Planung und Validierung von IT-Sicherheitsmaßnahmen für die geplante Migration von IT-Verbünden unterschiedlicher Standorte einer Bank und ? teils- deren Tochtergesellschaft. Konsolidierung von RZ-Standorten, inkl. Netze, Infrastruktur und Applikationen. Entwicklung eines übergreifenden ISMS gem. ISO 27001, inkl. PDCA, SOA und KPIs

Aufgaben im Projekt:

§  Definition und Validierung von definierten IT-Security Sachverhalten, technisch und organisatorisch

§  Erhebung von sicherheitsrelevanten Sachverhalten bzgl. Netzwerk- und Infrastrukturanforderungen anhand relevanter BSI Standards,

§  Definition von IT Security GAPs inkl. Soll- Ist Vergleich,

§  Erstellung von IT-Security-Konzepten für diverse IT-Prozesse (Netzwerk, Encyption, Zertifikate, Identiy Accessmanagement etc.)

§  Erstellung von IT-Security Vorgaben, inkl. Richtlinien, Arbeitsanweisungen und Kontrollen für das ISMS

§  Abstimmen der Dokumente mit den involvierten Fach- und Systemverantwortlichen

Eine Leasinggesellschaft will ein Cloud basiertes Portal für die Kommunikation mit Ihren Kunden erstellen. Über ein Portal können Kunden bestimmte Anfragen an den zuständigen Versicherungsagenten per mail stellen, mit dem Versicherungsagenten kommunizieren und eigene Verträge einsehen. Die Vertragsabfrage soll sprachbasiert erfolgen. Dazu soll der Kunde eine Vertragsnummer telefonisch ansagen können. Diese wird durch die Speech Detection der Cloud Lösung interpretiert und an definierte APIs für die Datenbankabfrage übergeben. Das Portal wurde mit Amazone Web Services realisiert. Ziel des Projekts war die IT-Sicherheit der Anwendung sicherzustellen. Auf Basis der ISO 2700x waren die Anforderungen an die IT-Sicherheit zu definieren, GAPs zu identifizieren und den korrespondierenden Dokumenten und Sicherheitskonzepte zu erstellen. Das Projekt wurde Remote, durchgeführt.

Aufgaben im Projekt:

§  Risiko-Analyse und Risiko-Beschreibung der zu implementierenden IT-Prozesse, Infrastruktur-Komponenten, und Betriebssysteme

§  Beurteilung der fachlichen Umsetzung und Definition der notwendigen IT-Sicherheitsvorgaben (Kryptografie, Benutzermanagement, API Sicherheit, etc)

§  IT-Security Objekte (insbes. Verschlüsselungsmethoden und Kapselung aus AWS)

§  Erhebung von IT-Security Zertifizierungen von AWS Cloud (länderspezifisch ISO 27001)

§  Mapping der sicherheitsrelevanten Anforderungen der ISO mit den Projektergebnissen (Berechtigungen, Datensicherungen, Dokumentationen etc.)

§  Erstellung von Security Konzepten gem. ISO 27001

§  Abstimmung und Abnahme der Konzepte 

Eine Bank hat eine Anwendung für den Vertrieb Ihrer Produkte entwickelt. Die Anwendung ist als Onlineprodukt konzipiert und ermöglicht den Vertriebspartnern eine Produktauswahl mit Hilfe diverser Klassifikationsmöglichkeiten sowie dem korrespondierenden Antragsprozess. Ziel des Projekts war die Prüfung und GAP Analyse bezüglich der ordnungsgemäßen und sicheren Softwareentwicklung sowie der Einhaltung externer und interner bankfachlicher Vorgaben.

Aufgaben im Projekt:

• Analyse und Security Updates von Fach-, Grob- und Feinkonzepten
• Analyse der sicherheitsrelevanten Funktionen und Prozesse der Anwendung
• Konzeption Berechtigungs- und Zugriffsmanagement
• Analyse Kryptographie Konzept
• Interviews und Abstimmung mit den Fachabteilungen
• Prüfungsbericht, Dokumentation und Präsentation
• Vorschlagswesen, Maßnahmen Empfehlung und Abstimmungen

Eine internationale Leasinggesellschaft plant Ihre IT-Infrastruktur über Standorte und Ländergrenzen hinweg zu konsolidieren und zu reorganisieren. Dafür sollen die aktuellen dezentralen Netzwerksegmente (aktive Netzwerkkomponenten) sowie die damit verbunden Prozesse und Vorgaben analysiert werden, die GAPs definiert und Lösungsszenarien entwickelt werden. Die Schriftliche fixierte Ordnung der Gesellschaft und die Compliance Regelungen sollen den aktuellen Bankaufsichtsrechtlichen Vorgaben entsprechend angepasst werden.

