Konzeption und Aufbau eines übergreifenden Security Prozesses im Rahmen der Einführung eines Security Operation Centers (SOC)
Konzeption und Steuerung der Implementierung von Security Controls mit den Fachabteilungen basierend auf dem Standard der CIS-Controls
Übernahme des internen Beauftragten für das integrierte Managementsystem (IMS) basierend auf ISO 9001 und ISO 27001
Begleitung von Fachthemen: Schwachstellenmanagement (Nessus), IAM, Network Security (insb. IDS/IPS, WAF, Segmentierung), Data Protection / Datenschutz, Security Event Management
Strukturanalysen, Schutzbedarfsfeststellungen, Risikoanalysen auf Basis IT-Grundschutz für Behörden
Grundschutz-Checks für verschiedene Ministerien und Fachverfahren sowohl für Fachverfahren wie technische Verfahren
Sicherheitskonzeption für technische Verfahren
Administration des GRC Tools HiScout
GAB-Analyse bzgl. Stand und Status der Informationssicherheit
Berichtsebene in Richtung Management / Stakeholder
Definition der Regelwerke für Informationssicherheit
Erstellen von Betriebsdokumentationen
Projektverantwortlich für den Aufbau des ISMS
Implementierung von ISO 27001, SOC2 sowie HIPAA, Begleitung der Zertifizierungen bzw. Auditierungen
Technische Schwachstellenbewertung, Penetration-Tests sowie Risikoanalysen der IT-Infrastruktur bzw. Applikationen
Umsetzung von AWS-Security Maßnahmen, einschl. Tools wie Guard Duty, AWS Security Hub, AWS config, WAF, Shield und Cloud Watch
Risikoanalysen im Rahmen des Managementsystems
Erstellung technischer Konzepte sowie Definition von Maßnahmen (AWS, Development Tool-Chain, Release/Deployment-Prozess)
Durchführung Schulungen und Awareness-Trainings
Bewertung von Sicherheitsvorfällen
Umsetzung von Anforderungen für Cloud Security auf Basis von BSI C5, Business Continuity BCM gemäß ISO 22301, und ISO 27001, 27017 , 27018, 27019
Umsetzung von Produktzertifizierungen für China: Chinese Cyber Security Law und CCPS-Zertifizierung
Umsetzung von SOC1 und SOC2 Zertifizierungen
Steuerung von Projektkonsolidierungen
Aufbau von Datenschutzmanagement nach ISO 27701
Tätigkeiten in den Projekten:
Das Projekt hatte unter anderem folgende Inhalte:
Auditierung von Kunden zur Herstellung von Labortechnik
Auditierung von Betreibern von Rechenzentren
Auditierung eines Kunden, welcher embedded Geräte für die öffentliche Hand produziert
Auditierung von Kunden, welche Steueranlagen im Industrieumfeld betreiben
Netzwerk- und Schwachstellen-Scans der Infrastruktur, u.a. zum Asset-Discovery im OT-Umfeld
OWASP-Prüfungen von Schnittstellen und Web-Apps
Threat Analysis basierend auf gängigen Standards
Penetration-Tests von Infrastruktur-Landschaften (IT und OT)
Statische Code-Analysen auf Schwachstellen und IT-Security Fehlern
Threat-Modelling für IT-Systeme und Anwendungen
Risikoanalysen von IT- und OT-Infrastrukturen basierend auf diversen Standards, insb. MITRE ICS und Attack, IEC 62443, ISO 27034, NERC-CIP, CIS Critical Security Controls
Definition von Scope und Fokus von Penetration-Testing-Anforderungen
Unterstützung bei der Implementierung von SIEM-Systemen (hauptsächlich Splunk, ELK/Elastic Stack) sowie Erstellung von Analysen und Dashboards
Bewertung von Security Event Management / SIEM-Prozessen im Rahmen kritischer Infrastrukturen
Begleitung des Auswahlverfahrens sowie Ausschreibungsprozesses im Rahmen Bankrechtlicher Vorgaben
Konzeption der Integration in die IT-Infrastruktur, einschließlich des SIEM-Systems
Planung und Realisierung Proof-of-Concept
Aufbau eines Security Operation Center-Betriebs für eine Bank
Implementierung von SIEM-Use Cases in Elastic Stack / Kibana
Definition von Runbooks
Durchführung von Schwachstellescans
Bewertung von Schwachstellen und Alarmen basierend auf dem Security Incident Management-Prozess / SOC-Analyst einschl. Threat Analysis / Intelligence
Etablierung eines Schwachstellenmanagement-Prozesses
Auswahl und Konfiguration eines Schwachstellen-Scanners (Rapid7 InsightVM)
Inhaltlich verantwortlich für die Aufgaben eines Informationssicherheitsbeauftragten
Einführung von Prozessen und Überwachung auf Basis der IEC 62443 unter Berücksichtigung der bestehenden Managementsysteme
Weiterentwicklung und Verbesserung des ISMS
Überarbeitung der Richtlinien und Betriebs-Dokumentationen
Basis: IT-Grundschutz
Erstellen von IT-Sicherheitskonzepten für einen Rechenzentrumsbetreiber im Behördenumfeld
Risikoanalysen auf Basis IT-Grundschutz
Betriebskonzepte für Themen im Bereich Storage, Logging, Backup, Archivierung
Begleitung in der Richtlinienentwicklung und Dokumentation der Betriebsprozesse
Workshops mit den Fachabteilungen
Maßnahmendefinition mit den Verantwortlichen auf Basis der Analyse
Beratung des Kunden bei Projekten der Informationssicherheit im Rahmen der Umsetzung von Maßnahmen zu Audit-Findings
Verstehen und Aufbereiten von Anforderungen aller Stakeholder, Kommunikation von Ergebnissen
Migration einer alten zu einer neuen PKI (Public Key Infrastructure)
Durchführung einer Strukturanalyse gemäß BSI-Grundschutz
Konzeption von Vulnerability-Management-Prozessen- und Systemen
Konzeption von Exit-Strategien
