ISO – Senior Consultant Qualität & Informationssicherheit

Northland Power hat seinen Hauptsitz in Toronto, Kanada, und verfügt über weltweite Niederlassungen in acht Ländern. Entwickler, Betreiber und Eigentümer sauberer und umweltfreundlicher (Wind) Energieanlagen seit 1987. Mit über 12 Milliarden US-Dollar an hochwertigen Stromerzeugungsanlagen in Betrieb. Northland Power Europa GmbH (NPEG) ist bestrebt, starke Ergebnisse und eine nachhaltigere Zukunft zu liefern. Als Betreiber und Dienstleister für kritische Infrastrukturen (kDL & KRITIS gemäß BNetzA, EnWG und BSI) muss NPEG mit der IT-SiG 2.0 Compliant sein und einem nach ISO 27001:2022 ISMS betreiben. Der ISMS-Scope umfasst den gesamten Betrieb der Windenergieanlagen (Strategischer, Operativer und Security IT / OT).

• Mitglied des Security-Teams und somit mitverantwortlich für die Cyber- & Informationssicherheit der Windenergieanlagen des Unternehmens
• Verantwortlicher für die Erstellung aller Unterlagen und Maßnahmen (Richtlinien, Sicherheitskonzepte, Verfahrensanweisungen, Kryptografie und Key-Management, etc.), um SzA einzusetzen gemäß BSI IT-SiG 2.0 und EnWG
• Vorbereitung und Erstellung der entsprechenden Maßnahmen (Richtlinien, Sicherheitskonzepte, Verfahrensanweisungen, SOP, etc.), um ein ISMS gemäß ISO 27001:2022 aufzubauen und einzusetzen (ISMS-Handbuch, BCM, IT-Notfallkonzepten, IAM, Backup & Recovery, MDM, Lieferanten-, Password-, Patch-, Asset & Configuration-, Netzwerk-Management, Kryptografie-Konzepte u.v.m.)
• Im Risikomanagement Erkennung, Bewertung und Bearbeitung kritischer und potenzieller Angriffsszenarien der Windenergieanlagen
• Risikomanagement, Risikoanalyse, Risikobehandlung, Schutzbedarfsfeststellung und Schwachstellenanalyse der IT/OT-Infrastruktur der Windenergieanlagen
• Erstellung IT/OT-Notfallkonzepte, Incident Response Prozessen & Wiederaufbau von IT/OT-Systemen i.R.d. BCM (BIA, RIA & DRP)

Das Projekt wurde von Northland Power Europa GmbH frühzeitig abgebrochen, weil die Windkraftanlagen verkauft werden und das Unternehmen in Deutschland geschlossen wird.

Das UKD ist das größte Krankenhaus in der Landeshauptstadt und eines der wichtigsten medizinischen Zentren in der Bundesland Nordrhein-Westfalen und übernimmt gemeinsam mit der Medizinischen Fakultät der Heinrich-Heine-Universität eine besondere Funktion in unserem Gesundheitswesen, Forschung und Lehre. Im Jahr 2017 feierte das Universitätsklinikum Düsseldorf (UKD) seinen 110. Geburtstag. Das UKD, als Betreiber Kritischer Infrastrukturen (KRITIS gemäß §8a BSIG) betreibt einem nach ISO 27001:2022 zertifiziertes ISMS. Der ISMS-Scope umfasst das gesamte Dezernat der IT (Strategischer, Operativer und Security).

