Schlagwörter
Skills
- Cyber/Information Security: Schutz Ihrer sensiblen Daten vor Cyberbedrohungen und Angriffen.
- GRC (Governance, Risk Management & Compliance): Effektive Steuerung von Sicherheitsmaßnahmen und Gewährleistung der Einhaltung relevanter Vorschriften.
- SOC/SIEM: Einrichtung und Betrieb eines Security Operations Centers zur kontinuierlichen Überwachung und Früherkennung von Sicherheitsvorfällen.
- ISMS (Information Security Management System): Etablierung eines ganzheitlichen Sicherheitsrahmens für den Schutz Ihrer Unternehmenswerte.
- OT/IoT Security: Absicherung Ihrer industriellen Systeme und Internet of Things (IoT) Geräte vor gezielten Angriffen.
- Identity & Access Management: Effiziente Verwaltung von Zugriffsrechten, um unbefugten Zugang zu verhindern.
- Outsourcing Consulting: Professionelle Beratung in Provider Management, Vertragswesen/SLAs und IT-Ausschreibungen/RfPs.
Ich habe mehr als 40 komplexe IT-Projekte und Programme erfolgreich abgeschlossen, davon 19 Cybersicherheitsprojekte für 13 namhafte Kunden (Merck, RWE, e.on, HSBC, Rheinmetall, Volkswagen, etc.) durchgeführt.
- IT-Security
- OT Security
- WTG/SCS
- SCADA
- offshore wind parks
- Identity Governance (Joiner-Mover-Leaver, Access Management Prozesse)
- Implementierung Privileged Access Management
- Implementierung CyberArk
- SailPoint Application Onboarding - Anbindung von Zielsystemen an ein neu eingeführtes zentrales IAM-Tool
- Implementierung Cyber Security Center (SIEM/SOC)
- SIEM Playbooks, SIEM Prozesse
- Implementierung SOAR
- Notfallmanagement / Service Continuity Management
- Implementierung einer Client-Backup-Lösung
- OT Security
- Ausschreibungsmanagement
- Projektmanagement Ausschreibungsverfahren gemäß EU-Vergaberecht
- IT-Governance/Risk/Compliance
- Analyse Governance- und Provider Management Prozesse
- IT Governance Definition inkl. Retained Organisation Aufbau
- ISMS Implementierung / Aktualisiserung
- Third Party Risk Management Prozesse
- KRITIS Compliance
- IT-Grundschutz
- IT-Sicherheitskatalog gemäß § 11 Absatz 1b
- Branchenspezifischen Sicherheitsstandards" (B3S)
- ISO/IEC 27001 Auditvorbereitung / Remediation Auditfindings
- Outsourcing/ Transition
- Transition zum Managed Service Security Provider
- Transition des Service Desks ins Near Shore Center PL
- Vorbereitung einer Exit-Strategie in einem Outsourcing
- Gruppenweite Implementierung einer Client-Backup-Lösung
- Implementierung eines Cyber Defence Centers
- Outsourcing/Entwicklung einer Kundencenterplattform
- Implementierung Provider Management
- Transition der Serviceerbringung Near Shore Center PL
- Transition eines PMOs ins Near Shore Center PL
- Europaweite Cloudifizierung der IT in einem Großkonzern
- Cloud Security Governance
- Digital Banking
- Prozessdefinition, -modellierung und -beschreibung mittels BPMN 2.0 für eine Plattform für bargeldlosen Zahlungsverkehr
Österreich*, Slowakei*, Ukraine*, Russland, Polen, UK, Indien*, Norwegen, Dänemark*, USA
*vor Ort Einsatz
Projektliste zu Schlagwörtern:
OT-Security / Produktionssicherheit
• Technical Risk Project Manager (Schwedischer Energiekonzern, 2023) – Erstellung Dokumentationen zu OT User Asset Management, User Access Reviews, OT BCM, OT Security Incident Reporting, Critical Supplier Management
• IT Security Consultant (Dänischer Energiekonzern, 2023) – Überarbeitung ISMS für OT-Security (Scada: SCS, WTG, Production Network)
• Security Projektleiter (Pharmakonzern, 2021-2022) – Anbindung der Produktionsanlagen an das Monitoring (SIEM)
• IT Security Project Manager Privileged Access Management (Energieversorgungskonzern, 2020) - OT-Anbindung an das Monitoring für umfassende OT- und IT-Netzwerktransparenz, Planen und Ausführen der Einführung des ISMS im gesamten OT-Security Umfeld
Bitte beachten Sie auch meinen Artikel „So schützen Sie Ihre Industrieanlagen“ zu OT-Security: https://www.csoonline.com/de/a/3674520
ISMS
