Senior Software Architekt (m/w/d)
Wir stehen für verlässliches und nachhaltiges Management von IT-Infrastrukturprojekten – von der Idee bis zur erfolgreichen Weiterführung. Unser Leistungsangebot umfasst die Steuerung von IT- Migrations-, Verlagerungs- und Entflechtungsprojekten, Consulting und Coaching. Zur Förderung unserer Unternehmenskultur legen wir hierbei großen Wert auf flache interne Hierarchien, direkte Abstimmungswege und ein teamorientiertes Arbeiten.
Zum nächstmöglichen Zeitpunkt suchen wir für unsere Kundenprojekte Unterstützung.
Deine Aufgabe bei uns:
Als Architekt in unserem Team bist du dafür verantwortlich, in großen und komplexen IT-Systemlandschaften den Überblick zu behalten und zukunftssichere Architekturen zu gestalten. Dabei arbeitest du eng mit verschiedenen Stakeholdern zusammen und trägst wesentlich zur erfolgreichen Umsetzung von Projekten bei.
- Entwicklung und Pflege von IT-Architekturen: Konzeption und Dokumentation moderner, skalierbarer und sicherer Architekturen
- Analyse bestehender Systemlandschaften: Identifikation von Optimierungspotenzialen und Erarbeitung von Migrationsstrategien
- Beratung und Steuerung: Unterstützung von Entwicklungsteams und Stakeholdern bei der Implementierung von Architekturvorgaben
- Technologieauswahl: Bewertung neuer Technologien und Tools zur Verbesserung der Systemlandschaften
- Governance und Standards: Definition und Durchsetzung von Architekturstandards, Richtlinien und Best Practices
- Monitoring und Weiterentwicklung: Überwachung der Leistungsfähigkeit und Skalierbarkeit der Systeme und Entwicklung langfristiger Strategien mit modernen Technologie
Das bringst du mit:
- Abgeschlossenes Studium im Bereich Informatik, Ingenieurwesen, Wirtschaftsinformatik oder vergleichbare Qualifikation
- Mehrjährige Erfahrung in der Arbeit mit komplexen IT-Systemen und Architekturen
- Fundiertes Wissen über moderne Technologien (z. B. Cloud-Computing, Microservices, Containerisierung, Datenbanken)
- Erfahrung mit Architektur-Frameworks und Modellierungswerkzeugen (z. B. UML, ArchiMate)
- Erfahrung mit Full-Stack Entwicklung (unsere grundsätzliche Applikation ist Java)
- Ausgeprägte analytische und konzeptionelle Fähigkeiten sowie eine strukturierte und lösungsorientierte Arbeitsweise
- Kommunikationsstärke und die Fähigkeit, technische Konzepte verständlich zu vermitteln
- Fließende Deutsch- und Englischkenntnisse
Das erwartet dich bei uns:
- Ein Team, das sich auch bei örtlicher Ferne immer nah ist
- Eine Duz-Kultur innerhalb der esc
- Ein Unternehmen, in dem du den Unterschied machst und mitgestaltest – Du bringst deine Ideen ein und bestimmst den Weg zum Ziel
- Ein abwechslungsreiches Tätigkeitsfeld, das individuell auf dich und deine Fähigkeiten abgestimmt ist
- Ein kollegiales Umfeld, in dem auf Augenhöhe und mit Spaß gemeinsam gearbeitet wird
- Gemeinsame Werte, die nicht nur auf dem Papier stehen, sondern wirklich gelebt werden
- flexible Gestaltung des Arbeitstages hinsichtlich Zeit und Ort
- Teamevents, bei denen alle Kollegen gemeinsam Deutschland oder die Welt erkunden
- Ein attraktives Gehaltspaket – bestehend aus Grundgehalt und variablem Gehaltsanteil
Klingt interessant?
Dann möchten wir dich kennenlernen!
Wir freuen wir uns auf deine Bewerbung mit deiner Verfügbarkeit und Gehaltsvorstellung. Da Zeit immer knapp ist, kannst du dich auch gerne ohne Anschreiben bewerben.
Senior Berater Informationssicherheits- systeme (m/w/d)
Wir stehen für verlässliches und nachhaltiges Management von IT-Infrastrukturprojekten – von der Idee bis zur erfolgreichen Weiterführung. Unser Leistungsangebot umfasst die Steuerung von IT- Migrations-, Verlagerungs- und Entflechtungsprojekten, Consulting und Coaching. Zur Förderung unserer Unternehmenskultur legen wir hierbei großen Wert auf flache interne Hierarchien, direkte Abstimmungswege und ein teamorientiertes Arbeiten.
Zum nächstmöglichen Zeitpunkt suchen wir für unsere Kundenprojekte Unterstützung für den Bereich Information Security.
Deine Aufgabe bei uns:
Du begleitest unsere bestehenden und neuen Kunden bei Einführung und Aufrechterhaltung von Regelwerken wie der ISO 27001, ISO 22301, BSI-Grundschutz, NIS2, KRITIS DachG und/oder BSI 200-4 als Experte für Informationssicherheit:
- Unterstützung von Kundinnen und Kunden bei der Einführung oder Optimierung von internationalen und nationalen Regelwerken (beispielsweise die Prüfung von Normenanforderungen, Interviewführung und Vor-Ort Assessments)
- Auditplanung und Dokumentation von Auditergebnissen in Abstimmung mit unseren Kundinnen und Kunden
Das bringst du mit:
- mindestens 3 Jahre Erfahrung in der Arbeit mit den genannten Managementsystemen
- Optional mehrjährige Erfahrung als interner oder externer Auditor
- gute Kenntnisse der Grundlagen einschlägiger internationaler oder nationaler Regelwerke der Informationssicherheit
- optimalerweise Tätigkeit als Informationssicherheitsbeauftragter
- akademischer Abschluss oder abgeschlossene Berufsausbildung
- Du bist gerne auf Reisen und scheust Dich nicht auch längere Zeit bei unseren Kunden vor Ort tätig zu sein
Das erwartet dich bei uns:
- Ein Team, das sich auch bei örtlicher Ferne immer nah ist
- Eine Duz-Kultur innerhalb der esc
- Ein Unternehmen, in dem du den Unterschied machst und mitgestaltest – Du bringst deine Ideen ein und bestimmst den Weg zum Ziel
- Ein abwechslungsreiches Tätigkeitsfeld, das individuell auf dich und deine Fähigkeiten abgestimmt ist
- Ein kollegiales Umfeld, in dem auf Augenhöhe und mit Spaß gemeinsam gearbeitet wird
- Gemeinsame Werte, die nicht nur auf dem Papier stehen, sondern wirklich gelebt werden
- flexible Gestaltung des Arbeitstages hinsichtlich Zeit und Ort (remote, vor Ort beim Kunden oder im Büro in Hamburg möglich)
- Teamevents, bei denen alle Kollegen gemeinsam Deutschland oder die Welt erkunden
- Ein attraktives Gehaltspaket – bestehend aus Grundgehalt und variablem Gehaltsanteil
Klingt interessant?
