1 von 91.893 IT- und Engineering-Profilen

Fachlicher Schwerpunkt dieses Freiberuflers

IT-Revision, IT-Audit, Compliance, z/OS-Revision, SAP-Revision mit CheckAud, Datenschutz, Process-Mining, Data-Mining, IT-Security, ISO 27001, BSI IT-Grundschutz, Penetrationstest

verfügbar ab
01.10.2018
verfügbar zu
100 %
davon vor Ort
100 %
PLZ-Gebiet, Land

D0

D1

D2

D3

D4

D5

D6

D7

D8

D9

Österreich

Schweiz

Einsatzort unbestimmt

Position

Projekte

01/2018 - 06/2018

6 Monate

Unterstützung der internen Revision in den Bereichen ISO 27001 sowie IBM Großrechnerprüfung z/OS mit RACF

Rolle
IT-Revisor
Kunde
LBBW
Einsatzort
Stuttgart
Projektinhalte

Durchgeführte Tätigkeiten:
Prüfung der adäquaten Umsetzung der Anforderungen der ISO 27001 in der Bank.

Darüber hinaus wurde eine Prüfung des IBM Großrechners mit dem Betriebssystem z/OS durchgeführt.

 

Technologie:

Internationale Standards für Informationssicherheitsmanagementsysteme ISO 27001 / ISO 27002

Betriebssystem IBM z/OS in Verbindung mit Security Server RACF

Regulatorische Anforderungen:

MaRisk, BAIT,  ISO 27001

Kenntnisse

ISO 27001

MaRisk

BAIT

Produkte

z/OS

RACF

Programmiersprache R

ACL

01/2018 - 03/2018

3 Monate

ISO 27001 Zertifizierung gem. IT-Sicherheitskatalog Bundesnetzagentur

Rolle
Lead Auditor
Kunde
diverse Energieversorger
Einsatzort
diverse
Projektinhalte

Durchgeführte Tätigkeiten:

Beurteilung der normativen Anforderungen der ISO 27001 (Stufe 1)

Beurteilung der Umsetzung von Maßnahmen gemäß ISO 27001 und ISO 27002 (Stufe 2)
Die Tätigkeiten wurden als LeadAuditor durchgeführt.

 

Technologie:

ISO 27001 sowie ISO 27002

ISO 27019 bei Netzbetreibern

IT-Sicherheitskatalog der Bundesnetzbetreiber

Kenntnisse

ISO 27001

ISO 27002

ISO 27019

IT-Sicherheitskatalog

Produkte

ISO 27001

10/2017 - 12/2017

3 Monate

ISO 27001 Zertifizierungen im Bereich der Energieversorger

Rolle
Lead-Auditor
Kunde
Diverse Energieversorger
Einsatzort
diverse Standorte
Projektinhalte

Durchgeführte Tätigkeiten:

Beurteilung der Systemdokumentation (Stufe 1)

Umsetzung von Maßnahmen gemäß ISO 27001 (Stufe 2)
Die Tätigkeiten wurden als LeadAuditor durchgeführt.

 

Technologie:

ISO 27001 sowie ISO 27002

ISO 27019 bei Netzbetreibern

Kenntnisse

ISO 27001

ISO 27002

ISO 27019

Produkte

ISO 27001

08/2017 - 09/2017

2 Monate

IT-Revision im Bereich IBM iSeries und Zahlungsverkehr

Rolle
IT-Revisor
Kunde
Bremer Kreditbank AG
Einsatzort
Bremen
Projektinhalte

Durchgeführte Tätigkeiten:

Analyse und Bewertung der iSeries Systemparameter unter
Sicherheitsgesichtspunkten, Beurteilung des Change- und Not
fallmanagements.


Aufnahme der Prozesse im Bereich Zahlungsverkehr und Durchführung einer Prozessanalyse, Aufdeckung von Schwachstellen und Verbesserungen.
Erstellung von Revisionsberichten

Technologie:

IBM iSeries

 

Umsetzung der Anforderungen der BaFin an die Informationssicherheit bei Banken unter Berücksichtigung der MaRisk, BAIT sowie ISO 27001.

Kenntnisse

iSeries

Produkte

BAIT

06/2017 - 07/2017

2 Monate

IT-Revision von z/OS und Security Server RACF

Kunde
Commerzbank AG
Einsatzort
Frankfurt am Main
Projektinhalte
  • Erstellung eines Prüfungsprogramms für z/OS und RACF sowie weiteren Themengebieten, z.B. Changemanagement, IT-Betrieb.
  • Bewertung der Systemeinstellungen, beispielsweise anhand von SYS1.PARMLIB, RACF-Systemoptions, Data-Security-Monitor (DSMON), etc.
  • Durchführung der IT-Revision und Unterstützung von Mitarbeitern der Bank im Bereich der Mainframe-Technologie.
Kenntnisse

zSecurity Suite

IBM Betriebssystem z/OS Version 2.2 und Security Server RACF

diverse eigene Prüfprogramme sowie JCL-Jobs

04/2017 - 05/2017

2 Monate

Migrationsprüfung von GES nach Wodis Sigma

Kunde
mehrere Wohnungsbaugenossenschaften
Projektinhalte
  • Abstimmung von Stamm- und Bewegungsdaten, Kontensalden, etc. mit Hilfe von Data-Mining Tools.
  • Erstellung eines Prüfungsberichts
Kenntnisse

ACL-Tool zur Massendatenanalyse

01/2016 - 04/2017

1 Jahr 4 Monate

Projektleitung Einführung eines ISMS gemäß ISO 27001

Kunde
regionaler Energieversorger
Projektinhalte

Externer Informationssicherheitsbeauftragter Projektleitung bezüglich der Einführung und Zertifizierung des Netzbetriebs gemäß ISO 27001

  • Schulung von Mitarbeitern
  • Erstellung Projektplan
  • Auswahl ISMS-Tool
  • Bestimmung des Scopes
  • Erstellung Netzstrukturplan
  • Zusammenstellung der Dokumentationserfordernisse
Kenntnisse

Netzbetrieb mit Hilfe von IDS-Software Windows Server Systeme und Windows Clients

Linux-Derivate

11/2015 - 11/2015

1 Monat

Unterstützung der IT-Revision im Bereich der Prüfung von SAP-Systemen

Kunde
Bank
Einsatzort
Frankfurt am Main
Projektinhalte
  • Analyse der Systemeinstellungen und Berechtigungen von mehreren SAP-Systemen
  • Abstimmung mit den Vorgaben der Bank
  • Analyse des Security Audit Logs
  • Beurteilung des eingesetzten Change-Management-Verfahrens
Kenntnisse

Diverse virtualisierte SAP Systeme ECC 6.0 unter SLES

Oracle-Datenbank

10/2015 - 10/2015

1 Monat

ISO 27001 Re-Zertifizierung

Kunde
IT-Dienstleister
Projektinhalte
  • Sichtung und Beurteilung der vorhandenen Dokumentationsunterlagen
    • beispielweise Netzdiagramm, Arbeitsanweisungen, Konzepte, Sicherheitsrichtlinien
  • Prüfung der Umsetzung der IT-Grundschutz-Maßnahmen vor Ort sowie Erstellung des Auditberichts

Beschreibung:

Der IT-Dienstleister ist zuständig für die Bereitstellung sämtlicher IT-Dienstleistungen innerhalb des Konzerns.

