IT-Security Spezialist

1/2021 – 12/2024

Betriebsunterstützung in vielen Cyber Security Themen (z.B. IAM, Compliance, ISMS, ISO 27001-Zertifizierung, Business Continuity) sowie Projektleitung (IAM – Role Mining; Mailflow-Tagging; Cyber Sec Governance Prozesse)
Risk Management / Risk Assessments für kritische Applikationen
Threat Modelling für Cyber Security Prozesse / Applikationen
Cloud Security Architektur (Requirements)
Standards für PKI
Cloud Security (C5)
Standards für Security Requirements in Einkaufsprozessen
Projektleitung IAM (Identity and Access Management) Role Mining
Einführung RBAC (RoleBased Access Control)

Seniorenberater

7/2019 – 12/2021

• Aufbau Security Architecture für SIEM, DLP
• BCDR – Dokumentation und Test(-Vorbereitung)
• ISMS-Aufbau (Standards and Guidelines)
• Beratung Local ISO
• Architecture Security Modeling Cloud-Anbindungen / Anbindungen externer Service Provide
• Implementierung SIEM Use Cases und Incident Response
• Risk Management Assessments für kritische Applikationen

ISO / IEC 27001

5/2018 – 7/2019

• Durchführung Security Audits (intern und extern)
• Bewertung der TOMs gemäß EUDSGVO Art 32
• Entwurf Security Architektur
• Projektbegleitung (Entwicklung bis hin zu Cloud-Auslagerungen) aus Sicht Informationssicherheit
• Management des Risikoregisters zur Informationssicherheit
• Reporting zur Bedrohungslage der Informationssicherheit an den Vorstand
• Unterstützung interne Revision
• SIEM-Verantwortung
• Leitung von Teams zu Emergency Response
• Freigabe Firewallchanges
• Awarenesstraining Informationssicherheit für Mitarbeiter
• Publikationen (Intranet) zur Informationssicherheit
• Schnittstelle Risikomanagement Informationssicherheit zum Mutterkonzern

DIN EN ISO 27001

3/2018 – 12/2021

• Projektleitung Softwareentwicklung für Cyber Security Incident Handling und Vulnerability Management
• Validierungsprozess für Software
• Vendorensteuerung
• Expectation Management und Anforderungsmanagement
• Refinement von Use Cases
• Quality Management and Validation

DIN EN ISO 27001

1/2018 – 4/2021

• Management von rd 3.000 Einzelmaßnahmen; insbesondere hinsichtlich Steuerung von Stakeholdern, Linieneinheiten (rund 20 Fachbereiche), externen Vendoren sowie Lieferleistungen
• Requirements Management
• Eskalationsmanagement
• Change Management und IT Finance Management

It-Beratung

1/2017 – 5/2017

• Unterstützung Projektsetup zur Umsetzung von 1.080 Use Cases (i.e. Einzelmaßnahmen zu EU DSGVO)
• Etablierung Prozesse zur Abarbeitung und Management der Use Cases in HP QC (Requirement Modul)
• Stv. IT-Projektleitung und Stv. TP IT-Projektleitung
• Management Reporting
• QS-Verantwortlicher
• Change Management und IT Finance Management
Steuerung Anforderungs-Management (komm.)

Datenschutz, Projektmanagement (IT), Qualitätsmanagement / QS / QA (IT)

3/2016 – 1/2017

• Aufbau ISMS (ISO 27001)
• Stakeholder Management für IT-Security (gesamte deutsche Kreditwirtschaft: deutsche Privatbanken, genossenschaftliche Banken, Sparkassen)
• Aufbau und Leitung Security Incident Response (SIRM)
• IT-Security Audits bei Dienstleistern
• Security-Beratung im Software-Entwicklungsprozess
• Beratung aller IT-Security-Themen in IT-Infrastruktur
• Unterstützung BCM
Planung und Management K-Fall-Test(s)

Incident-Management, Netzwerk-Sicherheit, IT-Outsourcing-Konzepte, DIN EN ISO 27001, Projektmanagement - Audits

12/2015 – 12/2015

Beratung zur Etablierung einer Security Incident Response Management-Funktion/Rolle

• Definition SIRM
• Prozessberatung und Optimierung SIRM
• Rollendefinition SIRM / SIEM
• Initiierung Dokumentation
• Schnittstellenbeschreibung und -klassifizierung SIRM / CISO

IT Sicherheit (allg.), It-Beratung, Prozessberatung

7/2015 – 10/2015

Nach Re-organisation von IT-Betrieb und IT-Entwicklung mussten Prozesse angepasst und Führungskräfte neu justiert werden

