Berater Informationssicherheit und Datenschutz, ext. Datenschutzbeauftragter, ISO27001 Implementierung, BSI-Grundschutz, BCM, Notfallmanagement, ISMS
Aktualisiert am 03.07.2020
Profil
Freiberufler / Selbstständiger
Remote-Arbeit
Verfügbar ab: 13.07.2020
Verfügbar zu: 75%
davon vor Ort: 75%
Lead-Auditor ISO 27001
Aufbau und Implementierung ISMS nach ISO 27001 (Richtlinien, Prozesse, ...)
Notfallmanagement nach BSI (100-4 und DER.4)
Risikomanagement
KRITIS Prüfungen nach §8 A BSIG
Aufbau eines Notfallmanagements und Erstellung von Notfallhandbüchern
IT-Sicherheitsgesetz
Erstellung von Sicherheitskonzepten und Dokumenten nach BSI und ISO 27001
Durchführung von Audits (ISO 27001)
Deutsch
Muttersprache
Englisch
erweiterte Kenntnisse

Einsatzorte

Einsatzorte

Deutschland
möglich

Projekte

Projekte

5 Jahre 2 Monate
2019-01 - heute

Berater für Notfallmanagement nach BSI 100-4

Coach und Berater
Coach und Berater

IT-Notfallvorsorge

IT-Notfallbewältigung

IT-Notfall Dokumentation

Trainings- und Schulungskonzept

Test- und Übungskonzept

IT-Notfall Dokumentation

Ermittlung businesskritischer Systeme, 

generelle technische und organisatorische Vorsorgemaßnahmen

generelle technische und organisatorische Maßnahmen zur IT-Notfallbewältigung, 

Steuerung des IT-Notfallmanagements, 

(Rollen, Verantwortlichkeiten, Aufgaben und Rechte), Erstellung der Dokumente (Leitlinie, Notfallvorsorgekonzept, Notfallhandbücher, Ansprechpartner-Liste, etc.), etc.

Coburg
5 Jahre 9 Monate
2018-06 - heute

Berater Informationssicherheit-Risikomanagement

Coach und Berater
Coach und Berater

Erstellung von Schutzbedarfsfeststellungen der IT-Anwendungen.

Bundesweit
6 Jahre 5 Monate
2017-10 - heute

Lead-Auditor bei Zertifizierungen nach ISO/IEC 27001 - Sicherheitskatalog und IT-Sicherheitsgesetz - gemäß 11 Absatz 1a EnWG

Lead-Auditor
Lead-Auditor

Lead-Auditor im Rahmen der Zertifizierung nach ISO/IEC 27001 - Sicherheitskatalog und IT-Sicherheitsgesetz - gemäß § 11 Absatz 1a EnWG

Prüfung von Energieversorgern im Auftrag der FOX Certification GmbH

6 Jahre 8 Monate
2017-07 - heute

Berater und Auditor für ISO/IEC 27001 - Sicherheitskatalog und IT-Sicherheitsgesetz - gemäß 11 Absatz 1a EnWG.

Berater und Auditor
Berater und Auditor

Beratung, Unterstützung, Prüfung und Hinführung verschiedener Unternehmen (Energieversorger) zur Zertifizierung des Managementsystems nach ISO/IEC 27001 - Sicherheitskatalog und IT-Sicherheitsgesetz - gemäß § 11 Absatz 1a EnWG.

9 Monate
2016-10 - 2017-06

IT-Security-Manager - Information Security Officer

Beratung, Unterstützung und Optimierung ISMS
Beratung, Unterstützung und Optimierung ISMS

- Analyse von IT-Sicherheitsrisiken

- Unterstützung bei der Sicherheitsbewertung

- Koordination/Nachhalten der IT-Security-Prüfungsfeststellungen

- Review und Abnahme von Sicherheitskonzepten

- Mitarbeit bei der Erstellung der Konzern-Sicherheitsstandards (Richtlinien, Handbücher, Rahmenanweisungen)

- Qualitätssicherung und Abgleich der Richtlnien eines künftigen gemeinsamen Landesbanken-Standards

LBBW
Stuttgart
2 Monate
2016-07 - 2016-08

Beratung, Unterstützung und Hinführung zur Zertifizierung des Managementsystems nach ISO/IEC 27001:2013 - Sicherheitskatalog und IT-Sicherheitsgesetz

Berater und stellv. Projektleiter
Berater und stellv. Projektleiter
Netze BW
Stuttgart
4 Monate
2016-05 - 2016-08

Beratung, Unterstützung und Hinführung zur Zertifizierung des Managementsystems nach ISO/IEC 27001:2013

Berater
Berater
  • Qualitätssicherung von IT-Dokumenten (IT Sicherheitskonzepten) auf Basis des BSI Standard 100-2. 

  • Analyse der Deltas zwischen vorhandenen IT-Sicherheitskonzepten und der Anforderungen (Bausteine und Maßnahmen) nach dem BSI-Standard.

  • Durchführung von Workshops mit den Verantwortlichen zur Dokumentenverbesserung.
Brandenburgischer IT-Dienstleister ZIT-BB
Potsdam
5 Monate
2016-04 - 2016-08

Beratung, Unterstützung und Hinführung zur Zertifizierung des Managementsystems nach ISO/IEC 27001:2013

Berater
Berater
  • Beratung und Consulting – Hinführung zur Zertifizierung nach ISO/IEC 27001:2013.

  • Definition/Festlegung des Kontextes/Geltungsbereichs (Scopes).

  • GAP-Analyse auf Basis der Controls der ISO 27001 und 27002.

  • Qualitätssicherung und Optimierung der zugehörigen Dokumente (Leitlinien, Konzepte, Richtlinien, Verfahrensanweisungen, Arbeitsanweisungen).
Internat. Entwicklung-/Ingenieurdienstleister ALTEN GmbH
Coburg
2 Monate
2016-01 - 2016-02

Beratung und Unterstützung beim Aufbau eines ISMS auf Basis BSI Standard 100-2

Realisierer
Realisierer
  • Aufbau der Informationssicherheitsorganisation. Erstellung von IT-Sicherheitskonzepten, Richtlinien und Anweisungen auf Basis BSI Standard 100-2.

  • Analyse des Deltas zwischen vorhandenen IT-Sicherheitskonzepten und der Anforderungen nach dem BSI-Standard.

  • Erstellung von Realisierungsplänen zur Umsetzung der Sicherheitskonzeption.

  • Durchführung der Strukturanalyse und Modellierung des IV (Informations-Verbundes). Abgrenzung des IV.

  • Planung Notfall-Leitlinie zur Vorbereitung für die Implementierung eines Notfallmanagements mit Konzeption der Notfallvorsorge auf Basis BSI 100-4.

Landesrechenzentrum IT Baden-Württemberg - BITBW
Stuttgart
10 Monate
2015-03 - 2015-12

Spezialist Sicherheitsprozesse im Bereich Banken (IT-Notfallmanagement)

Realisierer
Realisierer
  • Abgleich vorhandener IT-Notfallpläne mit den Anforderungen des BSI-Standard 100-4 – vor dem Hintergrund der Forderungen MaRisk/KWG/BaFin.

  • Prüfen der diesbezüglichen Feststellungen (Findings) der Innenrevision und Beratung hinsichtlich Abstellung dieser.

  • Unterstützung beim Abgleich/Optimierung vorhandener IT-Sicherheitskonzepte hinsichtlich Anforderungen der BIA an die kritischen Geschäftsprozesse.

  • Ausrichtung an dem Standard BSI 100-4 und den Anforderungen KWG und BaFin (MaRisk).

  • Notfallkonzepte – Vorgaben prüfen und abstimmen hinsichtlich der Anforderungen an einen Notbetrieb.

  • Abstimmung der Notfallkonzepte mit externen Dienstleistern (Outsourcing). Konzeptionierung und Projektdurchführung Ausweicharbeitsplätze für die Bank im Notfall.

  • Prüfung und Optimierung der Wiederanlaufpläne für den Normalbetrieb.

  • Vorhandene Notfallvorsorgekonzepte überprüfen und optimieren.

  • Notfalltests (RZ-Schwenks) planen und durchführen mit Unterstützung Tool „HP Quality Center“.

  • Informationsveranstaltungen für die betroffenen Bereiche.

  • Anschließende ToDos (lessons-learned) definieren und umsetzen.
Norddeutsche Landesbank - NORD/LB
Hannover
7 Monate
2015-03 - 2015-09

Erstellung eines Notfallhandbuchs auf Basis BSI Standard 100-4

Realisierer
Realisierer
  • Bestandsaufnahme (Interviews) vorhandener Prozesse (auch noch nicht niedergeschriebener) zum Notfallmanagement.

  • Prüfen der Anforderungen der Muttergesellschaft.

