Termin
Termin

Ihr Partner für IT-Sicherheit
& Compliance

Termin

Referenzen

Vertrauen durch Erfahrung – unsere Referenzen im Überblick

Lernen Sie unsere Kunden, Partner und ausgewählte Projekte kennen, die unsere Expertise unterstreichen.

Referenzen

Vertrauen durch Erfahrung – unsere Referenzen im Überblick

Lernen Sie unsere Kunden, Partner und ausgewählte Projekte kennen, die unsere Expertise unterstreichen.

Insentis Logo 466x128
Hays Logo 466x128
Revolvermänner Logo 466x128
Orange Cyberdefense Logo 466x128
Comava Logo 466x128
Advisory Logo 466x128
Business Ranger Logo 466x128
Daiseco Logo 466x128
Masterschool Logo 466x128
PECB Logo 466x128
Treccert Logo 466x128
Kertos Logo 466x128
6Pac Logo 466x128
Brain Appeal Logo 466x128
DotConcept Logo 466x128
Glow 25 Logo 466x128
Link Protect Logo 466x128
Rewion Logo 466x128
TÜV Rheinland Logo 466x128
Vic Consult Logo 466x128
Wiz Logo 466x128
Adicon Logo 466x128
Go Next Consulting Logo 466x128

Was unsere Kunden über uns sagen

Unsere Kunden schätzen nicht nur unsere technische Expertise, sondern auch unsere partnerschaftliche Zusammenarbeit und den hohen Qualitätsanspruch, den wir an unsere Arbeit stellen. Von der Entwicklung individueller Sicherheitsstrategien bis zur erfolgreichen Implementierung von ISMS- und Cybersecurity-Lösungen – wir begleiten Unternehmen zuverlässig und nachhaltig.

Vertrauen Sie den Stimmen unserer Kunden

Michael Schrenk
Division Manager Sales

“Mit Valeri Milke zusammenarbeiten ist top. Nicht nur seine freundliche, ruhige und besonnene Art ist es, was ihn auszeichnet. Auch seine enorme Kompetenz auf fachlicher und technischer Ebene machen ihn zu einem tollen Geschäftspartner. Ich freue mich auf viele weitere Möglichkeiten, mit dir zusammen zu arbeiten, Valeri. Danke!”

Gunnar Woelke
CISO

“Ich arbeite seit mehreren Jahren mit Herrn Milke zusammen. In dieser Zeit habe ich ihn als einen äußerst kompetenten Berater und technisch versierten Sicherheitsberater kennengelernt. Er hat sowohl strategische Konzepte entwickelt als auch technische Prüfungen durchgeführt und als Trainer Workshops für uns veranstaltet. Seine ruhige und souveräne Art sowie seine stets professionelle Arbeitsweise machen ihn für mich zu einem wahren trusted advisor. “

Olga Weidenkeller (Eichmann)
DSK

“Die Zusammenarbeit mit Valeri war vom Anfang an sehr produktiv. Dank sehr guter Fachkenntnisse von Valeri konnten wir schnell zu effektiven Lösungen kommen. Es hat Spaß gemacht, an gemeinsamen Projekten zu arbeiten. Danke nochmal!”

Mehmet Altunay
CEO

“Ich habe Valeri über LinkedIn kennengelernt und dann ging’s auch schon schnell. VamiSec hat gemeinsam mit uns für einen KRITIS-Kunden eine Gap-Analyse zur NIS2-Richtlinie durchgeführt. Damit konnten wir für den Kunden sicherstellen, dass die notwendige Readiness hergestellt werden kann. Die Kompetenz des gesamten Teams & das tiefgründige Wissen (auch in den kniffligsten Fällen) ist mir besonders aufgefallen. Wir empfehlen VamiSec zu 100% uneingeschränkt weiter und freuen uns auf eine langjährige Partnerschaft! Danke Valeri.”

Markus Adams
Leiter IT & Medizintechnik

“In den Bereichen IT-Security und Penetration-Test ist Herr Valeri Milke mit seinem weitreichenden Kenntnissen sehr zu empfehlen!
Er hat mich bei mehreren Projekten zur vollsten Zufriedenheit unterstützt. Besten Dank nochmals an dieser Stelle.”

Josip Matošin 
Senior Expert Cyber Security

“Working with Valeri Milke has always been straightforward, professional, and highly productive. He combines deep expertise in IT security and compliance with a calm, analytical approach that makes even complex challenges manageable. Whether it’s ISO 27001, DORA, NIS2, or secure architecture design and more – Valeri tackles each task with precision, structure, and a strong focus on business relevance. He communicates clearly, works reliably under pressure, and consistently delivers high-quality results. What sets him apart is not just his technical knowledge, but his ability to think strategically and implement solutions that are both practical and sustainable. A great partner to have on any project.”

David Smith
Head of Software Development

“Having worked with Valeri on countless projects over the past few years, I can say with total confidence that his persistent professionalism, excellent communication skills and ability to understand complex projects makes working with Valeri a pleasure.”

Stefan Krecher
Senior Cloud Crafstman

“Herr Milke unterstützte uns mit seinem Team bei der Erstellung einer Sicherheitsarchitektur im Rahmen einer heterogenen Applikationslandschaft im JavaEE-Umfeld mit vielen SOAP-Schnittstellen. Er hat sowohl Risiko- und Bedrohungsanalysen mittels Threat Modeling durchgeführt als auch unsere Mitarbeiter zu diesen Themen gecoacht. Für die professionelle Arbeit bedanken wir uns ganz herzlich.”

Michael Schrenk
Division Manager Sales

“Mit Valeri Milke zusammenarbeiten ist top. Nicht nur seine freundliche, ruhige und besonnene Art ist es, was ihn auszeichnet. Auch seine enorme Kompetenz auf fachlicher und technischer Ebene machen ihn zu einem tollen Geschäftspartner. Ich freue mich auf viele weitere Möglichkeiten, mit dir zusammen zu arbeiten, Valeri. Danke!”

Gunnar Woelke
CISO

“Ich arbeite seit mehreren Jahren mit Herrn Milke zusammen. In dieser Zeit habe ich ihn als einen äußerst kompetenten Berater und technisch versierten Sicherheitsberater kennengelernt. Er hat sowohl strategische Konzepte entwickelt als auch technische Prüfungen durchgeführt und als Trainer Workshops für uns veranstaltet. Seine ruhige und souveräne Art sowie seine stets professionelle Arbeitsweise machen ihn für mich zu einem wahren trusted advisor. “

Olga Weidenkeller (Eichmann)
DSK

“Die Zusammenarbeit mit Valeri war vom Anfang an sehr produktiv. Dank sehr guter Fachkenntnisse von Valeri konnten wir schnell zu effektiven Lösungen kommen. Es hat Spaß gemacht, an gemeinsamen Projekten zu arbeiten. Danke nochmal!”

Mehmet Altunay
CEO

“Ich habe Valeri über LinkedIn kennengelernt und dann ging’s auch schon schnell. VamiSec hat gemeinsam mit uns für einen KRITIS-Kunden eine Gap-Analyse zur NIS2-Richtlinie durchgeführt. Damit konnten wir für den Kunden sicherstellen, dass die notwendige Readiness hergestellt werden kann. Die Kompetenz des gesamten Teams & das tiefgründige Wissen (auch in den kniffligsten Fällen) ist mir besonders aufgefallen. Wir empfehlen VamiSec zu 100% uneingeschränkt weiter und freuen uns auf eine langjährige Partnerschaft! Danke Valeri.”

