IT-Projektmanagement, IT-Securiymanagement, IT-Governance, IT-Security, IT-Compliance, IT-Revision

1/2014 – 6/2014

WINDWOS Security: Migration windows Clients und Server
Bei der Migration der gesamten WINDOWS Umgebung waren die Sicherheitsan-forderungen der WINDOWS Umgebung an den aktuellen Stand der Technik anzupassen. Dazu waren Sicherheitskonzepte zu erstellen und organisatorische Regelungen und Vorgaben - gemäß den (Security) Richtlinien des Instituts - zu entwickeln
Projektziel war die Entwicklung und Einführung einer sicheren WINDOWS Umge-bung (technisch und organisatorisch) und die Erarbeitung der Umsetzungsplanung von noch ausstehenden IT-Security-Maßnahmen.
 Bestandaufnahme der gelebten Prozesse bei Serverinstallationen, Patchmanage-ment, User Access, Administration, Notfall und K-Fall Management.
 Bestandsaufnahme der schriftlich fixierten Vorgaben zum sicheren Umgang mit IT-Assets
 GAP Analysen zu den gesetzlichen und aufsichtsrechtlichen Vorgaben und den in-ternen Unternehmensrichtlinien
 Härtungsrichtlinien für WINDOWS Server gemäß Microsoft Best Practice definieren (Ports, Protokolle, Netzwerk, Dienste, etc.)
 IT-Security Group Policies Active Directory gemäß BSI Vorgaben definieren, testen und implementieren
 Kryptografie mail, Festplatten, Netzwerk (PGP, IPSec, S/MIME, SSL/TLS)
 Schnittstellensicherheit für WINDOWS Client (Device Lock)
 Virenschutz, Anti-Malware, Firewall
 Verfahrensanweisung für physische Sicherheit, Administration, Benutzer, Active Di-rectory, Chang- und Releasemanagement
 Qualitätsmanagements, Dashboard, Reporting

Certified Information Systems Auditor, BSI-Standards

1/2013 – 10/2013

Für den gesamten IT-Betrieb eines KWG Institut wurde ein Providerwechsel durchgeführt. Zudem wurden Virtualisierungslösungen, Softwareänderun-gen (BS) sowie Changes der Clients (Hard- und Software) durchgeführt.

• Change- , Release- und K-Fall Management.
• IT-Sicherheitsmanagement während der Transition
• IT-Sicherheitskonzepte gemäß vertraglicher Leistungsbeschreibung entwickeln, umsetzen, Abnahme und Überführung in den IT-Betrieb
• Bewertung und Optimierung von IT-Sicherheitsmaßnahmen anhand erstellter IT Konzepte. (Netze, Server. E-Mail, Clients, etc.)
• Erstellung von Security Konzepten (Anti-Virus, Verschlüsselung, etc.) und Einführung der abgenommenen Security Konzepte
• Implementation von IT Security Management inkl. tool (ISMS) sowie die korrespondierenden Prozesse (SIEM etc.)
• Projektplanung (Ressourcen, Budget, Meilenssteine etc.)
• Koordination, Meetings, Präsentationen und Dokumentationen

Certified Information Systems Auditor, BSI-Standards

6/2012 – 12/2012

Entwicklung eines Monitoring- und Reporting Konzepts für vorhandene oder einzuführende Prozesskontrollen hinsichtlich der IT-Sicherheit und dem Management von logischen Zugriffsberechtigungen.

• Bewertung des IT-Kontrollframeworks bezüglich der Wirksamkeit und Vollständigkeit für definierte Betriebsbereiche und Prozesse,
• Soll-Ist / GAP Analyse der ablauforganisatorischen Prozess- und Aktivi-täten-kontrollen anhand des normativem Kontrollframework (CobiT) und vorgegebener IT-Sicherheitsrichtlinien,
• Root Cause Analyse relevanter GAPs, Identifikation und Konzeption zur Beseitigung vorhandener Kontrollmängel,
• Anforderungen an Monitoring und Reporting (KGI, KPI) definieren unter Beachtung von IT-Compliance- und betrieblichen (IKS) Anforderungen,
• Sicherheits- , Reporting- und Monitoring-anforderungen mit involvierten Teilprojekten definieren und festlegen,
• Workshops, Präsentationen zu IT-Sicherheit und Prozesskontrollen
• Projektmanagement, Teamführung, Jour Fixes, Ergebnisreports,

Certified Information Systems Auditor, BSI-Standards

1/2012 – 5/2012

IT-Sicherheitsmanagement während Providerwechsel der gesamten Client-Server Infrastruktur (kein Maineframe) bei der Bank. Einführung und Vali-dierung von vertraglich definierten Security- und SLA Vorgaben zwischen Provider und Bank. Gewährleistung der Einhaltung von Aufsichtsrecht und IT-Sicherheitsvorgaben während des operativen Changeprozesses.


• Implementation von IT- Sicherheitsverfahren, Kontrollen und Dokumentation während der Verlagerung des IT-Betriebs,
• Definition IT-Verbund gemäß BSI und Einführung von GS-TOOL für Neuprovider,
• Bewertung und Risikoreduktion im definierten IT-Verbund anhand gegebener Schutzbedarfsfeststellungen und Strukturanalysen
• Reporting, Monitoring, Release- und Changemanagement zw. Bank und Neuprovider gemäß IT-Compliance Anforderungen und SLA,
• Verantwortlich für IT-Sicherheitsmanagement zw. Provider und Bank,
• Teamleitung, Projektorganisation, Projektmanagement und Reporting

Certified Information Systems Auditor, BSI-Standards

9/2011 – 12/2011

Übernahme von Teilaufgaben beim Aufbau und Optimierung eines kon-zernweiten ISMS gemäß ISO/IEC 27001.