  • Aufnahme der kritischen Geschäftsprozesse und Durchführung einer Business-Impact-Analyse (BIA).

  • Abstimmung der Anforderungen mit Fachbereichen.

  • Erstellung von Wiederanlaufplänen.

  • Kontinuitätsmanagement in Anlehnung an den BSI-Standard 100-4.

  • Erstellung und Einführung eines Notfallhandbuchs. Coaching des künftigen Verantwortlichen.
International operierender Maschinenhändler - ERIKS Holding Deutschland GmbH
Bielefeld
9 Monate
2014-04 - 2014-12

Geheimschutzbetreute Sicherheitsanalysen auf Basis IT-Grundschutz nach BSI Umsetzung der ISO27001 ISMS / BSI-Grundschutz zur Vorbereitung auf BSI Grundschutzzertifizierung für eine Bundesbehörde

Realisierer und Auditor
Realisierer und Auditor
  • Planung und Durchführung des Basis-Sicherheitschecks (BSC) gem. BSI nach Wirkbetriebsaufnahme des Verbundes im Frühjahr 2014.

  • Audit-Tätigkeiten im Rahmen des BSC in Form von Interviews mit den Verantwortlichen und Inaugenscheinnahmen. 

  • Erstellung der IT-Strukturanalyse und Modellierung mit Überführung in das GSTOOL. Modellierung des IT-Verbundes im GSTOOL auf der Basis der IT Strukturanalyse Ableitung der defizitären Maßnahmen.

  • Ergänzende Sicherheitsanalysen, IT-Risikoanalysen nach ISO31000 / ISO27005.

  • Dokumentation, Aufbau und Pflege des IT-Verbundes im GSTOOL.

 

Verantwortlich für die Anpassung aller dafür notwendigen Referenzdokumente und Abgleich mit Feinplanungen und Vorgaben des Konzern (Sicherheits- und Geheimschutzvorgaben). Erstellung zertifizierungsrelevanten Pflichtdokumente (A1-A5). Durchführung der ergänzenden Sicherheitsanalyse.

 

Zur Vorbereitung der Zertifizierungsreife Durchführung von Vor-Audits (Dokumentprüfung auf Vollständigkeit gemäß IT Grundschutz und internen Vorgaben). In Interviews wurden die Umsetzungen gemäß der Vorgabe verifiziert und durch Dokumentennachweise dokumentiert. Es wurden die Prozesse Datensicherung und Recovery sowie das Schwachstellen- und Incidentmanagement untersucht.

 

  • Die Vorgehensweise orientiert sich an den Vorgaben des BSI Standard 100-2
  • Als Vorbereitung der Vor-Audits erfolgte erst die Dokumentprüfung auf Vollständigkeit gemäß IT-Grundschutz und internen Vorgaben.
  • In Interviews wurden die Umsetzungen gemäß der Vorgabe verifiziert und durch Dokumentennachweise dokumentiert.
International operierender Dienstleister für Informations- und Kommunikationstechnologie (ICT) ? T-SYSTEMS
Berlin
4 Monate
2014-07 - 2014-10

Vorbereitung auf BSI-Teilzertifizierung

Realisierer und Auditor
Realisierer und Auditor

Durchführung von Sicherheitsanalysen und der damit verbunden notwendigen BSI-Maßnahmen und Bausteine für die Vorbereitung zur BSI-Teil-Zertifizierung von Webservern (IIS, Apache, Tomcat). Dabei u. a. Erstellung von BSI konformen Betriebshandbüchern für den Bereich IIS Webserver und beratende Unterstützung in Bereichen um Logging, Monitoring, etc. Qualitätssicherung der im Vorfeld vom Fachbereich erstellten Sicherheitsanalysen hinsichtlich Richtigkeit, Vollständigkeit und Anwendbarkeit. Tracking der noch erforderlichen Maßnahmen. Tool-Unterstützung mit „verinice“.

LDBV (Rechenzentrum) - Landesamt für Digitalisierung, Breitband und Vermessung Bayern
München
6 Monate
2014-04 - 2014-09

Begleitung und Hinführung zur Zertifizierung IT-Grenzschutz nach BSI für ein vorgeschaltetes abhängiges Teilprojekt

Realisierer und Auditor
Realisierer und Auditor

Planung und Durchführung des Basis-Sicherheitschecks (BSC) gem. BSI.

Anpassung und Qualitätssicherung der Strukturanalyse und Modellierung des Verbundes gem. BSI.

Weitere Basis-Sicherheit-Checks: Bei 4 Außenstellen im Bundesgebiet sollte die Zertifizierungsreife ermittelt und noch weitere Handlungsfelder frühzeitig ermittelt werden. Der standardisierte BSC auf Grundlage BSI Standard 100-2 wurde mit den Betroffenen terminiert und durchgeführt. Hierbei kamen die Audittechniken Dokumentensichtung und Dokumentenprüfung, Interviews und Vorortbegehungen zur Anwendung.

Das Ergebnis jedes BSC war der Auditbericht mit der Darstellung der defizitären Maßnahmen aus den jeweiligen Erhebungsbögen. Mit den Verantwortlichen wurden Lösungsansätze diskutiert und ein grober Umsetzungsplan

erarbeitet. Diese Aufgabe wurde in der Rolle als ISO27001-Co-Auditor auf Basis ITGrundschutz durchgeführt.

Zum Einsatz kam wieder das GSTOOL.

international operierender Dienstleister für Informations- und Kommunikationstechnologie (ICT) - T-SYSTEMS
Berlin
1 Monat
2014-06 - 2014-06

Audit mittels Tool "Sicherer IT-Betrieb"

Co-Auditor
Co-Auditor
  • Durchführung Audit mit Tool "Sicherer IT-Betrieb".

  • Vorbesprechung, Prüfung der Dokumente, Durchführung des Audits nach Fragenkatalog SITB. Auswertung der Ergebnisse
Sparkasse Weiden
11 Monate
2013-05 - 2014-03

Geheimschutzbetreute Sicherheitsanalysen auf Basis IT-Grundschutz nach BSI Umsetzung der ISO27001 ISMS / BSI-Grundschutz zur Vorbereitung auf BSI Grundschutzzertifizierung für eine Bundesbehörde

Realisierer und Auditor
Realisierer und Auditor

Durchführung von geheimschutzbetreuten Sicherheitsanalysen mit GS-Tool zur Vorbereitung auf die BSI-Zertifizierung für eine Bundesbehörde. Planung und Durchführung des Basis-Sicherheitschecks (BSC) gem. BSI. Modellierung des Informationsverbundes. Erstellung der IT-Strukturanalyse und Modellierung mit Überführung in das GSTOOL Mitarbeit im Konzern-Kompetenzzentrum für Datenschutz. Qualitätssicherung der Strukturanalyse, Modellierung und Risikoanalyse des Verbundes gem. BSI. Verantwortlich für die Erstellung aller BSI-zertifizierungsrelevanten Dokumente von A0 bis A7. Feststellung der defizitären Maßnahmen aus dem BSC. Ableitung, Steuerung und Überwachung der Maßnahmen nach Prioritäten. Abschluss des Teilprojektes mit Wirkbetriebsaufnahme des Verbundes.

 

Prüfungszweck war die Feststellung der Zertifizierungsreife der Schicht 2 sowie die Bausteine B 1.0 Sicherheitsmanagement, B 1.1 Personal und B 1.2 Personal. Der standardisierte BSC auf Grundlage BSI Standard 100-2 wurde mit den Betroffenen terminiert, durchgeführt und die Ergebnisse besprochen. Die defizitären Maßnahmen wurden mit Lösungsansätzen als Maßnahmenliste vereinbart.

 

Zur Anwendung kamen die Audittechniken

  • Dokumentensichtung,
  • Interviews und
  • Vor-Ort-Begehungen

 

Diese Aufgabe wurde in der Rolle als ISO27001-Co-Auditor auf Basis IT-Grundschutz Durchgeführt

 

Dokumentenpflege im GSTOOL und Verifizierung des GSTOOL

Aufgrund der Erkenntnisse des BSC wurde die bestehende Strukturanalyse und Modellierung überprüft und angepasst. Die Beschreibungen der einzelnen Grundschutzmaßnahmen wurden aus den Erhebungsbögen des BSC in das GSTOOL übertragen bzw. bestehende Informationen ergänzt.

international operierender Dienstleister für Informations- und Kommunikationstechnologie (ICT) - T-SYSTEMS
Berlin
2 Monate
2013-11 - 2013-12

GAP-Analyse IDV (Individuelle Datenverarbeitung)

  • Analyse der vorliegenden IDV´s. Schutzbedarfsfeststellung. Klassifizierung.

  • Einplanung der notwendigen Tätigkeiten und Schritte zur GAP-Beseitigung.

