ALEXANDER TSOLKAS

Ausbildung

  • Dipl.-Ing. (FH) Technische Informatik
  • Zertifizierter Sicherheitsmanager – CISM
  • Geprüfter Datenschutzbeauftragter §
  • Train-the-Trainer DIN ISO/IEC 27001:2005 und 27002
  • Barracuda Security Engineer und Expert NGSE/NGSX (Phion PHSE/PHSX)
  • Research Analyst
  • Expertenbeirat Techconsult / Heise Medien
  • Kenntnis über Hersteller und Ihre Produkte im Security-Bereich (SecTank)
  • Fachbuchautor mit Schwerpunkt IT-Sicherheit und Wirtschaftsspionage

Fachliche Schwerpunkte & IT-Kenntnisse

  • IT-Sicherheitsmanagement
  • Datenschutz
  • IT-und operationelles Risikomanagement
  • Konzernsicherheit / Physische Sicherheit (auch CT-PAT, TAPA, Luftfracht, Seefracht und vieles mehr)
  • Forensische Analyse
  • Firewallspezialist (klassische Firewall, WAF, IDS/IPS-Experte, Netzwerksicherheit)
  • Pentesting
  • e-Discovery-Experte
  • Information Security Policies und Specifications (auch mittels Software)
  • Erstellung von Sicherheitskonzepten
  • Aufbau einer Taskforce gegen Cyberwar und Schutz vor Wirtschaftsspionage
  • IT-Governance
  • IT-Infrastruktur
  • Urban Security
  • 20 Jahre Erfahrung in der Mainframesicherheit / z.T Systemprogrammierung und Installation von Sicherheitssoftware
  • Absicherung von SCADA-Systemen (Siemens S5-S7), SINAUT Spectrum ( Sicherheitskonzepte und Betriebskonzepte)
  • Programmierkenntnisse: D-Base, PL1, Fortran77, Pascal/Turbo-Pascal, Assembler 386 und 390, C, TSO-CLIST, Fox-Pro, REXX, JCL, HTML, XML, .net, C, Java

Publikationen & Autorenschaft

  • Autor mehrerer Fachbücher
    • Virtuelle Organisationen im Zeitalter von e-Business und e-Government (45 Autoren)
    • Identitätsmanagement (Rollen- und Berechtigungskonzepte -> Vieweg & Teubner)
    • Wirtschaftsspionage durch Datensammlung Springer- Vieweg
    • Cloud Computing Security (Buchvertrag in Erstellung Springer-Vieweg (erscheint in 2014)
  • Fachartikelschreiber im Blog Security Expertenrat der IDG Media Computerwoche ( 5 Jahre insgesamt – davon im redaktionellen Outsourcing von 2008-2010)
  • 2010 – 2011 Blog im redaktionellen Outsourcing www.secunews.de, Sponsor war die Secumedia Verlags-GmbH. Es war das Blog der IT-Sicherheitsmesse it-sa in Nürnberg
  • Seit 10.2011 Blog SecTank www.sectank.net unter eigener Regie mehr als 500 Artikel, 20.000 Leser
  • Executive Advisor Experton Group AG von 2009 bis 2013, Research und Analyse
  • Schwerpunktleiter (Director) Informationssicherheit der GFFT e.V. Bad Vilbel www.GFFT-portal.de von 2009-2011
  • RZ-Betrieb-Ausbildung – EDS-Electronic Data Systems – Operations Development Program – Graduierung
  • Plattformübergreifende IT-Sicherheitskenntnisse (Mainframe, AS-400, DEC-VAX, Windows, UNIX, OS/2, Netzwerk, SAP, Webserversysteme, Datenbanken, uvm.)
  • Erstellung Sicherheitskonzept des Outsourcings der Bürokommunikationssysteme Land Baden-Württemberg (Projektleiter Sicherheit, Bestes Datenschutzkonzept Preis Minister a.D Thomas Schäuble)
  • MS-Office Ver.14 und viele andere Software
  • 4 Sprachen vertragssicher

KUNDENPROJEKTE & WERDEGANG

09/2014 – 12/2014
Landesbank Baden-Württemberg

Rolle im Projekt: Berater
Überprüfung der Sicherheitsprozesse, Arbeitsanweisungen und (Sicherheits-)Konfigurationseinstellungen auf den Devices für:

