pantrag_fisi Projektantrag: Entwickeln und Einführen einer Sicherheitslösung für Server und Endpoint´s

[Lunos]

Hallo, 

bei mir ist es im winter soweit und nach dem ich mich lange schwer getan habe ein Thema zu finden habe ich hoffentlich etwas passendes gefunden. 

Ich würde liebend gerne eure Verbesserungsvorschläge hören und wissen was ihr allgemein bezüglich der Prüfung und dem Thema dazu denkt Danke schon mal im voraus.

 

Projekt:

                Entwickeln und Einführen einer Sicherheitslösung für Server und Endpoint´s

Beschreibung:

                Im Rahmen der Betrieblichem Projektarbeit soll ein Protektion System eingeführt werden welches einheitlich für alle Mitarbeiter zu verwenden ist und einfach zu steuern, außerdem wäre eine zentrale Verwaltung gewünscht sowie die Einrichtung eines Systems zur automatisierten Aussperrung von infizierten oder unbekannten Geräten, um Daten noch mehr zu schützen. Um der DSGVO gerecht zu werden wäre hier ein System welche Angriffe und Netzwerk Analyse  nicht nur betreibt sondern auch auswertet von Vorteil. Das System soll zum Ende nicht nur zum selbst Schutz, sondern auch als vorzeige Projekt für Kunden Dienen getreu dem Motto "wir vertreiben was wir nutzen". In dem Projekt sollen außerdem Erfahrungen Gesammelt werden welche für die gesamte Gruppe von Nutzen sind und somit auch für die Realisierung eventueller Projekte beim Kunden hilfreich. Um ein geeignetes System auszuwählen ist eine vorherige Analyse nach technischen und wirtschaftlichen Kritikpunkte äußerst wichtig.

Ist:         In der Firma XYZ mittelständiger IT-Dienstleister benutzt jeder Mitarbeiter zum Schutz seines Systems eigene End Point Protektion, dadurch entstehen Lücken und es ist nicht nachvollziehbar woher mögliche Probleme stammen. Es ist eine einheitliche Lösung gewünscht.

Soll:       Alle Geräte der Firma sollen mit einer einheitlichen Protektion Lösung ausgestattet werden, diese sollte wen möglich alle Geräte zentral verwalten können und korrumpierte Geräte oder solche wo der Status nicht genau bekannt ist, diese aus dem System ausschließen ist das nicht möglich wird hierfür ein Skript benötigt. Analyse Tools sind ausdrücklich gewünscht.

Zeitplanung:

1.       Definitionsphase                                                          (5h)

1.1.    Kickoff Meeting                                                             (1h)

1.2.    Ist-Aufnahme                                                                 (0,5h)

1.3.    Ist-Analyse                                                                      (1h)

1.4.    Erstellen des Sollzustandes                                       (2,5h)

2.       Planungsphase                                                            (6,5h)

2.1.    Marktanalyse                                                                 (2h)

2.2.    Vergleiche/Auswahl                                                    (2h)

2.3.    Kostenplanung                                                              (0,5h)

2.4.    Erstellung Ablaufplan                                                  (1h)

3.       Durchführung                                                                (8,5h)

3.1.    Installation eines VM Servers

           Und VM Clients                                                                (1h)

3.2.    Installation der Lösung                                                 (1,5h)

3.3.    Grundkonfiguration                                                           (2h)

3.4.    Konfigurieren von Berechtigungen                                   (2h)

3.5.    Testen und Fehler beheben                                              (0,5h)

3.6.    Auf Produktivumgebung Implementieren                        (2h)       

3.7.    Funktion testen                                                                   (0,5h)

4.       Projekt Dokumentation                                                      (10h)

4.1.    Soll-Ist-Vergleich                                                                      (1h)

4.2.    Erstellen User Anleitung                                                         (3h)

4.3.    Erstellung der Projektdokumentation                                  (6h)

5.       Projektabschluss                                                                   (2h)

5.1.    Projekt Übergabe an Interne IT                                             (1h)

5.2.    Selbstreflektion                                                                      (0,5h)

5.3.    Ausblick                                                                                   (0,5h)

6.       Freier Puffer                                                                            (1h)                                                                     

 

 

 

[Listener]

Generell verstehe ich gar nicht, um was es geht, vielleicht ein Antivirenprogramm, vielleicht etwas selbstentwickeltes? Hier solltest du vielleicht mal ein wenig deutlicher werden.

Ansonsten muss der komplette Textteil sprachlich verbessert werden. Da ist vieles sehr unrund.

