebServices VBA SQL Wasserfall-Modell MSP P3O ISO 9000 ISO 31000 BPMN MAS SOX KWG BaFin-MaRisk
Deutsche Bank AG
Frankfurt/M, Deutschland; London, Vereinigtes Königreich
8 Monate
2013-09 - 2014-04

IT Security und Datenschutzprüfungen - Öffentliche Hand

Prüfer/Compliance-Berater (Regulatory Compliance) VMware ESXi Windows 2003/2008 Server Citrix XenApp ...
Prüfer/Compliance-Berater (Regulatory Compliance)

- Prüfung von IT unterstützten Prozessen in den Bereichen Personal und Lieferanten auf die Einhaltung der Anforderungen nach BDSG und ISO 27001/BSI;
- Schnittstellen-Prüfung von IT Services und Business-Prozessen;
- Prüfung des Berechtigungskonzeptes;

- Durchführung und Auswertung von organisatorischen und technischen Sicherheitstest/Penetration-Tests;
- Erarbeitung und Prüfung von technischen sowie organisatorischen Anpassungsmaßnahmen.

VMware ESXi Windows 2003/2008 Server Citrix XenApp ADS MS SQL-Server MS Access SAP Basis verschiedene SAP Module SharePoint SharePoint-Services ABAP VBA C# XML SOA ITIL ISO 27001 ISO 27002 ISO 27005 BSI 100-x V-Modell SCRUM ISTQB Visio MS Project MindManager. IT-Architektur Enterprise-Architektur Berechtigungskonzpte Application Orchestration
Landesregierung Hessen
Wiesbaden, Deutschland
1 Jahr 4 Monate
2012-03 - 2013-06

IT Produktionsprozessprüfungen - ITSP/MSSP

Process-Improvement-Berater (Enterprise Architecture (Cloud)) AppCom DCP High-Availability Data Centres (z.B. Twin-Core) ...
Process-Improvement-Berater (Enterprise Architecture (Cloud))

- Prüfung der technischen und organisatorischen Prozesse des Cloud-Computing-Segmentes mit Ziel der Prozess- und Produktionskostenverbesserung und Fokus auf die Bereiche Change-Management, (Component-/Service-) Capacity-Management, Configuration-Management, Deployment-Management, Demand- und Forecast-Management unter Beachtung der internen und externen Compliance-vorgaben für Availability- und Service-Continuity-Management sowie Risk- und Security-Management.


- Erarbeitung und Prüfung von Folgemaßnahmen zur Optimierung von Planungs- und Projektsteuerungsprozessen der Cloud-Factory;

- Team-Management (Deputy Team-Leader):

  • Management von internen und exteren Mitarbeitern?,
  • Management von Arbeitsaufgaben, Prioritäten und Arbeitsauslastung,
  • Evaluierung der Arbeitsergebnisse, ?
  • Sicherstellung der SLA-Einhaltung,
  • Sicherstellung der Abstimmung und Kooperation zwischen den Fachabteilungen.
AppCom DCP High-Availability Data Centres (z.B. Twin-Core) AppCom DCP High-Availability Data Centres (z.B. Twin-Core) Vmware AIX LINUX RHEL VDI XenApp eCMDB Asset Center ASM SMARTqube SAP Basis SOM@SAP DOM@SAP SAP FI/CO ARIS LiveLink SharePoint MS Project ITIL v.3 ISO 20000 BSI-Grundschutz ISO 27001 ISO 27002 ISO 27005 UML BPMN PRINCE 2 ISTQB MS-SQL Server .NET VBA C# SOA SOAP WDSL UDDI XML SharePoint 2010 Access und Excel Services.
T-Systems International
verschiedene Standorte weltweit
4 Monate
2011-10 - 2012-01

Prüfung Unterstützung des ext. Kommunikationsprozesses - EU Agentur

Assessor (Enterprise Architecture) MS Dynamics MS SharePoint XML ...
Assessor (Enterprise Architecture)

- Prüfung des externen Kommunikationsprozesses auf Konformität zu den europäischen Datenschutzbestimmungen und den Datenschutzbestimmungen der Mitgliedsstaten (EU und EFTA);

- Prüfung der Einhaltung der Software-Entwicklungsprozesse (RUP und SCRUM Artefakte);

- Erarbeitung und Prüfung von Folgemaßnahmen.

MS Dynamics MS SharePoint XML Web Services SOA SOAP WDSL UDDI UML BPMN .NET C# VBA TOGAF ITIL SRCUM RUP ISTQB Sparx Enterprise Architect Vsio MS Project. EU Vergaberecht Konzept "One Competent Body per Member Sate"
European Center for Disease Prevention and Control (ECDC)
Stockholm, Schweden
7 Monate
2011-03 - 2011-09

Prüfung IT-Tool Unterstützung für Business Prozesse - Global Bank

Prozess-Improvement Berater (Enterprise Architecture) Prozess-Management-Engines SAP Oracle/BEA AquaLogic ...
Prozess-Improvement Berater (Enterprise Architecture)

- Dokumentation der Prozess- und Tool-Unterstützung des End-to-End Service Designs.

- Prüfung der Tool-Unterstützung gegen die implementierten IT-Sourcing-Strategien.

- Reifegradermittlung der Business-Prozesse und IT-Services.

- Erarbeitung von IT-Anpassungsmaßnahmen (z.B. Application Orchestration) zur Effizienzverbesserung der Tool-Chain.

- Risikoabschätzung (finanziell/technisch) und Business-Case Berechnungen für Anpassungsmaßnahmen.

Prozess-Management-Engines SAP Oracle/BEA AquaLogic Remedy Lotus Notes/Domino Federation Services WEBSSO SOA SOAP WDSL UDDI SharePoint .NET C# VBA PL/SQL Grails LotusScript Remedy ARS XML CA-Clarity MS-Projekt UML ITIL v.3/ISO 20000 ISO 27000-series SOX CMMI PRINCE 2 ISTQB TOGAF IT Architecture Enterprise Architecture Application Orchestration
Deutsche Bank AG
Frankfurt/M - Deutschland, London - U.K.
6 Monate
2010-09 - 2011-02

Prozessanpassung Big-Deal-Mgmt - Cloud ITSP/MSSP

Process-improvement-Berater (Enterprise Architecture) LiveLink MS-Visio MS-Office ...
Process-improvement-Berater (Enterprise Architecture)

- In-Work-Dokumentation der angebotsphasenorientierten Prozesse und Vorgehensweisen.
- Dokumentation der frachgruppenübergreifenden Kommunikationsstrukturen des Big-Deal-Managements bin IT-Outsourcing-Deals.
- Erarbeitung von Verbesserungsvorschlägen und Anpassungsmaßnahmen der Big-Deal-Mgmt-Prozesse unter Berücksichtigung der Industry-Best-Pracitices gem. ITIL V.3/ISO 20.000 ISO 27.005.

- Mitwirkung an Bieterwettbewerben für Outsourcing-Geschäfte (Claud-Services, Hosting, RZ-Outsourcings).
- Begleitung der Angebotsphasen Request for Information (RfI), Request for Proposal (RfP), Letter of Intend (LoI), Due Diligence (DD).
- Erarbeitung von Business-Risikoeinschätzung für Outsourcing- und Private-Cloud-Geschäfte.
- Angebotskalkulation für IAS-Leistungsanteile bezüglich Outsourcing- und Private-Cloud-Geschäften.
- Mitwirkung an der technische und kaufmännische Bewertung von IT-Infrastrukturen bei der Übernahme von RZs in den Bestand der T-Systems.

LiveLink MS-Visio MS-Office SDE-Catalog ITIL V.3 ISO 20000 ISO 27001 ISO 27.005 BSI-Grundschutz
T-Systems International
München - Deutschland
8 Monate
2010-01 - 2010-08

Cloud-Capacity-Mgmt-Prozesse (AppCom) - IT Service Provider (ITSP)/Managed Security Provider (MSSP)

Process-Improvement-Berater (Enterprise Architecture) AppCom Technologie in Hochverfügbarkeitsumgebungen LINUX- Windows- ...
Process-Improvement-Berater (Enterprise Architecture)

- Service-Improvement-Management im Kapazitätsmanagement der TSI Cloud Computing Sparte (AppCom):

  • Analyse, Dokumentation und Anpassung der internen Businessprozesse;
  • Ausrichtung der internen Business- und Engineering-Prozesse der Dynamic Platform Procedure Teams (DPPT) am ITIL V.3 Prozessmodell sowie Einführung einer CMM-orientierten Messung und Beschreibung der Prozess-Reifegrade (involvierte ITIL v.3 Prozesse: Capacity-, Configuration-, Change- und Availability Management);
  • Rollen- und Schnittstellenbeschreibung im DPPT internen Workflows unter Einbeziehung der kooperierenden Einheiten wie Produktionsplanung (PP), RZ Infrastructure Architecture Services (IAS) und Dynamic Platform Operating Teams (DPOT);
  • Schnittstellenfunktion zu parallel laufenden Service-Improvement-Projekten in anderen  Einheiten wie ?Standard-Forecast-Procedures? und ?Change-Management-Improvement?;
  • Erstellung eines DPPT Standard-Team-Layout, Berechnung der erforderlichen Team-Größen;
  • Erarbeitung von Vorschlägen zur Team-Reorganisation in Anlehnung an geänderte Workflows;
  • Erarbeitung der Standard Operational Procedures (SOP) unter Berücksichtigung relevanter IT-Service und IT-Security Management Standards (ISO/IEC 20000/27000);
  • Erstellung von Schulungsmaterial und Training von in Malaysia, UK, den Niederladen, der Schweiz sowie in Deutschland tätigen DPPT-Teams bezüglich der Businessprozess- und Servicemodelle;
  • Mitwirkung an internen Assessments und Audits.