Dann möchten wir dich kennenlernen!
Wir freuen wir uns auf deine Bewerbung mit deiner Verfügbarkeit und Gehaltsvorstellung. Da Zeit immer knapp ist, kannst du dich auch gerne ohne Anschreiben bewerben.
Datenschutz nach NIS2: Warum das Verhalten der Mitarbeitenden entscheidend ist
Das NIS2 UmsuCG: NIS2 Umsetzungs- und Cybersicherheitsstärkungsgesetz, das demnächst in Kraft tritt, wird eine entscheidende Rolle im Schutz kritischer Infrastrukturen und der Datensicherheit innerhalb der EU spielen. NIS2 verfolgt das Ziel, die Cybersicherheit in allen Mitgliedstaaten auf ein einheitliches Niveau zu heben und verlangt von einer Vielzahl von Unternehmen die Umsetzung strengerer Sicherheitsmaßnahmen. Fast 40.000 Unternehmen werden von dieser neuen Regelung betroffen sein – und eines dieser Unternehmen könnte Ihr eigenes sein. In unserem Blogbeitrag vom 5. August haben wir bereits darauf hingewiesen: „NIS2-Richtlinie: Fast 40.000 Unternehmen müssen reagieren – Gehört Ihres dazu?“
Heute möchten wir noch einmal darauf aufmerksam machen, wo Gefahren beim Schutz von Daten und Informationen auftreten können und wie das NIS2-Gesetz konkret darauf abzielt, diese Gefahren zu minimieren. Dabei richten wir unseren Blick besonders auf den Büroalltag, da hier oft unbewusste Sicherheitslücken entstehen, die Unternehmen gefährden können. Das NIS2-Gesetz fordert Unternehmen nicht nur zu technischen Maßnahmen wie der Absicherung von IT-Systemen und Netzwerken auf, sondern legt auch großen Wert auf die Sensibilisierung der Mitarbeitenden im Umgang mit sensiblen Daten.
Gefahren im Arbeitsalltag
Trotz aller technologischen Fortschritte im Bereich Cybersicherheit bleiben die größten Gefahren oft im persönlichen Verhalten der Mitarbeitenden verborgen. Fehlerhafte oder fahrlässige Handlungen im Arbeitsalltag, wie etwa das unbeabsichtigte Weitergeben von sensiblen Informationen oder das Vernachlässigen von Sicherheitsvorkehrungen, stellen ein erhebliches Risiko dar.
Beispiele aus dem Arbeitsalltag –
Ein unterschätztes Risiko
In vielen Büros finden sich sensible Dokumente in Büroschränken oder Schreibtischcontainern, die nur unzureichend geschützt sind. Wenn die Schlüssel zum Beispiel ständig im Schloss verbleiben, kann jeder unbefugte Dritte Zugriff auf vertrauliche Informationen erhalten.
In hektischen Büroalltagssituationen finden sich Notizen, wie mitgeschriebene Kontaktdaten oder wichtige Gedanken, oft an ungesicherten Orten – etwa auf Post-its oder Schreibtischunterlagen. Diese kleinen „Alltagsnotizen“ können jedoch eine goldene Gelegenheit für Angreifer sein, an vertrauliche Informationen zu gelangen.
Obwohl es in den meisten Büros und Fertigungshallen klare Vorschriften zum Brandschutz gibt, wird dies nicht immer konsequent eingehalten. Häufig werden Brandschutztüren im Sommer geöffnet, um Kühlung zu ermöglichen, was gegen Sicherheitsvorschriften verstößt und gleichzeitig unbefugten Personen Zugang zu Räumen verschafft, die eigentlich geschützt werden müssen. Dies stellt nicht nur eine Gefahr für die physische Sicherheit, sondern auch für die Vertraulichkeit und Integrität von Unternehmensdaten dar.
Ein sehr häufiges, aber gefährliches Sicherheitsrisiko ist das Verlassen des Arbeitsplatzes, ohne den Computerbildschirm zu sperren. Das Resultat: Jeder hat Zugriff auf die Daten des Mitarbeiters, ohne dass eine Authentifizierung notwendig ist.
Unbesetzte Empfangsbereiche, Besucherlisten oder Serverräume, in denen Sicherheitsvorkehrungen nicht ausreichend beachtet werden, stellen ebenfalls eine Gefahr dar. Unternehmen sollten jedoch nicht nur digitale Daten schützen, sondern auch den physischen Zugang zu sensiblen Informationen kontrollieren.
Cyberkriminelle nutzen oft festliche Anlässe, um Mitarbeitende in Unternehmen gezielt anzugreifen. Da wir uns gerade in der Weihnachtszeit befinden, sind gefälschte Weihnachtsgrüße oder E-Cards, die per E-Mail verschickt werden, aktuell eine besonders beliebte Methode. Auf den ersten Blick wirken diese Nachrichten harmlos und festlich, enthalten jedoch Links zu Phishing-Seiten und Malware, über die die Angreifer versuchen Zugangsdaten zu stehlen oder Schadsoftware in das Unternehmensnetzwerk einzuschleusen.
Fahrlässigkeit ist oft nicht die Ursache – sondern das fehlende Wissen
In vielen Fällen entstehen diese Sicherheitslücken nicht durch bewusste Fahrlässigkeit, sondern durch das fehlende Wissen oder Bewusstsein für die potenziellen Gefahren. Das NIS2-Gesetz setzt auf die Sensibilisierung der Mitarbeitenden und sieht vor, dass Unternehmen regelmäßige Schulungen und Informationsmaßnahmen durchführen, um das Sicherheitsbewusstsein in der Belegschaft zu stärken. Ein wichtiges Element hierbei ist, dass Unternehmen ihre Mitarbeitenden nicht nur über technische Sicherheitsmaßnahmen informieren, sondern auch praktische Hinweise geben, wie sie im Alltag sicher mit sensiblen Daten umgehen können.
