IT Unternehmensberater

4/2020 – 12/2021

Coaching Organisationsaufbau Information Risk Management
- Fachliches Coaching und (Prozess-)Beratung hinsichtlich einer ordnungsgemäßen Erfüllung von IT Governance und Compliance Anforderungen, insbesondere aber nicht beschränkt auf die Erbringung und Darstellung von Evidenzen unter Berücksichtigungen interner und externer Vorgaben.
- Kern ist das Coaching des Teams und die Beratung im Rahmen der IT Compliance Prozessgestaltung und -verbesserung mit Ausrichtung auf das interne Kontrollsystem.
- Inhalt ist die Bearbeitung konkreter Anfragen des Auftraggebers sowie die Entwicklung von Lösungs- und Verbesserungsvorschlägen.

CISA (Certified Information Systems Auditor), CISM (Certified Information Security Manager), Certified in Risk and Information systems Control (CRISC)

2/2020 – 3/2020

Projekt Support Risikoanalyse und IT Audit

- Unterstützung der 2nd LoD bei der IT Risikoanalyse und Bewertung im Rahmen eines bankweiten Projektes im Bereich SME
- Review vorhandener risikomitigierender Maßnahmen und Erarbeitung von Empfehlung zur weiteren Verbesserung und Umsetzung
- Risk Areas: IT Foundation Controls, Operational Resilience, BCM, IT Changemanagement, Security Monitoring, Platform Security, IAM, EUC, Cybercrime Resilience

CISA (Certified Information Systems Auditor), CISM (Certified Information Security Manager), Certified in Risk and Information systems Control (CRISC), Risikomanagement, Projektmanagement - Audits, Auditor, DIN EN ISO 27001

4/2019 – 1/2020

Testen der IT Key Controls und Weiterentwicklung des KCT Processes
• Test und Überprüfung der internen Kontrollen als ToD und ToE (Test of Design und Test of Effectiveness)
• Themenfelder des Testings: Foundation, ChangeManagement, Operational Resilience, Platform Security, Incident/Security Incident Management, Problem Management, Datacenter Resilience
• Inhalte: Governance, PUA, Authentication, Authorisation Design, Design Verification, Management Review Controls
• Erstellung von Testskripts /Testplänen
• Erstellung von Arbeitsanweisungen zur Überprüfung der internen Kontrollen
Themenentwicklung und Konzeption zu Embedded Testing, Prozessgestaltung und Integration interner Kontrollen

ITIL, CISA (Certified Information Systems Auditor), CISM (Certified Information Security Manager), IT Sicherheit (allg.), Projektmanagement - Audits, Auditor

2/2018 – 3/2019

- Erhöhung des Reifegrads des BCMS
- Weiterentwicklung des BCM-Test und Übungskonzeptes und zugrunde liegender Vorgaben
- Erstellung von begleitender Dokumentation und Anpassung bestehender Richtlinien
- Planung, Beleitung der Durchführung und Ergebnisdokumentation von BCM-Tests und Übungen inkl. Lessons Learned
- Überführung von GAPs in das Issue Management
- Prüfung der Meilensteinplanung
- Daten und Workflowmanagement bei Einführung BCM Tool
- Entwicklung eines IKS für den Bereich Test & Übungen
- Konzeption eines Issue Management

BSI-Standards, CISA (Certified Information Systems Auditor), CISM (Certified Information Security Manager), Informationssicherheit, IT Sicherheit (allg.), DIN ISO/IEC 27001, IT-Beratung (allg.), Prozessoptimierung, Betriebskontinuitätsmanagement (BKM), Certified in Risk and Information systems Control (CRISC), Risikomanagement, Prozessberatung, Krisenkommunikation

6/2017 – 9/2017

Unterstützung der internen Revision durch die Prüfung
des Business Continuity Management Systems
 Beurteilung der grundsätzlichen Methodik der neu
implementierten Anweisungslage (interne
Anweisungen)
 Prüfung auf Angemessenheit und Wirksamkeit
(Konformität zu Standards) sowie hinsichtlich der
konformen Ausgestaltung gegenüber
regulatorischen Vorgaben
 Standards DIN ISO 22301 / vormals BS25999,
"100-4" des BSI und die interne Anweisungslage
als Prüfungsgrundlage
 Funktionsprüfung: Abgleich der internen
Anweisungslage gegen den "gelebten Prozess"
 Erstellen einer angemessenen und
nachvollziehbaren Dokumentation der gesamten
Prüfung
Seite 4 von 15
 Erstellen von aussagekräftigen Feststellungen bei
Abweichungen (Feststellung, Auswirkung,
Ursache, Empfehlung)
 Entwicklung und Abgabe von
Maßnahmenempfehlungen
 Know-How Transfer zum Kunden über Methodiken
und praktische Inhalte von BCM

CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), BSI-Standards, IT Sicherheit (allg.), IT-Governance, DIN ISO/IEC 27001, IT-Beratung (allg.), Krisenmanagement, Betriebskontinuitätsmanagement (BKM), Projektleitung / Teamleitung, Auditor

5/2017 – 6/2018

1. Konzeption und Durchführung eines Self Assessment zum Umsetzungsstand der BAIT (bankfachliche Anforderungen an IT – Konkretisierung der MaRisk durch die Bafin), 2. Unterstützung bei der Einführung von COBIT 5 als Governance Framework
• Aufbereitung der Assessment-Unterlagen
• Definition von Key Controls und Evidenzanforderungen
• Durchführung von Interviews mit den jeweiligen Stakeholdern
• Interpretation der Ergebnisse
• Darstellung von Beobachtungen i.S. von GAPs zur BAIT
• Entwicklung von Maßnahmenempfehlungen zur Schließung der GAPs
• Mapping der Anforderungen zu Prozessen aus COBIT 5
• Kommunikation mit Stakeholdern aus anderen Fachbereichen zur Einführung von COBIT 5

Referenzen können auf Anfrage vermittelt werden.

Service Management, BSI-Standards, Informationssicherheit, IT Sicherheit (allg.), IT-Governance, Projektleitung / Teamleitung (IT), DIN ISO/IEC 27001, DIN ISO/IEC 27002, Qualitätsmanagement / QS / QA (IT), IT-Beratung (allg.), Prozessoptimierung, Risikomanagement, Projektmanagement - Audits, Projektmanagement - Risikomanagement

9/2016 – 12/2016

Evaluierung einer ERP Lösung, Ausschreibung und Angebotsauswahl/Bewertung
• Anforderungsmanagement mit den Fachbereichen inkl. Umformulierung vorhandener Anforderungen, Aufnahme neuer Anforderungen, Erfüllungskriterien und Priorisierung
• Auswahl der Anbieter für das Ausschreibungsverfahren
• Gestaltung und Durchführung/ Kanalisierung der Kommunikation zwischen Auftraggeber und Anbietern
• Abstimmung einer Strategie und Vorgehensweise zur Entwicklung der Zielarchitektur
• SPOC - Ansprechpartner und Kontakt für die Anbieter im Ausschreibungsverfahren
• Prüfung und Verhandlung von NDAs
• Führung des Projektteams, Durchführung von Abstimmungs- und Lenkungsausschussrunden, Moderation von Workshops
• Qualitätssicherung des Reportings und der Projektergebnisse inkl. Milestonereporting
• Erstellung einer finalen Bewertungsmatrix und Abgabe einer Empfehlung zur Auswahl und zum weiteren Vorgehen
• Präsentation der Ergebnisse vor dem Vorstand und Präsidenten sowie der Bereichsleiterebene

ERP Beratung (allg.), Projektleitung / Teamleitung (IT), IT-Beratung (allg.), Prozessoptimierung, Requirement Analyse, Softwareauswahl (Evaluierung), Anforderungsmanagement, Management (allg.), PRINCE2, Projektleitung / Teamleitung, Prozessberatung, SWOT-Analyse, Qualitätsmanagement (allg.), Kommunikation (allg.), Auswahl Vertretern / Kooperationspartnern

9/2015 – 12/2015

Durchführung einer GAP-Analyse zum Umsetzungsstand des IT Sicherheitsgesetz (ITSiG)
• Ermittlung der Anforderungen und erforderlichen Maßnahmen aus dem Gesetz sowie den Umsetzungsleitfäden des BSI
• Analyse der vorhandenen und geplanten Maßnahmen
• Bewertung der Angemessenheit und Funktion der umgesetzten Maßnahmen
• Vorschläge für die Implementierung neuer Maßnahmen und Kontrollen
• Mitarbeit im UP Kritis

Datenschutz, CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), BSI-Standards, IT Sicherheit (allg.), Informationssicherheit, IT-Governance, DIN ISO/IEC 27001, DIN ISO/IEC 27002, IT-Beratung (allg.), Einbruchschutz / Einbruchmeldesysteme, Risikomanagement, Betriebskontinuitätsmanagement (BKM), Certified in Risk and Information systems Control (CRISC), Projektmanagement - Risikomanagement, Projektleitung / Teamleitung, Business Analyse, Auditor

