freiberufler ISMS und IT-Sicherheitsberatung auf freelance.de

ISMS und IT-Sicherheitsberatung

zuletzt online vor 3 Tagen
  • auf Anfrage
  • 93492 Treffelstein
  • National
  • de  |  en
  • 24.09.2021

Kurzvorstellung

• Managementsysteme und Standards
• Aufbau und fachliche Führung von Teams
• IT / OT / Cloud Risikoanalysen und Bedrohungsmodelle (threat models)
• Security by Design / Privacy by Design
• Dokumentation
• Sichere Anwendungsentwicklung
• Audits

Ich biete

  • DIN ISO/IEC 27001
  • Security by Design / Privacy by Design
  • Threat Modeling
  • Audits als Auditor und Auditee
  • BSI-Standards
  • ISMS als integriertes Management System
  • ISO 22301 IT-Notfallvorsorge / Notfallbewältigung
  • ISO 27005 / ISO 31000
  • Wasserfall und SecDevOps

Projekt‐ & Berufserfahrung

Selbstständig ab Nov`21
Selbstständig, Deutschlandweit und remote
8/2021 – offen (3 Monate)
Keine Einschränkungen hinsichtlich Branchen
Tätigkeitszeitraum

8/2021 – offen

Tätigkeitsbeschreibung

Dienstleistungsportfolie lässt sich dem angefügten Beraterprofil entnehmen

Eingesetzte Qualifikationen

DIN ISO/IEC 27001

Senior Consultant GRC (Governance, Risk, Compliance) (Festanstellung)
Kundenname anonymisiert, Remote
5/2021 – 10/2021 (6 Monate)
Transport (ÖPNV)
Tätigkeitszeitraum

5/2021 – 10/2021

Tätigkeitsbeschreibung

found in reference description 13
Thema:
Risikoanalysen für IT/OT Komponenten

Rolle:
Teamleiter und operativer Berater

Teamgröße:
4 Mitarbeiter

Zielsetzung / erwartete Lieferleistung:
IT/OT relevante Risikoanalysen als Teil des Zulassungsprozess für ein Schienenfahrzeug im öffentlichen Personenverkehr (ÖPNV)

Aktivitäten:
- Risikoanalysen für das Fahrzeugleitsystem, sowie für das Bordnetz durchgeführt.
- Prozessharmonisierung über Threat Modeling Methode und klassischer IT-Risikoanalyse formuliert
- Definition sicherheitsrelevanter Ereignisse für SIEM Lösung definiert

Methoden und Werkzeuge:
BSI Grundschutz, VDV 440 / 4400, ISO 62443 4-1 & 4-2, Methodik des Auftraggebers

Eingesetzte Qualifikationen

DIN ISO/IEC 27001

Senior Security Consultant (Festanstellung)
Kundenname anonymisiert, Remote
1/2021 – 4/2021 (4 Monate)
Automobilindustrie
Tätigkeitszeitraum

1/2021 – 4/2021

Tätigkeitsbeschreibung

Thema:
UNECE IT/OT Risikoanalysen

Rolle:
Teamleiter und operativer Auditor

Teamgröße:
4 Mitarbeiter

Zielsetzung / erwartete Lieferleistung:
Informationsklassifizierung für Fahrzeugtypische Softwarekomponenten, Risikoanalysen für Steuergeräte und den korrespondierenden Backend Systemen zur initialen Softwarebetankung und für Softwareaktualisierungen.

Aktivitäten:
- Auditoren Team aufgebaut
- Projektsteuerung in Absprache mit dem Auftraggeber
- Informationsklassifizierung im Interview erhoben und dokumentiert
- Risikoanalysen durchgeführt und dokumentiert

Methoden und Werkzeuge:
Risikoanalysemethodik des Auftraggebers

Eingesetzte Qualifikationen

DIN ISO/IEC 27001

Senior Security Consultant (Festanstellung)
Kundenname anonymisiert, Remote
12/2020 – 4/2021 (5 Monate)
Energiewirtschaft
Tätigkeitszeitraum

12/2020 – 4/2021

Tätigkeitsbeschreibung

Thema:
BDEW Compliance Check für Anlagenerrichtung im Übertragungsnetz

Rolle:
Teamleiter und operativer Auditor

Teamgröße:
2 Mitarbeiter

Zielsetzung / erwartete Lieferleistung:
Lieferantenaudit entlang der Vorgaben des Bundesverbands der Energie- und Wasserwirtschaft (BDEW) und daraus resultierender Ergebnisbericht.