Sensibilisierung – Der Schlüssel zur Umsetzung von NIS2
Es geht nicht nur um die Technik, sondern vor allem um das Verhalten der Mitarbeitenden. Die größte Herausforderung im Rahmen von NIS2 ist es, das Verhalten der Mitarbeitenden zu ändern und Sicherheitslücken durch Aufklärung und Schulung zu minimieren. Nur wenn jeder Einzelne im Unternehmen versteht, wie gefährlich unachtsames Verhalten im Umgang mit Unternehmensdaten sein kann, wird eine effektive Umsetzung der Sicherheitsrichtlinien möglich sein.
Das NIS2-Gesetz ist ein Schritt in die richtige Richtung, um Unternehmen für die Risiken der digitalen Welt zu wappnen. Doch der Erfolg hängt nicht nur von der Implementierung neuer Technologien ab, sondern auch davon, dass alle Mitarbeitenden in die Verantwortung genommen werden, die Unternehmensdaten zu schützen.
Ihre Ansprechpartner
Gerne stehen wir Ihnen für einen weiteren Austausch zur Verfügung.
Isaac Michael
Informationssicherheit und Datenschutz
Tel.: +49 173 4112814
Holger Koeppe
Managementsysteme & Audits
Tel.: +49 173 4112778
Ein Zuhause für Ältere in Not – Unser Engagement in Äthiopien
Dort zu unterstützen, wo Hilfe benötigt wird, ist uns ein wichtiges Anliegen – und deshalb setzen wir uns für die Asegedech Asfaw Aged Person Aid and Rehabilitation Organization in Dire Dawa, Äthiopien ein. Diese Einrichtung, die von der Großmutter eines unserer Kollegen in den 1980er Jahren gegründet wurde, ist heute eine Heimat für über 100 ältere Menschen.
Ein Zufluchtsort für Bedürftige
Auf dem Gelände der Organisation finden die Bewohner eine warme Unterkunft, regelmäßige Mahlzeiten und medizinische Versorgung – eine wichtige Grundlage, um ein würdevolles Leben zu führen. Die Einrichtung bietet zudem Physiotherapie und persönliche Betreuung für alle, die sie benötigen, und unterstützt die Menschen dort finanziell, um ihnen ein unabhängigeres Leben zu ermöglichen.
Bildquelle: www.asegedechaged.com
Die Asegedech Asfaw Aged Person Aid and Rehabilitation Organization ist für viele dieser Menschen die einzige Hoffnung, und mit knapp 30 engagierten Mitarbeitern kümmert sie sich jeden Tag um ihre Bewohner. Die Helfer vor Ort leisten dabei weit mehr als nur medizinische und finanzielle Hilfe: Sie schaffen eine Gemeinschaft, in der ältere Menschen sich zu Hause fühlen und Unterstützung erfahren.
Unsere Unterstützung für eine bessere Zukunft
Wir freuen uns sehr, dieses wertvolle Projekt ab sofort finanziell zu unterstützen. Die Spenden helfen dabei, den täglichen Betrieb der Organisation sicherzustellen und die Lebensbedingungen der Bewohner weiter zu verbessern. Es ist für uns ein Anliegen, mit unserer Unterstützung etwas zurückzugeben und die großartige Arbeit dieser Organisation fortzusetzen.
Die Asegedech Asfaw Aged Person Aid and Rehabilitation Organization zeigt, wie viel eine Vision und ein starkes Engagement bewirken können. Wir hoffen, durch unseren Beitrag zu einer besseren Zukunft für ältere Menschen in Not beizutragen und danken all denjenigen, die täglich daran arbeiten, dieses Projekt zu realisieren.
Keine Krise trotz kommender Gesetze: Unsere Experten im Interview
Kritis-Dachgesetz, NIS2 und die DORA-Richtlinie stehen vor der Tür. Diese müssen demnächst in deutsches Recht umgesetzt werden oder unmittelbar ohne nationale Anpassung angewandt werden. Unsere Experten erläutern im Interview für das Magazin PROTECTOR, wer sich auf Veränderungen gefasst machen muss und was passiert, wenn die kommenden Voraussetzungen nicht erfüllt werden.
Unsere Experten gaben einen Einblick in die Veränderungen, die mit dem Kritis-Dachgesetz und NIS2-Umsetzungsgesetz einhergehen werden. Wie der aktuelle Stand der Gesetzgebungen ist und wie sie die Situation im Markt einschätzen, haben deshalb Holger Koeppe und Matthias Kurfels, Managing Consultants sowie Isaac Michael, Informationssicherheitsbeauftragter und Christina Renner, Senior Consultant für Informationssicherheit, beantwortet.
1. Mit dem NIS2-Umsetzungsgesetz kommen einige Veränderungen auf die Sicherheitsbranche aber auch auf deren Kunden zu. Wer wird maßgeblich davon betroffen sein?
Holger Koeppe: Grundsätzlich werden Einrichtungen und Organisationen davon betroffen sein, die wichtige und besonders wichtige Dienste anbieten. Also Dienstleistungen oder Produktionen die im Krisenfall einen großen Einfluss auf das Funktionieren der vorhandenen Infrastruktur besitzen. Formell beschreibt der Gesetzesentwurf damit alle Unternehmen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz ab 10 Millionen Euro. Besonders wichtige Einrichtungen definieren sich dadurch, dass sie mindestens 250 Mitarbeiter beschäftigen, einen Jahresumsatz ab 50 Millionen Euro und eine Jahresbilanzsumme von mindesten 43 Millionen Euro erzielen.
Außerdem müssen sich diese Unternehmen speziell definierten Sektoren zuordnen lassen. In diesen Sektoren gelten dann noch festgelegte Kriterien, beispielsweise, wie viele Haushalte mit den Leistungen der Organisation versorgt werden oder wie hoch die Erzeugerwerte in der Strom- oder Gasversorgung sind. Also eine etwas komplexe Zusammenstellung von Kriterien, die darüber entscheidet, ob die Anforderungen nach NIS2 erfüllt werden müssen oder nicht. Es wird von geschätzt 40.000 Unternehmen ausgegangen, die von der Umsetzung des Gesetzes betroffen sein werden.
Trotzdem können die Anforderungen auch auf eigenen Wunsch umgesetzt werden, auch wenn man nicht dazu verpflichtet ist. So sind Regelwerke wie die ISO 27001 oder der BSI-Grundschutz sichere Alternativen dafür. Denn ehrlich gesagt macht man es Angreifern, die es auf digitale Infrastrukturen abgesehen haben, nur noch einfacher, wenn es keine Schutzmaßnahmen gibt. Unabhängig davon, ob man letztendlich gesetzlich dazu verpflichtet ist oder nicht.
2. Auch die Dora-Richtlinie wirkt sich auf den Markt aus. Was ist Dora konkret und welche Auswirkungen hat diese für Unternehmen?