• Moderation Workshops
• Know-how-Transfer
• Mediation Management-Einheiten

Service Management, IT Service Management (ITSM), Unternehmensberatung, Medien (allg.), Konfliktlösung, Mediation

6/2015 – 12/2015

Durchführung von internen Revisionsprüfungen für eine Bank in München:
Service Transition Prozesse, Application Development-Prozess, Projekt Management-Prozess, Risiko-Prozess zur Prüfung von Neugeschäften / wesentlichen Veränderungen nach MaRisk AT 8.1 / 8.2

• Aufsetzen und Durchführung der Revisionsprüfung im Namen und im Auftrag der internen Revision
• Führung von Interviews und Workshops
• Erstellung und Finalisierung der Revisionsberichte
• Abstimmung von Maßnahmen und Folgeaktionen

Projektmanagement (IT), Projektmanagement, Auditor

4/2014 – 10/2016

Aufgrund Bestimmungen des Bundesdatenschutzgesetzes müssen bestimmte Mails verschlüsselt übertragen werden. Eine deutsche Großbank hat daher die Einführung eines E-Mail-Gateways initiiert, mit dem Mails verschlüsselt übertragen werden oder zumindest der Übertragungsweg verschlüsselt wird (TLS / S/MIME)
• Management-Beratung in allen Sicherheitsthemen (TSL / S/MIME)
• Risk Assessments
• Beratung internationaler Bank-Einheiten zu technischen Abhängigkeiten und Notwendigkeiten
• Management Reporting zu Inhalten, Verlauf und Ergebnissen von Vendoren-Workshops bei der Lösungsfindung und –Evaluierung und Sicherheitsüberprüfung der angestrebten Lösung
• Unterstützung im Prozess-Design zum Versand (und Empfang) verschlüsselter Mails; Mails auf verschlüsseltem Sende-/Empfangs-Kanal
• Umsetzung der Fachanforderungen und Sicherstellung der Praktikabilität der Lösung
• Etablierung zentrale Kommunikationsschnittstelle für Pilot und Rollout

Transport Layer Security, It-Beratung, Rollout, Management (allg.), Kommunikation (allg.), Öffentlichkeitsarbeit

4/2014 – 12/2014

Providerwechsel für SAP MARK-Systeme (SAP und Umsysteme) von TSI zu TDS; dabei auch Änderung des Sourcing-Schnittes zum Betrieb der Systeme
• Projektaufbau und Projektmanagement für die Themen „Cross-Function“ mit den Teilprojekten „Infrastruktur“ und „Security“
• Projektleitung Security Konzepte – RZ-Anbindung und Netzwerktopologie
• Erstellung von Konzepten zur Umsetzung und Transformation
• Aufbau und Leitung des Projekt-Releasemanagements auf Kundenseite: Planung und Koordination von Qualität und Quantität von Lieferobjekten gemäß den (Security-)Richtlinien der Commerzbank.
• Herstellung Einvernehmen von Kundenanforderungen, regulatorischen Anforderungen und Umsetzbarkeit / Leistbarkeit des Vendors
• Leitung von Telefonkonferenzen (zwischen 10 und 50 Teilnehmern) zur Freigabe von Migrationen und zum juristischen Abschluss von Migrationen – dem s.g. Change of Control (COC)
• Erarbeitung von Management Reportings
• Manager of Duty im Zentralen Leitstand während der Migration der Produktiv-Systeme

IT Sicherheit (allg.), Release-Management, Projektmanagement (IT), Projektleitung / Teamleitung (IT), Systemmigration, Telekommunikation / Netzwerke (allg.), Projektmanagement, Projektleitung / Teamleitung

8/2013 – 12/2013

Technologiewechsel im Serverbereich (Webserver, Mailserver) von Windows auf Linux – auf HyperV-Plattform
• Projektleitung
• Konzeption
• Mailmigration
• Mailverschlüsselung
• Mitarbeiterschulung
• Etablierung Betriebsprozesse

Betriebssysteme, Projektleitung / Teamleitung (IT), Systemmigration, Hyper-V, Projektleitung / Teamleitung

2/2013 – 12/2015

Entwicklung eines Informantenschutz-Systems zur sicheren Datenübermittlung und sicheren Datenspeicherung in Enterprise-Umgebungen.
• Projektleitung
• Lastenhefterstellung
• Konzeptentwicklung nach Kundenvorgaben
• Pflichtenhefterstellung
• Testmanagement
• Pilot-Kunden Management (Fachabteilung)
• Penetrationstest
• Assessment Infrastruktur
• Verschlüsselungskonzepte
• -Security-Überprüfung (Compliance und Audit)