Kenntnisse

Windows Server 2008 und 2012 R2

Linux-Derivate

Oracle- und Microsoft SQL-Datenbanken

Anwendungssysteme SAP

kVASY der SIV AG

08/2015 - 09/2015

2 Monate

Durchführung einer IT-Innenrevision im Bereich Microsoft Windows Server mit Active Directory, Exchange und SharePoint

Kunde
Bank
Einsatzort
Bremen
Projektinhalte
  • Beurteilung der Sicherheitskonzepte gemäß BSI IT-Grundschutz-Vorgaben sowie den relevanten Microsoft Security Guidelines
  • Prüfung der technischen Sicherheitseinstellungen in den Betriebssystemen sowie den jeweiligen Produkten
  • Erstellung eines Revisionsberichtes
Kenntnisse

Microsoft Windows Server 2008/2012 Microsoft Exchange Server 2013

Microsoft SharePoint 2013

04/2015 - 05/2015

2 Monate

Erstellung eines Auditor-Testats der „Einstiegsstufe“ gemäß ISO 27001 auf Basis von IT-Grundschutz des BSI

Kunde
Bank
Einsatzort
Dresden
Projektinhalte
  • Beurteilung der Dokumentation (IT-Infrastruktur, Netzdiagramme, organisatorische Regelungen, Betriebs- und Fachhandbücher)
  • Prüfung der IT-Sicherheit sowie die Umsetzung der IT-Grundschutzmaßnahmen der Stufe A
  • Erstellung eines Audit-Berichts
  • Ausstellung eines Auditor-Testats
Kenntnisse

Microsoft Windows- und Linux-Serverbetriebssysteme

Windows Clients

diverse Datenbankmanagementsysteme (Oracle

MS SQL-Server

MySQL)

Webserver

03/2015 - 03/2015

1 Monat

Durchführung einer IT-Innenrevision im Bereich der IBM Serie I (AS/400)

Kunde
Bank
Einsatzort
Bremen
Projektinhalte

Im Rahmen der IT-Innenrevision wurden die Ordnungsmäßigkeit und Sicherheit der eingesetzten IBM Serie I bei der Bank geprüft. Insbesondere wurden die Systemparameter sowie die Zugriffsberechtigungen der AS/400-Anlage sowie die Dokumentation, Arbeitsanweisungen, Richtlinien, etc. beurteilt und bewertet. Das Ergebnis wurde in einem Revisionsbericht für den Vorstand zusammengestellt.

Kenntnisse

IBM Serie I (ehemals AS/400)

02/2015 - 02/2015

1 Monat

Analyse der IT-Systeme

Kunde
kirchlicher Regionalverband
Einsatzort
Frankfurt am Main
Projektinhalte
  • Aufnahme und Bewertung der IT-Landschaft auf der Grundlage der IT-Grundschutzkataloge des BSI.
Kenntnisse

Erstellung eines Prüfungsberichts für den Vorstand

Aufnahme der IT-Infrastruktur der IT-Prozesse sowie der Kontrollen und Gegenüberstellung mit den Vorgaben der IT-Grundschutzkataloge des BSI

01/2015 - 01/2015

1 Monat

IDW Prüfung gemäß Standard 951

Kunde
Energieversorger
Projektinhalte
  • Selbständige Durchführung einer IDW PS 951 Prüfung im Bereich der Verbrauchsabrechnung eines Energieversorgers
  • Erstellung eines Auditberichts gem. IDW PS 951 Typ A und B.
Kenntnisse

Anwendungssystem Schleupen

Rechenzentrumsbetrieb mit Windows- und Linux-Betriebssystemen und den Datenbankmanagementsystemen Oracle und MS SQL-Server.

12/2014 - 12/2014

1 Monat

Securityaudit

Kunde
Stadtwerke
Projektinhalte

Als IT-Sicherheitsbeauftragter der Stadtwerke werden quartalsweise einzelne Prüfungen im IT-Bereich durchgeführt und an den Geschäftsführer berichtet. Ziel ist es, einen kontinuierlichen Verbesserungsprozess zu etablieren und die Informationssicherheit aufrecht zu erhalten und kontinuierlich zu verbessern.

Kenntnisse

Windows Server 2008 und 2012

IBM AIX

RedHat-Linux

Oracle- und Informix-Datenbank

Schleupen-CS

Schleupen-VA

11/2014 - 11/2014

1 Monat

Revision im Bereich der IT-Steuerung

Kunde
Bank
Einsatzort
Oldenburg
Projektinhalte

Hierbei galt es insbesondere zu beurteilen, ob sich die Geschäftsstrategie der Bank in der IT-Strategie wiederfindet. Darüber hinaus wurde untersucht, wie die IT durch den Vorstand der Bank gesteuert wird.

Aufbauend auf den MaRisk sowie den Kontrollzielen aus CoBIT wurde die Revision im Bereich der IT-Steuerung durchgeführt.

10/2014 - 10/2014

1 Monat

ISO 27001 Erst-Zertifizierung auf Basis von IT-Grundschutz

Kunde
IT-Dienstleister
Einsatzort
Leipzig
Projektinhalte

Auf der Grundlage des BSI Auditierungs- und Zertifizierungs-schemas wurde ein ISO 27001 Zertifizierungsaudit auf Basis von IT-Grundschutz durchgeführt. Der IT-Unternehmen ist ein regionaler IT-Dienstleister in Leipzig mit ca. 160 Mitarbeitern und betreut hauptsächlich kommunale Einrichtungen.

Kenntnisse

Rechenzentrumsbetrieb

Virtualisierungslösungen VMware

Windows Server 2008 und 2008

diverse Linux-Derivate und Datenbanken

etc.

08/2014 - 08/2014

1 Monat

Überwachungsaudit im Rahmen einer ISO 27001 Zertifizierung auf Basis von IT-Grundschutz

Projektinhalte

Im Rahmen einer ISO 27001 Zertifizierung wurde das zweite Überwachungsaudit durchgeführt. Grundlage hierfür bildete die BSI Auditierung- bzw. Zertifizierungsschemata sowie die BSI Standards 100-1 bis 100-3.

Kenntnisse

Windows Server 2008 und 2012

Debian- und RedHat-Linux-Server

Oracle-Datenbanken

Webserver

06/2014 - 06/2014

1 Monat

Penetrationstest

Kunde
Energieversorger
Projektinhalte

Bei dem Pentest sollte der Webauftritt sowie der Zugriff auf die internen Systeme untersucht und Hinweise zu möglichen Schwachstellen aufgezeigt werden.

Kenntnisse

Diverse Pentest-Tools

u.a. Nessus

nmap

OpenVas

Burp

Netsparker

u.a.

Projekthistorie

2006 bis heute

Permanente Projekte im Bereich der Aufnahme, Beurteilung und Umsetzung von IT-Compliance- Anforderungen

Unterstützung von verschiedenen Wirtschaftsprüfungsgesellschaften bei Beratungs- und Prüfungsaufträgen bei diversen Gesellschaften sowie im öffentlichen Bereich

Durchgeführte Tätigkeiten: Aufnahme und Beurteilung von Geschäfts- und IT-Prozessen, Überprüfung hinsichtlich der Einhaltung von IT-Compliance- und IT-Government-An­for­derungen.

Aufnahme der Geschäftsprozesse und Kontrollen sowie Darstellung der wesentlichsten Abläufe mittels ViFlow.

Prüfung der IT-Prozesse von diversen Anwendungs- und IDV-Systeme Aufzeigen von Verbesserungsmöglichkeiten und insbesondere von Kontrollschwächen, teilweise Unterstützung bei der Umsetzung.

Technologie: Diverse IT-Systeme: Windows Server Betriebssysteme mit Active Directory Service (ADS), Unix-Derivate, z/OS-, OS/400-Systeme von IBM sowie diverse IDV-Systeme. Einsatz von Disco zur Geschäftsprozessaufnahme und und ViFlow zur Dokumentation der organisatorischen Abläufe.

_________________________________________________________________________________

Mai 2014                        

 

Projekt: Prozessanalyse im Bereich der elektronischen Marktkommunikation bei den Stadtwerken Villingen-Schwenningen

 

Tätigkeiten:

Selektion der elektronischen Geschäftsprozesse (100 %)  aus einer Oracle-Datenbank. Übernahme dieser Informationen in ein Process-Mining Tool. Visualisierung der Geschäftsprozesse  und Erkennung von Abweichungen. Prüfung und Beurteilung der Abweichungen und Darstellung der Ergebnisse in einem Prüfbericht.

