Berater IT-Security, SIEM, SOC, ISO 27001
Schlagwörter
Skills
Spezialgebiete der letzten Jahre:
DSGVO - Datenschutzgrundverordnung - externer Datenschutzbeauftragter
ISMS-Einführung auf Basis von BSI Grundschutz Berater und Praktiker oder ISO 27001-nativ
Auditor und Berater für die ISO 9001, ISO 27001, ISO 27019, §8a und TISAX, ISO/IEC 27701
Erfahrung mit dem NIST-Framework und NIST-Assessments
Aufbau Security Operation Center (SOC) sowie Cyber Security Incident Response Teams (CSIRT), Produkte u.a. Splunk, Greenbone, Nessus, Fireeye, Elastic Search, Elastic Security, Kabana etc.
SIEM / Splunk Experte
Umsetzung Technischer Richtlinien für Hardware- und Softwareentwicklungsprodukte (inkl. Common Criteria Zertifizierungen u.a. auch TR 03109)
Durchführung von Risikoanalysen, IT-Security-Assessments, Penetration-Tests, Vulnerability-Assessments
Erarbeitung von Sicherheitskonzepten für Netzwerkinfrastruktur und IT-Systeme (einschl. von IT-Architekturen und Softwareentwicklungs-Best-Practises, z.B. Secure Coding)
Veröffentlichen von Fachartikeln / Autoren-Tätigkeiten
Projektmanagement und Teamleitungstätigkeiten mit Personalverantwortung für Teams bis 30 Personen
Projektleitung für komplexe Projekte (Anforderungsanalyse, Umsetzung, Qualitätssicherung)
Anforderungsanalysen und Schnittstelle fachliche Anforderung und IT-Umsetzung
Prozessoptimierung (ITIL, COBIT)
Erfahrungen als Scrum-Master und Product-Owner für Produktentwicklungen
Chinese Cyber Law-Erfahrung
Sonstige Themen und Schlagworte in diesem Zusammenhang:
IT Security / Sicherheit / Krypographie / Common Critera / PKI Lösungen
Einführung von ISMS, u.a. im Bereich kritischer Infrastrukturen (Kritis-V)
Auditor for IT-Sicherheitskatalog gem. §11 Ia EnWG, Prüfnachweisen gem. §8a BSIG,
Vorbereitung und Audits nach BSI Grundschutz und Grunschutzkataloge
Beratung im Bereich Datenschutz / Datenschutzgrundverordnung /DSGVO)
ITIL, ISO 20000-Wissen sowie Erfahrung im Bereich COBIT
ISO 21434
ISO 22301 BCM
IT Security Manager (zertifziert)
Penetration Testing Erfahrung (Certified Ethical Hacker Zertifizierung)
IT Sicherheitsbeauftragter (zertifiziert)
Certified Ethical Hacker (CEH)
IT-Forensik-, Requirement Engineering-Erfahrung sowie Wissen in Malware Analysis
SCADA und Feldbussystem-Sicherheit, Industrie 4.0 Security
Incident Management und den Aufbau von CIRTs
Etablierung von Security Operations Center (SOC) einschl. notwendiger Systeme (SIEM, IDS/IPS, Vulnerability Management)
Agile Methoden inkl. Scaled Agile Framework SAFe
Multi Projektmanagement (PMI / PMP und SCRUM-Master zertifiziert) und PMO Aufbau
Automotive: SAE J3061, ISO/SAE 21434, TISAX
Einige Publikationen:
https://www.heise.de/select/ct/2021/7/2031717381985388403
https://www.heise.de/select/ct/2022/1/2130115435655413363
Effective Implementation of Management Systems, Springer Fachmedien Wiesbaden
Ausbildung und Weiterbildungen:
2019:
Certified Ethical Hacker, CEH
Certified Security Analyst, ECSA
Certified Ethical Hacker Practical
SIEM Splunk für SOC-Betrieb
NIST Framework
ISO 21434
ISO 22301 BCM
2018:
Promotion im Bereich Managementsysteme
B3S Standard, TüvIT
Auditorenschulung gemäß IT-Sicherheitskatalog der Bundesnetzagentur
2015:
ISO 27001 Lead Auditor, IRCA
ISO 9001 Lead Auditor, IRCA
Promotion (nebenberuflich) im Bereich Managementsysteme i.A.
2014:
IT-Sicherheitsbeauftragter,TÜV Rheinland
IT-Security-Manager,TÜV Rheinland
2012:
Führungskräftetraining, borisgloger
Weiterbildung im Bereich öffentlicher Ausschreibungen
2010:
SCRUM Master Zertifizierung & Product Owner-Weiterbildung, Scrum Alliance
2009: EMC² SourceOne Email-Management Professional
2008: PMP – Project Management Professional, Organisation Project Management Institute
2008: Weiterbildung: NLP, NLP & Coaching Institut Berlin
2008: Weiterbildung: Verhandlungsführung und Vertriebsstrategie, Pfersich The Value Company
2007: Weiterbildung im Bereich ITIL und CMMI
2005-2006: MBA - Master of Business Administration,
2001-2004: Bachelor of Science der Informatik (Auszeichnung: bester Student des Jahrgangs)
1999-2000: Diplom Produktionsleitung, Kaskeline Film Akademie, Berlin
PROJEKTERFAHRUNG
2020-04 - heute Konzeption von IT-Security und Compliance
5 Monate
Kunde: Finanzdienstleistung
Projektinhalte:
- Konzeption von IT-Security-Konzepten für die sicheren Betrieb (IDS/IPS, SIEM, Log-Archivierung und Analyse)
- Penetration Testing und Vulnarability Scanning
- Konzeption von Compliance Anforderungen aus Vorgaben der Aufsicht (u.a. Backup/Recovery, Authentifizierung, Exit-Strategien im Dienstleistungsmanagement etc.)
2020-02 - heute Compliance Consolidation
7 Monate
Rolle: Projektmanager
Kunde: Großes Cloud-Produkthaus
Einsatzort: Global verteile Standorte
Projektinhalte: - Umsetzung von Anforderungen für Cloud Security auf Basis von BSI C5, Business Continuity BCM gemäß ISO 22301, und ISO 27001, 27017 , 27018, 27019
- Umsetzung von Produktzertifizierungen für China: Chinese Cyber Security Law und CCPS-Zertifizierung
- Umsetzung von SOC1 und SOC2 Zertifizierungen
- Steuerung von Projektkonsolidierungen
- Aufbau von Datenschutzmanagement nach ISO 27701
sonstige Tätigkeiten 2013-2019:
• Geschäftsführung eines jungen Unternehmens in der Wachstumsphase
• Beratung von Unternehmen der kritischen Infrastrukturen in Bezug auf Informationssicherheit und der Erfüllung des IT-Sicherheitsgesetzes
• Beratung von Kunden im Rahmen von Informationssicherheit und IT-Sicherheit
• Aufbau Security Operation Center (SOC) und Incident Response Teams (CSIRT) (u.a. Splunk-SIEM)
• Red Teaming / Blue Teaming (Penetration Testing und Simulation von Angriffen sowie Verteidigung von Cyber-Angriffen)
• Beratung von Unternehmen in Fragen von Zertifizierungen nach BSI Grundschutz BSI 100-1-4, ISO 9001, ISO 27001, Business Continuity Management, Cobit, ITIL und Risikomanagement
• Security Assessments und Penetration-Testing von IT- und Netzwerkarchitekturen von Kunden
• Projektleitertätigkeiten für Großkunden
• Projektleitungstätigkeiten für Kundenaufträge sowie interne Projekte Letztes Projekt (ca 1,5 Jahre):
• Leitung des Software-Teams (12 Personen)
• Organisation von Software-Entwicklungsprojekten im Bereich embedded und x86-Technologie
• Enge Absprachen mit der Geschäftsleitung sowie Gesamtentwicklungsleitung
• Prozessoptimierung der Produktentwicklung
• Projektleitung bei der Entwicklung von Hardware- und Software
• Leitung des IT-Security Projekts (gemäß Technischer Richtlinie)
• Automotive: SAE J3061, ISO/SAE 21434, TISAX
1. Konzeption eines Sicherheitsmoduls (Hard- und Software)
2. Threat-Modelling der Architektur
3. Entscheidung über technische Umsetzung von kryptografischen Maßnahmen, sicherer Speicherung und Übertragung von Daten
4. Erstellen eines Security Targets angelehnt an Common Criteria
5. Audit-Vorbereitung für BSI-geprüfte IT-Sicherheit
• Übernahme von Aufgaben des IT-Sicherheitsbeauftragten
1. Penetration-Testing der internen IT-Landschaft im Zuge regelmäßiger Security-Assessments
2. Konzeption von IT-Sicherheits-Lösungen mit der IT-Abteilung
3. Reverse Engineering von Software / Network-Forensik
4. Schreiben von Automatisierungs-Scripten (Bash, Perl/Python)
5. Vorbereitung auf eine ISO 9001- und ISO 27001-Zertifzierung sowie Maßnahmen des BSI-Grundschutzes
• Übernahme von Aufgaben des IT-Sicherheitsbeauftragten
Projekte 2012
Tätigkeiten (15 Monate): Interimsmanagement
• Operative Leitung der IT-Abteilung (35 IT-Fachkräfte, 5 Direct Reports)
• Einführung und Umstellung der Entwicklungsmethodologie der Teams auf einen agilen Entwicklungsprozess nach SCRUM
• Kommunikationsschnittstelle zum Vertrieb
• Begleitung von Common Criteria Zertifizierungen
1. Konzeption und Dokumentation von Produkten zur Common Criteria-Zertifizierung
2. Begleitung und Nachbesserung bei Sicherheits-Audits
• Begleitung einer ISO 27001 (sowie ISO 9001) Zertifizierung
1. Zertifizierungsbegleitung des Unternehmens in beiden Normen
2. Erstellen eines Risikomanagements
• Erarbeitung von IT-Konzepten, insb. im Bereich Security auf den embedded-Systemen
1. Entwurf eines PKI-Konzeptes
2. Konzeption von sicheren Programmierlösungen im embedded-Bereich
3. Threat-Modelling der Lösungsmöglichkeiten
4. Security Assessments und Penetration-Testing der Lösungen
5. Schreiben von Software in C, Debugging auf Assembler-Ebene
6. Entwicklung von Abwehrstrategien für DDoS-Angriffen
7. Umsetzung einiger Forderungen des BSI-Grundschutzes
• Produktentwicklungs- und Projekt-Controlling
• Durchführen von Schulungen
• Begleitende Beratung von Kunden einschließlich Präsentationen
• Moderation von Workshops
- Themen und Umgebung im Bereich kritischer Infrastrukturen, Ausweis-APP u.a. mit Sicherheitsaudits, Konzeption von PKIs und IT-Sicherheitsarchitekturen
Projekte 2008-2011
Anforderungsanalyse & Prozessanalyse
Erstellen von Lasten und Pflichtenheften, Analysieren von Prozessen und IT-Architekturen, Moderieren von Workshops, Konzeption von Lösungen (auch mittels Prozessdarstellung in UML, BPMN etc.).