Konzeption von Log-Überwachung durch SIEM-Systeme sowie Langzeitarchivierung
Einführung eines Security Operation Centers (SOC) sowie Incident Response Prozesses gemäß regulatorischer Anforderung
Beratung des Kunden im Rahmen der SOC-Prozesse
Definition von Anforderungen
Begleitung der Ausschreibung zur Anbieterauswahl
Begleitung beim Proof of Concept
Mithilfe bei der Bearbeitung der Informationssicherheitsregelungen des Konzern-ISMS im Rahmen der SOC- und CSIRT-Prozesse
Definition und Überarbeitung von Use-Cases
diverse Firmen mit kürzeren Einsätzen und Projektlaufzeiten von 25 bis 50 Tagen sowie Auditdurchführungen als berufener Auditor die Zert-Stellen TÜV Süd, TÜV Saarland, GUTCert:
Beratung des Kunden im Rahmen von Informationssicherheit und IT-Sicherheit
Einführung eines ISMS auf der ISO 27001 zum Teil BSI-Grundschutz-lastig
Externe Auditierung für das Zertifizierungsverfahren von Unternehmen auf Basis ISO 27001, ISO 9001, TISAX, §8a und BSI-Kritis-V, §11 1a EnWG als Lead-Auditor und Co-Auditor
Durchführung von GAP-Audits und internen Audits im Kundenauftrag
Durchführen von Lieferantenaudits im Kundenauftrag
Durchführen von Penetration-Tests und Security Assessments im Rahmen der Projektaufträge
Entwerfen von Konzepten zu den Themen Netzwerksicherheit, Härtung von Hard- du Software-Infrastruktur, Awareness-Kampagnen
Durchführen von Schulungen im Rahmen des ISMS-Themen-Komplexes einschl. Datenschutz
Beratung des Kunden im Rahmen von Informationssicherheit und IT-Sicherheit
Begleitung bei der Einführung eines ISMS und Aufstellung der Smart Meter Gateway-Administrator-Zertifizierung (SMGW-A) auf Basis der TR-03109
Mithilfe bei der Bearbeitung der Informationssicherheitsregelungen des Konzern-ISMS
Stakeholder Management
Beratung des Kunden im Rahmen von Informationssicherheit und IT-Sicherheit
Einführung eines ISMS auf Basis der Konzernvorgaben und der ISO 27001
Unterstützung des CISOs bei den durchzuführenden Tätigkeiten
Etablierung eines Informationssicherheits-Managementsystems (ISMS), Definition von Schutzzielen und Erstellung sowie Weiterentwicklung von Informationssicherheitsvorgaben
Einschätzung von Gefährdungen, Durchführung von Schutzbedarfs- und Risikoanalysen
Unterstützung der Fachbereiche bei der Erstellung und Umsetzung von Informationssicherheitsmaßnahmen und Qualitätssicherung der Ergebnisse
SCRUM Master
Multiprojektmanagement
Kunde: DIS AG
Einsatzort: Berlin
Rolle: Leiter Bereich Consulting & Projektmanagement in Berlin
Aufgaben:
6 Monate: Projektmanagement
Einsatzort: Hamburg und Berlin
Rolle: Interims Manager
Kunde: Axel Springer AG
Aufgaben:
Technisches Umfeld:
komplexe Systemlandschaft in dezentralen Rechenzentren aus heterogener Hardware von SUN Solaris bis Windows Server, SAN, HDS, diverse Webserver, Terminals und tausende von Workstations (Windows und MacOS) sowie die unterschiedlichsten verlagsrelevanten Applikationen
1 Monat: Email-Management und Backup-Lösung
Rolle: Projektleiter
Kunde: BP
Aufgaben:
Technisches Umfeld:
MS Exchange, Lotus Notes, Active Directory, MS Outlook 2007, Email-Archivierungslösungen von EMC²
3 Monate: Beratung
Rolle: Berater
Kunde: Cornelsen
Aufgaben:
Technisches Umfeld:
Office-Tools insbesondere Excel und MS Project, Rational Rose, betrachtete Technologien betrafen Fragen der Migration von Legacy-Anwendungen, deren Kapselung und Bereitstellung als Service sowie die Migration der Hardware
Kunde: New Impact AG
Einsatzort: Bern, Schweiz
Rolle: Leiter IT
Aufgaben:
4 Monate: Softwareentwicklungsprojekt mit Webauftritt
Rolle: Projektleiter
Kunde: GastroBern
Aufgaben:
eingesetzte Produkte:
Virtuelle Maschinen (vmware), verteiltes System mit Apache, MySQL, PHP sowie Schnittstelle zu einem Mobilfunkbetreiber, CMS Typo3
6 Monate: Softwareentwicklungsprojekt mit Imperia (CMS)
Rolle: Projektleiter
Kunde: Schweizer Polizei-Department EJPD
Aufgaben:
eingesetzte Produkte:
Virtuelle Maschinen (vmware) als Entwicklungsplattform Eclipse, Oracle Datenbanken, Java-Templating-System, Perl- und JavaScript
Wechsel-Motivation:
eigene Kündigung, da Unternehmen vor der Beinahe-Insolvenz
Kunde: Yener Marketing und Vertrieb
Einsatzort: Berlin
Rolle: IT-Berater
Aufgaben:
12 Monate: Softwareentwicklungsprojekt Business-2-Business System
Rolle: Projektleitung und Entwickler
Aufgaben:
Technologisches Umfeld:
Hoch verfügbare Linux Server (Debian), Apache Webserver, MySQL Datenbanken, Entwicklungsumgebung PHP, Java/J2EE mit verschiedenen Entwicklungsplattformen einschließlich Eclipse, Adobe FLASH, Visual Studio und ASP und ASP.NET
? SANS Public Cloud Security
? Datenschutz-Beauftragter
? IT-Grundschutz-Berater
? Azure Pentester
2021:
SANS Public Cloud Security
Datenschutz-Beauftragter
IT-Grundschutz-Berater
Azure Pentester
2019:
SIEM, Splunk, Elastic Stack
CISSP (ISC2)
Certified Ethical Hacker (CEH)
Certified Security Analyst (ECSA)
ITIL v4 Update Schulung
IT-Grundschutz Praktiker
2018:
Promotion im Bereich Managementsysteme
B3S Standard, TüvIT
Auditorenschulung gemäß ITSicherheitskatalog der Bundesnetzagentur
2015:
ISO 27001 Lead Auditor, IRCA
ISO 9001 Lead Auditor, IRCA
Promotion (nebenberuflich) im Bereich Managementsysteme i.A.
