• GAP Analysen TISAX Label TIER 2 und TIER 3 Information High / Very High

• Reifegradermittlung und -begründung gem. ISA (Maturity Levels of ISA (Result Tab)

• Dokumentenprüfungen IT Sicherheitsrichtlinien, Arbeitsanweisungen, Auditunterlagen

• Vor-Ort Begehung, Bestandsaufnahme Perimeter, Lieferzonen, Besucher Management

• Erstellung der GAP Analyse in Form eines Management Reports

• Handlungsempfehlungen zum Zertifizierungsprozess

• Unterstützung im ENX Prozess und der TISAX Auditplanung

• Erstellung eines Perimeterschutz-Konzepts
• Prüfung des Schutzzonen-Konzeptes und der Risikoanlyse
• Netzwerk-Analyse mit Nessus + Bericht mit kritischen Findings
• Erstellung der Richtlinien und ISMS-Dokumentation
• Umsetzung der Controls aus dem VDA ISA
• Aufsetzen der Software-Lösung proxyclick für das Besucher-Management
• Umsetzung Schulungsmaßnahmen Mitarbeiter + Lieferanten
• Beratung zur Maßnahmenumsetzung fehlender Reifegrade nach Analyse der IT- Infrastruktur
• weitere Umsetzung des ISMS PDCA-Zyklus

• Vollständiger Aufbau einer Datenschutzakte mit Richtlinien und Dokumentation

• Verwaltung, Aktualisierung der Datenschutz-Dokumente

• Erstellung des Verfahrensverzeichnis

• Schulungen der Mitarbeiter

• Datenschutz-Newsletter / Erstellung eines Handbuchs

• Datenschutzbetrachtung internationaler und nationaler Kunden

• Vollständiger Aufbau einer Datenschutzakte mit Richtlinien und Dokumentation

• Verwaltung, Aktualisierung der Datenschutz-Dokumente

• Erstellung des Verfahrensverzeichnis

• Schulungen der Mitarbeiter

• Datenschutz-Newsletter / Erstellung eines Handbuchs

• Datenschutzbetrachtung internationaler Kunden / spanische Niederlassung

Aufbau eines ISMS nach VDA-ISA und Auditvorbereitung für das Label Information Very High

• GAP Analyse und Aufbau einer ISMS Dokumentation

• Erstellung und Einführung der Policies, Work Instructions und Technical Security Baselines

• Erstellung eines Perimeterschutz-Konzeptes

• Schulung des internen ISO

• Asset- und Risikoanalyse -> Ableitung eines Maßnahmenplanes

• Erstellung der Risiko Impact Analyse (RIA)

• Erstellung der Mitarbeiterschulungen und des BCM-Handbuches

• Umsetzung VDA-ISA Controls, insbesondere im Prototypenschutz

ISMS-Prüfung und Erstellung von IT Security Policies für IT und OT in Vorbereitung eines internen Audits

• GAP Analyse und Aufbau einer ISMS Dokumentation

• Einführung Risiko Matrix nach ISO:IEC 27005

• Erstellung IT Policy: Backup Policy, Vulnerability Policy, Roles & Responsibilities

• Erstellung OT Policy Logging, Access Management, Hardening

• Prüfung des OT Netzwerkes nach SCADA-Nist 800

Unterstützung des CISO bei der Herstellung der Auditfähigkeit nach VAIT und TISAX.

• GAP-Analyse des Dokumentenstands KRITIS nach ISO:IEC 27001 für das Audit Okt.2021

• Erfüllung der Dokumentenvorgaben für die VAIT-Prüfung im Februar 2022

• Dokumentenerstellung insbesondere VAIT Kap. 6 ?IT Projekte ?und Kap.7 ?IT Betrieb?

• Unterstützung des Konzerndatenschutzbeauftragten und ISMS-Koordinators

• Ergänzung von TISAX Risikobetrachtungen und IT Security Policies

• Prüfung der Compliance-Prozesse nach IDW PS 980 ff.