  • Erstellen von Vorgaben zur IDV (Arbeitsanweisung).
Deutsche Bank
1 Monat
2013-06 - 2013-06

Konzept Schwachstellenmanagement (Vulnerability Management)

Realisierer
Realisierer

Erstellung eines Sicherheitskonzeptes zum Schwachstellenmanagement (Vulnerability). Darstellung der Sicherheitsrichtlinien und Beschreibung aus Applikationssicht. Basierend auf der IT-Grundschutzmethode und auf das Rahmen-SiKo des Konzerns nach ISO 27001 und IT-Grundschutz.

Großer Automobilhersteller aus Bayern
4 Monate
2013-03 - 2013-06

Implementierung eines Lizenzmanagements

Realisierer
Realisierer
  • Erstellung und Einführung einer Richtlinie zum Lizenzmanagement.

  • Beratung und Unterstützung bei der Lizenz-Beschaffung, Prozess-Einführung und beim Lizenz Audit durch Wirtschaftsprüfer.

  • Beratung und Unterstützung bei Einführung eines SAM (Software Asset Management) zur Lizenzverwaltung durch einen Microsoft Gold Certified SAM Partner. Umsetzung der Prozess-Anpassung.
Internationales Medizintechnikunternehmen - Ziehm Imaging GmbH
1 Monat
2013-05 - 2013-05

Workshop zur Erstellung eines BSI-konformen Notfallhandbuchs (BCM)

Referent
Referent
  • Erstellen eines BSI-konformen Notfallhandbuchs und praktische Umsetzung nach IT-Grundschutz.

  • Vorsorgepflichten bezüglich Notfälle. Anforderungen an eine Notfallvorsorge. Konzepte entwickeln und das Notfallhandbuch entwerfen. 

  • Wie sieht eine vorschriftsmäßige Notfallplanung aus? Wie sind die Pläne zu erarbeiten – und wie werden adäquate Maßnahmen umgesetzt, eingeführt und fortgeführt? Durchführung regelmäßiger Notfallübungen. 
Schulungsanbieter WEKA
3 Monate
2013-01 - 2013-03

Vorbereitung Zertifizierung nach ISO27001 Grundschutz BSI

Projektleiter
Projektleiter

Vorbereitung auf eine ISO27001 Grundschutzzertifizierung eines kleinen mittelständigen IT-Dienstleister. Das Projekt läuft über einen Zeitraum von 15 Monaten und ist in verschiedene Teilprojekte gegliedert. Als Projektleiter identifiziere ich die Handlungsfelder gemäß des BSI Standards 100-1 und die Vorgehensweise nach BSI-Standard 100-2.

 

Teilprojekt 1:

Erhebung des IST-Zustand und Projektplanung

Das erste Teilprojekt beschäftigt sich mit der IST-Aufnahme des Dokumentenstatus sowie der Übersicht aller IT-Komponenten. Als Ergebnis wurde gemeinsam mit den Geschäftsführern ein grober Projektplan mit Meilensteinen erarbeitet.

Teilprojekt 2:

Der Basis-Sicherheits-Check dient an dieser Stelle zu 2 Zwecken:

  • Kennenlernen des Unternehmens
  • IST und SOLL-Aufnahme mit der Ableitung des Maßnahmenkataloges.
  • Durch Dokumentenprüfung, Interview und in Augenscheinnahme wurden die Informationen erhoben und anschließend behoben.

Teilprojekt 3:

Im Teilprojekt 3 werden die notwendigen Vorgehensweisen und Maßnahmen umgesetzt, damit ein zertifizierungsfähiger IT-Verbund entsteht

kleiner mittelständischer IT-Dienstleister ? PK-IS-Revision
14 Jahre
1999-04 - 2013-03

Angestelltenverhältnis ? Projekte im Rahmen der IT-Leitungsfunktion

IT-Mitarbeiter und ab 2002 IT-Gruppen-Leiter
IT-Mitarbeiter und ab 2002 IT-Gruppen-Leiter

Tätigkeiten im Bereich der Informationssicherheit (neben den grundlegenden steuernden Leitungs-Tätigkeiten)

  • Etablierung der IT-Sicherheitsprozesse nach IT-Grundschutz
  • Durchführung von Schutzbedarfs- und Risikoanalysen nach IT-Grundschutz
  • Erstellung von IT-Sicherheitskonzepten
  • Erstellung von IT-Sicherheitsanalysen gemäß IT-Grundschutz
  • Datenschutzanalysen
  • Initiierung, Integration und Überwachung der Einhaltung aller Regelungen und Maßnahmen zur IT-Sicherheit (Informationssicherheit) und Datensicherheit
  • Sicherstellung der Integration des IT-Sicherheitsmanagements in bestehende Organisationsstrukturen und Abläufe gemäß IT-Grundschutz
  • Sensibilisierungsmaßnahmen/Security-Schulungen der Mitarbeiter und Nachweisführung
  • Erstellung und kontinuierliche Optimierung aller notwendigen Arbeitsan-weisungen und Konzepte zu Zutritt, Zugang, Zugriff, Eigenprogrammierungen, IT-Outsourcing, Softwaretests, Datensicherung, Virenschutz, IT-Strategie und IT-Leitlinie, etc.
  • Durchführung von laufenden Prüfungen/Audits und Kontrollmaßnahmen im Rahmen eines selbst erstellten IKS (Internes Kontroll-System)
  • Aufbau und Pflege eines Notfallmanagements und Erstellung von Notfallhandbüchern
  • Notfallvorsorgekonzept mit Notfallvorsorgemaßnahmen
  • Durchführung von Schutzbedarfsfeststellungen und Risikoinventuren
  • etc.

     

Detaillierte Auflistung der wichtigsten Projekte auf den folgenden Seiten.

Genossenschaftsbank in Nürnberg
3 Monate
2012-08 - 2012-10

Ablösung Multifunktionsgeräte/Faxgeräte

Projektleiter
Projektleiter

Vor dem Hintergrund der auslaufenden Leasing-Verträge der bestehenden Bürogeräte wurden diese erneut ausgeschrieben. Dabei wurde dann auch eine Optimierung der Gerätelandschaft realisiert (Drucker-Zentralisierung).

Die Umstellung der Verträge/Geräte wurde termingerecht durchgeführt.

3 Monate
2012-05 - 2012-07

Wechsel des Wertetransportunternehmens (WTU)

Projektleiter
Projektleiter

Aufgrund der kurzfristig bekannt gewordenen Insolvenz des WTU musste ein neues Unternehmen gefunden werden. Das Risiko, dass die Bank ihre Kunden nicht mehr mit Geld versorgen könnte war sehr groß. Aus diesem Grund wurde zu diesem Projekt ein externer Berater hinzugezogen. Nach Ausschreibung, Einholung von Referenzen und wirtschaftlichen Auskünften konnte ein neuer WTU empfohlen werden. Dieser wurde dann problemlos und zeitgerecht zum 1.7.2012 eingesetzt.

1 Monat
2012-01 - 2012-01

Umzug der Zentrale in eine Zwischenlösung

Projektleiter
Projektleiter

Die gesamte IT-Technik, Sicherheitstechnik, TK-Hardware etc. musste an einem Wochenende im Januar in einen Ausweichstandort (Zwischen-lösung) umziehen. Da dies nicht allein mit zwei Admins zu bewerkstelligen war, wurde eine Ausschreibung erstellt und aus drei Anbietern gewählt. Nach Abwägung Wirtschaftlichkeit und Referenzen wurde diese Dienstleistung dann outgesourct und zusammen mit diesem erfolgreich umgesetzt.

6 Monate
2011-08 - 2012-01

Betriebs-/Sicherheitskonzept für eine ?Zwischenlösung?

Projektleiter
Projektleiter

Durch den beschlossenen Neubau der Zentrale musste eine Zwischenlösung (Ausweichstandort) gefunden werden. Für diese Zwischenlösung mussten alle notwendigen Absicherungsmaßnahmen eingeplant und umgesetzt werden. Hierzu wurden aufgrund der vorliegen Gebäudepläne alle Zutrittsterminals, Meldeanlagen (Einbruch, Überfall) und Videoüberwachungsanlagen eingeplant und abgestimmt. Auch wurde eine Verschlüsselung der LAN-Anbindung zwischen einem alten Gebäudeteil und der Zwischenlösung notwendig.

Alle Maßnahmen und technischen Lösungen wurden termingerecht zum Umzug im Januar 2012 fertig gestellt.

7 Monate
2011-03 - 2011-09

Zusätzlicher Einsatz von Banknoten-Recyclern in den Filialen

Projektleiter
Projektleiter

Die bisher eingesetzten Einzahlungsgeräte waren aufgrund des Alters und der schwachen Verfügbarkeit zum Austausch vorgesehen worden. Da jedoch Recycler eine zusätzliche Auszahlungsmöglichkeit für die Kunden bieten, wurde der Austausch durch Recycler untersucht. Unter Berücksichtigung aller Kosten, Vor- und Nachteile wurde der Einsatz der Recycler empfohlen und genehmigt. Der Austausch der Geräte wurde termingerecht durchgeführt.

