CISO ? CHIEF INFORMATION SECURITY OFFICER

HEAD OF CYBER SECURITY

HEAD OF IT-SECURITY

HEAD OF IDENTITY & ACCESS MANAGEMENT

§ Verantwortung, Strategie, Aufbau, Betrieb, Ausbau

und Globalisierung einer ?Award Winning? Cyber

Security Organisation mit u.a. folgenden

Unterbereichen:

§ Cyber Governance, Risk & Compliance

§ Cyber Security Operations Center (SOC)

§ Data Leakage Prevention

§ Incident Management

§ Third Party Security

§ Vulnerability Management

§ Penetration Testing

§ Risk Assessments

§ Cyber Threat Intelligence

§ Cyber Security Transformation

§ Secure Development

§ Cyber Security Awareness

§ Red Teaming

§ Privileged Access Management (PAM)

§ Privileged Access Management Monitoring

§ Identity & Access Management Operations

§ Movers & Leavers Management

§ People Management von bis zu 60 Personen

§ Mindset, Werte, Führung, Entwicklung, Motivation

Performance Management

§ Planung, Steuerung und Umsetzung eines

umfangreichen mehrjährigen Cyber Security &

Identity & Access Management Programms

bestehend aus zahlreichen Einzelprojekten

§ Aufbau von Personal sowie die Implementierung

von Prozessen und Technologien für die Bereiche

Cyber Security, Identity & Access Management,

Privileged Access Management,

Informationssicherheit, Datenschutz und

Risikomanagement

§ Lokales, Regionales und Globales Stakeholder

Management vom Mitarbeiter bis zum Vorstand

bis zum Aufsichtsrat, Betriebsrat, Fachbereiche

und unterschiedlichen Risikofunktionen

§ Eigenständige Budgetplanung,

Budgetverantwortung, Budgetmanagement und

Budgetcontrolling

§ Schulung von Mitarbeitern, Führungskräften und

Vorständen

TIBER-DE ? THREAT INTELLIGENCE BASED ETHICAL RED TEAMING

Banken - Projektverantwortlicher

§ Planung, Durchführung & sehr erfolgreicher Abschluss eines TIBER-DE Tests

§ Whiteteam Lead

§ Umfangreiche Selektion von externen Anbietern für Threat Intelligence und Red Teaming

§ Primäre Verantwortlichkeit für die IT-Sicherheit der Bank

§ Überwachung und Steuerung des externen Red Teams

§ Tägliche Kollaboration mit externem Red Team, Threat Intel Team und Bundesbank

§ Kontinuierliche Überwachung und Steuerung des Risikos für die produktive Umgebung

während des Red Teamings

§ Vorbereitung und Implementierung von sogenannten Leg-Ups

Erstellung von Storys & Legenden (z.B. Fake Identitäten) und Prozessen um das Blue Team

im Ungewissen über den TIBER-DE Test zu halten und dennoch das Risiko der Bank nicht zu

erhöhen

§ Koordination mit allen internen Stakeholdern (CRO, COO, CIO, DSB, Compliance usw.)

§ Szenarioauswahl

§ Erstellung und Überprüfung der Testberichte für das Red Team, Threat Intel, Blue Team und

BaFin

44 IT-SONDERPRÜFUNG BAFIN

Banken - Projektverantwortlicher

§ Prüfungsvorbereitung & Planung

§ Begleitung und Koordination der Prüfung

§ Verantwortlich für alle Fragen zur IT-Sicherheit der Bank

§ Primärer Interview- und Ansprechpartner für die BaFin/Bundesbank Prüfer

§ Zusammenstellung und QA der Nachweise und Antworten

§ Risikobeurteilung sowie Behandlung der Restrisiken

§ Auszug der Themenbereiche: Strukturanalyse, Schutzbedarfsanalyse, Soll-Ist-Abgleich,

Risikomanagement, Schwachstellenmanagement, Penetrationstests, Ereignismanagement

(SOC/SIEM), Incident Management, Netzwerksicherheit, Firewallmanagement,

Verschlüsselung

§ Planung, Aufbau, Durchführung und Verantwortung für das Mitigationsprojekt der §44

Prüfungsfeststellungen

AUF- UND AUSBAU EINES CYBER SECURITY OPERATION CENTERS (SOC)

Banken - Projektverantwortlicher

§ Analyse der rechtlichen und regulatorischen Anforderungen

§ Risikoanalyse gemäß KWG/MaRisk/BAIT

§ Kollaboration mit internen Risikokontrollabteilungen (Datenschutz, Compliance, Legal usw.)