Lösungs- und Anbieterauswahl , Ausschreibungen
ROI-Betrachtung und IT-Investitionsentscheidungen für Abteilungen und Unternehmen anfertigen.
Erstellung von Ausschreibungsunterlagen sowie Bewertungskriterien
Durchführung der Anbietervorstellungen
Bewertung und Präsentation der Anbieter/Lösungen mit Handlungsempfehlung der sinnvollsten passenden Lösung
Softwareentwicklungsprozesse
Neben der Anforderungsanalyse kenne ich den Softwareentwicklungszyklus sehr genau. Hierzu zählen Methodiken der Entwicklung (agile, extreme Programming) genauso wie die dafür verwendeten Tools. Ebenso die Themen Testing und QA, Release Management und Deployment sind mir bestens bekannt.
SCRUM
Zertifiziert als Scrum Master und Erfahrung in der Arbeit mit Scrum Teams. Hierbei bin ich besonders an der Steigerung der Produktivität durch agile Methodologien interessiert und die Hürse diese Denkweise in Teams und Unternehmen zu festigen.
Projektmanagement
Erfahrung im klassischen Projektmanagem auf Basis des PMI durch PMP-Zeritifikat.
Projektplanung-, Steuerung und Controlling, Risikomanagement sowie weitere relevante Gebiete in diesem Bereich (gemäß PMI-Knowledge-Areas).
Service Level , Qualität und IT-Prozesse
Ich habe eine ITIL-Foundation-Zertifizierung und verschiedene Prozessbegleitungen in Projekten durchgeführt.
Entwicklungserfahrung
Sehr guter Überblick über Java / JEE-Entwicklung wie auch die Entwicklung mit PHP5 durch eigene vergangene Entwicklererfahrung. Mir sind die Werkzeuge und aktuellen Technologien und deren Leistungsfähigkeit bekannt (EJB3, Persistence-Frameworks, JMS, und weitere verschiedene APIs ebenso wie Webservices).
SOA / BPM
In verschiedenen Unternehmen war ich in die Auswahl und Implementierung einer Service-orientierten Architektur eingebunden.
Nutzung von BPM Tools auf Basis bestehender automatisierter IT-Infrastrukturen.
IT-Administration
Als Teamleiter war ich für w Rechenzentren sowie eine heterogene Systemlandschaft verantwortlich. Hierzu zählte vor allem die Betreuung der Application- und Webserver sowie Datenbankserver aber auch die Architektur de r Systemlandschaft selbst (Netzwerktechnik, Virtualisierung, IT-Sicherheit nach BSI / IT-Grundschutz etc.)
Webentwicklung
Durch Projekterfahrung Kenntnisse in Frontendtechnologien- und Prozesse: Webdesign, HTML/CSS/JavaScript, Flash, Silverlight, aber auch JSP/Servlets.
Mobile Technologien
Sehr gute Kenntnisse der mobilen Systeme (iOS, Windows Phone) und deren Leistungsfähigkeiten und Anforderungen in Bezug auf Softwareentwicklungsprojekte.
Vertriebserfahrung
Aufbauerfahrung eines Bereichs einer Personalagentur Erfahrungen im Vertrieb und Key-Account-Management.
Marketing- und Social-Media-Beratung
Beratung verschiedener KMUs im Bereich Social Media-Themen sowie Marketing im Online-Bereich (einschließlich SEO/SEM)
Tätigkeiten im Bereich der Unternehmensberatungn (2 Jahre):
Vertriebs- und Produktmanagementunterstützung sowie Projektleitung im Bereich innovativer Hard- und Softwareprodukte
Vertragsgestaltung mit Anbietern und Kunden des neuen Marktes
Change-Management der internen Prozesse
Konzeption und Geschäftsplanentwicklung für ein Startup-Unternehmen im Bereich der Unternehmensberatung
Projektleitung bei der skilldeal AG für unterschiedliche IT-Projekte
Tätigkeiten als Projektmanager (5 Jahre):
Multiprojektmanagement
Einführung des CRM-Systems Salesforce.com für 500 Mitarbeiter
Konzeption, Entwicklungsbetreuung und Einführung eines externen Eventmanagement-Systemsystems in die internen Unternehmensprozesse
Evaluation und Einführung eines Enterprise Service Bus (ESB) mit SOA-Architektur der Top-Anbieter des Marktes nach Gartner. Aufsetzen eines Business Process Managements (BPM) auf Basis der Infrastruktur und Produkte sowie Einführen der notwendigen Prozessveränderungen im Unternehmen
Einführung eines Social Media/Enterprise 2.0-Intranets für die Scout-Gruppe
Entscheidungsfindung, Einführung und Migration eines alten BI-Tools zu einem Business Intelligence-Systems.
Übernahme von Scum Master-Positionen für verschiedene Scrum-Teams der Software-Entwicklung.
Tätigkeiten als Partner für eine Unternehmensberatung (2 Jahre):
Beratung und Coaching
Entwicklung von Social Media-Strategien und Online-Marketing-Maßnahmen für KMUs
Coaching von Einzelpersonen und Teams hinsichtlich der Fachthemen Marketing, Finanzierung, IT-Prozesse und Systeme und in der Personalführung
Vorträge auf Netzwerkveranstaltungen zu obigen Themen
Konzeption von Ideen und Schreiben von Businessplänen
Schreiben von Fachartikeln
Projektmanagement im Bereich ECM (6 Monate): Der Fokus des Projektes lag im Bereich komplexer Integrationsprojekte im Enterprise-Content-Management Produktumfeld. Folgende Aufgaben nahm ich wahr: Tätigkeiten
Schaffung einer internen Projektplattform auf Basis von SharePoint
Definition neuer Kundensegmente für gezielte Projektakquise
Key-Account-Management eines bestehenden Kundenstamms
Bearbeitung von Ausschreibungen
Organisieren von Messeauftritte
Projekt-Personaldienstleister (1 Jahr): Die Aufgabe meiner Position innerhalb des Dienstleisters im Unternehmensbereich Interims-Management und IT bestand in der Entwicklung des Bereichs Beratung und Projektmanagement. Durch meine vorherigen Beratungstätigkeiten, in der sehr viele vertriebliche Aspekte eine Rolle spielten, und mein Fachwissen im Bereich IT-Technologien trat ich mit Fachabteilungen mit Unternehmen in Kontakt, um dort die Dienstleistungen zu präsentieren und mit den Ansprechpartnern über Lösungen und Projekte zu diskutieren. Hierbei kamen vor allem aktuelle und strategische Themen und Projektentscheidungen mit starkem Bezug zur Vermittlung fachlicher Experten, insb. Freiberufler zur Sprache. Eigene Einsätze als Freiberufler erlaubten mir, das Projektgeschäft aktiv mitzugestalten. Tätigkeiten
Entwicklung und Umsetzung von Vertriebsstrategien
Mitarbeit an Ideen einer neuen Unternehmensstrategie in diesem Bereich
Beratung von Kunden zu Fragen fachlicher Themen mit dem Ziel der Vermittlung von Beratungsleistungen in den Bereich Unternehmensprozesse (CMMI/ITIL), Optimierung von Abläufen, Project Management Offices sowie bei Entscheidungen im Umfeld der IT (SOA, Outsourcing, Migrationsprojekte etc.)
