Secure IT Consult - Business Partner Profil
Karlheinz Dauber (Stand: März. 2006)
Geburtsjahr:
1956
Fremdsprachen:
Englisch, Französisch
Fachliche Schwerpunkte:
Beratung in Bereich IT-Security unter den Standards ITIL, ISO 27001, IT-Grundschutz, ISO 17799, ISO 13335, BS 15000 / ISO 20000 Risiko- & Bedrohungsanalyse, Externer Datenschutzbeauftragter, MOF, ISMS
Verfügbarkeit:
ab sofort, fulltime, längerfristig
Qualifikation:
Lizenzierter ISO 27001 IT-Grundschutz-Auditor (BSI-Bonn) Zertifizierter ISO 27001 Lead Auditor (BSI – London) Zertifizierter IRCA ISMS Auditor nach ISO 27001 ITIL-Zertifizierung nach BS15000 / ISO 20000 Sachverständige für IT-Security / IT-Sicherheit (BVFS) ISO 9001:2000 zertifiziert durch das BVQI
Kenntnisse Betriebssysteme:
WINDOWS 2003 WINDOWS 2000 WINDOWS XP LINUX
Tools:
GS-Tool, Security Scanner, Audit Tools,
Methoden / Standards
ITIL BS15000 / 20000 ISMS nach ISO 27001 IT-Grundschutz klassisch IT-Grundschutz nach ISO 27001 ISO 17799 ISO 13335 MOF (Microsoft Operations Framework)
Hays AG • Willy-Brandt-Platz 1-3 • 68161 Mannheim • Tel. 0621/17 88 0 • Fax. 0621/17 88 299
Seite 1 von 11
Netzwerke/ Komm.:
ATM Ethernet FDDI Firewall Frame Relay INTERNET ISDN LAN NOVELL PGP SNA TCP/IP VPN WAN X.25 / X.31
Programmiersprachen:
Assembler HTML Pascal Visual Basic Scripte
Arbeitsgebiete/Fachgebiete:
IT-Security Schwachstellen-Analyse Systemberater Analyse Coaching Content Management Datenschutz Risiko- und Bedrohungsanalyse Konzeption Projektmanagement Schulung
Branchen:
Bank Behörde Dienstleistung Elektrotechnik Öffentliche Hand Post Rechenzentrum Telekommunikation Versicherung Medienindustrie
Hays AG • Willy-Brandt-Platz 1-3 • 68161 Mannheim • Tel. 0621/17 88 0 • Fax. 0621/17 88 299
Seite 2 von 11
Projekte
10/02 - dato
Software/EDV/Beratung/IT-Dienstleistung
Projektbeschreibung/Tätigkeit:
Selbstständiger IT-Security Berater. IT-Security Konzepte. Datenschutz nach BDSG. IT-Grundschutz nach BSI / ISO 27001. Risiko- und Bedrohungsanalyse. Network Security Analysis. Security Management (ITIL nach BS 15000 / ISO 20000). Schulung / Coaching.
Eingesetzte Technologien:
ITIL BS15000 / 20000 ISO 27001 IT-Grundschutz klassisch IT-Grundschutz nach ISO 27001 ISO 17799 ISO 13335 MOF (Microsoft Operations Framework)
10/04 - dato Projektbeschreibung/Tätigkeit:
Öffentliche Hand Landesbehörde. Teil 1. Coaching des IT-Sicherheitsbeauftragten. Ziel der Beauftragung war die Hinführung zu einer Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI), bei gleichzeitigem Coaching des IT-Sicherheitsbeauftragten. Zertifiziert werden soll das gesamte Rechenzentrum der Landesbehörde. Besonderheit: Der IT-Sicherheitsbeauftragte wurde erst auf unsere Empfehlung hin etabliert. Bisherige Strukturen waren kaum wahrnehmbar. An Netzwerkdokumentation oder Konzepten war fast nichts vorhanden. IT-Sicherheitskonzepte gab es nur als „Brainwork“. Zur Einschätzung der technischen und wirtschaftlichen Möglichkeiten, wurde von uns im Vorfeld ein IT-Security Audit durchgeführt. Das IT-Security Audits die hat technischen und wirtschaftlichen Risiken klar aufgezeigt, so dass es zu der hier beschrieben Beauftragung kam. Vorgehensweise: Konstituierender Workshop
Hays AG • Willy-Brandt-Platz 1-3 • 68161 Mannheim • Tel. 0621/17 88 0 • Fax. 0621/17 88 299
Seite 3 von 11
