• Durchführung von Webinaren und Schulungen zu
  • NIS2
  • KRITIS
  • DORA
• Erfolge: Vermittlung von praxisnahen Lösungsansätzen, um Compliance sicherzustellen
  

• Entwicklung einer Cloud Security Strategy
• Einführung einer Cloud Security Governance zur Einhaltung der ISO/IEC 27017 und CSA CCM
• Erstellung eines Managementsystems zur Steuerung der Cloud Security mit Fokus auf Prozessdesign sowie Rollen- und Verantwortungsstrukturen
• Festlegung von Sicherheitsmaßnahmen zur Absicherung der Cloud-Lösungen
• Durchführung von Anforderungsanalysen und Definition des Geltungsbereichs für Cloud-Sicherheitsprojekte
• Erfolge: Aufbau einer effektiven, NIS2-konformen Cloud Security Governance, welche branchenspezifische Anforderungen erfüllt und Cloud-Sicherheitsrisiken gezielt minimiert

• Entwicklung eines Technischen Assessment Programms bestehend aus internen und externen Schwachstellen-Scans, Penetrationstests und technischen Sicherheitsaudits sowie Re-Checks, Re-Scans Re-Tests
• Umsetzung des Programms in Kooperation mit dem Tester, Pavel Andreyeu
• Maßnahmenempfehlungen
• Report-Erstellung und Präsentation auf Managementebene
• Erstellung eines risikobasierten Jahresberichtes
• Erfolge: Herstellung der Sichtbarkeit der gesamten IT-Angriffsfläche und Erzeugung eines guten Problemverständnisses im Senior Management sowie Aufzeigen von Handlungsoptionen

• Definition von Rollen, Festlegung von Verantwortlichkeiten, Implementierung von Prozessen
• Erstellung einer Richtlinie und verschiedenen Notfallplänen
• Durchführung von Schulungen und Notfallübungen
• Erfolge: Aufbau und Test eines wirksamen IT-Notfallmanagements, das an alle vorhandenen Sicherheitsmanagementsysteme angebunden ist
  

• Beratung beim Design und der Entwicklung eines ISMS-Tools zur Unterstützung der Sicherheitsprozesse
• Entwicklung von Templates für Leitdokumente
• Erfolge: Mitgestaltung eines praxistauglichen ISMS-Tools, das Unternehmen bei der effizienten Einführung von Sicherheitsmanagementsystemen unterstützt

• Anforderungsanalyse und Konzepterstellung für eine Security Master Data Platform
• Stakeholder-Management
• Erfolge: Systematische Erfassung der relevanten Anforderungen und Erstellung eines klaren Konzepts zur zentralisierten Verwaltung sicherheitsrelevanter Daten
  

• Integration eines Managed Incident Response Services (SOC+SIEM as a Service)
• Lastenhefterstellung und Begleitung der Ausschreibung sowie Auswahl geeigneter Anbieter
• Planung und Koordination der Implementierung des neuen Services
• Erfolge: Einführung eines effizienten Incident-Response-Systems, das die Sicherheitsüberwachung erheblich verbesserte

• Bearbeitung von Findings aus einem BaFin-Audit und Durchführung von Verbesserungsmaßnahmen
• Erstellung und Überarbeitung von Leitdokumenten zur Erfüllung regulatorischer Anforderungen
• Beratung des Managements bei der sicherheitsrelevanten Entscheidungsfindung
• Erfolge: Verbesserung der Audit-Konformität durch klare Leitlinien und effiziente Umsetzung von Sicherheitsmaßnahmen

• Aufbau einer Governance-Struktur für Informationssicherheit (Rollenstrukturen und Prozesse) gem. ISO/IEC 27001 und BSI IT-Grundschutz
• Aufbau weiterer Managementsystemkomponenten u.a.
  • Risikomanagement
  • Business Continuity Management
  • IT-Notfallmanagement
  • Awareness Management
  • Auditing und Testmanagement
• Durchführung von Schulungen und Workshops
• Erfolge: Aufbau einer effektiven Informationssicherheits-Governance, welche branchenspezifische Anforderungen erfüllt und Sicherheitsrisiken gezielt minimiert

