Senior IT Security Consultant | CISSP | MBA

1/2022 – 12/2022

Kontext:
Entwicklung und Implementierung eines Security Transformation Programms, um die Anforderungen der ISO 27001 zu erfüllen. Im Fokus standen der Aufbau von Sicherheitsfähigkeiten, die Ableitung von Anforderungen aus den relevanten Standards (ISO 27000-Reihe und NIST) und die Definition klarer Erfolgskriterien („Definition of Done“) für alle Teilprojekte. Parallel dazu wurden Abhängigkeiten zwischen den Teilprojekten aktiv gemanagt, Fortschritte überwacht und Budgets kontrolliert.
Fachliche Schwerpunkte:
• Programmmanagement für die Einführung und Verbesserung von Sicherheitsfähigkeiten im Einklang mit den Anforderungen der ISO 27001.
• Ableitung von Sicherheitsfähigkeiten aus den Standards der ISO 27000-Reihe und dem NIST Cybersecurity Framework.
• Definition von Erfolgskriterien (Definition of Done) für die jeweiligen Teilprojekte, abgestimmt auf die ISO 27001-Anforderungen.
• Management und Priorisierung der Abhängigkeiten zwischen Sicherheitsmaßnahmen und Workstreams im Programm.
• Überwachung von Fortschritt und Budget im Rahmen des Programms, um Zielvorgaben termingerecht und kostenbewusst zu erreichen.
Rolle und durchgeführte Tätigkeiten:
In meiner Funktion als Programmmanager war ich verantwortlich für die strategische und operative Steuerung des Transformationsprogramms. Meine Aufgaben umfassten:
• Programmplanung und -steuerung:
o Entwicklung und Umsetzung eines detaillierten Plans für die Einführung der Sicherheitsfähigkeiten im Einklang mit den Anforderungen der ISO 27001.
o Sicherstellung der Integration von Maßnahmen in bestehende Prozesse und Governance-Strukturen.
• Ableitung von Sicherheitsfähigkeiten:
o Übersetzung der Anforderungen der ISO 27001 und NIST-Frameworks in konkrete Sicherheitsmaßnahmen und Fähigkeiten (z. B. Risikomanagement, Access Management, Incident Response).
o Sicherstellung, dass die definierten Sicherheitsfähigkeiten sowohl regulatorischen als auch geschäftlichen Anforderungen gerecht werden.
• Definition of Done:
o Definition von klaren Abnahmekriterien und Erfolgsmessungen für alle implementierten Sicherheitsfähigkeiten.
o Prüfung und Validierung der Umsetzung, um die Zertifizierungsfähigkeit nach ISO 27001 sicherzustellen.
• Management von Abhängigkeiten:
o Identifikation und Priorisierung kritischer Abhängigkeiten zwischen verschiedenen Workstreams und Sicherheitsmaßnahmen.
o Sicherstellung eines abgestimmten und koordinierten Vorgehens aller Beteiligten im Programm.
• Monitoring und Reporting:
o Einrichtung eines Financial Tracking-Systems, um die Einhaltung der Budgetvorgaben sicherzustellen.
o Überwachung und Berichterstattung des Fortschritts an Führungskräfte und relevante Stakeholder, einschließlich Risikomanagement und Eskalation bei kritischen Themen.

Cyber Security, Security Operations Center (SOC), Incident-Management, DIN EN ISO 27001, Enterprise project management (EPM)

2/2021 – 4/2022

Kontext:
Im Rahmen eines Innovationsprojekts wurde eine künstliche Intelligenz (AI)-basierte Lösung zur Automatisierung von Berechtigungsanfragen, Genehmigungen und Zertifizierungen entwickelt. Ziel war es, manuelle Prozesse in der Zugriffsverwaltung zu reduzieren, Effizienz zu steigern und Compliance-Anforderungen zu erleichtern. Darüber hinaus wurde eine Go-to-Market-Strategie für die DACH-Region entwickelt und umgesetzt, einschließlich der Durchführung von Proof-of-Concepts (PoCs) bei führenden Unternehmen aus der Region DACH.
Fachliche Schwerpunkte:
• Entwicklung einer AI-Lösung für die Automatisierung von Berechtigungsprozessen mit Fokus auf Effizienz und Sicherheit.
• Definition und Umsetzung einer Go-to-Market-Strategie, die die Einführung der Lösung in der DACH-Region vorantrieb.
• Steuerung und Durchführung von Proof-of-Concepts (PoCs) bei führenden Unternehmen aus der DAX30, um die Lösung unter realen Bedingungen zu testen und zu validieren.
Rolle und durchgeführte Tätigkeiten:
Als Projektleiter und strategischer Berater war ich für die Leitung der Entwicklungs- und Markteinführungsaktivitäten sowie die enge Zusammenarbeit mit Kunden verantwortlich. Meine Aufgaben umfassten:
• Produktentwicklung:
o Definition der funktionalen Anforderungen und Steuerung der Entwicklung der AI-Lösung.
o Enge Zusammenarbeit mit Data-Science-Teams, um Machine-Learning-Modelle zur Optimierung der Berechtigungsprozesse zu entwickeln und anzupassen.
o Sicherstellung der Einhaltung von Datenschutz- und Compliance-Vorgaben bei der Entwicklung und Implementierung der Lösung.
• Go-to-Market-Strategie:
o Entwicklung einer Go-to-Market-Strategie, einschließlich Markt- und Wettbewerbsanalysen, Positionierung und Differenzierung der Lösung.
o Erstellung von Vertriebs- und Marketingmaterialien zur Unterstützung der Markteinführung in der DACH-Region.
o Zusammenarbeit mit Partnern und internen Vertriebsteams zur Skalierung der Lösung.
• Proof-of-Concepts (PoCs):
o Identifikation und Ansprache potenzieller Kunden, insbesondere DAX30-Unternehmen, zur Durchführung von PoCs.
o Planung, Steuerung und Evaluation der PoCs, einschließlich der Definition von Erfolgskriterien und der Integration der Lösung in bestehende IT-Umgebungen.
o Präsentation der Ergebnisse und Rückmeldungen zur weiteren Optimierung der Lösung.