Teilnahme an Ausschreibungen
Angebotskalkulation- und Erstellung
Interims-Einsätze bei Kunden als Interims Manager bzw. Freelancer
Publikation von Artikeln in Fachzeitschriften
Axel Springer AG / Hamburg und Berlin Interims Manager (6 Monate)
Tätigkeiten:
Teamleitung der internen IT im Bereich Infrastruktur und Rechenzentrum mit disziplinarischer Personalverantwortung von 14 Mitarbeitern einschließlich des Second Level Supports
Projektmanagement verschiedener Projekte, u.a.:
Begleitung der Einführung und Etablierung der Shared Service Center-Strategie im Bereich der IT-Infrastruktur sowie aller beteiligten Verlagsrelevanten Applikationen
Optimierung interner Prozesse
Migration verschiedener Softwaresysteme auf neue Versionen und neue Hardware
Koordination des RZ-Betriebs und von Roll-outs neuer Hardware (SUN Solaris, Datenbankserver etc.)
Begleitung von Architekturentscheidungen im immer komplexer werdenden Umfeld gigantischer Datenmengen (HDS, LUN, SAN etc.), ITIL und ISO 20000 sowie CMMI-Konformität
Übernahme von Change Management-Prozessen
Technisches Umfeld: komplexe Systemlandschaft in dezentralen Rechenzentren aus heterogener Hardware von SUN Solaris bis Windows Server, SAN, HDS, diverse Webserver, Terminals und tausende von Workstations (Windows und MacOS) sowie die unterschiedlichsten verlagsrelevanten Applikationen
Cornelsen (6 Monate)
Tätigkeiten:
Prozessmanagement: Aufnahme, Dokumentation und optimierende Betrachtung sämtlicher operativer Prozesse und der dazu gehörigen Geschäftsfälle und Überführung Selbiger in IT-nutzbare Form (Prozessdokumentations-Tool) zum Zwecke der Entwicklung eines neuen unternehmensübergreifenden Verlagssystems (zzgl. Kennzahlen im Sinne des Business Process Managements)
Erstellung eines Evaluationskatalog und Koordination der Auswahl einer Unternehmenssoftware
Beratung in strategischen IT-Fragen (Architektur, insbesondere die Frage nach Service-orientierter Architektur, Entscheidungsfindung und Begleitung sowie Evaluation ob Eigen- oder Fremdentwicklung bzw. in Frage kommende Systemanbieter etc.), Beratung beim Aufbau von IT-Governance-Prozessen und Standards (nach CobiT) und Return on Invest-Betrachtung
Eingesetzte Tools und Technologien: Office-Tools insbesondere Excel und MS Project, Rational Rose, betrachtete Technologien betrafen Fragen der Migration von Legacy-Anwendungen, deren Kapselung und Bereitstellung als Service sowie die Migration der Hardware
Springer Verlag
Tätigkeiten:
Projektleitung für die Migration eines CRM-Systems
Erstellen von Ausschreibungsunterlagen
Auswahl und Bewertung von Anbietern sowie Präsentation der Ergebnisse
Beratung bei Portfolio-Entscheidungen und dem Anforderungsmanagement
Technologisches Umfeld: Oracle Datenbanken sowie diverse Oracle Applikationen und deren Migration in ein neues System (Einschließlich Backup- und Roll-Backkonzept, Datenkonsistenz, Datenbestandsbereinigung, Performance und Worst-Case-Scenarios), diverse Projekt Management Tools und deren Evaluation
Verlagsgruppe Handelsblatt (3 Monate)
Tätigkeiten:
Beratung in Fragen der Nutzbarkeit von Web 2.0-Tools
IT-Architektur- und Systementscheidungen (z.B. SOA, Web Services, Performance-Fragen bei Datenbankzugriffen, Suchmaschinenoptimierung, Indexierung, Content Management Systeme, Hardwareauswahl etc.)
Auswahl und Bewertung von Anbietern sowie Präsentation der Ergebnisse, insbesondere der Entscheidungsgrundlage nach den Pitches diverserer Anbieter und Agenturen
(Technologisches) Umfeld: heterogene Systemlandschaft insbesondere im Bereich der verwendeten Content Management Systeme, Costumer-Relationship-Management-Systeme und damit verbundene Subsysteme (Abrechnung, Buchhaltung, Supply-Management, Bestellsysteme etc.), Suchmaschinen und Indexierungssystem von Google Search Appliance, Fast Search and Transfer und anderen, Integrationsentwicklung im Rahmen einer SOA
Kneipp-Werke (2 Monate)
Tätigkeiten:
Organisationsanalyse und Prozessdokumentation aller für das Controlling relevanten Bereiche
Beratung beim Aufbau eines genau passenden Controlling-Systems auf Basis von BPM und Balanced Scorecards
Betrachtung einer Outsourcing-Möglichkeit im Rahmen von BPO
Einführung einer Business Intelligence-Applikation auf Basis des Controlling-Systems
Entwicklung eines Maßnahmenkatalogs zur Überwindung interner personell bedingter Hürden
(Technologisches) Umfeld: Controlling-Legacy-Anwendungen, und der zu migrierende Datenbestand, Betrachtung verschiedener Controlling-Systeme, Einführungsunterstützung bei Microsoft Dynamics
2005 – 2006
Ich leitete die IT-Abteilung der Internetagentur New Impact AG. Dazu gehörten im Wesentlichen die Personaleinstellung, Personalentwicklung und Personalführung von 20 Mitarbeitern und die Ressourcen-Planung aller IT-Mitarbeiter auf Basis der IT-Aufträge. Die geringe Mitarbeiterfluktuation machte es möglich, sich in einer Rolle mit disziplinarischer Verantwortung auf die Weiterentwicklung der Mitarbeiter und die organisatorischen Probleme zu konzentrieren. Gerade im Bereich von Softwareentwicklungsprojekten auf den verschiedensten Plattformen (Java/JEE, .NET und PHP auf Tomcat/JBoss, Webshpere, MS SQL, Oracle, MySQL) hatte eine genaue Vorhersage anstehender Projekte und dessen Technologien großen Einfluss auf die Auslastung der Mitarbeiter. Eine enge Zusammenarbeit mit den einzelnen Projektbeteiligten und dem Auftragseingang war daher maßgeblich. Eine weitere Aufgabe war das Projektmanagement. Dabei übernahm ich einerseits die Rolle des Ansprechpartners für den Kunden. Ich war für die Anforderungsanalysen zuständig, die in Lastenheften und letztendlich in Angeboten mit festen SLAs endeten, die ich ebenfalls verantwortete – einschließlich der nötigen Vertragsverhandlungen. Ich teilte weiterhin die Entwicklerteams ein, sorgte für die Projektorganisation und übernahm das Projekt-Controlling sowie übliche Projektmanagementaufgaben wie Change- und Risiko- und Qualitätsmanagement innerhalb der mir unterstellten Projekte. Da jeder Projektmanager die volle Budget-Verantwortung hatte, war ein standardisiertes Vorgehen in jedem Projekt maßgeblich. Neben der intensiven Kundenbetreuung während des Projektes war die Präsentation der Zwischen- und End-Lösung bzw. eine Schulung eine weitere wichtige Aufgabe. Stets war es das Ziel, durch das Netzwerk oder den Kundenkontakt Folgeprojekte zu generieren. Technisch war ich durch meinen Softwareentwicklungshintergrund in Architekturentscheidungen und in die Modellierung der Software und Prozesse (OOA/OOD) mit UML involviert. Auszug Projekttätigkeiten (Aus dem Multiprojektmanagement):
Dauer: 4 Monate
GastroBern Projektleiter Softwareentwicklungsprojekt mit Webauftritt Tätigkeiten:
Anforderungsanalyse und Pflichtenhefterstellung anhand des Business Cases