Markus Adams
Leiter IT & Medizintechnik

“In den Bereichen IT-Security und Penetration-Test ist Herr Valeri Milke mit seinem weitreichenden Kenntnissen sehr zu empfehlen!
Er hat mich bei mehreren Projekten zur vollsten Zufriedenheit unterstützt. Besten Dank nochmals an dieser Stelle.”

Josip Matošin 
Senior Expert Cyber Security

“Working with Valeri Milke has always been straightforward, professional, and highly productive. He combines deep expertise in IT security and compliance with a calm, analytical approach that makes even complex challenges manageable. Whether it’s ISO 27001, DORA, NIS2, or secure architecture design and more – Valeri tackles each task with precision, structure, and a strong focus on business relevance. He communicates clearly, works reliably under pressure, and consistently delivers high-quality results. What sets him apart is not just his technical knowledge, but his ability to think strategically and implement solutions that are both practical and sustainable. A great partner to have on any project.”

David Smith
Head of Software Development

“Having worked with Valeri on countless projects over the past few years, I can say with total confidence that his persistent professionalism, excellent communication skills and ability to understand complex projects makes working with Valeri a pleasure.”

Stefan Krecher
Senior Cloud Crafstman

“Herr Milke unterstützte uns mit seinem Team bei der Erstellung einer Sicherheitsarchitektur im Rahmen einer heterogenen Applikationslandschaft im JavaEE-Umfeld mit vielen SOAP-Schnittstellen. Er hat sowohl Risiko- und Bedrohungsanalysen mittels Threat Modeling durchgeführt als auch unsere Mitarbeiter zu diesen Themen gecoacht. Für die professionelle Arbeit bedanken wir uns ganz herzlich.”

Michael Schrenk
Division Manager Sales

“Mit Valeri Milke zusammenarbeiten ist top. Nicht nur seine freundliche, ruhige und besonnene Art ist es, was ihn auszeichnet. Auch seine enorme Kompetenz auf fachlicher und technischer Ebene machen ihn zu einem tollen Geschäftspartner. Ich freue mich auf viele weitere Möglichkeiten, mit dir zusammen zu arbeiten, Valeri. Danke!”

Gunnar Woelke
CISO

“Ich arbeite seit mehreren Jahren mit Herrn Milke zusammen. In dieser Zeit habe ich ihn als einen äußerst kompetenten Berater und technisch versierten Sicherheitsberater kennengelernt. Er hat sowohl strategische Konzepte entwickelt als auch technische Prüfungen durchgeführt und als Trainer Workshops für uns veranstaltet. Seine ruhige und souveräne Art sowie seine stets professionelle Arbeitsweise machen ihn für mich zu einem wahren trusted advisor. “

Olga Weidenkeller (Eichmann)
DSK

“Die Zusammenarbeit mit Valeri war vom Anfang an sehr produktiv. Dank sehr guter Fachkenntnisse von Valeri konnten wir schnell zu effektiven Lösungen kommen. Es hat Spaß gemacht, an gemeinsamen Projekten zu arbeiten. Danke nochmal!”

Mehmet Altunay
CEO

“Ich habe Valeri über LinkedIn kennengelernt und dann ging’s auch schon schnell. VamiSec hat gemeinsam mit uns für einen KRITIS-Kunden eine Gap-Analyse zur NIS2-Richtlinie durchgeführt. Damit konnten wir für den Kunden sicherstellen, dass die notwendige Readiness hergestellt werden kann. Die Kompetenz des gesamten Teams & das tiefgründige Wissen (auch in den kniffligsten Fällen) ist mir besonders aufgefallen. Wir empfehlen VamiSec zu 100% uneingeschränkt weiter und freuen uns auf eine langjährige Partnerschaft! Danke Valeri.”

Markus Adams
Leiter IT & Medizintechnik

“In den Bereichen IT-Security und Penetration-Test ist Herr Valeri Milke mit seinem weitreichenden Kenntnissen sehr zu empfehlen!
Er hat mich bei mehreren Projekten zur vollsten Zufriedenheit unterstützt. Besten Dank nochmals an dieser Stelle.”

Josip Matošin 
Senior Expert Cyber Security

“Working with Valeri Milke has always been straightforward, professional, and highly productive. He combines deep expertise in IT security and compliance with a calm, analytical approach that makes even complex challenges manageable. Whether it’s ISO 27001, DORA, NIS2, or secure architecture design and more – Valeri tackles each task with precision, structure, and a strong focus on business relevance. He communicates clearly, works reliably under pressure, and consistently delivers high-quality results. What sets him apart is not just his technical knowledge, but his ability to think strategically and implement solutions that are both practical and sustainable. A great partner to have on any project.”

David Smith
Head of Software Development

“Having worked with Valeri on countless projects over the past few years, I can say with total confidence that his persistent professionalism, excellent communication skills and ability to understand complex projects makes working with Valeri a pleasure.”

Stefan Krecher
Senior Cloud Crafstman

“Herr Milke unterstützte uns mit seinem Team bei der Erstellung einer Sicherheitsarchitektur im Rahmen einer heterogenen Applikationslandschaft im JavaEE-Umfeld mit vielen SOAP-Schnittstellen. Er hat sowohl Risiko- und Bedrohungsanalysen mittels Threat Modeling durchgeführt als auch unsere Mitarbeiter zu diesen Themen gecoacht. Für die professionelle Arbeit bedanken wir uns ganz herzlich.”

Unsere Partner

Die VamiSec GmbH setzt auf ein starkes Netzwerk aus führenden Technologie- und Beratungspartnern, um ganzheitliche Lösungen im Bereich Informations- und Cybersicherheit anzubieten. Unsere Partner sind Experten in ihren jeweiligen Disziplinen und ergänzen unsere Leistungen mit innovativen Produkten, spezialisierten Services und bewährtem Know-how.

Lernen Sie unsere Partner kennen, mit denen wir die digitale Resilienz unserer Kunden auf das nächste Level heben.

Unsere Kunden - Vertrauen in Sicherheit

Als zuverlässiger Partner für Informations- und Cybersicherheit unterstützt VamiSec Unternehmen und Organisationen aus unterschiedlichsten Branchen. Unser Kundenstamm reicht von internationalen Konzernen bis zu mittelständischen Unternehmen – alle mit dem gemeinsamen Ziel, ihre digitalen Assets zu schützen und Compliance-Anforderungen nachhaltig zu erfüllen.

Lernen Sie unsere Kunden kennen, für die wir digitale Resilienz neu definieren.

Projekte, die digitale Exzellenz schaffen

In unseren Projekten verbinden wir technologische Innovation mit tiefem Branchenwissen, um nachhaltige Lösungen für komplexe Herausforderungen zu realisieren. Ob internationale SAP-Rollouts, die Einführung moderner Cybersecurity-Strategien oder die Optimierung von Geschäftsprozessen – wir begleiten unsere Kunden von der ersten Idee bis zur erfolgreichen Umsetzung.

Wählen Sie eine Kategorie aus und klicken Sie anschließend auf das Pfeilsymbol, um detaillierte Informationen zu den einzelnen Projekten zu erhalten.

IT Security

Application Security im Rahmen SSDLC für Mobile-Apps

Branche: Transport & Logistik

  • Unterstützung bei der Absicherung mobiler Anwendungen (iOS & Android) sowie der zugehörigen Backend-Infrastruktur im Rahmen des Secure Software Development Lifecycle (SSDLC).
  • Durchführung von Threat Modeling zur Identifikation potenzieller Angriffsflächen in Mobile-Apps und Backend-APIs.
  • Source Code Reviews mit Fokus auf Authentifizierung, Autorisierung, Datenvalidierung und sichere Kommunikation.
  • Koordination und Durchführung von Penetrationstests inkl. Schwachstellenanalyse, Reporting und Nachverfolgung.
  • Beratung der Entwicklungsteams zu sicheren Architekturmustern, API-Security und Privacy by Design sowie Begleitung der agilen Umsetzung sicherheitsrelevanter Anforderungen über mehrere Sprints hinweg.