2014:
IT-Sicherheitsbeauftragter, TÜV Rheinland
IT-Security-Manager, TÜV Rheinland
2012:
Führungskräftetraining, borisgloger
Weiterbildung im Bereich öffentlicher Ausschreibungen
2010:
SCRUM Master Zertifizierung & Product Owner-Weiterbildung, Scrum Alliance
2009:
EMC² SourceOne Email-Management Professional
2008:
PMP ? Project Management Professional, PMI
Verhandlungsführung und Vertriebsstrategie, Pfersich The Value Company
ITIL, CMMI
2007:
Weiterbildung im Bereich ITIL und CMMI, SERVIEW GmbH
2005-2006:
MBA - Master of Business Administration
Studienorte: Steinbeis School of Management and Innovationen, STERN School of Business, SDA Bocconi
2001-2004:
Bachelor of Science der Informatik
FH Brandenburg (Abschluss mit Auszeichnung)
1999-2000:
Diplom Produktionsleitung
Kaskeline Film Akademie, Berlin
Audits und Informationssicherheit:
Audits für ISO 27001, §8a, ISO 27019, §11 1a EnWG, TISAX, ISO 9001
Entwicklung und Prüfung von Projekten, Strategien, Prozessen und Systemen im Bereich der Informations-sicherheit und IT-Security
Schreiben von IT-Sicherheits-Konzepten und Fachbeiträgen
Security-Assessments und Penetration-Testing
RZ-Betrieb und Bewertung
Beratung zur Einführung von ISMS auf Basis von IT-Grundschutz (BSI 200-er) und nativer ISO 27001
Aufbau Security Operation Center / SIEM-Prozessen
Durchführung von Schulungen
Spezialbereiche:
IT- und betriebswirtschaftliche Betrachtung und Konzeption von Lösung
Projekte, z.B.:
Sicherheit in der Sofwareentwicklung und der IT-Infrastruktur
Aufbau SOC / Incident Response und CSIRT
Cloud-Security
Netzwerk-Infrastruktur-Sicherheit
Red Teaming / Blue Teaming
Malware Forensic und Reverse Engineering
Common Criteria-Zertifizierungen
Modellierung, Analyse und Optimierung von Prozessen
Prozess-Standards und Reifegradmodelle (BSI Grundschutz (BSI 100-1-4, ISO 9001, ISO 27001, CMMI, Risikomanagement)
Coaching und Trainings
Kernkompetenz:
Koordination
Beratung
T-Security
Persönlichkeit:
zielstrebig
diplomatisch
verantwortungsbewusst
vertrauensvoll
IT-Security und Informationssicherheit:
Seit 2010: Erfahrung im Aufbau / Optimierung von sicheren Prozessen auf Basis unterschiedlicher Standards der IT- und Informationssicherheit. Schwerpunkte:
Security Assessments & Penetration Testing
Umsetzung von Common Criteria-Zertifizierungsumfeld
Beratung von Unternehmen zur Einführung von Managementsystemen (ISMS / ISO 27001, ISO 9001, TISAX, kritische Infrastrukturen nach §8a und IT-Sikat)
ISO 27001 auf Basis BSI IT-Grundschutz
Durchführen von Schulungen in verschiedenen Themen, ISO 27001 /Awareness Trainings.
Security Assessments and Penetration Testing, auch im Industrie-Umfeld
Security Operation Center (SOC)-Aufbau und SIEM-Einführung (u.a. ELK und Splunk-Erfahrung)
Sichere Software-Entwicklung (Secure Coding)
Cloud Security (Azure, AWS)
Bewertung und Konzeption von Rechenzentren im Rahmen von Informationssicherheit
IT-Forensik (u.a. Malware-Analysis).
Vulnerability Management (verschiedene Tools Nessus, Rapid7 etc.)
Auditerfahrung:
Ca. 7 Jahre Auditerfahrung (intern, wie extern) vornehmlich in den Bereichen kritischer Infrastrukturen, Produktentwicklung, Dienstleistung, Rechenzentrumsbetrieb ? Fokus ISO 27001, ISO 9001, §8a, ISO 27019, §11 1a EnWG, TISAX (im Auftrag, u.a. von TÜV Süd).
IT-Architektur und Softwareentwicklungsprozesse :
IT-Architekturbewertung basierend auf Standards wie TOGAF, CORBA, EAP, NAF. Sicherheit in Softwareentwicklungsprozessen, statische Code-Analysen, Threat Modelling
SCRUM:
Zertifiziert als Scrum Master und Erfahrung in der Arbeit mit Scrum Teams.
Projektmanagement:
10 Jahre Erfahrung im klassischen Projektmanagement, Projektplanung-, Steuerung und Controlling (u.a. gemäß PMI-Knowledge-Areas)
Teamleitung und Coaching:
Teamleitungserfahrung in verschiedenen Projekten mit bis zu 30 Mitarbeitern, u.a. in Softwareentwicklungs-Teams wie auch im Rechenzentrumsumfeld. Coaching-Erfahrung.
Anforderungsanalyse, Prozessanalyse, Schreiben:
Erstellen von Lasten und Pflichtenheften, Analysieren von Prozessen und IT-Architekturen, Moderieren von Workshops, Autor von Fachartikel sowie Buchautor
Kunden:
Spezialgebiete der letzten Jahre:
ISMS-Einführung auf Basis von BSI Grundschutz oder ISO 27001-nativ
Auditor und Berater für die ISO 9001, ISO 27001, ISO 27019, §8a und TISAX, ISO/IEC 27701
Erfahrung mit dem NIST-Framework und NIST-Assessments
Aufbau Security Operation Center (SOC) sowie Cyber Security Incident Response Teams (CSIRT), Produkte u.a. Splunk, Greenbone, Nessus, Fireeye, Elastic Search, Elastic Security, Kabana etc.
