Durchführung eines umfassenden Security- & Risk-Assessments auf Basis des aktuellen Projektstandes im Rahmen der Neuerstellung eines umfangreichen Sicherheitskonzepts im Rahmen eine agilen Projekts, Erstellung eines neuen Berechtigungskonzepts, Security Management sowie Beratung von Projekt und Projektleitung im Enterprise-Umfeld. Die Tätigkeit umfasste insgesamt 8 Einzelprojekte mit unterschiedlichen fachlichen und technologischen Schwerpunkten.

• Initiales Risiko-Assessment zur Voreinstufung von IT-Systemen ohne Sicherheitskonzept.
• Tiefgehende System und Datenflussanalysen zur Bewertung von IT-Services und Systemarchitekturen mit darauf basierender Schutzbedarfsfeststellung.
• Vorbereitung und Durchführung eines umfangreichen Risiko-Assessments der Cloud-System-Architektur unter Berücksichtigung von ISCS, ISTM, ISO 27001 und Cloud Best Practices.
• Initiale Erstellung des IT-Sicherheitskonzepts inkl. STRIDE-Modellierung unter Einbeziehung einer Datenfluss- und Bedrohungsmodellierung für den aktuellen Stand des Projekts zwecks detaillierter, individueller Bedrohungsanalyse und Ableitung dazu passender Handlungs- und Maßnahmenempfehlungen zur Risikoreduzierung.
• Risikomanagement (u.a. Formulierung von Ausnahmegenehmigungen bei Security-Abweichungen) und Maßnahmentracking auf Basis des Sicherheitskonzepts, Beratung der Projektleitung hinsichtlich der Maßnahmen, möglicher Maßnahmenumsetzung sowie Analyse und Beurteilung der Qualität der Umsetzung.
• Erstellung des Berechtigungskonzepts unter Berücksichtigung der Migrationsbedingungen und Migrationspfade aus dem Alt-System in das Neu-System des Projekts.
• Direkte Abstimmung mit den Projekt-Stakeholdern bis Sachgebietsleiter-Ebene.

Oberstes Ziel der Beauftragung war die Vorbereitung des Projekts auf ein Audit und Begleitung durch das Audit. Dieses Ziel wurde mit großem Erfolg erreicht, ohne relevante Findings nach reibungslosem Audit. 

Die Vorbereitung beinhaltete unter anderem: 

Durchführung eines umfassenden Security- & Risk-Assessments auf Basis des aktuellen Projektstandes eine agilen Projekts im Rahmen der Neuerstellung eines umfangreichen Sicherheitskonzepts. 

Erstellung weiterer neuer, umfangreicher Konzeptdokumente wie z.B. Berechtigungskonzepts, Logging- & Monitoring-Konzept, Löschkonzept oder Passwortkonzept. 

Security Management sowie Beratung von Projekt und Projektleitung im Enterprise-Umfeld eines global agierenden Logistikkonzerns. 

Durchführung von Security- & Risk-Assessment, Gap-Analyse sowie Security Management im Rahmen der Aktualisierung des umfangreichen Sicherheitskonzepts mit besonderem Fokus auf Netzwerktechnik und Datenschutz im Enterprise-Umfeld.

• Tiefgehende System und Datenflussanalysen zur Bewertung von IT
  Services und Systemarchitekturen mit darauf basierender Schutz
  bedarfsfeststellung.
• Aufbereitung des ursprünglichen Risiko-Assessments für IT-Systeme
  mit erhöhter Sicherheitseinstufung unter Berücksichtigung von ISO
  27001, DPDHL ISCS & ISTM sowie EU-DSGVO.
• Aktualisierung des IT-Sicherheitskonzepts und Prüfung der zuliefernden Konzepte wie z.B. Firewall-Konzept oder Datensicherungskonzept
• Risikomanagement und Maßnahmentracking auf Basis des Sicherheitskonzepts, Beratung der Projektleiter hinsichtlich Maßnahmenumsetzung und ggf. weiterer notwendiger Maßnahmen sowie Analyse und Beurteilung der Qualität der Umsetzung
• Direkte Abstimmung mit der Projektleitung

Projektmanagement zur Steuerung der internationalen IT Teams im Rahmen der Einführung eines globalen Service Asset and Configuration Managements (nach ITIL Framework) der globalen Konzern IT. Dies umfasst Entwurf & Implementierung eines Configuration Management Systems und die Ausarbeitung von Standards, Guidelines und Prozessen sowohl für die Projektphase als auch für die Überführung in den Regelbetrieb im Verbund von Change Management und ISMS des Konzerns.