Angebotserstellung und Verhandlungen bzgl. der Umsetzung
Projektmeetings und Koordination mit Grafik, Entwicklung und Administration
Projektmanagement-Standards-Gemäße Controlling-Funktionen, regelmäßige Team-Meetings, Qualitätssicherung und Organisation des Testing einschließlich regelmäßiger Code-Reviews in enger Absprache mit dem Kunden
Präsentation und Schulung des Kunden im neuen System
Technologieeinsatz: Virtuelle Maschinen (vmware), verteiltes System mit Apache, MySQL, PHP sowie Schnittstelle zu einem Mobilfunkbetreiber, CMS Typo3
Dauer: 6 Monate
Schweizer Polizei-Department EJPD Projektleiter Softwareentwicklungsprojekt mit Imperia (CMS) Tätigkeiten:
Anforderungsanalyse und Pflichtenhefterstellung
Migrationsszenarien der Legacy-Anwendungen zum neuen System aufzeigen
Betreuung von Kunden während der Entwicklungsphase in Form von Status-Meetings, Incident- und Change Management
Koordination des Entwicklungsteams
Technologieeinsatz: Virtuelle Maschinen (vmware) als Entwicklungsplattform Eclipse, Oracle Datenbanken, Java-Templating-System, Perl- und JavaScript,
2003 – 2005
Meine Aufgaben bei Yener Marketing & Vertrieb umfassten vor allem verschiedene Tätigkeiten des Projektmanagements. Ich war außerdem für den Aufbau der internen IT-Abteilung verantwortlich und plante IT-Systeme sowohl für den internen wie auch den externen Einsatz. Neben der Analyse und dem Entwurf kundenspezifischer Lösungen mit dem Fokus auf den eBusiness-Bereich und dem Schwerpunkt Supply-Chain-Systeme, koordinierte ich die Softwareentwickler, die die Lösung realisierten. Ich traf die Entscheidung für die IT-Architekturen gemeinsam mit den Kollegen und entwickelte zeitweise Programm-Code mit. Ein durch mich etabliertes agiles Vorgehen nach SCRUM ermöglichte eine effiziente Zusammenarbeit des Entwicklerteams unter zunehmenden Druck in gleich bleibender Qualität. Die Kundenberatung und gleichzeitige Akquise von Folgeprojekten in Sachen Technologie und Online-Strategie gehörten ebenso zu meinen Aufgaben wie die Aufnahme der Anforderungen und dem Schreiben der Angebote samt technischer Spezifikationen. Auszug Projekteinsätze: Dauer: 12 Monate Softwareentwicklungsprojekt Business-2-Business System Projektleitung und Entwickler Tätigkeiten:
Konzeption, Anforderungsdefinition und Kalkulation sowie Angebotserstellung (einschließlich SLAs)
Organisatorische Projektplanung
Technische Projektleitung und Entwicklung (auf Basis von PHP, MySQL)
Finden von zusätzlichen Mitarbeitern und Entwicklern, sofern die Ressourcen nicht ausreichend waren
Koordination der Entwicklung in kleinen Iterationen/Sprints, einschließlich der Qualitätssicherung durch Code-Reviews und Testing
Abnahme und Präsentation beim Kunden
Technologisches Umfeld: Hoch verfügbare Linux Server (Debian), Apache Webserver, MySQL Datenbanken, Entwicklungsumgebung PHP, Java/J2EE mit verschiedenen Entwicklungsplattformen einschließlich Eclipse, Adobe FLASH, Visual Studio und ASP und ASP.NET
11.2001 – 11.2003
Berlin Softwareentwickler
Tätigkeiten:
Softwareentwicklung mit Java/J2EE und PHP
Der Fokus der Projekte lag im Bereich von Web-Applikationen und Content-Management-Systemen
XML-Entwicklung (XSL, XSLT-Transformationen)
Datenbankentwicklung (MS SQL, MySQL)
Andere Tätigkeiten und Aktivitäten
2011
iPhone-App-Entwicklung auf Xcode-Basis
Dozent
03.2001 – 08.2001
AMD Europe / London, England Freiberuflich: Hotline-Engineer im Hardware-Support
12.2000 – 02.2002
Film Industrie / Verschiedene Firmen und Orte Deutschlands
DSGVO - Datenschutzgrundverordnung - externer Datenschutzbeauftragter
ISMS-Einführung auf Basis von BSI Grundschutz Berater und Praktiker oder ISO 27001-nativ
Auditor und Berater für die ISO 9001, ISO 27001, ISO 27019, §8a und TISAX, ISO/IEC 27701
Erfahrung mit dem NIST-Framework und NIST-Assessments
Aufbau Security Operation Center (SOC) sowie Cyber Security Incident Response Teams (CSIRT), Produkte u.a. Splunk, Greenbone, Nessus, Fireeye, Elastic Search, Elastic Security, Kabana etc.
SIEM / Splunk Experte
Umsetzung Technischer Richtlinien für Hardware- und Softwareentwicklungsprodukte (inkl. Common Criteria Zertifizierungen u.a. auch TR 03109)
Durchführung von Risikoanalysen, IT-Security-Assessments, Penetration-Tests, Vulnerability-Assessments
Erarbeitung von Sicherheitskonzepten für Netzwerkinfrastruktur und IT-Systeme (einschl. von IT-Architekturen und Softwareentwicklungs-Best-Practises, z.B. Secure Coding)
Veröffentlichen von Fachartikeln / Autoren-Tätigkeiten
Projektmanagement und Teamleitungstätigkeiten mit Personalverantwortung für Teams bis 30 Personen
Projektleitung für komplexe Projekte (Anforderungsanalyse, Umsetzung, Qualitätssicherung)
Anforderungsanalysen und Schnittstelle fachliche Anforderung und IT-Umsetzung
Prozessoptimierung (ITIL, COBIT)
Erfahrungen als Scrum-Master und Product-Owner für Produktentwicklungen
Chinese Cyber Law-Erfahrung
Sonstige Themen und Schlagworte in diesem Zusammenhang:
IT Security / Sicherheit / Krypographie / Common Critera / PKI Lösungen
Einführung von ISMS, u.a. im Bereich kritischer Infrastrukturen (Kritis-V)
Auditor for IT-Sicherheitskatalog gem. §11 Ia EnWG, Prüfnachweisen gem. §8a BSIG,
Vorbereitung und Audits nach BSI Grundschutz und Grunschutzkataloge
Beratung im Bereich Datenschutz / Datenschutzgrundverordnung /DSGVO)
ITIL, ISO 20000-Wissen sowie Erfahrung im Bereich COBIT
ISO 21434
ISO 22301 BCM
IT Security Manager (zertifziert)
Penetration Testing Erfahrung (Certified Ethical Hacker Zertifizierung)
IT Sicherheitsbeauftragter (zertifiziert)
Certified Ethical Hacker (CEH)
IT-Forensik-, Requirement Engineering-Erfahrung sowie Wissen in Malware Analysis
SCADA und Feldbussystem-Sicherheit, Industrie 4.0 Security
Incident Management und den Aufbau von CIRTs
Etablierung von Security Operations Center (SOC) einschl. notwendiger Systeme (SIEM, IDS/IPS, Vulnerability Management)
Agile Methoden inkl. Scaled Agile Framework SAFe
Multi Projektmanagement (PMI / PMP und SCRUM-Master zertifiziert) und PMO Aufbau
Automotive: SAE J3061, ISO/SAE 21434, TISAX
Einige Publikationen:
https://www.heise.de/select/ct/2021/7/2031717381985388403
https://www.heise.de/select/ct/2022/1/2130115435655413363
Effective Implementation of Management Systems, Springer Fachmedien Wiesbaden
Ausbildung und Weiterbildungen:
2019:
Certified Ethical Hacker, CEH
Certified Security Analyst, ECSA
Certified Ethical Hacker Practical
SIEM Splunk für SOC-Betrieb
NIST Framework
ISO 21434
ISO 22301 BCM
2018:
Promotion im Bereich Managementsysteme
B3S Standard, TüvIT
Auditorenschulung gemäß IT-Sicherheitskatalog der Bundesnetzagentur
2015:
ISO 27001 Lead Auditor, IRCA
ISO 9001 Lead Auditor, IRCA
Promotion (nebenberuflich) im Bereich Managementsysteme i.A.
