Einen Blick auf meinen Projektantrag? (FISI)

[Pat1989]

Hallo liebe Netzgemeinde,

ich lese hier nun schon seit Beginn meiner Ausbildung mit (bin jetzt im 3. Ausbildungsjahr). Da die Prüfungen näher rücken und ich vor Weihnachten gerne meinen Projektantrag abgeben würde, habe ich mich dazu entschlossen euch nach eurer Meinung zu fragen. Ich habe bereits einige gute Tipps und Anmerkungen in diesem Forum erhalten und würde mich somit über eure ehrliche Meinung zu meinem Antrag freuen.

Mein größtes Problem ist, dass der Antrag seitens der IHK nicht angenommen wird, da dieser zu dünn ist oder die so gern erwähnte "technische Tiefe" fehlt. Allerdings enthält mein Projekt meiner Meinung nach sämtliche Aspekte, die berücksichtigt werden müssen. Es werden verschiedene Lösungen verglichen, unter wrtschaftlichen als auch unter funtioneller Gesichtspunkten. Zudem entscheide ich welche Lösungen getroffen werden und begründe warum ich so entschieden habe.

Ich hoffe ihr könnt mir da ein wenig weiterhelfen und danke schon jetzt für hilfreiche Kommentare.

Grüße Pat

Fachinformatiker: Systemintegrator / Projekantrag für die IHK

1. Projektbezeichnung: (Auftrag)

Planung und Entwicklung eines Sicherheitskonzeptes der IT-Infrastruktur im Kundenauftrag

1.1 Kurze Projektbeschreibung:

Ein langjähriger Kunde, tätig als Beratungsunternehmen im Bereich der Chemie- und Grundstoffindustrie, kam mit der Bitte auf die xxxxx zu, ein Sicherheitskonzept für die IT-Infrastruktur ihres Unternehmens zu planen und zu erstellen. Nach einem erfolgreichen Abschluss des Projekts soll das Sicherheitskonzept gegebenenfalls mit Absprache des Kunden integriert/implementiert/umgesetzt werden.

Aktuell verfügt das von uns betreute Unternehmen über eine aus technischer Sicht gesehene rudimentär eingerichtete IT-Infrastruktur. Da weder ein Server noch ein NAS (Network Attached Storage) vorhanden sind, kommt die Möglichkeit einer Sicherung der gesamten Festplatte auf einen zentralen Server nicht in Betracht. Wichtige Firmendaten auf den Notebooks werden somit nur sehr unregelmäßig mit dem Windows-eigenen Backupprogramm lokal auf dem Rechner gesichert, wodurch im Falle einer defekten Festplatte sämtliche Daten verloren gehen würden. Somit ist die Erstellung eines entsprechenden Backupkonzeptes zur Datensicherung unternehmenskritischer und wichtiger Daten von essentieller Bedeutung.

Die Mitarbeiter des Unternehmens verfügen auf ihren Notebooks lediglich über eine kostenlose Version eines Virenprogramms zum Schutz gegen Bedrohungen. Auf Grund einiger Fälle starken Virenbefalls und hohem Arbeitsausfall durch aufwändige Entfernung der Viren bzw. einer Neuinstallation des jeweiligen Notebook, muss über ein neues Virenprogramm nachgedacht werden.

Weiterhin besteht ein großes Sicherheitsproblem hinsichtlich der fehlenden Verschlüsselung der Daten. Im Falle von Diebstahl der Hardware ist der Zugriff dritter ohne tiefgreifende IT-Kenntnisse mit geringem Aufwand innerhalb kurzer Zeit zu bewerkstelligen. Dasselbe Problem besteht bei dem E-Mailverkehr der Mitarbeiter, da es relativ einfach möglich ist, unverschlüsselte E-Mails unterwegs abzufangen und gegebenenfalls sogar zu manipulieren.

Zu Beginn des Projektes gilt es mögliche Risiken und Bedrohungen zu erkennen und zu analysieren um daraus die Schutzbedürftigkeit ermitteln zu können. Resultierend aus diesen Erkenntnissen wird ein Maßnahmenkatalog erstellt.