• Risikoanalysen und Sicherheitsmaßnahmen der Netzwerke analysieren und dokumentieren
• Benutzerberechtigungsmanagement und Konzeption, Funktionentrennung und Kompetenzmanagement, Privilegierte Benutzer etc. (AD, LDAP, Cyberark)
• Informationsrisikomanagement und Informationssicherheitsmanagement
• Key Performance Indikatoren bzgl. Benutzeranlage und Berechtigungen
• Change- und Incidentmanagement
• Analyse und Interviews mit den Fachabteilungen
• Ergebnisdarstellung und Präsentation für Stakeholder
• Vorschlagswesen, Maßnahmen Empfehlung und Abstimmungen

Review und Beurteilung des Umsetzungsgrades der Moniten Bearbeitung aus Prüfungsfeststellungen. Über das Ergebnis waren Prüfungsberichte zu erstellen. Die Prüfung umfasste folgende Themenbereiche:

Netzwerksicherheit

• Topologie und Segmentierung Netzwerk
• Firewalls, IDS / IPS
• Zertifikatsbasierte Authentifizierung von Clients in WLAN
• (Leitungs-) Verschlüsselung MACSEC und DWDM
• Rouge Access Points (Detektion)
• Risikoanalysen

Physische und bauliche Sicherheit Rechenzentren

• Bauliche Maßnahmen RZ Zutritt (Schleusen, Vereinzelung)
• Logische Zutrittskontrollen RZ Standorte
• Video Vollausleuchtung
• Klimatechnik, Notfallmanagement und Wiederherstellung
• Datensicherheit bei Entsorgung von Datenträgern
• Vertragsanalyse und Anpassung für diverse Service Provider

Benutzer und Zugriffsrechte (logische Zugriffskontrollen)

• Funktionstrennung gemäß aufsichtsrechtlicher Vorgaben
• Management von privilegierten Benutzerberechtigung
• Planung, (Ressourcen, Budget) für die Einführung eines Priviliged Access Management tools (PAM)
• Definition von Prozessen und Ressourcen zur Überwachung der Konformität (SIEM, Use Cases)

Optimierung und Definition dedizierter Prozesse für das Zugriffsmanagement privilegierter Benutzer

Die Bank migiriert die WAN Anbindung Ihrer deutschen Standorte zu einem neuen Provider. Im Rahmen des Projektes (2 Rechenzentren / ca. 600 Standorte) mussten definierte IT-Sicherheitsmaßnahmen an den Standorten und den Rechenzentren konzeptioniert und umgesetzt werden. Für die physischen und organisatorischen Sicherheitsmaßnahmen der vereinbarten Services war ein korrespondierendes Service-ISMS zu erstellen.

Aufgaben im Projekt: 

• Physische RZ-Sicherheit Konzept erstellen
• RZ-Sicherheits Scheck (Stichproben)
• Service ISMS erstellen
• Schulung ISMS für Kunden
• Business Impact Analyse
• Risikoanalysen
• Risk Treatment Plan
• Statement of Applicability
• Service Operation Procedure,
• Projektplanung anhand von Leistungsvertrag
• CISO Projekt, Ansprechpartner Security
• Status Reporting, Endkundenverantwortung

Reorganisation und Optimierung des Security Operation Centers (SOC) für globale Standorte der Bank hinsichtlich der Aufbau- und der Ablauforganisation (Prozessdefinition, Toolunterstützung, Vorgaben, etc.

• Analyse und Optimierung bestehender Cyber Defense Prozesse (SOC)
• GAP Analyse und Entwicklung von Maßnahmen / Prozessen
• Compliance und Security Vorgaben für internen SOC Betrieb und Dritte
• Use Case Prozesse, Definitionen, Tests, Auswertungen
• Risikomanagement, Risikodeklaration, Exceptionmanagement
• Incident- und Problemmanagement
• Implementation und Key Performance Indikatoren
• Berichtswesens , Dashboard

Review und Analyse der Bearbeitung von Moniten aus KWG $ 44 Feststellungen, und internen und externen IT-Revisionsprüfungen.