2014:
IT-Sicherheitsbeauftragter,TÜV Rheinland
IT-Security-Manager,TÜV Rheinland
2012:
Führungskräftetraining, borisgloger
Weiterbildung im Bereich öffentlicher Ausschreibungen
2010:
SCRUM Master Zertifizierung & Product Owner-Weiterbildung, Scrum Alliance
2009: EMC² SourceOne Email-Management Professional
2008: PMP – Project Management Professional, Organisation Project Management Institute
2008: Weiterbildung: NLP, NLP & Coaching Institut Berlin
2008: Weiterbildung: Verhandlungsführung und Vertriebsstrategie, Pfersich The Value Company
2007: Weiterbildung im Bereich ITIL und CMMI
2005-2006: MBA - Master of Business Administration,
2001-2004: Bachelor of Science der Informatik (Auszeichnung: bester Student des Jahrgangs)
1999-2000: Diplom Produktionsleitung, Kaskeline Film Akademie, Berlin
PROJEKTERFAHRUNG
2020-04 - heute Konzeption von IT-Security und Compliance
5 Monate
Kunde: Finanzdienstleistung
Projektinhalte:
- Konzeption von IT-Security-Konzepten für die sicheren Betrieb (IDS/IPS, SIEM, Log-Archivierung und Analyse)
- Penetration Testing und Vulnarability Scanning
- Konzeption von Compliance Anforderungen aus Vorgaben der Aufsicht (u.a. Backup/Recovery, Authentifizierung, Exit-Strategien im Dienstleistungsmanagement etc.)
2020-02 - heute Compliance Consolidation
7 Monate
Rolle: Projektmanager
Kunde: Großes Cloud-Produkthaus
Einsatzort: Global verteile Standorte
Projektinhalte: - Umsetzung von Anforderungen für Cloud Security auf Basis von BSI C5, Business Continuity BCM gemäß ISO 22301, und ISO 27001, 27017 , 27018, 27019
- Umsetzung von Produktzertifizierungen für China: Chinese Cyber Security Law und CCPS-Zertifizierung
- Umsetzung von SOC1 und SOC2 Zertifizierungen
- Steuerung von Projektkonsolidierungen
- Aufbau von Datenschutzmanagement nach ISO 27701
sonstige Tätigkeiten 2013-2019:
• Geschäftsführung eines jungen Unternehmens in der Wachstumsphase
• Beratung von Unternehmen der kritischen Infrastrukturen in Bezug auf Informationssicherheit und der Erfüllung des IT-Sicherheitsgesetzes
• Beratung von Kunden im Rahmen von Informationssicherheit und IT-Sicherheit
• Aufbau Security Operation Center (SOC) und Incident Response Teams (CSIRT) (u.a. Splunk-SIEM)
• Red Teaming / Blue Teaming (Penetration Testing und Simulation von Angriffen sowie Verteidigung von Cyber-Angriffen)
• Beratung von Unternehmen in Fragen von Zertifizierungen nach BSI Grundschutz BSI 100-1-4, ISO 9001, ISO 27001, Business Continuity Management, Cobit, ITIL und Risikomanagement
• Security Assessments und Penetration-Testing von IT- und Netzwerkarchitekturen von Kunden
• Projektleitertätigkeiten für Großkunden
• Projektleitungstätigkeiten für Kundenaufträge sowie interne Projekte Letztes Projekt (ca 1,5 Jahre):
• Leitung des Software-Teams (12 Personen)
• Organisation von Software-Entwicklungsprojekten im Bereich embedded und x86-Technologie
• Enge Absprachen mit der Geschäftsleitung sowie Gesamtentwicklungsleitung
• Prozessoptimierung der Produktentwicklung
• Projektleitung bei der Entwicklung von Hardware- und Software
• Leitung des IT-Security Projekts (gemäß Technischer Richtlinie)
• Automotive: SAE J3061, ISO/SAE 21434, TISAX
1. Konzeption eines Sicherheitsmoduls (Hard- und Software)
2. Threat-Modelling der Architektur
3. Entscheidung über technische Umsetzung von kryptografischen Maßnahmen, sicherer Speicherung und Übertragung von Daten
4. Erstellen eines Security Targets angelehnt an Common Criteria
5. Audit-Vorbereitung für BSI-geprüfte IT-Sicherheit
• Übernahme von Aufgaben des IT-Sicherheitsbeauftragten
1. Penetration-Testing der internen IT-Landschaft im Zuge regelmäßiger Security-Assessments
2. Konzeption von IT-Sicherheits-Lösungen mit der IT-Abteilung
3. Reverse Engineering von Software / Network-Forensik
4. Schreiben von Automatisierungs-Scripten (Bash, Perl/Python)
5. Vorbereitung auf eine ISO 9001- und ISO 27001-Zertifzierung sowie Maßnahmen des BSI-Grundschutzes
• Übernahme von Aufgaben des IT-Sicherheitsbeauftragten
Projekte 2012
Tätigkeiten (15 Monate): Interimsmanagement
• Operative Leitung der IT-Abteilung (35 IT-Fachkräfte, 5 Direct Reports)
• Einführung und Umstellung der Entwicklungsmethodologie der Teams auf einen agilen Entwicklungsprozess nach SCRUM
• Kommunikationsschnittstelle zum Vertrieb
• Begleitung von Common Criteria Zertifizierungen
1. Konzeption und Dokumentation von Produkten zur Common Criteria-Zertifizierung
2. Begleitung und Nachbesserung bei Sicherheits-Audits
• Begleitung einer ISO 27001 (sowie ISO 9001) Zertifizierung
1. Zertifizierungsbegleitung des Unternehmens in beiden Normen
2. Erstellen eines Risikomanagements
• Erarbeitung von IT-Konzepten, insb. im Bereich Security auf den embedded-Systemen
1. Entwurf eines PKI-Konzeptes
2. Konzeption von sicheren Programmierlösungen im embedded-Bereich
3. Threat-Modelling der Lösungsmöglichkeiten
4. Security Assessments und Penetration-Testing der Lösungen
5. Schreiben von Software in C, Debugging auf Assembler-Ebene
6. Entwicklung von Abwehrstrategien für DDoS-Angriffen
7. Umsetzung einiger Forderungen des BSI-Grundschutzes
• Produktentwicklungs- und Projekt-Controlling
• Durchführen von Schulungen
• Begleitende Beratung von Kunden einschließlich Präsentationen
• Moderation von Workshops
- Themen und Umgebung im Bereich kritischer Infrastrukturen, Ausweis-APP u.a. mit Sicherheitsaudits, Konzeption von PKIs und IT-Sicherheitsarchitekturen
Projekte 2008-2011
Anforderungsanalyse & Prozessanalyse
Erstellen von Lasten und Pflichtenheften, Analysieren von Prozessen und IT-Architekturen, Moderieren von Workshops, Konzeption von Lösungen (auch mittels Prozessdarstellung in UML, BPMN etc.).
Lösungs- und Anbieterauswahl , Ausschreibungen
ROI-Betrachtung und IT-Investitionsentscheidungen für Abteilungen und Unternehmen anfertigen.
Erstellung von Ausschreibungsunterlagen sowie Bewertungskriterien
Durchführung der Anbietervorstellungen
Bewertung und Präsentation der Anbieter/Lösungen mit Handlungsempfehlung der sinnvollsten passenden Lösung
Softwareentwicklungsprozesse
Neben der Anforderungsanalyse kenne ich den Softwareentwicklungszyklus sehr genau. Hierzu zählen Methodiken der Entwicklung (agile, extreme Programming) genauso wie die dafür verwendeten Tools. Ebenso die Themen Testing und QA, Release Management und Deployment sind mir bestens bekannt.
SCRUM
Zertifiziert als Scrum Master und Erfahrung in der Arbeit mit Scrum Teams. Hierbei bin ich besonders an der Steigerung der Produktivität durch agile Methodologien interessiert und die Hürse diese Denkweise in Teams und Unternehmen zu festigen.
Projektmanagement
Erfahrung im klassischen Projektmanagem auf Basis des PMI durch PMP-Zeritifikat.
Projektplanung-, Steuerung und Controlling, Risikomanagement sowie weitere relevante Gebiete in diesem Bereich (gemäß PMI-Knowledge-Areas).
Service Level , Qualität und IT-Prozesse
Ich habe eine ITIL-Foundation-Zertifizierung und verschiedene Prozessbegleitungen in Projekten durchgeführt.
Entwicklungserfahrung
Sehr guter Überblick über Java / JEE-Entwicklung wie auch die Entwicklung mit PHP5 durch eigene vergangene Entwicklererfahrung. Mir sind die Werkzeuge und aktuellen Technologien und deren Leistungsfähigkeit bekannt (EJB3, Persistence-Frameworks, JMS, und weitere verschiedene APIs ebenso wie Webservices).
SOA / BPM
In verschiedenen Unternehmen war ich in die Auswahl und Implementierung einer Service-orientierten Architektur eingebunden.