 

Technologie:

Process-Mining Tool Disco von Fluxicon, Oracle-Datenbank, SQL-Abfragen

__________________________________________________________________________________________

 

April bis Mai 2014                           

 

Projekt:

Unterstützung einer Wirtschaftsprüfungsgesellschaft bei der Aufnahmen und Beurteilung im Zusammenhang mit dolosen Handlungen bei einem börsennotierten Unternehmen

 

Tätigkeiten:

Aufnahme der IT-Prozesse sowie der darin befindlichen Kontrollen in den Bereichen Warenwirtschaft, Lagerverwaltung, Finanzbuchhaltung sowie diverser eigenentwickelter IDV-Anwendungen.

Beurteilung der GoBS-Anforderungen, Durchführung von Plausibilisierungen mit Hilfe von ACL.

Process-Mining-Analysen von wesentlichen IT-Prozessen bzw. Geschäftsprozessen zu 100 %.

Aufzeigen von Schwachstellen bzw. fehlenden Kontrollen.

Darstellung der vorgenommenen Manipulationen in Bezug auf Häufigkeit und Volumen sowie monetäre Auswirkungen.

 

Technologie:

Microsoft Windows Server 2008 R2, MS SQL Server 2005, Microsoft NAV 2009 sowie diverse eigenentwickelte IDV-Systeme  (Access-, Excel-,VBAProgramme                               

__________________________________________________________________________________________

 

Februar bis März 2014                   

 

Projekt:

Uterstützung der IT-Innenrevision der DZ-Bank Frankfurt bei der Beurteilung der Informationssicherheit

 

Tätigkeiten:

Moderierung von Themen im Bereich der Informationssicherheit,Aufnahme des Stands der Informationssicherheit und Vergleich mit anderen Banken,Aufnahme der aktuellen Tätigkeiten des Sicherheitsbeauftragten,Beurteilung der Maßnahmen im Bereich der Informationssicherheit hinsichtlich der Einhaltung der MaRisk sowie den diesbezüglichen Anforderungen der BaFin.

Zusammenstellung der wesentlichen Prüfungsergebnisse, insbesondere im Hinblick auf eine angemessene Umsetzung der Vorgaben aus den ISO 27001.

 

Technologie:

Microsoft Windows Server Betriebssysteme sowie Unix-Derivate (Solaris, Linux) sowie diverse Datenbanksysteme.

__________________________________________________________________________________________

 

Januar 2014                        

 

Projekt:

Beurteilung der Ordnungsmäßigkeit und Sicherheit von SAP sowie Schleupen-CS bei einem Stadtwerk

 

Tätigkeiten:

Mit Hilfe von CheckAud for SAP wurde die Ordnungsmäßigkeit und Sicherheit des SAP Systems aufgenommen. Hierbei wurden die Systemeinstellungen beurteilt sowie die vergebenen Berechtigungen analysiert, beispielsweise hinsichtlich Funktionstrennungsaspekten.

Bei Schleupen-CS wurden ebenfalls die Systemeinstellungen sowie die vergebenen Berechtigungen in der Informix-Datenbank sowie auf der Betriebssystemebene von AIX überprüft.

 

Technologie:

SAP-System

Schleupen.CS

Windows-Server

Oracle-Datenbank

__________________________________________________________________________________________

 

Oktober 2010 - Dezember 2013

 

Projekt:
Beratung und Unterstützung im Bereich IT-Security Management

 

Tätigkeiten:
  • Erstellung von IT-Sicherheitsstellungnahmen, 
  • Erstellung von IT-Sicherheitskonzepten, 
  • Erstellung von IT-Sicherheitsexpertise
  • Durchführung von Audits im IT-Bereich, u.a. auch bei externen IT-Dienstleistern

auf der Grundlage von

  • ISO 27001 auf  Basis von IT-Grundschutz sowie dem 
  • Sicheren IT-Betrieb ( SITB )

im Bereich IT-Security Management der Helaba, Frankfurt.

 

Vorgehensweise:

  • Einarbeitung in die betroffenen IT-Systeme bzw. IT-Architektur, 
  • Definition der notwendigen Sicherheitsmaßnahmen gemäß sicherem IT-Betrieb bzw. IT-Grundschutz,
  • Aufzeigen von Sicherheitslücken, 
  • Überprüfung hinsichtlich der Einhaltung der internen IT-Sicherheitsrichtlinien.

 

Technologie:
  • IBM z/OS Systeme, 
  • Microsoft Windows Server-System, 
  • Unix-/Linux-Systeme,
  • diverse Anwendungssysteme
  • Oursourcing bei einem IT-Dienstleister

 

__________________________________________________________________________________________

 

November - Dezember 2013

 

Projekt: Compliance-Prüfung der Prozesse im Bereich Lieferantenwechsel Gas und Strom bei einem Stadtwerk bzw. Energieversorger 

 

Tätigkeiten:
  • Erhebung der Prozesse im Bereich Lieferantenwechsel Gas und Strom
  • Extraktion der Daten aus dem ERP-System Schleupen CS
  • Ermittlung der Prozessinformationen
  • Übergabe an Process Mining Tool DISCO von Fluxicon
  • Analyse der Daten mit Hilfe von DISCO
  • Erstellung Audit-Bericht

 


 

November 2013

 

Projekt:

Aufnahme und Beurteilung der Informationssicherheit in einem 4-5 Sterne Hotel

 

Tätigkeiten:

  • Beurteilung der physischen Sicherheit der Serverräume
  • Prüfung der Sicherheit der Windows Server Systeme, VMware ESXi- bzw. vSpere-Systeme
  • Beurteilung der Datenschutzvorkehrungen
  • Penetrationstest der beiden internen Firewall-Systeme sowie des Webservers
  • Aufzeigen von Verbesserungspotential in Form eines Auditberichts für die Geschäftführung bzw. Aufsichtsrat

 

Technologie:
  • Windows-Server 2003 und 2008
  • Windows Clients unter XP und 2007
  • Linux Systeme
  • VMware Virtualisierung mittels ESXi bzw. vSpere
  • Penetrationstest mit Hilfe von Kali Linux bzw. Backtrack

 


Oktober 2013

 

Projekt:
  • Überwachungsaudit im Rahmen der ISO-Zertifizierung eines Stadtwerkes auf Basis von IT-Grundschutz des BSI

 

Tätigkeit:
  • Aufnahme und Beurteilung der IT-Sicherheitskonzepte und organisatorischen Regelungen gemäß BSI Standard 100-2, Erstellung Auditor-Bericht für das BSI

 

Technologie:
  • Windows Server 2003 und 2008, 
  • Unix-Derivate, 
  • MS SQL- und Oracle Datenbanken, 
  • heterogenes Netz

 

Mai bis Juni 2013

 

Projekt: 
  • Rechenzentrumsprüfung bei der Messe Frankfurt

 

Tätigkeiten:
  • Aufnahme und Bewertung der physischen Sicherheit der Rechenzentren
  • Gebäudesicherheit und Zutrittsregelungen
  • angemessene organisatorische und personelle Regelungen
  • aktuelle und vollständige schriftliche Regelungen, u.a. auch mit Dritten,
  • Beurteilung des Kapazitätsmanagements
  • Einhaltung der vorhandenen Regelungen
  • funktionsfähiges und angemessenes internes Kontrollsystem (IKS)
  • Brandschutzvorkehrungen, 

    • Funktionsfähigkeit der unterbrechungsfreien Stromversorgung
    • Angemessene Klimaanlagen 
    • Beurteilung der Dokumentation hinsichtlich Vollständigkeit und Aktualität 
  • Ausreichende Dimensionierung, insbesondere hinsichtlich der Möglichkeit der Skalierbarkeit
  • Störungsmanagement
    o Vorhandensein von Standardprozessen bzw. Regelungen
    o Berücksichtigung eines angemessenen internen Kontrollsystems
    o vollständige nachvollziehbare Dokumentation von Störungen

  • Erstellung eines detaillierten Revisionsberichts

 

Technologie:
  • VMware-Systeme ESXi bzw. vSphere
  • Windows Server 2003 und 200
  • Linux Systeme
  • Zutrittsschutzsysteme
  • IT-Infrastrukturkomponenten, wie Klimaanlagen, USV-Anlagen, etc.