SIEM / Splunk Experte
Umsetzung Technischer Richtlinien für Hardware- und Softwareentwicklungsprodukte (inkl. Common Criteria Zertifizierungen u.a. auch TR 03109)
Durchführung von Risikoanalysen, IT-Security-Assessments, Penetration-Tests, Vulnerability-Assessments
Erarbeitung von Sicherheitskonzepten für Netzwerkinfrastruktur und IT-Systeme (einschl. von IT-Architekturen und Softwareentwicklungs-Best-Practises, z.B. Secure Coding)
Veröffentlichen von Fachartikeln / Autoren-Tätigkeiten
Projektmanagement und Teamleitungstätigkeiten mit Personalverantwortung für Teams bis 30 Personen
Projektleitung für komplexe Projekte (Anforderungsanalyse, Umsetzung, Qualitätssicherung)
Anforderungsanalysen und Schnittstelle fachliche Anforderung und IT-Umsetzung
Prozessoptimierung (ITIL, COBIT)
Erfahrungen als Scrum-Master und Product-Owner für Produktentwicklungen
Chinese Cyber Law-Erfahrung
DSGVO - Datenschutzgrundverordnung - externer Datenschutzbeauftragter
Sonstige Themen und Schlagworte in diesem Zusammenhang:
IT Security / Sicherheit / Krypographie / Common Critera / PKI Lösungen
Einführung von ISMS, u.a. im Bereich kritischer Infrastrukturen (Kritis-V)
Auditor for IT-Sicherheitskatalog gem. §11 Ia EnWG, Prüfnachweisen gem. §8a BSIG,
Vorbereitung und Audits nach BSI Grundschutz und Grunschutzkataloge
Beratung im Bereich Datenschutz / Datenschutzgrundverordnung /DSGVO)
Cloud Security (AWS)
ITIL, ISO 20000-Wissen sowie Erfahrung im Bereich COBIT
ISO 21434
ISO 22301 BCM
IT Security Manager (zertifziert)
Penetration Testing Erfahrung (Certified Ethical Hacker Zertifizierung)
IT Sicherheitsbeauftragter (zertifiziert)
Certified Ethical Hacker (CEH)
IT-Forensik-, Requirement Engineering-Erfahrung sowie Wissen in Malware Analysis
SCADA und Feldbussystem-Sicherheit, Industrie 4.0 Security
Incident Management und den Aufbau von CIRTs
Etablierung von Security Operations Center (SOC) einschl. notwendiger Systeme (SIEM, IDS/IPS, Vulnerability Management)
Agile Methoden inkl. Scaled Agile Framework SAFe
Multi Projektmanagement (PMI / PMP und SCRUM-Master zertifiziert) und PMO Aufbau
Automotive: SAE J3061, ISO/SAE 21434, TISAX
Erfahrungen:
2015-05 - heute
Rolle: Berater für Informationssicherheit, Auditor, Trainer, Autor
Aufgaben:
Projekte u.a. im Umfeld von KRITIS-Unternehmen gemäß BSI-Gesetz, im Behördenumfeld sowie im Bereich Banking und Cloud-Provider
2013-10 - 2016-01
Rolle: Leiter Software / IT Security
2012-04 - 2013-10
Rolle: Hauptabteilungsleiter IT
2010-10 - 2012-03
Rolle: IT-Projektmanager/Scrum Master
2007-09 - 2010-10
Rolle: Partner Unternehmensberater, Consultant und Projektmanager
Kunde: DIS AG / Berlin
Aufgaben:
Projekteinsätze u.a. bei: Axel Springer AG / Berlin als IT- Leiter des Service Desk
2005-05 - 2007-08
Rolle: Gesamtleiter der IT-Abteilung
2003-11 - 2005-05
Rolle: IT-Berater
2001-03 - 2001-07
Rolle: Technischer Support
2010 - heute
Rolle: freiberuflicher Berater, u.a. in Auftrag anderer Unternehmen
Aufgaben:
Selbständiger Berater für Informationssicherheit & Auditor ISO 9001 / 27001
Tätigkeiten als Geschäftsführer:
Operative Geschäftsführung des Unternehmens: Aufbau von Teams und Infrastruktur, Entwicklung von Produkten und Marktauftritt
Projekteinsätze im Umfeld der IT-Security mit Fokus auf der Etablierung von Blue Teaming-Aktivitäten (Defensive Prozesse und Technologien) zur Abwehr von Cyberangriffen.
Durchführung von Red Teaming-Prozessen, darunter Penetration Tests und Sicherheitsanalysen für Unternehmen.
Beratung beim Aufbau von Security Operation Centern und Einführung von SIEM-Systemen sowie Aufbau von Computer Incident Response Teams (CSIRT)
Branchen und Projekte:
Sicherheitsevaluation von Systemen und Netzwerken für Betreiber von Anlagen
Beratung von Kunden der FINTEC-Branche bei der Umsetzung von Compliance-Anforderungen
Umsetzung eines Datenschutzmanagementsystems auf Basis ISO 27701
Entwicklung von Sicherheitskonzepten, u.a. basierend auf IT-Grundschutz für einen Finanzdienstleister
Tätigkeiten in den Projekten:
Auditor für ISO 9001 und ISO 27001, §8a, ISO 27019, §11 1a EnWG, TISAX (Kunden vornehmlich im Umfeld von Betreibern kritischer Infrastrukturen und Kunden für den Betrieb von Rechenzentren)
Beratung von Unternehmen der kritischen Infrastrukturen in Bezug auf Informationssicherheit und der Erfüllung des IT-Sicherheitsgesetzes
Aufbau SIEM / SOC-Prozesse sowie SOC-Analysten-Arbeit
Beratung von Kunden im Rahmen von Informationssicherheit und IT-Sicherheit
Beratung von Unternehmen in Fragen von Zertifizierungen nach BSI IT-Grundschutz, ISO 9001, ISO 27001, Business Continuity Management, ITIL und Risikomanagement
Security Assessments und Penetration-Testing von IT- und Netzwerkarchitekturen von Kunden Projektvorbereitung für die Auditierung von SOC1 und SOC2, BCM / ISO 22301 sowie ISO 27001, ISO 27017, ISO 27018
Projektleitertätigkeiten für Kunden
Auditierung von Kunden im Bereich ISO 9001 und 27001, TISAX, KritisV, B3S
Publikation, Tätigkeiten und Aktivitäten gern auf Anfrage
Konzeption und Aufbau eines übergreifenden Security Prozesses im Rahmen der Einführung eines Security Operation Centers (SOC)