• Behandlung von Informationssicherheitsvorfällen und Entwicklung eines umfassenden Incident-Response-Prozesses
• Konzeption und Umsetzung eines Awareness-Programms zur Schulung der Mitarbeiter
• Beratung des Senior Managements in Belangen der Informationssicherheit und Unterstützung bei der Entscheidungsfindung
• Erfolge: Aufbau einer Sicherheitskultur, die zu spürbaren Verbesserungen im Sicherheitsniveau führte

• Durchführung interner und externer Schwachstellenscans
• Durchführung von Penetrationstests und anschließende Maßnahmenempfehlungen
• Umsetzung des Programms in Kooperation mit dem Tester, Pavel Andreyeu
• Ergebnispräsentation auf Managementebene
• Erfolge: Stärkung der IT-Sicherheitsinfrastruktur durch detaillierte Schwachstellenanalysen und gezielten Maßnahmen

• Durchführung von internen und externen Schwachstellenscans
• Planung und Durchführung von Penetrationstests kritischer Systeme mit anschließender Maßnahmenempfehlung
• Umsetzung des Programms in Kooperation mit dem Tester, Pavel Andreyeu
• Präsentation der Ergebnisse auf Managementebene
• Erfolge: Identifizierung und Behebung kritischer Schwachstellen zur Erhöhung der IT-Sicherheit

• Aufbau und Implementierung eines Informationssicherheitsmanagementsystems (Schaffung von Prozessen und Strukturen, Erstellung von Richtlinien und Sicherheitskonzepten)
• Behandlung von Sicherheitsvorfällen
• Durchführung von Penetrationstests zur Identifikation und Behebung von Schwachstellen
• Umsetzung des Programms in Kooperation mit dem Tester, Pavel Andreyeu
• Bewertung und Erhöhung des allgemeinen Informationssicherheitsniveaus
• Entwicklung eines Schulungs- und Awareness-Programms sowie Durchführung von Awareness Maßnahmen
• Entwicklung von Härtungsmaßnahmen von Systemen
• Beschaffung eines Managed Incident Response Services (SOC+SIEM as a Service)
• Erfolge: Erfolgreicher Aufbau eines strukturierten ISMS, dass die IT-Sicherheit nachhaltig verbesserte und klare Verantwortlichkeiten schuf

• Planung und Durchführung eines Penetrationstests einer Web-Plattform gemäß OWASP
• Erstellung von Maßnahmenkatalogen und Ergebnisberichten
• Umsetzung des Programms in Kooperation mit dem Tester, Pavel Andreyeu
• Erfolge: Identifikation kritischer Schwachstellen und Entwicklung von Abwehrmaßnahmen zur Erhöhung der Sicherheit

• Entwicklung eines individuellen, maßgeschneiderten Auditformates
• Bewertung der technischen und physischen Strukturen des IT-Bereiches auf Grundlage der ISO 20000
• Entwicklung von Verbesserungs- und Optimierungsansätzen
• Erstellung eines individuellen Reports entsprechend den Kundenbedürfnissen und Ergebnispräsentation
• Erfolge: Identifizierung von Verbesserungsmaßnahmen und Optimierung des IT-Bereichs durch maßgeschneiderte Audits

• Durchführung eines individuellen technischen Testes zur Prüfung der eingesetzten IT, welche Veranstaltungsinhalte über das Internet als Stream verfügbar macht

• Aufdeckung und Bewertung von Schwachstellen

• Empfehlung von Gegenmaßnahmen

• Ablösung einer auf COBOL-basierten LegacyAnwendung (Zeit- und Leistungswirtschaftssystem)

• Entwicklung sicherheitstechnischer Anforderungen

• Begleitung des Ausschreibungsprozesses und der POCs

• Angebotsbewertung und Beratung zur Anbieterauswahl

• Unterstützung bei der Vertragsgestaltung

• Unterstützung bei der Einführung einer Cloud-basierten Zeitwirtschaft

• Beratung zur Cloud-Security und Begleitung des CloudRisk-Prozesses

• Informationssicherheitsmanagementsystem gem. ISO/IEC 27001 und BSI IT-Grundschutz

• Erstellung eines Projektplans inkl. Meilensteinplanung und Definition von Arbeitspaketen

