IT Security & Compliance Consulting | CISO | ISO 27001 Lead Auditor TISAX NIS2 DORA IEC 62443 AI Act CRA BSI IT-Grundschutz GPT...

1/2009 – 1/2025

Ich bin zertifizierter ISO 27001 Lead Auditor und Geschäftsführer der VamiSec GmbH, spezialisiert auf die Beratung und Zertifizierung von Unternehmen im Bereich der Informationssicherheit. Mit über 100 erfolgreich abgeschlossenen Projekten und über 15 Jahre professionelle Beratungserfahrung, erstreckt sich meine Expertise über verschiedene Branchen, wobei der Schwerpunkt auf der Implementierung von ISMS nach ISO 27001 liegt. Ich setze ich mich dafür ein, ein ISMS und IT-Sicherheitsmaßnahmen nach Stand der Technik zu etablieren, die nicht nur Vermögenswerte schützen, sondern auch die Widerstandsfähigkeit und Innovation von Unternehmen fördern.
Meine Expertise umfasst das ISMS und die Sicherung von Cloud- und On-Premise-Umgebungen nach den Standards ISO 27001, TISAX und BSI IT-Grundschutz sowie die Entwicklung umfassender Strategien für Risikomanagement und Incident Response. Ich bin zertifizierter ISO 27001 Lead Auditor, BSI IT-Grundschutz-Praktiker und Datenschutzbeauftragter (DSGVO) mit einem speziellen Fokus auf die Einhaltung neuer Regulierungen wie dem AI Act, DORA und NIS2.
Zu meinen Kernkompetenzen zählen:
• Informationssicherheitsmanagement und Compliance: Spezialisiert auf IS Governance, externe CISO-Dienstleistungen, Implementierung von ISMS nach ISO 27001 und BSI IT-Grundschutz. Erfahrung in der Einhaltung von gesetzlichen Anforderungen wie NIS2, DORA, TISAX, CRA, AI Act und KRITIS.
• Cloud-Sicherheit: Tiefgreifende Kenntnisse in der Absicherung von Cloud-Umgebungen, insbesondere AWS und Azure. Expertise in CSPM/CNAPP (Wiz), Identitätsschutz und Lizenzierungsstrategien.
• Risikomanagement und Bedrohungsmodellierung: Erfahrung in der Durchführung von Risikoanalysen, Bedrohungsmodellierungen (z. B. STRIDE) und der Entwicklung von Risikobewältigungsstrategien.
• Business Continuity und Disaster Recovery: Kompetenz in der Entwicklung und Implementierung von BCMS und DR-Plänen gemäß ISO 22301. Durchführung von Geschäftsimpactanalysen und Krisenmanagement.
• Anwendungs- & RZ- und Cloud-Sicherheit: Expertise in RZ, Cloud-Migration, sicheren CI/CD-Pipelines, Bedrohungsmodellierung (STRIDE), Container-Sicherheit und Best Practices in AWS-, Azure- und Office 365-Umgebungen.
• Incident Response & Forensik: Erfahrung in der Leitung kritischer Incident Response-Projekte, forensischer Untersuchungen und proaktivem Threat Hunting in Cloud- und On-Prem-Umgebungen.
• KI-gestützte Sicherheit: Einsatz von KI zur Stärkung der Verteidigungs- und Compliance-Maßnahmen, um Unternehmen in einem dynamischen regulatorischen Umfeld einen Schritt voraus zu halten.
Ob Sie Ihre Compliance stärken, Ihre Rechenzentren, hybride IT-Infrastruktur absichern oder die Resilienz Ihres Unternehmens durch KI erhöhen möchten – meine Mission ist es, komplexe Sicherheitsanforderungen in klare, strategische Lösungen zu verwandeln.
Er hat in verschiedenen Branchen gearbeitet, darunter Energieversorgung, Finanzdienstleistungen, Fertigungsindustrie und kritische Infrastrukturen (KRITIS).
Relevante Zertifizierungen
• ISO 27001 ISMS Lead Auditor (TÜV Rheinland AG)
• Experte für die NIS2-Richtlinie (TÜV Nord)
• BSI IT-Grundschutz-Praktiker
• Zertifizierter Auditor nach §8a (3) BSIG (KRITIS)
• AI-Beauftragter gemäß AI Act (BEN Digital)
• Betrieblicher Datenschutzbeauftragter (IHK)
• Projektmanagement-Zertifizierung (PMI®)
• Zertifizierter Whistleblowing-Beauftragter nach HinSchG (ifb)
Weitere Zertifizierungen: Penetrationstester, Experte für Cloud-Sicherheit, Kommunikationsmanagement
Ausgewählte Referenzprojekte und Erfolge
• Externer Gruppen-CISO für ein internationales Handelsunternehmen: Als externer CISO für die Berner Gruppe verantwortlich für die Informationssicherheit von 42 Tochtergesellschaften. Implementierung von TISAX-Kontrollen und Zertifizierung mehrerer EU-Standorte. Einführung von SIEM/SOAR, EDR und Schwachstellenmanagement.
• Implementierung eines ISMS und NIS2-Compliance für einen Energieversorger: Durchführung einer umfassenden Gap-Analyse und Einführung eines ISMS nach ISO 27001 für die Pfalzwerke AG. Entwicklung und Umsetzung eines detaillierten Maßnahmenplans zur Erfüllung der NIS2-Richtlinie.
• Cloud-Sicherheitsberatung und Implementierung: Beratung und Unterstützung bei der Implementierung von Cloud-Sicherheitslösungen (CSPM/CNAPP) für die TÜV Rheinland Gruppe. Integration von Sicherheitslösungen wie Wiz, Aqua und TrendMicro in Azure- und AWS-Umgebungen.
• Data Loss Prevention (DLP) Implementierung für eine Versicherungsgesellschaft:
Leitung der Implementierung von Microsoft Purview DLP bei einem Kunden von Deloitte. Entwicklung von DLP-Richtlinien gemäß BAIT und DORA, Schulung der Mitarbeiter und Integration in bestehende Cloud-Infrastrukturen.
• Business Continuity Management für ein Pharmaunternehmen: Entwicklung und Implementierung eines KRITIS-konformen BCMS inklusive Disaster Recovery nach ISO 22301. Durchführung von Gap-Analysen und Maßnahmenplanung zur Konformität mit B3S Pharma.
• Forensische Analysen und Incident Response: Leitung von Incident-Response-Projekten bei Sicherheitsvorfällen wie IT-Fraud und Kryptojacking. Durchführung von forensischen Analysen, Identifizierung von Einfallspfaden und Entwicklung von Abwehrmaßnahmen.
• Penetrationstests und Anwendungssicherheit: Durchführung von mehr als 100 Penetrationstests für Bankensoftware und Finanzanwendungen. Beratung zu sicherer Webentwicklung nach OWASP-Standards und Implementierung von DevSecOps-Praktiken.

ISO / IEC 27001