Anwendung des IT-Grundschutzhandbuchs. IT-Strukturanalyse. Schutzbedarfsfeststellung. Modellierung nach IT-Grundschutz. Basis-Sicherheitscheck. Ergänzende Sicherheitsanalyse. Realisierung von IT-Sicherheitsmaßnahmen. Sicherheitsaudit. Dauer: 45 Tage. Teil 2. Erstellung sämtlicher IT - Sicherheitskonzepte und -richtlinien. Weil bei der beauftragenden Behörde nur geringe Kenntnisse in der Erstellung von IT-Sicherheitsrichtlinien vorhanden waren, wurden wir beauftragt sämtliche IT-Sicherheitskonzepte und –richtlinien zu erstellen. Basierend auf dem Ziel, eine Zertifizierung durch das BSI zu erlangen, mussten 24 IT-Sicherheitskonzepte und –richtlinien verfasst werden. Vorgehensweise: Auflistung der notwendigen IT-Sicherheitskonzepte und -richtlinien. Sichtung der vorhanden Dienstanweisungen und Vorschriften. Verfassen der IT-Sicherheitsleitlinie (Security Policy). Verfassen eines IT-Sicherheitshandbuchs als das zentrale Dokument. Erstellen der IT-Sicherheitskonzepte und –richtlinien als Musterdokument. Abstimmung mit den Fachbereichen. Diskussion und Modifikation (Workshop). Anpassung der Musterdokumente an die Besonderheiten der Behörde. Überprüfung und Abstimmung der Draft-Version mit der Behördenleitung. Endformatierung und Freigabe durch die Behördenleitung. Dauer: 40 Tage. Umfang: 24 Konzepte mit insgesamt ca. 600 Seiten. Hinweis: Die Zertifizierung erfolgt in Q2 / 2006 - vorerst auf Basis von IT-Grundschutz klassisch Eingesetzte Technologien:
IT-Grundschutz klassisch, ISO 27001, ISO 17799 Risiko- & Bedrohungsanalyse
Hays AG • Willy-Brandt-Platz 1-3 • 68161 Mannheim • Tel. 0621/17 88 0 • Fax. 0621/17 88 299
Seite 4 von 11
10/05 - 12/05
Banken/Sparkassen/Finanzdienstleister
Projektbeschreibung/Tätigkeit:
> 30.000 Mitarbeiter. Unterstützung Chief Security Offices. Ziel der Beauftragung war eine universelle Unterstützung des Chief Security Offices. Neben der informellen Erstellung mehrere von Newslettern zum Thema IT-Sicherheit, war ein Schwerpunkt die Überarbeitung vorhandener IT-Sicherheitsrichtlinien sowie die Erstellung neuer Sicherheitsrichtlinien und Leitfäden zur IT-Sicherheit. Vorgehensweise Konstituierende Sitzung (Newsletter) Ordnen der Themenschwerpunkte. Inhaltliche Absprache der Themen für die Newsletter. Abstimmung eines neuen Designs für die Newsletter mit den Fachbereichen Marketing und Kommunikation. Übersetzung der Newsletter ins Englische. Überprüfung und Abstimmung der Draft-Version mit dem Lektorat. Endformatierung und Freigabe durch den Fachbereich. Vorgehensweise Konstituierende Sitzung (Sicherheits- Ordnen der Themenschwerpunkte richtlinien) Überprüfung der vorhandenen ITSicherheitsrichtlinien hinsichtlich Konformität zu ISO/ICE 17799 und dem IT-Grundschutzhandbuch des BSI (ISO/ICE 27001). Korrektur der Sicherheitsrichtlinien hinsichtlich Standard und Konzernvorgaben. Pflege der Änderungen im Dokumentenmanagementsystem. Erstellung neuer, fehlender IT-Sicherheitsrichtlinien. Überprüfung und Abstimmung der Draft-Version mit dem Lektorat. Endformatierung und Freigabe durch den Fachbereich. Dauer: 25 Tage.
Eingesetzte Technologien:
ISO 17799, ISO 27001, IT-Grundschutz nach ISO 27001
05/05 - 07/05 Projektbeschreibung/Tätigkeit:
Banken/Sparkassen/Finanzdienstleister > 30.000 Mitarbeiter. Datenschutzprojekt. Teil 1. Erstellen eines Handbuchs zu Datenschutz Basierend auf zahlreiche Rundschreiben und Infobriefe - zurückreichend bis 1977 – sollte ein ganzheitliches Dokument erstellt werden, das den Ansprüchen eines aktuellen Datenschutzkonzeptes entsprechen sollte. Gleichzeitig sollten die individuellen Belange im Bankenumfeld (Bankgeheimnis, Schufa-Klausel, etc.) berücksichtigt, und an die aktuelle Gesetzeslage angepasst werden.