1/2014 – 8/2015

Restrukturierung des Risikomanagementprozesses (ISO 31000)
• Soll-/ Ist-Abgleich der vorhandenen Prozesse zu den Vorgaben der ISO 31000
• Anpassung der Risikomanagementmethodik auf eine zielorientierte Vorgehens- und Darstellungsweise (Riskmap)
• Konzeption und Implementierung der nötigen Prozesse, Rollen und Verantwortlichkeiten im Rahmen eines Handbuchs
• (Weiter-) Entwicklung der benötigten Unterlagen inklusive Risikoregister und Riskmap
• Veranstaltung von Roadshows und Informationsmeetings zur Schaffung einer unternehmensweiten Awareness
• Durchführung von projekt- und themenbezogenen Riskassessments
• Implementierung einer europaweit abgestimmten Risikobewertungsmethodik basierend auf einheitlichen Kennzahlen und Messgrößen.

CISA (Certified Information Systems Auditor), BSI-Standards, Projektmanagement (IT), IT-Governance, DIN ISO/IEC 27001, DIN ISO/IEC 27002, IT-Beratung (allg.), Risikomanagement, Compliance management, Certified in Risk and Information systems Control (CRISC), Projektmanagement - Risikomanagement, Projektleitung / Teamleitung, Auditor, Risikomanagement (Finan.)

1/2014 – 3/2015

Einführung eines unternehmensweiten, strukturierten Krisenmanagementprozesses und Handbuchs
• Soll-/ Ist-Abgleich der vorhandenen Vorgehensweisen, Darstellung der Gaps für das Managementboard
• Definition und Abgrenzung zwischen Störung, Notfall und Krise
• Risikoanalyse hinsichtlich der zu betrachtenden Szenarien
• Anforderungsanalyse hinsichtlich der zu benachrichtigenden Stellen (intern und extern)
• Design eines formalisierten und strukturierten Prozesses inkl. Definition der Rollen und Einführung der Teilnehmer
• Entwicklung eines Krisenreaktionshandbuchs mit vorbereiteten, generischen Wordings und Verhaltensregeln für die wesentlichsten Szenarien
• Abstimmung mit dem Managementboard

CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), BSI-Standards, DIN EN ISO 27001, Krisenmanagement, Risikomanagement, Betriebskontinuitätsmanagement (BKM), Certified in Risk and Information systems Control (CRISC), Projektmanagement - Krisenmanagement, Krisenkommunikation

1/2014 – 12/2014

Einführung eines ISMS (ISO 2700x)
• Fachliche Verantwortung für die beinhalteten Themen Risikomanagement und BCM, Beisteuerung der jeweiligen Fragen und Kriterien für die Schutzbedarfsanalyse
• Entwurf und Gestaltung einer CISO-Organisationsstruktur (Security Council) als Vorschlag für die Unternehmensführung
• Teilnehmer im Security Council und Ansprechpartner UP Kritis
• Lektorentätigkeit beim Entwurf des IT Sicherheitsgesetzes
• Durchführung und Begleitung der Schutzbedarfsfeststellung, Ermittlung von Messgrößen

Datenschutz, CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), BSI-Standards, IT Sicherheit (allg.), Informationssicherheit, IT-Governance, IT-Beratung (allg.), Krisenmanagement, Risikomanagement, Betriebskontinuitätsmanagement (BKM), Certified in Risk and Information systems Control (CRISC), Projektmanagement - Risikomanagement, Projektleitung / Teamleitung, Auditor, Krisenkommunikation

6/2013 – 2/2016

Einführung eines unternehmensweiten, strukturierten Business Continuity Managements (ISO 22301, BSI 100-4)
• Durchführung einer Business Impact Analyse zur Ermittlung der kritischen Prozesse, Applikationen und Standorte
• Durchführung einer Risikoanalyse zur Feststellung der möglichen Szenarien
• Erstellung von Site Recovery Plänen (Pläne zur Vorgehensweise bei Ausfall eines Standortes) und Departmental Continuity Plans (Notfallvorkehrungen auf Abteilungsebene)
• Training und Sensibilisierung der Mitarbeiter, Kommunikation mit den Führungskräften und Schaffung von vergleichbaren Methoden innerhalb des Konzerns
• Planung und Durchführung von Notfallübungen (live und Paper-based)

CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), BSI-Standards, IT Sicherheit (allg.), Informationssicherheit, DIN ISO/IEC 27001, DIN ISO/IEC 27002, IT-Beratung (allg.), Krisenmanagement, Risikomanagement, Betriebskontinuitätsmanagement (BKM), Certified in Risk and Information systems Control (CRISC), Projektmanagement - Risikomanagement, Projektleitung / Teamleitung, Auditor, Krisenkommunikation

7/2012 – 12/2014

Einführung eines unternehmensweiten Safety Management Systems
• Ist-Analyse der vorhandenen Vorgehensweisen
• Klärung der gesetzlichen und sonstigen Anforderungen mit externen Stellen
• Schaffung der organisatorischen Strukturen, z.B. Implementierung von Safety- und Fire Protection Officers sowie von unternehmensweit platzierten Sicherheitsbeauftragten und die Schaffung eines Arbeitsschutzausschusses sowie Erlangung des Sponsorship durch die Geschäftsführung
• Klärung von laufenden Fragestellungen mit Behörden, internen Gremien (Betriebsrat) und dem Management

BSI-Standards, Informationssicherheit, Arbeitsschutzmanagement / Arbeitssicherheitsmanagement, Arbeitssicherheit, Brandschutz / Brandschutztechnik, Projektmanagement, Projektleitung / Teamleitung, Personalberatung - Gesundheitsvorsorge

5/2011 – 6/2012

Interimistische Übernahme der Aufgabe des Datenschutzbeauftragten für die Kabel BW GmbH
• Ansprechpartner für alle internen und externen Fragestellungen bezüglich Datenschutz
• Erstellung von Verfahrensverzeichnissen
• Konzeption und Durchführung von Schulungen und Sensibilisierungsmaßnahmen
• Prüfung und Freigabe von neuen Verfahren, Prozessen und Applikationen
• Kommunikation mit Behörden und Begleitung von externen Audits
• Auditierung von Vertragspartnern

Datenschutz, CISA (Certified Information Systems Auditor), IT Sicherheit (allg.), Informationssicherheit, IT-Beratung (allg.), Risikomanagement, Projektmanagement, Projektmanagement - Risikomanagement, Projektleitung / Teamleitung, Auditor

4/2011 – 6/2011

SAP Audit IT General Controls und Berechtigungen
• SAP Audit zu Berechtigungen und Systemparametern
• Ermittlungen von Schwachstellen in den Systemeinstellungen
• Untersuchung hinsichtlich kritischer Berechtigungskombinationen
• Projektleitung/Begleitung der Neukonzeption und Einführung eines SAP Berechtigungskonzeptes

ERP Beratung (allg.), SAP Sicherheit (allg.), CISA (Certified Information Systems Auditor), BSI-Standards, IT Sicherheit (allg.), Informationssicherheit, IT-Governance, SAP Berechtigung / User Verwaltung, IT-Beratung (allg.), Projektleitung / Teamleitung, Auditor

3/2011 – 6/2012

Design und Implementierung von SOX IT General Controls
• Umsetzung der Konzernvorgaben zur Erlangung der SOX Compliance
• Entwicklung der IT Controls gemeinsam mit dem IT Management
• Dokumentation der Kontrollen und Testings in Openpages
• Kommunikation und Harmonisierung der Kontrollen im Konzern
• Koordination und Begleitung der Audittätigkeiten (intern und extern)

CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), BSI-Standards, IT Sicherheit (allg.), Informationssicherheit, Projektmanagement (IT), IT-Governance, Risikomanagement, Compliance management, Certified in Risk and Information systems Control (CRISC), Projektmanagement - Risikomanagement, Projektleitung / Teamleitung, Auditor, Risikomanagement (Finan.)

4/2010 – 6/2012

Durchführung von verschiedenen Audits im technischen, IT und betriebswirtschaftlichen Umfeld
• Datenanalysen von Störungstickets zur proaktiven Risikovermeidung
• Technische Risikoanalysen zu den Themen Ausfallsicherheit (z.B. Backupkonzepte, Stromversorgung und physische Sicherheit) und Business Continuity, Erstellung von Maßnahmenempfehlungen und Begleitung bei der Umsetzung
• Analyse von Beschaffungsvorgängen und Vertragsmanagement zur Ermittlung von Einsparpotentialen

Datenschutz, CISA (Certified Information Systems Auditor), BSI-Standards, IT Sicherheit (allg.), Informationssicherheit, IT-Governance, Risikomanagement, Betriebskontinuitätsmanagement (BKM), Certified in Risk and Information systems Control (CRISC), Projektleitung / Teamleitung, Projektmanagement - Audits, Auditor, Einkaufsrevision