• Unterstützung einer Investment-Bank bei der Ausgestaltung und Erfüllung der Vorgaben aus DORA in Verzahnung mit ISO 27001 sowie gem. NIS2 und EU-CER

• Beratung KRITIS
• Erstellung der notwendigen Richtlinien, Prozesse und Vorgaben analog der Vorgaben aus KRITIS
• Verwendete Tools und Methodiken:
  • ISO/IEC 27001
  • BSI IT Grundschutz
  • KRITIS-V

Implementierung ISMS ISO/IEC 27001 bei einem Softwaredienstleisters in der Schweiz.

Review, Korrektur und Erstellungen von Richtlinien und Vorgaben für eine BSI C5 Testierung, Software-Haus 

• Review, Korrektur und Erstellungen von Richtlinien und Vorgaben
• Koordinierung des Kunden auf dem Weg zur Testierung
• Beratung im BSI C5 Umfeld

• Vorbereitung einer großen Hausverwaltung (ca. 60.000 Wohneinheiten) nach ISO 27001 und BSI IT-Grundschutz zur Erzielung der BSI IT-Grundschutz basierten ISO 27001 Zertifizierung (ISO 27001, BSI 200-1, 200-2, 200-3, 100-4 und 200-4)
• Enge Abstimmung mit den Datenschutz-Beauftragten sowie Erarbeitung von Datenschutz-Konzepten zur Vervollständigung der Sicherheitskonzepte aus Sicht von CON.5 Compliance und CON.2 Datenschutz.
• Ferner Berücksichtigung der Vorgaben aus NIS2 und EU-CER (aufgrund Größe der Firma)

• Erstellung Sicherheits-, Risiko- und Notfallkonzepte für eine deutschlandweit operierende Behörde in mehreren Standorten sowie Durchführung von Datenschutz-Folgenabschätzungen und Vervollständigung von Datenschutz-Konzepten. 
• Erstellung Sicherheitskonzept und Risikoanalyse, Notfallkonzepte sowie Datenschutz-Folgeabschätzung, DSGVO, BSI Grundschutz 200-2, 200-3 ISO 27001, ISO 27005

• Unterstützung einer Investment-Bank bei der Ausgestaltung und Erfüllung der Vorgaben aus DORA in Verzahnung mit ISO 27001 sowie gem. NIS2 und EU-CER

• Erstellung von Informationssicherheits- und Datenschutzkonzepten nach Si001 IKT Grundschutz für ein Behördenprojekt in der Schweiz gem. Vorgaben der NCSC. Gruppierung der Schutzobjekte gem. NATO C3 Taxonomie.
• Erstellung der ISDS-Konzepte für die Test- und Produktionsumgebung sowie beginnend Erstellung des Notfallkonzepts nach P042-Hi03 Notfallkonzept für die Produktion. Da es sich um ein Projekt in Releases handelt, werden die einzelnen ISDS-Konzepte mit allen Standarddokumenten und Lieferobjekten der Releaseplanung angepasst geliefert. 
• Erstellte Lieferobjekte für die jeweiligen Schutzgruppen (Scopes) und Einzelobjekte, Erstellung nach Standard Dokument P042 für erweiterte Schutzanforderungen
  • Hi01 Schuban
  • Erweiterung RINA-Analyse (Prüfbericht RINA)
  • Rechtfertigung der Einstufung gem. Art.5, Art.6, Art.7 der Informationsschutzverordnung
  • Analyse der Einzelverfahren nach IKT Grundschutz P042-Hi01 IKT Grundschutz
  • Erstellung des Hi01-ISDS-Konzeptes
  • Hi02 Risikoanalyse gem. IKT Grundschutz
• Beratung der Projektgruppen bzgl. den ISDS Vorgaben und Abfrage der jeweiligen Informationen bei den Fachgruppen.
• Kommunikation mit dem ISBO und dessen Team mit Ziel, alle ISDS termingerecht verabschieden zu können.
• Kommunikation mit der Projektleitung und Erstellung von Terminplänen für die Lieferung der Objekte;
• Teilnahme an Planungsmeetings, Planung der Lieferungen per Release des Projekts (ges. 4 Releases);
• Kommunikation mit den Projektgruppen, der Projektleitung, dem Entwicklungspartner zur Verbesserung des Projektfortschritts aus Sicht der konzeptionellen Informationssicherheit
• Begleitung der Tests, Rückspielung von Findings in die Sicherheitskonzeption und beständiges Optimieren der konzeptionellen IT-Sicherheit.