Hays AG • Willy-Brandt-Platz 1-3 • 68161 Mannheim • Tel. 0621/17 88 0 • Fax. 0621/17 88 299
Seite 5 von 11
Vorgehensweise Sichtung aller relevanten Dokumente. Ordnung der Dokumente nach Sachthemen. Inhaltliche Dokumentenstruktur erstellen. Kapitelweise Erstellung der Gesamtdokumentation. Überprüfung der Inhalte auf Konformität mit der Konzerngesellschaft. Abstimmungsgespräche mit den Fachabteilungen. Überprüfung und Abstimmung der Draft-Version mit dem Lektorat und der Rechtsabteilung. Endformatierung und Freigabe durch den Fachbereich. Dauer: 20 Tage. Umfang: 147 Seiten.
08/05 - 09/05
Teil 2. Erstellen eines Auskunftskatalogs gemäß BDSG. Gemäß § 34 BDSG kann jeder Betroffen Auskunft verlangen über die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, Empfänger oder Kategorien von Empfängern, an die Daten weitergegeben werden, und den Zweck der Speicherung. Zur Erstellung des Auskunftskatalogs war es notwendig, die Datenfelder aller Anwendungen, dahingehend zu untersuchen, ob und in welchem Umfang dort personenbezogene Daten gespeichert werden. Vorgehensweise Erfassen aller relevanten Anwendungen. Analyse der Datenfelder hinsichtlich personenbezogener Datenfelder. Analyse der Datenbankstrukturen / -beziehungen hinsichtlich möglicher Abfragen von personenbezogenen Daten. Erfassen sämtlicher Datenfelder die im Zusammenhang mit personenbezogenen Daten stehen. Strukturierung der erfassten Datenfelder. Erstellung eines umfassenden Dokuments mit der Möglichkeit der Dateneingabe durch die Fachbereiche. Markierung von redundanten Datenfeldern durch Verweise. Abstimmungsgespräche mit den Fachabteilungen. Überprüfung und Abstimmung der Draft-Version mit der Rechtsabteilung. Endformatierung und Freigabe durch den Fachbereich. Dauer: 20 Tage. Umfang: 186 Seiten.
01/04 - 05/04
Software/EDV/Beratung/IT-Dienstleistung
Projektbeschreibung/Tätigkeit:
IT-Security. Konzern > 200.000 Mitarbeiter. Ganzheitliches IT-Sicherheitskonzept. Ausgehend von der der vorhandenen Organisationsstruktur und der eingesetzten Technologie wurde ein IT-Sicherheitskonzept
Hays AG • Willy-Brandt-Platz 1-3 • 68161 Mannheim • Tel. 0621/17 88 0 • Fax. 0621/17 88 299
Seite 6 von 11
entsprechend den nationalen und Internationalen Standards entwickelt. Die Security Policy wurde überarbeitet und die Vorgaben etablierter Standards wurden umgesetzt. Vorgehensweise: Audits zur Feststellung der vorhandenen IT-Infrastruktur. Audits zur Feststellung der vorhandnen Organisationsstruktur. Auswertung der Audits hinsichtlich Schwachstellen und Konformität zu etablierten Standards (BS7799, IT-Grundschutz, ITIL, etc.). Ergebnispräsentation. Workshop / Aufgabenverteilung / Klärung der Verantwortlichkeiten. Erstellen eines Maßnahmenkatalogs als Vorlage für den Vorstand. Abzeichnung durch den Vorstand. Rollenbeschreibung / Verantwortungsmatrix / Prozessbeschreibung / Eskalationsprozeduren.
Umsetzung der Maßnahmen / Etablierung neuer Prozesse. Einführung eines IDS und eines Network Assessment Tool. Evaluierung eines geeigneten Audit Tools für die IT-Security. Dauer: 60 Tage. Eingesetzte Technologien:
10/04 - 03/05 Projektbeschreibung/Tätigkeit:
ITIL (BS15000 / ISO 20000), IT-Grundschutz klassisch, ISO 17799, Security Scanner
Software/EDV/Beratung/IT-Dienstleistung Mittelständiges Unternehmen. BSI Zertifizierung. Ziel der Beauftragung war die Zertifizierung eines wesentlichen Unternehmensbereichs durch das BSI (Bundesamt für Sicherheit in der Informationstechnik). Vorgehensweise: Etablierung eines IT-Sicherheitsbeauftragten. Erstellen einer IT-Security Policy. Durchführung eines Audits um den IST-Status zu ermitteln. Ergebnispräsentation. Workshop / Aufgabenverteilung / Klärung der Verantwortlichkeiten. Erstellen der notwendigen Dokumente. Notfallvorsorgekonzept. Datensicherungskonzept. IT-Sicherheitsrichtlinie. Sicherheitshinweise für den Benutzer. Sicherheitshinweise für den Administrator etc. Überprüfung der Maßnahmen hinsichtlich der Zertifzierbarkeit. Rollenbeschreibung / Verantwortungsmatrix / Prozessbeschreibung / Eskalationsprozeduren.