IT Sicherheit (allg.), Projektleitung / Teamleitung (IT), Test Management, Testen, Qualitätsmanagement / QS / QA (IT), Softwareentwicklung (allg.), Anforderungsspezifikationen, Produkt- / Sortimentsentwicklung, Management (allg.), Projektleitung / Teamleitung, Auditor

1/2013 – 12/2015

Erweiterung eines Notfallhandbuches nach BSI 100-4
• Grundschutzüberprüfung nach BSI 100-2
• Evaluierung und Aktualisierung notwendiger Dokumente
• Projektmanagement DR-Tests (Full Interruption; Parallel Tests)
• Validierung Sicherheitskonzeptionen
• Einbindung in Sicherheitsarchitektur

IT Sicherheit (allg.), Projektmanagement (IT), Sicherheitskonzept, Projektmanagement

5/2012 – 12/2012

Erarbeitung und Implementierung eines Notfallhandbuches nach BSI 100-4
• Projektmanagement
• Prozess-Analyse
• Prozess-Design
• Anpassung an bestehende ITSM-Prozesse
• Initiierung und Aufbau sowie Leitung PMO
• Training von internen Mitarbeitern zur Funktion und zum Betrieb PMO
• Erstellung PMO-Toolset
• Management Reporting
• Aufbau Notfall-Prozesse
• Unterstützung Business Impact Analyse

Service Management, Projektmanagement (IT), PMO (IT), IT Service Management (ITSM), Schulung / Training (IT), Workflows, Management (allg.), Projektmanagement

4/2012 – 11/2012

Entwicklung der Software „Tenetas-Projektmonitor-Suite“, bestehend aus MicroManagement Review Board, Ticketsystem, Reportingsystem – bis zur Marktreife
• Programmleitung
• Lastenhefterstellung
• Pflichtenhefterstellung
• Prüfung und Freigabe Spezifikation
• Prüfung und Freigabe Anwendung
• Testmanagement

Test Management, Testen, Softwareentwicklung (allg.), Anforderungsspezifikationen

4/2012 – 11/2012

Erarbeitung und Implementierung des TENETAS-Modells zur schnellen Projektrettung
• Ist-Soll-Analyse
• Entwurf Best-Practice
• Erstellung Schulungsunterlagen
• Projektmanagement
• Projektleiter Coaching

Projektmanagement (IT), Projektleitung / Teamleitung (IT), Schulung / Training (IT), Projektmanagement, Projektleitung / Teamleitung, Schulung / Coaching (allg.)

1/2012 – 2/2016

Diverse, umfassende Prüfungen nach Schwachstellen, Aufbereitung der Ergebnisse und Managementpräsentationen mit Darstellung Verbesserungspotential
• Analyse zentraler IT-Komponenten (Infrastruktur, Applikationen)
• Prozess-Analyse
• Schwachstellen-Analyse
• Management Reporting

Workflows, Management (allg.), Audits

2/2011 – 12/2013

Programm zur nachhaltigen Schließung von Audit Moniten
• zentrales Management zur Erreichung von Meilensteinen (und Schließung) von Moniten mit höchstem Risiko Level
• Prozessmodellierung
• Projektmanagement
• in Zusammenarbeit mit Group Audit Erarbeitung eines Phasenplanes zur Auflösung des Sicherheits-Risikos (Risiko basierter Ansatz)
• Erarbeitung revisionssicherer Dokumentation (auch gegenüber BaFin)
• Post Implementation Review erarbeiteter Lösungen
• Projektleitung zur Schließung von Moniten

Projektmanagement (IT), Projektleitung / Teamleitung (IT), Qualitätsmanagement / QS / QA (IT), Projektmanagement, Projektleitung / Teamleitung, Auditor

6/2010 – 12/2011

Hardening von Prozessen und Infrastruktur
• Projektsteuerung (14 Teilprojekte)
• Coaching Projektleiter
• PMO-Leitung
• Aufbau Projektorganisation
• Überprüfung ITSM Prozesse
• Aufbau Management Reporting
• Controlling

Service Management, Projektleitung / Teamleitung (IT), PMO (IT), IT Service Management (ITSM), Schulung / Training (IT), Projektleitung / Teamleitung, PMO, Controlling, Schulung / Coaching (allg.)