  • Microsoft Server 2003 und 2008
  • SQL Server
  • Solaris Virtualisierungsserver
  • Trustwave Internet Security Gateway
  • Bluecoat Proxy
  • NetIQ Configuration Manager
  • NetIQ Security Manager
  • Zertifikon SecureMail Gateway
  • Checkpoint Firewall / Checkpoint Gaya / Checkpoint IDS
  • Checkpoint Tufin
  • Appsense Application Control
  • Cisco Ironport Email Security Gateway
  • F-Secure Antivirus

Erstellung aller Prüflisten

Audit der Fachabteilungen beim Service Provider FI-TS

Beratung der Revisionsabteilung

Beratung der Sicherheitsabteilung

Beratung des Services Providers

Verfassen aller Audit Reports

01/2014 – heute
Landgard e.G.

Rolle im Projekt: Analyse, Berater, Ersteller

  • Aufbau der Informationssicherheit nach DIN ISO 27001 und 27002
  • Erstellung der Corporate Security Policy und weiterer Rilis
  • Audits nach DIN ISO der Hauptlokationen
  • Auditberichte und Maßnahmendefinition zur Beseitigung der Findings
  • Erstellung des Information Security Masterplanes
  • Einführung von Sicherheitsprozessen
  • Einführung von Risikomanagement nach KonTraG
  • Einführung der operativen Sicherheit
  • Vertragsanalyse Sicherheitsoutsourcing
  • Dokumentation und Training

12/2013 – heute
Schenker AG

Rolle im Projekt: Berater, Ersteller

  • Aufbau und Sicherheitsparametrisierung einer Mobile Device Management Lösung für 4 Smartphone- und Tablets-Plattformen mittels AirWatch für den weltweiten Einsatz. Pilotbegleitung.
  • Einführung und Durchführung eines neuen und effektiveren Business Impact Analyse-Prozesses für ca. 1000 Anwendungen des Konzerns weltweit.

11/2012-10/2013
Saudi Arabian Airlines

Rolle im Projekt: Berater

  • Aufbau eines Security Control Centers SCC für die Echtzeitüberwachung der Saudi Arabian Airline IT-Infrastruktur, -Netz, – Systeme und -Anwendungen in den Rechenzentren in Jeddah, mit dem Aufbau einer forensischen Analyseabteilung für Perimetersicherheit, Firewalls, IDS/IPS, Event Management, uvm.
  • Aufbau und Ausbildung von Personal für das Monitoring und für Gegenangriffe von Cyberattacken
  • Aufbau und Ausbildung von Personal für die forensische Analyse
  • Security Architektur-Review und Konsolidierung von Sicherheitssystemen

01/2013 – 01/2013
Claranet

Rolle im Projekt: Berater

  • Beratung zur Einführung von Digitalem Rechtemanagement in die Cloud.

08/2012 – 02/2013
Nemetschek Group

Rolle im Projekt: Berater

  • Neukonzeptionierung der Informationssicherheit, des Risikomanagements und des Datenschutzes nach DIN ISO 2700x.
  • Erstellung aller Regelwerke und Auditchecklisten
  • Erstellung eines Risk Management Systems für IT angelehnt an das ORM
  • Beratung (Organisation)
  • Audit nach DIN ISO 27001 bei Nementschek München, Allplan München, Grafisoft Budapest und Maxon Oberursel

09/2011-10/2011
DHL | Marktanalyse

Rolle im Projekt: Berater, Ersteller

  • Studie und Datenerhebung zur Versicherung des Ausfalls von IT, Desaster Resilience als potentielles Produkt für Logistik-Kunden.