- Assistenz für das Line-Management:

  • Team-Management (Deputy Team-Leader):
    • Management von internen und exteren Mitarbeitern
    • Management von Arbeitsaufgaben, Prioritäten und Arbeitsauslastung,
    • Evaluierung der Arbeitsergebnisse,
    • Sicherstellung der SLA-Einhaltung,
    • Sicherstellung der Abstimmung und Kooperation zwischen den Fachabteilungen;
  • Kontrolle von Abschreibungskosten und -methoden gemäß interner Vorgaben und IAS;
  • Prozeßrollenbasierte Kostenzuordnung.
AppCom Technologie in Hochverfügbarkeitsumgebungen LINUX- Windows- Citrix- AIX-Cluster VMware ESX IBM LPAR Hypervisor NetApp-Filer/MetroCluster Simens-Fujitsu-/HP-/IBM Blade Center-Server IBM p5 (575 bis 595) Cisco-Netzwerkkomponenten Cisco-Firewalls NAS/iSCSI Qtree Config-/Asset-Management-Systeme eCMDB AssetCenter ASM-Advanced Storage Manager SAP-Applikationen SOM@SAP DOM@SAP Dokumenten Management Systeme LiveLink SharePoint ITIL v.3 ISO 20000 ISO 27000 - series (27001/27002/27005) BSI-Grundschutz CMMI PMI
T-Systems International
Verschiedene Cloud-DCs in EMEA, Americas, APAC

Aus- und Weiterbildung

Aus- und Weiterbildung

Ausbildung/Studium:
1990 - 1995 Studium Mathematik und Informatik - Freie Universität Berlin
1986 ? 1988 Studium allg. Maschinenbau spez. Konstruktion - Ingenieurschule Wildau, Deutschland
1983 ? 1985 Berufsausbildung Fahrzeugschlosser - Berufsschule der Deutschen Reichsbahn Berlin, Deutschland


IT/QM-Zertifizierungen und Weiterbildungen:

2023 IT Compliance mit IKS, ISAE 3402 / SSAE 18 / SSAE 16 & SOC

2022 IT-Sicherheitsgesetz 2.0 & Update der KRITIS-Verordnung - Bitkom Akademie, Germany

2021 Auditoren-Schulung Energieanlagen gem. ITSK und EnWG - GUTcert, Deutschland

2020 Prüfverfahrens-Kompetenz IT-Sicherheitsaudits BSIG/KRITIS (Aktualisierungen) - Bitkom Akademie, Deutschland

2020 Prüfverfahrens-Kompetenz IT-Sicherheitsaudits BSIG/KRITIS - Bitkom Akademie, Deutschland

2019 IT-Sicherheitskatalog gem. KritisV und EnWG für Auditoren - GUTcert, Deutschland

2019 DSGVO für Auditoren - Quality Austria, Österreich

2018 CISA Training für IT-Security Auditoren - ISACA, Deutschland

2017 Agile Project Delivery in klass. Projektorg. mit SCRUM und PRINCE2 - QRP, Deutschland
2016 COBIT 5 Implementation - Maxpert Deutschland
2015 SCRUM Master und SCRUM Product Owner - TÜV Akademie, Deutschland
2014 PRINCE2:2009 Practitioner Recertification - APMG, Niederlanden
2014 EFQM Excellence Assessor/TQM Coach - ILEP/TÜV Akademie, Deutschland
2013 COBIT for SOX - mITSM, Deutschland

2013 ISO 27000 Auditor für IT Security Management Systeme (äquivalent CISA)

2013 Governance, Risk and Compliance gem. ISO 27000

Governance, Risk and Compliance nach ISO 27000 - TÜV Akademie, Deutschland
2012 COBIT 5 Foundation - ISACA/Serview, Deutschland
2011 ISO 20000 Auditor IT Service Mgmt Systeme

2011 Consultant/Manager in ITSM nach ISO 20000 (äquivalent CISM) - TÜV Akademie, Deutschland
2011 ITIL v.3 Expert - Loyalists Certification Services, USA/Canada
2009 PRINCE2:2005 Practitioner Zertifizierung - APMG, Niederlanden
2008 COBIT 4 Basic Practitioner - ISACA, Deutschland
2007 ITIL V.2 Foundation Zertifizierung - exin/TÜV, Deutschland
2006 ISTQB-CTFL (Software Testing) - CoDeMa, Deutschland
2005 M_o_R (Risikomanagement nach OCG) - DataCIB, Deutschland
2003 V-MODELL/HERMES (Projektmanagement nach der AKTÜV-Methode) - RW TÜV, Deutschland
2002 TOGAF (Enterprise Architecture (EA) - CoDeMa, Deutschland


Weiterbildung Sprachen: 2018 - 2019 Niederländisch - CCLM - Brüssel

2013 - 2014 Französisch - Languages Unlimited - Brüssel
2008 - 2010 Italienisch - Leitmotiv - Parma, Italien
2007 Französisch - Institut Linguistique Adenet - Montpellier, Frankreich
2002 - 2007 Englisch / Business Englisch - Wall Steet Institute - Berlin, Deutschland

Position

Position

- IT Auditor (IT Sicherheit und Datenschutz)

- GRC Manager in den Bereichen IT-Security und Datenschutz

- IT Analyst im Bereich Abstellung von Audit Feststellungen (IT Sicherheit und Datenschutz)

Kompetenzen

Kompetenzen

Top-Skills

Audit (IT Security, GDPR, IT Service Management) GRC Management SAP Audit IT Security Policies IT security Instructions IT Security Controls Data Privacy Controls

Produkte / Standards / Erfahrungen / Methoden

IT Security Audit
Experte
Data Privacy Audit
Experte
GRC Management
Experte

ORGANISATORISCHE FÄHIGKEITEN UND KOMPETENZEN:

? Langjährige Erfahrung und tiefgehendes Hintergrundwissen in allen wesentlichen Managementbereichen von EDV-Betrieben; insbesondere in den Bereichen IT-Beratung und IT-Management sowie Projektbesetzung und Teammanagement:

- Compliance mit internen oder/und regulatorischen Anforderungen,

- Datenschutzrecht der EU (DSGVO (Verordnung 2016/679, Verordnung 2018/1725,

Verordnung (EC) 45/2001 und EU-Mitgliedsstaaten basierend auf Richtlinie 95/46/EC (BDSG, DSG 2000, Data Protection Act U.K. etc.),

- Audits in den Bereichen IT- Service- und IT-Security-Mgmt sowie IT-Geschäftsprozesse,

- Proaktives Projektmanagement unter Nutzung verschiedener Projektmanagementmethoden,

- Projektbezogenes Finanzmanagement und Budgetkontrolle,

- Technische Ressourceplanung,

- Sourcing Strategie Management,

- Vertragsmanagement, Beschaffung und Finanzmanagement unter Beachtung von öffentlichen und privaten Einkaufsrichtlinien (2004/17/EC, 2004/18/EC), den Deutschen Beschaffungsrichtlinien (VOB/VOL/VOF) sowie deutschen und internationalen Bilanzierungs- standards (HGB/IAS),

- Verhandlung/Überwachung von EDV-Dienstleistungen und ?Projekten (SLA, OLA, UC),

    - Personalauswahl und Personalführung in Projekten und Arbeitsprozessen,
  
? Organisations- und Planungsgeschick mit großer Aufmerksamkeit für essentielle Details;
? Zielorientierte Arbeitsweise in anspruchvollen Aufgabenfeldern mit hoher Arbeitsbelastung und Gleichzeitigkeit von Aufgaben und Projekten;
? Prioritätsgesteuerte Vorgehensweise entsprechend der Anforderungen;
? Arbeitsorganisation unter Beachtung vorgegebener Vorgehensweisen und Standards;
? Erfahrung im Verfassen von englisch- und deutschspracheigen Entscheidungsvorlagen und Gutachten;
? Pflege von Geschäftsbeziehungen und Vertrieb von IT-Dienstleistungen.
 
 
INTERNATIONALE ERFAHRUNGEN AUS INDUSTRIE UND INTERNATIONALEN ORGANISATIONEN:

? Umfangreiche Erfahrungen in multikulturellen/multinationalen Projekt-, Arbeits- und Lebensumfeldern z.B. in der Schweiz, UK, Luxemburg, Belgien, Schweden.


TOOLS, TECHNOLOGIEN UND METHODEN SEIT 1986:

? Betriebssysteme: Netware, OS/2, div. Linux und UNIX Derivate (AIX, SunOS/Solaris, RHEL, Suse, Debian), VMS, z/OS (MVS, OS/390) L3, MS Windows (Client/ Server);
? Hypervisor/Virtualisation: Citrix WinFrame/MetaFrame/XenApp, VDI (Citrix VDI, VMware (Horizon) View), VMware ESX(i)/GSX/Server inclusive DRS, Motion und Consolidated Backup, (Citrix) Xen Server, MS Virtual Server, IBM POWER Hypervisor, Oracle (SUN) VirtualBox;
? Direktory Services (X.500/LDAP): MS Active Directory (MSDS), Novell Directory Services (NDS/eDirectory), Lotus Domino Directory;
? Systemsmanagementsysteme: Netware ManageWise/ZEN-Works, MS SMS/MOM/SCCM/SCOM, IBM NetView / Tivoli , BelSoft  Empirum; BMC, Remedy, GEDYS;
? Identity Management Systeme: MS Identity Integration Server, Tivoli Identity Manager, MS Federation Services, IBM Federation Services;
? Collaboration und Groupwaresysteme: IBM Lotus Domino/Notes/Sametime, MS Exchange, Novell GroupWise, Blackbarry Enterprise Server (BES), MS SharePoint Services (WSS), MS Project Server, MS Office Communication Server (OCS);
? Netzwerktopologien: Ethernet, Token Ring, FDDI, W-LAN;
? Speichertopologien: SAN/TAN, NAS, iSCSI;

? Secure Storage Solutions: Vormetric, Cryptomator;
? Datenbanken: Lotus Notes/Domino, MS SQL Server, MS Access, Oracle (RAC), My-SQL, DB/2, ADABAS, IMS DB/DC;
? Mainframe- / AS/400-Anbindung: Netware for SAA, MS SNA Server/Host integration Server, 3270/5250-Terminal Emulationen;
? WEB-Server: IBM Lotus Domino, Apache, MS Internet Information Server;
? Portale und Dokumentenmanagementsysteme: IBM WebSphare, IBM Lotus Domino Content Manager, Apache TomCat, Xinco Document Management System;
? CRM und ERP Systeme: SAP, vTiger, Neutrino, Navision, Lexware, GEDYS, MS Dynamics, SAP CRM/ISU, Salesforce, VDWH;