• Security Portfolio Projektmanager (Universitätsklinikum , 2023) – Erstellung Richtlinien/Prozesse zu Schwachstellenmanagement, Asset Verwaltung, Härtung der Systeme, Lieferantenmanagement (Drittanbieter Risiko)
• Technical Risk Project Manager (Schwedischer Energiekonzern, 2023) – Erstellung ISMS Dokumentationen zu OT User Asset Management, User Access Reviews, OT BCM, OT Security Incident Reporting, Critical Supplier Management
• Information Security Professional (Internetdienstanbieter, 2023) –Anpassung ISMS zu Maßnahmen im Bereich ISO27K, IT-Grundschutz, KRITIS Compliance, Business Continuity Management, Supplier Management/ Third Party Risk
• IT Security Consultant (Dänischer Energiekonzern, 2023) – Überarbeitung ISMS für OT-Security (Scada Systeme)
• Security Projektleiter (Pharmakonzern, 2021-2022) – Anfertigen von Dokumentationen für SOC L1/L2/L3, Information Security Incident Management (Process description), SOC Playbooks, sowie Prozessbeschreibungen und RACIs für Vulnerability Management, Threat Hunting, Penetration Testing
• Cyber Security Expertin (International ausgerichtete Geschäftsbank, 2021) – Review der Prozesse und Dokumentation nach einer Bafin-Prüfung, Remediation der Findings, Anfertigen von Dokumentationen
• Manager IT-Security (Rheinmetall AG, 2021) – Anfertigen SOP Forensics & Investigation, Erstellung von Dokumentationen (Prozessbeschreibungen, RACIs) im Rahmen einer ISO27001 Zertifizierung inkl. Erstellung der Cyber Security Incident Management Guideline, Erstellung Prozesshandbuch CSIRT
• Business Analystin (Fujitsu TDS GmbH, 2021) – Dokumentation Endpoint Protetion (Defender for Endpoint: Intune, SCCM), zeroTrust Strategien / Conditional Access (Data Leakage Prevention, Information Protection, Identity Governance mit Azure AD Premium/ Defender for Identity)
• Cyber Security Governance Architecture Expert (Gas- und Ölunternehmen, 2021) – Erstellung von IT Security Policies, Standards, Procedures und Guidelines
GRC (KRITIS, ISO27001, BSI-Grundschutz, C5)
• Security Portfolio Projektmanager (Universitätsklinikum , 2023) – Mitigierung von Findings nach einer Prüfung §8a BSIG
• Technical Risk Project Manager (Schwedischer Energiekonzern, 2023) – Mitigierung von Nichtkonformitäten als Vorbereitung auf ein Audit gem. IT-Sicherheitskatalog gemäß § 11 Absatz 1b Energiewirtschaftsgesetz (KRITIS-Audit)
• Information Security Professional (Internetdienstanbieter, 2023) – Mitigation von Auditfindings (Supplier Management, BCM, BSI-C5-Kriterienkatalog), Anfertigen von ISMS-Dokumenten unter Berücksichtigung ISO27k, C5 (Cloud Computing Compliance Controls Catalog), KRITIS Anforderungen
• IT Security Consultant (Dänischer Energiekonzern, 2023) – Erstellung von ISMS Dokumenten unterschiedl. Standards/Normen (ISO27001:2022, NIS CAF)
• Security Projektleiter (Pharmakonzern, 2021-2022) – Anfertigen von Dokumentation zur Umsetzung ISO27001, KRITIS Konformität
• Cyber Security Expertin (International ausgerichtete Geschäftsbank, 2021) - Mitigation von Risiken nach einer bankenregulatorischen Prüfung
• Manager IT-Security (Rheinmetall AG, Bremen, 2021) – ISO27k
SOC/SIEM/ Cyber Incident Response
• Security Projektleiter (Pharmakonzern, 2022) – Interim Head of Security Operations Center (SOC)
• Cyber Security Expertin bei (Bundeseigenes Unternehmen, 2021) – Planung und Architektur der technischen Umgebung eines SOC sowie Gestaltung von SOC Prozessen
• Manager IT-Security (Rheinmetall AG, 2021) – Überwachung der Sicherheit und dem Erkennen von Sicherheitsvorfällen und Schwachstellen, Ermittlung von IT- Angriffen sowie Durchführung von Triagen und Analysen bei IT-Security-Vorfällen
• IT Security Project Manager Identity-& Access Management (Energieversorgungskonzern, 2020) – Projektleiterin Ausschreibung für ein SIEM/SOC als Managed Service, Implementierung SIEM/SOC /Transition zum Managed Service Provider
• Program Manager (Energieversorgungskonzern, 2015/2016) –Implementierung Cyber Defence Center