07/2010 – 11/2011
manroland AG

Risiko-, Informationssicherheitsmanagement, Datenschutz
Rolle im Projekt: Berater, Ersteller

  • Aufbau des globalen ISMS nach DIN ISO 27001:2005
  • Aufbau des IT-Risikomanagements
  • Erstellung/Review aller sicherheitsrelevanten Prozesse
  • Erstellung aller Policies
  • Einbindung Patchmanagement in die Office- und Produktionsumgebung
  • Einbindung Datenschutz, Risikomanagement, Compliance und Ausschüsse / BVs
  • Aufbau Event-Management
  • Erstellung Notfallhandbuch – DRP
  • Schulung des Leiters Informationssicherheit

09/2010 – 10/2013
T-Systems

Risiko- und Informationssicherheitsmanagement, Identitätsmanagement, Datenschutz, DE-Mail-Sicherheitskonzeptionierung
Rolle im Projekt: Berater, Ersteller

  • Absicherung einer Mail Cloud Architektur der BP (globales Mailsystem mit Smartphone Infrastruktur) in der Informationssicherheit, Datenschutz und Compliance.
  • Ausschreibung Deutsche Bank Cloud-Computing Ausschreibung des Online-Banking Sparte der Deutschen Bank in London, England (Datenschutz, Informationssicherheit, Compliance und mehr).
  • Sicherheitskonzepte und Datenschutzkonzepte der Partner des Business Market Place inklusive der Trägerplatform von Strato, einer Telekom Mittelstand Cloud mit ca. 40 App-Partnern.
  • Ausschreibung des SAP Outsourcings Böhringer Ingelheim für Sicherheit, Risikomanagement und Datenschutz
  • Smart Connect – Portieren aller sicherheitsrelevanten Prozesse (u.a. Verschlüsselung) einer Smart Card auf ein Trusted Platform Module von STMicroelectronics
  • Audit der Siemens Telefonanlage der Alte Leipziger Versicherung
  • Ausschreibung BMW WAN für Sicherheit und Datenschutz
  • De-Mail
    • Sicherheits- und Datenschutzkonzept De-Mail Backup
    • Sicherheits- und Datenschutzkonzept De-Mail UNIX
    • Sicherheits- und Datenschutzkonzept De-Mail Datenbanken
    • Sicherheits- und Datenschutzkonzept De-Mail Archivierung
    • Sicherheits- und Datenschutzkonzept De-Mail DNS
    • Sicherheitskonzept De-Mail Pentest auf De-Mail
    • Sicherheits- und Datenschutzkonzept De-Mail NAS
    • Sicherheitsberatung aller operativen Fachabteilungen und der Entwicklungsabteilung
    • Security Awareness De-Mail Entwickler und Admins in Informationssicherheit und Datenschutz
  • Sicherheitskonzept und Datenschutzkonzept des konzernweiten Identity Management Systems cIAM – Corporate Identity and Access Management der DTAG

09/2010-01/2011 und 06/2011-10/2011
e.on

Informationssicherheit, IT Governance
Rolle im Projekt: Berater, Ersteller

  • Absicherung des kompletten Siemens Sinaut Spectrum SCADA Systems der e.on Energy Trading für den Stromhandel, das Banking, das Trading und die gesamte Kraftwerkesteuerung in Europa.
  • Erstellung des Betriebskonzeptes für das obige Systems mittels T-Systems, Siemens und allen Fachabteilungen und Dienstleistern für e.on.

06/2010 – 06/2010
IQ-Works

Netzwerksicherheit
Rolle im Projekt: Berater, Ersteller

  • Netzwerksicherheitsaudit
  • Firewallplanung Checkpoint
  • Firewalleinrichtung
  • Einbindung VoIP in das Netzwerksicherheitskonzept

05/2010 – 08/2010
Monier Group

Information Security Policies
Rolle im Projekt: Berater, Ersteller

  • Erstellung einer Corporate Security Policy nach DIN ISO 27001:2005
  • Erstellung von 10 plattformspezifischen Richtlinien nach DIN ISO 27001:2005
  • Update der bestehenden Rilis

07/2008 – 05/2010
Landesbank Hessen / Thüringen Helaba

Risiko- und Informationssicherheitsmanagement
Rolle im Projekt: Berater, Ersteller