• Überarbeitung der Dokumente gem. KRITIS
• Überarbeitung und Konkretisierung der KRITIS-relevanten Dokumentation zur Vorbereitung des nächsten Audits. (ISO 27001, BSI 200-1, 200-2, 200-3, 100-4 und 200-4, KRITIS) 

• ISDS-Verantwortung für den Aufbau einer neuen Digitalisierungsplattform für die Schweizer Bundesverwaltung (IKT Grundschutz, Schweizer Datenschutz-Gesetz)

• C5-Cloud-Security, BSI-IT Grundschutz-Sicherheitskonzepte nach BSI 200-2, BSI 200-3
• Erstellung Datenschutz-Folgenabschätzung für die Cloud-Plattform
• Fachkonzepte Backup
• Softwareprogrammierung und Fachanalyse Windows 10-Systeme im Kiosk-Mode
• Erstellung der Datenschutzkonzeption für den Einsatz der Cloud-Plattform

• Überarbeitung und Konkretisierung der KRITIS-relevanten Dokumentation zur Vorbereitung des nächsten KRITIS-Audits. (ISO 27001, BSI 200-1, 200-2, 200-3, 100-4 und 200-4, KRITIS)
• Umsetzung der Regelungen aus EU-CER (Gesetzentwurf) und den Entwürfen aus NIS2.

• SFO, Richtlinien und Konzepte zur Vorbereitung eines §44 KWG Audits bei einer Bank in Berlin. 
• ISO 27001, KRITIS, BSI-Grundschutz 200-(1,2,3,4), BAFIN, BAIT, §44 KWG

• C5-Cloud-Security, BSI-IT Grundschutz-Sicherheitskonzepte nach BSI 200-2, BSI 200-3
• Erstellung Datenschutz-Folgenabschätzung für die Cloud-Plattform (AWS und MS Azure sowie RegioIT Aachen)
• ferner Erstellung der Bestandteile der Datenschutz-Konzepte für den Einsatz der Plattform

• Abrechnung von Krankenleistungen im öffentlichen Umfeld
• ISO 27005, ISO31000, BSI 200-4

Vorbereitung für BAFIN Kreditwesengesetz §44 Audit

BAIT

MARISK

ISO 27001

BSI IT Grundschutz

DSGVO

Risikoanalyse

Notfallkonzepte

IT-Compliance

• Review Unterlagen und Erstellung Richtlinie Vorbereitung TISAX Audit für Prüforganisation

Datenschutzfolgeabschätzung (DSFA) Neueinführung Verfahren zur Elektronischen Aktenhaltung in einem Ministerium (Erstellung Datenschutzfolgeabschätzung und Vorlage für die DSFA)

IT-Sicherheitskonzept nach BSI-GS für die Einführung einer Anwendung zur Gesamtverwaltung einer Hochschule (ca. 3500 MA, 15000 Studierende), Sicherheitskonzept und Risikoanalyse

BSI Grundschutz 200-2, 200-3 ISO 27001, ISO 27005

Konzeption einer IT-Umgebung für ein Startup in Berlin (Finanzsektor) nach dem Modell  Zero Trust Architecture

Ansatz gem. NIST 800-207 Zero Trust Architecture

April 2021 ? Mai 2021

IT-Sicherheitskonzept nach BSI-GS für eine karitative Einrichtung mit 60 Standorten für ca. 45 Server

BSI Grundschutz 200-2, 200-3 ISO 27001, ISO 27005

Erstellung IT-Sicherheitskonzept für eine Anwendung für medizinische Gutachter

Erstellung Sicherheitskonzept und Risikoanalyse sowie Datenschutz-Folgeabschätzung;