? Industry Management Applications: Managed File Transfer (MFT), Electronic data interchange (EDI), Product Lifecycle Management Systems (PLM),? Eurex-C, Axway TSIM/SecureRelay, TruFusion, Siemens Teamcenter, PTC Windchill, Desktop-Automation tools, UIpath (robot automation), several MES-Systems;
? Firewalls/PKI: MS Proxy Server/ISA Server, Novell Boarder Manager, Cisco PIX/ASA, Innominate mGuard, Juniper NetScreen, IP Chain, 101/104/101 Gateways; Proxy, Reverse Proxy, Cloud Access Service Provider (CASB), IDS/IPS, SIEM, SPLUNK, Identity Security, F5 Web-Application Firewall, Checkpoint, MS PKI, Cloud PKI, PrimeKey (EJBCA), ENX-Network
? IP Telofonie- und Videokonferenzsysteme: Cisco-PBX, Asterix-PBX, MS Office Communication Server (OCS), Lync/Skype Business, Verizon, Polycom;
? Programmiersprachen und -technologien: C/C++, Lotus-Script, JAVA-Script, JAVA, Scala, JDBC, jBPM, HTML, XML, BPEL, CSS, Basic, Pascal,  Modula 2, Fortran, REXX, COBOL, PL/2, SQL, Assembler;
? Abstrakte Beschreibungssprachen: EXPRESS/EXPRESS-G, UML, BPMN, EPK/eEPK;
? Protokolle: TCP/IP, IPX/SPX, NetBIOS, X.25/Frame Relay, LU6.2, SCADA, 101, 104, Modbus, OPC XML-DA, OAuth 2.0, SAML 2.0;
? Server Systems: IBM, HP, DELL, Sun, Fujitsu, DEC;
? Switches und Router: Cisco Catalyst/Aironet, Cisco-Linksys, Netgear, 3Com/H3C, IBM;
? Tools/Toolkits:  MS Office, MS FrontPage, Oracle/SUN OpenOffice, StarOffice, Open WEB Suite, Namo WEB Editor, JAP, PGP, GnuPG, IBM Lotus Notes, FireFox/Mozilla, Outlook, Eclipse, MS Visual Studio, Borland Developer Studio, Eclipse, SQL2WEB, MS Windows Resource Kit, MS Office Resource Kit, MS Office Proving Tools, pcAnywhere, VMware Virtual Center, IBM Virtualisation Manager, IBM Director, SemTalk;
? DTP/CAD: CorelDraw Suite, Pagemaker/Indesign, Photoshop, Acrobat, AutoCAD;
? Programm-/Projekt-Management-Tools: MS Project/MS Project Server, CA-Clarity, In-Step, Merlin, OpenProject, MindManager/FreeMind, Redmine, JIRA, Confluence;
? BPM-/Workflow-Tools: VISO, ARIS, Oracle/BEA AqualLogic, BPM Space, ADONIS, CANEA, Bizagi BPM;

? ISMS-/DSGVO-Tools: PRIME, GSTOOL, HiScout, Verinice
? Vorgehensmodelle/Methoden/Standards: TOGAF, Zachmann, Stufenmodell, V-Modell (AKTÜV/HERMES/V-Modell XT), SCRUM, RUP, SOA, CORBA, PMI,PRINCE 2, SCRUM, ITIL v1/v2/v3, ISTQB, ISO 20000, CIS, Controls, CIS Benchmarks, ISO 27000/17799(BS 7799), BSI-Standards (100-x, 200-x, C5), STRIDE, OWASP-10, ISO 22301 (BS 25999), ISO 9000, EFQM/TQM, COBIT 4/4.1/5, CMMI, SOX, ISO 19011, M_o_R, ISO 31000, MAS, KWG, EnWG, BDEW Whitepaper (2015/2018), BNetzA IT-Sicherheitskatalog, BSIG, KritisV, IEC 62443, VDI/VDE 2182: 1, BSI -Security-Kompendium, NAMUR NA153: Automation Security, ISO 22300, ISO 27019, BSI 100/200-1, RBAC.

Branchen

Branchen

- Fahrzeug- und Zulieferindustrie

- Energieversorgung (Elektrizität und Wärme)

- Finanzindustrie (Banken und Versicherungen)

- Telekommunikation, Rechenzentren und IT-Outsourcing

- Ingenieurwesen

- Öffentlicher Dienst

- EU Institutionen (Kommission, EU-Agenturen)

Einsatzorte

Einsatzorte

Deutschland, Österreich, Schweiz
möglich

Projekte

Projekte

1 Jahr 8 Monate
2023-03 - heute

Application Security - Abstellung von IT-Security Audit-Feststellungen

IT security analyst and Project Manager BMC Discovery CMDB SAST ...
IT security analyst and Project Manager
* Abstellung von Auditfeststellungen im Bereich der Anwendungssicherheit (Source Code Scan, DAST, SAST, SCA, Vunerability Scanning):

  • Analyse der Feststellungen und vereinbarten Folgemaßnahmen;
  • Analyse und Dokumentation der Prozessketten, beteiligten Anwendungen, deren Schnittstellen und ausgetauschten Informationen (Artefakte) sowie organisatorische Fragen zwischen den involvierten Einheiten der IT Organisation;
  • Erarbeitung und Abstimmung konkreter Maßnahmen zur Verbesserung der Orchestrierung der beteiligten Anwendungen und Teams (Squads);
  • Technische Abstimmung/Anpassung des Umsetzungsplanes mit den involvierten IT-Teams und der internen Revision;
  • Erarbeitung der technischen und organisatorischen Projektplanung und Kontrolle des Implementierungsfortschrittes

* Mitwirkung an der Umstellung Fortis Tool-Landschaft im Bereich Application Scan auf den Standard der BNP Group.


* Mitwirkung an der Erarbeitung und Etablierung eines Software-Feature bezogenen Freigabesystems (Quality Gates) für geschäftliche Web-Anwendungen (Web Application Vulnerability Assessment) innerhalb des Release Management Processes.
BMC Discovery CMDB SAST DAST Qualys Titanium Bitsight Sysdig Fortify NexusIQ Service Now (Snow) RefWeb Archer SOC1 ISO 27000 SecDevOps SOX ITIL EuroSox Scrum Prince 2 SAFe Rally MS-Project BPMN MS Viso Continuous Integration Continuous Deployment
BNP Paribas Fortis
Remote / Brüssel
5 Jahre 7 Monate
2018-06 - 2023-12

IT-/OT-Risikoprüfungen - Fahrzeugindustie

IT-/OT-Risikoprüfer / GRC Manager (Informationssicherheit und Datenschutz) RZ-Sicherheit Office 365 Produkt Linie MDM Systeme ...
IT-/OT-Risikoprüfer / GRC Manager (Informationssicherheit und Datenschutz)
* Mitwirkung an der Überarbeitung der internen IT Sicherheitsleitdokumente (IT Security Policy, IT Security Instructions, IT Security Work Instructions) basierend auf CIS, NIST, BSI Best Practices (z.B. CIS Controls und CIS Benchmarks), BSI Grundschutz, OWASP Top 10 / mobile TOP 10.

* Prüfung der Implementierungsreife generischer IT Security Guidelines basierend auf CIS Controls, Härtungsmaßnahmen basiert auf CIS Benchmarks sowie der IT Security Prozesse und Verfahrensweisen basierend auf BSI Grundschutz-Empfehlungen.

* Prüfung der technischen und organisatorischen Sicherheit für geplante IT/OT Vorhaben wie:

- Änderung von Sourcing-/Cloud-Strategien (z.B. O365);
- Anpassung von Mobile Device Strategien (z.B. Intune, Mobile Iron,Wandera);
- Identity and Access Management (IAM) für Cloud- und On-Premise Anwendungen (CASB, PingID, SLAM 2.0);
- Konsolidierung von Maschinen- und Produktionssteuerungssystemen (z.B. ERP <=> MES <=> SCADA);
- Telematics und Vorausschauende Wartung
- RZ-Konsolidierung;
- IT/OT Verfügbarkeit für kritische Geschäftsprozesse (BCM);
- Sicherheitsarchitektur bezgl. Verarbeitung von "streng vertraulichen" Dokumenten und Artefakten;  
- Managed File Transfer (MFT), Electronic data interchange (EDI), Product Lifecycle Management Systems (PLM)


mit folgenden Inhalten:
-Ermittlungen und Dokumentation von Bedrohungen (z.B. Ausfall, Sabotage, Spionage, Verstoß gegen regulatorische Vorgaben wie ITSiG, EU-DSGVO (GDPR) etc.);
- Ermittlung und Dokumentation von technischen und organisatorischen Schwachstellen (z.B. active / passiv Code Scanning, Penetration Testing, IT Architekturanalyse);
- Ermittlung der sich hieraus ergebenden Einzelrisiken,Risikoverkettungen und systemischen Risiken;
- Ermittlung der Eintrittswahrscheinlichkeiten von Risiken;
- Ermittlung des Schadenpotentials der Risiken;
- Bewertung des Brutto-Risikos;
- Erarbeitung von technischen und organisatorischen Risikominderungsvorschlägen;
- Bewertung des verbleibenden Netto-Risikos;
- Bewertung des IT Vorhabens aus der Sicht des IT Risikomanagements;
- Diskussion der Bewertung mit den betroffenen Fachabteilungen;
- Abgabe von Umsetzungsempfehlungen zu den IT Vorhaben;
- Review von Umsetzungsmaßnahmen;
- Steuerung der GRC Aktivitäten manuell und mittels Tool - Unterstützung (SAP GRC);
- Prüfung der Anwendbarkeit und Vollständigkeit der IT SecurityPolicies, Security Instructions, Hardening Guidelines etc.


* Mitwirkung an der Überarbeitung der internen IT-Service Management (ITSM) Richtlinien gem. ITIL und ISO20000.