6 Monate
2011-01 - 2011-06

Umstellung LAN-Anbindungen

Projektleiter
Projektleiter

Aufgrund eines neu verhandelten Rahmenvertrages durch das Rechenzentrum mussten alle WAN-Anbindungen umgestellt werden. umgesetzt. Hierzu wurde eine neue Netzwerktechnik für die Standleitungen zum Rechenzentrum und zu den Filialen eingeführt („MPLS“ – Multi-Protocol Label Switching). Nach den notwendigen Routererweiterungen konnte die Umstellung erfolgreich und termingerecht durchgeführt werden.

1 Monat
2011-03 - 2011-03

Erstellung einer Empfehlung zur privaten Nutzung betrieblicher Kommunikationsmittel (Telefonie, Handys, Internet, E-Mail)

Realisierer
Realisierer

Es kamen immer wieder Fragen von Mitarbeitern, ob beispielsweise die Handys für private Nutzung verwendet werden dürfen. Erhalten Beschäftigte von ihrem Arbeitgeber betriebliche Kommunikationsmittel (z.B. Telefon, PC, Internet, E-Mail, Mobiltelefon etc.) stellt sich die Frage, auf welcher gesetzlichen Grundlage die dabei entstehenden Verkehrs-Daten noch überwacht werden können bzw. dürfen. Dem Vorstand wurden die Vor- und Nachteile aufgezeigt und empfohlen, hier keine Abweichung zu bestehenden Anweisungen zuzulassen und die private Nutzung dieser Kommunikationsmittel weiterhin zu verbieten. Dem wurde zugestimmt

3 Monate
2010-10 - 2010-12

Einführung bandlose Datensicherung

Projektleiter
Projektleiter

Aufgrund von häufigen Problemen mit der Datensicherung auf Magnetbändern (Bänder defekt, vergessen, etc.) und dem folgenden hohen Betriebsaufwand (Ticketbearbeitung, Nachsicherungen) wurde in Zusammenarbeit mit dem Rechenzentrum nach einer alternativen Backuplösung gesucht. Nach der Untersuchung der verschiedenen Möglichkeiten wurde die Lösung „Atempo Time Navigator“ beschlossen und erfolgreich eingeführt. Bei dieser Lösung der bandlosen Datensicherung werden die Daten aller Filial-Server über das Netzwerk zentral auf einem Sicherungsserver in der Zentrale gesichert

3 Monate
2010-10 - 2010-12

Umstellung auf Office 2007

Projektleiter
Projektleiter

Der Umstieg von Office 97 auf Office 2007 war notwendig und im Rahmen der Sparda-Gruppe einheitlich beschlossen worden. Im Vorfeld dieser Umstellung mussten alle Vorlagen, Dokument etc. mit der neuen Version getestet und ggf. angepasst werden. Dazu wurden mit den Anwendern die Dokumente analysiert die Umstellung geplant. Es wurden Handouts, Schulungsmaßnahmen und WBTs organisiert. Nach einer Testphase für die Anwender konnte die Umstellung erfolgreich ohne Probleme durchgeführt werden.

5 Monate
2010-07 - 2010-11

Migration von Lotus Notes 6 auf Version 8

Projektleiter
Projektleiter

Durch die Einstellung des Support der Firma Lotus war die Migration notwendig. Dadurch waren verschiedene Herausforderungen zu meistern: erhöhte Hardwareanforderungen (Server und Clients) sowie neue Benutzeroberflächen (Umstellung für Anwender). Es wurden daraufhin die Arbeitsplatzrechner getauscht, Handouts für die Mitarbeiter erstellt sowie Schulungen für sog. „Power-User“ angeboten.

3 Monate
2010-08 - 2010-10

Austausch PC-Clients

Projektleiter
Projektleiter

Aufgrund von zu erwartenden neuen Anwendungen war die eingesetzte PC-Hardware nicht mehr den Anforderungen gewachsen. Aus diesem Grund mussten ca. 2/3 aller eingesetzten Arbeitsplatz-PCs kurzfristig ersetzt werden (ca. 200). Da dies nicht allein mit zwei Admins zu bewerkstelligen war, wurde eine Ausschreibung erstellt und aus drei Anbietern gewählt. Nach Abwägung Wirtschaftlichkeit und Referenzen wurde diese Dienstleistung dann outgesourct und erfolgreich umgesetzt.

Unter anderem wurde aus dem Grundschutzbaustein „Outsourcing“ Vorgehensweis bei der Auswahl des Dienstleister berücksichtigt.

5 Monate
2010-01 - 2010-05

Datenbank (MS-Access) zur Erfassung von Aufwendungen und Kostenstellenzuordnungen

Realisierer
Realisierer
  • Erstellung einer relationalen Datenbank unter MS-Access zur Erfassung der täglichen Aufwände der IT-Mitarbeiter.

  • Die Tätigkeiten wurden erfasst in Verbindung mit Zuordnung der anfordernden Stelle (Kostenstelle).

  • Erstellung von Standard- und individuellen Abfragen (Berichten) aus der Datenbank.

  • Anschließend über die Monate Optimierungen und Anpassung der Datenbank.

  • Diese wurde ein Werkzeug zur Berichterstattung gegenüber der Leitung und Controlling.

Aus- und Weiterbildung

Aus- und Weiterbildung

  • "Staatlich geprüfter Betriebswirt (DV)" (BWL mit Schwerpunkt Datenverarbeitung-Informatik, Auszeichnung mit dem Meisterpreis der bayerischen Staatsregierung
  • Organisationsprogrammierer
  • Zertifizierter IT-Manager (ADG)
  • IT-Sicherheitsmanager (ADG Akademie Deutscher Genossenschaften)
  • Zertifizierter Datenschutzbeauftragter DSB TÜV-Süd
  • EU-DSGVO (EU-Datenschutz-Grundverordnung)
  • ISO 27001 - Implementation
  • ISO 27001 - Lead-Auditor
  • absolvierte Auditoren-Schulung zum IT-Sicherheitskatalog nach § 11 (1a) EnWG
  • ITIL V3 Foundation
  • PCI DSS Zertifizierungs-Vorbereitung
  • Sicherheitsüberprüft nach Ü2

Kompetenzen

Kompetenzen

Top-Skills

Lead-Auditor ISO 27001 Aufbau und Implementierung ISMS nach ISO 27001 (Richtlinien, Prozesse, ...) Notfallmanagement nach BSI (100-4 und DER.4) Risikomanagement KRITIS Prüfungen nach §8 A BSIG Aufbau eines Notfallmanagements und Erstellung von Notfallhandbüchern IT-Sicherheitsgesetz Erstellung von Sicherheitskonzepten und Dokumenten nach BSI und ISO 27001 Durchführung von Audits (ISO 27001)

Produkte / Standards / Erfahrungen / Methoden

Arbeitsanweisungen
Auditoren-Schulung zum IT-Sicherheitskatalog nach § 11 (1a) EnWG
Bank SB-Automaten (SB-Geräte: Geldautomaten, Kontoauszugsdrucker, Recycler)
Bank-Organisation
BCM (Notfallmanagement - Notfallhandbuch)
BSI IT-Grundschutz Implementation
Business Continuity Management
Datenanalysen
Datenschutzbeauftragter
Erstellung von Konzepten zur Informationssicherheit (Sicherheitskonzepte)
EU-DSGVO
Informationssicherheitsbeauftragter
ISMS-Einführung/-Optimierung
ISO 27001 - Implementation
ISO 27001 - Zertifizierter Lead Auditor
IT-Manager
IT-Projektmanagement
IT-Richtlinien/Leitlinien
IT-Sicherheitsmanager
IT-Strategie
ITIL V3 Foundation
Kenntnisse Kreditwesengesetz (KWG)
Kenntnisse Risikomanagement (MaRisk)
Kenntnisse von ISO 9001
Notfallmanagement BCM (Notfallhandbuch nach BSI)
Outssourcing von Dienstleistungen
PCI-DSS Zertifizierungs-Vorbereitung
Prüfungen und Kotrollmaßnahmen IKS
Risk-Management (Risikoinventuren, Risikoanalysen)
Schutzbedarfsanalysen
Sensibilisierungsmaßnahmen (Security-Schulungen) - Awareness
Sicherheitsanalysen
Sicherheitstechnik
Steuerung von Dienstleistern
Strukturanalysen

Betriebssysteme

Mac OS
Windows

Datenbanken

Access
xBase

Datenkommunikation

Ethernet
Internet, Intranet
Router
TCP/IP
Windows Netzwerk

Hardware

Banken-Sicherheitstechnik (Alarm, Video, Zutrittssystme)
Banken-Technik (SB-Geräte)
Macintosh
PC

Branchen

Branchen

Energieversorungsunternehmen

Banken, Sparkassen

Telekommunikation

Callcenter

Versicherungen

Behörden

Ämter

etc.