  • Real-Time-Audit der weltweiten Windows Umgebung
  • Analyse von diversen Cloud Computing Services und SaaS-Services (Microsoft, ATOS, IBM, Interxion, Projectplace u.v.m.)
  • Einbindung von RACF-Hosts in das Real-Time Audit mittels des Event Management Systems NetiQ Security Log Manager (SMF-Sätze div. Typen 80, 120 ++)
  • Information Security Consulting in der IT-Management Abteilung für die Kunden der Helaba
  • Neuentwicklung und Fortschreibung von div. Sicherheitskonzepten, Sicherheitsexpertisen, und Sicherheitsstellungnahmen (ca. 150 im Zeitraum)

11/2007 – 08/2008
Europäische Zentralbank

Risiko- und Informationssicherheitsmanagement
Rolle im Projekt: Berater, Ersteller, Trainer

  • Operational Risk Management (kleiner Teil)
  • IT-Risk Management (großer Teil) – alle in-house-Analysen durchgeführt für alle Abteilungen, Bewertung von Sicherheitskonzepten
  • Analysen von Dienstleistungen und einzusetzenden Produkten , viele verschiedene Projekte im  beauftragten Zeitraum
  • Erstellung von Security Policies und Specifications (mehr als 20 Dokumente)
  • Pentests auf die Citrix-Umgebung
  • Training – Security Awareness-Schulungen für alle Neueinsteiger bei der EZB, interne sowie externe
  • Einführung eines klassifizierten Netzwerkes. Umbau der Netz- und NAS-Infrastruktur im gesamten Eurobank-Bereich und der EZB
  • Sonderaufgaben (Confidential)

09/2007 – 10/2007
Audi AG

eDiscovery Protection
Rolle im Projekt: Berater, Trainer, Ersteller

  • Erstellung einer Vorstandsvorlage für Herrn Straub zwecks Bereitstellung von finanziellen Mitteln für eDiscovery-Schutz des Unternehmens (vorwiegend in den USA).
  • eDiscovery Analyse bei 8 Großunternehmen in D mit anonymisierter Datenauswertung
  • eDiscovery Training und Beratung der Informationssicherheitsbeauftragten und der Rechtsabteilung

07/2007 – 08/2007
adidas

Informationssicherheitsmanagement
Rolle im Projekt: Berater und Ersteller

  • Aufbau eines internen IT-Security Awareness Programmes für User (CBT Kurs), Administratoren und Entwickler (Trainings)
  • Firewall-Logfile Konsolidierung für Taylormade und Rebook in den USA mittels Outsourcing an Symantec
  • PCI-DSS Compliance Unterstützung vorwiegend im Schreiben der dafür notwendigen Richtlinien und Durchsetzung der Prozesse intern (Outsourcing der Systeme bis zur Zertifizierung)

07/2007 – 08/2007
Credit Suisse Deutschland

Datenschutzberatung für einen Binding Corporate Rules
Rolle im Projekt: Berater und Ersteller (Teil)

  • Datenschutzberatung für einen Binding Corporate Rules Vertrag in Zusammenarbeit mit Prof. Dr. A. Büllesbach

08/2002 – 07/2007
Schenker AG

CSO – Festanstellung

Rolle im Projekt: CSO, Berater, und teilweise auch noch technische Umsetzung, Konzeptionierung

  • Corporate Security Officer, IT-Risikomanager, Datenschutzbeauftragter, Unternehmenssicherheit weltweit. 3,5 Mio zentrales Budget, 1,7 Mio dezentrales (regionales Budget), 16 Mitarbeiter direkt, 480 in der Matrix. Direktbericht an 2 Vorstände (IT und FI).

08/1999 – 07/2002
Adam Opel AG

Leiter Informationssicherheit & Safety – Festanstellung

Rolle im Projekt: Leiter Informationssicherheit & Safety

  • Leiter Informationssicherheit & Safety der Adam Opel AG (alle deutschen Werke Rüsselsheim, Bochum, Kaiserslautern und Eisenach, inklusive Head Office, Opel Bank – GMAC, Opel Versicherungen, Opel Life), technische Unterstützung in der Sicherheit für ganz General Motors Europe. OP12er, mehr als 1 Mio DM Budget, kein Personal nur EDS als Projektunterstützung

05/1991 – 07/1999
EDS-Electronic Data Systems

Information Security Analyst / Advanced und Senior – Festanstellung

Rolle im Projekt: Trainee, Administrator, Entwickler, Projektleiter oder Teilprojektleiter, Trainer