Nutzung von BPM Tools auf Basis bestehender automatisierter IT-Infrastrukturen.
IT-Administration
Als Teamleiter war ich für w Rechenzentren sowie eine heterogene Systemlandschaft verantwortlich. Hierzu zählte vor allem die Betreuung der Application- und Webserver sowie Datenbankserver aber auch die Architektur de r Systemlandschaft selbst (Netzwerktechnik, Virtualisierung, IT-Sicherheit nach BSI / IT-Grundschutz etc.)
Webentwicklung
Durch Projekterfahrung Kenntnisse in Frontendtechnologien- und Prozesse: Webdesign, HTML/CSS/JavaScript, Flash, Silverlight, aber auch JSP/Servlets.
Mobile Technologien
Sehr gute Kenntnisse der mobilen Systeme (iOS, Windows Phone) und deren Leistungsfähigkeiten und Anforderungen in Bezug auf Softwareentwicklungsprojekte.
Vertriebserfahrung
Aufbauerfahrung eines Bereichs einer Personalagentur Erfahrungen im Vertrieb und Key-Account-Management.
Marketing- und Social-Media-Beratung
Beratung verschiedener KMUs im Bereich Social Media-Themen sowie Marketing im Online-Bereich (einschließlich SEO/SEM)
Tätigkeiten im Bereich der Unternehmensberatungn (2 Jahre):
Vertriebs- und Produktmanagementunterstützung sowie Projektleitung im Bereich innovativer Hard- und Softwareprodukte
Vertragsgestaltung mit Anbietern und Kunden des neuen Marktes
Change-Management der internen Prozesse
Konzeption und Geschäftsplanentwicklung für ein Startup-Unternehmen im Bereich der Unternehmensberatung
Projektleitung bei der skilldeal AG für unterschiedliche IT-Projekte
Tätigkeiten als Projektmanager (5 Jahre):
Multiprojektmanagement
Einführung des CRM-Systems Salesforce.com für 500 Mitarbeiter
Konzeption, Entwicklungsbetreuung und Einführung eines externen Eventmanagement-Systemsystems in die internen Unternehmensprozesse
Evaluation und Einführung eines Enterprise Service Bus (ESB) mit SOA-Architektur der Top-Anbieter des Marktes nach Gartner. Aufsetzen eines Business Process Managements (BPM) auf Basis der Infrastruktur und Produkte sowie Einführen der notwendigen Prozessveränderungen im Unternehmen
Einführung eines Social Media/Enterprise 2.0-Intranets für die Scout-Gruppe
Entscheidungsfindung, Einführung und Migration eines alten BI-Tools zu einem Business Intelligence-Systems.
Übernahme von Scum Master-Positionen für verschiedene Scrum-Teams der Software-Entwicklung.
Tätigkeiten als Partner für eine Unternehmensberatung (2 Jahre):
Beratung und Coaching
Entwicklung von Social Media-Strategien und Online-Marketing-Maßnahmen für KMUs
Coaching von Einzelpersonen und Teams hinsichtlich der Fachthemen Marketing, Finanzierung, IT-Prozesse und Systeme und in der Personalführung
Vorträge auf Netzwerkveranstaltungen zu obigen Themen
Konzeption von Ideen und Schreiben von Businessplänen
Schreiben von Fachartikeln
Projektmanagement im Bereich ECM (6 Monate): Der Fokus des Projektes lag im Bereich komplexer Integrationsprojekte im Enterprise-Content-Management Produktumfeld. Folgende Aufgaben nahm ich wahr: Tätigkeiten
Schaffung einer internen Projektplattform auf Basis von SharePoint
Definition neuer Kundensegmente für gezielte Projektakquise
Key-Account-Management eines bestehenden Kundenstamms
Bearbeitung von Ausschreibungen
Organisieren von Messeauftritte
Projekt-Personaldienstleister (1 Jahr): Die Aufgabe meiner Position innerhalb des Dienstleisters im Unternehmensbereich Interims-Management und IT bestand in der Entwicklung des Bereichs Beratung und Projektmanagement. Durch meine vorherigen Beratungstätigkeiten, in der sehr viele vertriebliche Aspekte eine Rolle spielten, und mein Fachwissen im Bereich IT-Technologien trat ich mit Fachabteilungen mit Unternehmen in Kontakt, um dort die Dienstleistungen zu präsentieren und mit den Ansprechpartnern über Lösungen und Projekte zu diskutieren. Hierbei kamen vor allem aktuelle und strategische Themen und Projektentscheidungen mit starkem Bezug zur Vermittlung fachlicher Experten, insb. Freiberufler zur Sprache. Eigene Einsätze als Freiberufler erlaubten mir, das Projektgeschäft aktiv mitzugestalten. Tätigkeiten
Entwicklung und Umsetzung von Vertriebsstrategien
Mitarbeit an Ideen einer neuen Unternehmensstrategie in diesem Bereich
Beratung von Kunden zu Fragen fachlicher Themen mit dem Ziel der Vermittlung von Beratungsleistungen in den Bereich Unternehmensprozesse (CMMI/ITIL), Optimierung von Abläufen, Project Management Offices sowie bei Entscheidungen im Umfeld der IT (SOA, Outsourcing, Migrationsprojekte etc.)
Teilnahme an Ausschreibungen
Angebotskalkulation- und Erstellung
Interims-Einsätze bei Kunden als Interims Manager bzw. Freelancer
Publikation von Artikeln in Fachzeitschriften
Axel Springer AG / Hamburg und Berlin Interims Manager (6 Monate)
Tätigkeiten:
Teamleitung der internen IT im Bereich Infrastruktur und Rechenzentrum mit disziplinarischer Personalverantwortung von 14 Mitarbeitern einschließlich des Second Level Supports
Projektmanagement verschiedener Projekte, u.a.:
Begleitung der Einführung und Etablierung der Shared Service Center-Strategie im Bereich der IT-Infrastruktur sowie aller beteiligten Verlagsrelevanten Applikationen
Optimierung interner Prozesse
Migration verschiedener Softwaresysteme auf neue Versionen und neue Hardware
Koordination des RZ-Betriebs und von Roll-outs neuer Hardware (SUN Solaris, Datenbankserver etc.)
Begleitung von Architekturentscheidungen im immer komplexer werdenden Umfeld gigantischer Datenmengen (HDS, LUN, SAN etc.), ITIL und ISO 20000 sowie CMMI-Konformität
Übernahme von Change Management-Prozessen
Technisches Umfeld: komplexe Systemlandschaft in dezentralen Rechenzentren aus heterogener Hardware von SUN Solaris bis Windows Server, SAN, HDS, diverse Webserver, Terminals und tausende von Workstations (Windows und MacOS) sowie die unterschiedlichsten verlagsrelevanten Applikationen
Cornelsen (6 Monate)
Tätigkeiten:
Prozessmanagement: Aufnahme, Dokumentation und optimierende Betrachtung sämtlicher operativer Prozesse und der dazu gehörigen Geschäftsfälle und Überführung Selbiger in IT-nutzbare Form (Prozessdokumentations-Tool) zum Zwecke der Entwicklung eines neuen unternehmensübergreifenden Verlagssystems (zzgl. Kennzahlen im Sinne des Business Process Managements)
Erstellung eines Evaluationskatalog und Koordination der Auswahl einer Unternehmenssoftware
Beratung in strategischen IT-Fragen (Architektur, insbesondere die Frage nach Service-orientierter Architektur, Entscheidungsfindung und Begleitung sowie Evaluation ob Eigen- oder Fremdentwicklung bzw. in Frage kommende Systemanbieter etc.), Beratung beim Aufbau von IT-Governance-Prozessen und Standards (nach CobiT) und Return on Invest-Betrachtung
Eingesetzte Tools und Technologien: Office-Tools insbesondere Excel und MS Project, Rational Rose, betrachtete Technologien betrafen Fragen der Migration von Legacy-Anwendungen, deren Kapselung und Bereitstellung als Service sowie die Migration der Hardware
Springer Verlag
Tätigkeiten:
Projektleitung für die Migration eines CRM-Systems
Erstellen von Ausschreibungsunterlagen
Auswahl und Bewertung von Anbietern sowie Präsentation der Ergebnisse
Beratung bei Portfolio-Entscheidungen und dem Anforderungsmanagement
Technologisches Umfeld: Oracle Datenbanken sowie diverse Oracle Applikationen und deren Migration in ein neues System (Einschließlich Backup- und Roll-Backkonzept, Datenkonsistenz, Datenbestandsbereinigung, Performance und Worst-Case-Scenarios), diverse Projekt Management Tools und deren Evaluation
Verlagsgruppe Handelsblatt (3 Monate)
Tätigkeiten:
Beratung in Fragen der Nutzbarkeit von Web 2.0-Tools
IT-Architektur- und Systementscheidungen (z.B. SOA, Web Services, Performance-Fragen bei Datenbankzugriffen, Suchmaschinenoptimierung, Indexierung, Content Management Systeme, Hardwareauswahl etc.)