§ Abstimmung inkl. Betriebsvereinbarung mit dem Betriebsrat

§ Definition und Implementierung eines Target Operating Models für das SOC

§ Aufbau, Konfiguration eines SIEM

§ Definition und Implementierung der Prozesse (z.B. Analyse, Incident Management usw.)

§ Suche & Einarbeitung von Mitarbeitern für das SOC

§ Globalisierung / Auslagerung von Teilen

§ Aufbau Threat Intelligence und Malware Analyse

CYBER SECURITY REIFEGRADANALYSE / MATURITY ASSESSMENT

Banken - Projektverantwortlicher

§ Initiale Cyber Security Reifegrad Analyse gemäß NIST Cyber Security Framework

§ Erweiterung des Frameworks und Verbesserung der Messbarkeit sowie jährliche Audits des

Reifegrades

§ Regelmäßiges Reporting und Vorstellung des Reifegrades an Vorstände, Aufsichtsräte,

Regulatoren, Behörden und Betriebsräte

§ Abstimmungen der Reifegrade mit unabhängiger Risikomanagement Instanz in der 2nd-

Line of Defence

§ Suche, Aufbau und Weiterentwicklung von Mitarbeitern

§ Erstellung von Management Action Plänen / Empfehlungen sowie Projektpaketen zur

Erhöhung des Reifegrades

OUTSOURCING / GLOBALISIERUNG VON CYBER SECURITY SERVICES

Banken - Projektverantwortlicher

§ Analyse der rechtlichen und regulatorischen Anforderungen

§ Risikoanalysen gemäß MaRisk, KWG, BAIT

§ Definition der Anforderungen und SLAs zum Auslagern der Cyber Security Services

§ Einhaltung und Kontrolle der SLA / Definition des Reportings

§ Outsourcing-Controlling

§ Integration der externen Cyber Security Infrastruktur

§ Abstimmung und Implementierung von Eskalations- und Meldewegen

§ Services: SOC, DLP, Threat Intelligence, Risk Analysis, Penetration Testing, Secure

Development, Vulnerability Management, Third Party Security, Governance

PENETRATION TESTING CAPABILITY UPLIFT

Banken - Projektverantwortlicher

§ Analyse der rechtlichen und regulatorischen Anforderungen

§ Risikoanalyse gemäß KWG/MaRisk/BAIT

§ Kollaboration mit internen Risikokontrollabteilungen (Datenschutz, Compliance, Legal usw.)

§ Abstimmung inkl. Betriebsvereinbarung mit dem Betriebsrat

§ GAP Analyse

§ Definition von Standards und Vorgaben für das Penetration Testing

§ Reconciliation Prozess zwischen bekannten Assets und unbekannten Assets

§ Penetration Testing Report Template gemäß Anforderungen BaFin

§ Prüfung der Pentesting Berichte auf Qualität und Alignment mit BaFin Anforderungen

§ Koordination von Pentests

§ Eskalationsmanagement

§ Definition und Implementierung von Prozessen (end-to-end)

§ Ordnungsgemäße Übergabe in den operativen Betrieb

CYBER SECURITY GOVERNANCE & RISK RESTRUCTURE

Banken - Projektverantwortlicher

§ Analyse der rechtlichen und regulatorischen Anforderungen

§ Risikoanalyse gemäß KWG/MaRisk/BAIT

§ Kollaboration mit internen Risikokontrollabteilungen (Datenschutz, Compliance, Legal usw.)

§ GAP Analyse des bestehenden Risikomanagementframeworks

§ Definition von Anforderungen für das Cyber Risikomanagement einer Bank

§ Definition von Risiken, Kontrollen, Reifegraden und Eskalationswegen

§ Implementierung eines Cyber neuen Risikomanagementframeworks

NEXT GENERATION ANTI MALWARE TOOLING (CROWDSTRIKE)

Banken - Projektverantwortlicher

§ Analyse der rechtlichen und regulatorischen Anforderungen

§ Risikoanalyse gemäß KWG/MaRisk/BAIT

§ Kollaboration mit internen Risikokontrollabteilungen (Datenschutz, Compliance, Legal usw.)

