IT/OT Security Consultant

5/2021 – 7/2024

Auf Basis ausgewählter Funktionen und Subkategorie des NIST Cybersecurity Frameworks und den ICS Mitigations nach MITRE ATT&CK® wurden mehrere Technologiebereiche sogenannten Architecture-, Supply-Chain-Security-Review oder ICS Readiness Assessments bewertet. Im Rahmen dieser Untersuchungen wurden mehrere Workshop-Termine organisiert, Dokumente (unternehmensinterne Vorgaben und auch alle relevante technische Dokumentation)gesichtet, Fragenkataloge entwickelt und ggf. unter Hinzuziehung externer Zulieferer und Dienstleister des Kunden Interviews durchgeführt

Bei den Architecture-Reviews handelte es sich um IT/OT-Sicherheitsüberprüfungen, die überwiegend auf NIST-Subkategorie der Funktionen "Protect" und "Detect" basierten. Zu den überprüften Themen gehörte zum Beispiel der Einsatz sicherer Authentifizierungsverfahren, Härtungsmaßnahmen, Update-, Patch- und Schwachstellenmanagement.

In den Supply-Chain-Security-Reviews wurden Infrastrukturen und Betriebsprozesse auf die Berücksichtigung von Sicherheitsanforderungen in der Lieferkette untersucht. Hierbei wurden unternehmensinterne Vorgaben, Beschaffungsprozesse,Wartungsverträge sowie relevante Prozesse mit Bezug zur Dienstleistungserbringung durch Befragung der Zulieferer untersucht.

Im Rahmen der ICS-Readiness-Assessments wurden auf Basis der NIST-CSF-Funktionen "Respond" und "Recovery" die Fähigkeiten zur Wiederherstellung von Systemen und Prozessen sowie zur Sicherheitsvorfallsreaktion des Kunden und seine Zulieferer untersucht.

Abschließend wurden die Ergebnisse dokumentiert, nach definierten Kriterien bewertet und Maßnahmenempfehlungen abgeleitet. Das Gesamtergebnis wurde in einem Abschlussbericht dokumentiert.

Cyber Security, Informationssicherheit, IT Sicherheit (allg.), Auditor

5/2021 – 7/2024

Mehrere Übertragungsnetzbetreiber wurden bei der Ausschreibe- und/oder der Entwurfsphase für elektrische Einrichtungen wie zum Beispiel Offshore-Umspannstationen oder STATCOM-Anlagen unterstützt. Dazu gehörte die Definition von IT/OT-Sicherheitsanforderungen nach dem Stand der Technik und anerkannter Standards wie dem BDEW/OE Whitepaper. Gemäß der Anforderungsgrundlage und den Angeboten
bzw. Pflichtenheften wurden die Bieter und ihre angebotenen Lösungen kommentiert und beurteilt. Dabei wurden regelmäßige Interviews mit dem Kunden und den Bietern zur Abstimmung und Klärung von Rückfragen durchgeführt.

Cyber Security, Informationssicherheit, IT Sicherheit (allg.)

5/2021 – 7/2024

Durchführung von mehreren Informationssichereitsaudits bei Übertragungsnetzbetreibern auf Basis des Anhang A der ISO/IEC 27001 und weiteren Standards und IT/OT-Sicherheitsanforderungen wie ISO/IEC 27002, 27019, OPDE (Operational Planning Data environment) sowie unternehmensinterner Vorgaben und Vorgaben des IT-Sicherheitskatalogs gemäß § 11 Abs. 1a EnWG. Zum Auditgeltungsbereich gehörten Netzleitsysteme, Energiemarktapplikationen, PDV-Infrastrukturen, Schutz- und Leittechnik, Betriebstelefonie und Rechenzentren. Das Standardvorgehen beinhaltete die Dokumen-
tensichtung, Interview-Termine und ggf. Vor-Ort-Begehungen sowie die Berichtserstellung.

Auditor, Cyber Security, ISO / IEC 27001, ISO/IEC 27002, Informationssicherheit, IT Sicherheit (allg.), Netzwerk-Sicherheit