Dr. Christian Gutschwager - Cyber Security
Dr. Christian Gutschwager
Cyber Security, Mitarbeitersensibilisierung / Awareness, OT-Security, Risiko Management, CISSP, CCSP, PMP
Mission
Ich helfe Ihnen die Cyber Security Risiken, die den Unternehmenserfolg gefährden, zu identifizieren, zu kommunizieren und wenn nötig zu beheben. OT-Security, Mitarbeitersensibilisierung, IAM und Risiko-Management / ISO 27001 Informationssicherheitsmanagement (ISMS, auch nach BSI IT Grundschutz) sind meine Spezialisierungen.
Wie kann ich Ihnen helfen?
Informationssicherheitsberater / Risikomanagementberater
Sie benötigen einen Berater um ein Projekt innerhalb der IT-Sicherheit bzw. des Risikomanagements zu begleiten oder einen Aspekt der IT-Sicherheit in Ihr Unternehmen einzuführen? Gerne tausche ich mich mit Ihnen aus, wie ich mit meiner Erfahrung ihre Probleme lösen kann. Die von mir erworbene Zertifizierung CISSP (“Certified Information Systems Security Professional”) gilt als schwierigste und umfassendste Zertifizierung im Bereich der Informationssicherheit (inkl. Risikomanagement) und erfordert sowohl ein breites theoretisches Wissen als auch nachgewiesene Berufserfahrung.
Projektmanager (Agil, Wasserfall)
Sie benötigen einen erfahrenen Projektmanager der ein anspruchsvolles IT-Sicherheits-Projekt leitet und in der Lage ist sowohl mit dem Senior-Management, Programmierern und Mitarbeitern im Produktionsbetrieb auf Augenhöhe zu kommunizieren und deren Anforderungen zu erfüllen? Gerne bespreche ich mit Ihnen Ihre Wünsche und wie wir Ihr Projekt erfolgreich umsetzen können.
Ich bin zertifizierter Google Project Management Professional mit langjähriger, Projektmanagererfahrung sowohl in agilen als auch in Wasserfall Projekten in einem internationalen DAX Chemie-Konzern, in einem regionalen Versicherungskonzern und in einem kleinen StartUp.
Spezialisierungen
Sicherheit von Produktionsanlagen (OT-, IoT-Security)
Produktionsanlagen bilden die Grundlage vieler Unternehmen. Da viele Unternehmensnetze mittlerweile gut gegen Angriffe von Kriminellen geschützt sind, fokussieren sich viele Kriminelle auf die einfacheren Ziele: Produktionsanlagen. Diese sind oft nicht möglich auf dem neuesten Sicherheitsstand zu halten, oft als Lösungen ohne Netzwerkanbindung konzipiert aber dank Industrie 4.0 und 5G nun ein Einfallstor ins Firmennetz. Die Motivation von Kriminellen kann dabei einfache Wirtschaftsspionage sein oder der Versuch durch Ransomware Lösegeld zu erpressen.
Awareness / Mitarbeiter-Sensibilisierung
Mitarbeitersensibilisierung und Training ist ein oft vernachlässigtes Thema der IT-Sicherheit. Die besten Firewalls, die stärksten Passwörter, das schnellste Einspielen von Patches, der neueste AI-Antivirenscanner nützen wenig, wenn den Mitarbeitern das Verständnis für die neusten Social Engineering Angriffe fehlt, wenn die Passwörter aufgrund von Phishing-E-mails weitergegeben werden oder Millionen von der Finanzabteilung an Kriminelle überwiesen werden, weil ein Krimineller sich als Geschäftsführer mit Geheimprojekt oder als Zulieferer mit neuer Bankverbindung ausgibt.
Identitäts- und Zugriffsverwaltung (IAM)
Ich finde es spannend, Identitätsverwaltung und Zugriffsmanagement richtig und modern aufzubauen. Dies beinhaltet Empfehlungen vom NIST konzernweit auszurollen, die Nutzer diesbezüglich zu schulen, Zero Trust aufzubauen, den Fernzugriff für Dienstleister mit sicheren Remote-Access-Lösungen zu ermöglichen, die Erwartungen an den Umgang mit Passwörtern und des Nutzermanagements mit Providern zu definieren und den Mitarbeitern mit SSO und Identity Federation das Arbeiten einfacherer und gleichzeitig sicherer zu machen.
Risikomanagement und Informationssicherheitsmanagementsysteme (ISMS)
Die Grundlage einer jeden Strategie zur Sicherstellung der Informationssicherheit besteht in dem Erkennen und Bewerten von Risiken und dem Aufbau eines passenden ISMS. Dafür ist es grundlegend zu verstehen, welche Informationen kritisch für das Unternehmen sind, welche Anwendungen diese Informationen verarbeiten und welchen relevanten Gefahren diese Anwendungen ausgesetzt sind. Anschließend werden Prozesse etabliert, um diese Risiken abzustellen, soweit dies nicht den Unternehmensinteressen entgegensteht.
​
Ich habe den DAX-Konzern Henkel und mehrere Start-Ups dabei unterstützt, das Informationssicherheits/Risikomanagement im Office-Bereich aufzubauen und zu erneuern und insbesondere die Klassifizierung von Informationenen und Anwendungen hinsichtlich ihres Schutzbedarfs zu vereinfachen, das Asset-Management in mehreren Produktionsanlagen neu aufzubauen und zu bewerten und innerhalb des Supply-Chain-Risikomanagements die angemessene Berücksichtigung der IT-Sicherheit sicherzustellen.