Projektziel war die Beurteilung des erreichten Umsetzungsgrades, deren Dokumentation und eine GAP Analyse für die Stakeholder (interne Revision, IKS, Compliance) bei der Bank.

Themenbereiche:

• Physische Gebäudesicherheit insbes. RZ Betrieb (Zutritt, Klima, Brand)
• Logische Zugriffskontrollen, Berechtigungsvergabe und Prozesse
• Einsatz von Verschlüsselungstechnologien und Zertifikaten
• Netzwerkdienste, Topologie, kritische Netzsegmente, Cloud Services
• IT-Sicherheitsprozesse (Benutzer, Security Patches, Notfallmanagement)
• GAP Analyse, Maßnahmenplanung und Controlling
• Präsentationen, Unterstützung div Teams , Schulungen
• Berichtswesen und Dokumentation

Zur Abwehr von Cyberattaken und zur Verifikation interner Compliance Vorgaben, sollen die SIEM Anwendung und die korrespondierenden Prozesse reorganisiert und skaliert werden. Zudem war eine Logging- und Monitoring Infrastruktur (Fraud Detection) zu planen und umzusetzen.

Projektziel war die ordnungsgemäße Konzeption, Implementation Abnahme durch die entsprechenden Fachabteilungen

Aufgaben im Projekt:

• Konzeption der Aufbau- und Ablauforganisation eines Cyber Defense Prozesses  für ein Kreditinstitut. (Präsentationen, Meetings)
• Entwicklung Organisationskonzept / Ablauforganisation (Prozesse, Vorgaben, Kontrollen, Schulungen)
• Projektentwicklung , Ressourcenplanung
• Logging und Monitoring für Infrastrukturkomponenten
• Skalierung SIEM Anwendung (Arc Sight, Use Cases, etc..)
• Prozesseinführung, ( Vollständigkeit der Anbindung ArcSight)
• Managementberatung für Fachabteilungen (Risk Analysen Fachanwendungen)
• Verfahrensanweisung, Sicherheitskonzepte
• Qualitätsmanagements, Dashboard, Reporting

Bei der Migration der gesamten WINDOWS Umgebung waren die Sicherheitsanforderungen der WINDOWS Umgebung an den aktuellen Stand der Technik anzupassen. Dazu waren Sicherheitskonzepte zu erstellen und organisatorische Regelungen und Vorgaben - gemäß den (Security) Richtlinien des Instituts - zu entwickeln.

Projektziel war die Entwicklung und Einführung einer sicheren WINDOWS Umgebung (technisch und organisatorisch) und die Erarbeitung der Umsetzungsplanung von noch ausstehenden IT-Security-Maßnahmen.

Aufgaben im Projekt

• Bestandaufnahme der gelebten Prozesse bei Serverinstallationen, Patchmanagement, User Access, Administration, Notfall und K-Fall Management.
• Bestandsaufnahme der schriftlich fixierten Vorgaben zum sicheren Umgang mit IT-Assets
• GAP Analysen zu den gesetzlichen und aufsichtsrechtlichen Vorgaben und den internen Unternehmensrichtlinien
• Härtungsrichtlinien für WINDOWS Server gemäß Microsoft Best Practice definieren (Ports, Protokolle, Netzwerk, Dienste, etc.)
• IT-Security Group Policies Active Directory gemäß BSI Vorgaben definieren, testen und implementieren
• Kryptografie mail, Festplatten, Netzwerk (PGP, IPSec, S/MIME, SSL/TLS)
• Schnittstellensicherheit für WINDOWS Client (Device Lock)
• Virenschutz, Anti-Malware, Firewall
• Verfahrensanweisung für physische Sicherheit, Administration, Benutzer, Active Directory, Chang- und Releasemanagement
• Qualitätsmanagements, Dashboard, Reporting

Für den gesamten IT-Betrieb eines KWG Institut wurde ein Providerwechsel durchgeführt. Anhand der vertraglichen Grundlagen mussten diverse IT-Security Maßnahmen geplant, umgesetzt und abgenommen werden. 