 


 

 

September 2012

 

Pojekt:
  • ISO-Zertifizierung eines Stadtwerkes auf Basis von IT-Grundschutz des BSI

 

Tätigkeit:
  • Aufnahme und Beurteilung der IT-Sicherheitskonzepte und organisatorischen Regelungen gemäß BSI Standard 100-2, 
  • Erstellung Auditor-Bericht für das BSI
Technologie:
  • Windows Server 2003 und 2008, 
  • Unix-Derivate, 
  • virtuelle Systeme unter VMware
  • MS SQL- und Oracle Datenbanken, 
  • heterogenes Netz
__________________________________________________________________________________________

 

Januar 2011 - Durchführung von Data-Mining Analysen für eine Wirtschaftsprüfungs-
August 2011   /Rechtsanwaltskanzlei im Rahmen von Patentrechtsverletzungen
Tätigkeit:     Abgleich und Plausibilisierung von diversen Datenbeständen mit Hilfe von ACL,
               Monarch, Excel
Technologie:   Individuelle PC und Linux-Tools
__________________________________________________________________________________________

 

Dezember 2009 -
Mai 2010        Erstellung eines IT-Sicherheitskonzeptes gem. ISO 27001 auf

 Basis von IT-Grundschutz für das Bundesanstalt für

 Finanzdienstleistungsaufsicht (BaFin), Bonn und Frankfurt


Tätigkeiten:    Aufnahme der IT-Infrastruktur und Dokumentation im GS-Tool sowie

 Erstellung eines vereinfachten Netzdiagramms

 Beurteilung der getroffenen Sicherheitseinstellungen,

 Erstellung von Sicherheitskonzepten.


Technologie:    IBM Großrechnersysteme mit z/VM und AIX bzw. Linux,

 Windows Server Systeme

       BSI-Standards 100-1 bis 100-3,

 GS-Tool des BSI,

 ISO 27001 Standards




November 2009   Beurteilung der Ordnungsmäßigkeit und Sicherheit eines

 SAP-Systems bei einem IT-Dienstleister mit Hilfe von

 CheckAud for SAP


Tätigkeit       Beurteilung der ordnungsgemäßen Konfiguration, u.a. Systemparameter,

 Systemprotokollierung,

 Prüfung der Sicherheit des SAP-Systems, u.a. Rollen und  Profile,

 Prüfung von Teilen des IT-Betriebes,

 Überprüfung der Wirksamkeit des vorgelegten Berechtigungskonzeptes


Technologie     SAP System, Release 6.0, Module FI, CO, AA, MM, RE-FX, IS-U,

 Windows Server System, MaxDB,


Audit-Tool:     CheckAud for SAP sowie eigene Analysen



September-
Oktober 2009      Prüfung der Datenmigration zwischen zwei SAP-Systemen

Firma/Institut: Unternehmen im Bereich der Hochtechnologie

Tätigkeiten:    Prüfung der Datenmigration anhand der bereitgestellten

 Dokumentationsunterlagen sowie Kontroll- und Abstimmungshandlungen.

  Durchführung eigener Analysetätigkeiten mit Hilfe von ACL.

 Prüfung des neuen Berechtigungskonzeptes sowie der vergebenen

 Zugriffsberechtigungen.


Technologie:      SAP ECC 6.0 mit den Modulen FI, CO, AA, MM, SD, HCM, SRM, PS



August 2009       Erstellung eines Sicherheitskonzeptes für ein Entsorgungsunternehmen.

Tätigkeiten:    Erstellung eines ganzheitlichen IT-Sicherheitskonzeptes, u.a.

 Definition von Sicherheitseinstellungen im Bereich der

 eingesetzten  Betriebssysteme und Datenbanken, Erstellung von

 Berechtigungskonzepten für die Betriebssysteme Windows Server,

 OS/400-System, Datenbanken Oracle, Informix, Microsoft SQL-Server

 und das Anwendungssystem Schleupen

 

Technologie:      Windows Server und Linux-Betriebssysteme

 Oracle-, Informix und Microsoft SQL-Datenbanken



Januar 2009 bis Juli 2009
Firma/Institut: IT-Dientleister im Bereich Telekommunikation
Projekt:        Erstellung eines IT-Sicherheitskonzeptes gemäß ISO 27001 auf Basis von IT-Grundschutz des BSI

Tätigkeit:      Aufnahme der IT-Systeme und Geschäftsprozesse

 Dokumentation im GS-Tool des BSI

 Durchführung einer Risikoanalyse

 Definition von Sicherheitsanforderungen

 Erstellung eines Sicherheitskonzepts

 Ü2 Sicherheitsüberprüfung


Technologie:    diverse Linux-, AIX- und Windows-Betriebssysteme

 Oracle-Datenbanken, OpenLDAP

 GS-Tool

 IT-Grundschutzkataloge

 BSI-Standard 100-1 bis 100-3




Zeitpunkt       Oktober 2008
Firma/Institut: Unterstützung eines regionalen Energieversorgers
Projekt:        Einführung eines Information Security Management Systems (ISMS)

 gemäß ISO 27001 auf der Basis von IT-Grundschutz

 

Tätigkeiten:    Unterstützung bei der Erstellung einer IT-Sicherheitsleitlinie,

 der Beseitigung von externen Prüfungsfeststellungen sowie

 der Risikoeinschätzung und Umsetzung entsprechender Maßnahmen.


Technologie:    Vorgaben des BSI, Bonn:

 BSI-Standard 100-1 Managementsysteme für Informationssicherheit

BSI-Standard 100-2 IT-Grundschutz-Vorgehensweise

        BSI-Standard 100-3 Risikoanalyse auf der Basis von

 IT-Grundschutz,

 IT-Grundschutz-Kataloge




Zeitpunkt       September 2008
Firma/Institut: Gesellschaft aus dem Sparkassensektor 
Projekt:        Prüfung der Ordnungsmäßigkeit und Sicherheit

 des z/OS-Betriebssystems und des Security Servers RACF

 sowie der Datenbanken DB2 unter z/OS bzw. AIX und Oracle

 unter Linux


Technologie:    Betriebssysteme: z/OS, Version 1.9,

 SuSe Linux Enterprise Server, AIX,

Datenbanksysteme: DB2, Version 9.2, Oracle, Version 10g

        Einsatz eigener Audit-Tools im z/OS- bzw. Unix-Umfeld




Zeitpunkt       Juni 2008  
Firma/Institut: Automobilzulieferer
Projekt:        Beurteilung der IT-Sicherheitsvorkehrungen bei einem

 bezüglich der einzuleitenden Maßnahmen hinsichtlich

 BSI- bzw. ISO 27001 Zertifizierung

        Aufnahme der IT-Systeme sowie der Verfügbarkeitsanforderungen

 sowie der vorliegenden Dokumentationsunterlagen,

 Notfallhandbuch, etc.


Technologie:    Windows Server Systeme sowie Linux-Derivate


 

Zeitpunkt       Mai 2008   
Firma/Institut: Bekleidungsindustrie
Projekt:        Beurteilung der IT-Sicherheitsvorkehrungen sowie Erarbeitung

 eines Konzeptes zur Einführung einer IT-Sicherheitsorganisation

 gemäß ISO 27001

 Aufnahme der IT-Systeme sowie der vorhandenen

 Dokumentationen, Quick-Check der Konfiguration der

 vorhandenen IT-Systeme hinsichtlich Sicherheit und

 Verfügbarkeit.