DSGVO, BSI Grundschutz 200-2, 200-3 ISO 27001, ISO 27005

Entwicklung Netzwerk-Zoning Konzept

Absicherung der IT-Umgebung durch Umzoning des IT-Netzwerks, Konzepterstellung unter Berücksichtigung der Empfehlungen aus BSI-GS, ISO 27001 und NIST sowie Empfehlungen von Microsoft und CISCO;

Teilprojektleitung Erstellung Konzept, Erstellung IT-Sicherheitskonzept für die Umstellung auf ein neues Sicherheitszonen-Modell

Öffentlicher Rechtlicher TV- und Radio-Sender

Teilprojektleiter Mitigation von Findings aus mehreren Pentests sowie Beauftragung von Gegenmaßnahmen unter Forensischen Aspekten und Aspekten des Incident-Response;

Branche: Öffentlich-Rechtlicher TV- und Radiosender.

Bank: Vorbereitung ISO 27001 Audit basierend auf Grundschutz; Durchführung und Begleitung aller Maßnahmen zur Verbesserung der Compliance.

Migration von GS 15.EL auf GS Kompendium 2020, Vorbereitung und Review aller nach ISO 27001 geforderten Dokumenten und

Nachverfolgung BAFIN Audit und Formulierung von Gegenmaßnahmen sowie Beauftragung der Gegenmaßnahmen zur Verbesserung der Compliance

Analyse der bestehenden Prozesslandschaft, Optimierung und Verbesserung aller Unternehmensprozesse gem. ITIL.

Tools und Methoden: BSI Grundschutz, ISO 27001, Projektmanagement, COBIT, ITIL

Besonderes Augenmerk: Verwendung von Cloud-Diensten, Analyse nach BSI-GS

Analyse einer Bibliothekslösung für einen Kunden; Erstellung Sicherheitskonzepte nach BSI Grundschutz;

BSI Sicherheitskonzept nach BSI GS Kompendium 2020

Risikoanalyse und Datenschutz-Folgeabschätzung nach ISO 27005, ISO 31000 und DSGVO.

Durchführung der Mitarbeiterschulung BSI Grundschutz im Auftrag des Kunden.

Besonderes Augenmerk: Verwendung von Cloud-Diensten, Analyse nach BSI-GS

• Schulung Erstellung Sicherheitskonzepte nach BSI Grundschutz-Kompendium
• Für Mitarbeiter eines Kunden, Schulungumfang 5 Tage
• (inkl. Risikoanalyse, Notfallkonzept und Konzepterstellung über alle Phasen gem. BSI 200-1, 200-2, 200-3 und 100-4)

Sicherheitskonzept (basierend auf BSI IT Grundschutz Kompendium Ausgabe Februar 2019) MS Windows Server 2016/2019 Rollout und Rollout Office 365 und MS Azure für eine Hochschule (Parttime)

• Erstellung Sicherheitskonzepte und Review der bestehenden Prozesse
• Erstellung Sicherheitskonzepte für Behandlung von Sicherheitsvorfällen
• Erstellung der Antragsdokumente für die Genehmigung durch Personalrat.

• Nach Hackerangriff: Rückführung der IT in den Betrieb, Sicherheitsanalyse, Analyse aller Businessanforderungen an Sicherheit, Definition und Umsetzung von Empfehlungen an den Kunden;
• Pentest der Komponenten und Umsetzungsempfehlungen sowie praktische Implementierung der Empfehlungen.
• Koordination interner und externer Dienstleister und Abteilungen.
• Führung der Notfall-Organisation und Kommunikation mit der Geschäftsleitung

• Nach Hackerangriff: Rückführung der IT in den Betrieb, Sicherheitsanalyse, Analyse aller Businessanforderungen an Sicherheit, Definition und Umsetzung von Empfehlungen an den Kunden;
• Pentest der Komponenten und Umsetzungsempfehlungen sowie praktische Implementierung der Empfehlungen.
• Koordination interner und externer Dienstleister und Abteilungen.
• Führung der Notfall-Organisation und Kommunikation mit der Geschäftsleitung

• Diverse Forensik-Einsätze (Beweis von Angriffen und Aufbereitung der Spuren für die Verwendung vor Gericht)
• Ethical-Hacking Angriffe auf Unternehmen

Aus Gründen der Sensibilität können wir hier weder Branche noch Kundenname anführen, da wir zu Gunsten unserer Kunden eine strikte Non-Disclosure Policy durchführen.