Einsatzorte

Einsatzorte

Deutschland
möglich

Projekte

Projekte

5 Jahre 2 Monate
2019-01 - heute

Berater für Notfallmanagement nach BSI 100-4

Coach und Berater
Coach und Berater

IT-Notfallvorsorge

IT-Notfallbewältigung

IT-Notfall Dokumentation

Trainings- und Schulungskonzept

Test- und Übungskonzept

IT-Notfall Dokumentation

Ermittlung businesskritischer Systeme, 

generelle technische und organisatorische Vorsorgemaßnahmen

generelle technische und organisatorische Maßnahmen zur IT-Notfallbewältigung, 

Steuerung des IT-Notfallmanagements, 

(Rollen, Verantwortlichkeiten, Aufgaben und Rechte), Erstellung der Dokumente (Leitlinie, Notfallvorsorgekonzept, Notfallhandbücher, Ansprechpartner-Liste, etc.), etc.

Coburg
5 Jahre 9 Monate
2018-06 - heute

Berater Informationssicherheit-Risikomanagement

Coach und Berater
Coach und Berater

Erstellung von Schutzbedarfsfeststellungen der IT-Anwendungen.

Bundesweit
6 Jahre 5 Monate
2017-10 - heute

Lead-Auditor bei Zertifizierungen nach ISO/IEC 27001 - Sicherheitskatalog und IT-Sicherheitsgesetz - gemäß 11 Absatz 1a EnWG

Lead-Auditor
Lead-Auditor

Lead-Auditor im Rahmen der Zertifizierung nach ISO/IEC 27001 - Sicherheitskatalog und IT-Sicherheitsgesetz - gemäß § 11 Absatz 1a EnWG

Prüfung von Energieversorgern im Auftrag der FOX Certification GmbH

6 Jahre 8 Monate
2017-07 - heute

Berater und Auditor für ISO/IEC 27001 - Sicherheitskatalog und IT-Sicherheitsgesetz - gemäß 11 Absatz 1a EnWG.

Berater und Auditor
Berater und Auditor

Beratung, Unterstützung, Prüfung und Hinführung verschiedener Unternehmen (Energieversorger) zur Zertifizierung des Managementsystems nach ISO/IEC 27001 - Sicherheitskatalog und IT-Sicherheitsgesetz - gemäß § 11 Absatz 1a EnWG.

9 Monate
2016-10 - 2017-06

IT-Security-Manager - Information Security Officer

Beratung, Unterstützung und Optimierung ISMS
Beratung, Unterstützung und Optimierung ISMS

- Analyse von IT-Sicherheitsrisiken

- Unterstützung bei der Sicherheitsbewertung

- Koordination/Nachhalten der IT-Security-Prüfungsfeststellungen

- Review und Abnahme von Sicherheitskonzepten

- Mitarbeit bei der Erstellung der Konzern-Sicherheitsstandards (Richtlinien, Handbücher, Rahmenanweisungen)

- Qualitätssicherung und Abgleich der Richtlnien eines künftigen gemeinsamen Landesbanken-Standards

LBBW
Stuttgart
2 Monate
2016-07 - 2016-08

Beratung, Unterstützung und Hinführung zur Zertifizierung des Managementsystems nach ISO/IEC 27001:2013 - Sicherheitskatalog und IT-Sicherheitsgesetz

Berater und stellv. Projektleiter
Berater und stellv. Projektleiter
Netze BW
Stuttgart
4 Monate
2016-05 - 2016-08

Beratung, Unterstützung und Hinführung zur Zertifizierung des Managementsystems nach ISO/IEC 27001:2013

Berater
Berater
  • Qualitätssicherung von IT-Dokumenten (IT Sicherheitskonzepten) auf Basis des BSI Standard 100-2. 

  • Analyse der Deltas zwischen vorhandenen IT-Sicherheitskonzepten und der Anforderungen (Bausteine und Maßnahmen) nach dem BSI-Standard.

  • Durchführung von Workshops mit den Verantwortlichen zur Dokumentenverbesserung.
Brandenburgischer IT-Dienstleister ZIT-BB
Potsdam
5 Monate
2016-04 - 2016-08

Beratung, Unterstützung und Hinführung zur Zertifizierung des Managementsystems nach ISO/IEC 27001:2013

Berater
Berater
  • Beratung und Consulting – Hinführung zur Zertifizierung nach ISO/IEC 27001:2013.

  • Definition/Festlegung des Kontextes/Geltungsbereichs (Scopes).

  • GAP-Analyse auf Basis der Controls der ISO 27001 und 27002.

  • Qualitätssicherung und Optimierung der zugehörigen Dokumente (Leitlinien, Konzepte, Richtlinien, Verfahrensanweisungen, Arbeitsanweisungen).
Internat. Entwicklung-/Ingenieurdienstleister ALTEN GmbH
Coburg
2 Monate
2016-01 - 2016-02

Beratung und Unterstützung beim Aufbau eines ISMS auf Basis BSI Standard 100-2

Realisierer
Realisierer
  • Aufbau der Informationssicherheitsorganisation. Erstellung von IT-Sicherheitskonzepten, Richtlinien und Anweisungen auf Basis BSI Standard 100-2.

  • Analyse des Deltas zwischen vorhandenen IT-Sicherheitskonzepten und der Anforderungen nach dem BSI-Standard.

  • Erstellung von Realisierungsplänen zur Umsetzung der Sicherheitskonzeption.

  • Durchführung der Strukturanalyse und Modellierung des IV (Informations-Verbundes). Abgrenzung des IV.

  • Planung Notfall-Leitlinie zur Vorbereitung für die Implementierung eines Notfallmanagements mit Konzeption der Notfallvorsorge auf Basis BSI 100-4.

Landesrechenzentrum IT Baden-Württemberg - BITBW
Stuttgart
10 Monate
2015-03 - 2015-12

Spezialist Sicherheitsprozesse im Bereich Banken (IT-Notfallmanagement)

Realisierer
Realisierer
  • Abgleich vorhandener IT-Notfallpläne mit den Anforderungen des BSI-Standard 100-4 – vor dem Hintergrund der Forderungen MaRisk/KWG/BaFin.

  • Prüfen der diesbezüglichen Feststellungen (Findings) der Innenrevision und Beratung hinsichtlich Abstellung dieser.

  • Unterstützung beim Abgleich/Optimierung vorhandener IT-Sicherheitskonzepte hinsichtlich Anforderungen der BIA an die kritischen Geschäftsprozesse.

  • Ausrichtung an dem Standard BSI 100-4 und den Anforderungen KWG und BaFin (MaRisk).

  • Notfallkonzepte – Vorgaben prüfen und abstimmen hinsichtlich der Anforderungen an einen Notbetrieb.

  • Abstimmung der Notfallkonzepte mit externen Dienstleistern (Outsourcing). Konzeptionierung und Projektdurchführung Ausweicharbeitsplätze für die Bank im Notfall.

  • Prüfung und Optimierung der Wiederanlaufpläne für den Normalbetrieb.

  • Vorhandene Notfallvorsorgekonzepte überprüfen und optimieren.

  • Notfalltests (RZ-Schwenks) planen und durchführen mit Unterstützung Tool „HP Quality Center“.

  • Informationsveranstaltungen für die betroffenen Bereiche.

  • Anschließende ToDos (lessons-learned) definieren und umsetzen.
Norddeutsche Landesbank - NORD/LB
Hannover
7 Monate
2015-03 - 2015-09

Erstellung eines Notfallhandbuchs auf Basis BSI Standard 100-4

Realisierer
Realisierer
  • Bestandsaufnahme (Interviews) vorhandener Prozesse (auch noch nicht niedergeschriebener) zum Notfallmanagement.

  • Prüfen der Anforderungen der Muttergesellschaft.

  • Aufnahme der kritischen Geschäftsprozesse und Durchführung einer Business-Impact-Analyse (BIA).

  • Abstimmung der Anforderungen mit Fachbereichen.

  • Erstellung von Wiederanlaufplänen.

  • Kontinuitätsmanagement in Anlehnung an den BSI-Standard 100-4.

  • Erstellung und Einführung eines Notfallhandbuchs. Coaching des künftigen Verantwortlichen.
International operierender Maschinenhändler - ERIKS Holding Deutschland GmbH
Bielefeld
9 Monate
2014-04 - 2014-12

Geheimschutzbetreute Sicherheitsanalysen auf Basis IT-Grundschutz nach BSI Umsetzung der ISO27001 ISMS / BSI-Grundschutz zur Vorbereitung auf BSI Grundschutzzertifizierung für eine Bundesbehörde

Realisierer und Auditor
Realisierer und Auditor
  • Planung und Durchführung des Basis-Sicherheitschecks (BSC) gem. BSI nach Wirkbetriebsaufnahme des Verbundes im Frühjahr 2014.