Branche: IT-Dienstleistungen / Finanz-IT

  • Umsetzung der BAIT- und EBA-Anforderungen für Schwachstellen- und Patchmanagement mit Fokus auf Nachweisführung und Prüfungsfestigkeit.
  • Gap-Analyse, Reifegradbewertung und Entwicklung eines End-to-End-Prozesses inkl. SLAs, Eskalationen und Risikobewertung.
  • Erstellung revisionssicherer Richtlinien und Aufbau eines RASCI-Modells.
    Integration in ITSM- und SIEM-Umgebungen (Tenable, Jira, Splunk) sowie Definition von Use Cases und KPIs.
  • Schulungen und Etablierung eines kontinuierlichen Verbesserungsprozesses (KVP).

Branche: Klima- und Gebäudetechnik

  • Leitung eines Workshops zur Implementierung des ISO 21434 Standards mit Fokus auf Threat Analysis and Risk Assessment (TARA).
  • Durchführung von Threat Modeling nach STRIDE und Entwicklung von Attack Trees.
  • Unterstützung beim Aufbau eines Secure Software Development Lifecycle (DevSecOps, V-Modell).
  • Ergebnisorientierte Beratung zur Umsetzung von ISO 21434-Maßnahmen und Compliance-Vorgaben.

Branche: Finanzdienstleistungen / Banking

  • Aufbau eines BAIT- und MaRisk-konformen Schwachstellenmanagements für die Anwendungsentwicklung.
  • Einführung strukturierter Prozesse (Ticketing-Workflow, CVSS-Bewertung, Nachverfolgung via Jira/Confluence).
  • Durchführung risikoorientierter Security Source Code Reviews für kritische Banking-Anwendungen (Zahlungsverkehr, Authentifizierung, Vertragsabschluss).
  • Schulung der Entwicklerteams zu sicheren Coding Practices (OWASP ASVS, Top 10, BAIT, ISO 27034).
  • Vollständige Integration des Schwachstellenmanagementprozesses ins Application Lifecycle Management mit revisionssicherer Dokumentation.
IT-SICHERHEITSBERATUNG DES CISO-TEAMS

Branche: Prüf- und Zertifizierungswesen

  • Unterstützung des TISAX-Zertifizierungsprozesses und Umsetzung von Maßnahmen wie Supplier-Management mit SAP Ariba.
  • Einführung eines Bug Bounty Programms (Intigriti) und Begleitung von M&A Cybersecurity Due Diligences.
  • Durchführung von Security-Audits und Risikoanalysen bei SAP-Cloud-Migration, KI-Entwicklung (Azure OpenAI) und App-Projekten.
  • Cloud-Sicherheitsmaßnahmen: Implementierung von CSPM/CNAPP- und Container-Sicherheitslösungen (Wiz).
  • Aufbau eines Lieferantenmanagements mit Sicherheitsanforderungen für SaaS, Hosting, Software und Hardware.
  • Unterstützung bei Pentest-Planungen inkl. Red Teaming und TIBER-Tests.
  • Erstellung ISMS-relevanter Richtlinien für Schwachstellenmanagement, Patch-Management und Cloud-Security gemäß ISO 27001:2022.
IMPLEMENTIERUNG VON DATA LOSS PREVENTION

Branche: Unternehmensberatung

  • Einführung von Microsoft Purview DLP unter Berücksichtigung von BAIT- und DORA-Anforderungen.
  • Entwicklung und Umsetzung von DLP-Richtlinien für den Schutz sensibler Finanz- und Kundendaten.
  • Integration von Microsoft 365- und Azure-Umgebungen sowie Implementierung von Endpunkt-DLP.
  • Durchführung einer DLP-Awareness-Kampagne zur Sensibilisierung der Mitarbeiter.
  • Technische Abstimmung mit dem SOC zur SIEM-Integration von DLP-Alerts.
  • Unterstützung bei Nachweisdokumentation für interne Revision und externe Aufsichten.
  • Beratung bei Eskalationsketten und Incident-Handling-Prozessen im DLP-Kontext.

Branche: Großhandel / Industrie

  • Technische und fachliche Verantwortung für die Einführung der Forcepoint-DLP-Lösung (Endpoint, Network, Discovery).
  • Aufbau von Content-Klassifizierungs- und Tagging-Regeln sowie Schutzszenarien für regulierte Daten.
  • Entwicklung anwendungsbezogener DLP-Policies für zentrale Geschäftsbereiche.
  • Abstimmung mit Datenschutz, IT-Betrieb und Compliance im Rahmen des Rollouts.
  • Integration in zentrale Sicherheitsprozesse inkl. SIEM-Anbindung und Incident Handling.
  • Schulung interner Administratoren und Vorbereitung des produktiven Betriebs.
  • Durchführung eines Proof-of-Concepts zur Vorabvalidierung technischer und organisatorischer Anforderungen.
  • Beratung bei der Etablierung eines Eskalationsmodells für DLP-Vorfälle sowie Erstellung von Dokumentationen und Betriebsanweisungen.

Branche: Maschinenbau

  • Konzernweites Assessment zur Bewertung des Informationssicherheitsniveaus nach ISO 27001 und CIS Controls.
  • Analyse cloudbasierter Kollaborationslösungen (Microsoft 365) mit Fokus auf Data Loss Prevention.
  • Entwicklung eines DLP-Fokusmoduls und Beratung zur Einführung einer Data Classification Policy mit Microsoft Information Protection (MIP).
  • Erstellung einer Roadmap für DLP-Maßnahmen, technische Integration und Awareness-Strategien.
  • Präsentation der Ergebnisse an CISO und IT-Leitung sowie Begleitung der Umsetzungsplanung für M365-spezifische Security-Maßnahmen.
FORENSISCHE ANALYSE VON M365-UMGEBUNG UND E-MAIL-ZUGRIFFSPROTOKOLLEN

Branche: Wirtschaftskammer / Verwaltung

  • Forensische Analyse der Microsoft 365-Umgebung und E-Mail-Zugriffsprotokolle zur Erkennung unbefugter Zugriffe und Manipulationen.
  • Untersuchung von Exchange-Postfächern und Azure Entra ID-Protokollen mit Fokus auf privilegierte Konten und verdächtige API-Nutzung.
  • Detaillierte Prüfung der Microsoft Purview-Audit-Logs und Identifizierung sicherheitskritischer Schwachstellen wie fehlendes Privileged Identity Management (PIM).
  • Entwicklung von Empfehlungen zur Verbesserung der Sicherheitslage (u. a. DLP-Richtlinien, Protokollaufbewahrung, Einführung von PIM).
  • Zusammenarbeit mit IT-Sicherheitsteams zur Umsetzung präventiver Maßnahmen.
FORENSISCHE ANALYSE VON M365-UMGEBUNG UND E-MAIL-ZUGRIFFSPROTOKOLLEN

