26.08.2025 aktualisiert
verifiziert
Premiumkunde
60 % verfügbarIT Security-Spezialist, SOC /SIEM, 27001-Auditor, IT-Manager / Projektmanager und Penetration Tester
Berlin, Deutschland
Weltweit
DoktorSkills
IT-SicherheitskonzeptISMS Spezialist & Lead Auditor ISO 27001Cloud SecurityISO27001 BSI IT-GrundschutzVDA / TISAXCISSP or CISM or CISA or CEHSecurity Operation Center (SOC) SIEM SplunkComputer Security Incident Response Team (CSIRT)IT-Security-Auditor
Spezialgebiete der letzten Jahre:
Einige Publikationen:
- ISMS-Einführung auf Basis von BSI IT-Grundschutz oder ISO 27001-nativ
- Auditor und Berater für die ISO 9001, ISO 27001, ISO 27019, §8a und TISAX, ISO/IEC 27701, ISO 22301
- DSGVO Datenschutz Umsetzung, Datenschutzbeauftragter
- SOC2, HIPAA, PCI-DSS
- GOBD
- Nutzung diverser brandenspezifischen Sicherheitsstandards B3Se (z.B. Kliniken, Gesundheit, Energie etc.)
- Aufbau Security Operation Center (SOC) sowie Cyber Security Incident Response Teams (CSIRT), Produkte u.a. Splunk, Greenbone, Nessus, Elastic Search, Elastic Security, Kabana
- OT-Security, IEC 62443, Scada, ISO/IEC TS 22237
- Cloud Security (AWS Security), Sicherheit in Containern (Docker, Kybernetes)
- Erfahrung mit dem NIST-Framework und NIST-Assessments
- SIEM / Splunk, Logging, Monitoring, Elastic
- Systemhärtung (Windows, Linux)
- Threat Modeling
- Secure Software Development / Security Testing / SDLC
- Automotive: SAE J3061, ISO/SAE 21434, TISAX
- Umsetzung Technischer Richtlinien für Hardware- und Softwareentwicklungsprodukte (inkl. Common Criteria Zertifizierungen u.a. auch TR 03109)
- Durchführung von Risikoanalysen, IT-Security-Assessments, Penetration-Tests, Vulnerability-Assessments
- Erarbeitung von Sicherheitskonzepten für Netzwerkinfrastruktur und IT-Systeme (einschl. von IT-Architekturen und Softwareentwicklungs-Best-Practises, z.B. Secure Coding)
- Härtung / Systemhärtung
- Veröffentlichen von Fachartikeln / Autoren-Tätigkeiten
- Projektmanagement und Teamleitungstätigkeiten mit Personalverantwortung
- Projektleitung für komplexe Projekte (Anforderungsanalyse, Umsetzung, Qualitätssicherung)
- Anforderungsanalysen und Schnittstelle fachliche Anforderung und IT-Umsetzung
- SOX Compliance, BAIT, BaFin, ISAE 3402
- Erfahrungen als Scrum-Master und Product-Owner für Produktentwicklungen
- Chinese Cyber Law-Erfahrung
- IEC 62443, IACS, SCADA
- Tools: u.a. Hiscout, Verinice, Vanta, risk2value, Nessus, Splunk, Alienvault, TheHive, Elk-stack, Elastic Search etc.
- IT Security / Sicherheit / Krypographie / Common Critera / PKI Lösungen
- Einführung von ISMS, u.a. im Bereich kritischer Infrastrukturen (Kritis-V)
- Auditor for IT-Sicherheitskatalog gem. §11 Ia EnWG, Prüfnachweisen gem. §8a BSIG,
- Vorbereitung und Audits nach BSI Grundschutz und Grunschutzkataloge
- ISO 22301 BCM
- Penetration Testing Erfahrung (Certified Ethical Hacker Zertifizierung)
- OWASP, Burp, ZAP, Nessus etc.