Das Projekt verlief im Kontext der Verbesserungsmaßnahmen zum Erhalt der ISO 27001-Rezertifizierung des Konzerns durch Behebung von Findings aus vorherigen Audits. Die Projektsprache war Englisch.

• Projekt-, Qualitäts- und Prozessmanagement unter Berücksichtigung interner Richtlinien, PRINCE 2, ISO 9001 sowie allgemeiner Best Practices. Definition von Standards, Guidelines und Prozessen für die Projektphase. Steuerung der IT Teams über Workshops mit den Teamleitern. Zentraler Ansprechpartner für alle Teamleiter, Teammitglieder und andere Projektteilnehmer, Präsentation von Status und Ergebnissen vor und Abstimmung mit Bereichsleitern.
• Analyse und Bewertung von IT-Service und Systemarchitektur im Kontext der Datenlieferungen der Teams sowie Beratung der Teamleiter in Bezug auf Architekturen und Strukturen anhand der Konzernstrukturen und anerkannter Best Practices wie ITIL und TOGAF.
• Kreierung des CMS durch Kombination verschiedener Datenbanken (inkl. Excel VBA-Programmierung), Modelle und Diagrammen. Definiton von Standards, Guidelines und Prozessen für die Überführung in den Regelbetrieb im Verbund von Change Management und ISMS des Konzerns.
• Analyse und Definition der aus dem Projekt resultierenden von Anforderungen an eine Software zur Implementierung des CMS und Bestimmung des Best Fit aus einer Auswahl möglicher geeigneter Produkte am Markt.

Unterstützung bei Qualitätssicherung und Verbesserung des Konzern Information Security Management Systems, im Rahmen der zum Erhalt der Konzern-ISO 27001 Rezertifizierung notwendigen Verbesserungs-maßnahmen der international tätigen und global verteilten Konzern IT, welche die IT-Systeme für die Prüfdienstleistungen betreibt. Hierzu zählten unter anderem die Auswertung von Audits, Bewertung und Pla-nung von Maßnahmen sowie Unterstützung bei der Vorbereitung von Management Reviews. Die Projektsprache war größten Teils Englisch.

• Beratung Informationssicherheit im Rahmen der ISO 27001 Rezerti-fizierung des Konzerns und der damit verbundenen Verbesserung des Konzern ISMS unter Berücksichtigung der Konzernrichtlinien und Security Standards und Best Practices wie z.B. ISO 27001, EU-DS-GVO.
• Auswertung von Audits, Bewertung und Planung von Maßnahmen sowie Unterstützung bei der Vorbereitung von Management Re-views.
• Unterstützung im ISMS Betrieb vor allem bei Qualitäts- & Prozess-management unter anderem durch Prüfung und Aktualisierung des SoA (Statement of Applicability) und Prüfung & Bewertung von SOPs (Standard Operating Procedures) der IT Teams.

Nicht nur Kunden sondern auch das eigene Unternehmen hat Bedarf an Informationssicherheit. Der Mitarbeiter war daher parallel in verschiede-nen internen Projekten tätig zur Verbesserung der internen Informati-onssicherheit und zur Schaffung neuer Unternehmensstrukturen. Hierzu wurden zwei Teams gegründet, in denen der Mitarbeiter jeweils vertreten war, auch in seiner Funktion als Head of IT Architecture.