Technologie:    IBM VM- und VSE-Systeme,

 Windows Server Systeme sowie Linux-Derivate




Zeitraum        April 2008 
Firma/Institut: Conergos GmbH, München
Projekt:        Beurteilung der Ordnungsmäßigkeit und Sicherheit

 von SAP-Systemen

 Der Schwerpunkt lag im Bereich der Beurteilung der

 ordnungsgemäßen Konfiguration und Sicherheit der

 eingesetzten SAP-Systeme sowie von Teilen des Betriebes,

 z.B. Changemanagement


Technologie:    SAP System, Release 4.6.c, diverse Module, u.a. IS-U

 IBM AS/400-System, Oracle-Datenbank

        Audit-Tool: CheckAud for SAP




Zeitraum        März 2008  
Firma/Institut: Energiewerken Nord, Lubmin
Projekt:        Beurteilung der Ordnungsmäßigkeit und Sicherheit

 von SAP-Systemen mit Schwerpunkten in den Bereichen der

        Konfiguration und Sicherheit


Technologie:    SAP System, Release 4.6.c, diverse Module, u.a. IS-U

 IBM AS/400-System, Oracle-Datenbank

 



Zeitraum        September 2007 bis November 2007      
Firma/Institut: BearingPoint, Thüga/Conergos, E.ON-IS
Projekt:         Prüfung Ordnungsmäßigkeit von SAP-Systemen

 Aufnahme und Beurteilung der Systemeinstellungen,

 Prüfung des Berechtigungskonzeptes sowie dessen Umsetzung,

 Prüfung der Funktionstrennung sowie SOX-Anforderungen,

 Beurteilung der Dokumentationen und Prozesse.

 Aufzeigen von Verbesserungspotentialen und Unterstützung

 bei der dessen Umsetzung


Technologie:    SAP R/3, Release 4.6c,

 Module u.a. FI, CO, MM, AA, IS-U, HR, SD

 Audit-Tool: CheckAud for SAP




Zeitraum        Januar 2007 bis Mai 2007     
Firma/Institut: IT-Distributor
Projekt:        Reorganisation der IT-Infrastruktur

 Aufnahme der vorhandenen IT-Infrastruktur,

 Analyse der IT-Landschaft sowie der Prozesse,

 Aufzeigen von Verbesserungspotential,

 Erstellung einer neues Plans zur Reorganisation der

 IT-Landschaft


Technologie:    SUN Solaris, Unix-Derivate, Windows Server Betriebssysteme,

 SAP R/3




Zeitraum        Dezember 2006 bis heute
Firma/Institut: div. Wirtschaftsprüfungsgesellschaften
Projekt:        Aufnahme, Beurteilung und Umsetzung von Compliance- und

 IT-Government-Anforderungen bei verschiedenen Gesellschaften,

 u.a. auch im öffentlichen Bereich

Technologie:    Windows 2000 bzw. 2003 Serversysteme mit

 Active Directory Service (ADS), Unix-Derivate,

 ERP-Anwendungssysteme: SAP R/3 Audit mit Hilfe von CheckAud for SAP,

 Microsoft Navision, Schleupen.CS, WILKEN,




Zeitraum:       Januar 2006 bis November 2006
Firma/Institut: Deutsche Telekom AG
Projekt:        Unterstützung von PricewaterhouseCoopers bei der Aufnahme

 und Beurteilung von IT-Prozessen im Großrechnerumfeld im

 Rahmen eines Sarbanes-Oxley Act Projektes (SOX).


Technologe:     Großrechnertechnologie von IBM mit z/OS-Betriebssystem,

 Unix-Derivaten sowie Windows-Serverbetriebssystemen




Zeitraum:       November 2005 bis Dezember 2005
Firma/Institut: Energieversorger
Projekt: Internes Kontrollsystem von SAP R/3

 Projektleitung

 Beurteilung des ordnungsgemäßen SAP R/3-Einsatzes hinsichtlich

 Zugriffssicherheit, Administration, Konfigurationsmanagement,

 Changemanagement, IT-Betrieb, Programmierung


Technologie:    SAP R/3, Version 4.6

        Betriebssystem: AIX

        Datenbanksystem: Oracle



Zeitraum:       September 2005 bis Oktober 2005       
Firma/Institut: IT-Dienstleister einer Bankenorganisation
Projekt:        Betrieb von z/OS, DB2-Datenbanken  sowie Transaktionsmonitor CICS

 Projektleitung

 

 Beurteilung des ordnungsgemäßen IT-Betriebes hinsichtlich

 Administration und Konfiguration, Zugriffssicherheit,

 Changemanagement, IT-Betrieb, Dokumentation


Technologie:    Betriebssystem: z/OS

        Datenbanksystem: DB2

        Transaktionsmonitor: CICS



Zeitraum:       Juni 2005 bis Juli 2005      
Firma/Institut: Internationaler Großkonzern
Projekt:          S.W.I.F.T Zahlungsverkehr

 Projektleitung


 Begleitung der Einführung eines IT-Systems für die Abwicklung des Zahlungsverkehrs mittels S.W.I.F.T.

        Unterstützung in Form von Best Practice Empfehlungen im Rahmen von Workshops.

        Beurteilung der Ordnungsmäßigkeit der Dokumentation sowie der eingesetzten Verfahren.

 Beratung in den Bereichen:

 Technische Implementierung,

 Testkonzeption, -durchführung und -dokumentation,

 Administration und Konfiguration,

 Zugriffssicherheit,

&t:105px;"> IT-Betrieb,

 Verfahrensdokumentation.


Technologie:    Betriebssystem: Windows Server 2000

 Datenbanksystem: Oracle



Zeitraum:       März 2005 bis Juni 2005
Firma/Institut: Finanzdienstleister (Bank)
Projekt:        Sarbanes-Oxley

 Teilprojektleitung


 Beurteilung der allgemeinen Computerkontrollen (General Computer Controls) bei einem großen Finanzdienstleister

 Bei diesem Projekt galt es, die allgemeinen Computerkontrollen (General Computer Controls) bei einem großen Finanzdienstleister in Frankfurt aufzunehmen, zu beurteilen und hinsichtlich der Wirksamkeit der Key-Kontrollen zu testen.

 Darüber hinaus wurde eine Qualitätssicherung der erstellten Dokumentationsunterlagen durchgeführt und Vorschläge zur Prozessoptimierung erarbeitet.

 Im Einzelnen wurden die folgenden Prozesse begutachtet:

 - Analyse und Design,

 - Konzeption, insbesondere Erstellung Fach- und DV-Konzept,

 - Changemanagement (Überleitung Entwicklung-, Integrations- Produktionsumgebung),

 - Testaktivitäten (Testvorhersage, Testdurchführung, Testbeurteilung)

 - Zugriffssicherheit,

 - Konfigurationsmanagement sowie

 - Qualitätsmanagement

 Bei fehlenden bzw. unzureichenden Key-Kontrollen wurden Lösungsvorschläge zur Verbesserung bzw. Implementierung von Key-Kontrollen erarbeitet.



Zeitraum:       November 2004 bis Dezember 2004
Firma/Institut: IT-Dienstleister für Banken
Projekt:        Leistungsverrechnung / Accounting

 Projektleitung


 Bei diesem Projekt galt es, die Leistungsverrechnung bzw. das Accounting bei

 einem IT-Dienstleister für Banken hinsichtlich Vollständigkeit, Richtigkeit und Ordnungsmäßigkeit zu erheben und anschließend zu beurteilen bzw. Schwachstellen aufzudecken.

 Darüber hinaus wurden Maßnahmen zur Qualitätssicherung und zur Prozessoptimierung erarbeitet.

 Hierzu wurden zunächst die Prozesse der Leistungsverrechnung im Großrechnerbereich (IBM Betriebssystem z/OS) erhoben. Insbesondere wurden die Verfahren der Leistungsermittlung anhand von SMF- und IDCAMS-Daten beurteilt. Die auf Kundenseite erhobenen Daten wurden mit Hilfe eigener Verfahren und Tools, wie z.B. ACL, plausibilisiert und hinsichtlich möglicher Fehlerquellen, die die Vollständigkeit und Richtigkeit betreffen, überprüft.

 Schwachstellen in den Prozessen der Leistungsermittlung und Leistungsverrechnung, die ggf. Auswirkungen auf die Vollständigkeit und Richtigkeit der Daten und somit auf die Leistungsverrechnung gegenüber den Kunden haben können, wurden aufgedeckt und mögliche Lösungsvorschläge erarbeitet.