• Schreiben von Leit- und Richtlinien

• Strukturanalyse

• Schutzbedarfserfassung und Business Impact Analyse

• Informationsklassifizierung

• Aufbau eines Risikomanagements und eines Business Continuity Managements

• Erstellung einer Statement of Applicability

• Festlegen von Informationssicherheitsmaßnahmen

• Leitung von Kryptographie-Projekten im EnterpriseSegment

• Aufbau einer Projektmanagementstruktur und -organisation

• Beratung zum Thema Datenschutz, Auftragsverarbeitung sowie Technische und Organisatorische Maßnahmen (TOMs)

• Vorbereitung von VS-Zulassung und CC-Zertifizierung

• Aufbau eines Eskalationsmanagements

• Nachbereitung eines Kunden-PenTests

• Begleitung des Aufbaus eines Security Operations Centers (SOC)

  • Schreiben und Qualitätssichern von Runbooks

  • Ausschreibungsbegleitung und Anbieterauswahl

  • Unterstützung bei Service Design

• Koordinierung und Planungsunterstützung von Penetrationstests

• Aufbau eines VAIT-konformen Risikomanagements

  • Aufbau einer Risikomanagementstruktur und -organisation

  • Prozessdesign und -implementierung

  • Aufbau neuer Mitarbeiter

• Analyse von Schwachstellen und Bedrohungsszenarien

• Schutzbedarf- und Schutzniveauerfassungen

• Risikoanalyse und -bewertung

• Entwickeln von Risikobehandlungsmethoden

• Vor- und Nachbereitung sowie Begleitung eines KRITIS-Audits

• Implementierung eines ISMS

• Erstellung von Richt- und Leitlinien

• Durchführung von Strategie-Workshops

• Beratung zu Cloud Security und Cyber Policen

Beuth Hochschule für Technik in Berlin

• Grundlagen der Unternehmensführung
• Betriebs- und Personalführung

Hochschule für Wirtschaft und Recht in Berlin

• Organizational Design (eng.)

• Aufbau der Business-Line Cyber Security
  • Security-Consulting, Entwicklung ganzheitlicher Cyber Security Lösungen
  • Steuerung von Security Projekten
  • Entwicklung eines Cyber Security Leistungs- und Produktportfolios
    • Penetration Testing
    • Forensik
    • Reverse Engineering
    • Auditvorbereitung und -durchführung
    • Security-Konzepte
    • Schulungen und Trainings
    • SIEM-, SOC-, Observation- und Monitoringlösungen
  • Mitarbeitergewinnungs- und -entwicklungskonzepte
  • Subunternehmereinkauf und -steuerung
  • Ressourcendisposition, Einsatzplanung
  • Entwicklung von Cross-Selling-Ansätzen (Modernisierungs-, Big-Data- und Digitalisierungsprojekte)
• Change Management
  • Anpassung der Marktausrichtung der Business Line Staffing
  • Entwicklung von Cross-Selling-Ansätzen, Schaffung und Nutzung von Synergien
  • Entwurf und Implementierung neuer Rekrutierungsprozesse, Optimierung des Subunternehmereinkaufs
  • Entwurf neuer Organisations- und Kommunikationsstrukturen
• Sales Management
  • Kundenakquise und -beratung
  • Messen und Kongresse
  • Vertragsverhandlung und Abschluss

• Steuerung von IT-Projekten, Ressourcendisposition
• Mitarbeitergewinnung, -entwicklung und -freisetzung
• Subunternehmereinkauf und -steuerung
• Kundenakquise und -beratung
• Vertragsverhandlung und Abschluss

• Institut für Wertorientierte Unternehmensführung, Beuth
• Hochschule für Technik, Nordatlantische Doktorandenakademie

• Steuerung von Engineering-Projekten, Ressourcendisposition
• Mitarbeitergewinnung, -entwicklung und -freisetzung
• Kundenakquise und -beratung
• Vertragsverhandlung und Abschluss

• Führung der unterstellten Teileinheiten IT-Security und IT-Support
• Vorbereitung und Begleitung von IT-Security-Audits, Schwachstellenanalyse, Schwachstellen- und Schadensbeseitigung
• Sicherstellung Ist-Betrieb, Entwicklung von IT-Konzepten
• Zulieferersteuerung, Prüfung der Einhaltung von Service-Level-Agreements

• Auflösung einer Fernmelde-/ Telekommunikationsdienststelle
• HERKULES-Outsourcingprojekt des IT- und Telekommunikationsbetriebs der Bundeswehr

• Objektorientierte Programmierung mit Java und SQL
• Design Pattern, UML
• Prozedurale Programmierung mit ADA