ISO – Senior Berater Qualitäts- & Informationssicherheit

Northland Power hat seinen Hauptsitz in Toronto, Kanada, und weltweite Niederlassungen in acht Ländern. Das Unternehmen entwickelt, betreibt und besitzt saubere und umweltfreundliche (Wind-)Energieanlagen seit 1987 und hat über 12 Mrd. USD in hochwertige Kraftwerksanlagen investiert. Northland Power Europa GmbH (NPEG) liefert starke Ergebnisse und eine nachhaltigere Zukunft. Als Betreiber kritischer Infrastrukturen (kDL & KRITIS nach BNetzA, EnWG und BSI) muss NPEG IT-SiG 2.0-konform arbeiten und ein ISMS nach ISO 27001:2022 betreiben. Der ISMS-Scope umfasst den gesamten Betrieb der Windenergieanlagen (strategische, operative und Security IT/OT).

• Mitglied des Security-Teams, mitverantwortlich für Cyber- & Informationssicherheit der Windenergieanlagen
• Erstellung aller Unterlagen und Maßnahmen (Richtlinien, Sicherheitskonzepte, Verfahrensanweisungen, Kryptografie- und Key-Management-Konzepte etc.) zur Umsetzung von SzA gemäß BSI IT-SiG 2.0 und EnWG
• Aufbau und Einführung eines ISMS nach ISO 27001:2022 (ISMS-Handbuch, BCM, IT-Notfallkonzepte, IAM, Backup & Recovery, MDM, Lieferanten-, Passwort-, Patch-, Asset- & Configuration-Management, Kryptografie-Konzepte u.v.m.)
• Im Risikomanagement Erkennung, Bewertung und Bearbeitung kritischer und potenzieller Angriffsszenarien auf die Windenergieanlagen
• Risikomanagement, Risikoanalyse, Risikobehandlung, Schutzbedarfsfeststellung und Schwachstellenanalyse der IT/OT-Infrastruktur
• Erstellung von IT/OT-Notfallkonzepten, Incident-Response-Prozessen & Wiederaufbau von IT/OT-Systemen im Rahmen des BCM

Das Projekt wurde von NPEG frühzeitig abgebrochen, da die Windkraftanlagen verkauft und der Standort in Deutschland geschlossen wird.

Das UKD ist das größte Krankenhaus der Landeshauptstadt Düsseldorf und eines der wichtigsten medizinischen Zentren in NRW. Gemeinsam mit der Medizinischen Fakultät der HHU nimmt es eine besondere Rolle in Versorgung, Forschung und Lehre ein. 2017 feierte das UKD seinen 110. Geburtstag. Als KRITIS-Betreiber (§8a BSIG) betreibt das UKD ein nach ISO 27001:2022 zertifiziertes ISMS. Der Scope umfasst das gesamte IT-Dezernat (strategisch, operativ und Security).

• Direkter Senior Management Consultant des Dezernenten IKMT (Informations-/Kommunikationstechnik & Medizintechnik) und Leader der Innovationsprojekte
• Als ISO verantwortlich für Informationssicherheit im gesamten IT-Dezernat
• Erstellung, Pflege und Verbesserung von ISMS-Richtlinien und SOPs
• Schulungen und Awareness für IT-Mitarbeiter zu IT-Security, Incident Response und Wiederaufbau von IT-Systemen
• Hauptansprechpartner für die neue IT-Strategie des UKD sowie BIA und DRP für den Systemwiederaufbau
• Vorbereitung der Einführung eines BCM nach ISO 22301 für das Dezernat IKMT und das UKD
• Erstellung einer Cyber-Security-Strategie und Roadmap für zusätzliche Tools und Lösungen
• Erstellung von IT-Notfallkonzepten (i.R.d. DRP), IT-Sicherheitskonzepten, Incident Response & Begleitkonzepten (Datenschutz, Antivirus, Kryptografie, Härtungsmaßnahmen, Asset- & Configuration-Managerment, IAM usw.)
• Mitarbeit an SzA-Maßnahmen zur IT-SiG 2.0-Konformität (Richtlinien, Kryptografie & Key Management, Verfahrensanweisungen etc.)
• Als PMO: Entwicklung eines Sicherheitskonzepts, Proof of Concept, Evaluation bis Einkauf und Implementierung eines Medizingerätemonitoring-Sicherheitssystems für Campus-Netzwerke
• Aufbau eines Security Operations Center (SOC) mit Konzepten für Prävention, Bedrohungserkennung und Incident Response
• Aufbau eines SIEM mit Splunk für sichere Netzwerküberwachung
• Ab Februar 2023 Senior PMO der Dezernatsleitung
• Verantwortung für Kontrolle aller IT-Projekte des UKD (> 2.000 Projekte)
• Erstellung & Management von Gantt-Charts für alle IT-Projekte (IT & Medizin, IT-Security, SAP etc.)
• Erstellung eines Patch-Management-Sicherheitskonzepts & SOPs zusammen mit System Engineers
• Mitarbeit am KVP des ISMS zur Vorbereitung des ersten Überwachungsaudits
• Regelmäßige Berichte zum Projektfortschritt an Dezernatsleitung und Vorstand

