Senior Expert Cyber Security und Governance

10/2017 – 5/2020

Beratung bei der Einführung eines integrierten Managementsystems (IMS) gemäß ISO 9001 und ISO 27001
• Vorbereitung und Begleitung des Zertifizierungs-Audits – die Erst-Zertifizierung erfolgte im Oktober 2018
• Übernahme der Aufgaben als externe IMS-Beauftragte
• Planung und Durchführung von internen Audits
• Begleitung von Maßnahmen zur Erreichung der Konformität
• Erstellen der notwendigen Unterlagen (SoA, QMS/ISMS Politik, Risikoanalyse, Notfallkonzept, Security Incident Management, Anpassung vorhandener Prozesse, Erstellung und Aktualisierung diverser Richtlinien)
• Durchführung von Schulungen zur Informationssicherheit und zum Datenschutz

Governance, Auditor, Datenschutz, DIN EN ISO 9001, ISO / IEC 27001, IT-Sicherheitsbeauftragter, Projektleitung / Teamleitung (IT), Richtlinienmanager, Schulung / Training (IT), Schulungskonzepte

8/2017 – 10/2017

Vorbereitung und Begleitung des Überwachungs-Audits zur Aufrechterhaltung der ISO 27001 – Zertifizierung
• Beratung und Unterstützung bei der Erstellung und Anpassung der Datenschutz-Dokumentation und der Prozessbeschreibungen zur Compliance mit der EU-DSGVO (EU-Datenschutzgrundverordnung)
• Vorbereitung und Begleitung der TISAX-Prüfung ( „Trusted Införmatiön Security Assessment Exchange“ zur Bewertung von IT-Dienstleistern der Automobilindustrie)

Datenschutz, Prozessoptimierung, DIN EN ISO 27001

7/2017 – 12/2018

Übernahme der Aufgaben als externe ISMS-Beauftragte
• Aufrechterhaltung und Verbesserung des ISMS (Information Security Management System) gemäß ISO 27001
• Projektplanung, Steuerung und Umsetzung von Verbesserungsmaßnahmen
• Einführung eines integrierten Managementsystems ISO 9001/ ISO 27001 bei der Muttergesellschaft Springtime GmbH in Wien
• Durchführung des internen Audits und von Lieferantenaudits
• Vorbereitung und Begleitung des Überwachungs-Audits zur Aufrechterhaltung der ISO 27001 – Zertifizierung bei Springtime Services GmbH in Wiesbaden
• Vorbereitung und Begleitung des Zertifizierungs-Audits für ein integriertes Managementsystem gemäß ISO 9001/ ISO 27001 bei der Muttergesellschaft Springtime GmbH in Wien – die Zertifizierung fand im Dezember 2018 statt

Governance, Auditor, DIN EN ISO 27001, DIN EN ISO 9001, IT-Sicherheitsbeauftragter, Projektleitung / Teamleitung (IT)

5/2017 – 9/2017

Unterstützung bei der Erstellung eines Richtlinien-Rahmenwerks gemäß ISO 27001 für Endkunden der IT-Security@Work (Automobilzulieferer, Produktion)
• Erstellung und Überarbeitung von Richtlinien aller Themen, u.a. IT Security Baseline, Schutz vor Malware, Vulnerability Management, Trennung von Netzwerken, mobile Endgeräte

Governance, Datenschutz, DIN EN ISO 27001, IT-Sicherheitsberater

8/2016 – 6/2017

Sicherheitsprüfung/-beurteilung von IT-Projekten und Maßnahmen entsprechend interner, regulatorischer und gesetzlicher Rahmenbedingungen
• Neustrukturierung des Patch Management-Prozesses, Abstimmung mit dem Betrieb, Dokumentation und Implementierung
• Entwicklung einer Benutzerrichtlinie und eines Online-Selbststudiums dazu
• Entwicklung einer Checkliste für Projekte und Vorhaben, die alle Anforderungen hinsichtlich Datenschutz, Schutzbedarf BSI/ IT-Grundschutz Standard 100-2, Informationssicherheit gemäß ISO 27001 und IT-Risikoanalyse kombiniert
• IT-Sicherheitsgesetz: Auswirkungen der Rechtsverordnung für kritische Infrastrukturen auf das Unternehmen, Handlungsempfehlungen und Projekt-Grobplanung (Zeit- und Ressourcenbedarf) für eine Zertifizierung nach ISO/ IEC 27001:2013
• Bewertung der Compliance des vorhandenen Informationssicherheits-Managementsystems mit ISO/IEC 27001:2013
• Bewertung der Compliance mit SOx und Solvency II
• Anpassung von Prozessen und Dokumenten an die Vorgaben des Mutterkonzerns
• Fachliches und Methodisches Coaching des neuen internen IT-Sicherheitsbeauftragten (Vorgehensmodelle, Prozessdesign etc.) und Vertretung des IT-Sicherheitsbeauftragten in dessen Abwesenheit

