top of page

Projekterfahrung

Hier finden Sie eine kleine Übersicht über die Projekte, die ich als Projektleiter, Teilprojektleiter und als Informationssicherheits-Berater/Subject-Matter-Experte unterstützt habe. Es handelt sich um Projekte, die ich seit 2022 als Freelancer durchgeführt habe (mit Jahreszahl und Projektdauer) sowie aus meiner Angestellten-Tätigkeit als Information Security Manager für den internationalen DAX Chemiekonzern Henkel (2018-2021) und als Informations- sicherheitsberater für das ISMS-Beratungsunternehmen Infodas (2017).

Aufbau quantitatives Risikomanagement bei NIS-2-relevanten IoT-Unternehmen

Rolle: Informationssicherheits-Berater und Projektleiter - 2023-2024: 5 Monate
Für einen Kunden, der als wichtiges Unternehmen laut NIS-2 zählt, wurde ein quantitatives Informationssicherheits-Risikomanagement eingeführt. Es bestand eine enge Zusammenarbeit mit dem CISO und dem CIO. Da der Kunde Teil eines Konzerns ist, wurde das Risikomanagement zusätzlich in das konzernweite Informationssicherheits-Risikomanagement integriert.
 

Cyber-Risiko-Assessment für IoT-Produzenten und ISMS Einführung

Rolle: Informationssicherheits-Berater und Projektleiter - 2023: 6 Monate
Für einen internationalen IoT-Produzenten wurde ein Risiko-Assessment des ganzen Unternehmens durchgeführt. Kritische Risiken wurden identifiziert und quantitativ bewertet, mit der Geschäftsleitung diskutiert und anschließend behandelt. Ein großer Fokus lag auf der Cloud-Umgebung unter Berücksichtigung von Cloud-Security-Compliance-Empfehlungen (CIS-Benchmarks, MITRE ATT&CK, CSA-CCM).

Zusätzlich wurde der Kunde beim Aufbau eines ISMS und eines Business Continuity Systems nach BSI Grundschutz 200-4 unterstützt.

Sicherheitskonzept für Gebäude-Neubau 

Rolle: Informationssicherheits-Berater - 2023: 5 Monate
Ein Kunde wurde hinsichtlich der physikalischen Absicherung eines Neubaus beraten, von der Absicherung der Perimetergrenze bis zum Inneren des Server-Raums. Risiken und Gründe für Sicherheitsanforderungen wurden transparent gemacht, mit der Geschäftsleitung besprochen und nach Kosten-Nutzen-Abwägung implementiert.

Mitarbeitersensibilisierung-Programm

Rolle: Beratung und Durchführung - 2023: 2 Monate
Ein internationaler Kunde wurde bei der Konzeptionierung und Durchführung eines Mitarbeitersensibilisierungs-Programms mit messbarem Erfolg unterstützt. 

Agiles Threat/Bedrohungs- und Risikomanagement in einer DevOps IoT Umgebung

Rolle: Informationssicherheits-Berater - 2022: 6 Monate
Der Kunde wurde unterstützt, den Threat-Management Prozess in einer DevOps IoT Umgebung zu verbessern. Es wurden die verantwortlichen Teams in die Lage versetzt, bekannte Bedrohungen und Schwachstellen (bspw. OWASP TOP 10) zu verstehen und zu mitigieren (bspw. unter Ausnutzung der CIS-Benchmarks). Zusätzlich wurde der Risikomanagement Prozess verbessert (in Anlehnung an NIST Risk Management Framework), relevante Risiken detailliert analysiert und bei der Auswahl geeigneter Maßnahmen geholfen.

Risiko-Analyse in Produktionsumgebung, Abstimmung von Maßnahmen zur Risikominderung und Business-Continuity-Maßnahmen-Planung

Rolle: Projektleiter und Informationssicherheits-Berater - 2022: 5 Monate
Ich habe unter Berücksichtigung der Anforderungen der ISO27001 und der IEC62443 eine Risiko-Analyse in einer Produktionsumgebung durchgeführt. Relevante Risiken wurden aufgezeigt und Maßnahmen zur Risikominderung (inkl. Zero Trust Prinzipien) mit Stakeholdern aus verschiedenen Business Bereichen abgestimmt. Zusätzlich wurde die Verbesserung der Business Continuity Planung mit Empfehlungen aus der BSI 200-4 unterstützt.

Verbesserung Cyber Incident Response (Cyber-Vorfallreaktions-) Prozess

Rolle: Informationssicherheits-Berater - 2022: 2 Monate
Der Kunde hatte den Wunsch, den Cyber Incident Response Prozess auf einen höheren Reifegrad zu bringen. Um die Erwartungen in mehreren Bereichen zu erfüllen, wurden Empfehlungen der NIST 800-62r2 diskutiert und implementiert.