Identity Governance / Identitätsmanagement / IAM / User Provisioning / Joiner-Mover-Leaver-Lifecycle
• Technical Risk Project Manager (Schwedischer Energiekonzern, 2023) – Erstellung Dokumentationen zu User Access Revision für das ISMS unter Berücksichtigung der Controls des IT-Sicherheitskatalogs
• IT Security Consultant (Dänischer Energiekonzern, 2023) – Erstellung Standard Operating Procedures (SOP) für Identitäts- und Zugriffsverwaltung für das ISMS
• Cyber Security Governance Architecture Expert (Gas- und Ölunternehmen, 2021) - Analyse der IAM Prozesse und Use Cases / Stories / Spezifikationen für S/4 Hana & ForgeRock
• IT Security Project Manager Identity-& Access Management (Energieversorgungskonzern, 2020) - SailPoint Application Onboarding - Anbindung von Zielsystemen an ein neu eingeführtes zentrales IAM-Tool
• IT Security Project Manager Privileged Access Management (Energieversorgungskonzern, 2020) - Implementierung einer PAM Lösung (CyberArk) als Cloud-Lösung mit 3 Use Cases (Lokale Admin-Rechte | Cloud-Master-Admins für AWS/Azure | gesicherter Zugriff Windows & Linux Server)
Outsourcing / MSSP / RfPs / Providermanagement / Third Party Risk
• Security Projektleiter (Pharmakonzern, 2021-2022) – Ausschreibung/ RfP für einen Security Managed Service Provider
• Cyber Security Expertin bei (Bundeseigenes Unternehmen, 2021) – Vergabe-, Vertrags- & Service Level Management
• IT Security Project Manager Identity- & Access Management (Energieversorgungskonzern, 2020) – Ausschreibungsmanagement für einen Managed Security Service Provider für ein IT-Security Operations Center (SOC), Erstellung RfP und Kriterienkatalog
• Projektleiterin Ausschreibung (LBS Nord, 2018) – Ableiten Produktbeschreibungen und Zusammenfassen der Lieferobjekte im Lastenheft als Basis für die Ausschreibung
Lesen Sie auch hierzu meinen Artikel:
https://www.cio.de/a/was-sie-ueber-service-level-agreements-wissen-muessen,3592458
Projekthistorie
• Analyse von Abweichungen nach Audit
• Leitung einzelner IT-Sicherheitsprojekte
• Bedarfe & Fokus ausarbeiten
• Erstellung von Grob-Planung und Feinplanung für IT-Sicherheitsprojekte
• Ressourcenplanung für die Projekte (intern sowie extern)
• Konzeption und Umsetzung der Projekte in den Bereichen SIEM, SOC und Netzwerksegmentierung
• Steuerung von Dienstleistern
• Erstellung und Überarbeitung der ISMS Dokumente nach den Vorschriften in der deutschen und europäischen Windindustrie, insbesondere BSI-KRITIS und bezüglich IT/OT/SCADA
• Projektmanagement, einschließlich der Koordinierung von Projektteams mit verschiedenen Teams in einer Matrixorganisation
Kommunikation mit der Geschäftsleitung, IT- und technischem Personal und anderen Fachleuten auf verschiedenen Ebenen
• Überprüfung, ob die relevanten Akteure in den korrekten Sicherheitsrichtlinien und -verfahren geschult sind und Nachweise für deren korrekte Umsetzung haben
• Erstellung aller erforderlichen spezifischen Dokumente für deutsche Windparks, um die Vattenfall-Richtlinien umzusetzen
• Bewertung/Management von Sicherheitsrisiken im Bereich OT-Security / industrielle Automatisierung und Kontrollsysteme
• Transparenz über die Risiken zu schaffen, Management der Risiken und Unterstützung geeigneter Entscheidungsprozesse, um einen stabilen Betrieb und sichere Wartungsaktivitäten von Offshore-Windparks als wichtige Teile der nationalen kritischen Infrastruktur zu gewährleisten Aufgaben
• Durchführung von Cybersecurity-Risikobewertungen von Umgebungen für industrielle Automatisierungs- und Steuerungssysteme (IACS), einschließlich IT-, OT- und SCADA-Systeme
• Verbesserung Risikobewertungsmethodik und Risikomanagementprozesse
• Weiterentwicklung der aktuellen Dokumentationen zu einem strukturierten Risikomanagementansatz für Identity und Access Management im OT-Bereich, um die Einhaltung internationaler und nationaler Standards und Vorschriften zu gewährleisten.