• Implementierung der ISMS Assessments VAIT / TISAX in iris

• Schulungskampagnen: Phishing-Training mit 2.500 MA + Checkmatrix Entwickler-Sicherheit

Unterstützung des LEGAL Officer im Merger Bertelsmann - Experian. Als ISO für die Arvato D-A-CH Gruppe war ich verantwortlich für 6 Gesellschaften.

• Unterstützung des LEGAL Officer und Compliance bei BAIT / VAIT Kundenaudits

• GAP-Analyse Bertelsmann IT Security Policies und Einfu?hrung Experian Policies

• ISO 27001 Re-Zertifizierung der Informa HIS GmbH

• ISMS Abgleich der BAIT/VAIT Kundenanforderungen mit CMDB / SIEM

• Begleitung des Experian Post Aquisition Security Audits (PASA)

• Bearbeitung der Findings in allen 6 AFS Gesellschaften

• Auditierung = Review Dokumentenstand RIA in allen 6 AFS Gesellschaften

• Aufbau einer BCM Plattform, Meldematrix BIA in der Unternehmensgruppe

ISMS-Einführung und Herstellung TISAX-Konformität der VW-Schadensabwicklungsplattform ?EXHST? nach TISAX-Label ?Info very high

• TISAX ISO nach VDA-ISA

• Vorbereitung eines VW-TIER1 Zulieferers nach VDA-TISAX und die Schulung des internen ISO.

• GAP-Analyse bisheriger ISMS und DSGVO Maßnahmen Einführung der Experian Policies

• Erstellung der ISMS-Dokumentation und Risiko Impact Analyse (RIA)

• Erstellung der Mitarbeiterschulungen und des BCM-Handbuches

• Auditierung veracode auf TISAX relevante Anwendungen

• Umsetzung IT-Controls VDA Katalog zur Erreichung des Reifegrades

TISAX ISO nach VDA-ISA (Mitarbeit in einer Projektgruppe)

• Control 11 Physical and Environment Security

  • Erstellung eines Perimeterschutz-Konzeptes, Neuplanung von Zaunanlagen, Baukonzeption

  • Abstimmung Besucher-Management-Software auf Personen-Überwachung

  • Monitoring der Wartungs- und Schutzroutinen der Gebäudetechnik

  • Absicherung der Besucher- und Lieferanten-Szenarien in einem KFZ-Prüfzentrum

• Control 17 Information Security Aspects of BCM

  • Erstellung einer Business Continuity Richtlinie und Arbeitsanweisungen

  • Aufbau einer Notfall-Organisation mit Meldeketten und Vorsorge-Budget

  • Schulung des Notfall-Beauftragten

  • Erarbeitung von Schadensszenarien (Ausfall eines Standortes ? Pandemie!)

  • Reale Durchführung der Notfall-Übung ?Corona? im April 2020

Vorbereitung eines TIER 2 Zulieferers mit 150 Angestellten nach VDA- TISAX und die Schulung des internen ISO.

• TISAX-ISO nach VDA-ISA

• GAP-Analyse bisheriger ISMS und DSGVO Maßnahmen Netzwerk-Analyse mit Nessus + Bericht mit kritischer Findings

• Erstellung der ISMS-Dokumentation, Bildung von Sicherheitszonen

• Umsetzung IT-Controls VDA Katalog zur Erreichung des Reifegrades

• Schulung des internen ISO, Pre-Audit ISMS

• Übernahme der Aufgaben des Externen Datenschutzbeauftragten

• GAP-Analyse bisheriger ISMS und DSGVO Maßnahmen
• Netzwerk-Analyse mit Nessus + Bericht mit kritischen Findings
• Erstellung der ISMS-Dokumentation, Bildung von Sicherheitszonen
• Umsetzung IT-Controls aus dem VDA Katalog zur Erreichung des Reifegrades
• Ableitung von Sofortmaßnahmen + weiterer Maßnahmenkatalog
• Erstellung einer Reifegradmatrix
• Übernahme der Aufgaben des Externen Datenschutzbeauftragten