Branche: Wirtschaftskammer / Verwaltung

  • Forensische Analyse der Microsoft 365-Umgebung und E-Mail-Zugriffsprotokolle zur Erkennung unbefugter Zugriffe und Manipulationen.
  • Untersuchung von Exchange-Postfächern und Azure Entra ID-Protokollen mit Fokus auf privilegierte Konten und verdächtige API-Nutzung.
  • Detaillierte Prüfung der Microsoft Purview-Audit-Logs und Identifizierung sicherheitskritischer Schwachstellen wie fehlendes Privileged Identity Management (PIM).
  • Entwicklung von Empfehlungen zur Verbesserung der Sicherheitslage (u. a. DLP-Richtlinien, Protokollaufbewahrung, Einführung von PIM).
  • Zusammenarbeit mit IT-Sicherheitsteams zur Umsetzung präventiver Maßnahmen.
Application Security im Rahmen SSDLC für Mobile-Apps

Branche: Transport & Logistik

  • Unterstützung bei der Absicherung mobiler Anwendungen (iOS & Android) sowie der zugehörigen Backend-Infrastruktur im Rahmen des Secure Software Development Lifecycle (SSDLC).
  • Durchführung von Threat Modeling zur Identifikation potenzieller Angriffsflächen in Mobile-Apps und Backend-APIs.
  • Source Code Reviews mit Fokus auf Authentifizierung, Autorisierung, Datenvalidierung und sichere Kommunikation.
  • Koordination und Durchführung von Penetrationstests inkl. Schwachstellenanalyse, Reporting und Nachverfolgung.
  • Beratung der Entwicklungsteams zu sicheren Architekturmustern, API-Security und Privacy by Design sowie Begleitung der agilen Umsetzung sicherheitsrelevanter Anforderungen über mehrere Sprints hinweg.

Branche: Finanzdienstleistungen / Banking

  • Durchführung BAIT-konformer Sicherheitstests von Web- und Mobile-Banking-Anwendungen (Frontend, Backend, API).
  • Whitebox-Penetrationstests basierend auf OWASP WSTG/MSTG und BSI-Testverfahren (TR-02102).
    Identifikation von Schwachstellen (z. B. Authentifizierungsfehler, Session Handling, Business Logic, Injections) und Erstellung von Exploitation-Nachweisen.
  • Entwicklung eines BAIT-konformen Prüfberichts inkl. Management Summary, Detailbericht und Nachtest zur Wirksamkeitskontrolle.
CISO DER GRUPPE

Branche: Großhandel / Industrie

  • Verantwortung als Chief Information Security Officer für >40 Tochtergesellschaften.
  • Aufbau und Management eines 15-köpfigen internen Sicherheitsteams sowie Koordination externer Partner und MSPs.
  • ISMS-Programmmanagement nach ISO 27001, NIS2, DORA, TISAX und BSI IT-Grundschutz mit dem Tool Intervalid.
  • Zertifizierungsbegleitung für TISAX und ISO 27001 an mehreren EU-Standorten.
  • Ausschreibungsmanagement für DLP, SIEM+SOC, EDR, Vulnerability Management, Penetration Testing und Awareness-Plattformen (SoSafe, KnowBe4, Proofpoint).
  • Einführung einer Zero-Trust-Architektur und Betrieb von SIEM/SOAR, EDR, NDR.
  • Durchführung von Schwachstellen-Scanning, Patch-Management und regelmäßigen Pentests.
  • Cloud-Sicherheitsmanagement inklusive Posture Management, STRIDE Threat Modeling und Härtung der Azure-Infrastruktur.
  • Aufbau eines Third-Party Risk Managements mit Richtlinien, Prozessen und Vertragsanforderungen.
  • Betriebsanweisungen.
CISO DER GRUPPE

Branche: Großhandel / Industrie

  • Verantwortung als Chief Information Security Officer für >40 Tochtergesellschaften.
  • Aufbau und Management eines 15-köpfigen internen Sicherheitsteams sowie Koordination externer Partner und MSPs.
  • ISMS-Programmmanagement nach ISO 27001, NIS2, DORA, TISAX und BSI IT-Grundschutz mit dem Tool Intervalid.
  • Zertifizierungsbegleitung für TISAX und ISO 27001 an mehreren EU-Standorten.
  • Ausschreibungsmanagement für DLP, SIEM+SOC, EDR, Vulnerability Management, Penetration Testing und Awareness-Plattformen (SoSafe, KnowBe4, Proofpoint).
  • Einführung einer Zero-Trust-Architektur und Betrieb von SIEM/SOAR, EDR, NDR.
  • Durchführung von Schwachstellen-Scanning, Patch-Management und regelmäßigen Pentests.
  • Cloud-Sicherheitsmanagement inklusive Posture Management, STRIDE Threat Modeling und Härtung der Azure-Infrastruktur.
  • Aufbau eines Third-Party Risk Managements mit Richtlinien, Prozessen und Vertragsanforderungen.
  • Betriebsanweisungen.

Branche: Finanzdienstleistungen

  • Durchführung einer Gap-Analyse entlang der DORA-Verordnung (Art. 5–24) und Prüfung kundenspezifischer Vertragsanforderungen.
  • Entwicklung priorisierter Arbeitspakete und Roadmaps mit Meilensteinplanung und Ressourcenabschätzung.
  • Erstellung und Anpassung von Richtlinien, Prozessen und Rollenmodellen für Incident Response, Third Party Oversight und BCM.
  • Beratung zur Tool-Auswahl für GRC und BCM sowie Integration in bestehende ITSM-Systeme.
  • Reporting und Steuerung durch monatliche Fortschrittsberichte und Abstimmung mit Vorstand und Lenkungskreisen.

Branche: Prüf- und Zertifizierungswesen

  • Entwicklung eines Klassifizierungsmodells zur Risikobewertung von Lieferanten (Kritikalität, Datenverarbeitung, Compliance-Relevanz).
  • Durchführung strukturierter Assessments (DSGVO, Informationssicherheit, BCM) und Anpassung von Vertragsvorlagen nach regulatorischen Anforderungen (DORA, NIS2, MaRisk AT 9).
  • Einführung eines standardisierten Vertragsanhangs für sicherheitsrelevante Mindestanforderungen.
  • Integration des Prozesses in das zentrale Procurement-Verfahren (SAP Ariba) und Anbindung an das Lieferantenportal.
  • Etablierung eines durchgängigen Prozesses zur Bewertung, Steuerung und Nachverfolgung von Drittparteien-Risiken.

Branche: Prüf- und Zertifizierungswesen

  • Unterstützung des TISAX-Zertifizierungsprozesses und Umsetzung von Maßnahmen wie Supplier-Management mit SAP Ariba.
  • Einführung eines Bug Bounty Programms (Intigriti) und Begleitung von M&A Cybersecurity Due Diligences.
  • Durchführung von Security-Audits und Risikoanalysen bei SAP-Cloud-Migration, KI-Entwicklung (Azure OpenAI) und App-Projekten.
  • Cloud-Sicherheitsmaßnahmen: Implementierung von CSPM/CNAPP- und Container-Sicherheitslösungen (Wiz).
  • Aufbau eines Lieferantenmanagements mit Sicherheitsanforderungen für SaaS, Hosting, Software und Hardware.
  • Unterstützung bei Pentest-Planungen inkl. Red Teaming und TIBER-Tests.
  • Erstellung ISMS-relevanter Richtlinien für Schwachstellenmanagement, Patch-Management und Cloud-Security gemäß ISO 27001:2022.
IMPLEMENTIERUNG DES ISO 21434 STANDARDS