• Third Party Risk Management
• Erstellung von Richtlinien, Policies, Handbücher gemäß ISO 27002:2022, KRITIS zu folgenden Themen:
- Penetration Testing
- Joiner-Mover-Leaser Prozess und periodische Überprüfung von Accounts
- Island Mode Prozedur „Initializing Local Control or Island Mode”
• Einrichtung einer neuen Cybersicherheits-/CISO-Organisation unter dem Group CSO
• Durchführung Health Check des Security Operations Centers im Hinblick auf • CMMI Rating der Prozesse,
• SIEM Use Case Analyse,
• Review of Security Platforms,
• Sourcing &Location Strategy,
• SOC Roadmap und SOC Vision
• Umsetzung Maßnahmen für Neu- und Re-Zertifizierung ISO27001, BSI IT-Grundschutz, KRITIS, Kriterienkatalog Cloud Computing C5
• Selbstständige Erstellung, Abstimmung und Veröffentlichung von ISMS Policies
• Eigenständige Modellierung, Abstimmung und Veröffentlichung von ISMS Prozessen
• Selbstständige Analyse, Bewertung und Verbesserung des ISMS Risikoportfolios
• Eigenverantwortliche Analyse, Bewertung und Verbesserung des Supplier Management Portfolios
• Selbstverantwortliche Analyse bestehender ISMS Dokumente, Überarbeitung, Abstimmung und Veröffentlichung
• Eigenverantworltiche Analyse, Bewertung und Support von Audit Findings
• Selbstständige Erstellung, Abstimmung und Veröffentlichung von ISMS Policies
• Eigenständige Modellierung, Abstimmung und Veröffentlichung von ISMS Prozessen
• Selbstständige Analyse, Bewertung und Verbesserung des ISMS Risikoportfolios
• Eigenverantwortliche Analyse, Bewertung und Verbesserung des Supplier Management Portfolios
• Selbstverantwortliche Analyse bestehender ISMS Dokumente, Überarbeitung, Abstimmung und Veröffentlichung
• Eigenverantworltiche Analyse, Bewertung und Support von Finding - Tickets
• Implementierung des Prozesses „Investigation & Forensics“, Erstellung des Prozesshandbuchs, Abstimmung mit Querschnittsfunktionen Compliance Office Investigation, Datenschutz, Betriebsrat und Werkschutz
• Ermittlung von IT- Angriffen
• Durchführung von Triagen und Analysen bei IT-Security-Vorfällen
• Sammlung und Sicherung von Beweisen
• Beratung zur Absicherung gegen neue Angriffe
• Überwachung der Sicherheit und dem Erkennen von Sicherheitsvorfällen und Schwachstellen
• Management von Schwachstellen, Sicherheitsereignissen und Sicherheitsvorfällen (u.a. Analyse, Reaktion, Reporting) und Mitarbeit im CIRT
• Aktiver Austausch von Informationen mit den verschiedenen Security Einheiten, u.a. SOC
• Steuerung von internen und externen Dienstleistern zur Einhaltung und Verbesserung der vereinbarten IT-Security Services
• Ableitung und Verfolgung von Maßnahmen zur Verbesserung der Sicherheit
• Koordination und Durchführung der Kommunikation innerhalb der IT-Organisation und den Ansprechpartnern der Fachbereiche zu allen Fragen rund um Sicherheitsvorfälle und externe Bedrohungen- Selbstständige Bewertung von Informationssicherheitsrisiken sowie technische Analyse und Maßnahmen zu Cyber-Risiken und –Angriffen sowie Untersuchung von Software sowie Beratung von internen Fachbereichen bzgl. der Umsetzung von Sicherheitsmaßnahmen hinsichtlich Inbetriebnahme Softwarelösungen
- Incident Response Management, Erstellung von 30 Playbooks
- Unterstützung beim Aufbau und Umsetzung der Cyber Security Incident Management Guideline
• Planung und Architektur der technischen Umgebung eines SOC
• Consulting bei der Ausschreibung von SOC Systemen
• Consulting bei der Erstellung der Zertifizierungstauglichkeit nach BSI-Grundschutz
• Gestaltung von SOC Prozessen
• Consulting bei der Integration verschiedener Sicherheitssoftware in einem SOC
• Erstellung eines Grob- und Feinkonzept für den Aufbau eines SOC
• Identifikation von Systemtypen und Ermittlung von Eckdaten für eine öffentliche Ausschreibung für das SOC
• Abstimmung mit internen Stakeholdern (HR, Compliance, Datenschutz usw.) bzgl. rechtlicher und regulatorischer Rahmenbedingungen für ein erweitertes Cybersecurity Monitoring sowie komplexer Use-Cases
• Definition und Analyse des SIEM Scopes sowie Dokumentation und Bewertung von Systemen und Applikationen die ggf. nicht in das Monitoring einfließen sollten und Überführung in das Risikoregister sofern nötig
• Anbindung weiterer Systeme und Applikationen an das globale SIEM
• Erstellung von Use Cases für neu ongeboardete Systeme
• Erweiterung von HSBC Standards und Prüfung sowie Dokumentation von lokaler Anwendbarkeit sowie Dokumentation der weltweiten Zusammenarbeit der Cyber Security Abteilung
• Beratung beim Aufbau von Security Services für und im Umfeld von Microsoft M365
• Mitwirkung in der Angebotsphase sowie die Unterstützung der Fachbereiche bei der Erstellung und Umsetzung von IT-Service Konzepten für die Endkunden
• Unterstützung bei Aufbau eines Cloud-Betriebsteams
• Erarbeitung von Security-Lösungen zur Implementierung von Systemlandschaften nach Microsoft Office 365
• Abstimmung des Beschaffungsbedarfs mit den Fachabteilungen
• Vorbereitung und Durchführung von Vergabeverfahren, Erstellung von Ausschreibungsunterlagen im Bereich IT
• Durchführung von Markterkundungen und Lieferantenqualifizierung, Unterstützung bei der Erstellung von Leistungsbeschreibungen sowie allen weiteren Vergabeunterlagen wie Vertragsentwürfen, Bewertungs- und Zuschlagsdokumenten• Arbeit an Business Cases, Machbarkeitsstudien und datengetriebenen Erkenntnissen
• Erheben, Prüfen, Definieren, Verwalten und Dokumentieren von Geschäftsanforderungen
• Dokumentation der 'Ist'- und 'Soll'-Geschäftsprozesse des Shared Service Centers
• Fertigstellung von Deliverables, inkl. Unterstützung bei User Acceptance Testing
• Projektmanagement-Aktivitäten und Post-Projekt-ReviewsRemediation - Advanced Persistent Threats (APT) - Anatomie einer Cyberspionage-Kampagne/ Projekt zur Behebung eines Sicherheitsvorfalls und Wiedererlangung der Kontrolle über kompromittierte und betroffenen Active Directories, Systeme und Dienste.