Hays AG • Willy-Brandt-Platz 1-3 • 68161 Mannheim • Tel. 0621/17 88 0 • Fax. 0621/17 88 299
Seite 7 von 11
Coaching des IT-Sicherheitsbeauftragten. Einführung Firewallkonzeptes. Korrektur der Unterlagen. Audit zur Zertifizierung. Zertifizierung. Dauer: 20 Tage. Eingesetzte Technologien:
07/04 - 09/04
IT-Grundschutz klassisch, ISO 13335 Risiko- und Bedrohungsanalyse Consulting
Öffentliche Hand
Projektbeschreibung/Tätigkeit:
Schwachstellenanalyse – IT-Sicherheit. Ziel der Beauftragung eine Schwachstellenanalyse mit technischem als auch organisatorischen Fokus. Zur technischen Analyse wurden hier Network Security Scanner und Network Assessment Scanner eingesetzt. Zur organisatorischen Schwachstellenanalyse wurde ein IT-Security Audit in Anlehnung an das BSI durchgeführt. Vorgehensweise: Workshop. IT-Security Audit durchgeführt. Auswertung der Auditergebnisse. Ergebnispräsentation auf Teamebene. Workshop / Aufgabenverteilung / Klärung der Verantwortlichkeiten. Erarbeiten von organisatorisch notwendigen Änderungen. Durchführung der technischen Schwachstellenanalyse. Auswertung der Auditergebnisse. Ergebnispräsentation auf Teamebene. Workshop. Erarbeiten von technisch notwendigen Änderungen. Etablierung von Netzwerküberwachungstools (Monitoring). Dauer: 40 Tage.
Eingesetzte Technologien:
Security Scanner (Nessus, Retina, ISS), Audit Tool Consulting
Weitere Projekte auf Anfrage
Hays AG • Willy-Brandt-Platz 1-3 • 68161 Mannheim • Tel. 0621/17 88 0 • Fax. 0621/17 88 299
Seite 8 von 11
Hays AG • Willy-Brandt-Platz 1-3 • 68161 Mannheim • Tel. 0621/17 88 0 • Fax. 0621/17 88 299
Seite 9 von 11
03/00 - 09/02 Projektbeschreibung/Tätigkeit:
08/99 - 02/00 Projektbeschreibung/Tätigkeit:
07/98 - 07/99
Projektbeschreibung/Tätigkeit:
Tenovis GmbH & Co. KG, Köln / Telekommunikation Netcom Consultant Solutions im Bereich IT-Security: Akquise von Neu- und Bestandskunden. Aufbau des Geschäftsbereichs „Business Services IT-Security“. Produktmanagement und Konzeptentwicklung. IT-Security Konzepte. Virenschutz. Content Management. VPN. Firewall. Sprach- / Datenintegration. Schulung der Vertriebsbeauftragten in dem neuen Geschäftsbereichs „Business Services IT-Security“. Coaching der Vertriebsbeauftragten.
UUNET Deutschland GmbH, Dortmund Senior Corporate Account Manager: Akquise von Großkunden. IT-Sicherheitskonzepte. Entwicklung von langfristigen und komplexen Geschäftsbeziehungen. Eigenständige Umsatzverantwortung. Gespräche und Präsentation auf Vorstandsebene.
o.tel.o Communications GmbH & Co., Köln / Telekommunikation Account Manager im Bereich Key Account Management mit den Aufgaben: Betreuung von Bestandkunden. Ausbau von Bestandskunden. WAN- / Securitykonzepte. Akquise von Neukunden. Eigenständige Umsatzverantwortung. Gespräche und Präsentation auf Vorstandsebene.
Hays AG • Willy-Brandt-Platz 1-3 • 68161 Mannheim • Tel. 0621/17 88 0 • Fax. 0621/17 88 299
Seite 10 von 11
04/96 - 06/98
Projektbeschreibung/Tätigkeit:
o.tel.o Communications GmbH & Co., Köln / Telekommunikation Stellvertretender Leiter Consulting und Projektmanagement (Schwerpunkt: „Komplexe Lösungen / Security Lösungen“). Realisierung / Projektierung von Daten- und Sprachnetzen. Erstellen von Netzwerkdokumentationen. Konzeptentwicklung bei LAN / WAN Kopplungen. Kundenberatung in der Pre- und Postsalesphase. Projektüberwachung. Stellv. Leitung der Bereiche Consulting und Projektmanagement (Personalführung). Abnahme und die Übergabe an den Nutzer. Angebotserstellung. Projektkalkulation. Erarbeitung von GF Vorlagen.
Hays AG • Willy-Brandt-Platz 1-3 • 68161 Mannheim • Tel. 0621/17 88 0 • Fax. 0621/17 88 299
Seite 11 von 11