• Nach Hackerangriff: Rückführung der IT in den Betrieb, Sicherheitsanalyse, Analyse aller Businessanforderungen an Sicherheit, Definition und Umsetzung von Empfehlungen an den Kunden;
• Pentest der Komponenten und Umsetzungsempfehlungen sowie praktische Implementierung der Empfehlungen.
• Koordination interner und externer Dienstleister und Abteilungen.
• Führung der Notfall-Organisation und Kommunikation mit der Geschäftsleitung

• Nach Hackerangriff: Rückführung der IT in den Betrieb, Sicherheitsanalyse, Analyse aller Businessanforderungen an Sicherheit, Definition und Umsetzung von Empfehlungen an den Kunden;
• Pentest der Komponenten und Umsetzungsempfehlungen sowie praktische Implementierung der Empfehlungen.
• Koordination interner und externer Dienstleister und Abteilungen.
• Führung der Notfall-Organisation und Kommunikation mit der Geschäftsleitung

Setup aller DSGVO-Relevanten Dokumente und Prozesse als externer DS-Berater.

• Nach Hackerangriff: Rückführung der IT in den Betrieb, Sicherheitsanalyse, Analyse aller Businessanforderungen an Sicherheit, Definition und Umsetzung von Empfehlungen an den Kunden;
• Pentest der Komponenten und Umsetzungsempfehlungen sowie praktische Implementierung der Empfehlungen.
• Koordination interner und externer Dienstleister und Abteilungen.
• Führung der Notfall-Organisation und Kommunikation mit der Geschäftsleitung

• Erstellung Sicherheitsprozesse und Review der bestehenden Prozesse
• Erstellung Sicherheitskonzepte für Behandlung von Sicherheitsvorfällen innerhalb des SOC
• Review und Implementierungen innerhalb des gesamten SIEM und SOCs eines Bank-RZ mit über 40.000 Server und 25.000 Geldautomaten
• Erstellung von forensischen Playbooks zur schnellen Remediation von Vorfällen
• Erstellung von Sicherheitskonzepten

• Review der Sicherheitskonzeption (durch hausinterne Mitarbeiter der Gemeinde erstellt), Begleitung der neu zu erstellenden Konzepte als Mentor.

• Review und Optimierung des ISMS nach einem Jahr Laufzeit aus dem Projekt April 2016 – Juli 2016
• Sicherheitsanalyse, Sicherheitskonzept und ISMS-Einführung für eine Hochschule.
• Erarbeitet wird das Sicherheitskonzept basierend auf BSI 200-(1-3) sowie EU-DSGVO-
• Erarbeitung von Maßnahmen zur Verbesserung der Sicherheitslage.
• Einführung und Etablierung des ISMS (Infrastruktur Sicherheits Management System)

• BSI-Grundschutz-Beratung sowie Optimierung der getroffenen Maßnahmen im Webumfeld einer Direktbank.
• Erstellung von Betriebskonzepten und Handbüchern für die Produkte eines Gesamtrollouts.
• (Kundenfokus rd. 5 Millionen Mensch täglich)

• Beratung nach BSI-Grundschutz, Analyse und Optimierung der Prozesse sowie Audit-Vorbereitung nach ISO 27001.

• Risikoanalysen und Optimierungspotential definieren.
• IT Grundschutz-Beratung und Beratung zur Optimierung nach PCI-DSS
• IT-Sicherheitskonzeption für die 3 Projekte erstellen und bestehende Dokumente überarbeiten und nachschärfen.
• IT-Sicherheitsprüfung und Auditierung nach BSI Grundschutz und PCI-DSS Standard

Beratungsansatz Deutschlandweit, Umfang des Projektes: 8 Millionen Euro

• BSI-Grundschutz-Beratung sowie Optimierung der getroffenen Maßnahmen im Webumfeld einer Direktbank.