Globales Produktionssicherheitsprojekt (OT-Sicherheit) und Produktionssicherheits- bewertung in KRITIS-Umgebung

Rollen: Teilprojektleiter,  Informationssicherheits-Berater und  PMO
Wir haben die Sicherheitslage mehrerer relevanter Produktionsstätten auf der ganzen Welt erhöht. Während des Projekts unterstützte ich bei einem OT-Sicherheits-Assessments einer Produktionsanlage und war verantwortlich für ein Teilprojekt zur Implementierung mehrerer Sicherheitsmaßnahmen (z. B. Asset Management, Identitäts- und Zugriffsmanagement, Netzwerksegmentierung) in mehreren Produktionslinien, einschließlich der Steuerung externer Lieferanten und der Kommunikation mit unterschiedlichen Interessengruppen.

Neue unternehmensweite  Passwort-Policy

Rolle: Projektmanager und Informationssicherheitsberater
Wir haben zur Zufriedenheit aller Beteiligten eine neue unternehmensweite NIST-basierte Passwortrichtlinie implementiert, die alle 50.000 Mitarbeiter betrifft. Das Projekt umfasste die Abstimmung mit verschiedenen Interessengruppen (CIO, AD-Team, SAP-System-Team, Identitätsmanagementteam, SOC-Team, Betriebsrat, Corporate Communication), um eine risikobasierte, pragmatische Passwort-Policy zu erstellen. Diese Richtlinie wurde an alle Mitarbeitern kommuniziert und für alle eingeführt, einschließlich Schulungen für Endbenutzer, IT-Administratoren, das interne Security-Consulting-Team und das Audit-Team.
Ein externes Entwicklerteam wurde geleitet, um die notwendigen technischen Änderungen umzusetzen.

Verbesserung der SAP-System-Sicherheit

Rolle: Projektmanager

Nach einem externen Assessment, das mehrere potenzielle Sicherheitsrisiken aufzeigte, wurde ich damit beauftragt, die Sicherheit des kritischen ERP-Systems zu erhöhen und die Risiken zu minimieren. Im Rahmen des Projekts verantwortete ich die sicherheitsoptimierte Neuanbindung von 19 internen und externen Warenlagern im laufenden Betrieb.
Für den Projekterfolg war es entscheidend, ein internationales Team aus internen und externen Spezialisten zu führen und das Senior Management davon zu überzeugen, die Anbindung dieser geschäftskritischen Lager unter laufenden Betriebsbedingungen zu ändern. Das Projekt wurde termingerecht und im Budgetrahmen abgeschlossen, ohne relevante Betriebsunterbrechungen, und zur vollsten Zufriedenheit aller Stakeholder.

Implementierung eines globalen Security-Awareness-Programms für Produktionsmitarbeiter

Rolle: Projektmanager und Informationssicherheitsberater
Wir haben ein unternehmensweites Sensibilisierungsprogramm für Informationssicherheit für Produktionsmitarbeiter erstellt. Es wurde ermittelt, welche Sicherheitskontrollen der Zielgruppe mitgeteilt werden sollten und es erfolgte eine intensive Abstimmung mit verschiedenen Stakeholdern (Betriebsleiter, Mitarbeiter, Betriebsrat) über zielgruppenspezifische Anforderungen.

Die agile Methodik half beim Testen von Annahmen und das Führen externer Lieferanten war für das Projekt unerlässlich.

Assessment der Informationssicherheit in einem Warenlager und Implementierung relevanter Maßnahmen

Rolle: Projektmanager und Informationssicherheitsberater
Zusammen mit einem externen Partner haben wir eine Bewertung der Informationssicherheit eines kritischen Lagers durchgeführt und anschließend Maßnahmen zur Minderung relevanter Risiken implementiert. 

Das Verständnis der betrieblichen Anforderungen und die Kommunikation mit relevanten Entscheidungsträgern war für den Projekterfolg von  Bedeutung.

Einführung eines ISMS und Vorbereitung auf ein ISO27001 Audit

Rolle: Informationssicherheitsberater
Ein Kunde aus dem Bankenumfeld wurde bei der Einrichtung eines ISMS, der Erstellung verschiedener Richtlinien und dem Aufbau von Informationssicherheits-, Risiko- und Datenschutzprozessen unterstützt und zu einem erfolgreichen ISO 27001-Zertifizierungsaudit begleitet. Dabei erfolgte eine Orientierung an den Vorgaben des BSI-Grundschutzes, um eine robuste und praxisnahe Sicherheitsarchitektur zu schaffen. Bestehende Prozesse wurden analysiert, optimiert und mit den Anforderungen des BSI-Grundschutz-Kompendiums in Einklang gebracht. Zusätzlich wurden gezielte Schulungen durchgeführt, um das Bewusstsein für Informationssicherheit und Datenschutz zu stärken.