Branche: Klima- und Gebäudetechnik

  • Leitung eines Workshops zur Implementierung des ISO 21434 Standards mit Fokus auf Threat Analysis and Risk Assessment (TARA).
  • Durchführung von Threat Modeling nach STRIDE und Entwicklung von Attack Trees.
  • Unterstützung beim Aufbau eines Secure Software Development Lifecycle (DevSecOps, V-Modell).
  • Ergebnisorientierte Beratung zur Umsetzung von ISO 21434-Maßnahmen und Compliance-Vorgaben.
IT-SICHERHEITSBERATUNG DES CISO-TEAMS

Branche: Prüf- und Zertifizierungswesen

  • Unterstützung des TISAX-Zertifizierungsprozesses und Umsetzung von Maßnahmen wie Supplier-Management mit SAP Ariba.
  • Einführung eines Bug Bounty Programms (Intigriti) und Begleitung von M&A Cybersecurity Due Diligences.
  • Durchführung von Security-Audits und Risikoanalysen bei SAP-Cloud-Migration, KI-Entwicklung (Azure OpenAI) und App-Projekten.
  • Cloud-Sicherheitsmaßnahmen: Implementierung von CSPM/CNAPP- und Container-Sicherheitslösungen (Wiz).
  • Aufbau eines Lieferantenmanagements mit Sicherheitsanforderungen für SaaS, Hosting, Software und Hardware.
  • Unterstützung bei Pentest-Planungen inkl. Red Teaming und TIBER-Tests.
  • Erstellung ISMS-relevanter Richtlinien für Schwachstellenmanagement, Patch-Management und Cloud-Security gemäß ISO 27001:2022.

Branche: Finanzdienstleistungen / Banking

  • Aufbau eines BAIT- und MaRisk-konformen Schwachstellenmanagements für die Anwendungsentwicklung.
  • Einführung strukturierter Prozesse (Ticketing-Workflow, CVSS-Bewertung, Nachverfolgung via Jira/Confluence).
  • Durchführung risikoorientierter Security Source Code Reviews für kritische Banking-Anwendungen (Zahlungsverkehr, Authentifizierung, Vertragsabschluss).
  • Schulung der Entwicklerteams zu sicheren Coding Practices (OWASP ASVS, Top 10, BAIT, ISO 27034).
  • Vollständige Integration des Schwachstellenmanagementprozesses ins Application Lifecycle Management mit revisionssicherer Dokumentation.
CISO DER GRUPPE

Branche: Großhandel / Industrie

  • Verantwortung als Chief Information Security Officer für >40 Tochtergesellschaften.
  • Aufbau und Management eines 15-köpfigen internen Sicherheitsteams sowie Koordination externer Partner und MSPs.
  • ISMS-Programmmanagement nach ISO 27001, NIS2, DORA, TISAX und BSI IT-Grundschutz mit dem Tool Intervalid.
  • Zertifizierungsbegleitung für TISAX und ISO 27001 an mehreren EU-Standorten.
  • Ausschreibungsmanagement für DLP, SIEM+SOC, EDR, Vulnerability Management, Penetration Testing und Awareness-Plattformen (SoSafe, KnowBe4, Proofpoint).
  • Einführung einer Zero-Trust-Architektur und Betrieb von SIEM/SOAR, EDR, NDR.
  • Durchführung von Schwachstellen-Scanning, Patch-Management und regelmäßigen Pentests.
  • Cloud-Sicherheitsmanagement inklusive Posture Management, STRIDE Threat Modeling und Härtung der Azure-Infrastruktur.
  • Aufbau eines Third-Party Risk Managements mit Richtlinien, Prozessen und Vertragsanforderungen.
  • Betriebsanweisungen.

Information Security

ISMS-IMPLEMENTIERUNG NACH BSI IT-GRUNDSCHUTZ MIT ONETRUST

Branche: Luft- und Raumfahrt / Verteidigung

  • Unterstützung bei der Implementierung eines ISMS nach BSI IT-Grundschutz mit OneTrust.
  • Entwicklung eines maßgeschneiderten Frameworks für Risikobewertung und Control-Assessment (1.800+ Anforderungen) mit Automatisierung über OneTrust-API.
  • Durchführung von Workshops und Schulungen zu Best Practices im Umgang mit der Plattform.
  • Begleitung bei der Vorbereitung auf externe Audits durch Maßnahmenpläne und Dokumentationsoptimierung.
DORA READINESS – GAP-ANALYSE UND IMPLEMENTIERUNG FÜR BANKEN

Branche: Finanzdienstleistungen

  • Durchführung strukturierter DORA-Gap-Analysen (u. a. IKT-Risikomanagement, Vorfallmanagement, Drittparteiensteuerung) zur Reifegradbewertung.
  • Interviews mit Fachbereichen und Prüfung von Prozessen in IKT-Sicherheit, BCM, Risikoanalyse und Reporting.
  • Entwicklung und Priorisierung von Maßnahmenplänen inkl. Ressourcenplanung und Roadmap.
  • Anpassung bestehender Richtlinien entlang DORA-Minimumanforderungen, Harmonisierung mit ISO 27001, BAIT und Governance-Strukturen.
  • Erstellung neuer Regelwerke zu IKT-Risikomanagement, Schwachstellenmanagement, Incident Response und Business Continuity.
  • Enge Abstimmung mit IT, Informationssicherheit, Compliance, Datenschutz und Legal.

Branche: Unternehmensberatung

  • Einführung von Microsoft Purview DLP unter Berücksichtigung von BAIT- und DORA-Anforderungen.
  • Entwicklung und Umsetzung von DLP-Richtlinien für den Schutz sensibler Finanz- und Kundendaten.
  • Integration von Microsoft 365- und Azure-Umgebungen sowie Implementierung von Endpunkt-DLP.
  • Durchführung einer DLP-Awareness-Kampagne zur Sensibilisierung der Mitarbeiter.
  • Technische Abstimmung mit dem SOC zur SIEM-Integration von DLP-Alerts.
  • Unterstützung bei Nachweisdokumentation für interne Revision und externe Aufsichten.
  • Beratung bei Eskalationsketten und Incident-Handling-Prozessen im DLP-Kontext.

Branche: Großhandel / Industrie

  • Verantwortung als Chief Information Security Officer für >40 Tochtergesellschaften.
  • Aufbau und Management eines 15-köpfigen internen Sicherheitsteams sowie Koordination externer Partner und MSPs.
  • ISMS-Programmmanagement nach ISO 27001, NIS2, DORA, TISAX und BSI IT-Grundschutz mit dem Tool Intervalid.
  • Zertifizierungsbegleitung für TISAX und ISO 27001 an mehreren EU-Standorten.
  • Ausschreibungsmanagement für DLP, SIEM+SOC, EDR, Vulnerability Management, Penetration Testing und Awareness-Plattformen (SoSafe, KnowBe4, Proofpoint).
  • Einführung einer Zero-Trust-Architektur und Betrieb von SIEM/SOAR, EDR, NDR.
  • Durchführung von Schwachstellen-Scanning, Patch-Management und regelmäßigen Pentests.
  • Cloud-Sicherheitsmanagement inklusive Posture Management, STRIDE Threat Modeling und Härtung der Azure-Infrastruktur.
  • Aufbau eines Third-Party Risk Managements mit Richtlinien, Prozessen und Vertragsanforderungen.
  • Betriebsanweisungen.

Branche: Logistik / Finanzdienstleistungen

  • Entwicklung und Durchführung eines Executive-Workshops für das obere Management.
  • Einführung in DORA-Anforderungen, BaFin-Erwartungen und die Relevanz für ausgelagerte IKT-Prozesse.
  • Vermittlung von Managementverantwortung, Governance-Anforderungen und Incident Management.
  • Diskussion strategischer Prioritäten und Integration von Praxisbeispielen und Lessons Learned.
  • Sensibilisierung der Führungsebene für regulatorische Anforderungen und deren Umsetzung.