Cyber Security, Forschung & Entwicklung, Machine Learning, Predictive Analytics

7/2020 – 1/2021

Kontext:
Im Rahmen eines strategischen Projekts in der Finanzbranche wurde die Einführung eines zentralen Identity and Access Management (IAM)-Systems geplant. Ziel des Projekts war es, die Anforderungen an ein zentrales IAM-System zu definieren, verschiedene Herstellerlösungen zu evaluieren und die besten Lösungen anhand spezifischer Use Cases zu bewerten. Zudem wurde die Implementierung der Lösungen durch die Hersteller gesteuert und überwacht, um die Entscheidungsfindung zu unterstützen.
Fachliche Schwerpunkte:
• Definition und Abstimmung der Anforderungen an ein zentrales IAM-System unter Berücksichtigung der geschäftlichen und regulatorischen Anforderungen der Finanzbranche.
• Evaluierung und Koordinierung der Implementierung von vier verschiedenen IAM-Systemen durch die Hersteller.
• Durchführung und Bewertung von definierten Use Cases, um die Praxistauglichkeit und Leistungsfähigkeit der Systeme zu testen.
Rolle und durchgeführte Tätigkeiten:
Als Projektleiter war ich verantwortlich für die Steuerung und Durchführung des Evaluierungsprozesses sowie die Koordination der beteiligten Hersteller. Meine Aufgaben umfassten:
• Anforderungsdefinition:
o Erstellung und Abstimmung der Anforderungen an das zentrale IAM-System mit Stakeholdern aus IT, Sicherheit und den Fachabteilungen.
o Berücksichtigung regulatorischer Anforderungen und Best Practices im Bereich IAM, speziell für die Finanzbranche.
• Koordination der Systemimplementierungen:
o Steuerung der Implementierung von vier IAM-Systemen durch die Hersteller, um diese in einer Testumgebung zu evaluieren.
o Sicherstellung, dass die Hersteller die definierten Anforderungen und Spezifikationen einhalten.
o Enge Zusammenarbeit mit internen Teams und Herstellern zur Lösung technischer Herausforderungen während der Implementierungsphase.
• Durchführung und Bewertung von Use Cases:
o Entwicklung von Use Cases, die die zentralen Anforderungen und geschäftskritischen Prozesse abbilden, wie Benutzerbereitstellung, Zugriffskontrolle und Auditfähigkeit.
o Durchführung der Use Cases in der Testumgebung und detaillierte Bewertung der Systemleistungen hinsichtlich Funktionalität, Sicherheit und Benutzerfreundlichkeit.
o Erstellung von Berichten und Präsentationen, um die Ergebnisse den Stakeholdern zu präsentieren und Empfehlungen auszusprechen.

