Über mich

Wer ich NICHT bin ...

Ich arbeite nicht als Software Entwickler, aber habe meine Wurzeln in der Software Entwicklung.

Ich arbeite nicht als ScrumMaster (auch wenn ich die Zertifizierung erworben habe), aber glaube an die Ideen hinter der Agilität und sehe in den agilen Ansätzen eine der wenigen erfolgversprechenden Lösungen, wie mit der heutigen Komplexität umgegangen werden kann.

Ich bin kein reiner DevOps Entwickler, aber leiste sehr gerne meinen Beitrag, um in einem DevOps-Team den Anteil an Informationssicherheit zu integrieren (DevSecOps).

Ich bin kein Produktspezialist für das Sicherheitsprodukt "XYZ", der die Kenntnisse zu diesem Produkt bereist mit der Muttermilch aufgesogen hat, sondern ich integriere mich in die Umgebung meiner Kunden, arbeite mit dem Management und den existierenden Spezialisten eng zusammen. Dabei freue ich mich genauso meinen Beitrag leisten zu dürfen, wie ich mich auch freue, etwas dazu zu lernen.

Ich bin nicht beliebig skalierbar. Dies hat für meine Kunden den Vorteil, dass ich nicht Ressourcen "parken" möchte, sondern in der gesamten Zusammenarbeit darauf achte, dass meine Kunden ihren Nutzen in der Zusammenarbeit haben und gleichzeitig ihre Unabhängigkeit behalten.

Mit Ausnahme von Schnittstellen, lasse ich die Finger von SAP.

Wer ich bin

Ich bin GmbH Geschäftsführer und Gesellschafter, mag meinen Beruf, stehe morgens gerne auf und freue mich, am heutigen Tag etwas Neues zu lernen.

Ich würde mich selbst als IT-Profi und IT-Generalist bezeichnen. Dabei liegen meine Schwerpunkte in den Bereichen CyberSecurity und Umsetzung von IT-Compliance Anforderungen.

Ich verfüge über ein Netzwerk an Gleichgesinnten und arbeite sehr gerne mit Partnern zusammen.

Ich setze mich dafür ein, zu integrieren, statt sich abzugrenzen. Viele Anforderungen gleichen sich mit der Zeit an. So adressiert die EU-DSGVO inzwischen weite Teile der CyberSecurity Ziele. Ich biete meinen Kunden an, die notwendigen Lösungen aufeinander abzustimmen und nur einmal umzusetzen.

Ich glaube daran, dass IT-Lösungen nicht nur in PowerPoint funktionieren müssen und freue mich zusammen mit meinen Kunden neue Ideen zum Erfolg zu führen.

Ich muss heute nicht (mehr) jeden Windows Registry Key selbst setzen, es hilft allerdings zu wissen, dass es ihn gibt und wie dieser funktioniert. Auch wenn das virtuelle System in der Cloud steht.

Es ist mir sehr bewusst, dass jedes erfolgreiche Projekt und jeder neue IT-Dienst den bestehenden Aufwand im Betrieb verändert. Aus diesem Grund strebe ich an, den Betriebsaufwand bereits im Design zu berücksichtigen und möglichst viele (Betriebs-)Prozesse zu automatisieren.  Nach dem Projekt ist vor dem Projekt. Viele nennen dies DevOps.

Ich glaube an die Sinnhaftigkeit und Notwendigkeit Fehler zu machen. Ein identifizierter Fehler in einer frühen Phase hilft, die eigenen Grenzen kontinuierlich zu erweitern. Im weiteren Verlauf wird genau dieser Fehler oft Erfahrung oder Erkenntnis genannt.

Mein Angebot

Ich biete an einen Beitrag zu leisten, dass die IT-Sicherheit das Top Management, die Fachabteilungen, die Software Entwickler und das IT-Team maßgeblich dabei unterstützt, die Geschäftsprozesse und das Vertrauen der Kunden in abgestimmten wirtschaftlichen Grenzen aufrecht zu erhalten.

Sofern gewünscht unterstütze ich die unterschiedlichen Ebenen und Entscheider in einem Unternehmen, damit diese in den jeweiligen Situationen über einen klaren und verständlichen Maßstab verfügen, um die IT-Sicherheits- und die IT-Compliance-Anforderungen des Unternehmens anmessen zu berücksichtigen.

Durch das gemeinsame Prozessverständnis zwischen Fach- und IT-Abteilung ist auch die kontinuierliche Pflege mit erstaunlich wenig Aufwand sichergestellt. Das Business profitiert, da das Unternehmen durch das umfassendere Prozessverständnis an Flexibilität, Kontrolle und Geschwindigkeit gewinnt.

Ich verfüge über ein fundiertes Verständnis bzgl. der regulatorischen Anforderungen an Finanzdienstleistungsunternehmen in den IT-Prozessen. Dies ermöglicht schnelle Ergebnisse und ein hohes Maß an Verbindlichkeit.

Typische Projekte und Bereich der Zusammenarbeit

  • Einführung eines ISMS (Information Security Management Systems) oder DSMS (Datenschutz Management Systems) in einem Unternehmen
  • Ist-Analyse der Informationssicherheit
  • Auditierung und die Abarbeitung von Schwachstellen nach einem Audit
  • Erstellung und Umsetzung von Sicherheitskonzepten
  • Externer CISO
  • Externer Datenschutzbeauftragter

Qualifikationen

  • Zertifizierter ISO27001 Lead Auditor
  • Zertifizierter VdS 10000 Berater
  • Zertifizierter ScrumMaster
  • Zertifizierter IT-Sachverständiger BISG e.V.
  • Zertifizierter NLP Master Coach
  • Zertifizierter NLS Master (Neuro Linguistic Seller)
  • Initiative Mittelstand, Best of 2018, Consulting
  • ...

Meine bevorzugten Rollen

In jeder der folgenden Rollen berücksichtigt die CyberSecurity und IT-Compliance Anforderungen:

  • Projektleiter
  • Berater
  • CISO
  • Datenschutzbeauftragter
  • IT-Architekt
  • Technischer Coach
  • Auditor

IT-Compliance Kenntnisse

Im Rahmen meiner Tätigkeiten unterstütze ich meine Kunden bei der Umsetzung folgender (IT)-Compliance Anforderungen:

  • ISO270xx
  • VdS 100xx
  • ISIS12
  • EU-DSGVO
  • IT-Grundschutz
  • PCI-DSS
  • BaFin MaRisk/BAIT
  • ITIL
  • NIST
  • Cobit
  • SOX

Allen gemeinsam ist (zum Glück) der bewusste Umgang mit Prozessen und Arbeitsabläufen. Dabei unterstütze ich u.a. folgende Risk Management Methoden:

  • ISO27005/ISO31000
  • BSI-Standard 200-3
  • STRIDE/SDL (ein von Microsoft entwickeltes Threat Modeling Tool)