Branche: Finanzdienstleistungen

  • Durchführung einer Gap-Analyse entlang der DORA-Verordnung (Art. 5–24) und Prüfung kundenspezifischer Vertragsanforderungen.
  • Entwicklung priorisierter Arbeitspakete und Roadmaps mit Meilensteinplanung und Ressourcenabschätzung.
  • Erstellung und Anpassung von Richtlinien, Prozessen und Rollenmodellen für Incident Response, Third Party Oversight und BCM.
  • Beratung zur Tool-Auswahl für GRC und BCM sowie Integration in bestehende ITSM-Systeme.
  • Reporting und Steuerung durch monatliche Fortschrittsberichte und Abstimmung mit Vorstand und Lenkungskreisen.

Branche: Logistik / Finanzdienstleistungen

  • Durchführung von NIS2- und DORA-Gap-Analysen im Bereich kritischer Dienstleistungen.
  • Entwicklung detaillierter Maßnahmenpläne unter Berücksichtigung von Ressourcen und operativen Anforderungen.
  • Unterstützung bei der Implementierung neuer Sicherheitsmaßnahmen, Technologien und organisatorischer Prozesse.
  • Erstellung und Optimierung von Richtlinien, Verfahren und Dokumentationen zur regulatorischen Compliance.
  • Enge Zusammenarbeit mit internen Fachbereichen, Management und Rechtsteams zur nachhaltigen Umsetzung.

Branche: Banken / Förderinstitute

  • Durchführung einer Gap-Analyse gemäß DORA-VO (EU 2022/2554) unter Berücksichtigung der Besonderheiten mittelständischer Banken.
  • Entwicklung eines Maßnahmenkatalogs und Priorisierung in eine mehrstufige Umsetzungs-Roadmap.
  • Unterstützung beim Aufbau von Prozessen für Risikoanalyse, Incident Response, Business Continuity und Drittanbietersteuerung.
  • Entwicklung konsistenter Richtlinienwerke und Verfahren zur Sicherstellung der Auditfähigkeit nach § 25b KWG, MaRisk und EBA-Leitlinien.
  • Beratung zur Harmonisierung mit bestehenden Zertifizierungen (IDW PS 951, ISO 27001) und Vorbereitung auf Prüfungen.

Branche: Finanzdienstleistungen

  • Vorbereitung und Durchführung eines Threat-Led Penetration Tests (TLPT) gemäß DORA-Verordnung zur Überprüfung der Cyber-Resilienz.
  • Festlegung kritischer Funktionen, Testziele und Angriffsszenarien in Abstimmung mit Management, IT und externem Threat Intelligence Provider.
  • Durchführung eines mehrwöchigen Red Teaming unter kontrollierten Bedingungen mit Fokus auf APT, Credential Abuse und Lateral Movement.
  • Erstellung von Test-Charter, Risikobewertung und finalem TLPT-Bericht inkl. Lessons Learned und Sofortmaßnahmen.
  • Koordination mit interner Revision und Management für DORA-konforme Berichterstattung.

Branche: Logistik / Finanzdienstleistungen

  • Durchführung einer Gap-Analyse zur Prüfung der DORA-Compliance für kritische Zahlungsdienstleistungen.
  • Bewertung der regulatorischen Erfüllung in den Bereichen IKT-Risikomanagement, Incident Handling, Betriebsstabilität, Drittanbietersteuerung und Resilienztesting.
  • Entwicklung eines priorisierten Maßnahmenplans inkl. Klassifizierung nach Kritikalität, Aufwandsindikation und Ressourcenzuweisung.
  • Präsentation der GAP-Ergebnisse und Erstellung eines strukturierten Maßnahmenkatalogs zur schrittweisen Erfüllung der DORA-Anforderungen.

Branche: Prüf- und Zertifizierungswesen

  • Entwicklung eines Klassifizierungsmodells zur Risikobewertung von Lieferanten (Kritikalität, Datenverarbeitung, Compliance-Relevanz).
  • Durchführung strukturierter Assessments (DSGVO, Informationssicherheit, BCM) und Anpassung von Vertragsvorlagen nach regulatorischen Anforderungen (DORA, NIS2, MaRisk AT 9).
  • Einführung eines standardisierten Vertragsanhangs für sicherheitsrelevante Mindestanforderungen.
  • Integration des Prozesses in das zentrale Procurement-Verfahren (SAP Ariba) und Anbindung an das Lieferantenportal.
  • Etablierung eines durchgängigen Prozesses zur Bewertung, Steuerung und Nachverfolgung von Drittparteien-Risiken.
Netzwerkmodernisierung & Machbarkeitsstudie

Branche: Gesundheitswesen

  • Bewertung der bestehenden Netzwerkinfrastruktur und Konzeption eines sicheren, zukunftsfähigen Redesigns unter Berücksichtigung geplanter KHZG-Projekte.
  • Durchführung einer umfassenden Bestandsaufnahme inkl. Begehungen mit Brandschutzexperten und Elektroinstallateuren.
  • Performance-Messungen zur Identifikation von Schwachstellen und Flaschenhälsen.
  • Entwicklung eines modularen Netzwerkkonzepts unter Berücksichtigung der Anforderungen des B3S Gesundheit und des IT-Sicherheitsgesetzes.
  • Definition technischer Anforderungen für eine zentral verwaltbare Netzwerk- und NAC-Infrastruktur sowie Beratung zu Investitionsbedarf, Risikominimierung und Synergien mit KHZG-Vorhaben.

Branche: Gesundheitswesen

  • Beratung bei der Netzwerkkonzeption und Begleitung von IT-Security-Ausschreibungen für mehrere Klinikverbunde im Rahmen von KHZG-Umsetzungsmaßnahmen.
  • Durchführung von Vor-Ort-Begehungen und Bestandsaufnahme der Netzwerkinfrastruktur an verschiedenen Standorten.
  • Entwicklung eines technischen Zielbilds zur Netzwerkarchitektur mit Fokus auf IT-Sicherheit (B3S Gesundheit), Segmentierung und NAC.
  • Erstellung von Ausschreibungsunterlagen (Leistungsschnitt, Bewertungsmatrix, Bieterfragen, Sicherheitsanforderungen).
  • Unterstützung bei Bietergesprächen, Entscheidungsvorlagen und Dokumentation für den Vergabeausschuss.
IMPLEMENTIERUNG DES ISO 21434 STANDARDS

Branche: Klima- und Gebäudetechnik

  • Leitung eines Workshops zur Implementierung des ISO 21434 Standards mit Fokus auf Threat Analysis and Risk Assessment (TARA).
  • Durchführung von Threat Modeling nach STRIDE und Entwicklung von Attack Trees.
  • Unterstützung beim Aufbau eines Secure Software Development Lifecycle (DevSecOps, V-Modell).
  • Ergebnisorientierte Beratung zur Umsetzung von ISO 21434-Maßnahmen und Compliance-Vorgaben.
DORA READINESS – GAP-ANALYSE UND IMPLEMENTIERUNG FÜR BANKEN

Branche: Finanzdienstleistungen

  • Durchführung strukturierter DORA-Gap-Analysen (u. a. IKT-Risikomanagement, Vorfallmanagement, Drittparteiensteuerung) zur Reifegradbewertung.
  • Interviews mit Fachbereichen und Prüfung von Prozessen in IKT-Sicherheit, BCM, Risikoanalyse und Reporting.
  • Entwicklung und Priorisierung von Maßnahmenplänen inkl. Ressourcenplanung und Roadmap.
  • Anpassung bestehender Richtlinien entlang DORA-Minimumanforderungen, Harmonisierung mit ISO 27001, BAIT und Governance-Strukturen.
  • Erstellung neuer Regelwerke zu IKT-Risikomanagement, Schwachstellenmanagement, Incident Response und Business Continuity.
  • Enge Abstimmung mit IT, Informationssicherheit, Compliance, Datenschutz und Legal.