Matthias Kurfels: Dora ist die Abkürzung für „Digital Operational Resilience Act“, einer Verordnung auf EU-Ebene, die im Jahr 2022 erlassen wurde und ab 17. Januar 2025 verbindlich anzuwenden ist. Dora wird durch zahlreiche Auslegungsbestimmungen ergänzt, die als delegierte Verordnungen der EU veröffentlicht werden.
Im Mittelpunkt steht die Stärkung der Widerstandsfähigkeit von Finanzunternehmen gegen Cyberbedrohungen und die Verbesserung der Steuerung und Überwachung von Informations- und Kommunikationsdienstleistern (IKT) sowie deren Sub-Dienstleistern. Der Verordnungsgeber fordert neben soliden und detaillierten Regelungen auf Unternehmensebene („IKT-Governancerahmen“) auch zahlreiche realitätsnahe Tests (PenTests, Notfalltests), in die zum Teil auch die Dienstleister der Finanzunternehmen eingebunden werden müssen. Die IKT-Dienstleister der Finanzunternehmen müssen über eine Zertifizierung ihrer Informationssicherheit verfügen, damit weniger Gefährdungen von ihnen ausgehen.
Dora wendet sich an die gesamte Finanzindustrie, also Banken, Versicherer, Zahlungsdienstleister und Kapitalverwaltungsgesellschaften, und harmonisiert bereits bestehende Regelungen über diese Branchen hinweg. Zudem werden neue Anbieter wie Kontodienstleister (z. B. Kontowechselservices), Schwarmfinanzierer und Anbieter von Kryptodienstleistungen von der Richtlinie erfasst, die sich erstmals mit der digitalen Widerstandsfähigkeit befassen müssen. Die europäische Finanzaufsicht wird auf Dora-Basis insbesondere die kritischen IKT-Dienstleister stärker überwachen, da ihre Leistungen von einer Vielzahl von Finanzunternehmen genutzt werden und so sehr leicht ein systemisches Risiko für die Finanzindustrie entstehen kann, wenn diese IKT-Dienstleister Cyberbedrohungen nicht in den Griff bekommen.
3. Wie ist der aktuelle Stand von NIS2 und Kritis und wie schätzen Sie die Situation im Markt in Bezug auf die Richtlinien ein?
Isaac Michael: Aktuell liegt ein Regierungsentwurf vom 24.7.24 zum NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, kurz NIS2 UmsuCG vor. Eine etwas sperrige Bezeichnung, die allerdings schon darauf hinweisen soll, worum es in diesem Gesetz gehen soll. Nämlich um den Ausbau von Aktivitäten zur Abwehr von Angriffen durch Cyberkriminelle. Ein Thema, das vor allem im Mittelstand noch kein großes Bewusstsein erreicht hat. Mit der Umsetzung des Gesetzes soll aber genau dort angesetzt werden. Die Unternehmen sollen verstehen, dass die gewünschte Wertschöpfung heutzutage in zunehmendem Maße auch davon abhängt, wie gut Datensysteme und Informationen geschützt sind. Ein allzu sorgloser Umgang damit kann großen Schaden verursachen, wie prominente Beispiele in der Vergangenheit bereits gezeigt haben.
Der Ausfall von Produktion, das Ausbleiben von Lieferungen für Rohstoffe oder die Manipulation von Daten und Informationen kann Unternehmen in die Insolvenz treiben. Deshalb gehen wir davon aus, dass zahlreiche Organisationen mit der Umsetzung der Anforderungen überfordert sein werden. Das liegt zum einen am fehlenden Know-how, da wenige Unternehmen in den letzten Jahren gezielt in Richtung IT-Expertise rekrutiert haben. Zum anderen fehlt es allerdings auch an geeignetem Personal, aufgrund des Fachkräftemangels. Da die erforderlichen Maßnahmen auch mit Investitionen in physische Sicherheit der Betriebsstätten zusammenhängen oder modernere, digitale Systeme zur Überwachung der Infrastruktur angeschafft werden müssten, werden diese Ausgaben meist gemieden. Das kann fatale Folgen haben.
4. Werden Unternehmen Ihrer Meinung nach dem Druck nicht standhalten, der mit den Gesetzgebungen auf sie zukommt und deshalb vom Markt verschwinden? Wer könnte das sein?
Holger Koeppe: Dass Unternehmen vom Markt verschwinden, kann so pauschal nicht mit fehlenden Maßnahmen in die Sicherung von digitalen Infrastrukturen begründet werden. Dafür kann es eine Vielzahl von Ursachen geben. Sicher sind die Herausforderungen an die Unternehmen gestiegen, gesetzliche und behördliche Anforderungen zu erfüllen. Sicher ist das auch ein Grund, warum viele Unternehmen den hohen administrativen Aufwand rund um ihr eigentliches Kerngeschäft über ihre Verbände kritisch diskutieren. Wer jedoch die Gefahren für sein Unternehmen unterschätzt, der riskiert am Ende, dass sich seine Vorstellung von der Entwicklung des geplanten Geschäftes nicht erfüllen wird. Das gilt sowohl für die Abwehr von Cyberangriffen als auch für die Vermeidung von Unfällen im Rahmen des Arbeitsschutzes oder der Produktsicherheit. Hier greift die Verantwortung der Unternehmensleitung mit den richtigen Prioritäten und strategischen Maßnahmen den Fortbestand des Unternehmens zu sichern. Dafür stehen sie auch in der persönlichen Haftung.
5. Welche Voraussetzungen müssen Unternehmen erfüllen, damit sie gut aufgestellt sind und von den Herausforderungen der Richtlinien nicht „kalt erwischt“ werden?
Christina Renner: Auch dafür gibt es keine pauschale Antwort. Die Maßnahmen zur Stärkung der eigenen Resilienz, also der Fähigkeit sich gegen Cyberattacken zu schützen, sind so individuell wie es die Unternehmen in aller Regel selbst sind. Wenn ein Regelwerk wie z.B. die internationale Norm ISO 27001 in seiner aktuellen Version bereits eingeführt und etabliert ist, dann sind die Anforderungen des NIS2 UmsuCG bereits zu großen Teilen erfüllt. Das gilt auch für die Nutzung des BSI-Grundschutzes oder anderer Standards. Das hat den Vorteil, dass bereits ein gewisses Bewusstsein für die Thematik bei den Mitarbeitenden vorhanden ist. Dies erleichtert unserer Erfahrung nach auch die noch nicht erfüllten NIS2 Kriterien umzusetzen. Doch eines sollte von Beginn an klar sein: NIS2 ist weitaus mehr als die Implementierung technischer Lösungen wie Firewalls, Antivirenprogramme oder anderer Cybersicherheitsprodukte. Hersteller von Sicherheitslösungen preisen ihre Produkte häufig als die ultimative Antwort auf gesetzliche Anforderungen wie NIS2 an. Doch dies greift zu kurz.