Da der Angriffsvektor gezielt und ausgeklügelt war, sind die erforderlichen Maßnahmen zur Behebung hochkomplex, müssen in mehreren Phasen geplant und durchgeführt werden und erfordern spezifische technische und methodische Fähigkeiten. Die größte Herausforderung ist die Struktur der mehr als 20 Active Directory Services. Diese ADs sind eng miteinander verknüpft ("trusted"). Daher werden sie zu einer einzigen Sicherheitsgrenze, die als eine einzige Instanz vermittelt werden muss.• Durchführen einer Bewertung der kompletten Wald- und Domänenstruktur
• Einführung des Microsoft ESAE-Modell (3-Tier-Modell)
• Beratung bei der Implementierung von AD-Härtungsmaßnahmen, des AD-Tier-Modells und ein Reset des krbTGT-Dienstes in allen betroffenen Domänen
• Festlegung und Vorbereitung von Abhilfemaßnahmen für kompromittierte Systeme und Dienste in Tier-1 (Server) und Tier-2 (Clients)
• Implementierung einer Kontenbereinigung für veraltete, privilegierte, Service- und nicht-persönliche Konten
• Entwicklung eines Ablaufs für den Rücknahmetag und die Behebung der kompromittierten Systeme und Dienste
• Beratung bei Bereinigung kritischer End-of-Life-Systeme
• Unterstützung bei der Behebung kompromittierter Systeme und Dienste in Tier-1 (Server) und Tier-2 (Clients)
• Implementierung von Passwort-Rücksetzungen für alle Tier-1-, Tier-2- und Proxy-Konten
• Überwachung der Behebung von kompromittierten Systemen und Diensten
• Konsolidierung der Erkenntnisse in einem Plan für die Wiederherstellung des ADs- Beratung beim Aufbau von Prozessen im Cyber Security Umfeld insbesondere für das Security Incident Management
- Beratung bei für die Konzeption und Implementierung eines Cyber Security Frameworks (Cyber Security Standards, Richtlinien und Handlungsanweisungen)
- Konzeption von Richtlinien und Vorgehensweisen für den sicheren Betrieb und für die Konfiguration von IT-Systemen
- Entwicklung von Informationssicherheits-Standards und Maßnahmen, um die Informationssicherheitsanforderungen zu erfüllen und die Sicherheit von IT-Systemen und IT-Prozessen zu gewährleisten
- Aufbau der Security Architektur in Microsoft Office 365 und Microsoft Azure Cloud sowie der Cloud-spezifischen Sicherheitsmaßnahmen und -auswertungen
- Support einer Security Awareness Kampagne (Erstellung User Guides für die Lernplattform
- Analyse Identity & Access Management (IAM) Prozesse und Erstellung von Use Cases / Stornies / Spezifikationen für S/4 Hana und ForgeRock
• Verantwortung für Entwicklung und Umsetzung von Konnektoren der cloudbasierten Identity Governance Lösung SailPoint IdentityNow
• Steuerung und Überwachung der externen IT-Dienstleister und internen Teams für das Application Onboarding in SailPoint
• Enge Zusammenarbeit mit Application Ownern, die für die Implementierung von Lösungen und good practices im Zusammenhang mit IAM (Identity and Access Management)-Funktionen verantwortlich sind
• Beitrag zu Diskussionen, wie neue IAM-Strategien, Technologien, Standards, Anbieter oder Ansätze zur Zielarchitektur des Unternehmens beitragen
• Management der Ausschreibung/ des Beschaffungsprozess (von RfP bis zur Vergabe) für den Aufbau einer PAM (Privileged Account Management)-Lösung (CyberArk)
• Erstellung RfP und Kriterienkatalog, Koordination Q&A Sessions, Auswertung der Angebote (Bietermatrix), Durchführung der Bietergespräche, Vertragsverhandlungen, Vertragserstellung
• Steuerung von internen und externen Mitarbeitern bei der Implementierung der PxM-Plattform
• Durchführung Risk & Criticality, Data Privacy Assessment
• Unterstützung in den Bereichen Identity- und Access Management
• Erstellung von IT-Security Policies, Standards, Procedures und Guidelines
• Stakeholder and Expectations Management/ Abstimmung mit diversen Stakeholdern (Procurement, Vendormanagement, Data Privacy, Group Security, HR, Labour Law, Konzernbetriebsrat-IT)
Das Hauptziel ist die Etablierung von CyberArk PAM as a Service und der Einsatz von 3 Anwendungsfällen. Um dieses Ziel zu erreichen, wurden die folgenden Unterziele identifiziert:
• Vorbereitung der Umgebung für die PAM-Installation und für die Bereitstellung von Anwendungsfällen
• Installation und Konfiguration der PAM-SaaS-Lösung