Schwachstelle-Analyse in der E-Mail-Nutzung der Mitarbeiter und das Verhalten in Sozialen Medien, um diese für einen Phishing-Angriff zu nutzen

• Social Engineering Mitarbeiter-Präsenzen auf XING, LinkedIn, Instagram                                   

• Nachbau von Logos und Firmen Login-Seiten in Photoshop                                                   

• Entwicklung eines Mail-Relais mit Ubuntu                                                                        

• Recherchieren und Beschreiben verschiedener Phishing-Szenarien                          

• zeitversetzte monatliche Angriffe auf verschiedene Abteilungen (insgesamt 600 Mitarbeiter) nach Absprache mit GF, CISO, DSB und RZ                                 

• erfolgreiche Klickrate trotz Vorankündigung bei 37%! 

Anpassung von Informationssicherheits-Konzepten der Sparkasse Leipzig zur Erfüllung der MaRisk und BAIT

• Anpassung an das Informationssicherheits-Konzept ?Sicherer IT Betrieb, Variante Finanz-Informatik?

• Abgleich von rund 480 BAIT-Anforderungen an interne IT Sicherheitsrichtlinien

• Dokumentenerstellung für Anforderungen an Risikomanagement und BCM

• Dokumentenerstellung: Physische Konzepte, Standort, Raumfaktoren, Gebäude

• Business Continuity Notfallpläne Notfallbehandlung Betriebskonzepte

• Dokumentenerstellung: Change-, Release Management

• Dokumentenerstellung: Sichere Administration, System-, Netzwerkmanagement

Vorbereitung auf die KRITIS-Zertifizierung nach Sicherheitsgesetz (IT-SiG) Review/Verbesserung des ISMS-Dokumentenstands nach BSI Standard 100-4

• Kontrolle ITIL/ BSI-Standard Umsetzung BCM und Change Management

• Review der BCM- und CM-Dokumentation und Systemhandbücher der Linux-, Windows und Mac OS-Umgebungen, CCTV

• Überprüfen der Notfall-Szenarien und des Notfall-Management nach BSI Standard 100-4 und BS 25999 Standard Aviation

• Abgleich der ISO-Controlls 5-18 mit IT Security Assessment TISAX VDA
• Erstellung einer Reifegradmatrix
• Beratung zur Maßnahmenumsetzung fehlender Reifegrade nach Analyse der IT- Infrastruktur
• Durchführung von Penetrationtest, Netzwerk-Scan
• Verbesserung des Identity Access Management
• Mitarbeiterschulung zu TISAX und DSGVO Themen
• Aufnahme Kontakt zur Prüfstelle und Auditvorbereitung

• Erstellung der IT-Leitlinie, Richtlinien, Arbeits- und Verfahrensanweisungen Umsetzung der Anforderungen der ISO Controls

• Erstellung der Business Continuity Standards (Business Impact Analysis - BIA)

• Risk Impact Analysis (Risikoauswirkungsanalyse - RIA) + Risk Treatment Plan

• Beratung und Einführung der Symantec EndPoint Protection

• in 6 Wochen wurden im Team 65 Dokumente mit ca. 20.000 Seiten auditiert (IT-Richtlinien, Systemhandbücher, IT-Security Guidelines, Arbeitsanweisungen)
• Kontrolle ISO 27001-Umsetzung im Continuity und Change-Management
• Review der Systemhandbücher Linux-Umgebungen, Kommunikation
• Datenbanken-Schnittstellen, aktives und passives Netzwerk
• Überprüfen der Notfall-Szenarien und des Notfall-Management nach BS 25999 Standard Aviation