Konzeption und Steuerung der Implementierung von Security Controls mit den Fachabteilungen basierend auf dem Standard der CIS-Controls
Übernahme des internen Beauftragten für das integrierte Managementsystem (IMS) basierend auf ISO 9001 und ISO 27001
Begleitung von Fachthemen: Schwachstellenmanagement (Nessus), IAM, Network Security (insb. IDS/IPS, WAF, Segmentierung), Data Protection / Datenschutz, Security Event Management
Strukturanalysen, Schutzbedarfsfeststellungen, Risikoanalysen auf Basis IT-Grundschutz für Behörden
Grundschutz-Checks für verschiedene Ministerien und Fachverfahren sowohl für Fachverfahren wie technische Verfahren
Sicherheitskonzeption für technische Verfahren
Administration des GRC Tools HiScout
GAB-Analyse bzgl. Stand und Status der Informationssicherheit
Berichtsebene in Richtung Management / Stakeholder
Definition der Regelwerke für Informationssicherheit
Erstellen von Betriebsdokumentationen
Projektverantwortlich für den Aufbau des ISMS
Implementierung von ISO 27001, SOC2 sowie HIPAA, Begleitung der Zertifizierungen bzw. Auditierungen
Technische Schwachstellenbewertung, Penetration-Tests sowie Risikoanalysen der IT-Infrastruktur bzw. Applikationen
Umsetzung von AWS-Security Maßnahmen, einschl. Tools wie Guard Duty, AWS Security Hub, AWS config, WAF, Shield und Cloud Watch
Risikoanalysen im Rahmen des Managementsystems
Erstellung technischer Konzepte sowie Definition von Maßnahmen (AWS, Development Tool-Chain, Release/Deployment-Prozess)
Durchführung Schulungen und Awareness-Trainings
Bewertung von Sicherheitsvorfällen
Umsetzung von Anforderungen für Cloud Security auf Basis von BSI C5, Business Continuity BCM gemäß ISO 22301, und ISO 27001, 27017 , 27018, 27019
Umsetzung von Produktzertifizierungen für China: Chinese Cyber Security Law und CCPS-Zertifizierung
Umsetzung von SOC1 und SOC2 Zertifizierungen
Steuerung von Projektkonsolidierungen
Aufbau von Datenschutzmanagement nach ISO 27701
Tätigkeiten in den Projekten:
Das Projekt hatte unter anderem folgende Inhalte:
Auditierung von Kunden zur Herstellung von Labortechnik
Auditierung von Betreibern von Rechenzentren
Auditierung eines Kunden, welcher embedded Geräte für die öffentliche Hand produziert
Auditierung von Kunden, welche Steueranlagen im Industrieumfeld betreiben
Netzwerk- und Schwachstellen-Scans der Infrastruktur, u.a. zum Asset-Discovery im OT-Umfeld
OWASP-Prüfungen von Schnittstellen und Web-Apps
Threat Analysis basierend auf gängigen Standards
Penetration-Tests von Infrastruktur-Landschaften (IT und OT)
Statische Code-Analysen auf Schwachstellen und IT-Security Fehlern
Threat-Modelling für IT-Systeme und Anwendungen
Risikoanalysen von IT- und OT-Infrastrukturen basierend auf diversen Standards, insb. MITRE ICS und Attack, IEC 62443, ISO 27034, NERC-CIP, CIS Critical Security Controls
Definition von Scope und Fokus von Penetration-Testing-Anforderungen
Unterstützung bei der Implementierung von SIEM-Systemen (hauptsächlich Splunk, ELK/Elastic Stack) sowie Erstellung von Analysen und Dashboards
Bewertung von Security Event Management / SIEM-Prozessen im Rahmen kritischer Infrastrukturen
Begleitung des Auswahlverfahrens sowie Ausschreibungsprozesses im Rahmen Bankrechtlicher Vorgaben
Konzeption der Integration in die IT-Infrastruktur, einschließlich des SIEM-Systems
Planung und Realisierung Proof-of-Concept
Aufbau eines Security Operation Center-Betriebs für eine Bank
Implementierung von SIEM-Use Cases in Elastic Stack / Kibana
Definition von Runbooks
Durchführung von Schwachstellescans
Bewertung von Schwachstellen und Alarmen basierend auf dem Security Incident Management-Prozess / SOC-Analyst einschl. Threat Analysis / Intelligence
Etablierung eines Schwachstellenmanagement-Prozesses
Auswahl und Konfiguration eines Schwachstellen-Scanners (Rapid7 InsightVM)
Inhaltlich verantwortlich für die Aufgaben eines Informationssicherheitsbeauftragten
Einführung von Prozessen und Überwachung auf Basis der IEC 62443 unter Berücksichtigung der bestehenden Managementsysteme
Weiterentwicklung und Verbesserung des ISMS
Überarbeitung der Richtlinien und Betriebs-Dokumentationen
Basis: IT-Grundschutz
Erstellen von IT-Sicherheitskonzepten für einen Rechenzentrumsbetreiber im Behördenumfeld
Risikoanalysen auf Basis IT-Grundschutz
Betriebskonzepte für Themen im Bereich Storage, Logging, Backup, Archivierung
Begleitung in der Richtlinienentwicklung und Dokumentation der Betriebsprozesse
Workshops mit den Fachabteilungen
Maßnahmendefinition mit den Verantwortlichen auf Basis der Analyse
Beratung des Kunden bei Projekten der Informationssicherheit im Rahmen der Umsetzung von Maßnahmen zu Audit-Findings
Verstehen und Aufbereiten von Anforderungen aller Stakeholder, Kommunikation von Ergebnissen
Migration einer alten zu einer neuen PKI (Public Key Infrastructure)
Durchführung einer Strukturanalyse gemäß BSI-Grundschutz
Konzeption von Vulnerability-Management-Prozessen- und Systemen
Konzeption von Exit-Strategien
Konzeption von Log-Überwachung durch SIEM-Systeme sowie Langzeitarchivierung