Governance, Compliance management, ISO / IEC 27001, IT-Sicherheitsbeauftragter, IT-Sicherheitsberater, Prozessoptimierung, Schulung / Coaching (allg.), Schulungskonzepte

7/2016 – 3/2017

Beratung bei der Einführung eines ISMS nach ISO/ IEC 27001
• Vorbereitung und Begleitung des Zertifizierungs-Audits- Der Kunde ist am 30.03.2017 zertifiziert worden
• Planung und Durchführung eines internen Audits
• Erstellen der notwendigen Unterlagen (SoA, ISMS Policy, Assetliste, Risikoanalyse, diverse Leitlinien)
• Durchführung von Schulungen zur Informationssicherheit und zum Datenschutz

IT-Sicherheitsberater, ISO / IEC 27001, Risikoanalyse, Richtlinienmanager, Governance, Risikomanagement, Auditor

7/2016 – 8/2016

Entwicklung und Durchführung der folgenden Seminare:
o Datenschutz und Cloud Computing
o Datenschutzbeauftragte und Informationssicherheit
o IT - Sicherheit Grundlagen

IT-Sicherheitsberater, Datenschutz, Cloud Computing, Schulung / Training (IT), Schulungskonzepte

5/2016 – 7/2016

Review und Update des gesetzlich geforderten IT-Sicherheitskonzeptes gemäß § 109 TKG (Version 2016)
• Identifikation und Implementierung der Datenschutzanforderungen aus TKG, TMG, und BDSG
• Identifikation der aus dem IT-Sicherheitsgesetz resultierenden Anforderungen

IT-Sicherheitsberater, Datenschutz, Compliance management

1/2016 – 3/2016

Unterstützung beim Betrieb und der Verbesserung eines ISMS gemäß ISO/IEC 27001:2013
• Neuerstellung und Überarbeitung von Richtlinien, Abnahme von Sicherheitskonzepten, Unterstützung bei der Implementierung angemessener Sicherheitsmaßnahmen in Projekten und bestehenden IT-Systemen vom internen Betrieb und von Outsourcing-Partnern
• Unterstützung bei der Identifikation und Umsetzung bankspezifischer Sicherheitsanforderungen
• Review von Compliance Self Assessments mit Hilfe des Tools „RSA Archer“

IT-Sicherheitsberater, ISO / IEC 27001, Governance, Compliance management

11/2015 – 12/2015

Bestandsaufnahme der bestehenden Umgebung, Erstellen eines Architektur- und Design-Dokuments für eine 2-Tier PKI auf Basis Windows 2012 R2: Offline Root CA, Subordinate Enterprise CA
• Vorbereitung der bestehenden Infrastruktur inklusive Active Directory
• Proof of Concept in einer Testumgebung
• Unterstützung der Implementierung der neuen PKI und bei der Einrichtung des Certificate Autoenrollments für Benutzer und Computer
• Unterstützung beim Rollout diverser Zertifikate für interne und externe Webserver sowie für Router, WLAN Controller und VPN-Server
• Dokumentation: Design-Dokument, Installationsanleitungen und Betriebshandbuch

IT-Berater, IT-Sicherheitsberater, Projektleitung / Teamleitung (IT), Schreiben von Dokumentation

7/2015 – 10/2015

Fachliche Unterstützung des Datenschutzbeauftragten im Zusammenhang mit den Verfahrensverzeichnissen.
• Prüfen der Verfahrensverzeichnisse gemäß § 11 Landesdatenschutzgesetz (LDSG) Baden-Württemberg und Audit der betroffenen Verfahren insbesondere im Hinblick auf die Einhaltung der Technisch-Organisatorischen Maßnahmen gemäß § 9 LDSG.