Was zudem oft unterschätzt wird, ist, dass sich Maßnahmen zum Schutz von Daten und Informationen auch auf den physischen Schutz, also die Sicherung der Arbeitsstätten und Gebäude beziehen sollte. Denn die besten Maßnahmen digitale Informationen und Daten zu sichern, sind in Gefahr, wenn es zum Beispiel gelingt, mit mobilen Datenträgern Viren in die Infrastruktur einzuschleusen, oder über das Einspielen spezieller Programme nachhaltig zu manipulieren. Offene Türen und Tore, ungesicherte Laptops oder fehlende Besuchersteuerungen können dadurch zu einer echten Gefahr für die Unternehmenswerte werden. Kurzum, das richtige Vorgehen bei der Sicherung der eigenen Infrastruktur zu finden, bedeutet eine gründliche Analyse des Reifegrades der bereits ergriffenen Maßnahmen durchzuführen. Unter dem Reifegrad versteht man dann, ob eine Maßnahme wahrnehmbare Wirkung erzeugt, ob sie nur beschrieben ist, oder ob die Planung dazu noch nicht stattgefunden hat.
6. evolving systems consulting dient als Berater für die kommenden Richtlinien. Welche Leistungen können Unternehmen erwarten, die Ihre Services in Anspruch nehmen?
Matthias Kurfels: Im Kern bieten wir drei Leistungstypen an, die auf die jeweilige Situation bei den Unternehmen angepasst werden können.
- Mit einer GAP-Analyse stellen wir den eben beschriebenen Reifegrad der Organisation fest. Dabei führen wir Interviews mit den für das jeweilige Themengebiet verantwortlichen Mitarbeitenden durch. Darüber hinaus erörtern wir mit der Geschäftsleitung die strategische Ausrichtung und geben Impulse für erforderliche Änderungen. Wo es sinnvoll ist, verschaffen wir uns auch vor Ort einen Eindruck von der Umsetzung bisheriger Maßnahmen.
- In einem Sensibilisierungs-Workshop planen wir mit der Geschäftsleitung ein mögliches Vorgehen bei der Stärkung oder dem Aufbau geeigneter Resilienz Strategien. In diesem Workshop fließen die Ergebnisse der Interviews und der Begehung mit ein.
- In der sich anschließenden Umsetzungsbegleitung helfen wir methodisch bei der Planung und Umsetzung notwendiger Projekte, liefern Vorlagen zur Dokumentation und unterstützen bei Schulungsmaßnahmen.
Diese drei Leistungen passen wir in Umfang und Inhalt der beim Kunden vorhandenen Ressourcen und Maßnahmenumfänge an. Das hat die Vorteile, dass wir in der Begleitung das Know-how beim Kunden sowie die Dokumentation aufbauen oder optimieren und die Organisation bei der Umsetzung der notwendigen Anforderungen unterstützt und nicht überfordert wird. Am Ende unserer Zusammenarbeit kann das Unternehmen die notwendigen Anforderungen vorweisen, um ihrer gesetzlichen Verpflichtung nachzukommen.
7. Sind Ihre Services zertifiziert oder anderweitig staatlich geprüft?
Isaac Michael: Die evolving systems consulting GmbH ist selbst nach dem internationalen Standard der ISO 27001:2022 zertifiziert und arbeitet dementsprechend an der ständigen Verbesserung ihrer eigenen Sicherheitsprozesse nach dem geforderten Prinzip des Plan-Do-Check-Act. Wir nutzen Systeme und Standards gemäß dem Stand der Technik. Außerdem erfüllen wir die Standards der DSGVO und überprüfen diese regelmäßig bei unseren Partnern und Dienstleistern.
8. Wie sind Unternehmen auch rechtlich in Bezug auf die Richtlinien gut aufgestellt, wenn Sie sich von Ihnen beraten lassen?
Christina Renner: Wir arbeiten mit Partnern zusammen, die sich auf die rechtlichen Anforderungen der Daten- und Informationssicherheit spezialisiert haben. In unserer Arbeit nutzen wir unsere Erfahrung in der „Übersetzung“ von Anforderungen aus entsprechenden Regelwerken, wie dem NIS2 UmsuCG oder der ISO 27001. Wir überführen also den „Normsprech“ in konkret wahrnehmbare Maßnahmen zum Schutz der IT-Infrastruktur unserer Kunden.
Das ist vor allem für die Akzeptanz dieser Maßnahmen wichtig. Denn nur wenn alle Mitarbeitenden auch verstehen, was sie zu tun haben, wenn sie Angriffe bemerken, können sie entsprechend handeln. Da helfen keine „akademisierten“ Begrifflichkeiten, da werden eindeutige Dokumente und klare Prozesse benötigt, die wir mit den beteiligten Mitarbeitenden gemeinsam entwickeln. Wer beteiligt wird, der akzeptiert in aller Regel auch die Ergebnisse und setzt sie in im täglichen Handeln erfolgreich um.
Microsoft 365 Einführung bei neun Genossenschafts-banken
M365 bietet eine zentrale Plattform für die Zusammenarbeit und beinhaltet bekannte Office-Anwendungen wie Word, Excel und PowerPoint, die sowohl online als auch offline genutzt werden können. Zudem ist die Kollaborationsplattform Microsoft Teams Teil der Suite und bietet eine zentrale Umgebung für Kommunikation und Zusammenarbeit innerhalb von Teams und Organisationen.
Im Rahmen von mehreren Projekten direkt vor Ort haben wir neun Genossenschaftsbanken bei der Einführung von M365 unterstützt und begleitet. Unsere Leistungen umfassten:
- Koordination und Steuerung: Wir haben die Einführung von M365 geplant und koordiniert, um eine reibungslose Implementierung sicherzustellen.
- Unterstützung und Begleitung: Unser Team war vor Ort, um den Mitarbeitern bei der Nutzung der neuen Plattform zu helfen und sie durch den gesamten Prozess zu begleiten.
- Problemlösung: Wir haben vor Ort Herausforderungen und Probleme gelöst, um einen reibungslosen Ablauf zu gewährleisten.
- Schnittstelle zum zentralen Leitstand: Wir fungierten als Schnittstelle zum zentralen Leitstand, um eine effiziente Kommunikation und Problembehebung sicherzustellen.