Aktivitäten:
- Auditplan erstellt
- Lieferantenaudit gegenüber dem Generalunternehmer geleitet und durchgeführt
- Maßnahmenempfehlung für Korrekturmaßnahmen formuliert
- Compliance Abschlussbericht - in englischer Sprache - erstellt

Methoden und Werkzeuge:
BDEW Whitepaper: Anforderungen an sichere Steuerungs- und Telekommunikationssysteme v.1.0

Eingesetzte Qualifikationen

DIN ISO/IEC 27001

Senior Security Consultant (Festanstellung)
Kundenname anonymisiert, Remote
11/2020 – 12/2020 (2 Monate)
Finanzdienstleister
Tätigkeitszeitraum

11/2020 – 12/2020

Tätigkeitsbeschreibung

Thema:
Prozessaudit für 'Software Entwicklung'

Rolle:
Operativer Auditor

Teamgröße:
3 Mitarbeiter

Zielsetzung / erwartete Lieferleistung:
Prozessaudit für ‚Software Entwicklung‘ mit fünf exemplarischen Stichproben.

Aktivitäten:
- Informationen entlang der Dokumentenlage erhoben
- Ergebnis mit der Prozessbeschreibung verglichen
- Ergebnisbericht formuliert

Methoden und Werkzeuge:
Auftraggeber spezifische Richtlinie zur Prozessdurchführung ‚Software Entwicklung‘

Eingesetzte Qualifikationen

DIN ISO/IEC 27001

Senior Security Consultant (Festanstellung)
Kundenname anonymisiert, Remote
9/2020 – 11/2020 (3 Monate)
Finanzdienstleister
Tätigkeitszeitraum

9/2020 – 11/2020

Tätigkeitsbeschreibung

Thema:
Technische Audits für verschiedene Technologiefelder

Rolle:
Operativer Auditor

Teamgröße:
3 Mitarbeiter

Zielsetzung / erwartete Lieferleistung:
Technische Audits für folgende Komponenten:
- IBM MQ
- IBM Integration Bus
- IBM DB2 rDBMS
- IBM DS8000
- Hitachi Data Storage Virtual Storage Platform (HDS VSP) G1000
- Brocade SAN Switch
- Iteration NetApp Filer

Aktivitäten:
- Auditpläne erstellt
- Informationen im Interview erhoben
- Ergebnis mit den Richtlinien des Auftraggebers verglichen
- Ergebnisbericht formuliert

Methoden und Werkzeuge:
Auftraggeber spezifische Richtlinien für die Konfiguration und den Betrieb der vorgenannten Komponenten.

Eingesetzte Qualifikationen

DIN ISO/IEC 27001

Senior Security Consultant (Festanstellung)
Kundenname anonymisiert, Bundeseweit und Remote
4/2019 – 12/2020 (1 Jahr, 9 Monate)
Automobilindustrie
Tätigkeitszeitraum

4/2019 – 12/2020

Tätigkeitsbeschreibung

Thema:
Cloud / IT Risikoanalysen

Rolle:
Teamleiter und operativer Auditor

Teamgröße:
5 Mitarbeiter

Zielsetzung / erwartete Lieferleistung:
Informationsklassifizierung und Risikoanalysen für IT Backend Systeme im Office und Produktionsbereich, als on-premise und Cloud Architektur

Aktivitäten:
- Projektsteuerung in Absprache mit dem Auftraggeber
- Informationsklassifizierung im Interview erhoben und dokumentiert
- Risikoanalysen durchgeführt und dokumentiert

Methoden und Werkzeuge:
Wasserfall, SecDevOps, continuous integration / continuous delivery (ci/cd), managed Docker and Kubernetes services, Risikoanalysemethodik des Auftraggebers

Eingesetzte Qualifikationen

DIN ISO/IEC 27001

Senior Security Consultant (Festanstellung)
Kundenname anonymisiert, Bundesweit und Remote
3/2018 – 2/2021 (3 Jahre)
Automobilindustrie
Tätigkeitszeitraum