* Projektmanagement für Mitigation Projekte in den Bereichen:
- IT Security Policies und Security Instructions;
- Cloud Computing Security (z.B. AWS, Azure, CASB);
- DevOps und DevSecOps;
- IT/OT Security und Datenschutz;
- MES-, ERP-, CRM-Systeme;
- PLM-, MFT- und EDI-Systeme.
RZ-Sicherheit Office 365 Produkt Linie MDM Systeme Mobile Iron Intune ERP SAP (R3/S4/HANA/HEC) div. SAP Module (BW/CRM/MM/SD etc.) SAP Success Factors (HCM) SAP Ariba Outsourcing-Konzepte Produktionssteuerungsanlagen VPN Sicherheit SSL-/TLS-Sicherheit PKI Diffie Hallman Trust Centers (CA) Digitale Zertifikate X.509 symetrische und asymetrische Verschlüsselungen RSA AES DES 3DES Hash MD SHA Cipher Suites PGP S/MIME Digitale Unterschriften Firewalls Zoning-Konzepte IDS IPS Penetration Tests Industrial Control Systems (ICS) SCADA Distributed Control Systems (DCS) PLC RTU PID ITSM ITIL ISO 20000 COBIT SOC 1 SOC 2 ISMS ISO 27000 Serie BSI-Grundschutz Business Continuity IT-Service Continuity TISAX ISO 31000 ISO 37500 ISO 50600 BSI C5 ITSiG NIST Cybersecurity Framework OWASP TOM C-I-A Analyse EU-DSGVO (GDPR) Sperrkonzepte Löschkonzepte ICE 62443 VDI/VDE 2182: BSI -Security-Kompendium BSI TR-02102-1 NAMUR NA153: Automation Security ISO 22300 ISO 27019 RBAC BSI 100/200 Managed File Transfer (MFT) Electronic data interchange (EDI) Product Lifecycle Management Systems (PLM) Eurex-C Axway TSIM/SecureRelay TruFusion Siemens Teamcenter PTC Windchill Desktop-Automation tools UIpath (robot automation) SUN/Oracle-JRE OpenJDK (Coretto) Proxy Reverse Proxy Cloud Access Service Provider (CASB) IDS/IPS SIEM SPLUNK Identity Security F5 Web-Application Firewall Checkpoint OAuth 2.0 SAML 2.0 Vormetric Mobile Iron zero trust security Salesforce VDWH ENX-Network verschiedene MES-Systeme MS PKI Cloud PKI PrimeKey (EJBCA) Android enterprise Wandera Identity and Access Management (IAM) DevOps DevSecOps Cyberark Netskope F5 IT Security Policies IT Security Instructions Hardening Guidelines IAM PingID Embedded Coder DAST SAST Embadded Systems Application Security Testing Veracode PEN-Testing Burp Suite CIS Benchmarks CIS Controls Jira Atlassian Confluence ProPlan SAP-GRC BMC Service Now SOX EuroSox SAFe SecDevOps CMMC
ZF Group
Friedrichshafen, Deutschland und verschiedene Standorte weltweit / Remote
1 Jahr
2021-01 - 2021-12

Compliance-Prüfung Softwareeinsatz - Fahrzeugindustrie

IT-Auditor DSGVO (GDPR) BetrVG NIST Cybersecurity Framework ...
IT-Auditor

Mitwirkung an der Prüfung und Verbesserung des innerbetrieblichen Risikomanagements und der Compliance beim Softwareeinsatz:
- Prüfung von Test- und Entwicklungswerkzeugen auf:

  • Mitbestimmungspflichtigkeit gem. §87, Abs. 1, No, 6 BetrVG,
  • Einhaltung der Vorgaben nach DSGVO (GDPR),
  • Einhaltung der IT-Security Vorgaben;


- Erarbeitung von Risikoeinschätzungen auf der Grundlage von gefundenen Schwachstellen und Bedrohungsszenerien;

- Erstellung von Prüfberichten und Handlungsempfehlungen;

- Mitarbeit an der Überprüfung und Anpassung von IT Security Policies, IT Security Instructions, Hardening Guidelines;

- Kontrolle der Umsetzung von Handlungsempfehlungen.

DSGVO (GDPR) BetrVG NIST Cybersecurity Framework ISO 20000 ISO 27001 ISO 27005 Datenbankschemata TestBanch Redmine TestLink Jenkins SCRUM DevOps Kanaban ISTQB agiles Testen automatisiertes Testen. DevSecOps IT Security Policies IT Security Instructions Hardening Guidelines IAM Ping ID Embadded Coder Embadded Systems
Siemens Mobility
Erlangen - Deutschland
9 Monate
2020-01 - 2020-09

Sicherheitskonzept (BSI 100-x/200-x)

IT Security and Covernance Consultant BSI Grundschutz BSI 100-x/200-x ISO 27000 serie ...
IT Security and Covernance Consultant

Beratung zur Eingliederung des Sicherheitskonzeptes (Siko) der nachgeordneten Behörde (Brandenburgisches Landesamt für Denkmalpflege und Archäologisches Landesmuseum (BLDAM)) in das Sicherheitskonzept des IT Landesbetriebes (ZIT-BB):
- Analyse der Anforderungen des Landesbetriebes;
- Analyse des Ist-Situation und des bestehenden Siko der Behörde;
- Erarbeitung prinzipieller Lösungsvorschläge und Lösungsvarianten;
- Abstimmung einer Vorgehensweise (Projektplan, Phasenplan, Meilensteine, Arbeitspakete) zur Umsetzung der Anforderungen des Landesbetriebes;
- Mitwirkung an der Erarbeitung der Ausschreibungsunterlagen (Leistungen, Lose, etc.) für die Umsetzungsphasen.

BSI Grundschutz BSI 100-x/200-x ISO 27000 serie ITIL Prince 2 VOL/VOF DSGVO (GDPR) Verinice Identity and Access Management
BLDAM
Zossen bei Berlin
4 Monate
2019-10 - 2020-01

SAP Audit - Retail

Prüfer (IT-Security/IT-Service Management) ISO 27001 BSI-Grundschutz ISO 20000 ...
Prüfer (IT-Security/IT-Service Management)

- Interne Prüfung des SAP-Betriebes bezüglich:

  • Übereinstimmung der SLAs mit den betrieblichen Anforderungen in Bezug auf Vertraulichkeit, Verfügbarkeit und Integrität,
  • Umsetzung von Best-Practices im SAP-Betrieb,
  • Umsetzung von Rollen und Rechten unter Anwendung der BSI-Empfehlungen,
  • Erreichung der Business-Ziele bei der Neuausrichtung von SAP-Anwendungen/Migrationen,

- Erarbeitung von Folgemaßnahmen entsprechend der Audit-Ergebnisse;

- Review des internen IT Kontrollstandards (MICS (IT Security Policies, IT Security Instructions, Hardening Guidelines)).

ISO 27001 BSI-Grundschutz ISO 20000 ITIL V.3/V.4. Rechte- und Rollenkonzepte Massendatenverarbeitung SAP R/3 SAP S/4 SAP HANA SAP HEC SAP FI SAP Success Factors SAP Ariba IaaS SaaS Multi-Cloud Connections BPMN Business Case Analysis Business Impact Analysis Business Continuity Konzepte Sourcing Strategies IT Security Policies IT Security Instructions Hardening Guidelines
C&A
Düsseldorf, Deutschland; Brüssel, Belgien
1 Jahr 2 Monate
2018-11 - 2019-12

Compliance Kontrollen DSGVO, EnWG, KritisV - Energieversorgung

Auditor / Enterprise Architekt DSGVO (GDPR) ISO 19011 ISO 27001 ...
Auditor / Enterprise Architekt

- Entwurf eines dreistufigen generischen Prüfprogrammes zur turnusgemäßen Prüfung von konzerninternen und externen Auftrags(daten)verarbeitungen (ADV):

  • Ermittlung und Abgleich der Quellen zur Erfassung aller ADVs mit DSGVO-Bezug;
  • Erarbeitung eines Klassifizierungsschemas für ADVs;
  • Zuordnung verschiedener TOM-Kataloge zu den ADV-Klassen;
  • Erarbeitung eines Vorgehens zur Ermittlung angemessener Stichprobengrößen;
  • Erarbeitung eines kombinierten Prüfvorgehens aus Self-Assessment und Audit zur Durchführung der Stichproben;
  • Erarbeitung eines Vorgehens zur Auswahl der Auditkandidaten für die jährliche Stichprobe;
  • Abschätzen des benötigten Ressourcebedarfes zur Umsetzung des Auditprogrammes. 

 

- Durchführung von IT-/OT-, Datenschutz-Audits und kombinierten Audits (andere Sachverhalte wie EnWG §§6 ff.) zur Überprüfung der Umsetzbarkeit des vorgeschlagenen Prüfprogrammes sowie der Ermittlung der Angemessenheit der technisch-organisatorischen Maßnahmen (TOMs (IT Security und Datenschuts Instructions/Controls)):

  • Sichtung von Rahmenverträgen und Leistungsscheinen, TOMs, Prozessbeschreibungen und Arbeitsanweisungen bezüglich des zu prüfenden Auftragsverarbeitungsverfahrens;
  • Prüfung der internen und externen Verarbeitungsregister;
  • Prüfung der Dokumentation zur Rechtmäßigkeit der Verarbeitungstätigkeiten
  • Interviews und Vor-Ort-Besichtigungen
  • Dokumentation von Feststellungen;
  • Erarbeitung von Folgemaßnahmen;
  • Erarbeitung von Auditberichten;
  • Kontrolle der Umsetzung der Folgemaßnahmen.

 

- Mitwirkung an den technischen Festlegungen für die IT-Unterstützung des Programmes.

- Unterstützung des Line-Managements (Deputy Team Leader):

  • Teammanagement (interne und externe Mitarbeiter);
  • Unterstützung bei der Arbeitsplanung und -piorisierung sowie im Berichtswesen;
  • Organisation der fachbereichsübergreifenden Zusammenarbeit;
  • Unterstützung bei der rechtlichen Bewertung von vermuteten Comliance-Verstößen (z.B. unbundling gem. EnWG, Datenschutzverletzungen).