Die EUROVIA Services GmbH, Teil der EUROVIA GmbH in Berlin, ist eine Tochter der VINCI Construction in Deutschland und im Tief- und Verkehrswegebau tätig. Die IT-Abteilung im DSI (Direction des Systèmes d’Information, EUROVIA Frankreich) verantwortet IT-Betrieb, Netzwerk, Projekte und Informationssicherheit.

• Vorbereitung und Durchführung von Awareness-Trainings für Unternehmen und Tochtergesellschaften
• Überprüfung von Penetrationstest-Ergebnissen und Erstellung eines Maßnahmenkatalogs zur Behebung der Schwachstellen
• Optimierung von IT-Prozessen zur bestmöglichen Unterstützung der Geschäftsprozesse
• Sicherstellung der Verfügbarkeit der IT-Services für alle Mitarbeiter
• Überprüfung vorhandener ISMS-Dokumente für IST-Aufnahme und GAP-Analyse zur Einführung eines ISMS nach ISO 27001

• ISO – Information Security Officer: Verantwortlich für die Zertifizierung der neuen Cloud-Services der Polizeilichen Service Plattform (PSP) nach dem internationalen C5-Standard (Cloud Computing Compliance Controls Catalogue)
• GAP-Analyse und Mitarbeit beim Aufbau und der Verbesserung eines ISMS nach ISO 27001, IT-Grundschutz und BSI-Kompendium
• Erstellung, Anpassung und Verbesserung von Richtlinien und SOPs für das gesamte Bundeskriminalamt im Rahmen von C5, ISMS und IT-Grundschutz (Business Continuity (BIA/RIA/DRP), IT-Notfallkonzepte, Compliance Management, Softwareentwicklung etc.)
• Erstellung und Verbesserung von Informationssicherheits- und IT-Notfallkonzepten für IT-Betrieb und neue Cloud-Services (IAM, Backup & Recovery, Patch-Management, Kryptografie & Key Management, Asset & Configuration-Management, Härtungsmaßnahmen etc.) zur BSI-IT-Grundschutz-Konformität
• Zusammenarbeit mit SOC-Kollegen, um die Bedrohungslandschaft laufend zu aktualisieren
• Vorbereitung und Durchführung interner Schulungen (Workshops & Awareness)
• BKA-Sicherheitsüberprüfung SÜ2 (BfV)
• Das Zertifizierungsprojekt wurde aufgrund der Covid-19-Pandemie kurzfristig abgebrochen

• Durchführung von Audits nach ISO 27001 für verschiedene Kunden
• EU-DSGVO-Workshops & Vor-Audits für TÜV SÜD München und Kunden

• Planung, Ausbau und Aufbau des neuen Geschäftsbereichs Compliance Services & Solutions zur Beratung von Kunden bei ISMS (ISO 27001), BCM (ISO 22301), IAM, Kryptografie & Key Management, technischen & organisatorischen Maßnahmen zur EU-DSGVO-Konformität, IT-Sicherheit, IT-Compliance, IT-Governance, IT-Grundschutz, BaFin & MaRisk
• Beratung zur Einführung eines ISMS nach ISO 27001 und BSI-IT-Grundschutz zur DSGVO-Konformität
• Beratung zur Einführung eines BCM nach ISO 22301
• Durchführung von Seminaren, Schulungen und Workshops zu ISMS nach ISO 27001 und DSGVO-Konformität
• Audits im Bereich Informationssicherheit und ISMS nach ISO 27001, ISO 27006 und ISO 19011