Implementierung eines Tools zur Asset-Risikoklassifizierung  

Rolle: Projektmanager und Informationssicherheitsberater
Wir haben ein unternehmensweites Tool zur Risikoklassifizierung implementiert. Dieses wurde vom Inhouse-Security-Beratungs-Team und Kollegen aus den verschiedenen Geschäftsbereichen benutzt um die verwendeten Systeme und die darauf verarbeiteten Informationen den bereits definierten Risikoklassen zuzuordnen.

Inhouse-Informationssicherheitsberatung für mehrere Projekte

Während meiner 4 Jahre bei Henkel habe ich viele Projekte zu allen Aspekten der Informationssicherheit beraten , so  dass die Projekte den Erwartungen von Henkel an die Informationssicherheit entsprachen. Die risikobasierte Beratung umfasste folgende Aspekte:

  • Assett-Management

  • Identitäts- und Zugriffsverwaltung

  • Changemanagement und  sichere Softwareentwicklung, einschließlich statischer Codeanalyse und Penetrationstests

  • Systemhärtung

  • Verwaltung kryptografischer Maßnahmen

  • Protokollierung

  • physische Sicherheit ​

  • Risikomanagement

  • Incident-Management

  • Business-Continuity- und Disaster-Recovery-Management

  • Datenschutzkonformität (z. B. DSGVO)

  • Steuerung der Dienstleister, inkl.

    • Prüfung von Zertifizierungen und des Sicherheitsniveaus

    • Gewährleistung der vertraglichen Berücksichtigung der Informationssicherheitsanforderungen

Entwicklung einer neuen Informationssicherheitsstrategie

Rolle: Projektleiter u nd Berater für Informationssicherheit
Wir haben die aktuelle und erwartete zukünftige Bedrohungslandschaft analysiert und verschiedene Risikomanagement-Vorgehen benutzt um Risiken zu erkennen und Maßnahmen zur Risikominderung zu definieren.

Empfehlungen

Hier  Sie können verifizierte Empfehlungen von authentischen Personen finden, mit denen ich zusammengearbeitet habe.  
 Für den Zugriff auf die Empfehlungen ist ein LinkedIn-Konto erforderlich. Ich empfehle die Verwendung einer Wegwerf-E-Mail-Adresse, wenn Sie Ihre persönlichen Daten nicht mit LinkedIn teilen möchten.

Zertifizierungen

und  Schulungen

CISSP & CCSP

CISSP (Certified Information System Security Professional)  ist der goldene Standard für Informationssicherheitszertifizierungen, der alle Aspekte der Informationssicherheit und des Risikomanagements abdeckt (überprüfen).

CCSP (Certified Cloud Security Professional) bestätigt eine tiefere Spezialisierung in allen Themen die relevant für Cloud-Sicherheit sind (überprüfen).

​

Es beinhaltet auch einen Verhaltenskodex

​

Code of Ethics Canons:

  • Protect society, the common good, necessary public trust and confidence, and the infrastructure.

  • Act honorably, honestly, justly, responsibly, and legally.

  • Provide diligent and competent service to principals.

  • Advance and protect the profession.

CISSP.png

PMP

Die Project Management Professional (PMP)-Zertifizierung ist ein weltweit anerkanntes Zertifikat, das vom Project Management Institute (PMI) angeboten wird und die Fachkenntnisse einer Person im Projektmanagement bestätigt. Es belegt die Fähigkeit, Projekte in verschiedenen Branchen zu planen, durchzuführen und zu überwachen, um Ziele unter Berücksichtigung von Vorgaben wie Umfang, Zeit und Budget zu erreichen.

Zertifizierung überprüfen

Screenshot 2024-10-22 11.50.23.png

Einige andere aktuelle Schulungen:

​

Google Project Management Certification for waterfall and agile projects

MITRE ATT&CK Framework - SOC Assessment, Framework Application, Adversary Emulation

OWASP Top 10: 1,2,3,4,5,6,7,8,9,10

Industrial IoT - on Google Cloud / on AWS 

Communication & Leadership by Wertfreunde GmbH

Foundational Business Management Skills by Thunderbird School of Global Management

IT-Security Officer (TÜV) - (certipedia:6511)

Data Protection Officer (TÜV) - (certipedia:26192)

bottom of page