DSGVO (GDPR) ISO 19011 ISO 27001 ISO 27002 ISO 27019 BDEW Whitepaper 2015/2018 ITIL v2/v3 ISO 20000 KritisV BNetzA IT Sicherheitskatalog BSI-Grundschutz (BSI 100-x/200-x) EnWG Verschlüsselung Anonymisierung Datensparsamkeit Rechte der betroffenen Personen Informationskonzept Sperrkonzept Löschkonzept Zutrittskonzept Berechtigungskonzept Register der Verarbeitungstätigkeiten Rechtmäßigkeit der Verarbeitung Management von Datenschutzverstößen MoSCoW-Analyse TOGAF BPMN SAP Ariba SAP HCM Salesforce OT (SCADA) HiScout CANEA IT Security Instructions IT Security Controls Datenschutz Anweisungen und Controls
E.ON SE
verschiedene Standorte innerhalb der EU
9 Monate
2017-09 - 2018-05

Regulatorische Compliance, IT Sicherheit und Datenschutz - Versicherung

Auditor z/OS und z/OS Anwendungen Guidewire Insurance Platform Vmware ...
Auditor

Mitarbeit an der Bearbeitung der IT-Sicherheits- und Datenschutzbelange im Zusammenhang mit einem geplanten Austausch der Core-IT Systeme :

- Prüfung der internen IT-Sicherheits- und Datenschutzleitdokumente auf Vollständigkeit und Anwendbarkeit für das Vorhaben;

- Prüfung der IT-Vorhaben auf Abdeckung durch externe/interne datschutzrechtliche Vereinbarungen (Datenschutzerklärungen, Betriebsvereinbarungen);

- Prüfung des Verzeichnisses der Verarbeitungstätigkeiten bezüglich Abeckung von geplanten bzw. anzupassenden Verarbeitungstätigkeiten;

- Prüfung von IT-Vorhaben auf DSGVO-konforme Abdeckung der Rechte der betroffenen Personen;

- Prüfung der technischen und organisatorischen Planungsdokumente auf Übereinstimmung der mit den internen und externen/regulatorischen Anforderungen in Bezug auf Vertraulichkeit, Verfügbarkeit, Authentizität;

- Ableitung, Abstimmung und Dokumentation von Klarstellungs- und Anpassungsbedarf in Planung und Dokumentation der IT-Vorhaben mit Blick auf regulatorische Vorgaben (KritisV, DSGVO);

- Prüfung des Umsetzungsstandes der Anpassungsmaßnahmen.

z/OS und z/OS Anwendungen Guidewire Insurance Platform Vmware LINUX Apache TomCat MS-SQL Server JAVA EE SOA SOAP REST XML PRINCE 2 + Agile (Scrum und Kanban Artefakte) JIRA BPMN UML Confluence MindMap ITIL ISO 20.000 ISO 27.000 ISO 31.000 DSGVO (GDPR) Rechte Betroffner Personen Register der Verarbeitungstätigkeiten Betriebsvereinbarungen Datenschutzvereinbarungen KritisV STRIDE OWASP Autorisierung- und Authentifizierung-Konzepte CERT Secure Coding Clean Code CIS Hardening Guides BSI-Grundschutz BSI-Isi ISTQB MaRisk Center for Internet Security (CIS) Controls CIS Benchmarks (Hardening Guidelines)
VHV Versicherung
Hannover, Deutschland
7 Monate
2017-09 - 2018-03

KritisV und DSGVO Compliance - Energieversorgung (Wärme)

Assessor/Berater (Data Protection and Enterprise Architecure) ISO 27001/27002 ISO 27005 (ISO 31.000) ISO 27019 ...
Assessor/Berater (Data Protection and Enterprise Architecure)

- Prüfung der im Business Bereich Wärme eingesetzten Information Assets (IA) auf Datenschutzrelevanz;

- Prüfung der Zuordnung der IAs zu Datenverarbeitungsprozessen und deren Dokumentation im Register der Verarbeitungstätigkeiten;

- Prüfung der IAs auf Schnittstellen mit Auftragsverarbeitung;

- Prüfung der Auftragsverarbeitungs-Verträge und ggf. relevante Betriebsvereinbarungen;

- Prüfung der Abdeckung der IAs durch Datenschutzvereinbarungen und Anbindung an die Prozesse zur Sicherstellung der Rechte der betroffen Personen;

- Organisation und Durchführung von IT-Security und Datenschutz-Assessments inkl. organisatorischer und technischer Tests/Pen-Tests;

- Impact Analysen und Auswertung von Testergebnissen im Bereich Informationssicherheit und Datenschutz;

- Ableitung von technischen und organisatorischen Anpassungsmaßnahmen (TOM);

- Initiierung der Anpassungsprojekte;

- Zusammenstellung von Prozeß-Dokumentationen und Compliance-Nachweisen in Vorbereitung von IT-/OT-Security-und Datenschutz-Audits.

ISO 27001/27002 ISO 27005 (ISO 31.000) ISO 27019 BDEW Whitepaper 2015 BSI IT-Grundschutz BSIG EnWG BSI-KritisV ITSiG BDSG DSGVO (GDPR) NIST CIA Analyse OWASP Top 10 Auftragsverarbeitung Register der Verarbeitungstätigkeiten Betriebsvereinbarung Datenschutzvereinbarung Rechte der Betroffenen Personen Wasserfall-Model (VPPM) BPMN QPR ProcessDesinger
Vattenfall Wärme
Berlin, Deutschland; Solna, Schweden; Amsterdam, Niederlande
1 Jahr 3 Monate
2016-10 - 2017-12

z/OS Mainframe Security Prüfungen - Bankdienstleister

Prüfer (IT Security) z/OS RACF SMF ...
Prüfer (IT Security)

- Abstimmung des Audit-Inhaltes und der Prüfungsberichte mit der Innenrevision (Risiko-Management);
- Prüfung der REXX/SQL-Script basierten z/OS Sicherheitsprüfungen;
- Prüfung Job-Control-Flies (JCLs);
- Prüfung der Änderungshistorie der Prüfscripte und Job-Control-Files;
- Prüfung Ausführungsnachweise für die Prüfscripte;
- Prüfung der Archivierung und der Nachvollziehbarkeit der Sicherheitsprüfungsergebnisse;
- Prüfung des Änderungsprozesses für z/OS Sicheheitsprüfungen.

z/OS RACF SMF SAS DB2 ADABAS REXX SQL JCL ISO 9001 ISO 27001 ISO 27002 ISO 27005 KwG IMS DB/DC BaFin MaRisk
Finanz Informatik Technologie Service (FI-TS)
Haar, Deutschland
6 Monate
2017-06 - 2017-11

Technisch-Organisatorische IT-Sicherheitsprüfung E-Mail Archivierung - Bank

Prüfer (IT Security) ITSM gem. ISO 20.000 ISMS gem. ISO27001/27002 Risk-Mgmt. gem. ISO 27.005 ...
Prüfer (IT Security)

- Abstimmung des Audit-Scope mit dem CISO der Bank bezüglich der Prüfungsbereiche Vertraulichkeit, Verfügbarkeit und Integrität;
- Erarbeitung und Abstimmung spezifischer technischer und organisatorischer Security-Controls aus der technischen Service-Dokumentation mit Focus auf technische und organisatorische Fragestellungen sowie die Einbindung in das Risiko-Management der Bank und des IT-Dienstleisters;
- Prüfung der Dokumente und Nachweise;

- Durchfühurng von organisatorischen und technischen Sicherheitstests;
- Erstellen von Audit-Berichten und Ableitung von Folgemaßnahmen.

ITSM gem. ISO 20.000 ISMS gem. ISO27001/27002 Risk-Mgmt. gem. ISO 27.005 NIST CIA Analysis KWG KritisV BSIG ITSG DSGVO BDSG Sarbanes?Oxley (SOX) MaRisk Outlook Exchange HypAchive Windows Server Cluster EMC²-Storage Lösungen Hochverfügbarkeitsarchitektur Active Directory Berechtigungskonzepte
IKB Deutsche Industriebank
Düsseldorf, Deutschland
4 Monate
2016-10 - 2017-01

Konformitätsprüfungen EU-DSGVO und Datenschutzgesetzgebung EU Mitgliedsstaten (Gesundheitsdaten)

Compliance-Berater (Data Protection) DSGVO (Verordnung 2016/679) EU int. Datenschutzverordnung (Verordnung EC 45/2001) nationales Datenschutzrecht gem. EU-Richtlinie 95/46/EC ...
Compliance-Berater (Data Protection)

Datenschutzprüfung der technischen und organisatorischen Konzepte zum EU-weiten Datenaustausch von Patientendaten mit seltenen oder/und komplexen Erkrankungen unter Nutzung der eHealth-DSI (CEF-2015, 2017).
- Erarbeitung von technischen und organisatorischen Anpassungsmaßnahmen zur Sicherstellung der Konformität der IT-Lösungen mit nationalem Recht und EU-Recht.

DSGVO (Verordnung 2016/679) EU int. Datenschutzverordnung (Verordnung EC 45/2001) nationales Datenschutzrecht gem. EU-Richtlinie 95/46/EC BDSG Datenschutzgesetze der Deutschen Länder DSG 2000 (Österreich) Data Protection Act U.K Dirctory Konzepte DNS NDS LDAP X.500 Active Dirctory Cloud Directory HL7 FHIR IHE Profiles XUA++ ANTA IT-Architektur BPMN (ADONIS) Enterprise-Architektur Authorisierung Berechtigungskonzepte Authentifizierung ISO 27001 ISO 27002 ISO 20.000 COBIT
EU-Kommission/DG-SANTE
Brüssel Belgien
9 Monate
2016-01 - 2016-09

IT-/OT-Konformitätsprüfungen - Energieversorgung (Virtuelle Kraftwerke)

Prüfer/Berater (Regulatory Compliance and Architecture) Kanban Scrum Prince2 ...
Prüfer/Berater (Regulatory Compliance and Architecture)

- Prüfung der Anwendbarkeit und Auswirkungen der BSI-KritisV (BSI-G/EnWG) auf den Betrieb des Virtuellen Kraftwerks in den Bereichen der Regelenergie und erneuerbaren Energien (Wind, PV, Bio-Gas);
- Prüfung der IT-/OT-Sicherungsmaßnahmen der virtuellen Kraftwerksinfrastruktur entlang Anforderungen der Netzbetreiber (TSOs);
- Prüfung der verteilten Prozessdatenverarbeitung auf Konformität mit dem BSDG und der DSGVO;
- Prüfung der horizontalen Continuous Development / Continuous Deployment Prozesse (Scrum, Kanban);
- Prüfung der vertikalen Implementierungsprozesse für Fachprojekte im Bereich Steuerung von Regelenergie Assets wie Windkraft-, Solar- und Biomasse-Anlagen und Batteriespeicher  (PRINCE2 Agil);
- Prüfung der Software-Entwicklungs- und Testprozesse;
- Erarbeitung und Prüfung vor Folgemaßnahmen zur Anpassung des ISMS.