Dann hast du thematische Fehler drin. Die DSGVO ist im folgendem bspw. vollkommen unpassend:

vor 20 Minuten schrieb Lunos:

Um der DSGVO gerecht zu werden wäre hier ein System welche Angriffe und Netzwerk Analyse  nicht nur betreibt sondern auch auswertet von Vorteil.

Die Zeitplanung ist einigermaßen in Ordnung, da gibt es höchtens kleinere Punkte zum feilen.

[Lunos]

es soll eine Kombination aus AntiVir und Firewall Implementierung werden (was ich ja noch nicht weiß:D), da ich angst hab das die IHK mir das als FiSi um die Ohren haut von wegen Software suchen können auch Kaufleute hab ich probiert es zu umschreiben 

vor 10 Minuten schrieb Listener:

Dann hast du thematische Fehler drin. Die DSGVO ist im folgendem bspw. vollkommen unpassend

Versteh ich nicht ganz die DSGVO sagt auch aus das Unternehmen nach einem Angriff nach weisen müssen das sie sich versucht haben abzusichern und müssen sowas dann auch mit Analysis belegen oder hab ich da was falsch verstanden ? 

Bearbeitet 27. Juni 2019 von Lunos

[charmanta]

Die Sötze sind schwer zu lesen, die Zeiten sind nicht aufsummiert. Komme ich auf 32 Stunden inkl Puffer ?

Ich versteh auch nicht so recht was Du machen willst....

 

 

 

[Listener]

vor 14 Minuten schrieb Lunos:

es soll eine Kombination aus AntiVir und Firewall Implementierung werden (was ich ja noch nicht weiß:D), da ich angst hab das die IHK mir das als FiSi um die Ohren haut von wegen Software suchen können auch Kaufleute hab ich probiert es zu umschreiben 

Du wirst halber Kaufmann, also gehört sowas zu deinem Beruf.

vor 14 Minuten schrieb Lunos:

Versteh ich nicht ganz die DSGVO sagt auch aus das Unternehmen nach einem Angriff nach weisen müssen das sie sich versucht haben abzusichern und müssen sowas dann auch mit Analysis belegen oder hab ich da was falsch verstanden ?

Viel eher muss nachgewiesen werden, welche persönlichen Daten abgegriffen werden (afaik)

[Lunos]

vor 1 Minute schrieb Listener:

Du wirst halber Kaufmann, also gehört sowas zu deinem Beruf.

Dann setze ich nochmal neu an und probier etwas konkreter zu werden. 

[charmanta]

Kürzere Sätze und genauer sagen was das Teil eigentlich machen soll. Vorsicht mit der DSGVO ... wenn Du die ansprichst solltest Du auch drin schwimmen können ;)

Sowas wie ein "angemessenes Datenschutznivau" sagt Dir was ? ;)

 

[TooMuchCoffeeMan]

vor 5 Minuten schrieb charmanta:

Vorsicht mit der DSGVO ... wenn Du die ansprichst solltest Du auch drin schwimmen können

Ich verstehe ehrlich gesagt auch gar nicht was die DSGVO damit zu tun hat. Art. 32 gibt keine konkreten Implementierungen für die Realisierung der Informationssicherheitsschutzziele vor. Das klingt im ersten Moment einfach nur wie Namedropping. Hauptsache man hat das große Buzzword mal erwähnt. Lieber weg lassen.

[_n4p_]

Also auf den Punkt gebracht suchst und installierst du eine Agent basierte Endpoint Protection mit zentraler Managment Konsole.

Finde ich persönlich fachlich etwas dünn.

[Chief Wiggum]

vor 1 Minute schrieb _n4p_:

Finde ich persönlich fachlich etwas dünn.

Find ich nicht. Wenn man das richtig aufzieht kann das ein sauberes Projekt sein... es muss nicht Raketenwissenschaft sein, was als Projekt abgeliefert wird.

Allein bei der Auswahl der richtigen Lösung kann man viel Zeit lassen, Implementation ist meist easy going und dann kommt das Finetunig, weil $grottenalte Software (überlebensrelevant für die Firma) mit dem Virenscanner kollidiert.

[_n4p_]

vor 6 Minuten schrieb Chief Wiggum:

Wenn

Ja, aber sollte man dann nicht auch aus dem Antrag erkennen, das sich jemand Gedanken gemacht hat?

[Chief Wiggum]

Jupps, da bin ich bei dir, @_n4p_.

Ist halt der Job von @Lunos das sauber rauszuarbeiten.

[Gast]

Die Planungsphase dauert nach Addition der Unterpunkte nur 5,5h statt angegebener 6,5h, während die Durchführeun in Summe 9,5h statt angegebener 8,5h an Zeit in Anspruch nehmen soll.