• Erhebung von Schutzbedarfsfeststellungen für diverse IT-Applikationen und Datenbanken in Kooperation mit div. Fachabteilungen,
• Datensicherheitsklassifikation und IT-Risiko Self Assessment für Hostapplikationen und Client Server Applikationen optimieren,
• Ermittlung des IT-Schutzbedarfs und IT-Risikoanalyse,
• Definition von wesentlichen IT-Risiken,
• Definition von Maßnahmen zur IT-Risikoreduktion (organisatorisch und technisch), internes Kontrollsystem,
• Restrisikodeklaration und Bewertung der Risikoübernahme,
• Durchführung von Workshop zur IT-Sicherheit und Risikoreduktion,
• Präsentation vor Ausschüssen, Arbeits- und Fachkreisen,
• Berichterstellung und Support

Certified Information Systems Auditor, BSI-Standards

4/2011 – 7/2011

Konzeption für den sicheren und ordnungsgemäßen IT-Betrieb einer Soft-ware für Behörden. Projektbegleitende Sicherheits- und Revisionsberatung bei der Softwareentwicklung einer Client Server Anwendung.

• IT-Sicherheitskonzeption / Betriebsanforderungen,
• IT-Sicherheitsleitlinie,
• Schutzbedarfsfeststellungen, Strukturanalysen,
• Risikoermittlung, Risikominimierung und Restrisikodeklaration,
• Verifikation der Software hinsichtlich der Einhaltung von Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität,
• Berichterstattung, Dokumentation und Präsentation

Certified Information Systems Auditor, BSI-Standards

1/2011 – 3/2011

IT-Revisionsprüfung hinsichtlich ordnungsgemäßen und revisionssicheren Betriebs. Beurteilung der physischen Schutzmaßnahmen, der Datensicher-heit in RZ und Back-Up RZ..

• Physische Zutrittskontrollen, Sicherheitsmaßnahmen RZ,
• Technische und organisatorische Maßnahmenprüfungen,
• Brandschutzeinrichtungen (organisatorische Kontrollen),
• Klimaeinrichtung (organisatorische Kontrollen, Protokollprüfung etc.)
• Stromversorgung (USV-Anlage, Notstromaggregat, etc.),
• Netzwerküberwachung, Netzwerkmanagement, Netzwerksicherheit,
• Dokumentation und Berichterstattung

Certified Information Systems Auditor, BSI-Standards

9/2010 – 12/2010

Schutzbedarfsfeststellungen von IT-Anwendungen und Daten anhand defi-nierter Schutzziele.
• IT Anwendungen Sicherheitsanalysen in Client Server Architektur und Maineframe Umgebung,
• Schutzbedarfsfestestellungen bezogen auf die Schutzwerte Vertrau-lichkeit, Verfügbarkeit, Integrität und Verbindlichkeit,
• Erarbeitung von Sicherheits- und Risikominimierungsmaßnahmen,
• Definition und Bewertung von IT Restrisiken,
• monetäre Bewertung von operationellen Risiken,
• Workshops, Erhebungen und Dokumentation,
• Reporting und Berichterstattung.

Certified Information Systems Auditor, BSI-Standards

4/2010 – 7/2010

Verifikation und Analyse der eingerichteten Kontrollen (IKS) anhand der betrieblichen Anforderungen und Geschäftsprozesse verschiedener Out-sourcing-Geber.
• Analyse und Beurteilung von organisatorischen Prozessen und EDV Prozessen deren Risiken, Kontrollen und Sicherheitsmaßnahmen. (IKS),
• Funktionsnachweis und Wirksamkeit der eingerichteten Kontrollen und Evaluation zusätzlicher IT Kontrollen,
• Analyse und Anpassung von IT-Governance Richtlinien (auf Basis Cobit 4.0),
• Schwachstellenanalyse, Optimierungspotential,Prozessreorganisation hinsichtlich des definierten IT Sicherheits- und Schutzniveaus,
• Einhaltung von Compliance Anforderungen des Outsourcers bes. IT Infrastruktur.
• Dokumentation und Berichtserstellung im Auftrag der verantwortlichen Wirtschaftsprüfungsgesellschaft. (IDW PS 951 TYP A und B).

Certified Information Systems Auditor

11/2009 – 3/2010

Systemunabhängige IT-Revision, ( i.W. gemäß dem IDW PS 330) anhand definierter Geschäftsprozesse mit folgenden IT-Revisionsschwerpunkten.
• IT-Aufbau und Ablauforganisation hinsichtlich der organisatorischen Vorgaben ( Compliance im Bereich Wertpapierhandel),
• IT-Infrastruktur (physische Sicherungsmaßnahmen und logische Zu-griffskontrollen),
• Operationelle Risiken, Identifikation und Aggregation von Risiken bis zum Bilanzausweis,
• IT-Kontrollen und Kontrollschwächen identifizieren,
• IT-Überwachungssystem,
• IT-Anwendungen (in Bezug auf die Migration ITIL konformer Anwen-dung),
• IT-Notfall und Katastrophenvorsorge,
• Datensicherheit (Vertraulichkeit, Verfügbarkeit, Integrität, Authentiziät),
• Interviews, Dokumentenanalyse, Reporting, Berichterstattung.

ITIL, Certified Information Systems Auditor, BSI-Standards