3/2018 – 2/2021

Tätigkeitsbeschreibung

Thema:
Bedrohungsmodelle (threat models) für IT/OT/Cloud Architekturen

Rolle:
Teamleiter und operativer Information Sicherheitsarchitekt

Teamgröße
4 Mitarbeiter

Zielsetzung / erwartete Lieferleistung:
Privacy and Security by Design. Berücksichtigung von Informationssicherheit, als Teil der sicheren Anwendungsentwicklung. Bedrohungsmodelle erstellen, für verschiedenste on-premise und Cloud Architekturen, sowie für ‚embedded devices‘ mit Wasserfall- und SecDevOps Entwicklungsmethode.
Z.B. für:
- RFID Bezahlsysteme
- Lackroboter
- vernetzte Großküchengeräte
- Kampagnen Planungssysteme
- KI und Big Data Anwendungen
- QM Systeme
- System zur Steuerung von Ausbildungsinhalten
- Systeme zur Lieferantensteuerung
Zielsetzung ist, die Angriffsoberfläche (attack surface) so klein wie möglich zu halten und für Security Awareness in Entwicklungsprojekten zu sorgen.

Aktivitäten:
- Information Sicherheitsarchitekten Team aufgebaut
- Bedrohungsmodelle für monolithisch und microservice Architekturen erstellt
- Ergebnisbericht – in englischer Sprache - erstellt

Methoden und Werkzeuge:
STRIDE, Salzer and Schröder, OWASP Top Ten, OWASP Secure Application Verification Standard, ISO 27017, ISO 27018, EU-DSGVO, threat modeling Methode des Auftraggebers.

Eingesetzte Qualifikationen

DIN ISO/IEC 27001

Senior Security Consultant (Festanstellung)
Kundenname anonymisiert, Hamburg und Remote
11/2017 – 2/2018 (4 Monate)
Transport und Logistik (Schifffahrt)
Tätigkeitszeitraum

11/2017 – 2/2018

Tätigkeitsbeschreibung

Thema:
ISMS Beratung im Bereich KritisV

Rolle:
Teamleiter und operativer Berater

Teamgröße:
2 Personen

Zielsetzung / erwartete Lieferleistung:
- ISMS Gap Analyse für europäische Standorte vorbereitend für BSIG §8a
- Vereinheitlichung der Risikomanagement Methode nach ISO 27005 als Grundlage für ISO 27001 ISMS und ISO 22301 BCM
- mehrere Varianten an Angeboten und Projektplänen für Beratungsdienstleistungen zur ISO 27001 Zertifizierung

Aktivitäten:
- ISMS Gap Analyse erstellt
- ISMS Reifegradanalyse in Bezug zu dem Governance Framework des zukünftigen Eigentümers erstellt
- abgestimmte Vorgehensweise zum ISO 27005 konformen Risikomanagement in Form einer Prozessbeschreibung nebst notwendiger Risikokriterien erstellt
- zwei Angebotsvarianten und Projektpläne für Beratungsdienstleistungen zur ISO 27001 Zertifizierung erstellt

Methoden und Werkzeuge:
BSI Gesetz (BSIG), Verordnung zur Bestimmung kritischer Infrastrukturen (KritisV), Orientierungshilfe zu Nachweisen gemäß
§ 8a (3) BSIG, ISO 27001, ISO 27005

Eingesetzte Qualifikationen

DIN ISO/IEC 27001

Leiter der Stabsstelle für Informationssicherheit (Festanstellung)
Kundenname anonymisiert, Bundesweit
1/2017 – 9/2017 (9 Monate)
Energiewirtschaft
Tätigkeitszeitraum

1/2017 – 9/2017

Tätigkeitsbeschreibung

found in reference description 4
Thema:
Beratung für ISMS Aufbau und Zertifizierung

Rolle:
Berater für ISMS Aufbau und Zertifizierung

Teamgröße:
1 Mitarbeiter

Zielsetzung / erwartete Lieferleistung:
Beratung und Dokumentationserstellung für Stadtwerke und Stadtwerkekonsortien im Kontext der Zertifizierung zum Smart Meter Gateway Administrator (SMGw-A)

Aktivitäten:
Unterstützung bei der Zertifizierung in Form von Dokumententemplates, Prozesslandkarten, Workshops und Beratungsdienstleistungen.