• Installation von Konnektoren (Windows, Unix, Endpoint), Konfiguration von Plattformen für Passwort-Rotation und Sitzungsverwaltung
• Implementierung der Use Cases:
• Privilegienerweiterung auf Windows-Client
• Notfallzugang zur AWS/Azure-Cloud-Verwaltung
• Überwachter Zugriff auf Windows-Server (RDP) und Linux (SSH)
• Aufbau der Governance Struktur zu Steuerung des Providers auf Strategischer, taktischer und operativer Ebene
• Steuerung von internen und externen Mitarbeitern bei der Implementierung des Security Operations Centers (SOC)
• Steuerung von internen und externen Mitarbeitern bei der Implementierung der IT-Security Tools: Splunk Enterprise und Qualys VMDR
• Erarbeitung und Verhandlung einer neuen Konzernbetriebsvereinbarung nebst Anlagen für 4 Security-Tools und 20 Use Cases
• Stakeholder and Expectations Management/ Abstimmung mit diversen Stakeholdern (Procurement, Vendormanagement, Data Privacy, Group Security, HR, Labour Law, Konzernbetriebsrat-IT)
• Durchführung Risk & Criticality, Data Privacy Assessment
• Erstellung RfP und Kriterienkatalog, Koordination Q&A Sessions, Auswertung der Angebote (Bietermatrix), Durchführung der Bietergespräche, Vertragsverhandlungen, Vertragserstellung
• Aufbau einer serviceorientierten IT-Organisation im Nearshore Center
• Set-up & Ramp-up des Standortes
• Organisationsentwicklung (Staffing, Skill Development, Knowledge Transfer)
• Führung des bestehenden Teams; Verantwortung für Revenue, Marge, Kontinuität, Qualität
• Management des Projekts in Hinblick auf Vertragserfüllung und Kundenzufriedenheit gemäß dem genehmigten Budget
• Sicherstellung der DSGVO Konformität
• Risk- und Issue Management
• Ressource Management
• Forecasting und Reporting
• Ableiten der Produktbeschreibungen je Teilprojekt und Zusammenfassen der Lieferobjekte im Lastenheft als Basis für die Ausschreibung
• Aufsetzen des Projekts, Abwicklung des Projekts im Tagesgeschäft
• Projektmonitoring und -reporting, Risikomanagement
• Koordination mit externen Lieferanten und Account-Managern
• Aufgabentracking im Kanban Board
im Provider Management
• Sourcing Strategy/ Provider Management
• IT Sourcing Projektberatung
• Kostenmanagement
• Steuerung/Kontrolle der Service Qualität mittels CMDB Auswertungen
• Rechnungsprüfung mittels Pivot Auswertungen der CMDB (HP Service Manager)
• Management von Anforderungen / Aufträgen
• Dokumentation der Verträge/SLAs mittels Atlassian Confluence (Wiki)
• Management der Architektur / deren Weiterentwicklung
• Governance
• Sicherstellung der DSGVO Konformität
• Messung der vereinbarten Leistungen (Balanced Scorecard)
• Vorbereitung einer Exit-Strategie
• Eskalationsmanagement
• Aktualisierung des Rahmenvertrages
• IT Service Continutity Management / Business Continuity Management
• Koordination der Kommunikation zu Schadensersatzansprüchen
• Benchmarking von Dienstleistern
im Notfallmanagement/ Business Continuity Management
• Ermittlung der kritischen Faktoren (Business Impact Analyse und Risikoanalyse)
• Darstellung der Bewältigungsprozesse und der dazugehörigen reaktiven Dokumente sowie der Anforderungen
• Übergabe der Verfügbarkeitsanforderungen an Schnittstellen wie in die IT, das Facility Management, die Personalabteilung und den Provider
• Erklärung der Umgebungsfaktoren einer Krise oder eines Notfalles und welche Prozesse und Methoden innerhalb der Bewältigungsorganisation innerhalb der Bewältigung helfen können
• IT Service Continuity Management / Business Continuity Management
• Implementierung der Unterstützung kritischer IT Services in einer Notfallsituation
• Überprüfung der Aktualität und Vollständigkeit der ITSCM-Standard-Vertragsformulierungen
• Durchführung eines Business Continuity Management Assessments zur Reifegradbestimmung
• Sicherstellen, dass die Provider die vertraglichen BCM-ITSCM Klauseln erfüllen
• Qualitätssicherung ITSCM-Notfallhandbuch
• Review BCM-LifeCycle-Planung der Tests & Exercises
Bei dem Bezahlsystem handelt es sich um einen Service für elektronisches Geld (E-Geld). Kunden und Händlern ein E-Geld-Konto zur Verfügung gestellt, auf dem elektronisches Geld geladen, entladen und auf der Payment Plattform zwischen E-Geld-Konten gebucht werden kann.
