DE EN ES

Dr. Michael Lodemann

Zertifizierter Berater für IT-Sicherheitsmanagement

Individuelle
IT-Sicherheits-
lösungen

  • Risiko- und Notfallmanagement
  • Bedarfsgerechte Umsetzungsplanung

CISO as a
Service

  • ISMS Aufbau und Optimierung
  • Individuelle Sicherheitsberatung
  • Direkte Kontakte zu Sicherheitsbehörden

Interdisziplinäre,
internationale
Erfahrung

  • in der Wirtschaft
  • im öffentlichen Dienst
  • in Lehre und Wissenschaft

Zertifizierter
Experte

  • CISA
  • T.I.S.P.

Leistungen

  • ISMS
    • Individuelle Unterstützung und Beratung im Bereich IT-Sicherheit
    • Aufbau und der Optimierung von Informationssicherheitsmanagementsystemen in brachenspezifischen Ausprägungen
    • Verwendung von ISO und BSI Standards
    • Erstellung von Regelwerken und Analysen
    Die ISO 27001 ist ein annerkannter Standard für Informationssicherheitsmanagementsysteme (ISMS). Er spezifiziert Anforderungen an viele Bereiche einer Organisation im Hinblick auf Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung einer Dokumentationsbasis in Bezug auf IT-Sicherheit. Das Ziel ist die Gewährleistung der Aufrechterhaltung des Geschäftsbetriebs und eine Abschätzung hinsichtlich kritischer Prozesse, Risiken und entsprechenden Gegenmaßnahmen. Die Zertifizierung des ISMS durch eine unabhängige DAkkS-akkreditierte Zertifizierungsstelle bestätigt dann das erreichte Niveau und gibt Dritten Vertrauen in die Leistung des Managementsystems.
    Der IT-Grundschutz ist ein Detaillierung der ISO 27001 hinsichtlich des Einsatzes insbesondere in Bundesbehörden und anderen öffentlichen Einrichtungen. Er wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erarbeitet, fortlaufend aktualisert und an neue technologische Entwicklungen und wissenschaftliche Erkenntnisse angepasst und erweitert. Der IT-Grundschutz besteht aus mehreren Dokumenten und Leitfäden, die best practices hinsichtlich der Erlangung und Beibehaltung eines hohen bis sehr hohen IT-Sicherheitsniveaus aufzeigen. Das BSI gibt ein Schema vor nach dem eine anerkannte Zertifizierung durchgeführt werden kann.
    Der Verband der Automobilindustrie gibt seit 10 Jahren mit dem VDA Information Security Assessment (VDA ISA) ein Reifegradmodell für ein Informationssicherheitsmanagementsystem (ISMS) vor. Auf Basis der ISO 27001, angereichert um Fragestellungen wie z. B. Anbindung Dritter, Datenschutz und Prototypenschutz, gibt das VDA ISA ein angemessenes Niveau der Informationssicherheit vor. Durch eine TISAX-Prüfung (Trusted Information Security Assessment Exchange) kann ein Unternehmen sein bereits erreichtes Niveau gegenüber allen anderen Teilnehmern nachweisen. So ist ein vertrauensvoller Austausch der Informationen zwischen den Teilnehmern innerhalb des TISAX-Verbundes möglich.
