pantrag_fisi Projektantrag: Evaluierung von alternativen Authentifizierungsmethoden von Identitäten auf interne Ressourcen zur Erhöhung der Sicherheit und gleichzeitiger Verbesserung der Endbenutzererfahrung

[blablablubb]

Hallo,

 

ich würde mich über Feedback zu meinem Projektantrag freuen. Vielen Dank im Voraus.

 

Projektbezeichnung 

Evaluierung von alternativen Authentifizierungsmethoden von Identitäten auf interne Ressourcen zur Erhöhung der Sicherheit und gleichzeitiger Verbesserung der Endbenutzererfahrung.

 

Projektumfeld 

Das Projekt ist Teil eines internen Projekts mit dem Schwerpunkt IT-Sicherheit und wird unmittelbar am Unternehmensstandort ZZZ durchgeführt. Der Auftraggeber ist die interne Geschäftsleitung in direkter Absprache mit der Leitung der IT-Abteilung. Das Unternehmen beschäftigt über ZZZ Mitarbeiter im internen und ständigen externen Einsatz, die auf interne Ressourcen und Webanwendungen zugreifen müssen. Die IT-Abteilung unterzieht sämtliche bestehende Systeme und Prozesse einer Sicherheits-Revision.  Das in diesem Dokument dargelegte Projekt ist ein Bestandteil dieses Gesamtprojekts. 

 

Personelle Schnittstellen 

Auftraggeber 

Firma ZZZ 

IT-Leitung, Ausbilder und Betreuer 

Max Mustermann 

System-/Netzwerkadministrator 

Erika Mustermann 

 

Projektziel 

Die priorisierenden Ziele des Projekts sind zum einen die Verbesserung der IT-Sicherheit bezüglich des Zugriffs auf Unternehmensdaten, bei Gewährleistung einer intuitiven Endbenutzererfahrung und ebenso eine Vereinheitlichung zukünftiger administrativer Verwaltung und Bereitstellung der Authentifizierungsmethoden für verschiedenste Bereiche und Einsatzzwecke, wie eine Authentifizierung in die bestehende WLAN Infrastruktur oder eine Einwahl in ein VPN. 

 

Projektleistung 

Ausgesuchte bestehende Authentifizierungsmethoden für den Zugriff auf interne Ressourcen sollen einer Evaluierung unterzogen werden und auf dieser Basis eine Ist-Analyse und ein Soll-Konzept erarbeitet werden. Ein ausgewähltes Lösungskonzept soll in die bestehende WLAN-Infrastruktur zunächst als Proof-of-Concept umgesetzt  werden und nach anschließender positiver Beurteilung in einen Pilottest mit Endbenutzererfahrung übergehen. Sämtliche dafür anfallende Hardware-/Softwareinstallationen und –konfigurationen werden selbstständig oder unter Anleitung durchgeführt. 

 

Projektabgrenzung 

Das Projekt beinhaltet nicht die Findung einer Unternehmensweiten Sicherheitslösung und ebenso nicht die unmittelbare unternehmensweite Einführung der Konzeptlösung in das produktive System. Weitreichende Anpassungen an bestehende Switch-/Router-, VLAN- oder Firewallkonfigurationen sind in der produktiven Infrastruktur sind ebenso nicht Bestandteil des Projekts. 

 

 

Strukturplan – Kurzübersicht 

 

Tabelle 1: Projektplan – Kurzübersicht 

Tabelle 1: Projektzeitplan

Aufgabe	h
Analyse	4
Erfassung Ist-Zustand	1
Erstellung Sol-Konzept	3
Planung und Recherche	6
Ressourcenplanung	1
Kostenplanung	1
Produktrecherche	3
Nutzwertanalyse	1
Realisierung	13
Systeminstallation/-konfiguration	4
Festlegung Testfälle	1
Testdurchführung	2
Resultat-Kurzanalyse	2
Nachsteuern	4
Auswertung	4
Ergebnisanalyse	2
Fazit	1
Ausblick	1
Dokumentation	8
Gesamt	35

Abbildung 1: Darstellung der zeitlichen Projektaufteilung durch ein Tortendiagramm 

[Bitschnipser]

Der Titel ist irgendwie doppelt
Was soll man denn ausser Identitäten für Ressourcenzugriffe noch Authentifizieren?