Aufgaben im Projekt:

• Change- , Release- und K-Fall Management.
• IT-Sicherheitsmanagement während der Transition
• IT-Sicherheitskonzepte gemäß vertraglicher Leistungsbeschreibung entwickeln, umsetzen, Abnahme und Überführung in den IT-Betrieb
• Bewertung und Optimierung von IT-Sicherheitsmaßnahmen anhand erstellter IT Konzepte. (Netze, Server. E-Mail, Clients, etc.)
• Erstellung von Security Konzepten (Anti-Virus, Verschlüsselung, etc.) und Einführung der abgenommenen Security Konzepte
• Implementation von IT Security Management inkl. tool (ISMS) sowie die korrespondierenden Prozesse (SIEM etc.)
• Projektplanung (Ressourcen, Budget, Meilenssteine etc.)
• Koordination, Meetings, Präsentationen und Dokumentationen

Entwicklung eines Monitoring- und Reporting Konzepts für vorhandene oder einzuführende Prozesskontrollen hinsichtlich der IT-Compliance und dem Management von logischen Zugriffsberechtigungen bei der Bank. 

Aufgaben im Projekt:

• Bewertung des IT-Kontrollframeworks bezüglich der Wirksamkeit und Vollständigkeit für definierte Betriebsbereiche und Prozesse,
• Soll-Ist / GAP Analyse der ablauforganisatorischen Prozess- und Aktivitäten-kontrollen anhand des normativem Kontrollframework (CobiT) und vorgegebener IT-Sicherheitsrichtlinien,
• Root Cause Analyse relevanter GAPs, Identifikation und Konzeption zur Beseitigung vorhandener Kontrollmängel,
• Anforderungen an Monitoring und Reporting (KGI, KPI) definieren unter Beachtung von IT-Compliance- und betrieblichen (IKS) Anforderungen,
• Sicherheits- , Reporting- und Monitoring-anforderungen mit involvierten Teilprojekten definieren und festlegen,
• Workshops, Präsentationen zu IT-Sicherheit und Prozesskontrollen
• Projektmanagement, Teamführung, Jour Fixes, Ergebnisreports

IT-Sicherheitsmanagement während Providerwechsel der gesamten Client-Server Infrastruktur (kein Maineframe) bei der Bank. Einführung und Validierung von vertraglich definierten Security- und SLA Vorgaben zwischen Provider und Bank. Gewährleistung der Einhaltung von Aufsichtsrecht und IT-Sicherheitsvorgaben während des operativen Changeprozesses.

Projektziel war die Entwicklung und Einführung von ISMS Systemen sowie deren Validierung und Zertifizierung.

Aufgaben im Projekt:

• Implementation von IT- Sicherheitsverfahren, Kontrollen und Dokumentation während der Verlagerung des IT-Betriebs,
• Definition IT-Verbund gemäß BSI und Einführung von GS-TOOL für Neuprovider,
• Bewertung und Risikoreduktion im definierten IT-Verbund anhand gegebener Schutzbedarfsfeststellungen und Strukturanalysen
• Reporting, Monitoring, Release- und Changemanagement zw. Bank und Neuprovider gemäß IT-Compliance Anforderungen und SLA,
• Verantwortlich für IT-Sicherheitsmanagement zw. Provider und Bank,
• Teamleitung, Projektorganisation, Projektmanagement und Reporting

• Erhebung von Schutzbedarfsfeststellungen für diverse IT-Applikationen und Datenbanken in Kooperation mit div. Fachabteilungen,
• Datensicherheitsklassifikation und IT-Risiko Self Assessment für Hostapplikationen und Client Server Applikationen optimieren,
• Ermittlung des IT-Schutzbedarfs und IT-Risikoanalyse,
• Definition von wesentlichen IT-Risiken,
• Definition von Maßnahmen zur IT-Risikoreduktion (organisatorisch und technisch), internes Kontrollsystem,
• Restrisikodeklaration und Bewertung der Risikoübernahme,
• Durchführung von Workshop zur IT-Sicherheit und Risikoreduktion,
• Präsentation vor Ausschüssen, Arbeits- und Fachkreisen,
• Berichterstellung und Support