    In Deutschland werden Organisationen und Einrichtungen aus den Bereichen Energieversorgung, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur gemäß dem IT-Sicherheitsgesetz (IT-SiG) zu den Kritischen Infrastrukturen gezählt. Ab definierten Schwellwerten der Geschäftstätigkeit müssen Betreiber dieser kritischen Infrastrukturen nachweisen, ihre IT gemäß dem Stand der Technik abzusichern. Um den spezifischen Anforderungen der betroffenen Branchen gerecht zu werden, werden Branchenstandards (B3S) entwickelt und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) freigegeben. Auf Basis dieser Standards ist ein ISMS zu entwicklen, welches den Anforderungen aus dem IT-SiG entspricht. Dieses ISMS muss von unabhängigen Stellen überprüft und entsprechende Lücken dem BSI gemeldet werden. Es drohen empfindliche Strafzahlungen bei Nichteinhaltung der Vorgaben.
  • CISO as a Service
    • Erstellung von und Mitwirkung an Regelwerken im ISMS-Kontext
    • Strategieberatung in Bezug auf IT-Sicherheit und Digitalisierung
    • Ansprechpartner und Berater für Themen der IT-Sicherheit der Gesamtorganisation
    • Management und Koordination von IT-Sicherheitsprojekten
    • Definition und Überwachung von Schwachstellenanalysen und Penetrationstests
    • Aufnahme, Beurteilung und Bearbeitung von Sicherheitsvorfällen
  • IT-Audits
    • Durchführung von internen Prüfungen zum Nachweis der ISMS-Konformität und Compliance gemäß branchenüblicher Standards
    • Erstellung von Audit-Berichten
    • Nachfassen von Follow Ups
    • Beratung zur Verbesserung des IT-Sicherheitsniveaus
  • Audit Vorbereitung und Begleitung
    • Coaching zur erfolgreichen Auditierung
    • Planung des Audits / Kommunikation mit den externen Auditoren
    • Koordination von internen Ressourcen
    • Begleitung und Sprachführung während des Audits
  • Business Impact Analysen
    • Durchführung von individuellen Business Impact Analysen zur Ermittlung kritischer Geschäftsprozesse
    • Anwendung branchenüblicher Standards im individuellen Organisationskontext
    • Ableitung von Aktivitäten aus den Erkenntnissen der Analysen
  • Risiko Analysen
    • Planung und Druchführung von individuellen Risiko Analysen
    • Berücksichtung von organisitions- und branchenspezifischen Risiken
    • Anwendung branchenüblicher Standards im individuellen Organisationskontext gemäß des vorhandenen Risiko Managements
    • Beratung bei der Konzeption und Umsetzung von Maßnahmen
  • Risiko Management
    • GAP-Analysen
    • Aufbau / Optimierung des Risikomanagements in der Organisation gemäß BSI Standard 200-3
    • Erarbeitung von individuellen Konzepten sowie Leit- und Richtlinien
  • Notfall Management
    • Erstellung von individuellen Notfallhandbüchern
    • Erarbeitung von Konzepten zur Geschäftsfortführung im Krisenfall
    • Anwendung des BSI Standards 100-4 im Kontext der Organisation
  • Schulungen / Coaching
    • Individuelle Schulungen und Beratungen im Bereich Datenschutz und IT-Sicherheit
    • Vielfältige Themenbereiche wie Basis-Schutz, Phishing, Hacking, Schwachstellen, Clean-Desk, Passwortsicherheit etc.
    • Präsenzschulungen / Online-Schulungen
    • Assessments und Auswertungen als Management Summary

