Fundierte Analyse und Bewertung bilden die Grundlage für belastbare Entscheidungen im Bereich Informationssicherheit, IT-Governance und Compliance. Ziel ist die präzise Erfassung des Ist-Zustands, die Identifikation von Risiken und Handlungsfeldern sowie die Ableitung priorisierter Maßnahmen.

Reifegradanalyse (Maturity Assessment): Bewertung des aktuellen Stands von ISMS-, IT-Sicherheits- und Governance-Strukturen im Vergleich zu Normanforderungen und Best Practices.

Gap-Analyse: Systematische Gegenüberstellung von Ist-Zustand und Soll-Anforderungen – normspezifisch für ISO/IEC 27001, ISO/IEC 20000, ISO 9001 oder TISAX.

Risikoanalyse & Risikobeurteilung: Identifikation, Analyse und Bewertung von Informationssicherheitsrisiken gemäß ISO/IEC 27005 als Grundlage für die Risikobehandlung.

NIS2-Gap-Analyse: Erhebung des Umsetzungsstands gegenüber den Anforderungen der NIS2-Richtlinie und Ableitung priorisierter Handlungsfelder.

Schutzbedarfsanalyse: Ermittlung des Schutzbedarfs kritischer Informationswerte und Assets als Basis für eine risikogerechte Maßnahmendefinition.

Lieferanten- und Dienstleisterbewertung: Beurteilung von Informationssicherheitsanforderungen im Kontext von Lieferketten und Third-Party-Risiken.

Auf Basis der Analyseergebnisse begleite ich die strukturierte Einführung von Managementsystemen und Governance-Strukturen – normkonform, praxistauglich und auf die spezifische Organisationssituation zugeschnitten.

ISMS-Aufbau nach ISO/IEC 27001: Strukturierte Einführung eines Informationssicherheits-Managementsystems – von der Scoping-Definition bis zur Zertifizierungsreife.

IT-Service-Management nach ISO/IEC 20000: Aufbau und Implementierung eines ITSM-konformen Managementsystems einschließlich Prozessdefinition und Schnittstellengestaltung.

Governance- und Richtlinienframework: Entwicklung eines belastbaren Regelwerks aus Leitlinien, Richtlinien und Arbeitsanweisungen mit klarer Rollen- und Verantwortungsstruktur.

Risikomanagement-Framework: Aufbau eines strukturierten Risikomanagementprozesses inklusive Methodik, Risikokatalog und Behandlungsplanung.

Notfall- und Kontinuitätsplanung: Entwicklung organisatorischer und technischer Maßnahmen zur Sicherstellung der Betriebskontinuität im Störungsfall.

Datenschutz-Schnittstellenmanagement: Abstimmung von ISMS-Anforderungen mit datenschutzrechtlichen Anforderungen (DSGVO) und Integration relevanter Kontrollziele.

Als externer Informationssicherheitsbeauftragter übernehme ich operativ die Funktion des ISB – dauerhaft oder projektbezogen – und stelle die Handlungsfähigkeit der Organisation in allen sicherheitsrelevanten Fragestellungen sicher.

Externe ISB-Funktion: Übernahme der Rolle des Informationssicherheitsbeauftragten mit vollständiger operativer Verantwortung gemäß ISO/IEC 27001 und ggf. branchenspezifischer Anforderungen.

Laufende ISMS-Betreuung: Pflege, Weiterentwicklung und operative Steuerung des Informationssicherheits-Managementsystems im Regelbetrieb.

Sicherheitsvorfallmanagement: Begleitung bei der Identifikation, Bewertung und Behandlung von Sicherheitsvorfällen sowie bei der Meldepflichtprüfung.

Managementberichterstattung: Erstellung normkonformer Berichte und Nachweise für die Managementbewertung und interne Steuerung.

Maßnahmenverfolgung & Kennzahlen: Nachverfolgung definierter Sicherheitsmaßnahmen sowie Aufbau geeigneter KPIs zur Wirksamkeitsmessung.

Stakeholder- und Lieferantenmanagement: Begleitung sicherheitsrelevanter Abstimmungen mit internen und externen Interessengruppen sowie Dienstleistern.

Als berufener Auditor begleite ich Organisationen sowohl bei der Vorbereitung auf externe Zertifizierungsaudits als auch bei der Durchführung interner Audits – normspezifisch, evidenzbasiert und ergebnissichernd.

Interne Audits nach ISO/IEC 27001, ISO/IEC 20000 und ISO 9001: Planung, Durchführung und Dokumentation normkonformer interner Audits einschließlich Befundaufnahme und Abweichungsklassifikation.

Auditprogramm-Management: Aufbau und Steuerung eines strukturierten, risikobasierten internen Auditprogramms.

Zertifizierungsvorbereitung (Stage 1 & Stage 2): Gezielte Vorbereitung auf externe Zertifizierungsaudits – Dokumentenprüfung, Readiness-Assessment und Befundaufarbeitung.

Begleitung von Überwachungs- und Rezertifizierungsaudits: Unterstützung bei der Nachbereitung von Auditfeststellungen und der Vorbereitung auf Folgeaudits.

TISAX-Begleitung: Unterstützung bei der Vorbereitung und Durchführung von TISAX-Assessments im Automotive-Umfeld.

Nonconformity Management: Strukturierte Aufarbeitung von Abweichungen inklusive Ursachenanalyse, Maßnahmenplanung und Wirksamkeitsprüfung.

Wirksamkeit im Bereich Informationssicherheit entsteht nicht allein durch Systeme und Dokumentation, sondern durch informierte und sensibilisierte Mitarbeitende und Führungskräfte.

Security-Awareness-Trainings: Sensibilisierung der Belegschaft für Informationssicherheitsrisiken, Bedrohungsszenarien und sicherheitsgerechtes Verhalten im Alltag.

Führungskräfteschulungen: Vermittlung von Managementverantwortung, Governance-Anforderungen und strategischen Implikationen von Informationssicherheit.

Normspezifische Schulungen: Einführung in die Anforderungen von ISO/IEC 27001, ISO/IEC 20000 und ISO 9001 für interne Teams und Auditoren.

Tabletop Exercises & Szenarien: Szenariobasierte Übungen zur Überprüfung von Reaktionsfähigkeit, Entscheidungsprozessen und Eskalationslogiken im Sicherheitsvorfall.

Lessons-Learned-Sessions: Systematische Nachbereitung von Sicherheitsvorfällen oder Übungen zur Ableitung struktureller Verbesserungen.

NIS2-Compliance: Analyse, Beratung und Umsetzungsbegleitung zur Erfüllung der NIS2-Anforderungen für betroffene Einrichtungen und deren Lieferkette.

TISAX (AL2/AL3): Assessment-Vorbereitung und ISMS-Anpassung für Unternehmen im Automotive-Umfeld.

Vollständig ausgelagertes IT-Umfeld: Aufbau und Betrieb eines ISMS bei Organisationen ohne eigene IT-Infrastruktur – unter besonderer Berücksichtigung von Third-Party- und Lieferantenrisiken.

Hochschulen & akademische Einrichtungen: Beratung und Auditbegleitung mit Verständnis für spezifische Governance-, Datenschutz- und Betriebsstrukturen im Hochschulumfeld.

Wissenschaftlich fundierte Entscheidungsunterstützung: Einbindung aktueller Forschungsergebnisse zu Cyber-Risikomanagement, wirtschaftlichen Auswirkungen von Cyberangriffen und organisationaler Resilienz in Beratungsmandate.