Einführung eines Security Operation Centers (SOC) sowie Incident Response Prozesses gemäß regulatorischer Anforderung
Beratung des Kunden im Rahmen der SOC-Prozesse
Definition von Anforderungen
Begleitung der Ausschreibung zur Anbieterauswahl
Begleitung beim Proof of Concept
Mithilfe bei der Bearbeitung der Informationssicherheitsregelungen des Konzern-ISMS im Rahmen der SOC- und CSIRT-Prozesse
Definition und Überarbeitung von Use-Cases
diverse Firmen mit kürzeren Einsätzen und Projektlaufzeiten von 25 bis 50 Tagen sowie Auditdurchführungen als berufener Auditor die Zert-Stellen TÜV Süd, TÜV Saarland, GUTCert:
Beratung des Kunden im Rahmen von Informationssicherheit und IT-Sicherheit
Einführung eines ISMS auf der ISO 27001 zum Teil BSI-Grundschutz-lastig
Externe Auditierung für das Zertifizierungsverfahren von Unternehmen auf Basis ISO 27001, ISO 9001, TISAX, §8a und BSI-Kritis-V, §11 1a EnWG als Lead-Auditor und Co-Auditor
Durchführung von GAP-Audits und internen Audits im Kundenauftrag
Durchführen von Lieferantenaudits im Kundenauftrag
Durchführen von Penetration-Tests und Security Assessments im Rahmen der Projektaufträge
Entwerfen von Konzepten zu den Themen Netzwerksicherheit, Härtung von Hard- du Software-Infrastruktur, Awareness-Kampagnen
Durchführen von Schulungen im Rahmen des ISMS-Themen-Komplexes einschl. Datenschutz
Beratung des Kunden im Rahmen von Informationssicherheit und IT-Sicherheit
Begleitung bei der Einführung eines ISMS und Aufstellung der Smart Meter Gateway-Administrator-Zertifizierung (SMGW-A) auf Basis der TR-03109
Mithilfe bei der Bearbeitung der Informationssicherheitsregelungen des Konzern-ISMS
Stakeholder Management
Beratung des Kunden im Rahmen von Informationssicherheit und IT-Sicherheit
Einführung eines ISMS auf Basis der Konzernvorgaben und der ISO 27001
Unterstützung des CISOs bei den durchzuführenden Tätigkeiten
Etablierung eines Informationssicherheits-Managementsystems (ISMS), Definition von Schutzzielen und Erstellung sowie Weiterentwicklung von Informationssicherheitsvorgaben
Einschätzung von Gefährdungen, Durchführung von Schutzbedarfs- und Risikoanalysen
Unterstützung der Fachbereiche bei der Erstellung und Umsetzung von Informationssicherheitsmaßnahmen und Qualitätssicherung der Ergebnisse
SCRUM Master
Multiprojektmanagement
Kunde: DIS AG
Einsatzort: Berlin
Rolle: Leiter Bereich Consulting & Projektmanagement in Berlin
Aufgaben:
6 Monate: Projektmanagement
Einsatzort: Hamburg und Berlin
Rolle: Interims Manager
Kunde: Axel Springer AG
Aufgaben:
Technisches Umfeld:
komplexe Systemlandschaft in dezentralen Rechenzentren aus heterogener Hardware von SUN Solaris bis Windows Server, SAN, HDS, diverse Webserver, Terminals und tausende von Workstations (Windows und MacOS) sowie die unterschiedlichsten verlagsrelevanten Applikationen
1 Monat: Email-Management und Backup-Lösung
Rolle: Projektleiter
Kunde: BP
Aufgaben:
Technisches Umfeld:
MS Exchange, Lotus Notes, Active Directory, MS Outlook 2007, Email-Archivierungslösungen von EMC²
3 Monate: Beratung
Rolle: Berater
Kunde: Cornelsen
Aufgaben:
Technisches Umfeld:
Office-Tools insbesondere Excel und MS Project, Rational Rose, betrachtete Technologien betrafen Fragen der Migration von Legacy-Anwendungen, deren Kapselung und Bereitstellung als Service sowie die Migration der Hardware
Kunde: New Impact AG
Einsatzort: Bern, Schweiz
Rolle: Leiter IT
Aufgaben:
4 Monate: Softwareentwicklungsprojekt mit Webauftritt
Rolle: Projektleiter
Kunde: GastroBern
Aufgaben:
eingesetzte Produkte:
Virtuelle Maschinen (vmware), verteiltes System mit Apache, MySQL, PHP sowie Schnittstelle zu einem Mobilfunkbetreiber, CMS Typo3
6 Monate: Softwareentwicklungsprojekt mit Imperia (CMS)
Rolle: Projektleiter
Kunde: Schweizer Polizei-Department EJPD
Aufgaben:
eingesetzte Produkte:
Virtuelle Maschinen (vmware) als Entwicklungsplattform Eclipse, Oracle Datenbanken, Java-Templating-System, Perl- und JavaScript
Wechsel-Motivation:
eigene Kündigung, da Unternehmen vor der Beinahe-Insolvenz
Kunde: Yener Marketing und Vertrieb
Einsatzort: Berlin
Rolle: IT-Berater
Aufgaben:
12 Monate: Softwareentwicklungsprojekt Business-2-Business System
Rolle: Projektleitung und Entwickler
Aufgaben:
Technologisches Umfeld:
Hoch verfügbare Linux Server (Debian), Apache Webserver, MySQL Datenbanken, Entwicklungsumgebung PHP, Java/J2EE mit verschiedenen Entwicklungsplattformen einschließlich Eclipse, Adobe FLASH, Visual Studio und ASP und ASP.NET
? SANS Public Cloud Security
? Datenschutz-Beauftragter
? IT-Grundschutz-Berater
? Azure Pentester
2021:
SANS Public Cloud Security
Datenschutz-Beauftragter
IT-Grundschutz-Berater
Azure Pentester
2019:
SIEM, Splunk, Elastic Stack
CISSP (ISC2)
Certified Ethical Hacker (CEH)
Certified Security Analyst (ECSA)
ITIL v4 Update Schulung
IT-Grundschutz Praktiker
2018:
Promotion im Bereich Managementsysteme
B3S Standard, TüvIT
Auditorenschulung gemäß ITSicherheitskatalog der Bundesnetzagentur
2015:
ISO 27001 Lead Auditor, IRCA
ISO 9001 Lead Auditor, IRCA
Promotion (nebenberuflich) im Bereich Managementsysteme i.A.