• Mitgründung des internen Security-Teams und dessen Führung in Doppelspitze; Steuerung und Mitgestaltung der Tätigkeiten und Projekte des Teams, unter anderem die Erkennung, Analyse und Behandlung von Sicherheitsvorfällen, ein System zum Monitoring solcher Vorfälle, Gestaltung und Einführung von Information Security Policies, Definition von Prozessen, EU-DS-GVO Compliance und Awareness Schulungen.
• Aktives Mitglied im Team zum Management des Fachbereichs IT-Security und dabei verantwortlich für die Schnittstelle IT-Security <> IT Architecture sowie die Schnittstelle IT-Security <> Talents (Lehre / Forschung / Abschlussarbeiten). Weitere Aufgaben waren die Strategieplanung und Ausrichtung des Fachbereichs sowie er-folgreiche Mitwirkung im Bidmanagement zur Gewinnung öffentlicher Ausschreibungen.
• Whitepaper EU-DS-GVO / GDPR: Erstellung eines Whitepapers zu den Auswirkungen der EU-DS-GVO / GDPR auf bzw. für Firmen, inkl. der Erstellung eines spezifischen Bedrohungskataloges für Kunden.
• IT-Security-Beratung anderer Firmenteams und  Fachbereiche z.B. bei Projekten zur Softwareentwicklung.

Aufbau und Leitung des neuen Firmenbereichs „IT Architecture“ der die organisatorischen und operativen Felder der Firmen-IT zusammenfasst, intern sowie extern. Darin ist intern auch der Bereich Security Admi-nistration eingeschlossen gewesen sowie Schnittstellen zu den Fachbe-reichen IT-Security und Servicemanagement zur Erstellung von Ser-vicepaketen für Kunden. Die Tätigkeit erfolgte parallel zu den laufen-den Kundenprojekten.

• Analyse, Planung und Entwicklung des Bereichs IT Architecture in Abstimmung mit der Firmenstrategie des Vorstandes, sowohl in Be-zug auf Strukturen als auch personelle Ausstattung und Budgetie-rung durch Entscheidungsvorlagen an die Firmenleitung. Planung und Definition von dazu passenden Organisationsstrukturen und Prozessen sowie IT-Systemen. Dies beinhaltet unter anderem IST-/SOLL-Analysen, Bewertung, Planung und Entwurf sowie Tool-Ent-wicklungen zur Erreichung der Zielvorgaben.
• Aufbau eines Teams zur operativen Umsetzung der organisatori-schen Strukturen und Vorgaben. Teamleitung und Mitarbeiterfüh-rung der Teammitglieder.
• Besondere Berücksichtigung von Best Practices der IT-Security in Bezug auf alle Teammitglieder, Tätigkeiten, Prozesse und IT-Systeme von Anfang an im Sinne von Security by Design.
• Operativ lag der Fokus neben dem Tagesgeschäft vor allem auf Pro-jekten zur Erneuerung und Verbesserung der IT-Infrastruktur, wozu unter anderem die Renovierung des Serverraums inkl. Zugangskon-trolle, Einführung einer Netzwerkgesteuerten unterbrechungs-freien Stromversorgung, Erneuerung der Netzwerkhardware und Security Appliances inkl. Einführung eines neu segmentierten Netz-werks, neuem VPN-System mit IAM Controls, Erneuerung und Er-weiterung der Serverinfrastruktur, Einführung eines neuen Ba-ckupsystem inkl. automatischer Backuptests, Erweiterung der vir-tuellen Infrastruktur auf ein hybrides System mit VMs und Contai-nern, sowie die Erneuerung der Firmenwebsite inkl. Migration auf einen neuen Webdienst gehörten.

Durchführung von Security- & Risk-Assessments sowie Security As-surance im Rahmen von Neuerstellung oder Review bzw. Erneuerung von umfangreichen Sicherheitskonzepten für Produkte und IT-Systeme im B2B- und Enterprise-Umfeld eines global agierenden Logistikkon-zerns. Die Tätigkeit umfasste insgesamt 8 Einzelprojekte mit unter-schiedlichen fachlichen und technologischen Schwerpunkten.

