IT Manager Informationssicherheit

1/2012 – 3/2021

Unterstützung in diversen Behördenprojekten, Erstellung von Sicherheitskonzepten nach BSI Grundschutz sowie BSI Standards 100-x, 200-x (analog zu ISO 27001, 27002, 2700x) Erstellung von Notfall-, Virenschutz, Datenschutz- sowie Datensicherungskonzepten. Organisation und Durchführung von Business Impact Analysen (Notfall- sowie Risikomanagement). Projektleitung Informationssicherheit, Teamleitung Informationssicherheit, Kontakt zu Behörden und Dienststellen. Themen waren Netzanbindungen an BDBOS, Servermigration und -rollout.

Im Speziellem:
- Client- und Server Migration von mehr als 4000 Server für eine Landesregierung, Security Verantwortung mit Mitarbeitern, Planung IT Verbund, Anforderungen an Serverkonfigurationen, Service Level Management aus Sicht IT Sicherheit, Abstimmungen mit Service Level Management auch in Bezug auf Berichtswesen, Erstellung Sicherheitskonzept nach IT Grundschutz für den Server Rollout bzw. der Migration. Projekt wurde nach 100 Tagen politisch wieder dem alten Service Betreiber übergeben. Alle Projektmeilensteine wurden erfüllt. (2014 bis 2015)

- Seit mehr als 7 Jahren erstelle ich permanent für neue Architekturen, Migrationen neuer Services, Netzinfrastrukturen Sicherheits-, Datenschutz und Berechtigungskonzepte, die benötigt werden, um eine Freigabe für diesen Service etc. zu ermöglichen. Hierbei entsteht eine enge Bindung an das Projekt (Entwicklung, Projektleitung, externe Dienstleister, RZ-Betreiber und den zukünftigen Betrieb. Die Dokumentationen werden dann der Konzernsicherheit und dem -Datenschutz vorgelegt und abgenommen. Erst danach geht der neue Service in den Betrieb.

- Die meisten Projekte wurden von mir als Teilprojektleiter (mit und ohne weitere Mitarbeiter) als Teil der Gesamtprojektleitung durchgeführt. Abstimmungsmeetings, kritische Diskussionen und Vorbereiten von Präsentationen oder Reports gehörten entsprechend zu den Aufgaben.

- Erstellung von Sicherheits-, Berechtigungs- und Datenschutzkonzepten für Client Virtualisierung und deren verschiedener Nutzungseinsätze. Interne wie auch externe Zugriffe auf die Nutzung von virtuellen Clients werden mit betrachtet. Für neue Anwendungsfälle oder Kunden, die dann diese virtuelle Plattform nutzen wollen, muss zur Freigabe des Service erst ein abgenommenes Sicherheits-, Berechtigungs- und Datenschutzkonzept vorgelegt werden. 2015 bis 06/2019)

- Teilprojektleiter (mit Mitarbeitern) Sicherheitsberatung und Erstellung Sicherheits-, Datenschutz- sowie Berechtigungskonzepte für eine Automatisierungsplattform (Servicemanagement-, Support- sowie administrative Prozesse). Die Automationsplattform wird genutzt und mehr als 30000 Server zu administrieren und automatisiert Patches auszurollen. Eingesetzte Tools von HPE wie HPE-CSA, HPE-OO, HPE-SA, HPE-NA, HPE-DMA, etc. (2015 bis 10/2018)

- Teilprojektleiter (mit Mitarbeitern) Sicherheitsberatung und Erstellung Sicherheitskonzepte auf Basis IT-Grundschutz und ISO27001. Sehr umfangreiches Projekt projektiert bis Ende 2018. Neben Beratung und Erstellung von Dokumentationen auch die Modellierung und gesamte Erfassung von Zielobjekten sowie Durchführung von Risikoanalysen und Basissicherheitschecks. (10/2016 BIS 12/2018)

- Teilprojektleiter Sicherheitsberatung und Erstellung Sicherheitskonzepte auf Basis IT-Grundschutz NEU und ISO27001. Unterstützung bei der Migration des Grundschutz ALT auf NEU, Erstellung der Strukturanalyse, Modellierung und IT Grundschutz Checks nach Grundschutz NEU, Risikoanalyse nach Grundschutz NEU. Erstellung des Sicherheitskonzeptes nach Grundschutz NEU. (01/2019 BIS 06/2019)

- Erfahrungen im öffentlichen Sektor sowie deren Server – und Rechenzentrumsinfrastrukturen von mehr als 3 Jahren.