• Arbeitet direkt und ist persönliche Senior Management Consultant des Dezernenten des IKMT „Informations/Kommunikationstechnologie und Medizintechnik“ (also CIO) und Leader der Innovationsprojekten
• Als ISO, verantwortlich für das gesamte IT-Dezernat in der Informationssicherheit
• Erstellung, Aufrechterhaltung und Verbesserung von ISMS-Richtlinien und SOPs
• Schulungen und Awareness der IT-Mitarbeiter im Bereich der IT Security, Incident Response Prozessen und Wiederaufbau von IT-Systemen
• Erstellung und Hauptansprechpartner für die neue IT-Strategie des UKD plus eines BIA und DRP für den Wiederaufbau von IT-Systemen
• Als ISO, Vorbereitungen für die nächste Einführung von Business Continuity Management gemäß ISO 22301 für das Dezernat IKMT und UKD
• Erstellung einer IT-Cybersecurity-Strategie und Roadmap für die Implementierung zusätzlicher Tools und Lösungen für die Cybersecurity des UKD
• Erstellung eines IT-Notfallkonzepts (i.R.d. DRP), IT-Sicherheitskonzepts, Incident Response und dazugehörige Begleitkonzepte (Datenschutz, Antivirus, Kryptografie, Konfigurations- und Härtungsmaßnahmen, Asset & Configuration-, Patch-Management, Rollen u. Rechte (IAM), IT-Notfallvorsorge, usw.) für die IT des UKD
• Mitarbeit bei der Erstellung der Maßnahmen, um SzA (Systeme zur Angriffserkennung) gemäß BSI IT-SiG 2.0 Compliant zu werden (Richtlinien, Kryptographie & Key Management Sicherheitskonzepte, Verfahrensanweisungen, etc.)
• Als PMO, Entwicklung eines Sicherheitskonzepts, Durchführung eines Proof of Concept (PoC), Bewertung und Auswertung bis hin zu Einkauf und Implementierung einer Lösung, um die Einführung eines Medizingerätemonitoring-Sicherheitssystems, um wissen zu können welche, wie viele und in welcher (Security) Stand Medizingeräte am Campus-Netz angeschlossen sind, um zu vermeiden evtl. Bedrohungen oder Angriffe über das Netz zu bekommen
• Aufbau eines Security Operations Center (SOC) mit Arbeitskonzept und ‑Definitionen, um Präventivmaßnahmen, schnelleren Erkennung von Bedrohungen und einer schnelleren, wirksameren Reaktion auf evtl. Sicherheitsbedrohungen (Incident Response Prozessen und Wiederaufbau von IT-Systemen)
• Aufbau eines Security Information Event Management (SIEM) mit Splunk, um eine sichere Netzwerkkommunikationsüberwachungssystem zu ermöglichen
• Ab Februar 2023 die Aufgabe „Senior PMO“ der Dezernatsleitung übernommen
• Als PMO, verantwortlich für die Kontrolle aller IT-bezogenen Projekte des UKD (>2K Projekte)
• Erstellung & Management von Gantt-Charts für alle IT-bezogenen Projekte (IT & Medizin, IT Security (Firewall und Netzwerke), SAP, usw.)
• Erstellung eines Patch-Management-Sicherheitskonzepts & Prozesse und zusammen mit den System Engineers die Standard Operational Procedures (SOP)
• Mitarbeit an der Kontinuierlichen Verbesserungsprozess (KVP) des zertifizierten Information Security Management Systems (ISMS), als Vorbereitung für des ersten Überwachungsaudits
• Regelmäßige Reports des Projektfortschritts zur Dezernatsleitung und Vorstand

Die EUROVIA Services GmbH, Teil der EUROVIA GmbH mit Sitz in Berlin ist eine VINCI Construction Tochterunternehmen in Deutschland. EUROVIA ist ein Unternehmen des Tief- und Verkehrswegebaus. Die in 16 Ländern tätige EUROVIA-Gruppe gehört zum französischen VINCI-Konzern (VINCI S.A.), die IT-Abteilung als Teil des DSI (Direction des Systems d’Information, EUROVIA Frankreich) ist für den IT-Betrieb, Netzwerk, Projekten und für die Einhaltung der Informationssicherheit zuständig.

• Vorbereitung und Durchführung von Awareness-Trainings für das Unternehmen und seine Tochtergesellschaften
• Überprüfung der Ergebnisse von Penetrationstests (PenTest) und Erstellung eines Maßnahmenkatalogs zur Behebung der identifizierten Schwachstellen
• Optimierung von IT-Prozessen, um die Geschäftsprozesse optimal zu unterstützen
• Mitarbeit an Sicherstellung der Verfügbarkeit der IT-Services, um jedem Mitarbeiter die Informationen, die er benötigt, zur Verfügung zu stellen
• Überprüfung der vorhandenen ISMS-Dateien für die Erstellung einer IST-Aufnahme und GAP-Analyse für die Umsetzung eines ISMS gemäß ISO 27001, um die Vertraulichkeit, Verfügbarkeit und Integrität von Informationen sicherzustellen