  • Audit-Tätigkeiten im Rahmen des BSC in Form von Interviews mit den Verantwortlichen und Inaugenscheinnahmen. 

  • Erstellung der IT-Strukturanalyse und Modellierung mit Überführung in das GSTOOL. Modellierung des IT-Verbundes im GSTOOL auf der Basis der IT Strukturanalyse Ableitung der defizitären Maßnahmen.

  • Ergänzende Sicherheitsanalysen, IT-Risikoanalysen nach ISO31000 / ISO27005.

  • Dokumentation, Aufbau und Pflege des IT-Verbundes im GSTOOL.

 

Verantwortlich für die Anpassung aller dafür notwendigen Referenzdokumente und Abgleich mit Feinplanungen und Vorgaben des Konzern (Sicherheits- und Geheimschutzvorgaben). Erstellung zertifizierungsrelevanten Pflichtdokumente (A1-A5). Durchführung der ergänzenden Sicherheitsanalyse.

 

Zur Vorbereitung der Zertifizierungsreife Durchführung von Vor-Audits (Dokumentprüfung auf Vollständigkeit gemäß IT Grundschutz und internen Vorgaben). In Interviews wurden die Umsetzungen gemäß der Vorgabe verifiziert und durch Dokumentennachweise dokumentiert. Es wurden die Prozesse Datensicherung und Recovery sowie das Schwachstellen- und Incidentmanagement untersucht.

 

  • Die Vorgehensweise orientiert sich an den Vorgaben des BSI Standard 100-2
  • Als Vorbereitung der Vor-Audits erfolgte erst die Dokumentprüfung auf Vollständigkeit gemäß IT-Grundschutz und internen Vorgaben.
  • In Interviews wurden die Umsetzungen gemäß der Vorgabe verifiziert und durch Dokumentennachweise dokumentiert.
International operierender Dienstleister für Informations- und Kommunikationstechnologie (ICT) ? T-SYSTEMS
Berlin
4 Monate
2014-07 - 2014-10

Vorbereitung auf BSI-Teilzertifizierung

Realisierer und Auditor
Realisierer und Auditor

Durchführung von Sicherheitsanalysen und der damit verbunden notwendigen BSI-Maßnahmen und Bausteine für die Vorbereitung zur BSI-Teil-Zertifizierung von Webservern (IIS, Apache, Tomcat). Dabei u. a. Erstellung von BSI konformen Betriebshandbüchern für den Bereich IIS Webserver und beratende Unterstützung in Bereichen um Logging, Monitoring, etc. Qualitätssicherung der im Vorfeld vom Fachbereich erstellten Sicherheitsanalysen hinsichtlich Richtigkeit, Vollständigkeit und Anwendbarkeit. Tracking der noch erforderlichen Maßnahmen. Tool-Unterstützung mit „verinice“.

LDBV (Rechenzentrum) - Landesamt für Digitalisierung, Breitband und Vermessung Bayern
München
6 Monate
2014-04 - 2014-09

Begleitung und Hinführung zur Zertifizierung IT-Grenzschutz nach BSI für ein vorgeschaltetes abhängiges Teilprojekt

Realisierer und Auditor
Realisierer und Auditor

Planung und Durchführung des Basis-Sicherheitschecks (BSC) gem. BSI.

Anpassung und Qualitätssicherung der Strukturanalyse und Modellierung des Verbundes gem. BSI.

Weitere Basis-Sicherheit-Checks: Bei 4 Außenstellen im Bundesgebiet sollte die Zertifizierungsreife ermittelt und noch weitere Handlungsfelder frühzeitig ermittelt werden. Der standardisierte BSC auf Grundlage BSI Standard 100-2 wurde mit den Betroffenen terminiert und durchgeführt. Hierbei kamen die Audittechniken Dokumentensichtung und Dokumentenprüfung, Interviews und Vorortbegehungen zur Anwendung.

Das Ergebnis jedes BSC war der Auditbericht mit der Darstellung der defizitären Maßnahmen aus den jeweiligen Erhebungsbögen. Mit den Verantwortlichen wurden Lösungsansätze diskutiert und ein grober Umsetzungsplan

erarbeitet. Diese Aufgabe wurde in der Rolle als ISO27001-Co-Auditor auf Basis ITGrundschutz durchgeführt.

Zum Einsatz kam wieder das GSTOOL.

international operierender Dienstleister für Informations- und Kommunikationstechnologie (ICT) - T-SYSTEMS
Berlin
1 Monat
2014-06 - 2014-06

Audit mittels Tool "Sicherer IT-Betrieb"

Co-Auditor
Co-Auditor
  • Durchführung Audit mit Tool "Sicherer IT-Betrieb".

  • Vorbesprechung, Prüfung der Dokumente, Durchführung des Audits nach Fragenkatalog SITB. Auswertung der Ergebnisse
Sparkasse Weiden
11 Monate
2013-05 - 2014-03

Geheimschutzbetreute Sicherheitsanalysen auf Basis IT-Grundschutz nach BSI Umsetzung der ISO27001 ISMS / BSI-Grundschutz zur Vorbereitung auf BSI Grundschutzzertifizierung für eine Bundesbehörde

Realisierer und Auditor
Realisierer und Auditor

Durchführung von geheimschutzbetreuten Sicherheitsanalysen mit GS-Tool zur Vorbereitung auf die BSI-Zertifizierung für eine Bundesbehörde. Planung und Durchführung des Basis-Sicherheitschecks (BSC) gem. BSI. Modellierung des Informationsverbundes. Erstellung der IT-Strukturanalyse und Modellierung mit Überführung in das GSTOOL Mitarbeit im Konzern-Kompetenzzentrum für Datenschutz. Qualitätssicherung der Strukturanalyse, Modellierung und Risikoanalyse des Verbundes gem. BSI. Verantwortlich für die Erstellung aller BSI-zertifizierungsrelevanten Dokumente von A0 bis A7. Feststellung der defizitären Maßnahmen aus dem BSC. Ableitung, Steuerung und Überwachung der Maßnahmen nach Prioritäten. Abschluss des Teilprojektes mit Wirkbetriebsaufnahme des Verbundes.

 

Prüfungszweck war die Feststellung der Zertifizierungsreife der Schicht 2 sowie die Bausteine B 1.0 Sicherheitsmanagement, B 1.1 Personal und B 1.2 Personal. Der standardisierte BSC auf Grundlage BSI Standard 100-2 wurde mit den Betroffenen terminiert, durchgeführt und die Ergebnisse besprochen. Die defizitären Maßnahmen wurden mit Lösungsansätzen als Maßnahmenliste vereinbart.

 

Zur Anwendung kamen die Audittechniken

  • Dokumentensichtung,
  • Interviews und
  • Vor-Ort-Begehungen

 

Diese Aufgabe wurde in der Rolle als ISO27001-Co-Auditor auf Basis IT-Grundschutz Durchgeführt

 

Dokumentenpflege im GSTOOL und Verifizierung des GSTOOL

Aufgrund der Erkenntnisse des BSC wurde die bestehende Strukturanalyse und Modellierung überprüft und angepasst. Die Beschreibungen der einzelnen Grundschutzmaßnahmen wurden aus den Erhebungsbögen des BSC in das GSTOOL übertragen bzw. bestehende Informationen ergänzt.

international operierender Dienstleister für Informations- und Kommunikationstechnologie (ICT) - T-SYSTEMS
Berlin
2 Monate
2013-11 - 2013-12

GAP-Analyse IDV (Individuelle Datenverarbeitung)

  • Analyse der vorliegenden IDV´s. Schutzbedarfsfeststellung. Klassifizierung.

  • Einplanung der notwendigen Tätigkeiten und Schritte zur GAP-Beseitigung.

  • Erstellen von Vorgaben zur IDV (Arbeitsanweisung).
Deutsche Bank
1 Monat
2013-06 - 2013-06

Konzept Schwachstellenmanagement (Vulnerability Management)

Realisierer
Realisierer

Erstellung eines Sicherheitskonzeptes zum Schwachstellenmanagement (Vulnerability). Darstellung der Sicherheitsrichtlinien und Beschreibung aus Applikationssicht. Basierend auf der IT-Grundschutzmethode und auf das Rahmen-SiKo des Konzerns nach ISO 27001 und IT-Grundschutz.

Großer Automobilhersteller aus Bayern
4 Monate
2013-03 - 2013-06

Implementierung eines Lizenzmanagements

Realisierer
Realisierer
  • Erstellung und Einführung einer Richtlinie zum Lizenzmanagement.