• Beratung der Geschäftsführung zum TISAX-Prozess nach VDA
• Erstellung des ISMS-Dokumentenstandes (IT-Richtlinie, Standard-Polies)
• GAP-Analyse nach VDA-Katalog und Auswahl nötiger ISO 27001 Controls zum Erreichen des Zertifizierungslevels
• Risikomanagement nach BSI-Standard 200-3
• Umsetzung der ISO Controlls 5,6,7,10,11,13,17,18
• Schulung und Sensibilisierung der Mitarbeiter
• Einführung sichere Passwörter und Schulung der Mitarbeiter

• Bedrohungs- und Schwachstellenanalyse in hügeligen Außenbereichen
• Baukonzeption/Geländeplanung Glasfasermatten
• Einsatz von 800 m langer Detektionsstrecke mit 30 verschieden Alarmzonen (Leakage-Koaxkabel-Technologie)
• Teststellung und Probelauf des Deduktionssystem
• Erstellung von Sicherheits-Richtlinie zur Anbindung an die Unternehmens-IT
• Erstellung eines Arbeitshandbuches
• Schulung der Mitarbeiter

• Überarbeitung der IT Sicherheitsrichtlinie der Unternehmenstöchter und Mittelstands-Beteiligungsgesellschaften im Bundesland Sachsen
• Anpassung an das Informationssicherheits-Konzept „Sicherer IT Betrieb, Variante Finanz-Informatik“
• Abgleich von rund 480 Requests an interne IT-Sicherheitsrichtlinien
• Dokumentenerstellung für Anforderungen an das Risikomanagement und Business Continuity Management

Aufgabengebiete:

• Physische Konzepte
• Raumfaktoren
• Standort
• Gebäude
• Konzepte
• Business Continuity Notfallpläne
• Notfallbehandlung
• Betriebskonzepte
• Change-, Releasemanagement
• Sichere Administration
• System-, Netzwerkmanagement Datensicherung
• Incident-, Problemmanagement
• Sicherheitsvorfall-Management

• Beratung der Geschäftsführung über Kosten und Aufwände der Zertifizierung
• Erstellung der IT-Leitlinie, Richtlinien, Arbeits- und Verfahrensanweisungen
• Implementierung des Notfall-Managements nach BSI 100-4
• Erstellung der Business Continuity Standards (Business Impact Analysis - BIA)
• Risk Impact Analysis (Risikoauswirkungsanalyse - RIA)
• Bedrohungs- und Schwachstellenanalyse nach STRIDE
• Risk Treatment Plan und vorbeugende Maßnahmen
• Beratung und Einführung der Symantec EndPoint Protection 15

• Begleitung der Implementierung der ISMS-Suite HiScout
• Einstellen der Dokumente nach BSI-Standard 100-1, 100-2 und 100-3
• Einstellung der Überprüfungsroutinen und Auditkriterien
• Allgemeiner IT-Check über das Entwicklungs-, Qualitäts- und Produktivsystem
• Schulung: „Schutz bei unerlaubten Zugriff auf vertrauliche Daten“
• Erstellung der Business Logic Engine für rollenspezifische Arbeitsbereiche
• Erstellung der Report-Engine für managementgerechte Berichte

• Maßnahmenplan SMS-Umsetzungsplans Level 1 und 2
• Produktrecherche und Kaufempfehlung Cisco Firewall
• Handlungsempfehlungen für das Management
• Neufassung Rechte/Rollen-Konzepts nach BSI B 1.18 Identitäts- und Berechtigungsmanagement:
  • M 2.5 Aufgabenverteilung und Funktionstrennung
  • M 2.7 Vergabe von Zugangsberechtigungen/ Zugriffsrechten
  • M 2.30 Regelung für die Einrichtung von Benutzergruppen
  • M 2.220 Richtlinien für die Zugriffs- bzw. Zugangskontrolle
  • M 2.31 Dokumentation der zugelassenen Rechteprofile
  • M 2.586 Einrichtung, Änderung und Entzug von Berechtigungen
  • M 2.30 Regelung für die Einrichtung von Benutzern/ Benutzergruppen
  • M 2.226 Regelungen für den Einsatz von Fremdpersonal
• Einführung sichere Passwörter und Schulung der Mitarbeiter