• Verantwortlich für die Prozessdefinition, -modellierung und -beschreibung der Geschäftsprozesse in BPMN 2.0 in Enterprise Architect
• Erstellung eines Prozesshandbuchs
• Verantwortlich für Reconciliation (Konzeption und Durchführung)
• Fortführen der Liste von offenen Posten und Report über neue Transaktionen
• Kreditkarten Transaktionen abstimmen und offene Posten bearbeiten
• Erhaltene Gutschriften und Lastschriften erfassen
• Saldo mit dem Buchungsjournal abgleichen
• Verantwortlich KYC Compliance (Implementierung und Verproben der Prozesse)
• Definition der benötigten Daten zur Accountanlage / KYC Anforderungen / Initial Customer Due Diligence“ (IDD) für die jeweiligen Kundengruppen
• Überprüfung Auffälligkeiten in Anträgen, die auf Betrugsversuche, Geldwäsche, etc. hindeuten
• Sanktionsscreening und Embargocheck; Definitionen von Beschränkungen im Umfang der Geschäftstätigkeit (u.a. Transaktionslimits)
• KYC Prozessharmonisierung
• Durchführung von Qualitätskontrollen und Korrekturen in Zusammenarbeit mit den Fachbereichen
• Ordnungsgemäße Dokumentation aller Complianceinhalte
• Operative Unterstützung (Operating Modell, Customer Care, Prozesse begleiten)
• Qualitätssicherung
Modernization Program zur unternehmensweiten Cloudifizierung der IT und zum Umbau des Konzerns zur „Digitalen Company“
• Erstellung des Business Cases, Abstimmung des IT Investment Plans mit der Geschäftsführung
• Vorstellung der Maßnahmen der Infrastrukturerneuerung gegenüber den unterschiedlichen Bereichen
• (Weiter-)Entwicklung und Umsetzung einer IT-Sicherheitsstrategie
Transfer der Contact Center und CRM-Applikation (VMCC) und –Hardware als Gesamtservice aus der Verantwortungan einen Generalunternehmer im Rahmen eines Outsourcings mit der Zielstellung der folgenden Zielstellung:
• Vereinheitlichung der Service-Struktur
• Modernisierung der Hardwarelandschaft
• Stabilisierung des Systembetriebs
• Erhöhung der Service Level
• Datensicherheit
• Aufbau einer „High Performance Kultur“ im Kundencenter (2400 Callcenter Agents)
• Profitables Wachstum durch Aufbau einer an Wachstum und saisonverlauf ausgerichteten Kundenserviceorganisation
• Verantwortlich für die Implementierung des Cyber Defence Centers gemäß ISO27k und der Vorgaben des BSI Grundschutz
• Durchführung einer Schutzbedarfs-, Risiko- und Schwachstellenanalyse
• Definition und Kontrolle der Einhaltung gruppenweiter Standards, Richtlinien und Vorgaben zur Infrastruktur- und Device-Nutzung sowie -optimierung
• Weiterentwicklung des konzernübergreifenden Sicherheitskonzeptes sowie Unterstützung der Töchterunternehmen bei der Umsetzung dieses Konzeptes in IT-Sicherheitsleitlinien
• Einführung eines ISMS (Information Security Management System) sowie Dokumentation aller technischer und organisatorischer Maßnahmen zur Informationssicherheit mit diesem System
• Implementierung des operativen IT-Sicherheitsmanagements
• Beratung von Fachabteilungen, lokalen IT-Leitungen, CIO, stellvertretendem CIO und Datenschutzbeauftragter in allen Fragen der IT-Sicherheit und ggf. Durchführung von Audits
• Einheitlicher Rollout Windows 7 für die Offices in Moskau (Russland)
• Durchführung von Analyse und Audit-Projekten im IT Governance-Kontext
• Experte in den relevanten Analysebereichen, insbesondere IT Governance, Prozessanalyse und -optimierung
• Vertragsprüfung und Entwicklung Exit-Strategie
• Durchführung eines Assessments sowie Entwicklung von Maßnahmen
• Organisationsentwicklung
• Monitoring der einzelnen Projekte innerhalb des Programms
• Auslösen von Rechnungsanweisungen, Rechnungsprüfung (Subcontrators)
• Projektcontrolling
• Reporting für das Programm Management und den Kunden
• Ansprechpartner für Offshore Angelegenheiten (u.a. Arbeitsvisum, Aufenthaltstitel, etc.)