Ausgewählte Referenzen

Logo Helm AG Logo Dataport Logo MINT Media Interactive Logo Fielmann AG

Dr. Michael Lodemann

  • Vorige Tätigkeiten (Auszug)
    • IT-Auditor eines internationalen Konzerns
      Konzernweite, internationale IT-Audits und Datenschutz-Assessments, Sicherheits-Strategieberatung auf Vorstandsebene, Erarbeitung und Prüfung von Compliance Anforderungen, Verbesserung des IT Sicherheitsniveaus, Unterstützung beim Aufbau eines ISMS nach ISO 27001 und IT-Grundschutz, Analyse und Optimierung von Antiterror Konzepten, Datenanalyse in ERP-Systemen zur Korruptionsermittlung und -vermeidung
    • Gastprofessor an der Universidad de las Américas Puebla, México
      Vollzeitprofessur im Bereich Informatik, Vorlesungsbetrieb, Mitwirkung in Forschungsprojekten, Intensivierung internationaler Verbindungen und studentischer Austauschprogramme
    • IT-Sicherheitsmanagement im öffentlichen Dienst in Norddeutschland
      Sicherheitskonzepte und Risikoanalysen für Verfahren und Infrastrukturprojekten von Ämtern, Behörden und Sicherheitskräften in Schleswig-Holstein, Hamburg und Bremen. Enger Austausch mit dem CERT-Nord.
    • IT-Leitung / CISO eines international tätigen Unternehmens
      Verantwortung für Betrieb und Optimierung von internen Diensten und internationalen SaaS Kundensystemen in der Amazon Web Services Cloud. Einführung und Zertifizierungsbegleitung eines ISMS nach ISO 27001. Mitarbeiterführung in Deutschland und den USA. Beratung der Geschäftsführung in Strategie und IT-Sicherheitsfragen.
  • Vorträge / Veröffentlichungen (Auswahl)
    • Semantic Computing for Railway Infrastructure Verification
      September 2013 - ICSC - Seventh IEEE International Conference on Semantic Computing, Irvine, California, USA
    • XML-Schemata zum Datenaustausch im Planungsprozess von elektronischen Stellwerken
      Juni 2012 - Eisenbahntechnische Rundschau, no. 3, 2012, pp. 48-51
    • Using Semantic Constraints for Verification in an Open World
      Juli 2011 - Springer - STAKE 2011 - 3rd Semantic Technology And Knowledge Engineering Conference, Kajang, Malaysia
    • Ontology-based Railway Infrastructure Verification - Planning Benefits
      Oktober 2010 - KMIS 2010 - International Conference on Knowledge Management and Information Sharing, Valencia, Spanien
    • Beschreibung von Eisenbahninfrastrukturen mit railML und ihre Verifikation
      April 2010 - Signal + Draht, vol. 102 (4/2010), pp. 37-42
  • Zertifikate
    • CISA - ISACA Certified Information System Auditor
      Das CISA Zertifikat genießt in allen Industriesparten weltweit Anerkennung als bevorzugter Titel für Fachleute im Bereich der Prüfung und dem Management von Informationssystemen. Der Titels des CISA weist gemeinhin einen qualifizierten Experten bzw. Expertin im Bereich der IT-Prüfung, -Steuerung, und -Sicherheit aus. Eine Person mit dem CISA-Zertifikat besitzt erwiesenermaßen die Eignung, Prüfungen in Übereinstimmung mit weltweit anerkannten Standards und Richtlinien durchzuführen, um dadurch sicherzustellen, dass die IT- und Geschäftssysteme eines Unternehmens angemessen gesteuert, überwacht und beurteilt werden.
    • T.I.S.P. - Teletrust Information Security Profesional
      Das Expertenzertifikat "TeleTrusT Information Security Professional" (T.I.S.P.) ist ein anerkannter Nachweis für gehobene Qualifikation im Bereich Informationssicherheit für Europa. Die Inhalte, die für das T.I.S.P.-Zertifikat vermittelt werden, umfassen die wichtigsten internationalen Aspekte der Informationssicherheit und berücksichtigen darüber hinaus die Prinzipien des IT-Grundschutzes sowie die deutsche und europäische Gesetzgebung. Belegt durch steigende Absolventenzahlen erfahren T.I.S.P.-Zertifikate in der deutschen IT-Wirtschaft und im öffentlichen Sektor eine wachsende Akzeptanz.
  • Ausbildung
    • Dr.-Ing. Informatik (Christian-Albrechts-Universität zu Kiel)
    • Master of Science - Information Technology (Kiel University of Applied Sciences)
    • Auslandsstudium - Ingeniería en Sistemas Computacionales (Universidad de las Américas Puebla, México)
    • Bachelor of Science - Internet Science & Technology (Kiel University of Applied Sciences)
  • Sprachen
    • Deutsch - Muttersprache
    • Englisch - Verhandlungssicher
    • Spanisch - Verhandlungssicher

Kontakt