- Minutenfahrplan: Wir erstellten und arbeiteten gemeinsam mit dem Kunden einen detaillierten Minutenfahrplan ab, um alle Schritte der Implementierung klar zu definieren und zu verfolgen.
- Eskalationsmanagement: Bei Bedarf haben wir Eskalationsmanagement betrieben, um sicherzustellen, dass alle Probleme schnell und effektiv gelöst wurden.
- Dezentraler Leitstand vor Ort: Wir richteten einen dezentralen Leitstand vor Ort ein, um die Einführung und den Betrieb von M365 optimal zu überwachen und zu steuern.
Diese Projekte unterstreichen unser Engagement für technologische Innovation und effizientes Projektmanagement. Dank unserer Unterstützung konnten die Genossenschaftsbanken M365 erfolgreich einführen und von den zahlreichen Vorteilen der Plattform profitieren.
Senior IT-Berater mit Schwerpunkt Banken (m/w/d)
Wir stehen für verlässliches und nachhaltiges Management von IT-Infrastrukturprojekten – von der Idee bis zur erfolgreichen Weiterführung. Unser Leistungsangebot umfasst die Steuerung von IT- Migrations-, Verlagerungs- und Entflechtungsprojekten, Consulting und Coaching. Zur Förderung unserer Unternehmenskultur legen wir hierbei großen Wert auf flache interne Hierarchien, direkte Abstimmungswege und ein teamorientiertes Arbeiten.
Zum nächstmöglichen Zeitpunkt suchen wir für die IT-Projekte bei unseren Kunden aus den Bereichen Bank/Finanzen Unterstützung durch jemanden mit Bankerfahrung und Interesse an IT-Themen.
Deine Aufgabe bei uns:
- Du bist für die Planung, Koordination und Umsetzung komplexer bankfachlicher Projekte mit IT-Bezug verantwortlich und bist dabei bei unseren Kunden in der Rolle des Projektleiters tätig
- Gemeinsam mit den Kunden ermittelst du Herausforderungen und Ziele, leitest daraus Lösungen für die jeweilige Lösung ab und konzeptionierst diese
- Neben dem Projektmanagement berücksichtigst Du dabei stets die Themen Compliance & Security sowie Regulatorik sowie das Kosten- und Risikomanagement
- Du bist dabei regelmäßig mit den Stakeholdern im Austausch und verantwortest zudem das Schnittstellenmanagement, die Ressourcenplanung und die Qualitätssicherung
- Du arbeitest eng mit dem Vertrieb und der Geschäftsführung zusammen
- Je nach Projektgröße und Erfahrung übernimmst du die eigenverantwortliche Betreuung des Kunden als auch die Führung der Projektmitarbeiter
Das bringst du mit:
- Du hast eine Ausbildung oder ein Studium im Bereich Bank / Finanzen absolviert oder hast langjährige Erfahrung in der Finanz Branche
- Du bringst 5-10 Jahre Berufserfahrung in der Projektleitung und im Optimalfall im Consulting mit
- Du hast fundierte Kenntnisse bzgl. der Funktionsweise von Kernbankverfahren, Zahlungsverkehr und Banksteuerung. Ebenfalls sind Dir Begriffe wie Meldewesen und Regulatorik im Bankenumfeld nicht fremd.
- Du besitzt fundierte Kenntnisse oder idealerweise Zertifizierungen der Projektmanagementmethoden nach PMI, IPMA oder PRINCE2 und haben nachweisliche Projekterfahrung mit unterschiedlichen IT-Infrastrukturen
- Optimalerweise warst du bereits in der Beratung oder der Orga-Abteilung einer Bank
- Du arbeitest gerne in interdisziplinären Teams und der Austausch fällt dir leicht
- Du sprichst verschiedene Sprachen: die der Stakeholder bei unseren Kunden als auch die unserer Consultants und Engineers – Du verbindest also Bank und IT
- Den Überblick zu behalten und dich zu organisieren, gelingt dir mühelos
- Ein temporär hohes Arbeitsaufkommen, Termindruck und Deadlines bringen dich nicht aus der Ruhe
- Du bist offen gegenüber Veränderungen und Trends
- Du bist gerne in einem Umfeld tätig, in dem nicht alles bis ins Detail geregelt ist und schaffst es, strukturierte und pragmatische Lösungen zu finden
- Im Rahmen der Projekte beim Kunden bist du gerne innerhalb Deutschlands unterwegs
Das erwartet dich bei uns:
- Ein Team, das sich auch bei örtlicher Ferne immer nah ist
- Eine Duz-Kultur innerhalb der esc
- Ein Unternehmen, in dem du den Unterschied machst und mitgestaltest – Du bringst deine Ideen ein und bestimmst den Weg zum Ziel
- Ein abwechslungsreiches Tätigkeitsfeld, das individuell auf dich und deine Fähigkeiten abgestimmt ist
- Ein kollegiales Umfeld, in dem auf Augenhöhe und mit Spaß gemeinsam gearbeitet wird
- Gemeinsame Werte, die nicht nur auf dem Papier stehen, sondern wirklich gelebt werden
- flexible Gestaltung des Arbeitstages hinsichtlich Zeit und Ort
- Teamevents, bei denen alle Kollegen gemeinsam Deutschland oder die Welt erkunden
- Ein attraktives Gehaltspaket – bestehend aus Grundgehalt und variablem Gehaltsanteil
Klingt interessant?
Dann möchten wir dich kennenlernen!
Wir freuen wir uns auf deine Bewerbung mit deiner Verfügbarkeit und Gehaltsvorstellung. Da Zeit immer knapp ist, kannst du dich auch gerne ohne Anschreiben bewerben.
Von Urteilen zu Lösungen: Effektives Zustimmungs-kampagnenmanagement
Zustimmung ist in vielen Lebensbereichen von zentraler Bedeutung – auch für Banken spielt sie eine wesentliche Rolle. Seit dem Urteil des Bundesgerichtshofs (BGH) vom 27. April 2021 (Az. XI ZR 26/20) benötigen sie bei Änderungen von Entgelten, Allgemeinen Geschäftsbedingungen (AGB) und Sonderbedingungen das Einverständnis ihrer Kundinnen und Kunden.