Branche: Energieversorgung

  • Einführung eines ISMS nach ISO 27001 zur Etablierung eines systematischen Risikomanagements und Datenschutzes.
  • Durchführung umfassender Gap-Analysen zur Ermittlung von Abweichungen hinsichtlich ISO 27001 und NIS2, mit Fokus auf kritische Infrastrukturen.
  • Erstellung detaillierter Aktionspläne zur Schließung von Lücken und Zuweisung von Ressourcen.
  • Entwicklung von Richtlinien für Vorfallmanagement, Risikobewertung, Datenschutz und Drittparteienmanagement.
  • Leitung von Umsetzungsprojekten mit abteilungsübergreifenden Teams zur fristgerechten Implementierung.
  • Sicherstellung der NIS2-Readiness inkl. Meldepflichten und Strategien zur Reaktion auf Vorfälle.

Branche: Großhandel / Industrie

  • Verantwortung als Chief Information Security Officer für >40 Tochtergesellschaften.
  • Aufbau und Management eines 15-köpfigen internen Sicherheitsteams sowie Koordination externer Partner und MSPs.
  • ISMS-Programmmanagement nach ISO 27001, NIS2, DORA, TISAX und BSI IT-Grundschutz mit dem Tool Intervalid.
  • Zertifizierungsbegleitung für TISAX und ISO 27001 an mehreren EU-Standorten.
  • Ausschreibungsmanagement für DLP, SIEM+SOC, EDR, Vulnerability Management, Penetration Testing und Awareness-Plattformen (SoSafe, KnowBe4, Proofpoint).
  • Einführung einer Zero-Trust-Architektur und Betrieb von SIEM/SOAR, EDR, NDR.
  • Durchführung von Schwachstellen-Scanning, Patch-Management und regelmäßigen Pentests.
  • Cloud-Sicherheitsmanagement inklusive Posture Management, STRIDE Threat Modeling und Härtung der Azure-Infrastruktur.
  • Aufbau eines Third-Party Risk Managements mit Richtlinien, Prozessen und Vertragsanforderungen.
  • Betriebsanweisungen.

Branche: Maschinenbau

  • Konzernweites Assessment zur Bewertung des Informationssicherheitsniveaus nach ISO 27001 und CIS Controls.
  • Analyse cloudbasierter Kollaborationslösungen (Microsoft 365) mit Fokus auf Data Loss Prevention.
  • Entwicklung eines DLP-Fokusmoduls und Beratung zur Einführung einer Data Classification Policy mit Microsoft Information Protection (MIP).
  • Erstellung einer Roadmap für DLP-Maßnahmen, technische Integration und Awareness-Strategien.
  • Präsentation der Ergebnisse an CISO und IT-Leitung sowie Begleitung der Umsetzungsplanung für M365-spezifische Security-Maßnahmen.

Branche: Luft- und Raumfahrt / Verteidigung

  • Unterstützung bei der Implementierung eines ISMS nach BSI IT-Grundschutz mit OneTrust.
  • Entwicklung eines maßgeschneiderten Frameworks für Risikobewertung und Control-Assessment (1.800+ Anforderungen) mit Automatisierung über OneTrust-API.
  • Durchführung von Workshops und Schulungen zu Best Practices im Umgang mit der Plattform.
  • Begleitung bei der Vorbereitung auf externe Audits durch Maßnahmenpläne und Dokumentationsoptimierung.

Branche: Logistik / Postdienstleistungen

  • Durchführung einer NIS2-Gap-Analyse zur Ermittlung regulatorischer Abweichungen in den Geschäftsbereichen Briefkonsolidierung und Poststellenbetrieb.
  • Entwicklung und Operationalisierung von Maßnahmenplänen zur Schließung identifizierter Sicherheitslücken und Optimierung des ISMS.
  • Fachliche Unterstützung bei der Implementierung und Qualitätssicherung neuer Sicherheitsprozesse und -technologien.
  • Erstellung und Überarbeitung von Richtlinien und Prozessanweisungen zur nachhaltigen Compliance mit NIS2 und ISO 27001.
  • Schnittstellenmanagement zwischen operativen Bereichen, IT, Compliance und Management für einen einheitlichen Sicherheitsstandard.

Branche: Immobilienmanagement

  • Konzeption und Implementierung eines ISMS nach ISO/IEC 27001 inklusive Definition aller relevanten Prozesse und Sicherheitsrichtlinien.
  • Durchführung einer Gap-Analyse und Entwicklung detaillierter Maßnahmenpläne zur Audit-Readiness.
  • Aktive Unterstützung bei der Implementierung von Sicherheitsmaßnahmen, Prozessen und Technologien.
  • Planung und Durchführung interner Audits sowie Management-Reviews zur Sicherstellung der kontinuierlichen Verbesserung.
  • Begleitung der Zertifizierung inklusive Schnittstellenkoordination mit Auditoren und Management.

Branche: Industrie / Technologie

  • Durchführung von NIS2-Gap-Analysen und internen ISO 27001 Audits für mehr als zehn internationale Tochtergesellschaften.
  • Entwicklung detaillierter Roadmaps zur Behebung von Sicherheitslücken unter Berücksichtigung globaler Konzernvorgaben.
  • Beratung und Unterstützung bei der Implementierung neuer Prozesse, Verfahren und Sicherheitsmaßnahmen.
  • Überprüfung und Optimierung bestehender Richtlinien hinsichtlich NIS2- und ISO 27001-Compliance.
  • Enge Zusammenarbeit mit globalen Teams aus IT, Compliance, Recht und Management zur harmonisierten Umsetzung.

Branche: Prüf- und Zertifizierungswesen

  • Unterstützung des TISAX-Zertifizierungsprozesses und Umsetzung von Maßnahmen wie Supplier-Management mit SAP Ariba.
  • Einführung eines Bug Bounty Programms (Intigriti) und Begleitung von M&A Cybersecurity Due Diligences.
  • Durchführung von Security-Audits und Risikoanalysen bei SAP-Cloud-Migration, KI-Entwicklung (Azure OpenAI) und App-Projekten.
  • Cloud-Sicherheitsmaßnahmen: Implementierung von CSPM/CNAPP- und Container-Sicherheitslösungen (Wiz).
  • Aufbau eines Lieferantenmanagements mit Sicherheitsanforderungen für SaaS, Hosting, Software und Hardware.
  • Unterstützung bei Pentest-Planungen inkl. Red Teaming und TIBER-Tests.
  • Erstellung ISMS-relevanter Richtlinien für Schwachstellenmanagement, Patch-Management und Cloud-Security gemäß ISO 27001:2022.
ISMS-EINFÜHRUNG UND NIS2-KONFORMITÄT

Branche: Energieversorgung

  • Einführung eines ISMS nach ISO 27001 zur Etablierung eines systematischen Risikomanagements und Datenschutzes.
  • Durchführung umfassender Gap-Analysen zur Ermittlung von Abweichungen hinsichtlich ISO 27001 und NIS2, mit Fokus auf kritische Infrastrukturen.
  • Erstellung detaillierter Aktionspläne zur Schließung von Lücken und Zuweisung von Ressourcen.
  • Entwicklung von Richtlinien für Vorfallmanagement, Risikobewertung, Datenschutz und Drittparteienmanagement.
  • Leitung von Umsetzungsprojekten mit abteilungsübergreifenden Teams zur fristgerechten Implementierung.
  • Sicherstellung der NIS2-Readiness inkl. Meldepflichten und Strategien zur Reaktion auf Vorfälle.