Die Gesamtsumme beläuft sich auf 33h inkl Puffer. Der Begriff freier Puffer i.S. der Netzplantechnik ist hiet falsch gewählt.

 

Man kann es sich auch einfacher machen, in dem man nur die Zeiten der Hauptpunke angibt und die Unterpunkte nicht mit Zeit beaufschlagt.

Der Soll-Ist-Vergleich gehört nicht zur Dokumentation.

 

 

[tennessee]

vor 18 Stunden schrieb charmanta:

Sowas wie ein "angemessenes Datenschutznivau" sagt Dir was ?

 

Gibt es denn eine Empfehlung zu einer Seite in Netz mit der man sich gezielt auf das FG vorbereiten kann .   Eben auf sowas wie angemessenes Datenschutzniveau?  Ansonsten ist das ja ein unglaublich weitläufiges Thema.

[charmanta]

Naja ... unter www.dsgvo-gesetz.de findest Du alle alten und neuen Datenschutzgesetze und Verordnungen. Die solltest Du mal grob behandelt haben ( hoffe die Berufsschule hat den Job gemacht ? )

 

Gezielt aufs FG vorbereiten ? Geht nicht. Weil wir das meist freestyle führen ;)

[tennessee]

@charmanta danke für die Antwort. https://dsgvo-gesetz.de/ --> das meinte ich mit weitläufig.  ? Aber wenn wir freestyle tanzen wollen,  werden wir uns das mal zu Gemüte führen. ?

[Lunos]

Zum DSGVO das ganze wird ja auf ne Sophos Central raus laufen, wen ich mir dann für das Gespräch den Bezug der Analyse Funktion (interceptX) von Sophos Central zur Nachweispflicht für unternehmen suche, das anhand des Systems erkläre und probiere die Prüfer nicht zu Worte kommen zu lassen. Dann kann ich glaube ne stunde reden und vergesse trotzdem die hälfte (da das halt echt mächtig ist) könnte mann das so machen ? Falls ja könnte ich ja bewusst und gezielt das ganz provozieren um es mir eventuell etwas leichter zu machen. vlt aber auch schwerer.

Bearbeitet 28. Juni 2019 von Lunos

[Lunos]

#Update habe heute noch viel zu tun auf arbeit werde die Neufassung nicht fertig bekommen daher erst morgen Hochladen 

[Listener]

vor 31 Minuten schrieb Lunos:

Zum DSGVO das ganze wird ja auf ne Sophos Central raus laufen

So selbstverständlich ist das für mich nicht. 

[allesweg]

vor 54 Minuten schrieb Lunos:

probiere die Prüfer nicht zu Worte kommen zu lassen

Glaube mir: wenn die Prüfer zu Wort kommen wollen, dann schaffen die das. 

[_n4p_]

vor 2 Stunden schrieb Lunos:

den Bezug der Analyse Funktion (interceptX) von Sophos Central zur Nachweispflicht für unternehmen

was ist denn da der Bezug?

[charmanta]

Am 28.6.2019 um 12:22 schrieb Lunos:

Zum DSGVO das ganze wird ja auf ne Sophos Central raus laufen, wen ich mir dann für das Gespräch den Bezug der Analyse Funktion (interceptX) von Sophos Central zur Nachweispflicht für unternehmen suche, das anhand des Systems erkläre und probiere die Prüfer nicht zu Worte kommen zu lassen. Dann kann ich glaube ne stunde reden und vergesse trotzdem die hälfte (da das halt echt mächtig ist) könnte mann das so machen ? Falls ja könnte ich ja bewusst und gezielt das ganz provozieren um es mir eventuell etwas leichter zu machen. vlt aber auch schwerer.

Du wirst nach 16 Minuten unterbrochen. Das Gespräch bestimmt der PA, nicht Du

[TooMuchCoffeeMan]

Am 28.6.2019 um 12:22 schrieb Lunos:

Zum DSGVO das ganze wird ja auf ne Sophos Central raus laufen

Ich sehe hier immer noch keinen direkten Bezug zur DSGVO. 

Datenschutz und Datensicherheit sind zwei verschiedene Themen, auch wenn die DSGVO, im Gegensatz zum alten BDSG, namentlichen Gebrauch von den Schutzzielen der Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit, [Belastbarkeit]) macht. Überschneidungen gibt es da im Grunde nur bei der Definition von Technischen- und Organisatorischen Maßnahmen (TOM) zur Gewährleistung des Schutzniveaus nach Art. 30 DSGVO. 