Ein weiteres Element dieses Urteils ist die Zweimonatsfrist: Zwischen dem Angebot der Änderung und deren Wirksamkeit müssen mindestens zwei Monate und ein Tag liegen. Diese Frist gilt sowohl im Online- als auch im Präsenzgeschäft und gibt den Kundinnen und Kunden ausreichend Zeit zur Überprüfung und Entscheidungsfindung. Ohne Zustimmung innerhalb dieser Frist bleiben die bestehenden Bedingungen weiterhin gültig. Das Ziel ist klar: Transparenz und Verantwortung gegenüber den Kunden sicherstellen. Doch wie gelingt es uns, diese Zustimmung möglichst unkompliziert einzuholen? Genau dafür haben wir eine Lösung entwickelt und bereits erfolgreich bei zahlreichen Kunden implementiert.
Kundenzustimmungen einfach und effizient einholen
Mit einem transparenten und leicht zu integrierenden Zustimmungsprozess lässt sich die Einholung von Kundenzustimmungen sehr einfach umsetzen. Wir haben eine Lösung entwickelt, die auf einem rechtskonformen Prozess, der speziell für den Bankensektor entwickelt wurde, basiert. Sie bietet eine umfassende Integration in bestehende Systeme zur aktiven Einholung von Zustimmungen bei Änderungen von Entgelten, AGB oder Sonderbedingungen. Hier sind einige Schlüsselaspekte:
Lösungsansätze im Detail:
Für die Betreiber des Systems ist es besonders einfach, Kampagnen anzulegen, da intuitive Eingabemasken zur Verfügung stehen, die den Erstellungsprozess sehr leicht machen und beschleunigen. Die benutzerfreundliche Oberfläche erleichtert nicht nur die Bedienung, sondern gestaltet auch den gesamten Prozess der Zustimmungsverwaltung effizienter und übersichtlicher.
Standardisierte, rechtlich abgestimmte Anschreiben werden durch bankindividuelle Anlagen ergänzt. Dadurch wird eine persönliche Ansprache über den bevorzugten Kommunikationsweg des Kunden gewährleistet, was die Effizienz der Zustimmungseinholung erhöht.
Unsere Lösung lässt sich nahtlos in die IT-Infrastruktur von Banken integrieren, ohne den laufenden Betrieb zu stören.
Durch vollständige Integration werden gesetzliche Vorgaben automatisch eingehalten. Die sichere Speicherung und Versionierung der Zustimmungsdaten gewährleistet höchste Datensicherheit.
Kundinnen und Kunden können ihre Zustimmung über verschiedene Kanäle wie QR-Code Landingpages, Overlays im Online-Banking oder direkte Unterstützung durch das Kundenberatungsteam abgeben. Diese Auswahlmöglichkeiten garantieren, dass jeder Kunde auf seinem bevorzugten Weg informiert und aktiviert wird, wodurch die Zustimmung unter Umständen auch schneller und unkomplizierter erfolgen kann.
Ein einfacher und klar strukturierter Zustimmungsprozess verbessert die Gesamterfahrung der Kunden, fördert die Zufriedenheit und stärkt das Vertrauen in die Bank.
Die Vorteile eines integrierbaren Zustimmungskampagnenmanagements:
Nahtlose Integration
Die einfache Einbindung ohne umfangreiche Anpassungen ermöglicht eine nahtlose Integration.
Effizienzsteigerung
Die Automatisierung spart Zeit und Kosten.
Konsistente Datenverwaltung
Durch die zentrale Speicherung der Zustimmungen wird die Datenintegrität erhöht.
Einfache Skalierbarkeit
Anpassungen an wachsende Anforderungen sind unkompliziert umsetzbar.
Optimierte Benutzererfahrung & Fehlerreduzierung
Durch einfache Zustimmung über vertraute Kanäle werden manuelle Fehlerquellen minimiert.
Erhöhte Sicherheit
Durch verbesserte Standards wird der Schutz vor Datenverlust erhöht.
Ihr Ansprechpartner
Möchten Sie mehr über unsere Lösung erfahren oder haben Sie Fragen?
Gern stehen wir Ihnen für ein persönliches Gespräch zur Verfügung.
Thomas Hahn
Senior Consultant
Tel.: +49 174 695 4469
NIS2-Richtlinie: Fast 40.000 Unternehmen müssen reagieren – Gehört Ihres dazu?
Mit dem neuen Gesetz zur Umsetzung der EU NIS2-Richtlinie, bekannt als NIS2UmsuCG (Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit), wird sich die digitale Landschaft in Deutschland verändern. Das Gesetz zielt darauf ab, die Cybersicherheit in Unternehmen zu stärken und harmonisiert die EU-weiten Mindeststandards für Cybersicherheit auf nationaler Ebene. Die Auswirkungen sind enorm: Fast 40.000 Unternehmen in Deutschland werden von den neuen Regelungen betroffen sein, eine erhebliche Steigerung gegenüber den rund 3.000 Unternehmen, die bisher unter die KRITIS-Verordnung fielen. Da ab Veröffentlichung eine 9-monatige Frist zur Registrierung besteht, sollten Unternehmen jetzt prüfen, ob sie betroffen sind.
Wer ist betroffen?
Unternehmen, die von NIS2 betroffen sind, lassen sich in drei (bis vier) Gruppen einteilen:
- Besonders wichtige Einrichtungen
- Wichtige Einrichtungen
- Betreiber kritischer Anlagen (KRITIS)
- Einige Bundeseinrichtungen
Einstufungskriterien für Unternehmen im Rahmen des NIS2UmsuCG:
– Unternehmen mit mindestens 250 Mitarbeitern oder
– Unternehmen mit einem Umsatz von über 50 Millionen EUR und einer Bilanzsumme von mehr als 43 Millionen EUR
– Sonderfälle wie qualifizierte Vertrauensdiensteanbieter (qTSP), Top-Level-Domain-Registries (TLD), Domain Name System (DNS) Anbieter, Telekommunikationsanbieter (TK-Anbieter) und kritische Anlagen
– Unternehmen mit mindestens 50 Mitarbeitern oder
– Unternehmen mit einem Umsatz von über 10 Millionen EUR und einer Bilanzsumme von mehr als 10 Millionen EUR
– Vertrauensdienste gehören ebenfalls zu dieser Gruppe
– Verwendung der KRITIS-Methodik zur Feststellung der Betroffenheit einzelner Anlagen
– Eine Anlage wird als KRITIS betrachtet, wenn sie mindestens 500.000 Personen versorgt
Neue Sicherheitsanforderungen
Betroffene Unternehmen müssen angemessene, verhältnismäßige und effektive technische und organisatorische Maßnahmen ergreifen, um ihre IT-Systeme und Geschäftsprozesse zu schützen. Ziel ist es, Störungen in der Verfügbarkeit, Integrität und Vertraulichkeit zu verhindern und die Auswirkungen von Sicherheitsvorfällen zu minimieren. Zu den wesentlichen Maßnahmen zählen:
- die Berücksichtigung von Faktoren wie Risikoexpositionsmaß, Unternehmensgröße, Implementierungskosten, Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie gesellschaftliche und wirtschaftliche Folgen
- ein ganzheitlicher Ansatz unter Berücksichtigung europäischer und internationaler Normen
- eine Dokumentation der durchgeführten Maßnahmen.