Anderweitig: Mir springt beim Durchlesen RADIUS-Server in den Kopf. Gibts da überhaupt irgendwelche anderen Möglichkeiten? Das ganze wirkt irgendwie sehr vage, aber da kann vielleicht einer der Forenoldies prüfer im Forum mehr zu sagen

[charmanta]

Man kann nicht rauslesen was Du da machen wirst. Der Ansatz scheint eher theoretisch zu sein. Ich hab da so meine Probleme mit ... Würde den mit dem Hinweis auf genauere Beschreibung Deiner Tätigkeit zurück geben.

Also schreib mal genauer was Du machen willst

[blablablubb]

Hallo,

danke für Eure Rückmeldung. 

Folgenden Absatz habe ich zunächst mal hinzugefügt.

"Ist-Kurzübersicht 

Alle Mitarbeiter authentifizieren sich in jegliche Systeme über einen Benutzernamen und Passwort. Zusätzliche Authentifizierungen, wie einen zweiten Faktor oder zertifikatsbasierende Identitätsauthentifizierung, sowie Single-Sign-On Methoden sind nicht implementiert. Für verschiedene Bereiche existieren teilweise unterschiedliche Anmeldedaten, wie zum Beispiel WLAN, VPN, EMail und interne Web-Anwendungen. Dieser Zustand ist nicht nur für die Mitarbeiter ein nicht nachvollziehbarer Arbeitsfluss, ebenso erhöht dieser den Verwaltungs-, Bereitstellungs- und Betreuungsaufwand für die IT-Abteilung. "

 

-----

In der Tat klingt das alles sehr vage. Prinzipiell geht das ganze Projekt Richtung Aufbau einer CA+PKI und ein Proof-of-Concept durch den Aufbau eines NPS+RADIUS Server für eine zertifikatsbasierte WPA2-Enterprise Authentifizierung im WLAN und die Schaffung einer Grundlage für andere Bereiche: VPN, EMail, interne Webanwendungen etc.

Ich habe das zunächst vage formuliert, da ich dachte man muss zu einer Lösung finden und keine schon von vorneherein festlegen. Deswegen habe ich es eher Allgemein "Authentifizierungsmethoden" genannt. Vielleicht ist eine konfuse WPA2-Personal und verschiedene Benutzername+Passwort Authentifizierung auch ok für unser Unternehmen und es lohnt sich kein bisschen eine PKI aufzubauen. Andererseits ist die Richtung meines Projekts klar: Analysieren ob genau das sich lohnt. Wäre es daher sinnvoll es konkret zu benennen, wie etwa "Kosten-Nutzen Analyse des Aufbaus einer internen PKI anhand des Aufbaus einer zertifikatsbasierten WLAN Authentifizierung" ?

 

Bin da ebenfalls um jede Rückmeldung dankbar.

Grüße

 

[charmanta]

vor 38 Minuten schrieb blablablubb:

"Kosten-Nutzen Analyse des Aufbaus einer internen PKI anhand des Aufbaus einer zertifikatsbasierten WLAN Authentifizierung"

Das wäre ein ITK/ITSK Thema ....

Ich werde mit dem Thema nicht warm ( kommt auch mal vor ). Vielleicht mag @mapr mal den Senfeimer holen ?

[mapr]

*Senfeimer vorkram*

Ich tue mir mit dem Thema für einen FISI auch schwer @charmanta.
Mir fehlt da die fachliche Tiefe.
Bin auch eher in der ITK/ITSK-Ecke damit.

[blablablubb]

Hallo,

 

vielen Dank für Euer Feedback. Ich werde mir nochmal Gedanken machen müssen und Rücksprache mit meinem Betrieb halten und mich ggf. hier nochmals melden.

Viele Grüße