• Initiales Risiko-Assessment zur Voreinstufung von IT-Systemen ohne Sicherheitskonzept; die Voreinstufung diente zur Bestimmung des Projektumfangs.
• Tiefgehende System und Datenflussanalysen zur Bewertung von IT-Services und Systemarchitekturen mit darauf basierender Schutz-bedarfsfeststellung.
• Vorbereitung, Durchführung und Begleitung von umfangreichen Ri-siko-Assessments für IT-Systeme mit erhöhter Sicherheitseinstu-fung auf Basis detaillierter ISSA-Questionnaires unter Berücksichti-gung von ISO 27001 und BSI IT-Grundschutz.
• Initiale Erstellung und Review / Überprüfung sowie Aktualisierung oder Neuerstellung von IT-Sicherheitskonzepten inkl. STRIDE-Modellierung unter Einbeziehung einer Datenfluss- und Bedro-hungsmodellierung zwecks detaillierter, individueller Bedrohungs-analyse und Ableitung dazu passender Handlungs- und Maßnah-menempfehlungen zur Risikoreduzierung.
• Risikomanagement und Maßnahmentracking auf Basis des Sicher-heitskonzepts, Beratung der Projektleiter hinsichtlich der Maßnah-men, möglicher Maßnahmenumsetzung sowie Analyse und Beurtei-lung der Qualität der Umsetzung.
• Bei allen Aufgaben direkte Abstimmung mit den Projekt-Stakehol-dern bis Sachgebietsleiter-Ebene.

Banken unterliegen einer strengen Kontrolle der Bafin nicht nur in Be-zug auf ihre Finanzgeschäfte sondern auch auf Informationssicherheit. Insbesondere muss detailliert nachvollziehbar sein welche Mitarbeiter welche Berechtigungen auf welchen IT-Systemen haben; diese Berech-tigungen müssen in regelmäßigen Intervallen auditiert und rezertifiziert werden. Jede Rezertifizierung eines IT-Systems wurde als eigenständi-ges Micro-Projekt durchgeführt mit den jeweils Verantwortlichen.

• IAM & Identity Governance: Rezertifizierungsprozesse und Audits zu den Benutzerberechtigungen bei verschiedenen
  Anwendungssystemen der bankeninternen Anwendungslandschaft. Evaluierung, Verifizierung/ Falsifizierung der Kombination von Be rechtigungskonzepten, Gruppen, Rollen und Usern. Prozessoptimierung und Dokumentation des Rezertifizierungsprozesses.
• Planung, Analyse, Prozessoptimierung, Durchführung und Doku-mentation waren von besonderer Wichtigkeit, damit die Ergebnisse revisionssicher waren.

Aufgrund der massiven Sicherheitslücken im Umfeld des IoT wurde in diesem Projekt durch die Masterthesis „Anomalie-Detektion von An-griffsvektoren in IoT-Traffic“ ermittelt welche Möglichkeiten bestehen den Netzwerktraffic von IoT-Geräten auf etwaige Angriffe automatisiert zu durchsuchen. Die Wahl aus einer Auswahl an AI- & Data Science-Technologien fiel letztendlich auf einen Data Science-Algorithmus des-sen Tauglichkeit in bestimmten Bereichen nachgewiesen wurde.

• Recherche, Planung und Durchführung sowie eine umfangreiche Dokumentation der Projektergebnisse und deren Präsentation ge-genüber den Stakeholdern.
• Um Netzwerktraffic in geeigneter Qualität für die Analyse zu erhal-ten und die Bewertung möglichst genau gestalten zu können, wurde dieser Traffic aus unterschiedlichen Netzwerken so zusam-mengesetzt, dass er ein IoT-Profil hatte, und durch für das IoT typi-sche, netzwerkbasierte Angriffsvektoren ergänzt. Hierzu wurden die Netzwerke soweit nicht vorhanden aufgebaut, IoT-Geräte per Python simuliert und eine Tool-Chain für die Datenverarbeitung er-stellt.
• Analyse des Netzwerktraffics mit Hilfe des HBOS-Algorithmus in Ra-pidminer auf Basis des entsprechenden HBOS-Plugins vom DFKI. Es wurde geprüft, ob Angriffsvektoren in IoT-Traffic durch unbeauf-sichtigte Anomalie-Detektion erkannt werden können und wenn ja in welcher Qualität.