• Banking-Sicherheitsberatung zu BaFin und MaRisk AT 8.2 Compliance und SITB der Stadtsparkasse Düsseldorf (> 2.000 Mitarbeiter)
• Beratung zum Outsourcing von Netzwerkdienstleistungen nach KWG § 25a/b und MaRisk AT 9 Outsourcing; Anpassung des Incident-Managements beim Providerwechsel von T-Systems zu Finanz Informatik; Business Analyse, Modellierung und Prozessanpassungen

• eRCP steht für Enterprise Release, Configuration & Promotion (Deployment)
• GMP – Growing Market Platform: Globales Projekt zum Rollout eines neuen Kernversicherungssystems für alle lateinamerikanischen Business Units der Zürich Versicherung
• Aufbau und Führung eines eRCP-Teams in Chile, Brasilien und Indien: Schulung, Leitung und kontinuierliche Verbesserung weltweit
• Regionaler eRCP-Manager für Problem- & Incident-, Change- & Release-, SLA- und Krisenmanagement über den gesamten Lebenszyklus aller Anwendungen in Lateinamerika
• Single Point of Contact für LA-Anwender zur Vorbereitung neuer Software-Releases
• Zusammenarbeit mit Anwendern bei Testfallentwicklung und QA-Freigabe
• Zusammenarbeit mit regionalen CAB für Change-Management und Release-Freigabe
• Überprüfung und Anpassung von Verträgen mit externen Dienstleistern in Zusammenarbeit mit Kanzlei
• Personalverantwortung für > 80 Mitarbeiter in Chile (Santiago), Brasilien (São Paulo), Spanien (Barcelona) und Indien (Pune)

Das Statistische Bundesamt Chile (INE) führte Forschung und Schulungen mit internen und externen Mitarbeitern zur traditionellen und digitalen Erhebung der Volkszählung 2011–2012 sowie Piloten durch.

• Verantwortung für Vorbereitung, Programmierung (mit meinem IT-Team) und Sicherheit der kabellosen Lösungen für die digitale Datenerhebung
• Durchführung von Schulungen für externe Mitarbeiter zur Datenerhebung mit kabellosen Geräten
• Gesamtverantwortung für Informationssicherheit, IT- und Technologieprojekte für die Volkszählung
• Umstrukturierung des IT-Bereichs: Verhandlungen mit Geschäftsführung und Betriebsrat
• Einführung von Richtlinien nach ISO 27001, ISO 22301, ITIL, COBIT, UML, BPMN und OECD
• Strategische Weiterentwicklung von ITSCM, IT-Services und IT-Security samt Innovationsprojekten
• Aufbau des ersten SOC mit SIEM-Plattform zur Threat Lifecycle Management-Automatisierung
• Einführung von PMO- und Entwicklungsprozessen (PMI, CMMI, CMMN) im SW-Bereich
• Leitung der Verbesserung des institutionellen Telekommunikationsnetzes (RFP, Einführung)
• Interim-Personalverantwortung für > 50 Mitarbeiter

• Einführung einer eWallet (elektronische Geldkarte) mittels Smart Card
• Definition, Benchmarking, Auswahl, Beschaffung, Einführung und Management der Plattform für die Verwaltung der eWallet als Open Innovation Projekt der Banken
• Lizenzierung der Geldkarte bei Mondex International (heute MasterCard)
• Leitung eines Interbankenkomitees für Betriebs- und Technologie-Themen als Kommunikationskanal mit Gesellschaften
• Entwicklung des Modells für Herstellung, Betrieb und Abrechnung des elektronischen Geldes in Zusammenarbeit mit Finanzkomitee, Bankenaufsicht und LZB
• Entwicklung eines Finanzmodells für Investition, Verwaltung und Gewinnverteilung zwischen ersetztem und virtuellem Geld mit Stabilitätssicherung
• Business Analyst als Schnittstelle zwischen Banken und Projektumsetzung
• Personalverantwortung für > 20 Mitarbeiter plus externe Dienstleister

• Entwicklung, Implementierung und Management aller Electronic-Banking-Produkte für den Corporate-Bereich
• Einführung von eCommerce-Lösungen für die Bank
• Beratung zur sicheren Entwicklung von eCommerce und EDIFACT in Chile

• Verantwortlich für COMEX, Financial EDIFACT & eCommerce für deutsche und europäische Banken sowie CeBIT-Organisation für Finanzinstitutionen
• Entwicklung und Verbreitung von eCommerce in deutschen Banken
• Mitglied europäischer Interbankenausschüsse (Frankfurt, Paris, London)
• eCommerce-Projekt zwischen Geschäftsbanken und LZB Frankfurt