§ Abstimmung inkl. Betriebsvereinbarung mit dem Betriebsrat

§ Implementierung des Tools auf Endpoints und Servern (Windows, Unix)

§ Konfiguration des Tools

§ Definition und Implementierung von Prozessen

§ Ordnungsgemäße Übergabe in den operativen Betrieb

PRIVILEGED ACCESS MANAGEMENT

Banken - Projektverantwortlicher

§ Analyse der rechtlichen und regulatorischen Anforderungen

§ Risikoanalyse gemäß KWG/MaRisk/BAIT

§ Kollaboration und Abstimmung mit internen Risikokontrollabteilungen (Datenschutz,

Compliance, Legal usw.)

§ Abstimmung inkl. Betriebsvereinbarung mit dem Betriebsrat

§ Definition und Inventarisierung von privilegierten Berechtigungen

§ Aufbau von zahlreichen Überwachungsmaßnahmen von privilegierten Benutzern und

Aktivitäten im Einklang mit dem Betriebsrat

§ Definition und Implementierung von Überwachungsmaßnahmen

§ Überführung in den operativen Betrieb

E-MAIL SECURITY (TREND MICRO DEEP DISCOVERY & PROOFPOINT)

Banken - Projektverantwortlicher

§ Analyse der rechtlichen und regulatorischen Anforderungen

§ Risikoanalyse gemäß KWG/MaRisk/BAIT

§ Kollaboration mit internen Risikokontrollabteilungen (Datenschutz, Compliance, Legal usw.)

§ Abstimmung inkl. Betriebsvereinbarung mit dem Betriebsrat

§ Implementierung des Tools auf Endpoints und Servern (Windows, Unix)

§ Konfiguration des Tools

§ Definition und Implementierung von Prozessen

§ Ordnungsgemäße Übergabe in den operativen Betrieb

INCIDENT MANAGEMENT

Banken - Projektverantwortlicher

§ Analyse der rechtlichen und regulatorischen Anforderungen

§ Risikoanalyse gemäß KWG/MaRisk/BAIT

§ Kollaboration und Abstimmung mit internen Risikokontrollabteilungen (Datenschutz,

Compliance, Legal usw.)

§ Abstimmung inkl. Betriebsvereinbarung mit dem Betriebsrat

§ Definition und Implementierung von Incident Management Prozessen

IT-SICHERHEITSKONZEPT

Behörde ? IT-Security Berater

§ Analyse der Anforderungen

§ Erstellung eines Sicherheitskonzeptes

§ Erstellung eines eigenen IT-Grundschutzbausteins

§ Risikoanalyse des Kunden

ERSTELLUNG & DURCHFÜHRUNG EINES IT-SECURITY TRAININGS

Beratung ? IT-Security Berater

§ Konzeption, Leitung & Durchführung von IT-Sicherheitstrainings für neue IT-Security

Mitarbeiter

§ Auswahl von Mitarbeitern

§ Auf-, Ausbau, Konfiguration und Absicherung einer IT-Infrastruktur bestehend aus

Webservern, Datenbanken, Servern, Clients & VPN-Servern

§ IT-Prüfungsleitung

§ IT-Prüfungen und Reifegradanalysen von

Infrastrukturen, Applikationen, Systemen und

Prozessen

§ Prüfung externer Dienstleister auf rechtliche und

regulatorische Anforderungen (MaRisk, KWG,

KRITIS, ISO 27001 und BDSG)

§ Vor-Ort Prüfungen von externen Dienstleistern

§ Erstellung, Pflege und Prüfung von

Datenschutzkonzepten und Technischen und

Organisatorischen Maßnahmen (TOMs)

§ Schulungen zu den Themen IT-Sicherheit und

Datenschutz

§ Risikoanalysen

Beratung von Kunden in IT-Sicherheitsthemen

§ Erstellung und Prüfung von Sicherheitskonzepten

§ Auf- und Ausbau von Intrusion Detection & Prevention Systemen

§ Erstellung eigener IT-Grundschutzbausteine

§ Auf-, Ausbau, Konfiguration und Absicherung einer IT-Infrastruktur bestehend aus Webservern,Datenbanken, Servern, Clients & VPN-Servern

§ Konzeption, Leitung & Durchführung von ITSicherheitstrainings für alle neuen Mitarbeiter