- Unterstützung des Line-Managements:
    ?    Teammanagement;
    ?    Unterstützung bei der Projektbesetzung, Arbeitsplanung
    ?    Übernahme der Product-Owner-Rolle für Umsetzung von Folgemaßnahmen;
    ?    Methodische Beratung zu agiler und klassischer Projektleitung (incl. Mischformen).

Kanban Scrum Prince2 JIRA Confluence Redmine MindMap JAVA Scala Jenkins Git-Lab Clean Code CERT Secure Coding Nexus Linux VMware Docker PostgreSQL MS SQL-Server Industrial Control Systems (ICS) SCADA Thrift 101/104/101 Gateways Modbus OPC XML-DA PLC RTU PID controllers Distribute Control systems (DCS) DCS ISO 27001 ISO 27002 ISO 27005 ISO 27019 NIST Cybersecurity Framework C-I-A Analyse BSIG EnWG BSI-KritisV ITSiG BDEW Whitepaper BNetzA-SiKa BSDG GDPR (DSGVO) Berechtigungskonzepte (Authorisation/Authentication) DevOps DevSecOps
E.ON
Essen, Deutschland; Brüssel Belgien
11 Monate
2015-02 - 2015-12

IT Prozess und Security Prüfungen - Börse

Prüfer/Berater (Regulatory Compliance ITSM/ISMS) OWASP STRIDE V-Modell ...
Prüfer/Berater (Regulatory Compliance ITSM/ISMS)

- Interne Vorbereitungs-Assessments zur ISO 20000 Rezertifizierung;
- Interne Prüfung der Einhaltung des IT-Securiy-Managementprozesses in der IBM Mainframe Softwareentwicklung;

- End-to-End IT-Architekturprüfung bezüglich der Mainframe basierten Transaktionssysteme (SWIFT);
- Review der Quality- und Security-Gates des internen Solution Development Life Cycles (SDLC) mit Focus auf IBM-Mainframe- und VMS-Systeme;
- Erarbeitung und Prüfung von technischen und organisatorischen Folgemaßnahmen (z.B. IT Security Policy, IT security Instructions, IT Security Controls, Datenschutz Anweisungen und Controls) im Rahmen des ISMS.

OWASP STRIDE V-Modell BPMN UML z/OS Linux on System z OpenVMS COBOL JAVA/JEE C/C++ DB2 Bizagi BPM FreeMind Merlin MAS ISTQB IMS DB/DC ISO 20000 ISO 27000 - series (27001/27002/27005) ISO 31000 ISO 9001 ITIL 2011 KwG Sarbanes?Oxley (SOX) MaRisk IT Security Policy IT security Instructions IT Security Controls Datenschutz Anweisungen und Controls
Deutsche Börse
Frankfurt/M, Deutschland
3 Monate
2014-11 - 2015-01

IT Architekturprüfungen - Global Bank

Assessor (Business and IT Architecture) z/OS core Banking HTML5 ...
Assessor (Business and IT Architecture)

Prüfung der IT-Architekturstrategie gegen die Direct-Channel-Business-Strategie;
Erarbeitungund Prüfung von Anpassungsmaßnahmen.

z/OS core Banking HTML5 CSS JAVA Script JAVA C++ XML WebServices SOA SOAP WDSL UDDI SSO BPNM SCRUM PMI Spax Enterprise Architect JIRA Confluence MindMap Viso IT Archtecture Enterprise Architecture
BNP Paribas Fortis
Brüssel, Belgien
5 Monate
2014-05 - 2014-09

IT Prozess Compliance Prüfungen - Global Bank

Assessor/Consultant (Regulatory and internal Compliance) MS-Project CA Clarity OPAL Green ...
Assessor/Consultant (Regulatory and internal Compliance)

- Prüfung von IT-Programmen und IT-Projekten auf die Einhaltung der Bank internen Richtlinien "Project Process Standard" (PPS) und "Financial Reporting Governance Board" (FGB):

  • Ausrichtung auf die Geschäftsstrategie, Ausrichtung auf die IT Strategie,
  • Ausrichtung auf die Architekturgrundsätze, Ausrichtung auf den Geschäftsnutzen,
  • Vollständigkeit und Plausibilität der Planungsunterlagen, Bereitstellung/Verfügbarkeit der erforderlichen Ressourcen (Kapazität),
  • Einhaltung der regulatorische Vorgaben;

- Erarbeitung und Prüfung von Audit-Folge- und Risikomanagement-Maßnahmen resultierend aus internenund externen Audits (KWG, MAS, SOX/FFIEC).

MS-Project CA Clarity OPAL Green NARdb dbRACE Visio MindMap IT-Application-Taxonomy-Map SharePoint Lotus Notes MS SQL-Server Citrix VDI C# .Net XML WebServices VBA SQL Wasserfall-Modell MSP P3O ISO 9000 ISO 31000 BPMN MAS SOX KWG BaFin-MaRisk
Deutsche Bank AG
Frankfurt/M, Deutschland; London, Vereinigtes Königreich
8 Monate
2013-09 - 2014-04

IT Security und Datenschutzprüfungen - Öffentliche Hand

Prüfer/Compliance-Berater (Regulatory Compliance) VMware ESXi Windows 2003/2008 Server Citrix XenApp ...
Prüfer/Compliance-Berater (Regulatory Compliance)

- Prüfung von IT unterstützten Prozessen in den Bereichen Personal und Lieferanten auf die Einhaltung der Anforderungen nach BDSG und ISO 27001/BSI;
- Schnittstellen-Prüfung von IT Services und Business-Prozessen;
- Prüfung des Berechtigungskonzeptes;

- Durchführung und Auswertung von organisatorischen und technischen Sicherheitstest/Penetration-Tests;
- Erarbeitung und Prüfung von technischen sowie organisatorischen Anpassungsmaßnahmen.

VMware ESXi Windows 2003/2008 Server Citrix XenApp ADS MS SQL-Server MS Access SAP Basis verschiedene SAP Module SharePoint SharePoint-Services ABAP VBA C# XML SOA ITIL ISO 27001 ISO 27002 ISO 27005 BSI 100-x V-Modell SCRUM ISTQB Visio MS Project MindManager. IT-Architektur Enterprise-Architektur Berechtigungskonzpte Application Orchestration
Landesregierung Hessen
Wiesbaden, Deutschland
1 Jahr 4 Monate
2012-03 - 2013-06

IT Produktionsprozessprüfungen - ITSP/MSSP

Process-Improvement-Berater (Enterprise Architecture (Cloud)) AppCom DCP High-Availability Data Centres (z.B. Twin-Core) ...
Process-Improvement-Berater (Enterprise Architecture (Cloud))

- Prüfung der technischen und organisatorischen Prozesse des Cloud-Computing-Segmentes mit Ziel der Prozess- und Produktionskostenverbesserung und Fokus auf die Bereiche Change-Management, (Component-/Service-) Capacity-Management, Configuration-Management, Deployment-Management, Demand- und Forecast-Management unter Beachtung der internen und externen Compliance-vorgaben für Availability- und Service-Continuity-Management sowie Risk- und Security-Management.


- Erarbeitung und Prüfung von Folgemaßnahmen zur Optimierung von Planungs- und Projektsteuerungsprozessen der Cloud-Factory;

- Team-Management (Deputy Team-Leader):

  • Management von internen und exteren Mitarbeitern?,
  • Management von Arbeitsaufgaben, Prioritäten und Arbeitsauslastung,
  • Evaluierung der Arbeitsergebnisse, ?
  • Sicherstellung der SLA-Einhaltung,
  • Sicherstellung der Abstimmung und Kooperation zwischen den Fachabteilungen.
AppCom DCP High-Availability Data Centres (z.B. Twin-Core) AppCom DCP High-Availability Data Centres (z.B. Twin-Core) Vmware AIX LINUX RHEL VDI XenApp eCMDB Asset Center ASM SMARTqube SAP Basis SOM@SAP DOM@SAP SAP FI/CO ARIS LiveLink SharePoint MS Project ITIL v.3 ISO 20000 BSI-Grundschutz ISO 27001 ISO 27002 ISO 27005 UML BPMN PRINCE 2 ISTQB MS-SQL Server .NET VBA C# SOA SOAP WDSL UDDI XML SharePoint 2010 Access und Excel Services.
T-Systems International
verschiedene Standorte weltweit
4 Monate
2011-10 - 2012-01

Prüfung Unterstützung des ext. Kommunikationsprozesses - EU Agentur

Assessor (Enterprise Architecture) MS Dynamics MS SharePoint XML ...
Assessor (Enterprise Architecture)

- Prüfung des externen Kommunikationsprozesses auf Konformität zu den europäischen Datenschutzbestimmungen und den Datenschutzbestimmungen der Mitgliedsstaten (EU und EFTA);

- Prüfung der Einhaltung der Software-Entwicklungsprozesse (RUP und SCRUM Artefakte);

- Erarbeitung und Prüfung von Folgemaßnahmen.

MS Dynamics MS SharePoint XML Web Services SOA SOAP WDSL UDDI UML BPMN .NET C# VBA TOGAF ITIL SRCUM RUP ISTQB Sparx Enterprise Architect Vsio MS Project. EU Vergaberecht Konzept "One Competent Body per Member Sate"
European Center for Disease Prevention and Control (ECDC)
Stockholm, Schweden
7 Monate
2011-03 - 2011-09

Prüfung IT-Tool Unterstützung für Business Prozesse - Global Bank

Prozess-Improvement Berater (Enterprise Architecture) Prozess-Management-Engines SAP Oracle/BEA AquaLogic ...
Prozess-Improvement Berater (Enterprise Architecture)

- Dokumentation der Prozess- und Tool-Unterstützung des End-to-End Service Designs.