2014:
IT-Sicherheitsbeauftragter, TÜV Rheinland
IT-Security-Manager, TÜV Rheinland
2012:
Führungskräftetraining, borisgloger
Weiterbildung im Bereich öffentlicher Ausschreibungen
2010:
SCRUM Master Zertifizierung & Product Owner-Weiterbildung, Scrum Alliance
2009:
EMC² SourceOne Email-Management Professional
2008:
PMP ? Project Management Professional, PMI
Verhandlungsführung und Vertriebsstrategie, Pfersich The Value Company
ITIL, CMMI
2007:
Weiterbildung im Bereich ITIL und CMMI, SERVIEW GmbH
2005-2006:
MBA - Master of Business Administration
Studienorte: Steinbeis School of Management and Innovationen, STERN School of Business, SDA Bocconi
2001-2004:
Bachelor of Science der Informatik
FH Brandenburg (Abschluss mit Auszeichnung)
1999-2000:
Diplom Produktionsleitung
Kaskeline Film Akademie, Berlin
Audits und Informationssicherheit:
Audits für ISO 27001, §8a, ISO 27019, §11 1a EnWG, TISAX, ISO 9001
Entwicklung und Prüfung von Projekten, Strategien, Prozessen und Systemen im Bereich der Informations-sicherheit und IT-Security
Schreiben von IT-Sicherheits-Konzepten und Fachbeiträgen
Security-Assessments und Penetration-Testing
RZ-Betrieb und Bewertung
Beratung zur Einführung von ISMS auf Basis von IT-Grundschutz (BSI 200-er) und nativer ISO 27001
Aufbau Security Operation Center / SIEM-Prozessen
Durchführung von Schulungen
Spezialbereiche:
IT- und betriebswirtschaftliche Betrachtung und Konzeption von Lösung
Projekte, z.B.:
Sicherheit in der Sofwareentwicklung und der IT-Infrastruktur
Aufbau SOC / Incident Response und CSIRT
Cloud-Security
Netzwerk-Infrastruktur-Sicherheit
Red Teaming / Blue Teaming
Malware Forensic und Reverse Engineering
Common Criteria-Zertifizierungen
Modellierung, Analyse und Optimierung von Prozessen
Prozess-Standards und Reifegradmodelle (BSI Grundschutz (BSI 100-1-4, ISO 9001, ISO 27001, CMMI, Risikomanagement)
Coaching und Trainings
Kernkompetenz:
Koordination
Beratung
T-Security
Persönlichkeit:
zielstrebig
diplomatisch
verantwortungsbewusst
vertrauensvoll
IT-Security und Informationssicherheit:
Seit 2010: Erfahrung im Aufbau / Optimierung von sicheren Prozessen auf Basis unterschiedlicher Standards der IT- und Informationssicherheit. Schwerpunkte:
Security Assessments & Penetration Testing
Umsetzung von Common Criteria-Zertifizierungsumfeld
Beratung von Unternehmen zur Einführung von Managementsystemen (ISMS / ISO 27001, ISO 9001, TISAX, kritische Infrastrukturen nach §8a und IT-Sikat)
ISO 27001 auf Basis BSI IT-Grundschutz
Durchführen von Schulungen in verschiedenen Themen, ISO 27001 /Awareness Trainings.
Security Assessments and Penetration Testing, auch im Industrie-Umfeld
Security Operation Center (SOC)-Aufbau und SIEM-Einführung (u.a. ELK und Splunk-Erfahrung)
Sichere Software-Entwicklung (Secure Coding)
Cloud Security (Azure, AWS)
Bewertung und Konzeption von Rechenzentren im Rahmen von Informationssicherheit
IT-Forensik (u.a. Malware-Analysis).
Vulnerability Management (verschiedene Tools Nessus, Rapid7 etc.)
Auditerfahrung:
Ca. 7 Jahre Auditerfahrung (intern, wie extern) vornehmlich in den Bereichen kritischer Infrastrukturen, Produktentwicklung, Dienstleistung, Rechenzentrumsbetrieb ? Fokus ISO 27001, ISO 9001, §8a, ISO 27019, §11 1a EnWG, TISAX (im Auftrag, u.a. von TÜV Süd).
IT-Architektur und Softwareentwicklungsprozesse :
IT-Architekturbewertung basierend auf Standards wie TOGAF, CORBA, EAP, NAF. Sicherheit in Softwareentwicklungsprozessen, statische Code-Analysen, Threat Modelling
SCRUM:
Zertifiziert als Scrum Master und Erfahrung in der Arbeit mit Scrum Teams.
Projektmanagement:
10 Jahre Erfahrung im klassischen Projektmanagement, Projektplanung-, Steuerung und Controlling (u.a. gemäß PMI-Knowledge-Areas)
Teamleitung und Coaching:
Teamleitungserfahrung in verschiedenen Projekten mit bis zu 30 Mitarbeitern, u.a. in Softwareentwicklungs-Teams wie auch im Rechenzentrumsumfeld. Coaching-Erfahrung.
Anforderungsanalyse, Prozessanalyse, Schreiben:
Erstellen von Lasten und Pflichtenheften, Analysieren von Prozessen und IT-Architekturen, Moderieren von Workshops, Autor von Fachartikel sowie Buchautor
Kunden:
Spezialgebiete der letzten Jahre:
ISMS-Einführung auf Basis von BSI Grundschutz oder ISO 27001-nativ
Auditor und Berater für die ISO 9001, ISO 27001, ISO 27019, §8a und TISAX, ISO/IEC 27701
Erfahrung mit dem NIST-Framework und NIST-Assessments
Aufbau Security Operation Center (SOC) sowie Cyber Security Incident Response Teams (CSIRT), Produkte u.a. Splunk, Greenbone, Nessus, Fireeye, Elastic Search, Elastic Security, Kabana etc.