- Durchführung von Audits, BSC und Revisionen von ganzen Standorten inkl. deren Rechenzentren und Infrastruktur Services (Einbruchmeldeanlagen, Brandmeldeanlagen, Zutrittsschutz sowie Gebäudeüberwachung (Strom, Klima, etc.) Erfahrungen mehr als 3 Jahre in unterschiedlichen Projekten (hauptsächlich öffentlicher Sektor und Privatwirtschaft)

Certified Information Systems Security Professional (CISSP), DIN EN ISO 27001

1/2011 – 3/2012

Unterstützung in einem Kundenprojekt (Energiewirtschaft), International Governance Themen, Prüfen IT Service Verträge gegen IT Security Policy Compliance, Erstellen von verschiedenen Prozessen zur Serviceübernahme wie z.B. Incident-, Change-, Patch- Audit-, Reporting Management, etc.

Certified Information Systems Security Professional (CISSP)

7/2005 – 12/2010

Teilprojekt A: Unterstützung im Bereich Absicherung von Mobilfunk-Netzwerken, Umstellung auf neue Netzwerk-Technologien (HLR), Evaluierung von neuen technischen Lösungen, Audits in sämtlichen sicherheitsrelevanten Bereichen, etc. Viele Projekte mit NatCo Beteiligungen

Teilprojekt B: Koordinierung von Testreihen, Betreuung externer Entwicklungsabteilungen, Einberufungen von Teambesprechungen, Projektplanung, etc.

Teilprojekt C: Mitarbeit Projekt Neuentwicklung Aufbau eines CERTs (Computer Emergency Responsing Team) sowie 5 Jahre operativ tätig als CERT Officer international. Aufbau einer Schwachstellenanalyse-Infrastruktur u.a. mit Hilfe von Qualys Guard. Qualys Einsatz z.b. zur Darstellung und Transparenz von Netzsegmenten, Security Compliance, Überprüfung Hardening und Patchlevel, PCI DSS Compliance, SOX Compliance, individuellen Netzwerk Audits, Unterstützung Security Reporting als Auftragnehmer, etc. Qualys als wichtiges Instrument des Cyber Defence Center.

Teilprojekt D: Evaluierung von Firewall Lösungen für den Betrieb

Teilprojekt E: Evaluierung von Rack-Monitoring-Systemen (physische Sicherheit von Netzwerk Elementen)

Teilprojekt F: Sicherheitsrelevante Abnahme von Netzwerk-Architekturen für den Betrieb (auch TMO NatCos)

Teilprojekt G: Security Verantwortung DVB-H Technologie Projekt. Internationales Projekt mit Eplus, Vodafone und T-Mobile)

Teilprojekt H: Security Unterstützung bei der Einführung neuer Technologien wie IMS-Systemplattformen im Mobilfunkbereich, etc.

Teilprojekt I: Security Verantwortung Long Term Evolution (LTE) Standardkonforme Entwicklung einer neuen internationalen Mobilfunktechnik.

Teilprojekt J: Security Verantwortung für die Entwicklung von biometrischen Bezahlstandards

Teilprojekt K: Security Unterstützung bei Anschaltung fremder Netze

Certified Information Systems Security Professional (CISSP)

6/2005 – 7/2005

Ausarbeitung eines Prüfberichts sowie einer Checkliste aufgrund des ersten Interviews gemäß Best-Practises und IT-Grundschutz Anforderungen
Unternehmensspezifische gesetzliche Anforderungen, baurechtliche Anforderungen, Audit der Anforderungen aufgrund von SLA und anderer Verträge
Abschlußbericht mit Empfehlungen von Maßnahmen

Certified Information Systems Security Professional (CISSP)