• „ISO“ – Information Security Officer; Verantwortlich für die Zertifizierung (Testat) der neuen Cloud-Services der Polizeilichen Service Plattform (PSP) auf den internationalen C5 Standard (Cloud Computing Compliance Control Catalogue)
• GAP-Analyse und Mitarbeit für den Aufbau und Verbesserung eines ISMS (Information Security Management System) gemäß ISO 27001, IT-Grundschutz und neuen Kompendium des BSI
• Erstellung, Anpassungen und Verbesserung von Richtlinien und SOPs für das gesamte Bundesamt, i.R. des C5, ISMS & IT-Grundschutz-Aufbaus (Business Continuity (BIA/RIA/DRP), IT-Notfallkonzepte i.R.d. Disaster Recovery Plan, Compliance Management, Softwareentwicklung, etc.)
• Erstellung, Anpassung und Verbesserung von Informationssicherheits- (SiKo) und IT-Notfallkonzepten für den IT-Betrieb und für die neuen Cloud-Services (u.a. Identity- und Access Management (IAM), Backup & Recovery, Patch-Management, Krypto & Key Management, Asset & Configuration-Management, Konfigurations- u. Härtungsmaßnahmen, u.v.m.), um compliant mit dem BSI IT-Grundschutz zu sein
• Zusammenarbeit mit dem SOC-Kollegen (Secure Operation Center), um die ständig wachsende Bedrohungslandschaft mit neuen Plattformen zu aktualisieren
• Verantwortlich für die Vorbereitung und Durchführung interner Lehrveranstaltungen (Workshops & Awareness), um die Informationssicherheitskonzepte bekannt zu geben
• BKA-Sicherheitsüberprüfung SÜ2 (Deutsches Bundesamt für Verfassungsschutz)
• Das Zertifizierungsprojekt wurde vom Bund aufgrund der Covid-19-Pandemie kurzfristig und frühzeitig abgebrochen

• Durchführung von Audits gemäß ISO 27001 für verschiedene Kunden
• EU-DSGVO Workshops & Vor-Audit für den TÜV SÜD München und Kunden

• Planung, Ausbau und Aufbau des neuen Servicebereiches Compliance Services & Solutions, um Kunden und Geschäftspartnern der Makro Factory verschiedene Services anzubieten, insbesondere Beratung für die Einführung eines Informationssicherheitsmanagementsystems (ISMS), eines Business Continuity Management (BCM), IAM, Kryptografie & Key Management, technische & organisatorische Maßnahmen um EU-DSGVO (GDPR) compliant zu werden, IT-Sicherheit, IT-Compliance, IT-Governance, IT-Grundschutz, BaFin & MaRisk, usw.
• Beratung für die Einführung eines ISMS gemäß ISO 27001 und IT-Grundschutz des BSI, um mit der europäischen Datenschutzgrundverordnung „EU-DSGVO“ compliant zu werden für Kunden der Makro Factory
• Beratung für die Einführung eines BCM gemäß ISO 22301 für Kunden der MF
• Durchführung von Seminaren, Schulungen und Workshops bzgl. „Einsatz eines ISMS gemäß ISO 27001, um EU-DSGVO compliant zu werden“
• Audits im Bereich der Informationssicherheit und des ISMS, gemäß ISO 27001, ISO 27006 und ISO 19011

• Durchführung einer Banking-Sicherheitsberatung bzgl. BaFin und MaRisk AT 8.2 Compliance und Anforderungen an die IT und Maßnahmen der „Sicheren IT-Betrieb“ (SITB) der Stadtsparkasse Düsseldorf (mehr als 2.000 Mitarbeiter)
• Beratung für das Outsourcing von Dienstleistungen im Bereich Netzwerk unter Aussicht des Kreditwesengesetzes (KWG 25a/b Risiko/Outsourcing). Das Incident-Management musste für den Wechsel des Netzwerkproviders von T-Systems zur „Finanz Informatik“ (FI) angepasst werden (MaRisk AT 9 Outsourcing). Business Analyse, Modellierung und Anpassung für die Auslagerungsprozesse

• eRCP steht für Enterprise Release, Configuration & Promotion (Deployment)
• GMP – Growing Market Platform: Globales Projekt für den Rollout eines neuen Kernversicherungssystems für alle lateinamerikanischen Geschäftseinheiten (Business Units bzw. Länder) der Zürich Versicherung
• Aufbau eines eRCP-Teams in Chile, Brasilien und Indien: Schulung, Führung und kontinuierliche Verbesserung des gesamten Teams weltweit
• Regional eRCP-Manager, Problem & Incident, Change & Release, SLA- und Krisenmanagement über den gesamten Lebenszyklus aller Anwendungen für jede lateinamerikanische Geschäftseinheit der Zürich Versicherung (Business Unit)
• Single Point of Contact für die LA-Anwender, um neue SW-Releases vorzubereiten
• Zusammenarbeit mit den Anwendern bei der Entwicklung der Testfälle zum Testen & zur QA-Freigabe von neuen Software-Releases
• Zusammenarbeit mit den regionalen CAB für das Change-Management und um neue Software-Releases freizugeben und zu implementieren
• Überprüfung & Anpassung der Verträge für die externen Dienstleister (Accenture, CSC, Everis, Wipro, usw.) in Zusammenarbeit mit der Rechtsanwaltskanzlei
• Weltweite Personalverantwortung für mehr als 80 Mitarbeiter, mit Teams in Chile (Santiago), Brasilien (Sao Paulo), Spanien (Barcelona) und Indien (Pune)

Das Statistische Bundesamt Chile (INE) führte Forschung und Lehrtätigkeiten mit und an internen und externen Mitarbeitern, um sie für die Erhebung statistischer Bevölkerungsdaten (Zensus) auf herkömmliche und auch digitale Methoden vorzubereiten und um die später als nationale Statistik zu bearbeiten.