- Prüfung der Tool-Unterstützung gegen die implementierten IT-Sourcing-Strategien.

- Reifegradermittlung der Business-Prozesse und IT-Services.

- Erarbeitung von IT-Anpassungsmaßnahmen (z.B. Application Orchestration) zur Effizienzverbesserung der Tool-Chain.

- Risikoabschätzung (finanziell/technisch) und Business-Case Berechnungen für Anpassungsmaßnahmen.

Prozess-Management-Engines SAP Oracle/BEA AquaLogic Remedy Lotus Notes/Domino Federation Services WEBSSO SOA SOAP WDSL UDDI SharePoint .NET C# VBA PL/SQL Grails LotusScript Remedy ARS XML CA-Clarity MS-Projekt UML ITIL v.3/ISO 20000 ISO 27000-series SOX CMMI PRINCE 2 ISTQB TOGAF IT Architecture Enterprise Architecture Application Orchestration
Deutsche Bank AG
Frankfurt/M - Deutschland, London - U.K.
6 Monate
2010-09 - 2011-02

Prozessanpassung Big-Deal-Mgmt - Cloud ITSP/MSSP

Process-improvement-Berater (Enterprise Architecture) LiveLink MS-Visio MS-Office ...
Process-improvement-Berater (Enterprise Architecture)

- In-Work-Dokumentation der angebotsphasenorientierten Prozesse und Vorgehensweisen.
- Dokumentation der frachgruppenübergreifenden Kommunikationsstrukturen des Big-Deal-Managements bin IT-Outsourcing-Deals.
- Erarbeitung von Verbesserungsvorschlägen und Anpassungsmaßnahmen der Big-Deal-Mgmt-Prozesse unter Berücksichtigung der Industry-Best-Pracitices gem. ITIL V.3/ISO 20.000 ISO 27.005.

- Mitwirkung an Bieterwettbewerben für Outsourcing-Geschäfte (Claud-Services, Hosting, RZ-Outsourcings).
- Begleitung der Angebotsphasen Request for Information (RfI), Request for Proposal (RfP), Letter of Intend (LoI), Due Diligence (DD).
- Erarbeitung von Business-Risikoeinschätzung für Outsourcing- und Private-Cloud-Geschäfte.
- Angebotskalkulation für IAS-Leistungsanteile bezüglich Outsourcing- und Private-Cloud-Geschäften.
- Mitwirkung an der technische und kaufmännische Bewertung von IT-Infrastrukturen bei der Übernahme von RZs in den Bestand der T-Systems.

LiveLink MS-Visio MS-Office SDE-Catalog ITIL V.3 ISO 20000 ISO 27001 ISO 27.005 BSI-Grundschutz
T-Systems International
München - Deutschland
8 Monate
2010-01 - 2010-08

Cloud-Capacity-Mgmt-Prozesse (AppCom) - IT Service Provider (ITSP)/Managed Security Provider (MSSP)

Process-Improvement-Berater (Enterprise Architecture) AppCom Technologie in Hochverfügbarkeitsumgebungen LINUX- Windows- ...
Process-Improvement-Berater (Enterprise Architecture)

- Service-Improvement-Management im Kapazitätsmanagement der TSI Cloud Computing Sparte (AppCom):

  • Analyse, Dokumentation und Anpassung der internen Businessprozesse;
  • Ausrichtung der internen Business- und Engineering-Prozesse der Dynamic Platform Procedure Teams (DPPT) am ITIL V.3 Prozessmodell sowie Einführung einer CMM-orientierten Messung und Beschreibung der Prozess-Reifegrade (involvierte ITIL v.3 Prozesse: Capacity-, Configuration-, Change- und Availability Management);
  • Rollen- und Schnittstellenbeschreibung im DPPT internen Workflows unter Einbeziehung der kooperierenden Einheiten wie Produktionsplanung (PP), RZ Infrastructure Architecture Services (IAS) und Dynamic Platform Operating Teams (DPOT);
  • Schnittstellenfunktion zu parallel laufenden Service-Improvement-Projekten in anderen  Einheiten wie ?Standard-Forecast-Procedures? und ?Change-Management-Improvement?;
  • Erstellung eines DPPT Standard-Team-Layout, Berechnung der erforderlichen Team-Größen;
  • Erarbeitung von Vorschlägen zur Team-Reorganisation in Anlehnung an geänderte Workflows;
  • Erarbeitung der Standard Operational Procedures (SOP) unter Berücksichtigung relevanter IT-Service und IT-Security Management Standards (ISO/IEC 20000/27000);
  • Erstellung von Schulungsmaterial und Training von in Malaysia, UK, den Niederladen, der Schweiz sowie in Deutschland tätigen DPPT-Teams bezüglich der Businessprozess- und Servicemodelle;
  • Mitwirkung an internen Assessments und Audits.

- Assistenz für das Line-Management:

  • Team-Management (Deputy Team-Leader):
    • Management von internen und exteren Mitarbeitern
    • Management von Arbeitsaufgaben, Prioritäten und Arbeitsauslastung,
    • Evaluierung der Arbeitsergebnisse,
    • Sicherstellung der SLA-Einhaltung,
    • Sicherstellung der Abstimmung und Kooperation zwischen den Fachabteilungen;
  • Kontrolle von Abschreibungskosten und -methoden gemäß interner Vorgaben und IAS;
  • Prozeßrollenbasierte Kostenzuordnung.
AppCom Technologie in Hochverfügbarkeitsumgebungen LINUX- Windows- Citrix- AIX-Cluster VMware ESX IBM LPAR Hypervisor NetApp-Filer/MetroCluster Simens-Fujitsu-/HP-/IBM Blade Center-Server IBM p5 (575 bis 595) Cisco-Netzwerkkomponenten Cisco-Firewalls NAS/iSCSI Qtree Config-/Asset-Management-Systeme eCMDB AssetCenter ASM-Advanced Storage Manager SAP-Applikationen SOM@SAP DOM@SAP Dokumenten Management Systeme LiveLink SharePoint ITIL v.3 ISO 20000 ISO 27000 - series (27001/27002/27005) BSI-Grundschutz CMMI PMI
T-Systems International
Verschiedene Cloud-DCs in EMEA, Americas, APAC

Aus- und Weiterbildung

Aus- und Weiterbildung

Ausbildung/Studium:
1990 - 1995 Studium Mathematik und Informatik - Freie Universität Berlin
1986 ? 1988 Studium allg. Maschinenbau spez. Konstruktion - Ingenieurschule Wildau, Deutschland
1983 ? 1985 Berufsausbildung Fahrzeugschlosser - Berufsschule der Deutschen Reichsbahn Berlin, Deutschland


IT/QM-Zertifizierungen und Weiterbildungen:

2023 IT Compliance mit IKS, ISAE 3402 / SSAE 18 / SSAE 16 & SOC

2022 IT-Sicherheitsgesetz 2.0 & Update der KRITIS-Verordnung - Bitkom Akademie, Germany

2021 Auditoren-Schulung Energieanlagen gem. ITSK und EnWG - GUTcert, Deutschland

2020 Prüfverfahrens-Kompetenz IT-Sicherheitsaudits BSIG/KRITIS (Aktualisierungen) - Bitkom Akademie, Deutschland

2020 Prüfverfahrens-Kompetenz IT-Sicherheitsaudits BSIG/KRITIS - Bitkom Akademie, Deutschland

2019 IT-Sicherheitskatalog gem. KritisV und EnWG für Auditoren - GUTcert, Deutschland

2019 DSGVO für Auditoren - Quality Austria, Österreich

2018 CISA Training für IT-Security Auditoren - ISACA, Deutschland

2017 Agile Project Delivery in klass. Projektorg. mit SCRUM und PRINCE2 - QRP, Deutschland
2016 COBIT 5 Implementation - Maxpert Deutschland
2015 SCRUM Master und SCRUM Product Owner - TÜV Akademie, Deutschland
2014 PRINCE2:2009 Practitioner Recertification - APMG, Niederlanden
2014 EFQM Excellence Assessor/TQM Coach - ILEP/TÜV Akademie, Deutschland
2013 COBIT for SOX - mITSM, Deutschland

2013 ISO 27000 Auditor für IT Security Management Systeme (äquivalent CISA)

2013 Governance, Risk and Compliance gem. ISO 27000

Governance, Risk and Compliance nach ISO 27000 - TÜV Akademie, Deutschland
2012 COBIT 5 Foundation - ISACA/Serview, Deutschland
2011 ISO 20000 Auditor IT Service Mgmt Systeme

2011 Consultant/Manager in ITSM nach ISO 20000 (äquivalent CISM) - TÜV Akademie, Deutschland
2011 ITIL v.3 Expert - Loyalists Certification Services, USA/Canada
2009 PRINCE2:2005 Practitioner Zertifizierung - APMG, Niederlanden
2008 COBIT 4 Basic Practitioner - ISACA, Deutschland
2007 ITIL V.2 Foundation Zertifizierung - exin/TÜV, Deutschland
2006 ISTQB-CTFL (Software Testing) - CoDeMa, Deutschland
2005 M_o_R (Risikomanagement nach OCG) - DataCIB, Deutschland
2003 V-MODELL/HERMES (Projektmanagement nach der AKTÜV-Methode) - RW TÜV, Deutschland
2002 TOGAF (Enterprise Architecture (EA) - CoDeMa, Deutschland


Weiterbildung Sprachen: 2018 - 2019 Niederländisch - CCLM - Brüssel

2013 - 2014 Französisch - Languages Unlimited - Brüssel
2008 - 2010 Italienisch - Leitmotiv - Parma, Italien
2007 Französisch - Institut Linguistique Adenet - Montpellier, Frankreich
2002 - 2007 Englisch / Business Englisch - Wall Steet Institute - Berlin, Deutschland

Position

Position

- IT Auditor (IT Sicherheit und Datenschutz)

- GRC Manager in den Bereichen IT-Security und Datenschutz

- IT Analyst im Bereich Abstellung von Audit Feststellungen (IT Sicherheit und Datenschutz)