Es handelt sich um die Erstellung und Planung eines Sicherheitskonzeptes, welches an die spezielle IT-Infrastruktur des Kunden angepasst werden soll.

Die Durchführung bzw. die spätere Implementation des fertigen Sicherheitskonzeptes würde den vorgegebenen Zeitrahmen von maximal 35 Stunden sprengen und wird somit im Rahmen des Projekts nicht weiter behandelt.

Innerhalb des zu erstellenden Testsystems werden die Anforderungen getestet und auf mögliche Sicherheitsmängel überprüft.

Ziel des Projekts ist die Analyse der IT-Infrastruktur des Kunden und die daraus resultierende Erstellung eines geeigneten Sicherheitskonzeptes. Die Auswahl der zu benutzenden Softwareprodukte wird unter finanziellen und wirtschaftlichen Aspekten miteinander verglichen, um durch eine Nutzwertanalyse zu einer endgültigen Entscheidungsfindung zu führen.

2. Projektumfeld:

Die xxxxx EDV GmbH Service & Entwicklung ist ein selbständiges Unternehmen mit Sitz in Köln-Dellbrück. Kunden sind unter anderem mittelständige Firmen, die über keine eigene IT-Abteilung verfügen und von der xxxxx als externer IT-Dienstleister betreut werden.

Die Erarbeitung, Planung und spätere Durchführungen in einer Testumgebung werden in den Räumlichkeiten der xxxxx stattfinden.

3. Zeitplanung und Ablauf des Projektes in Stunden:

1. Planung: (Sum. 15,0 Stunden )

• -Feststellung Ist – Zustand (1,0 Stunden)
  
• -Soll-Analyse (1,0 Stunden)
  
• -Ermittlung Schutzbedürftigkeit (3,0 Stunden)
  
• -Maßnahmenkatalog (Analyse potenzieller Probleme) (4,0 Stunden)
  
• -Entwicklung von Maßnahmen zur Reduzierung der Eintrittswahrscheinlichkeit / Schadenshöhe (2,0 Stunden)
  
• -Erstellung eines Projektablaufplans (2,0 Stunden)
  
• -Erarbeitung eines Backupkonzeptes (1,0 Stunden)
  

2. Projektdurchführung: (Sum. 9,0 Stunden)

• -Konfiguration einer Testumgebung (1,0 Stunden)
  
• -Test & Vergleich verschiedener Lösungen (1,0 Stunden)
  
• -Test der Vollverschlüsselung der Festplatte auf Sicherheit (3,0 Stunden)
  
• -Implementierung von Sicherheitszertifikaten innerhalb der Testumgebung (verschlüsselte Versand von Mails) + Einbruchsversuch (2,0 Stunden)
  
• -Funktioneller Vergleich (Tabellenform) (1,0 Stunden)
  
• -Wirtschaftlicher (Kosten) Vergleich (Tabellenform) (1,0 Stunden)
  

3. Projektabschluss: (Sum. 4,0 Stunden)

• -Projektabnahme/Präsentation
  
• -Qualitätssicherung des Sicherheitskonzeptes
  
• -Gegenüberstellung Ist-Soll-Zustand
  

4. Dokumentation: (Sum. 7,0 Stunden)

• Projektdokumentation (7,0 Stunden)
  

Zeit gesamt: 35,0 Stunden

Bearbeitet 20. Dezember 2012 von Akku
Firmenname, wie gewünscht, entfernt

[Schiller256]

Was hat deine IHK denn genau geschrieben? Kannst du noch mal nachbessern oder brauchst du ein neues Projekt?

Für mich sind das viele keine Projekt zu einem großen Projekt zusammengeklebt. Da wäre zum einen ein Backup Konzept dann noch ein Virenschutz und dann kommen noch zweimal etwas mit Verschlüsselung hinzu. Einmal die Daten selbst und dann noch den Mailverkehr zu sichern. Das klingt für mich insgesamt nicht wirklich rund.

Bearbeitet 19. Dezember 2012 von Schiller256

[Pat1989]

Ne, vielleicht habe ich mich da ein wenig falsch ausgdrückt. Ich habe den Antrag bisher noch nicht eingereicht und die IHK hat dazu also noch nichts sagen können.