- CISSP
- Certified Ethical Hacker (CEH)
- ITILv4
- IT Sicherheitsbeauftragter (zertifiziert)
- IT Security Manager (zertifziert)
- SCUM Master
- Certified EC-Council Instructor (CEI)
- Multi Projektmanagement (PMI / PMP und SCRUM-Master zertifiziert)
- Incident Management und den Aufbau von CIRTs
- Certified EC-Council Instructor (CEI)
- BCM 22301
Einige Publikationen:
- https://www.heise.de/select/ct/2021/7/2031717381985388403
- https://www.heise.de/select/ct/2022/1/2130115435655413363
- Effective Implementation of Management Systems, Springer Fachmedien Wiesbaden
- Hacking WPA2-protected Wi-Fi networks with Fluxion
Sprachen
DeutschverhandlungssicherEnglischverhandlungssicher
Projekthistorie
Tätigkeiten in den Projekten:
- Auditor für ISO 9001 und ISO 27001, §8a, ISO 27019, §11 1a EnWG, TISAX (Kunden vornehmlich im Umfeld von Betreibern kritischer Infrastrukturen und Kunden für den Betrieb von Rechenzentren)
- Beratung von Unternehmen der kritischen Infrastrukturen in Bezug auf Informationssicherheit und der Erfüllung des IT-Sicherheitsgesetzes
- Aufbau SIEM / SOC-Prozesse sowie SOC-Analysten-Arbeit
- Beratung von Kunden im Rahmen von Informationssicherheit und IT-Sicherheit
- Beratung von Unternehmen in Fragen von Zertifizierungen nach BSI IT-Grundschutz, ISO 9001, ISO 27001, Business Continuity Management, ITIL und Risikomanagement
- Security Assessments und Penetration-Testing von IT- und Netzwerkarchitekturen von Kunden Projektvorbereitung für die Auditierung von SOC1 und SOC2, BCM / ISO 22301 sowie ISO 27001, ISO 27017, ISO 27018
- Projektleitertätigkeiten für Kunden
- Auditierung von Kunden im Bereich ISO 9001 und 27001, TISAX, KritisV, B3S
Projektbeispiele:
1/2022-heute (andauern): Berater für SOC/SIEM:
- Aufbau eines Security Operation Center-Betriebs für eine Bank
- Implementierung von SIEM-Use Cases in Elastic Stack / Kibana
- Definition von Runbooks
- Durchführung von Schwachstellescans
- Bewertung von Schwachstellen und Alarmen basierend auf dem Security Incident Management-Prozess / SOC-Analyst einschl. Threat Analysis / Intelligence
- Etablierung eines Schwachstellenmanagement-Prozesses
- Auswahl und Konfiguration eines Schwachstellen-Scanners (Rapid7 InsightVM)
3/2022-heute (andauern): Leiter von Security Themen:
- Konzeption und Aufbau eines übergreifenden Security Prozesses im Rahmen der Einführung eines Security Operation Centers (SOC)
- Konzeption und Steuerung der Implementierung von Security Controls mit den Fachabteilungen basierend auf dem Standard der CIS-Controls
- Übernahme des internen Beauftragten für das integrierte Managementsystem (IMS) basierend auf ISO 9001 und ISO 27001
- Begleitung von Fachthemen: Schwachstellenmanagement (Nessus), IAM, Network Security (insb. IDS/IPS, WAF, Segmentierung), Data Protection / Datenschutz, Security Event Management
11/2021-9/2022 (geplantes Ende): Beratung zur Auswahl und Implementierung eines Network Detection and Response Tools (NDR):
- Begleitung des Auswahlverfahrens sowie Ausschreibungsprozesses im Rahmen Bankrechtlicher Vorgaben
- Konzeption der Integration in die IT-Infrastruktur, einschließlich des SIEM-Systems
- Planung und Realisierung Proof-of-Concept
8/2021-heute (andauern): Beratung zu IT-Grundschutz, Risikoanalysen, Sicherheitskonzeption, HiScout-Tool-Einsatz:
- Strukturanalysen, Schutzbedarfsfeststellungen, Risikoanalysen auf Basis IT-Grundschutz für Behörden
- Grundschutz-Checks für verschiedene Ministerien und Fachverfahren sowohl für Fachverfahren wie technische Verfahren
- Sicherheitskonzeption für technische Verfahren
- Administration des GRC Tools HiScout