Kompetenzen

Kompetenzen

Top-Skills

Audit (IT Security, GDPR, IT Service Management) GRC Management SAP Audit IT Security Policies IT security Instructions IT Security Controls Data Privacy Controls

Produkte / Standards / Erfahrungen / Methoden

IT Security Audit
Experte
Data Privacy Audit
Experte
GRC Management
Experte

ORGANISATORISCHE FÄHIGKEITEN UND KOMPETENZEN:

? Langjährige Erfahrung und tiefgehendes Hintergrundwissen in allen wesentlichen Managementbereichen von EDV-Betrieben; insbesondere in den Bereichen IT-Beratung und IT-Management sowie Projektbesetzung und Teammanagement:

- Compliance mit internen oder/und regulatorischen Anforderungen,

- Datenschutzrecht der EU (DSGVO (Verordnung 2016/679, Verordnung 2018/1725,

Verordnung (EC) 45/2001 und EU-Mitgliedsstaaten basierend auf Richtlinie 95/46/EC (BDSG, DSG 2000, Data Protection Act U.K. etc.),

- Audits in den Bereichen IT- Service- und IT-Security-Mgmt sowie IT-Geschäftsprozesse,

- Proaktives Projektmanagement unter Nutzung verschiedener Projektmanagementmethoden,

- Projektbezogenes Finanzmanagement und Budgetkontrolle,

- Technische Ressourceplanung,

- Sourcing Strategie Management,

- Vertragsmanagement, Beschaffung und Finanzmanagement unter Beachtung von öffentlichen und privaten Einkaufsrichtlinien (2004/17/EC, 2004/18/EC), den Deutschen Beschaffungsrichtlinien (VOB/VOL/VOF) sowie deutschen und internationalen Bilanzierungs- standards (HGB/IAS),

- Verhandlung/Überwachung von EDV-Dienstleistungen und ?Projekten (SLA, OLA, UC),

    - Personalauswahl und Personalführung in Projekten und Arbeitsprozessen,
  
? Organisations- und Planungsgeschick mit großer Aufmerksamkeit für essentielle Details;
? Zielorientierte Arbeitsweise in anspruchvollen Aufgabenfeldern mit hoher Arbeitsbelastung und Gleichzeitigkeit von Aufgaben und Projekten;
? Prioritätsgesteuerte Vorgehensweise entsprechend der Anforderungen;
? Arbeitsorganisation unter Beachtung vorgegebener Vorgehensweisen und Standards;
? Erfahrung im Verfassen von englisch- und deutschspracheigen Entscheidungsvorlagen und Gutachten;
? Pflege von Geschäftsbeziehungen und Vertrieb von IT-Dienstleistungen.
 
 
INTERNATIONALE ERFAHRUNGEN AUS INDUSTRIE UND INTERNATIONALEN ORGANISATIONEN:

? Umfangreiche Erfahrungen in multikulturellen/multinationalen Projekt-, Arbeits- und Lebensumfeldern z.B. in der Schweiz, UK, Luxemburg, Belgien, Schweden.


TOOLS, TECHNOLOGIEN UND METHODEN SEIT 1986:

? Betriebssysteme: Netware, OS/2, div. Linux und UNIX Derivate (AIX, SunOS/Solaris, RHEL, Suse, Debian), VMS, z/OS (MVS, OS/390) L3, MS Windows (Client/ Server);
? Hypervisor/Virtualisation: Citrix WinFrame/MetaFrame/XenApp, VDI (Citrix VDI, VMware (Horizon) View), VMware ESX(i)/GSX/Server inclusive DRS, Motion und Consolidated Backup, (Citrix) Xen Server, MS Virtual Server, IBM POWER Hypervisor, Oracle (SUN) VirtualBox;
? Direktory Services (X.500/LDAP): MS Active Directory (MSDS), Novell Directory Services (NDS/eDirectory), Lotus Domino Directory;
? Systemsmanagementsysteme: Netware ManageWise/ZEN-Works, MS SMS/MOM/SCCM/SCOM, IBM NetView / Tivoli , BelSoft  Empirum; BMC, Remedy, GEDYS;
? Identity Management Systeme: MS Identity Integration Server, Tivoli Identity Manager, MS Federation Services, IBM Federation Services;
? Collaboration und Groupwaresysteme: IBM Lotus Domino/Notes/Sametime, MS Exchange, Novell GroupWise, Blackbarry Enterprise Server (BES), MS SharePoint Services (WSS), MS Project Server, MS Office Communication Server (OCS);
? Netzwerktopologien: Ethernet, Token Ring, FDDI, W-LAN;
? Speichertopologien: SAN/TAN, NAS, iSCSI;

? Secure Storage Solutions: Vormetric, Cryptomator;
? Datenbanken: Lotus Notes/Domino, MS SQL Server, MS Access, Oracle (RAC), My-SQL, DB/2, ADABAS, IMS DB/DC;
? Mainframe- / AS/400-Anbindung: Netware for SAA, MS SNA Server/Host integration Server, 3270/5250-Terminal Emulationen;
? WEB-Server: IBM Lotus Domino, Apache, MS Internet Information Server;
? Portale und Dokumentenmanagementsysteme: IBM WebSphare, IBM Lotus Domino Content Manager, Apache TomCat, Xinco Document Management System;
? CRM und ERP Systeme: SAP, vTiger, Neutrino, Navision, Lexware, GEDYS, MS Dynamics, SAP CRM/ISU, Salesforce, VDWH;

? Industry Management Applications: Managed File Transfer (MFT), Electronic data interchange (EDI), Product Lifecycle Management Systems (PLM),? Eurex-C, Axway TSIM/SecureRelay, TruFusion, Siemens Teamcenter, PTC Windchill, Desktop-Automation tools, UIpath (robot automation), several MES-Systems;
? Firewalls/PKI: MS Proxy Server/ISA Server, Novell Boarder Manager, Cisco PIX/ASA, Innominate mGuard, Juniper NetScreen, IP Chain, 101/104/101 Gateways; Proxy, Reverse Proxy, Cloud Access Service Provider (CASB), IDS/IPS, SIEM, SPLUNK, Identity Security, F5 Web-Application Firewall, Checkpoint, MS PKI, Cloud PKI, PrimeKey (EJBCA), ENX-Network
? IP Telofonie- und Videokonferenzsysteme: Cisco-PBX, Asterix-PBX, MS Office Communication Server (OCS), Lync/Skype Business, Verizon, Polycom;
? Programmiersprachen und -technologien: C/C++, Lotus-Script, JAVA-Script, JAVA, Scala, JDBC, jBPM, HTML, XML, BPEL, CSS, Basic, Pascal,  Modula 2, Fortran, REXX, COBOL, PL/2, SQL, Assembler;
? Abstrakte Beschreibungssprachen: EXPRESS/EXPRESS-G, UML, BPMN, EPK/eEPK;
? Protokolle: TCP/IP, IPX/SPX, NetBIOS, X.25/Frame Relay, LU6.2, SCADA, 101, 104, Modbus, OPC XML-DA, OAuth 2.0, SAML 2.0;
? Server Systems: IBM, HP, DELL, Sun, Fujitsu, DEC;
? Switches und Router: Cisco Catalyst/Aironet, Cisco-Linksys, Netgear, 3Com/H3C, IBM;
? Tools/Toolkits:  MS Office, MS FrontPage, Oracle/SUN OpenOffice, StarOffice, Open WEB Suite, Namo WEB Editor, JAP, PGP, GnuPG, IBM Lotus Notes, FireFox/Mozilla, Outlook, Eclipse, MS Visual Studio, Borland Developer Studio, Eclipse, SQL2WEB, MS Windows Resource Kit, MS Office Resource Kit, MS Office Proving Tools, pcAnywhere, VMware Virtual Center, IBM Virtualisation Manager, IBM Director, SemTalk;
? DTP/CAD: CorelDraw Suite, Pagemaker/Indesign, Photoshop, Acrobat, AutoCAD;
? Programm-/Projekt-Management-Tools: MS Project/MS Project Server, CA-Clarity, In-Step, Merlin, OpenProject, MindManager/FreeMind, Redmine, JIRA, Confluence;
? BPM-/Workflow-Tools: VISO, ARIS, Oracle/BEA AqualLogic, BPM Space, ADONIS, CANEA, Bizagi BPM;

? ISMS-/DSGVO-Tools: PRIME, GSTOOL, HiScout, Verinice
? Vorgehensmodelle/Methoden/Standards: TOGAF, Zachmann, Stufenmodell, V-Modell (AKTÜV/HERMES/V-Modell XT), SCRUM, RUP, SOA, CORBA, PMI,PRINCE 2, SCRUM, ITIL v1/v2/v3, ISTQB, ISO 20000, CIS, Controls, CIS Benchmarks, ISO 27000/17799(BS 7799), BSI-Standards (100-x, 200-x, C5), STRIDE, OWASP-10, ISO 22301 (BS 25999), ISO 9000, EFQM/TQM, COBIT 4/4.1/5, CMMI, SOX, ISO 19011, M_o_R, ISO 31000, MAS, KWG, EnWG, BDEW Whitepaper (2015/2018), BNetzA IT-Sicherheitskatalog, BSIG, KritisV, IEC 62443, VDI/VDE 2182: 1, BSI -Security-Kompendium, NAMUR NA153: Automation Security, ISO 22300, ISO 27019, BSI 100/200-1, RBAC.

Branchen

Branchen

- Fahrzeug- und Zulieferindustrie

- Energieversorgung (Elektrizität und Wärme)

- Finanzindustrie (Banken und Versicherungen)

- Telekommunikation, Rechenzentren und IT-Outsourcing

- Ingenieurwesen

- Öffentlicher Dienst

- EU Institutionen (Kommission, EU-Agenturen)

Vertrauen Sie auf Randstad

Im Bereich Freelancing
Im Bereich Arbeitnehmerüberlassung / Personalvermittlung

Fragen?

Rufen Sie uns an +49 89 500316-300 oder schreiben Sie uns:

Das Freelancer-Portal

Direktester geht's nicht! Ganz einfach Freelancer finden und direkt Kontakt aufnehmen.