Auswahl und Bewertung von Anbietern sowie Präsentation der Ergebnisse, insbesondere der Entscheidungsgrundlage nach den Pitches diverserer Anbieter und Agenturen
(Technologisches) Umfeld: heterogene Systemlandschaft insbesondere im Bereich der verwendeten Content Management Systeme, Costumer-Relationship-Management-Systeme und damit verbundene Subsysteme (Abrechnung, Buchhaltung, Supply-Management, Bestellsysteme etc.), Suchmaschinen und Indexierungssystem von Google Search Appliance, Fast Search and Transfer und anderen, Integrationsentwicklung im Rahmen einer SOA
Kneipp-Werke (2 Monate)
Tätigkeiten:
Organisationsanalyse und Prozessdokumentation aller für das Controlling relevanten Bereiche
Beratung beim Aufbau eines genau passenden Controlling-Systems auf Basis von BPM und Balanced Scorecards
Betrachtung einer Outsourcing-Möglichkeit im Rahmen von BPO
Einführung einer Business Intelligence-Applikation auf Basis des Controlling-Systems
Entwicklung eines Maßnahmenkatalogs zur Überwindung interner personell bedingter Hürden
(Technologisches) Umfeld: Controlling-Legacy-Anwendungen, und der zu migrierende Datenbestand, Betrachtung verschiedener Controlling-Systeme, Einführungsunterstützung bei Microsoft Dynamics
2005 – 2006
Ich leitete die IT-Abteilung der Internetagentur New Impact AG. Dazu gehörten im Wesentlichen die Personaleinstellung, Personalentwicklung und Personalführung von 20 Mitarbeitern und die Ressourcen-Planung aller IT-Mitarbeiter auf Basis der IT-Aufträge. Die geringe Mitarbeiterfluktuation machte es möglich, sich in einer Rolle mit disziplinarischer Verantwortung auf die Weiterentwicklung der Mitarbeiter und die organisatorischen Probleme zu konzentrieren. Gerade im Bereich von Softwareentwicklungsprojekten auf den verschiedensten Plattformen (Java/JEE, .NET und PHP auf Tomcat/JBoss, Webshpere, MS SQL, Oracle, MySQL) hatte eine genaue Vorhersage anstehender Projekte und dessen Technologien großen Einfluss auf die Auslastung der Mitarbeiter. Eine enge Zusammenarbeit mit den einzelnen Projektbeteiligten und dem Auftragseingang war daher maßgeblich. Eine weitere Aufgabe war das Projektmanagement. Dabei übernahm ich einerseits die Rolle des Ansprechpartners für den Kunden. Ich war für die Anforderungsanalysen zuständig, die in Lastenheften und letztendlich in Angeboten mit festen SLAs endeten, die ich ebenfalls verantwortete – einschließlich der nötigen Vertragsverhandlungen. Ich teilte weiterhin die Entwicklerteams ein, sorgte für die Projektorganisation und übernahm das Projekt-Controlling sowie übliche Projektmanagementaufgaben wie Change- und Risiko- und Qualitätsmanagement innerhalb der mir unterstellten Projekte. Da jeder Projektmanager die volle Budget-Verantwortung hatte, war ein standardisiertes Vorgehen in jedem Projekt maßgeblich. Neben der intensiven Kundenbetreuung während des Projektes war die Präsentation der Zwischen- und End-Lösung bzw. eine Schulung eine weitere wichtige Aufgabe. Stets war es das Ziel, durch das Netzwerk oder den Kundenkontakt Folgeprojekte zu generieren. Technisch war ich durch meinen Softwareentwicklungshintergrund in Architekturentscheidungen und in die Modellierung der Software und Prozesse (OOA/OOD) mit UML involviert. Auszug Projekttätigkeiten (Aus dem Multiprojektmanagement):
Dauer: 4 Monate
GastroBern Projektleiter Softwareentwicklungsprojekt mit Webauftritt Tätigkeiten:
Anforderungsanalyse und Pflichtenhefterstellung anhand des Business Cases
Angebotserstellung und Verhandlungen bzgl. der Umsetzung
Projektmeetings und Koordination mit Grafik, Entwicklung und Administration
Projektmanagement-Standards-Gemäße Controlling-Funktionen, regelmäßige Team-Meetings, Qualitätssicherung und Organisation des Testing einschließlich regelmäßiger Code-Reviews in enger Absprache mit dem Kunden
Präsentation und Schulung des Kunden im neuen System
Technologieeinsatz: Virtuelle Maschinen (vmware), verteiltes System mit Apache, MySQL, PHP sowie Schnittstelle zu einem Mobilfunkbetreiber, CMS Typo3
Dauer: 6 Monate
Schweizer Polizei-Department EJPD Projektleiter Softwareentwicklungsprojekt mit Imperia (CMS) Tätigkeiten:
Anforderungsanalyse und Pflichtenhefterstellung
Migrationsszenarien der Legacy-Anwendungen zum neuen System aufzeigen
Betreuung von Kunden während der Entwicklungsphase in Form von Status-Meetings, Incident- und Change Management
Koordination des Entwicklungsteams
Technologieeinsatz: Virtuelle Maschinen (vmware) als Entwicklungsplattform Eclipse, Oracle Datenbanken, Java-Templating-System, Perl- und JavaScript,
2003 – 2005
Meine Aufgaben bei Yener Marketing & Vertrieb umfassten vor allem verschiedene Tätigkeiten des Projektmanagements. Ich war außerdem für den Aufbau der internen IT-Abteilung verantwortlich und plante IT-Systeme sowohl für den internen wie auch den externen Einsatz. Neben der Analyse und dem Entwurf kundenspezifischer Lösungen mit dem Fokus auf den eBusiness-Bereich und dem Schwerpunkt Supply-Chain-Systeme, koordinierte ich die Softwareentwickler, die die Lösung realisierten. Ich traf die Entscheidung für die IT-Architekturen gemeinsam mit den Kollegen und entwickelte zeitweise Programm-Code mit. Ein durch mich etabliertes agiles Vorgehen nach SCRUM ermöglichte eine effiziente Zusammenarbeit des Entwicklerteams unter zunehmenden Druck in gleich bleibender Qualität. Die Kundenberatung und gleichzeitige Akquise von Folgeprojekten in Sachen Technologie und Online-Strategie gehörten ebenso zu meinen Aufgaben wie die Aufnahme der Anforderungen und dem Schreiben der Angebote samt technischer Spezifikationen. Auszug Projekteinsätze: Dauer: 12 Monate Softwareentwicklungsprojekt Business-2-Business System Projektleitung und Entwickler Tätigkeiten:
Konzeption, Anforderungsdefinition und Kalkulation sowie Angebotserstellung (einschließlich SLAs)
Organisatorische Projektplanung
Technische Projektleitung und Entwicklung (auf Basis von PHP, MySQL)
Finden von zusätzlichen Mitarbeitern und Entwicklern, sofern die Ressourcen nicht ausreichend waren
Koordination der Entwicklung in kleinen Iterationen/Sprints, einschließlich der Qualitätssicherung durch Code-Reviews und Testing
Abnahme und Präsentation beim Kunden
Technologisches Umfeld: Hoch verfügbare Linux Server (Debian), Apache Webserver, MySQL Datenbanken, Entwicklungsumgebung PHP, Java/J2EE mit verschiedenen Entwicklungsplattformen einschließlich Eclipse, Adobe FLASH, Visual Studio und ASP und ASP.NET
11.2001 – 11.2003
Berlin Softwareentwickler
Tätigkeiten:
Softwareentwicklung mit Java/J2EE und PHP
Der Fokus der Projekte lag im Bereich von Web-Applikationen und Content-Management-Systemen
XML-Entwicklung (XSL, XSLT-Transformationen)
Datenbankentwicklung (MS SQL, MySQL)
Andere Tätigkeiten und Aktivitäten
2011
iPhone-App-Entwicklung auf Xcode-Basis
Dozent
03.2001 – 08.2001
AMD Europe / London, England Freiberuflich: Hotline-Engineer im Hardware-Support
12.2000 – 02.2002
Film Industrie / Verschiedene Firmen und Orte Deutschlands
Projekthistorie
01/2012
-
bis jetzt
Tätigkeiten in den Projekten:
- Auditor für ISO 9001 und ISO 27001, §8a, ISO 27019, §11 1a EnWG, TISAX (Kunden vornehmlich im Umfeld von Betreibern kritischer Infrastrukturen und Kunden für den Betrieb von Rechenzentren)