• Verantwortlich für die Vorbereitung, Programmierung (durch mein IT-Team) und Sicherheit der kabellosen Lösungen für die digitale Datenerhebung in Bezug auf die Volkszählung 2011–2012
• Verantwortlich für die Vorbereitung und Durchführung der Lehrtätigkeiten für externe Mitarbeiter zwecks digitaler Datenerhebung unter Verwendung der kabellosen Geräte
• Verantwortlich für die gesamte Informationssicherheit, IT- und Technologieprojekte für die traditionelle sowie digitale Volkszählung 2011–2012 und die entsprechenden Pilotprojekte, um die Technologie zu testen und zu prüfen
• Entwicklung und Durchführung einer Umstrukturierung des IT-Bereiches. Verhandlungen mit der Geschäftsleitung und Betriebsrat für die Durchsetzung
• Als CISO ad Interim Einführung von Richtlinien unter Einhaltung internationaler Normen und Standards (ISO 27001, ISO 22301, ITIL, COBIT, UML, BPMN und OECD)
• Als CISO ad Interim verantwortlich für die strategische Weiterentwicklung der ITSCM, IT-Services und IT-Security sowie sämtlicher Innovationsprojekte
• Aufbau und Einführung des ersten SOCs (Secure Operation Center) mit einer SIEM-Plattform (Security Information & Event Management), um i.R. des Threat Lifecycle Management (TLM) eine automatisierte Lösung einzuführen
• Einführung von PMO-, Entwicklungs- (PMI & CMMI) sowie Projektmethoden, CMMN für den SW-Entwicklungsbereich
• Erzeugung der technologischen Grundlagen, RFP und Leitung der Einführung einer institutionellen und länderübergreifenden Verbesserung des Telekommunikationsnetzes
• Personalverantwortung ad Interim für mehr als 50 Mitarbeiter

• Einführung einer elektronischen Geldkarte (eWallet) mittels Smart Card
• Definition, Benchmarking, Auswahl, Beschaffung, Einführung und Management der technologischen Plattform für die Verwaltung der elektronischen Brieftasche (eWallet auf Smart Card) als Open Innovation Projekt der Banken
• Die Lizenzierung der Geldkarte wurde von den Banken bei Mondex International (heute MasterCard) in London (UK) erworben
• Einführung und Leitung eines Interbankenkomitees für Betriebs- und Technologie-Themen als gemeinsamer Kommunikationskanal mit den einzelnen Gesellschaften
• In Zusammenarbeit mit Finanzkomitee, Bankenaufsicht und der LZB wurde das Design des Modells für die Herstellung, den Betrieb und das Abrechnungsverfahren des „elektronischen Geldes“ unter Berücksichtigung seiner Auswirkungen auf den Finanz- und Geldmarkt entwickelt
• Entwicklung des Finanzmodells bzgl. Investition, Verwaltung und Gewinnverteilung unter Betrachtung der Wechselwirkungen zwischen „echtem“ und „virtuellem“ Geld und unter Einbeziehung der Vorgaben zur dauerhaften Sicherung der Stabilität des elektronischen Geldes für die Endkunden sowie der Absicherung der zugehörigen Investitionen in den Kapitalmarkt
• Business Analyst als Schnittstelle zwischen den Banken und für die Umsetzung des Projekts im Unternehmen
• Personalverantwortung für mehr als 20 Mitarbeiter zzgl. externer Dienstleister

• Entwicklung, Implementierung und Management aller Electronic Banking-Produkte der Bank für den kommerziellen/Corporate-Bereich
• Entwicklung und Einführung der eCommerce-Lösungen für die Bank
• Beratung für die sichere Entwicklung von eCommerce und EDIFACT in Chile

• Verantwortlich für COMEX, Financial EDIFACT & eCommerce für die deutsche und europäische Banken und verantwortlich für die CeBIT (Finanzinstitutionen)
• Entwicklung und Verbreitung von eCommerce bei den deutschen Banken
• Mitglied der europäischen Interbankenausschüsse (Frankfurt, Paris, London)
• eCommerce-Projekt zwischen Geschäftsbanken und der LZB in Frankfurt