Erweiterter Geltungsbereich
Die NIS2-Umsetzung erweitert den Geltungsbereich erheblich. Große Teile der Unternehmen unterliegen nun der Regulierung. Einrichtungen müssen Risikomanagement und Maßnahmen gemäß §30ff umsetzen. Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und Sicherheitsvorfälle melden.
Meldepflicht und Nachweise
Besonders wichtige Einrichtungen und Betreiber kritischer Anlagen müssen dem BSI Sicherheitsvorfälle innerhalb von 24 Stunden melden und stufenweise Folgemeldungen einreichen. Zudem sind regelmäßige Audits, Prüfungen oder Zertifizierungen erforderlich, um die Einhaltung der Maßnahmen nachzuweisen.
Sanktionen
Die Sanktionsvorschriften werden erweitert und umfassen neue Bußgeldtatbestände mit erhöhten Geldbußen zwischen 100.000 und 20 Millionen Euro, abhängig vom weltweiten Umsatz. Geschäftsleitungen müssen die Risikomanagement-Maßnahmen billigen und überwachen. Eine Verletzung dieser Pflichten kann zu einer Binnenhaftung der Geschäftsleitung führen.
Fristen und Umsetzung
Das NIS2UmsuCG tritt voraussichtlich Ende 2024 in Kraft, und die Pflichten für Unternehmen gelten ab diesem Zeitpunkt mit einer Registrierungspflicht von 9 Monaten. Es ist daher von entscheidender Bedeutung, dass Unternehmen frühzeitig mit der Umsetzung der neuen Anforderungen beginnen.
Das NIS2UmsuCG markiert einen wichtigen Schritt zur Stärkung der Cybersicherheit in Deutschland. Unternehmen müssen jetzt aktiv werden, um die neuen Anforderungen zu erfüllen und ihre IT-Sicherheitsmaßnahmen entsprechend anzupassen. Dies erfordert nicht nur technische Lösungen, sondern auch organisatorische Veränderungen und Schulungen, um sicherzustellen, dass alle Beteiligten ausreichend vorbereitet sind.
Ihre Ansprechpartner
Gerne stehen wir Ihnen für einen weiteren Austausch zur Verfügung.
Isaac Michael
Informationssicherheit und Datenschutz
Tel.: +49 173 4112814
Holger Koeppe
Managementsysteme & Audits
Tel.: +49 173 4112778
Berater IT Governance mit Schwerpunkt DORA (m/w/d)
Wir stehen für verlässliches und nachhaltiges Management von IT-Infrastrukturprojekten – von der Idee bis zur erfolgreichen Weiterführung. Unser Leistungsangebot umfasst die Steuerung von IT- Migrations-, Verlagerungs- und Entflechtungsprojekten, Consulting und Coaching. Zur Förderung unserer Unternehmenskultur legen wir hierbei großen Wert auf flache interne Hierarchien, direkte Abstimmungswege und ein teamorientiertes Arbeiten.
Zum nächstmöglichen Zeitpunkt suchen wir für unsere Kundenprojekte Unterstützung für den Bereich IT Governance/DORA in Vollzeit/Teilzeit ab 80%.
Deine Aufgabe bei uns:
Unterstützung in den Beratungsschwerpunkten im DORA-Umfeld:
- Umsetzung und Pflege des IKT-Risikomanagementrahmens, v.a.
- digitale operationale Resilienz-Strategie
- Richtlinien und Prozessbeschreibungen zum IKT-Risikomanagement
- Business Continuity Management
- IKT-Drittbezugsmanagement (IT-Auslagerungsmanagement)
Damit einhergehende Aufgaben:
- Beratung von Kunden aus den von DORA betroffenen Branchen in den genannten Themenbereichen
- Erstellung von Gap-Analysen
- Bewertung der Gaps im Hinblick auf die Erfüllung regulatorischer Anforderungen und betriebswirtschaftlicher Effizienz
- Erarbeitung von Umsetzungsdokumenten (ggf. unter Mitwirkung der Kunden)
- Schulung und Coaching von Fach- und Führungskräften (offene Seminare und Inhouse-Seminare)
- Erarbeitung von Beratungs- und Umsetzungshilfen sowie Vertriebspräsentationen bei neuen regulatorischen Anforderungen
Das bringst du mit:
- Mindestens 3 Jahre Berufserfahrung in den oben genannten Bereichen
- gute Kenntnisse der IT-Governance nach BAIT, VAIT oder KAIT
- erste Erfahrungen mit DORA (Gap-Analyse, Mitwirkung an aktuellen Umsetzungsprojekte)
- gute Kenntnisse IT-bezogener Normen (z. B. ISO 27001, BSI-Grundschutz)
- optionale Kenntnisse: Tests der digitalen operationalen Resilienz (u. a. TLPT) und in der Behandlung IKT-bezogener Sicherheitsvorfälle inkl. Meldewesen
- Reisebereitschaft
Das erwartet dich bei uns:
- Ein Team, das sich auch bei örtlicher Ferne immer nah ist
- Eine Duz-Kultur innerhalb der esc
- Ein Unternehmen, in dem du den Unterschied machst und mitgestaltest – Du bringst deine Ideen ein und bestimmst den Weg zum Ziel
- Ein abwechslungsreiches Tätigkeitsfeld, das individuell auf dich und deine Fähigkeiten abgestimmt ist
- Ein kollegiales Umfeld, in dem auf Augenhöhe und mit Spaß gemeinsam gearbeitet wird
- Gemeinsame Werte, die nicht nur auf dem Papier stehen, sondern wirklich gelebt werden
- flexible Gestaltung des Arbeitstages hinsichtlich Zeit und Ort
- Teamevents, bei denen alle Kollegen gemeinsam Deutschland oder die Welt erkunden
- Ein attraktives Gehaltspaket – bestehend aus Grundgehalt und variablem Gehaltsanteil
Klingt interessant?
Dann möchten wir dich kennenlernen!
Wir freuen wir uns auf deine Bewerbung mit deiner Verfügbarkeit und Gehaltsvorstellung. Da Zeit immer knapp ist, kannst du dich auch gerne ohne Anschreiben bewerben.