 Darüber hinaus wurde die Zugriffssicherheit auf die Daten und SAS-Programme der Leistungsverrechnung anhand der Informationen aus dem Securitysystem RACF bzw. dem DB2-Datenbanksystem beurteilt und Lösungsvorschläge für mögliche Verbesserungen erarbeitet.

 Ferner galt es, die IT-Prozesse in den Bereichen Changemanagement, Konfigurationsmanagement sowie Test- und Entwicklung zu beurteilen.

 Da die Daten der Leistungsverrechnung sowohl beim IT-Dienstleister als auch dessen Kunden in die Finanzbuchhaltung einfließen wurden die Verfahren der Leistungsverrechnung dahingehend überprüft, ob sie den allgemeinen gesetzlichen Anforderungen, wie z.B. GoBS, FAIT, AO, etc. entsprechen.


Software:         ACL. SQL, SAS, IBM-Utilities, RACF Report Writer


Zeitraum:       November 2004
Firma/Institut: IT-Dienstleister eines Finanzdienstleisters in der Schweiz
Projekt:        Outsourcing von IT-Dienstleistungen

 Teilprojektleitung


 Bei diesem Projekt galt es, nach der Übergabe des IT-Betriebes an einen IT-Dienstleister (Outsourcingnehmer) in der Schweiz, dessen vorhandene Verfahren und Prozesse im IT-Bereich mit Schwerpunkt Großrechnersysteme und RACF-Zugriffssicherheit zu beurteilen.

 In diesem Zusammenhang wurden die folgenden Punkte untersucht:

 RACF-Berechtigungskonzept und -implementierung

 Aufnahme und Beurteilung der implementierten Kontrollen,

 IT-Prozesse im Rechenzentrum des IT-Dienstleisters, wie z.B. Securitypolicy, Risikoklassifizierung von Anwendungssystemen, Backup- und Notfallmaßnahmen, Changmanagement, Konfigurationsmanagement, Netz- und Systemmanagement, Datensicherungskonzeption und -verfahren.


Software:       RACF Report Writer, IBM-Utilities


Zeitraum:       Oktober 2004
Firma/Institut: IT-Dienstleister eines Finanzdienstleisters in Österreich
Projekt:        IT-Prozesse im Rechenzentrum

 Projektleitung


 Gegenstand des Projektes war die Beurteilung der IT-Prozesse in einem Rechenzentrum mit IBM Großrechnersystemen bei einem IT-Dienstleister im Financial-Service-Bereich. Die Projektschwerpunkte laben hierbei in der Beurteilung der folgenden Bereiche:

 Aufbau- und Ablauforganisation,

 Funktionstrennung zwischen Entwicklung- und Produktionssysteme,

 Backup- und Notfallvorkehrungen,

 Systemadministration und -konfiguration im Bereich von z/OS,

 Systemparametrisierung von z/OS, insbesondere Einstellungen in der Program Property Table (PPT), Link Pack Area (LPA), System-Exits und SVC's, UADS-Berechtigungen,

 Einsatz kritischer Systemtools,

 Beurteilung des implementierten Zugriffsschutzes auf Basis von Top Secret.


Software:       RACF Report Writer, IBM-Utilities


Zeitraum:       Mai 2004 bis Juni 2004
Firma/Institut: IT-Dienstleister für genossenschaftliche Banken
Projekt:        Notfalltestaktivitäten gemäß IT-Grundschutzhandbuch

 Projektleitung


 Bei diesem Projekt wurde die Erstellung eines Notfallhandbuches sowie der erforderlichen Testaktivitäten bei dem IT-Dienstleister eines genossenschaftlichen Banken-Verbandes betreut und die Notfalltestaktivitäten vor Ort begleitet.

 Ziel des Projektes war, die K-Fall-Fähigkeit der wesentlichsten Anwendungssysteme im Rahmen des geplanten Notfalltests unter Beweis zu stellen und gegenüber den Kunden des IT-Dienstleisters im Rahmen einer Bescheinigung zu bestätigen.

 Bei der Erstellung des Notfallhandbuches sowie der darauf aufbauenden Notfallmaßnahmen wurde darauf geachtet, das die geschäftskritischen Anwendungen für die Banken innerhalb von maximal vier Stunden wieder zur Verfügung gestellt werden konnten. Hierbei galt es, die IT-Systeme mit den geschäftskritischen Anwendungen zu bestimmen und die Abhängigkeiten dieser Systeme zu untersuchen.

 In einem anschließenden Trockentest wurde die K-Fall-Fähigkeit durchgespielt. Im Anschluss daran wurde der eigentliche K-Fall getestet. Hierzu wurden die Produktionssysteme des Mandanten an einem Feiertag vollständig ausgeschaltet. Im Anschluss daran wurde anhand des zuvor gemeinsam erarbeitet Notfallhandbuches der Wiederanlauf im Backup-Rechenzentrum des IT-Dienstleisters innerhalb der maximalen Ausfallzeit von vier Stunden wiederhergestellt. Dieser Notfallbetrieb wurde über mehrere Tage aufrecht erhalten. An einem darauf folgenden Wochenende wurde die Rückführung in den Normalbetrieb, d.h. Wiederaufnahme des IT-Betriebes im Produktionsrechenzentrum, wiederhergestellt.

 Die Kunden des IT-Dienstleisters, vorwiegend Banken aus dem genossenschaftlichen Bereich, wurden im Anschluss daran über den erfolgreichen Test der Notfallaktivitäten informiert.



Zeitraum:       November 2003 bis Dezember 2003
Firma/Institut: IT-Dienstleister für Banken bzw. Sparkassen
Projekt:        Security CICS- und DB2 unter z/OS

 Projektleitung


 Als Ziel des Projektes galt es festzustellen, ob bei dem Einsatz des Transaktionsmonitors CICS sowie des Datenbanksystems DB2 die Anforderungen an den Vermögensschutzes, den Datenschutzes sowie die sich aus den Grundsätzen ordnungsmäßiger Buchführung (GoBS) ableitenden Anforderungen an die Ordnungsmäßigkeit und Sicherheit der Datenverarbeitung erfüllt werden.

 In einem ersten Schritt wurden die vorhandenen Fachkonzepte bezüglich der Integration von CICS und DB2 in das Betriebssystem z/OS sowie die Umsetzung von Zugriffsschutzaspekten innerhalb von RACF einer Beurteilung unterzogen.

 Unter Berücksichtigung der hierbei gewonnenen Erkenntnisse wurde anschließend überprüft, ob die in den Konzepten getroffenen Vorgaben in den CICS- bzw. DB2-Systemkonfigurationen korrekt umgesetzt sind und die innerhalb von z/OS bzw. RACF getroffenen Einstellungen dazu geeignet waren, eine wirksame Zugriffsschutzkontrolle zu gewährleisten.

 Hierbei wurden die folgenden Aspekte betrachtet:

 Administration und Systemkonfiguration,

 Benutzermanagement,

 Sensitive Systemprivilegien,

 interne und externe DB2-Sicherheit sowie

 Sicherheit der Zugriffspfade (RACF, SQL, ODBC, JDBC, SQLJ, Netz).


 Abschließend wurde überprüft, ob die im laufenden Betrieb getroffenen Maßnahmen ausreichen, die Ordnungsmäßigkeit und Sicherheit des CICS- und DB2-Einsatzes zu gewährleisten.

 Hierbei wurden u.a. die folgenden Aspekte betrachtet:

 Wartung und Betrieb,

 Einsatz kritischer Tools,

 Backup- und Recoveryvorkehrungen,

 SMF-Protokollierung und Auditing.


Software:       CICS, DB2, RACF, IBM-Utilities, ACL


Zeitraum:       September 2003 bis Oktober 2003
Firma/Institut: Bundesanstalt, Behörde
Projekt:        IT-Prozesse

 Projektleitung


 Wesentlicher Inhalt des Projektes war die Beurteilung der Aufbau und Ablauforganisation unter dem Gesichtspunkt "Best Practice". Die einzelnen Projektaktivitäten bezogen sich hierbei auf

 die Security-Policy,

 den Rechenzentrumsbetrieb unter BS2000-Sytemen,

 den Zugriffsschutz auf Anwendungssysteme,

 das Programm-Changemanagement sowie

 das Konfigurations-Management.