SIEM / Splunk Experte
Umsetzung Technischer Richtlinien für Hardware- und Softwareentwicklungsprodukte (inkl. Common Criteria Zertifizierungen u.a. auch TR 03109)
Durchführung von Risikoanalysen, IT-Security-Assessments, Penetration-Tests, Vulnerability-Assessments
Erarbeitung von Sicherheitskonzepten für Netzwerkinfrastruktur und IT-Systeme (einschl. von IT-Architekturen und Softwareentwicklungs-Best-Practises, z.B. Secure Coding)
Veröffentlichen von Fachartikeln / Autoren-Tätigkeiten
Projektmanagement und Teamleitungstätigkeiten mit Personalverantwortung für Teams bis 30 Personen
Projektleitung für komplexe Projekte (Anforderungsanalyse, Umsetzung, Qualitätssicherung)
Anforderungsanalysen und Schnittstelle fachliche Anforderung und IT-Umsetzung
Prozessoptimierung (ITIL, COBIT)
Erfahrungen als Scrum-Master und Product-Owner für Produktentwicklungen
Chinese Cyber Law-Erfahrung
DSGVO - Datenschutzgrundverordnung - externer Datenschutzbeauftragter
Sonstige Themen und Schlagworte in diesem Zusammenhang:
IT Security / Sicherheit / Krypographie / Common Critera / PKI Lösungen
Einführung von ISMS, u.a. im Bereich kritischer Infrastrukturen (Kritis-V)
Auditor for IT-Sicherheitskatalog gem. §11 Ia EnWG, Prüfnachweisen gem. §8a BSIG,
Vorbereitung und Audits nach BSI Grundschutz und Grunschutzkataloge
Beratung im Bereich Datenschutz / Datenschutzgrundverordnung /DSGVO)
Cloud Security (AWS)
ITIL, ISO 20000-Wissen sowie Erfahrung im Bereich COBIT
ISO 21434
ISO 22301 BCM
IT Security Manager (zertifziert)
Penetration Testing Erfahrung (Certified Ethical Hacker Zertifizierung)
IT Sicherheitsbeauftragter (zertifiziert)
Certified Ethical Hacker (CEH)
IT-Forensik-, Requirement Engineering-Erfahrung sowie Wissen in Malware Analysis
SCADA und Feldbussystem-Sicherheit, Industrie 4.0 Security
Incident Management und den Aufbau von CIRTs
Etablierung von Security Operations Center (SOC) einschl. notwendiger Systeme (SIEM, IDS/IPS, Vulnerability Management)
Agile Methoden inkl. Scaled Agile Framework SAFe
Multi Projektmanagement (PMI / PMP und SCRUM-Master zertifiziert) und PMO Aufbau
Automotive: SAE J3061, ISO/SAE 21434, TISAX
Erfahrungen:
2015-05 - heute
Rolle: Berater für Informationssicherheit, Auditor, Trainer, Autor
Aufgaben:
Projekte u.a. im Umfeld von KRITIS-Unternehmen gemäß BSI-Gesetz, im Behördenumfeld sowie im Bereich Banking und Cloud-Provider
2013-10 - 2016-01
Rolle: Leiter Software / IT Security
2012-04 - 2013-10
Rolle: Hauptabteilungsleiter IT
2010-10 - 2012-03
Rolle: IT-Projektmanager/Scrum Master
2007-09 - 2010-10
Rolle: Partner Unternehmensberater, Consultant und Projektmanager
Kunde: DIS AG / Berlin
Aufgaben:
Projekteinsätze u.a. bei: Axel Springer AG / Berlin als IT- Leiter des Service Desk
2005-05 - 2007-08
Rolle: Gesamtleiter der IT-Abteilung
2003-11 - 2005-05
Rolle: IT-Berater
2001-03 - 2001-07
Rolle: Technischer Support
2010 - heute
Rolle: freiberuflicher Berater, u.a. in Auftrag anderer Unternehmen
Aufgaben:
Selbständiger Berater für Informationssicherheit & Auditor ISO 9001 / 27001
Tätigkeiten als Geschäftsführer:
Operative Geschäftsführung des Unternehmens: Aufbau von Teams und Infrastruktur, Entwicklung von Produkten und Marktauftritt
Projekteinsätze im Umfeld der IT-Security mit Fokus auf der Etablierung von Blue Teaming-Aktivitäten (Defensive Prozesse und Technologien) zur Abwehr von Cyberangriffen.
Durchführung von Red Teaming-Prozessen, darunter Penetration Tests und Sicherheitsanalysen für Unternehmen.
Beratung beim Aufbau von Security Operation Centern und Einführung von SIEM-Systemen sowie Aufbau von Computer Incident Response Teams (CSIRT)
Branchen und Projekte:
Sicherheitsevaluation von Systemen und Netzwerken für Betreiber von Anlagen
Beratung von Kunden der FINTEC-Branche bei der Umsetzung von Compliance-Anforderungen
Umsetzung eines Datenschutzmanagementsystems auf Basis ISO 27701
Entwicklung von Sicherheitskonzepten, u.a. basierend auf IT-Grundschutz für einen Finanzdienstleister
Tätigkeiten in den Projekten:
Auditor für ISO 9001 und ISO 27001, §8a, ISO 27019, §11 1a EnWG, TISAX (Kunden vornehmlich im Umfeld von Betreibern kritischer Infrastrukturen und Kunden für den Betrieb von Rechenzentren)
Beratung von Unternehmen der kritischen Infrastrukturen in Bezug auf Informationssicherheit und der Erfüllung des IT-Sicherheitsgesetzes
Aufbau SIEM / SOC-Prozesse sowie SOC-Analysten-Arbeit
Beratung von Kunden im Rahmen von Informationssicherheit und IT-Sicherheit
Beratung von Unternehmen in Fragen von Zertifizierungen nach BSI IT-Grundschutz, ISO 9001, ISO 27001, Business Continuity Management, ITIL und Risikomanagement
Security Assessments und Penetration-Testing von IT- und Netzwerkarchitekturen von Kunden Projektvorbereitung für die Auditierung von SOC1 und SOC2, BCM / ISO 22301 sowie ISO 27001, ISO 27017, ISO 27018
Projektleitertätigkeiten für Kunden
Auditierung von Kunden im Bereich ISO 9001 und 27001, TISAX, KritisV, B3S
Publikation, Tätigkeiten und Aktivitäten gern auf Anfrage
Direktester geht's nicht! Ganz einfach Freelancer finden und direkt Kontakt aufnehmen.