  • Beratung und Unterstützung bei der Lizenz-Beschaffung, Prozess-Einführung und beim Lizenz Audit durch Wirtschaftsprüfer.

  • Beratung und Unterstützung bei Einführung eines SAM (Software Asset Management) zur Lizenzverwaltung durch einen Microsoft Gold Certified SAM Partner. Umsetzung der Prozess-Anpassung.
Internationales Medizintechnikunternehmen - Ziehm Imaging GmbH
1 Monat
2013-05 - 2013-05

Workshop zur Erstellung eines BSI-konformen Notfallhandbuchs (BCM)

Referent
Referent
  • Erstellen eines BSI-konformen Notfallhandbuchs und praktische Umsetzung nach IT-Grundschutz.

  • Vorsorgepflichten bezüglich Notfälle. Anforderungen an eine Notfallvorsorge. Konzepte entwickeln und das Notfallhandbuch entwerfen. 

  • Wie sieht eine vorschriftsmäßige Notfallplanung aus? Wie sind die Pläne zu erarbeiten – und wie werden adäquate Maßnahmen umgesetzt, eingeführt und fortgeführt? Durchführung regelmäßiger Notfallübungen. 
Schulungsanbieter WEKA
3 Monate
2013-01 - 2013-03

Vorbereitung Zertifizierung nach ISO27001 Grundschutz BSI

Projektleiter
Projektleiter

Vorbereitung auf eine ISO27001 Grundschutzzertifizierung eines kleinen mittelständigen IT-Dienstleister. Das Projekt läuft über einen Zeitraum von 15 Monaten und ist in verschiedene Teilprojekte gegliedert. Als Projektleiter identifiziere ich die Handlungsfelder gemäß des BSI Standards 100-1 und die Vorgehensweise nach BSI-Standard 100-2.

 

Teilprojekt 1:

Erhebung des IST-Zustand und Projektplanung

Das erste Teilprojekt beschäftigt sich mit der IST-Aufnahme des Dokumentenstatus sowie der Übersicht aller IT-Komponenten. Als Ergebnis wurde gemeinsam mit den Geschäftsführern ein grober Projektplan mit Meilensteinen erarbeitet.

Teilprojekt 2:

Der Basis-Sicherheits-Check dient an dieser Stelle zu 2 Zwecken:

  • Kennenlernen des Unternehmens
  • IST und SOLL-Aufnahme mit der Ableitung des Maßnahmenkataloges.
  • Durch Dokumentenprüfung, Interview und in Augenscheinnahme wurden die Informationen erhoben und anschließend behoben.

Teilprojekt 3:

Im Teilprojekt 3 werden die notwendigen Vorgehensweisen und Maßnahmen umgesetzt, damit ein zertifizierungsfähiger IT-Verbund entsteht

kleiner mittelständischer IT-Dienstleister ? PK-IS-Revision
14 Jahre
1999-04 - 2013-03

Angestelltenverhältnis ? Projekte im Rahmen der IT-Leitungsfunktion

IT-Mitarbeiter und ab 2002 IT-Gruppen-Leiter
IT-Mitarbeiter und ab 2002 IT-Gruppen-Leiter

Tätigkeiten im Bereich der Informationssicherheit (neben den grundlegenden steuernden Leitungs-Tätigkeiten)

  • Etablierung der IT-Sicherheitsprozesse nach IT-Grundschutz
  • Durchführung von Schutzbedarfs- und Risikoanalysen nach IT-Grundschutz
  • Erstellung von IT-Sicherheitskonzepten
  • Erstellung von IT-Sicherheitsanalysen gemäß IT-Grundschutz
  • Datenschutzanalysen
  • Initiierung, Integration und Überwachung der Einhaltung aller Regelungen und Maßnahmen zur IT-Sicherheit (Informationssicherheit) und Datensicherheit
  • Sicherstellung der Integration des IT-Sicherheitsmanagements in bestehende Organisationsstrukturen und Abläufe gemäß IT-Grundschutz
  • Sensibilisierungsmaßnahmen/Security-Schulungen der Mitarbeiter und Nachweisführung
  • Erstellung und kontinuierliche Optimierung aller notwendigen Arbeitsan-weisungen und Konzepte zu Zutritt, Zugang, Zugriff, Eigenprogrammierungen, IT-Outsourcing, Softwaretests, Datensicherung, Virenschutz, IT-Strategie und IT-Leitlinie, etc.
  • Durchführung von laufenden Prüfungen/Audits und Kontrollmaßnahmen im Rahmen eines selbst erstellten IKS (Internes Kontroll-System)
  • Aufbau und Pflege eines Notfallmanagements und Erstellung von Notfallhandbüchern
  • Notfallvorsorgekonzept mit Notfallvorsorgemaßnahmen
  • Durchführung von Schutzbedarfsfeststellungen und Risikoinventuren
  • etc.

     

Detaillierte Auflistung der wichtigsten Projekte auf den folgenden Seiten.

Genossenschaftsbank in Nürnberg
3 Monate
2012-08 - 2012-10

Ablösung Multifunktionsgeräte/Faxgeräte

Projektleiter
Projektleiter

Vor dem Hintergrund der auslaufenden Leasing-Verträge der bestehenden Bürogeräte wurden diese erneut ausgeschrieben. Dabei wurde dann auch eine Optimierung der Gerätelandschaft realisiert (Drucker-Zentralisierung).

Die Umstellung der Verträge/Geräte wurde termingerecht durchgeführt.

3 Monate
2012-05 - 2012-07

Wechsel des Wertetransportunternehmens (WTU)

Projektleiter
Projektleiter

Aufgrund der kurzfristig bekannt gewordenen Insolvenz des WTU musste ein neues Unternehmen gefunden werden. Das Risiko, dass die Bank ihre Kunden nicht mehr mit Geld versorgen könnte war sehr groß. Aus diesem Grund wurde zu diesem Projekt ein externer Berater hinzugezogen. Nach Ausschreibung, Einholung von Referenzen und wirtschaftlichen Auskünften konnte ein neuer WTU empfohlen werden. Dieser wurde dann problemlos und zeitgerecht zum 1.7.2012 eingesetzt.

1 Monat
2012-01 - 2012-01

Umzug der Zentrale in eine Zwischenlösung

Projektleiter
Projektleiter

Die gesamte IT-Technik, Sicherheitstechnik, TK-Hardware etc. musste an einem Wochenende im Januar in einen Ausweichstandort (Zwischen-lösung) umziehen. Da dies nicht allein mit zwei Admins zu bewerkstelligen war, wurde eine Ausschreibung erstellt und aus drei Anbietern gewählt. Nach Abwägung Wirtschaftlichkeit und Referenzen wurde diese Dienstleistung dann outgesourct und zusammen mit diesem erfolgreich umgesetzt.

6 Monate
2011-08 - 2012-01

Betriebs-/Sicherheitskonzept für eine ?Zwischenlösung?

Projektleiter
Projektleiter

Durch den beschlossenen Neubau der Zentrale musste eine Zwischenlösung (Ausweichstandort) gefunden werden. Für diese Zwischenlösung mussten alle notwendigen Absicherungsmaßnahmen eingeplant und umgesetzt werden. Hierzu wurden aufgrund der vorliegen Gebäudepläne alle Zutrittsterminals, Meldeanlagen (Einbruch, Überfall) und Videoüberwachungsanlagen eingeplant und abgestimmt. Auch wurde eine Verschlüsselung der LAN-Anbindung zwischen einem alten Gebäudeteil und der Zwischenlösung notwendig.

Alle Maßnahmen und technischen Lösungen wurden termingerecht zum Umzug im Januar 2012 fertig gestellt.

7 Monate
2011-03 - 2011-09

Zusätzlicher Einsatz von Banknoten-Recyclern in den Filialen

Projektleiter
Projektleiter

Die bisher eingesetzten Einzahlungsgeräte waren aufgrund des Alters und der schwachen Verfügbarkeit zum Austausch vorgesehen worden. Da jedoch Recycler eine zusätzliche Auszahlungsmöglichkeit für die Kunden bieten, wurde der Austausch durch Recycler untersucht. Unter Berücksichtigung aller Kosten, Vor- und Nachteile wurde der Einsatz der Recycler empfohlen und genehmigt. Der Austausch der Geräte wurde termingerecht durchgeführt.

6 Monate
2011-01 - 2011-06

Umstellung LAN-Anbindungen

Projektleiter
Projektleiter

Aufgrund eines neu verhandelten Rahmenvertrages durch das Rechenzentrum mussten alle WAN-Anbindungen umgestellt werden. umgesetzt. Hierzu wurde eine neue Netzwerktechnik für die Standleitungen zum Rechenzentrum und zu den Filialen eingeführt („MPLS“ – Multi-Protocol Label Switching). Nach den notwendigen Routererweiterungen konnte die Umstellung erfolgreich und termingerecht durchgeführt werden.