Cyber Security

11/2019 – 6/2020

Kontext:
Das Projekt umfasste ein globales Application Security Assessment für einen führenden Konzern in der Chemie- und Konsumgüterbranche. Ziel war es, die Sicherheitslage von ca. 800 weltweit genutzten Applikationen zu bewerten und zu dokumentieren sowie für ca. 80 unternehmenskritische Applikationen vertiefte Security Assessments durchzuführen. Der Fokus lag auf der Identifikation und Behebung sicherheitskritischer Schwachstellen sowie der Verbesserung der IT-Governance durch aktualisierte Enterprise Architecture Management (EAM)-Dokumentation.
Fachliche Schwerpunkte:
• Leitung eines internationalen Projektteams im Bereich Governance und Security.
• Sammlung und Dokumentation sicherheitsrelevanter Informationen für ca. 800 Applikationen und Aktualisierung der EAM-Dokumentation.
• Durchführung von Security Assessments, Penetrationstests und Schwachstellenscans für ca. 80 unternehmenskritische Applikationen.
• Definition und Begleitung von Mitigationsmaßnahmen zur Behebung identifizierter Sicherheitsrisiken.
Rolle und durchgeführte Tätigkeiten:
Als Projektleiter war ich verantwortlich für die erfolgreiche Durchführung und Steuerung des globalen Assessments. Meine Tätigkeiten umfassten:
• Projekt- und Teamleitung:
o Leitung eines internationalen, funktionsübergreifenden Teams bestehend aus Sicherheitsexperten, Entwicklern und Governance-Spezialisten.
o Planung und Steuerung der Projektphasen, inklusive Meilensteinplanung, Ressourcenmanagement und regelmäßiger Berichterstattung an Stakeholder.
• Informationssammlung und Dokumentation:
o Strukturierte Sammlung sicherheitsrelevanter Daten für ca. 800 Applikationen, einschließlich Architektur, Sicherheitsrichtlinien und Zugriffskontrollen.
o Aktualisierung der Enterprise Architecture Management (EAM)-Dokumentation, um eine konsistente und vollständige Übersicht über die Applikationslandschaft zu gewährleisten.
• Security Assessments und Tests:
o Planung und Durchführung von Security Assessments, darunter Penetrationstests, Schwachstellenscans und Risikoanalysen für ca. 80 kritische Applikationen.
o Koordination von externen und internen Ressourcen für die technische Durchführung der Sicherheitsanalysen.
o Identifikation und Bewertung von Sicherheitslücken basierend auf ihrer Kritikalität und geschäftlichen Relevanz.
• Definition und Mitigation von Maßnahmen:
o Entwicklung von Maßnahmenplänen zur Behebung der identifizierten Schwachstellen und zur Verbesserung der Sicherheitslage.
o Überwachung der Umsetzung durch die verantwortlichen Teams und Unterstützung bei der Validierung der Maßnahmen.
o Erstellung von Richtlinien und Empfehlungen, um zukünftige Sicherheitsrisiken zu minimieren und die Governance-Strukturen zu verbessern.

Cyber Security, ISO / IEC 27001, Application Development

6/2019 – 9/2019

Kontext:
Unterstützung des Chief Information Security Officer (CISO) bei der Entwicklung eines Security Target Picture und einer langfristigen Roadmap. Ziel war es, die zukünftigen Sicherheitsfähigkeiten des Unternehmens zu definieren, deren Reifegrad zu bewerten, priorisierte Maßnahmen abzuleiten und ein Sourcing-Modell festzulegen. Die Ergebnisse dienten als strategische Grundlage für die Ausrichtung und Weiterentwicklung der Sicherheitsorganisation.
Fachliche Schwerpunkte:
• Strategische Beratung des CISOs zur Entwicklung eines Security Target Picture, das auf die geschäftlichen und regulatorischen Anforderungen abgestimmt ist.
• Definition der Ziel-Sicherheitsfähigkeiten, einschließlich einer Bewertung des aktuellen Reifegrads (Maturity Assessment), der Priorisierung der Maßnahmen und der Auswahl eines geeigneten Sourcing-Modells.
• Entwicklung einer High-Level-Sicherheitsroadmap, die die Umsetzung der definierten Sicherheitsmaßnahmen im Rahmen des Sicherheitsprogramms strukturiert und priorisiert.
Rolle und durchgeführte Tätigkeiten:
Als strategischer Berater war ich verantwortlich für die Entwicklung der Zielarchitektur und die Definition der Roadmap. Meine Tätigkeiten umfassten:
• Strategische Beratung:
o Enge Zusammenarbeit mit dem CISO und weiteren Führungskräften zur Definition der Sicherheitsvision und -strategie.
o Berücksichtigung von geschäftlichen Zielen, regulatorischen Anforderungen und bestehenden Sicherheitsbedrohungen in der Strategieentwicklung.
• Definition der Ziel-Sicherheitsfähigkeiten:
o Identifikation und Beschreibung der benötigten Sicherheitsfähigkeiten (z. B. Threat Intelligence, Incident Response, Identity Management).
o Durchführung eines Reifegrad-Assessments, um die aktuelle Sicherheitslage zu bewerten und Verbesserungspotenziale aufzuzeigen.
o Priorisierung der Maßnahmen basierend auf Kritikalität, geschäftlichem Nutzen und Umsetzbarkeit.
o Entwicklung eines Sourcing-Modells, das festlegt, welche Sicherheitsservices intern entwickelt oder extern bezogen werden sollten.
• High-Level-Sicherheitsroadmap:
o Erstellung einer Roadmap, die die Umsetzung der definierten Sicherheitsmaßnahmen strukturiert und priorisiert.
o Berücksichtigung von Zeitplänen, Ressourcenbedarf und Abhängigkeiten zwischen Maßnahmen.
o Identifikation von Quick Wins und langfristigen Initiativen zur kontinuierlichen Verbesserung der Sicherheitslage.
• Kommunikation und Stakeholder-Management:
o Präsentation der Ergebnisse und Empfehlungen an den CISO und das Führungsteam.
o Sicherstellung der Akzeptanz und Unterstützung durch relevante Stakeholder im Unternehmen.

Cyber Security, Strategische Unternehmensplanung