Das ist halt die Frage. Aber ein vollständiges Sicherheitskonzept besteht nun einmal aus verschiedenen Bestandteilen. Ich weiß halt nicht wie die Betrachtungsweise da ist und wie die Prüfer drauf sind.

[Wodar Hospur]

Bitte sag mir es gibt keinen solchen Kunden.. Wenn ich das richtig verstehe zählst du viele Standardprobleme auf und versuchst dann mit der Installation von Standardsoftware diese zu lösen. Wenn du sowas durchbringen willst, muss imho das ganze viel eher aus der Projektseite angegangen werden.

Verglichen mit anderen Projekten ist es technisch recht schwach, bzw. wenn müsstest du den Fokus verschieben imho.

Vielleicht im Sinne von:

xxxxx wird ab sofort als Service Unternehmen die komplette IT Sicherheit des Unternehmens xxx übernehmen.

Dies erfolgt in Form eines Pilotprojekts, wo besonders Wert, auf die Wiederverwendung der Lösungen für weitere Kunden gelegt wird.

Basierend auf einer Vorabanalyse wurden folgende Bereich als problematisch eingestuft:

- Backup

- Virenschutz

- Integrität und Vertraulichkeit der Daten

In diesem Projekt sollen jetzt für die jeweiligen Bereiche Konzepte erarbeitet werden, dafür wird erstmal eine komplette Bestandsaufnahme gemacht um anschließend die Möglichkeiten zu evaluieren.

Projektablauf:

- Bestandsaufnahme (Welche Geräte, Welche Daten, Welche Firmenabläufe, Haftung, Datenschutz?)

- In Absprache mit dem Kunden Erstellung eines Anforderungsprofils (SLA?)

- Schriftliche Ausformulierung für den Kunden

-> 6-8 Std.

- Evaluierung der Backup Lösungen

- Systemweit, nur Daten, Recovery Fall

- Recherche möglicher Lösungen (On-Site, Off-Site, zentral, dezentral, Cloud)

- Auswahl der geeignetsten Variante und vorbereiten zweier Angebote (Basic und Premium)

-> 8 Std.

- Evaluierung einer geeigneten Antiviren Lösung, vor allem für die mobilen Arbeitsplätze (Haftung?)

- Ursache bisheriger Infektionen ermitteln

- Vorschlag für eine modifizierte Firmenpolicy (kein Porn) erstellen

- Berechtigungskonzept erstellen um Schaden zu minimieren (nicht Admin, Bildschirmschoner...)

- Software auswählen und vorbereiten für ein Angebot

-> 6 Std.

- Evaluierung einer geeigneten HDD-Verschlüsselung

-> 4 Std.

- Wieso signierte E-Mails, wer ist bisher der Mail Provider?

Planung einer Migration ohne Produktionsausfall, Erstellung einer Kosten/Nutzen Analyse für das anbietende Unternehmen (was kann alles fakturiert werden, welche zukünftigen Projekte sind zu erwarten?)

Kosten/Nutzen Analyse für den Kunden, wann, wieso, weshalb?

-> 4 Std.

- Angebot finalisieren

- Zusammenfassen des Ablaufs und der Erkenntnisse in der Projektdokumentation

Bearbeitet 20. Dezember 2012 von Akku
Firmenname, wie gewünscht, entfernt

[Pat1989]

Hey Wodar Hospur,

vielen Dank, dass du dir so viel Zeit für deine Antwort genommen hast und wirklich versuchtst mir zu helfen.

Also dass das Thema auf der technischen Seite etwas dünn aussieht, gebe ich zu. Trotzdem ist es ein momentan wichtiges Thema, das mich zudem auch interessiert und da wir nur ein relativ kleiner IT-Dienstleister sind, ist es gar nicht so einfach ein gutes Projekt zu finden. Und ja, solche Kunden gibt es wirklich, meist landen diese dann bei uns. ;-)

Aber du bist der Meinung, dass das Projekt trotzdem genehmigt werden könnte, wenn ich den Fokus ein wenig verändere und eher in die Richtung lenke wie du geschrieben hast?

Gruß Pat