Branche: Großhandel / Industrie

  • Verantwortung als Chief Information Security Officer für >40 Tochtergesellschaften.
  • Aufbau und Management eines 15-köpfigen internen Sicherheitsteams sowie Koordination externer Partner und MSPs.
  • ISMS-Programmmanagement nach ISO 27001, NIS2, DORA, TISAX und BSI IT-Grundschutz mit dem Tool Intervalid.
  • Zertifizierungsbegleitung für TISAX und ISO 27001 an mehreren EU-Standorten.
  • Ausschreibungsmanagement für DLP, SIEM+SOC, EDR, Vulnerability Management, Penetration Testing und Awareness-Plattformen (SoSafe, KnowBe4, Proofpoint).
  • Einführung einer Zero-Trust-Architektur und Betrieb von SIEM/SOAR, EDR, NDR.
  • Durchführung von Schwachstellen-Scanning, Patch-Management und regelmäßigen Pentests.
  • Cloud-Sicherheitsmanagement inklusive Posture Management, STRIDE Threat Modeling und Härtung der Azure-Infrastruktur.
  • Aufbau eines Third-Party Risk Managements mit Richtlinien, Prozessen und Vertragsanforderungen.
  • Betriebsanweisungen.

Branche: Lebensmittelindustrie

  • Durchführung detaillierter Gap-Analysen zur Bewertung der Compliance mit NIS2 und TRBS 1115.
  • Prüfung bestehender Prozesse, Richtlinien und technischer Nachweise auf Konformität.
  • Entwicklung eines umfassenden Maßnahmenplans zur Beseitigung von Schwachstellen.
  • Unterstützung bei der Anpassung und Neuerstellung erforderlicher Dokumentationen und Prozesse.
  • Enge Zusammenarbeit mit internen Verantwortlichen zur nachhaltigen Umsetzung.

Branche: Logistik / Finanzdienstleistungen

  • Durchführung von NIS2- und DORA-Gap-Analysen im Bereich kritischer Dienstleistungen.
  • Entwicklung detaillierter Maßnahmenpläne unter Berücksichtigung von Ressourcen und operativen Anforderungen.
  • Unterstützung bei der Implementierung neuer Sicherheitsmaßnahmen, Technologien und organisatorischer Prozesse.
  • Erstellung und Optimierung von Richtlinien, Verfahren und Dokumentationen zur regulatorischen Compliance.
  • Enge Zusammenarbeit mit internen Fachbereichen, Management und Rechtsteams zur nachhaltigen Umsetzung.

Branche: Logistik / Postdienstleistungen

  • Durchführung einer NIS2-Gap-Analyse zur Ermittlung regulatorischer Abweichungen in den Geschäftsbereichen Briefkonsolidierung und Poststellenbetrieb.
  • Entwicklung und Operationalisierung von Maßnahmenplänen zur Schließung identifizierter Sicherheitslücken und Optimierung des ISMS.
  • Fachliche Unterstützung bei der Implementierung und Qualitätssicherung neuer Sicherheitsprozesse und -technologien.
  • Erstellung und Überarbeitung von Richtlinien und Prozessanweisungen zur nachhaltigen Compliance mit NIS2 und ISO 27001.
  • Schnittstellenmanagement zwischen operativen Bereichen, IT, Compliance und Management für einen einheitlichen Sicherheitsstandard.

Branche: Industrie / Technologie

  • Durchführung von NIS2-Gap-Analysen und internen ISO 27001 Audits für mehr als zehn internationale Tochtergesellschaften.
  • Entwicklung detaillierter Roadmaps zur Behebung von Sicherheitslücken unter Berücksichtigung globaler Konzernvorgaben.
  • Beratung und Unterstützung bei der Implementierung neuer Prozesse, Verfahren und Sicherheitsmaßnahmen.
  • Überprüfung und Optimierung bestehender Richtlinien hinsichtlich NIS2- und ISO 27001-Compliance.
  • Enge Zusammenarbeit mit globalen Teams aus IT, Compliance, Recht und Management zur harmonisierten Umsetzung.

Branche: Prüf- und Zertifizierungswesen

  • Entwicklung eines Klassifizierungsmodells zur Risikobewertung von Lieferanten (Kritikalität, Datenverarbeitung, Compliance-Relevanz).
  • Durchführung strukturierter Assessments (DSGVO, Informationssicherheit, BCM) und Anpassung von Vertragsvorlagen nach regulatorischen Anforderungen (DORA, NIS2, MaRisk AT 9).
  • Einführung eines standardisierten Vertragsanhangs für sicherheitsrelevante Mindestanforderungen.
  • Integration des Prozesses in das zentrale Procurement-Verfahren (SAP Ariba) und Anbindung an das Lieferantenportal.
  • Etablierung eines durchgängigen Prozesses zur Bewertung, Steuerung und Nachverfolgung von Drittparteien-Risiken.
CISO DER GRUPPE

Branche: Großhandel / Industrie

  • Verantwortung als Chief Information Security Officer für >40 Tochtergesellschaften.
  • Aufbau und Management eines 15-köpfigen internen Sicherheitsteams sowie Koordination externer Partner und MSPs.
  • ISMS-Programmmanagement nach ISO 27001, NIS2, DORA, TISAX und BSI IT-Grundschutz mit dem Tool Intervalid.
  • Zertifizierungsbegleitung für TISAX und ISO 27001 an mehreren EU-Standorten.
  • Ausschreibungsmanagement für DLP, SIEM+SOC, EDR, Vulnerability Management, Penetration Testing und Awareness-Plattformen (SoSafe, KnowBe4, Proofpoint).
  • Einführung einer Zero-Trust-Architektur und Betrieb von SIEM/SOAR, EDR, NDR.
  • Durchführung von Schwachstellen-Scanning, Patch-Management und regelmäßigen Pentests.
  • Cloud-Sicherheitsmanagement inklusive Posture Management, STRIDE Threat Modeling und Härtung der Azure-Infrastruktur.
  • Aufbau eines Third-Party Risk Managements mit Richtlinien, Prozessen und Vertragsanforderungen.
  • Betriebsanweisungen.

Branche: Prüf- und Zertifizierungswesen

  • Unterstützung des TISAX-Zertifizierungsprozesses und Umsetzung von Maßnahmen wie Supplier-Management mit SAP Ariba.
  • Einführung eines Bug Bounty Programms (Intigriti) und Begleitung von M&A Cybersecurity Due Diligences.
  • Durchführung von Security-Audits und Risikoanalysen bei SAP-Cloud-Migration, KI-Entwicklung (Azure OpenAI) und App-Projekten.
  • Cloud-Sicherheitsmaßnahmen: Implementierung von CSPM/CNAPP- und Container-Sicherheitslösungen (Wiz).
  • Aufbau eines Lieferantenmanagements mit Sicherheitsanforderungen für SaaS, Hosting, Software und Hardware.
  • Unterstützung bei Pentest-Planungen inkl. Red Teaming und TIBER-Tests.
  • Erstellung ISMS-relevanter Richtlinien für Schwachstellenmanagement, Patch-Management und Cloud-Security gemäß ISO 27001:2022.
Scroll to Top
WordPress Cookie Notice by Real Cookie Banner