Methoden und Werkzeuge:
ISO 27001 in Verbindung mit TR-03109-6 und BSI Certificate Policy der Smart Metering PKI (CP-SM-PKI)

Eingesetzte Qualifikationen

DIN ISO/IEC 27001

Über verschiedene berufliche Stationen hinweg, seit Jan`17 (Festanstellung)
Kundenname anonymisiert, Bundesweit
1/2017 – offen (4 Jahre, 10 Monate)
Energiewirtschaft
Tätigkeitszeitraum

1/2017 – offen

Tätigkeitsbeschreibung

Thema:
Sicherheitskonzept EMT passiv

Rolle:
Autor eines 90 Seiten starken Sicherheitskonzeptes

Teamgröße:
1 Mitarbeiter

Zielsetzung / erwartete Lieferleistung:
IT-Sicherheitskonzept welches den regulativen Anforderungen der ‚Certificate Policy der Smart Metering Public Key Infrastructure‘ (CP-SM-PKI) des Bundesamts für Sicherheit in der Informationstechnologie (BSI) und des Datenschutzes (EU-DSGVO) genügt. Vertriebsunterstützung und Beratung beim Anwender vor Ort.

Aktivitäten:
IT-Sicherheitskonzept (SiKo) initial erstellt und kontinuierlich – entlang sich ändernder gesetzlicher und regulativer Vorgaben – angepasst. Spezifische Anpassungen auf die Gegebenheiten bei Anwendern vor Ort durchgeführt. In der Regel wird das SiKo von Stadtwerken und Stadtwerkekonsortien angewendet. Weitere SiKo Ausprägungen für die Geschäftsfälle on-premise und Software as a Service (SaaS) erstellt.

Methoden und Werkzeuge:
MsbG, EU-DSGVO, BSI Certificate Policy der Smart Metering Public Key Infrastructure‘ (CP-SM-PKI)

Eingesetzte Qualifikationen

DIN ISO/IEC 27001

Beauftragter für Informationssicherheit (Festanstellung)
Kundenname anonymisiert, Saarbrücken
4/2016 – 9/2017 (1 Jahr, 6 Monate)
Energiewirtschaft
Tätigkeitszeitraum

4/2016 – 9/2017

Tätigkeitsbeschreibung

Thema:
Aufbau und Leitung konzernweites, integriertes ISMS

Teamgröße:
2 Mitarbeiter

Zielsetzung / erwartete Lieferleistung:
Aufbau und Leitung konzernweites, integriertes ISMS für die Sparten Messstellenbetrieb, öffentlicher Personenverkehr (ÖPNV) und Office IT.

Aktivitäten:
- Organisatorischen Überbau für Organisationseinheit ‚Informationssicherheit‘ errichtet
- Organisationseinheit ‚Informationssicherheit‘ geleitet
- Konzernweites ISMS Berichtswesen erstellt
- Prozesse aus der ISO 9001 Landschaft integriert
- Im Bereich PCI-DSS für Plastikkarten Bezahlsysteme operativ unterstützt

Methoden und Werkzeuge:
ISO 27001, ISO 9001, PCI DSS

Eingesetzte Qualifikationen

DIN EN ISO 27001

Leiter der Stabsstelle für Informationssicherheit (Festanstellung)
Kundenname anonymisiert, Saarbrücken
2/2016 – 1/2017 (1 Jahr)
Energiewirtschaft
Tätigkeitszeitraum

2/2016 – 1/2017

Tätigkeitsbeschreibung

found in reference description 2
Thema:
ISO 27001 Zertifizierung

Rolle:
Leiter der Stabsstelle für Informationssicherheit

Anzahl Mitarbeiter im ISMS Geltungsbereich:
24 Personen

Zielsetzung / erwartete Lieferleistung:
Leitung des ISO 27001 Zertifizierungsprojektes für Smart Meter Gateway
Administrator (SMGw-A) und Public Key Infrastructure (PKI SubCA) mit der fristgerechten Zertifizierung innerhalb der nächsten 11 Monate.

Aktivitäten:
ISO 27001 Zertifizierung für SMGw-A und PKI SubCA in den Ausprägungen Software as a Service (SaaS) und Business Process as a Service (BPaaS) fristgerecht erreicht.