Das "angemessene Schutzniveau" muss das Unternehmen selbst über eine Risikoanalyse der verarbeiteten personenbezogenen Daten herausfinden. Daher passt deine pauschale Aussage "Um der DSGVO gerecht zu werden wäre hier ein System [...]" schlichtweg nicht. Du lieferst damit eine Antwort auf eine Frage die du nie gestellt hast und jeder der sich mit dem Thema DSGVO auskennt wird sich fragen warum du darauf Bezug nimmst. 

Bearbeitet 1. Juli 2019 von TooMuchCoffeeMan

[Lunos]

#Update Version 2

Projekt:

                Entwickeln und Einführen einer Sicherheitslösung für Server und Endpoint´s

Beschreibung:

Im Rahmen der Betrieblichem Projektarbeit soll eine Sicherheitslösung entwickelt werden. Diese ist im Anschluss einheitlich für alle Mitarbeiter im Betrieb zu verwenden.                                         Hierfür ist es notwendig geeignete Software unter wirtschaftlichen und technischen Aspekten zu vergleichen und auszuwählen.
Es ist ausdrücklich gewünscht das die verwendete Lösung eine zentrale Verwaltung für Geräte und Lizenzen bietet und nach Möglichkeit dieses als Cloud Dienst.
Es ist ein Monatliches Lizenz Modell gewünscht.
Die verwendete Lösung soll zusätzlich eine „Deeplerning“ und Analyse Funktionen aufweisen und wenn möglich korrumpierte oder Status unbekannte Geräte aus dem Netzwerk ausschließen, falls das nicht möglich ist wäre hier ein Skript erwünscht.
Im Anschluss Soll die Lösung im Test Lab ausprobiert werden und die Kompatibilität der in der Firma verwendeten Software geprüft und falls nicht vorhanden sichergestellt werden.
Danach wird das Ganze in die Produktiv Umgebung eingespielt hierfür ist es notwendig im Vorfeld die End Points von der alten Software restlos zu bereinigen, in Folge dessen wird eine Installation Anleitung erstellt für neue User.
Das Projekt wird im Anschluss an die Interne IT übergeben. 
 

Ist:         In der Firma XYZ mittelständiger IT-Dienstleister benutzt jeder Mitarbeiter zum Schutz seines Systems eigene End Point Protektion.
Dadurch sind die Lizenzkosten unübersichtlich und unterschiedlich lang, außerdem ist kein einheitlicher Schutz bewerkstelligt.
Des Weiteren treten immer wieder Software Inkompatibilitäten auf welche auf Grund der verschiedenen End Point Protektion Software anders gelöst werden muss.
 

Soll:       Alle Geräte der Firma sollen mit einer einheitlichen Sicherheitslösung ausgestattet werden, diese sollte wen möglich alle Geräte zentral verwalten können und korrumpierte Geräte oder solche wo der Status nicht genau bekannt ist aus dem System ausschließen. Es ist ein Monatliches Lizenz Modell gefordert.

Zeitplanung:

1.       Definitionsphase                                                                   (5h)

1.1.    Kick off Meeting                                                           

1.2.    Ist-Aufnahme                                                               

1.3.    Ist-Analyse                                                                    

1.4.    Erstellen des Sollzustandes                                     

2.       Planungspanne                                                                        (6,5h)

2.1.    Marktanalyse                                                               

2.2.    Vergleiche/Auswahl                                                   

2.3.    Kostenplanung                                                             

2.4.    Erstellung Ablaufplan                                                

3.       Durchführung                                                                          (8,5h)

3.1.    Installation eines VM Server

           Und VM Clients                                                            

3.2.    Installation der Lösung                                              

3.3.    Grundkonfiguration                                                   

3.4.    Konfigurieren von Berechtigungen                      

3.5.    Testen und Fehler beheben                                   

3.6.    Auf Produktiv Umgebung Implementieren                         

3.7.    Funktion testen                                                            

4.       Projekt Dokumentation                                                      (11h)

4.1.    Soll-Ist-Vergleich                                                         

4.2.    Erstellen User Anleitung                                           

4.3.    Erstellung der Projektdokumentation                

5.       Projektabschluss                                                                   (2,5h)

5.1.    Projekt Übergabe an Interne IT                             

5.2.    Selbstreflexion                                                           

5.3.    Ausblick                                                                           

Freier Puffer                                                                                                (1,5h)                   

Bearbeitet 3. Juli 2019 von Lunos

[Listener]

Du schaffst in 6,5h eine Marktanalyse von mehreren Softwareprodukten und kannst diese in der gleichen Zeit fundiert miteinander vergleichen und zusätzlich noch einen Zeitplan erstellen? 

"Freier Puffer" ist je nach IHK gewünscht/unerwünscht. Das solltest du vorher klären.

Bearbeitet 3. Juli 2019 von Listener