1 Monat
2011-03 - 2011-03

Erstellung einer Empfehlung zur privaten Nutzung betrieblicher Kommunikationsmittel (Telefonie, Handys, Internet, E-Mail)

Realisierer
Realisierer

Es kamen immer wieder Fragen von Mitarbeitern, ob beispielsweise die Handys für private Nutzung verwendet werden dürfen. Erhalten Beschäftigte von ihrem Arbeitgeber betriebliche Kommunikationsmittel (z.B. Telefon, PC, Internet, E-Mail, Mobiltelefon etc.) stellt sich die Frage, auf welcher gesetzlichen Grundlage die dabei entstehenden Verkehrs-Daten noch überwacht werden können bzw. dürfen. Dem Vorstand wurden die Vor- und Nachteile aufgezeigt und empfohlen, hier keine Abweichung zu bestehenden Anweisungen zuzulassen und die private Nutzung dieser Kommunikationsmittel weiterhin zu verbieten. Dem wurde zugestimmt

3 Monate
2010-10 - 2010-12

Einführung bandlose Datensicherung

Projektleiter
Projektleiter

Aufgrund von häufigen Problemen mit der Datensicherung auf Magnetbändern (Bänder defekt, vergessen, etc.) und dem folgenden hohen Betriebsaufwand (Ticketbearbeitung, Nachsicherungen) wurde in Zusammenarbeit mit dem Rechenzentrum nach einer alternativen Backuplösung gesucht. Nach der Untersuchung der verschiedenen Möglichkeiten wurde die Lösung „Atempo Time Navigator“ beschlossen und erfolgreich eingeführt. Bei dieser Lösung der bandlosen Datensicherung werden die Daten aller Filial-Server über das Netzwerk zentral auf einem Sicherungsserver in der Zentrale gesichert

3 Monate
2010-10 - 2010-12

Umstellung auf Office 2007

Projektleiter
Projektleiter

Der Umstieg von Office 97 auf Office 2007 war notwendig und im Rahmen der Sparda-Gruppe einheitlich beschlossen worden. Im Vorfeld dieser Umstellung mussten alle Vorlagen, Dokument etc. mit der neuen Version getestet und ggf. angepasst werden. Dazu wurden mit den Anwendern die Dokumente analysiert die Umstellung geplant. Es wurden Handouts, Schulungsmaßnahmen und WBTs organisiert. Nach einer Testphase für die Anwender konnte die Umstellung erfolgreich ohne Probleme durchgeführt werden.

5 Monate
2010-07 - 2010-11

Migration von Lotus Notes 6 auf Version 8

Projektleiter
Projektleiter

Durch die Einstellung des Support der Firma Lotus war die Migration notwendig. Dadurch waren verschiedene Herausforderungen zu meistern: erhöhte Hardwareanforderungen (Server und Clients) sowie neue Benutzeroberflächen (Umstellung für Anwender). Es wurden daraufhin die Arbeitsplatzrechner getauscht, Handouts für die Mitarbeiter erstellt sowie Schulungen für sog. „Power-User“ angeboten.

3 Monate
2010-08 - 2010-10

Austausch PC-Clients

Projektleiter
Projektleiter

Aufgrund von zu erwartenden neuen Anwendungen war die eingesetzte PC-Hardware nicht mehr den Anforderungen gewachsen. Aus diesem Grund mussten ca. 2/3 aller eingesetzten Arbeitsplatz-PCs kurzfristig ersetzt werden (ca. 200). Da dies nicht allein mit zwei Admins zu bewerkstelligen war, wurde eine Ausschreibung erstellt und aus drei Anbietern gewählt. Nach Abwägung Wirtschaftlichkeit und Referenzen wurde diese Dienstleistung dann outgesourct und erfolgreich umgesetzt.

Unter anderem wurde aus dem Grundschutzbaustein „Outsourcing“ Vorgehensweis bei der Auswahl des Dienstleister berücksichtigt.

5 Monate
2010-01 - 2010-05

Datenbank (MS-Access) zur Erfassung von Aufwendungen und Kostenstellenzuordnungen

Realisierer
Realisierer
  • Erstellung einer relationalen Datenbank unter MS-Access zur Erfassung der täglichen Aufwände der IT-Mitarbeiter.

  • Die Tätigkeiten wurden erfasst in Verbindung mit Zuordnung der anfordernden Stelle (Kostenstelle).

  • Erstellung von Standard- und individuellen Abfragen (Berichten) aus der Datenbank.

  • Anschließend über die Monate Optimierungen und Anpassung der Datenbank.

  • Diese wurde ein Werkzeug zur Berichterstattung gegenüber der Leitung und Controlling.

Aus- und Weiterbildung

Aus- und Weiterbildung

  • "Staatlich geprüfter Betriebswirt (DV)" (BWL mit Schwerpunkt Datenverarbeitung-Informatik, Auszeichnung mit dem Meisterpreis der bayerischen Staatsregierung
  • Organisationsprogrammierer
  • Zertifizierter IT-Manager (ADG)
  • IT-Sicherheitsmanager (ADG Akademie Deutscher Genossenschaften)
  • Zertifizierter Datenschutzbeauftragter DSB TÜV-Süd
  • EU-DSGVO (EU-Datenschutz-Grundverordnung)
  • ISO 27001 - Implementation
  • ISO 27001 - Lead-Auditor
  • absolvierte Auditoren-Schulung zum IT-Sicherheitskatalog nach § 11 (1a) EnWG
  • ITIL V3 Foundation
  • PCI DSS Zertifizierungs-Vorbereitung
  • Sicherheitsüberprüft nach Ü2

Kompetenzen

Kompetenzen

Top-Skills

Lead-Auditor ISO 27001 Aufbau und Implementierung ISMS nach ISO 27001 (Richtlinien, Prozesse, ...) Notfallmanagement nach BSI (100-4 und DER.4) Risikomanagement KRITIS Prüfungen nach §8 A BSIG Aufbau eines Notfallmanagements und Erstellung von Notfallhandbüchern IT-Sicherheitsgesetz Erstellung von Sicherheitskonzepten und Dokumenten nach BSI und ISO 27001 Durchführung von Audits (ISO 27001)

Produkte / Standards / Erfahrungen / Methoden

Arbeitsanweisungen
Auditoren-Schulung zum IT-Sicherheitskatalog nach § 11 (1a) EnWG
Bank SB-Automaten (SB-Geräte: Geldautomaten, Kontoauszugsdrucker, Recycler)
Bank-Organisation
BCM (Notfallmanagement - Notfallhandbuch)
BSI IT-Grundschutz Implementation
Business Continuity Management
Datenanalysen
Datenschutzbeauftragter
Erstellung von Konzepten zur Informationssicherheit (Sicherheitskonzepte)
EU-DSGVO
Informationssicherheitsbeauftragter
ISMS-Einführung/-Optimierung
ISO 27001 - Implementation
ISO 27001 - Zertifizierter Lead Auditor
IT-Manager
IT-Projektmanagement
IT-Richtlinien/Leitlinien
IT-Sicherheitsmanager
IT-Strategie
ITIL V3 Foundation
Kenntnisse Kreditwesengesetz (KWG)
Kenntnisse Risikomanagement (MaRisk)
Kenntnisse von ISO 9001
Notfallmanagement BCM (Notfallhandbuch nach BSI)
Outssourcing von Dienstleistungen
PCI-DSS Zertifizierungs-Vorbereitung
Prüfungen und Kotrollmaßnahmen IKS
Risk-Management (Risikoinventuren, Risikoanalysen)
Schutzbedarfsanalysen
Sensibilisierungsmaßnahmen (Security-Schulungen) - Awareness
Sicherheitsanalysen
Sicherheitstechnik
Steuerung von Dienstleistern
Strukturanalysen

Betriebssysteme

Mac OS
Windows

Datenbanken

Access
xBase

Datenkommunikation

Ethernet
Internet, Intranet
Router
TCP/IP
Windows Netzwerk

Hardware

Banken-Sicherheitstechnik (Alarm, Video, Zutrittssystme)
Banken-Technik (SB-Geräte)
Macintosh
PC

Branchen

Branchen

Energieversorungsunternehmen

Banken, Sparkassen

Telekommunikation

Callcenter

Versicherungen

Behörden

Ämter

etc.

Vertrauen Sie auf GULP

Im Bereich Freelancing
Im Bereich Arbeitnehmerüberlassung / Personalvermittlung

Fragen?

Rufen Sie uns an +49 89 500316-300 oder schreiben Sie uns:

Das GULP Freelancer-Portal

Direktester geht's nicht! Ganz einfach Freelancer finden und direkt Kontakt aufnehmen.