Methoden und Werkzeuge:
ISO 27001 in Verbindung mit TR-03109-6, TR-03145 und BSI Smart Meter-Certificate Policy-Public Key Infrastructure (CP-SM-PKI)

Eingesetzte Qualifikationen

DIN ISO/IEC 27001

Inhaber nebengewerblich
Kundenname anonymisiert, Remote
9/2009 – 12/2015 (6 Jahre, 4 Monate)
Finanzdienstleister
Tätigkeitszeitraum

9/2009 – 12/2015

Tätigkeitsbeschreibung

Thema:
Sicherheitshärtung und Sicherheitsüberwachung

Rolle:
Nebengewerblich selbstständig

Teamgröße:
1 Person

Zielsetzung / erwartete Lieferleistung:
Sicherheitshärtung und Sicherheitsüberwachung zweier Webserver - jeweils unter Open SuSE und Debian LTS.

Aktivitäten:
- IT-Sicherheitshärtungskonzept entwickelt und gewartet
- Systeme aktiv überwacht
- Technischen Kontrollen auf den Systemen regelmäßige auf Wirksamkeit überprüft
- kontinuierliche Auswertung relevanter Quellen nach Schwachstellen
- Monatliche Berichte erstellt

Methoden und Werkzeuge:
Iptables, Fail2ban, port scan attack detection (PSAD), advanced intrusion detection system (AIDE), periodische Schwachstellenscans, weitere spezifische technische Maßnahmen

Eingesetzte Qualifikationen

Linux (Kernel)

Senior System Manager (Technical Engineering Compliance) (Festanstellung)
Kundenname anonymisiert, International
6/1999 – 1/2016 (16 Jahre, 8 Monate)
Maschinen-, Geräte- und Komponentenbau
Tätigkeitszeitraum

6/1999 – 1/2016

Tätigkeitsbeschreibung

Thema:
Erfüllung normativer und regulativer Vorgaben zur Informationssicherheit

Rolle:
- Mitglied ISMS Management Team
- Beauftragter für Hardware Security Module (HSM)
- PKI - 1st Crypto Officer
- Operativer IT Mitarbeiter im Rechenzentrum
- Stellvertretender Abteilungsleiter

Anzahl ständige Mitglieder ISMS Management Team:
5 Mitarbeiter

Zielsetzung / erwartete Lieferleistung:
Erfüllung normativer und regulativer Vorgaben zur Informationssicherheit als Voraussetzung für die Erschließung von internationalen Marktzugängen.

Aktivitäten:
- In der Rolle ‚Lieferant‘ weltweit Audits bestehen
- Aufbau Betrieb und Verbesserung eines ISMS / BCM nach verschiedenen Normen und Standards
- Erstellung von Risikoanalysen
- Aufbau einer IT-Service Organisation nach ISO 20000 / ITIL
- Betrieb von HSM‘s
- Betrieb einer PKI für eine machine-to-machine (M2M) Architektur
- Systementwickler für M2M Architekturen
- Durchführung von technischen Schwachstellentests
- Erstellung von ISMS / BCM / PKI / System Dokumentation als Autor und Co-Autor
Schnittstelle zu externen Entwicklungspartnern und Prüflaboren
- Steuerung von Lieferanten
- Entwicklung von BDSG Verfahrensbeschreibungen

Methoden und Werkzeuge:
BS7799, BS17799, BSI-Grundschutz, EBIOS, ISO 27001, NIST
800-34, COBIT, CMMI for Service Providers, SAS 70, OpenVAS, Backtrack, Kali Linux, Wireshark

Eingesetzte Qualifikationen

DIN ISO/IEC 27001

Zertifikate

found in certificate text 0 Certified Information Systems Security Professional (CISSP) -Certificate ID [...]
April 2018

Ausbildung

AEG AG - Industrieelektroniker Gerätetechnik
(Ausbildung)
Jahr: 1992
Ort: Berlin

Persönliche Daten

Sprache
  • Deutsch (Muttersprache)
  • Englisch (Fließend)
Reisebereitschaft
National
Arbeitserlaubnis
  • Europäische Union
Home-Office
bevorzugt
Profilaufrufe
59
Alter
50
Berufserfahrung
22 Jahre und 4 Monate (seit 06/1999)
Projektleitung
5 Jahre

Kontaktdaten

Nur registrierte PREMIUM-Mitglieder von freelance.de können Kontaktdaten einsehen.

Jetzt Mitglied werden