- Beratung von Unternehmen der kritischen Infrastrukturen in Bezug auf Informationssicherheit und der Erfüllung des IT-Sicherheitsgesetzes
- Aufbau SIEM / SOC-Prozesse sowie SOC-Analysten-Arbeit
- Beratung von Kunden im Rahmen von Informationssicherheit und IT-Sicherheit
- Beratung von Unternehmen in Fragen von Zertifizierungen nach BSI IT-Grundschutz, ISO 9001, ISO 27001, Business Continuity Management, ITIL und Risikomanagement
- Security Assessments und Penetration-Testing von IT- und Netzwerkarchitekturen von Kunden Projektvorbereitung für die Auditierung von SOC1 und SOC2, BCM / ISO 22301 sowie ISO 27001, ISO 27017, ISO 27018
- Projektleitertätigkeiten für Kunden
- Auditierung von Kunden im Bereich ISO 9001 und 27001, TISAX, KritisV, B3S
Projektbeispiele:
1/2022-heute (andauern): Berater für SOC/SIEM:
- Aufbau eines Security Operation Center-Betriebs für eine Bank
- Implementierung von SIEM-Use Cases in Elastic Stack / Kibana
- Definition von Runbooks
- Durchführung von Schwachstellescans
- Bewertung von Schwachstellen und Alarmen basierend auf dem Security Incident Management-Prozess / SOC-Analyst einschl. Threat Analysis / Intelligence
- Etablierung eines Schwachstellenmanagement-Prozesses
- Auswahl und Konfiguration eines Schwachstellen-Scanners (Rapid7 InsightVM)
3/2022-heute (andauern): Leiter von Security Themen:
- Konzeption und Aufbau eines übergreifenden Security Prozesses im Rahmen der Einführung eines Security Operation Centers (SOC)
- Konzeption und Steuerung der Implementierung von Security Controls mit den Fachabteilungen basierend auf dem Standard der CIS-Controls
- Übernahme des internen Beauftragten für das integrierte Managementsystem (IMS) basierend auf ISO 9001 und ISO 27001
- Begleitung von Fachthemen: Schwachstellenmanagement (Nessus), IAM, Network Security (insb. IDS/IPS, WAF, Segmentierung), Data Protection / Datenschutz, Security Event Management
11/2021-9/2022 (geplantes Ende): Beratung zur Auswahl und Implementierung eines Network Detection and Response Tools (NDR):
- Begleitung des Auswahlverfahrens sowie Ausschreibungsprozesses im Rahmen Bankrechtlicher Vorgaben
- Konzeption der Integration in die IT-Infrastruktur, einschließlich des SIEM-Systems
- Planung und Realisierung Proof-of-Concept
8/2021-heute (andauern): Beratung zu IT-Grundschutz, Risikoanalysen, Sicherheitskonzeption, HiScout-Tool-Einsatz:
- Strukturanalysen, Schutzbedarfsfeststellungen, Risikoanalysen auf Basis IT-Grundschutz für Behörden
- Grundschutz-Checks für verschiedene Ministerien und Fachverfahren sowohl für Fachverfahren wie technische Verfahren
- Sicherheitskonzeption für technische Verfahren
- Administration des GRC Tools HiScout
10/2020-06/2021: Sicherheitskonzepte im Rahmen der Berater im Bereich IT-Grundschutz – 8 Monate:
- Erstellen von IT-Sicherheitskonzepten für einen Rechenzentrumsbetreiber im Behördenumfeld
- Risikoanalysen auf Basis IT-Grundschutz
- Betriebskonzepte für Themen im Bereich Storage, Logging, Backup, Archivierung
- Begleitung in der Richtlinienentwicklung und Dokumentation der Betriebsprozesse
- Workshops mit den Fachabteilungen
- Maßnahmendefinition mit den Verantwortlichen auf Basis der Analyse
01/2021-heute: Übernahme der CISO-Aufgabe:
- GAB-Analyse bzgl. Stand und Status der Informationssicherheit
- Berichtsebene in Richtung Management / Stakeholder
- Definition der Regelwerke für Informationssicherheit
- Erstellen von Betriebsdokumentationen
- Projektverantwortlich für den Aufbau des ISMS
- Implementierung von ISO 27001, SOC2 sowie HIPAA, Begleitung der Zertifizierungen bzw. Auditierungen
- Technische Schwachstellenbewertung, Penetration-Tests sowie Risikoanalysen der IT-Infrastruktur bzw. Applikationen
- Umsetzung von AWS-Security Maßnahmen, einschl. Tools wie Guard Duty, AWS Security Hub, AWS config, WAF, Shield und Cloud Watch
- Risikoanalysen im Rahmen des Managementsystems
- Erstellung technischer Konzepte sowie Definition von Maßnahmen (AWS, Development Tool-Chain, Release/Deployment-Prozess)
- Durchführung Schulungen und Awareness-Trainings
- Bewertung von Sicherheitsvorfällen
2020-2022 (andauernd): Auditierung von Unternehmen – Dauerhafte Tätigkeiten:
Das Projekt hatte unter anderem folgende Inhalte:
- Auditierung von Kunden zur Herstellung von Labortechnik
- Auditierung von Betreibern von Rechenzentren
- Auditierung eines Kunden, welcher embedded Geräte für die öffentliche Hand produziert
- Auditierung von Kunden, welche Steueranlagen im Industrieumfeld betreiben
2018-2022 (andauernd): SIEM-Begleitung, Penetrationtests sowie Quell-Code-Analysen für verschiedene Kunden
- Netzwerk- und Schwachstellen-Scans der Infrastruktur, u.a. zum Asset-Discovery im OT-Umfeld
- OWASP-Prüfungen von Schnittstellen und Web-Apps
- Threat Analysis basierend auf gängigen Standards
- Penetration-Tests von Infrastruktur-Landschaften (IT und OT)
- Statische Code-Analysen auf Schwachstellen und IT-Security Fehlern
- Threat-Modelling für IT-Systeme und Anwendungen
- Risikoanalysen von IT- und OT-Infrastrukturen basierend auf diversen Standards, insb. MITRE ICS und Attack, IEC 62443, ISO 27034, NERC-CIP, CIS Critical Security Controls
- Definition von Scope und Fokus von Penetration-Testing-Anforderungen
- Unterstützung bei der Implementierung von SIEM-Systemen (hauptsächlich Splunk, ELK/Elastic Stack) sowie Erstellung von Analysen und Dashboards
- Bewertung von Security Event Management / SIEM-Prozessen im Rahmen kritischer Infrastrukturen
12/2020-1/2022: Wasserversorger – 14 Monate:
- Inhaltlich verantwortlich für die Aufgaben eines Informationssicherheitsbeauftragten
- Einführung von Prozessen und Überwachung auf Basis der IEC 62443 unter Berücksichtigung der bestehenden Managementsysteme
- Weiterentwicklung und Verbesserung des ISMS
- Überarbeitung der Richtlinien und Betriebs-Dokumentationen
- Basis: IT-Grundschutz
7/2019-8/2020: Firma Finanzinstitut (groß) – 8 Monate
Das Projekt hatte unter anderem folgende Inhalte:
- Beratung des Kunden bei Projekten der Informationssicherheit im Rahmen der Umsetzung von Maßnahmen zu Audit-Findings
- Verstehen und Aufbereiten von Anforderungen aller Stakeholder, Kommunikation von Ergebnissen
- Migration einer alten zu einer neuen PKI (Public Key Infrastructure)
- Durchführung einer Strukturanalyse gemäß BSI-Grundschutz
- Konzeption von Vulnerability-Management-Prozessen- und Systemen
- Konzeption von Exit-Strategien
- Konzeption von Log-Überwachung durch SIEM-Systeme sowie Langzeitarchivierung
1/2019-12/2019: Firma Bank (groß) – 4 Monate
Das Projekt hatte unter anderem folgende Inhalte:
- Einführung eines Security Operation Centers (SOC) sowie Incident Response Prozesses gemäß regulatorischer Anforderung
- Beratung des Kunden im Rahmen der SOC-Prozesse
- Definition von Anforderungen
- Begleitung der Ausschreibung zur Anbieterauswahl
- Begleitung beim Proof of Concept
Zertifikate
Splunk Power User
Splunk
2022
CISSP
IC2
2021
Certified Ethical Hacker (CEH)
EC-Council
2019
ISO 27001 und ISO 9001 Lead Auditor
TÜV / IRCA
2014
Reisebereitschaft
Verfügbar in den Ländern
Deutschland, Österreich und Schweiz
Ich suche Remote-Projekte
Berlin, Deutschland
DE
Berlin, Deutschland
DE