Software:       BS2000


Zeitraum:       03.2003 - 04.2003
Firma/Institut: Bank
Projekt:        Operative Sicherheit

 Projektleitung

 Bei diesem Projekt wurde die operative Sicherheit bei einer Bank beurteilt und Maßnahmen zur Verbesserung erarbeitet.

 Insbesondere die nachfolgenden Bereiche waren Gegenstand des Projektes:

 - IT- Umfeld und IT-Organisation,

 - IT-Infrastruktur,

 - IT-Anwendungen,

 - Sicherheitsrichtlinien (Securitypolicy),

 - Sicherheitsmanagement,

 - Zugriffssicherheit der Unix- und Windows Betriebssysteme,

 - Zugriffssicherheit des Anwendungssystems SAP R/3,

 - Zugriffssicherheit der Datenbanksysteme Oracle und Sybase sowie

 - Zugriffsschutzvorkehrungen der Firewall-Konzeption.


 Maßstab für die Beurteilung der Sachverhalte war im wesentlichen das IT-Grundschutzhandbuch des BSI, Bonn.



Zeitraum:       Januar 2003 bis Februar 2003
Firma/Institut: Finanzdienstleister, Kreditinstitut, Bank
Projekt:        Operative Sicherheit der IT-Systeme

 Projektleitung


 Die Schwerpunkte dieses Projektes lagen in den nachfolgenden Bereichen:

 allgemeine Sicherheitsrichtlinien und Sicherheitsmanagement,

 Zugriffsschutz auf Betriebs- und Datenbankebene bei den Anwendungssystemen SAP R/3 und Summit,

 Beurteilung der Konzeption bezüglich der Umstellung auf die Microsoft-Betriebssysteme Windows 2000 (Server) bzw. Windows XP (Clients),

 Beurteilung der Konzeption der neuen Firewall-Architektur sowie Durchführung eines daran anschließenden Firewall-Penetrations-Tests,

 Beurteilung des Remote Access/VPN-Zugriffs sowie IT-Sec zur Verschlüsselung von Dateien.

 Beurteilung der Angemessenheit des K-Fall-Konzepts und des K-Fall-Handbuchs.


Software:       Windows 2000, Windows XP, SAP R/3, Remote Access, VPN, IT-Sec, Summit


Zeitraum:       August 2002 bis März 2004
Firma/Institut: Kapitalanlagegesellschaft, Investmentgesellschaft
Projekt:        Einführung einer Anwendung

 Projektleitung


 Hierbei handelte es sich um eine projektbegleitende Einführung einer Fondsbanking-Applikation bei einer Kapitalanlagegesellschaft.

 Bei diesem Projekt wurde die Qualitätssicherung im Rahmen der Einführung einer Fondsbanking-Applikation bei einer Kapitalanlagegesellschaft in Frankfurt durchgeführt. Die Qualitätssicherung bezog sich auf die folgenden Themen:

 bankaufsichtsrechtlichen Anforderungen und Sachverhalte,

 vertraglichen Regelungen mit den beteiligten Stellen (IT-Outsourcer, Softwareentwickler),

 Testkonzeption und Testaktivitäten,

 Ordnungsmäßigkeit der Fondsbanking-Applikation, z.B. hinsichtlich Sicherheit der eingesetzten Systeme, Datenbankzugriffssicherheit, Netzwerksicherheit, Protokollierung und Auditing, Changemanagementprozess, Vollständigkeit und Richtigkeit der Datenübertragungsprozesse, physische Sicherheit, Ausfallsicherheit und Verfügbarkeit.



Zeitraum:       Juni 2002 bis August 2002
Firma/Institut: Bank
Projekt:        Netz- und Systemmanagement gemäß IT-Grundschutzhandbuch

 Projektleiter


 Bei diesem Projekt handelte es sich um die Aufnahme und Beurteilung des Netz- und Systemmanagements gemäß detaillierter Vorgaben des IT-Grundschutzhandbuch des BSI, Bonn, bei einem Finanzdienstleister (Bank) in Frankfurt.

 Als Ziel des Projektes galt es festzustellen, ob die in der Bank implementierten Verfahren und Abläufe mit den konkreten Vorgaben des IT-Grundschutzhandbuches übereinstimmen. Die Schwerpunkte lagen hierbei in den nachfolgenden Bereichen:

 Aufbauorganisation im Bereich Netz- und Systemmanagement,

 IT-Sicherheitsprozess und -konzeption,

 Netzmanagement, d.h. Konzeption, Betrieb, Konfigurations-, Performance-, Problem- und Sicherheitsmanagement sowie

 Systemmanagement (Strategie, Betrieb, Changemanagement, Benutzerverwaltung, Problemmanagement.

 Die Projektergebnisse sowie die erforderliche Verbesserungen wurden in einem detaillierten Bericht dargestellt und mit dem Mandanten einvernehmlich abgestimmt.



Zeitraum:       Mai 2002 bis August 2002
Firma/Institut: Bank
Projekt:        Verlagerung eines Rechenzentrums ins Ausland

 Projektleitung


 Bei diesem Projekt wurde die Verlagerung der Großrechner einer Bank ins Ausland unter Berücksichtigung der hierbei zu beachtenden aufsichtsrechtlichen Anforderungen des Bundesamtes für Finanzdienstleistungsaufsicht (BAFin) begleitet. In diesem Zusammenhang wurden die folgenden Aktivitäten gemeinsam mit der Bank durchgeführt:

 Technische Realisierung (Machbarkeitsstudie), Testaktivitäten sowie

 Nachweise hinsichtlich der vollständigen und richtigen Datenübertragung.

 Darüber hinaus wurde darauf geachtet, dass die Bank die Outsourcing-Anforderungen gem. §25a Abs. 2 KWG beachtet und die Anforderungen gemäß der Verlautbarung zur grenzüberschreitenden Datenfernverarbeitung im Bankbuchführungswesen des BAFin (ehemals BAKred) erfüllt. Diese sind:

 Ordnungsmäßigkeit der Belege, Handelsbücher und sonstigen Unterlagen,

 Erfüllung FAMA 1/1987,

 Einhaltung der 24-Stunden-Regel,

 Führung der Handelspositionen im Echtbetrieb (Realtime),

 Kryptographische Verschlüsselung der Daten,

 Vergabe von Zugriffsrechten im Rahmen der Fernverarbeitung,

 Identifizierung und Authentisieren der Benutzer,

 Physische Sicherheit des Rechenzentrums,

 Datensicherung und Notfallplanung,

 Softwaredokumentation,

 Vorlegen eines DV-Konzeptes,

 Abdeckung der DV durch die Innenrevision der Bank,

 Einverständniserklärung des Rechenzentrums zu Prüfungen gemäß § 44 KWG,

 Einverständnis der nationalen Aufsichtsbehörden am Sitz des Rechenzentrums,

 Angemessenheit des Dienstleistungsvertrages mit dem Träger des Rechenzentrums sowie

 Prüfungsamt des Abschlussprüfers.



Zeitraum:       Juli 2001 bis Dezember 2001
Firma/Institut: Bank
Projekt:        IT-Infrastruktur eines Rechenzentrums

 Projektleitung


 Das Projekt bezog sich im Wesentlichen auf die Aufnahme, Beurteilung sowie ggf. Erarbeitung von Verbesserungsvorschlägen der folgenden Bereiche:

 Aufbauorganisation, insbesondere unter dem Aspekt der Funktionstrennung,

 Beurteilung der IT-Standorte, z.B. hinsichtlich Verfügbarkeit und Backup-Organisation,

 Netzinfrastruktur,

 IT-Strategie,

 IT-Sicherheitspolitik,

 Risikoklassifizierung der IT-Systeme,

 Qualitätsmanagement,

 Service-Level-Agreements,

 Management- und Überwachungskontrollen im IT-Bereich bzw. Rechenzentrum,

 physische Sicherheit der Rechenzentren,

 logische Sicherheit der Anwendungssysteme auf den Großrechnersystemen,

 IT-Betrieb, wie z.B. Changemanagement, Konfigurationsmanagement, Netz- und Systemmanagement,

 Maßnahmen zur Sicherung der Betriebsbereitschaft, insbesondere Verfügbarkeitsmanagement, Kapazitätsmanagement,

 Datensicherungs- und Auslagerungsverfahren,

 Not- und Katastrophenfallvorkehrungen.