Datenschutz, Auditor

7/2015 – 10/2015

Erstellen von Sicherheits- und Datenschutzkonzepten (basierend auf ISO 27001) für den Bereich „Product Design“.
• Fachliches Umfeld: Netzwerkdesign (LAN, WLAN, VLANs, 802.1x, Firewallregeln, Network Policy Server NPS, VPN-Zugang für Mitarbeiter, Anbindung von Partnerunternehmen),
• Konfiguration der Windows 10 - Clientrechner inkl. Rollout, Group Policies, Remote Verwaltung, Antivirus, Host Firewall.
• Neu konzipiertes Active Directory des Geschäftsbereichs inclusive mehrstufiger PKI mit Standalone Offline Root CA und zwei Subordinate Enterprise CAs. Computerzertifikate zur 802.1x-Authentifizierung an LAN und WLAN. Benutzerzertifikate zur Authentifizierung am VPN. Web Server – Zertifikate.
• Experience Toolbox: Web-Plattform für die Zusammenarbeit mit externen Grafik-Designern.
• Abstimmung mit Konzernsicherheit, Konzerndatenschutz und Konzernbetriebsrat.

IT-Sicherheitsberater, ISO / IEC 27001, Technische Dokumentation

1/2015 – 7/2015

Beschaffungswesen:
Erstellen eines Fachkonzepts zur Implementierung neuer Funktionen in das Tööl „JöbRöuter“, mit welchem die Workflows für die Abwicklung von Beschaffungen abgebildet werden. Entwicklung von Testszenarien, Organisation der Teststellungen mit Anwendern in verschiedenen Rollen, Auswertung der Tests, Koordination der Umsetzung der Anforderungen mit der Entwicklung.
• Entwicklung von Schulungsunterlagen, Kurzbeschreibung und Handbuch.
• Koordination des Rollouts der neuen Version.
Dokumentenmanagement & Archivierung:
Erstellen einer Bedarfsanalyse für ein Dokumentenmanagement-System mit Workflow-Funktionalität und rechtssicherer elektronischer Archivierung.
• Interviews mit den Fachbereichen zur Aufnahme der Anforderungen. Analyse der Anforderungen und Design einer möglichen Lösung. Entwicklung eines Projekt-Phasenplans. Grobabschätzung des Zeitaufwands, der Kosten und der benötigten Ressourcen zur Umsetzung. Kurze Marktstudie zur Darstellung möglicher Lösungen.

Softwaredokumentation, It-Beratung, Prozessoptimierung, Schulungskonzepte

4/2014 – 3/2015

SmartCard:
Einführung eines neuen Ausweises für die Studierenden, Mitarbeiter und Dozenten der DHBW auf Basis einer RFID SmartCard (myFare DESFire)
• Funktionalitäten der SmartCard: Zutrittskontrolle, Schließfächer, Zeiterfassung, Bibliothek Ausleihe, Micropayment (Mensa, Gebühren, Kopierer/Drucker), bargeldloses Aufladen per SEPA-Lastschrift
• Die Harmonisierung der Bibliotheks-Ausleihe mit Uni und Hochschule Mannheim war Bestandteil des Projektes und erforderte Absprachen hinsichtlich technischer und prozessualer Implementierung
• Die Einführung der neuen Karten bedingte gleichzeitig ein Upgrade der vorhandenen Systeme: neue Kopierer/ Drucker mit Druckmanagement-Software Q-Pilot (Schomäcker), Zeiterfassung, Zutrittskontrolle, neues Card Management System CM 6 (Schomäcker) zum Codieren und Bedrucken der Chipkarten
• Einholen von Angeboten und Auslösung von Bestellungen, Koordination der Lieferanten
• Neben der Projektleitung waren umfangreiche Dokumente zu erstellen, u.a. Lastenhefte, Design-Handbuch, Datenschutzkonzept inkl. Vereinbarung von Verträgen zur Auftragsdatenverarbeitung (ADV), Nutzungsordnung, Design der Prozesse (Sperren/ Entsperren der Karte, Ersatzkarte ausstellen)
Multifunktionsdrucker:
Definition der Leistungsanforderungen und deren Prioritäten und Gewichtungen
• Unterstützung bei der Durchführung einer öffentlichen Ausschreibung
• Begleitung einer Teststellung
• Architektur der neuen Lösung inklusive Funktionen wie Farbkopien, Druck vom Arbeitsplatz aus, Follow-Me Print und Mobile Printing und Druckermanagement durch einen externen Dienstleister
• Integration in die Druckmanagement-Söftware „Q-Pilöt“ (Schomäcker)
• Rollout-Planung inklusive Abholung der Altgeräte und Begleitung des Rollouts
• Preiskalkulation für Schwarz/ Weiss – und Farbkopien

Projektleitung / Teamleitung (IT), Schreiben von Dokumentation, AVA (Ausschreibung, Vergabe und Abrechnung)

11/2013 – 3/2015

Durchführung von Zertifizierungsaudits im Auftrag des TÜV SÜD als freiberufliche Auditorin

ISO / IEC 27001, Auditor