• TechPack: Entwicklung von Interface aus dem Radionetz zur Performance Management Plattform
• Koordination mehrerer indischer Software-Entwickler-Teams (insg. 8 Personen)
• Erstellung von Management Reports und Präsentationen
• Beschaffungs- und Ressourcenmanagement
• Qualitätsmanagement
• Aufwandstracking
• Erstellung des Reportings an das Projektboard
• Erstellung einer Budgetübersicht für die Finanzstelle
• Onboarding von neuen/externen Projektmitarbeitern
• Erstellung des Projektkonzepts
• Verantwortlich für Projektkommunikation
• Pflege der rollierenden Planung im SAP PPM – cProjects
Einführung des Elektronischen Aktes in der PVA für "Zukunftsorientierte, einheitliche, prozessoptimierte und trägerübergreifende Anwendung der Pensionsversicherung"
• Analyse der Bedürfnisse der PVA
• Auswertung der Ergebnisse
• Design und Optimierung der Geschäftsprozesse sowie deren Abbildung mittels ereignisgesteuerter Prozessketten (EPK)
• Moderation von Meetings und Workshops mit Kunden
Projektplanung für IT Service Management/ IT Governance/ System Management (Monitoring) in einem IT Transformation Projekt der Raiffeisen International in den folgenden Bereichen:
• IT-Prozess-Reifegradanalyse mittels Process Maturity Assessment (CMMI)
• Auswertung der Ergebnisse
• Erstellung Maßnahmenkatalog/ Transformationskonzept als Grundlage für Business Case
Projektplanung für IT Service Management/ IT Governance/ System Management (Monitoring) in einem IT Transformation Projekt der größten ukrainischen Bank in den folgenden Bereichen:
• Erstellung der Project Charter (Scope, Zeitplanung, CAPEX/OPEX, Ressourcenplanung)
• Durchführen von On-Site-Assessements und Auswertung (Herausfilltern der Business Needs)
• Durchführen einer GAP-Analyse und Erstellung einer Transformation Map
• Erstellung einer ISO 20000 Roadmap
• Präsentation in verschiedenen Gremien (Steering Committee, externer Auditor)
• Abstimmung mit den lokalen IT Verantwortlichen
• ITSM Tool-Evaluierung (Solve Direct, HP Service Manager 7, BMC Remedy, OTRS)
Stream Lead Test Management für 120 ukrainische Tester (User Acceptance Test) in einem Core Banking System Implementierungsprojekt
• Planung der Testing-Phasen, Koordination der Test Case Execution/ Re-Testing der Bugs nach Releases, Deployment Management
• regelmäßige Status und Problem-Aufzeichnung der einzelnen Testing-Bereiche anhand von KPIs
• Management der Lieferanten / Dienstleister
• Koordination der automatischen und manuellen Daten- Migration
• Definition der Teststrategie und des Testkonzepts (Test Approach, Testtypen, Test Organisation, Vorlagen für Testfälle, etc.).
• Vorbereitung des Tests (Zuteilung der Ressourcen, Schulung, Testumgebungen, etc.)) und Unterstützung der Entwicklung von Test Cases / Use Cases.
• Auswahl und Unterstützung der Einführung der Test-Tools
• Management Factory Acceptance Tests, User Acceptance Tests, Integrationstests (End-to-End-Tests), Performance-Tests, technische Abnahme, Migrationstests
• Führen der Projektmitglieder und Umgebungen, Trouble Shooting, Incident Management (einschließlich Filterung der Vorfälle und die Zuordnung zu Lieferanten / Entwickler), Management von Regressionstests, Reporting (detaillierte Prüfberichte und Top-Management-Berichte - darunter Prognose der erwarteten Fehlerquote in den kommenden Prüfzyklen), Super-User für die Test-Tools
• Design und Implementierung von Service Support Prozessen
• Dokumentation von Geschäftsprozessen eines IT-Dienstleitungsunternehmens mittels EPK in ARIS
• Interne Projektkoordination zur Unternehmenszertifizierung nach ISO20000 mit Hilfe der Projektmanagementmethode Prince2
• Coaching der Teilprojektleiter der jeweiligen ITIL- Prozesse
• Design und Implementierung von Service Support Prozessen
• Dokumentation von Prozessen, Steuerung der Erstellung von Betriebshandbüchern
• Administrative Tätigkeiten im Service Level Management
• Organisation und Durchführung von ITIL- Schulungen
• Ausbilderin für IT-Berufe sowie Mitwirkung im Prüfungsausschuss IHK Hannover