 Darüber hinaus wurden die IT-Prozesse gemäß ITIL beurteilt und Lösungsansätze gemäß "Best Practices" bzw. zur Prozessoptimierung erarbeitet



Zeitraum:       Juli 1999 bis August 1999
Firma/Institut: Bank
Projekt:        Penetrationstest Firewall / Internetanbindung / Brokerage

 Projektleitung

 Im Rahmen dieses Projektes wurde ein Penetrationstest des Firewalls durchgeführt. Insbesondere galt es festzustellen, ob die IT-Infrastruktur dazu geeignet ist, die Geschäftsabwicklung zwischen Bank und Kunde über das Internet (Brokerage) in einer sicheren und nachvollziehbaren Form abzuwickeln. Im Rahmen dieses Projektes wurden sowohl kommerzielle Standard-Tools als auch anerkannte Open Source Software-Produkte eingesetzt.




Zeitraum:       regelmäßig
Firma/Institut: Finanzdienstleister, IT-Dienstleister, Rechenzentren
Projekt:        Qualitätssicherung

 Projektleitung

 In der Vergangenheit wurden regelmäßig verschiedene Projekte

 im Bereich der Qualitätssicherung von mir betreut.

 Hierbei handelte es sich um qualitätssichernde Maßnahmen in den nachfolgenden Bereich:

 - Dokumentation von Anwendungssoftware bzw. der Entwicklungsprozesse,

 - Dokumentationserfordernisse im Bereich des Rechnungswesen, z.B. bei    Finanzbuchhaltungssystemen, Wertpapierabrechnungssystemen, Kreditsystemen sowie

 - Dokumentation von IT-Prozessen bei IT-Dienstleistern und Rechenzentren.



Branchen

Finanzdienstleister
Banken
Kapitalanlagegesellschaften
Invenstmentgesellschaften
Versicherungen
IT-Dienstleister
Rechenzentren
Energieversorger
Stadtwerke
Telekommunikation
Öffentliche Verwaltungen
Behörden

Kompetenzen

Programmiersprachen
4gl
SQL
ACL
Basic
Grundkenntnisse
Cobol
Grundkenntnisse
dBase
Grundkenntnisse
Java
Grundkenntnisse
JavaScript
Grundkenntnisse
JCL
Makrosprachen
AWK
Monarch
Pascal
Perl
Grundkenntnisse
PHP
Programmiersprache R
QMF
Siron

Betriebssysteme
IBM ISPF
Linux
Mac OS
MS-DOS
MVS, OS/390
z/OS
OS/2
OS/400
RACF
SUN OS, Solaris
Unix
z/OS

Datenbanken
Access
Approach
DB2
Lotus Notes
MS SQL Server
MySQL
ODBC
SQL
xBase

Sprachkenntnisse
Deutsch
Englisch

Hardware
AS/400
IBM Großrechner
IBM RS6000
iSeries
Macintosh
PC
Siemens Großrechner
Siemens MX
SUN

Datenkommunikation
AppleTalk
CICS
Ethernet
IMS/DC
Internet, Intranet
parallele Schnittstelle
PC-Anywhere
TCP/IP
Windows Netzwerk

Produkte / Standards / Erfahrungen
BAIT
ISO 27001
ISO 27001
ISO 27002
ISO 27019
IT-Sicherheitskatalog
MaRisk
Langjährige Erfahrung im Bereich der Prüfung und Beratung bei IT-Revisionen bzw. IT-Audit's im Finanzdienstleistungssektor (Banken, Versicherungen) sowie Industriebereich, z.B. in den Bereichen Ordnungsmäßigkeit, Sicherheit und Wirtschaftlichkeit von IT-Systemen, Gestaltung von IT-Prozessen in Rechenzentren gemäß Best Practice, Umsetzung der Mindestanforderungen an das Betreiben von Handelsgeschäften des BAFIN bzw. BAKred, IT-Betrieb, wie z.B. Changmanagement, Konfigurations-management, Netz- und Systemmanagement.

 

Prozessaufnahme, Prozessanalyse und Prozessoptimierung sowie Prozess-Audit und Prozess-Mining mit Hilfe von ViFlow und ReflectOne.

Unterstützung bei der Einführung und Analyse des IT-Grundschutzbedarfs sowie Unterstützung bei der Hinführung zur Zertifizierung gemäß IT-Grundschutz bzw. ISO 27001 native Auditor ISO 27001 (EnWG) gem. IT-Sicherheitskatalog der Bundesnetzagentur Auditor im Bereich Smart Meter Gateway Administrator Auditor gem. § 8a BSIG

Unterstützung bei der Erstellung von IT-Sicherheitsrichtlinien (Securitypolicy), Organisations-handbüchern, Risikoanalysen, Risikoklassifizierungen, etc.

Datenanalysen und Data-Mining mit Hilfe diverser Tools, wie ACL, Monarch, Excel, Access, AWK, SQL, z.B.für die Validierung von Anwendungssystemen bzw. der korrekten Verarbeitungslogik.

Massenauswertungen, Schichtungen, Plausibilisierungen, Soll-/Ist-Vergleich von Daten und Informationen, z.B. um z.B. die korrekte Datenhaltung bzw. Datenspeicherung für alle Daten sicherzustellen und Inkonsistenzen (Dubletten, falsche Schlüssel, etc.)zu vermeiden.

 

Prozessanalyse und Prozessoptimierung mit Hilfe der Process Mining Technologie. Überprüfung von langen Durchläufern, Fehlern und Abweichungen von den Soll-Prozessen. Aufzeigen von Optimierungspotential, Effizienzverbesserungen und Kostenvorteilen.

Unterstützung bei der Erstellung von Dokumentationsunterlagen, z.B. mit Hilfe von Wiki's (Pmwiki, TWiki, JSPWiki)

SAP Ordnungsmäßigkeit und Berechtigungskonzeption und -prüfung, u.a. mit Hilfe des Audittools von CheckAud for SAP

Berechnung / Simulation / Versuch / Validierung

Data-Mining, Datenanalysen, ACL, Monarch, Office Tools Excel und Access, Geschäftsprozessanalyse und Geschäftsprozessoptimierung mit Process Mining, Disco von Fluxicon, SAP-Prüfung, SAP Berechtigungsprüfung, CheckAud for SAP


Design / Entwicklung / Konstruktion

Wordpress, Joomla, Mysyl


Ausbildungshistorie

  • Bankkaufmann
  • Diplom Betriebswirt (FH)
  • Grundstudium der Informatik (FU Hagen)
  • Certified Information Systems Auditor der Information Systems Audit and Control Association (ISACA)
  • Zertifizierter IT-Grundschutzauditor des Bundesamt für Sicherheit in der Informationstechnik, Bonn (BSI)
  • Hochschulzertifizierter Datenschutzbeauftragter
  • ITIL Foundation Certificate in IT Service Management
  • ISO/IEC 27001 LeadAuditor der BSI Group
  • ISO 27001 Auditteamleiter des BSI, Bonn
  • PRINCE2-Foundation-Zertifizierung (APMG)
  • ISO/IEC 27001 Auditor gem. IT-Sicherheitsgesetz nach § 11 Abs. 1a Energiewirtschaftsgesetz (EnWG)
  • ISO 27001 zertifizierter Auditor (Native) für DQS, Frankfurt am Main, Datenschutz-Cert, Bremen, MSzert GmbH, Rehlingen-Siersburg
  • Auditoren-Schulung nach ISO/IEC 27001 EnWG gemäß dem IT-Sicherheitskatalog nach § 11 Abs. 1a Energiewirtschaftsgesetz

  • BSI TR-03109-6 Smart Meter Gateway Auditor

×
×