10/2020-06/2021: Sicherheitskonzepte im Rahmen der Berater im Bereich IT-Grundschutz – 8 Monate:
- Erstellen von IT-Sicherheitskonzepten für einen Rechenzentrumsbetreiber im Behördenumfeld
- Risikoanalysen auf Basis IT-Grundschutz
- Betriebskonzepte für Themen im Bereich Storage, Logging, Backup, Archivierung
- Begleitung in der Richtlinienentwicklung und Dokumentation der Betriebsprozesse
- Workshops mit den Fachabteilungen
- Maßnahmendefinition mit den Verantwortlichen auf Basis der Analyse
01/2021-heute: Übernahme der CISO-Aufgabe:
- GAB-Analyse bzgl. Stand und Status der Informationssicherheit
- Berichtsebene in Richtung Management / Stakeholder
- Definition der Regelwerke für Informationssicherheit
- Erstellen von Betriebsdokumentationen
- Projektverantwortlich für den Aufbau des ISMS
- Implementierung von ISO 27001, SOC2 sowie HIPAA, Begleitung der Zertifizierungen bzw. Auditierungen
- Technische Schwachstellenbewertung, Penetration-Tests sowie Risikoanalysen der IT-Infrastruktur bzw. Applikationen
- Umsetzung von AWS-Security Maßnahmen, einschl. Tools wie Guard Duty, AWS Security Hub, AWS config, WAF, Shield und Cloud Watch
- Risikoanalysen im Rahmen des Managementsystems
- Erstellung technischer Konzepte sowie Definition von Maßnahmen (AWS, Development Tool-Chain, Release/Deployment-Prozess)
- Durchführung Schulungen und Awareness-Trainings
- Bewertung von Sicherheitsvorfällen
- Aufbau eines SOC-Betriebs und Einführung eines SIEMs für einen Finanzdienstleister
- Umsetzung von Anforderungen für Cloud Security auf Basis von BSI C5, Business Continuity BCM gemäß ISO 22301, und ISO 27001, 27017 , 27018, 27019
- Umsetzung von Produktzertifizierungen für China: Chinese Cyber Security Law und CCPS-Zertifizierung
- Risikobewertungen und Erstellung von Sicherheitskonzepten für eine Behörde und deren Rechenzentrum
- Umsetzung von SOC1 und SOC2 Zertifizierungen
- Steuerung von Projektkonsolidierungen
- Aufbau von Datenschutzmanagement nach ISO 27701
- Sicherheitskonzepte: u.a. Konzeption von Multi-Faktor-Authentisierung und Backup- und Recovery, BCM / Notfallpläne
- Penetration Tests für Web-Applicationen sowie Quellcode-Analysen
- Aufbau Security Operation Center (SOC) einschl. SIEM-Betrieb
- Aufbau von Cyber Security Incident Response Teams und Prozessen (CSIRT)
- Red Teaming und Blue Teaming-Begleitung (proaktives Angreifen und Simulieren von Angriffen von IT-Infrastrukturen und deren Verteidigung)
- Auditor für ISO 9001 und ISO 27001 (Kunden vornehmlich im Umfeld von Betreibern kritischer Infrastrukturen und Kunden für den Betrieb von Rechenzentren)
- Beratung von Unternehmen der kritischen Infrastrukturen in Bezug auf Informationssicherheit und der Erfüllung des IT Sicherheitsgesetzes
- Trainingstätigkeiten für die Normen ISO 27001, ISO 9001 und IT-Security
- Beratung von Kunden im Rahmen von Informationssicherheit und IT-Sicherheit
- Beratung von Unternehmen in Fragen von Zertifizierungen nach BSI Grundschutz BSI 100-1-4, ISO 9001, ISO 27001, Business Continuity Management, Cobit, ITIL und Risikomanagement
- Security Assessments und Penetration-Testing von IT- und Netzwerkarchitekturen von Kunden
- Projektleitertätigkeiten für Kunden
- Auditierung von Kunden im Bereich ISO 9001 und 27001
Zertifikate
Business Continuity BCMS Auditor - 22301
TÜV2024
AI Auditor - ISO 42001
PECB2024
CISSP
IC22021
BSI IT-Grundschutz Praktiker
BSI2021
Datenschutzbeauftragter
TÜV2020
CEH Certified Ethical Hacker
EC-Council2019
Certified Security Analyst (ECSA)
EC-Council2019
KRITIS §8A Auditor
TÜV2018
ISO 27001 Auditor
Irca2014
ISO 9001 Auditor
Irca2014
SCRUM Master
Scrum Alliance2012
PMP Project Management Professional
PMI2010