• Sicherheitsanalyse, Sicherheitskonzept und ISMS-Einführung für Gemeinden in Brandenburg.
• Erarbeitet wird das Sicherheitskonzept basierend auf einer ISO 27001/BSI-Grundschutz-Analyse.
• Erarbeitung von Maßnahmen zur Verbesserung der Sicherheitslage. Einführung und Etablierung des ISMS (Infrastruktur Sicherheits Management System)

• Erarbeitet wird das Sicherheitskonzept basierend auf einer ISO 27001/BSI-Grundschutz-Analyse.(BSI 100-1,BSI 100-2, BSI 100-3, BSI 100-4)
• Erarbeitung von Maßnahmen zur Verbesserung der Sicherheitslage. Einführung und Etablierung des ISMS (Infrastruktur Sicherheits Management System)

• Prozessdesign und Prozessberatung Luxemburg Projekt RENITA (digitales Funknetz, BORS-Umfeld)
• ITIL Prozessdesign, Continual Service Improvement für bereits bestehende Prozesse, Einführung neu designeten Prozessen in den Produktionsbetrieb, Begleitung der Kunden-Akzeptanztests.

• Projektleitung Servermiration bei einer Schweizer Bundesbehörde.
• Ziel der Migration ist, alte Hardwareserver zu virtualisieren unter der neuesten Version des Serverbetriebssystem sowie Absicherung der Server.
• Im Rahmen der Tätigkeit als Projektleiter wurden folgende Methoden und Werkzeuge verwendet:
  • HERMES 5; Microsoft Projekt, Microsoft Visio, MS Office-Suite.

• Sicherheitsanalyse bei einer Schweizer Bundesbehörde
• Sicherheitsanalyse und Erarbeitung von einem Maßnahmenplan gegen die Sicherheitsschwachstellen
• Erarbeitung von Maßnahmen zur regelmäßigen Analyse der Systeme.
• Im Rahmen der Tätigkeit als Sicherheitsauditor als wurden folgende Methoden und Werkzeuge verwendet:
  • HERMES 5; BSI Grundschutz, ISO27001, Microsoft Project, Microsoft Visio, MS Office-Suite, NESSUS, WebInspect, Pen-Test-Tools.

• Vorbereitung einer Behörde auf die ISO 27001 Zertifizierung und Durchführung eines Prezertifizierungs-Audits. Analyse der Deltas gegenüber dem Standard und Erarbeitung von Gegenmaßnahmen vor der Zertifizierung. Erneuter Audit zur Herstellung der Zertifizierungsbereitschaft sowie direkter Begleitung der Zertifizierungsmaßnahme

• Administration Webplattform in der schweizerischen Bundesverwaltung
• Administration einer WebPlattform unter LAMP unter Server SLES 9,10,11
• Regelmäßige Sicherheitsanalyse, Erarbeitung und Umsetzung von Sicherheitsmaßnahmen.

• Vorbereitung eines Unternehmens auf die ISO 27001 Zertifizierung sowie Durchführung eines Voraudits. Analyse der Deltas gegenüber dem Standard und Erarbeitung von Gegenmaßnahmen vor der Zertifizierung.
• Erneuter Audit zur Herstellung der Zertifizierungsbereitschaft sowie direkter Begleitung der Zertifizierungsmaßnahme

• ISMS-Auditing und Vorbereitung eines Unternehmens auf die ISO 27001 Zertifizierung und PreAudit gem. BSI 100-1, BSI 100-2 und BSI 100-3.
• Analyse der Deltas gegenüber dem Standard und Erarbeitung von Gegenmaßnahmen vor der Zertifizierung.
• Erneuter Audit zur Herstellung der Zertifizierungsbereitschaft sowie direkter Begleitung der Zertifizierungsmaßnahme