Hallo zusammen, 

 

bis zu meinem Abschlussprojekt ist es zwar noch ein wenig Zeit, allerdings kümmere ich mich jetzt schon um ein mögliches Thema bzw. Projekt.

 

Da ich mich immer mehr für Netzwerksicherheit interessiere wäre meine Idee eine Art Pentest als Abschlussprojekt zu absolvieren. 

Unsere Firma arbeitet als kleiner Netzwerkdienstleister (also  Serverwartungen/Verwaltung, Netzwerkaufbau und Betreuung).

So wie ich es verstehe sollte ein Projekt ja immer einen direkten Bezug zur Firma haben. Ein Pentest ist aus meiner Sicht ja eigentlich in so gut wie jedem Betrieb in einen direkten Bezug zur firma zu bringen, da jede Firma ein hohes Interesse an der eigenen Sicherheit vertreten sollte. 

 

Wie seht ihr das? Ist das ein mögliches Projekt aus meiner Situation? 

 

Danke euch! 

in der ANNAHME dass Du Fisi lernst ( weil das da nicht steht ) KANN das was werden wenn Du eine Lösung für PenTests auswählst und in Betrieb nimmst. Hauptteil ist aber die Suche nach Lösungen unter Berücksichtigung wirtschaftlicher Grundlagen:

 

Es geht darum, ein komplexes Problem nachvollziehbar mit eigenen Entscheidungen zu lösen. Es geht also NICHT um eine Anleitung, wie man den Server XYZ mit User ABC in die tolle Domäne 123 integriert. Es geht darum, WIESO man das macht, WANN sich das rechnet und welche Alternativen ( es gibt IMMER welche ) WARUM ausgeschlossen wurden.
Und installieren darfst Du es auch ... nur ist Deine Entscheidungsleistung und deren Sachlichkeit die Grundlage der Beurteilung. Klicken kann jeder, es geht darum, daß Du auch ne Idee hast was Du da tust
Ganz grobe und ganz neue Übersetzung meines Lieblingstextes: "Komplex" im Sinne der Prüfungsordnung sind Ansätze, welche in einem Datacenter oder einem Rechenzentrum eingesetzt werden können und nicht mehr in einem kleinen zb Handwerksbetrieb Verwendung finden.
Damit scheiden Ansätze wie "Domaineneinrichung" oder "Ich suche ne Plattform für ein Windows Programm" fast automatisch aus.
Gerne genommen werden:
- Telefonanlagen ( weil Musterprojekt der IHK )
- Monitoring
- Heterogenes Backup
- Softwareverteilung
- Massenbetankung

vor 18 Minuten schrieb xkoi:

So wie ich es verstehe sollte ein Projekt ja immer einen direkten Bezug zur Firma haben. Ein Pentest ist aus meiner Sicht ja eigentlich in so gut wie jedem Betrieb in einen direkten Bezug zur firma zu bringen, da jede Firma ein hohes Interesse an der eigenen Sicherheit vertreten sollte. 

 

Ja, schon. Aber welches konkrete Problem willst du denn mit deinem Projekt für den Betrieb lösen?

Dein Abschlussprojekt wird ja kein Selbstzweck im Sinne von "ich mache dieses und jenes weil es irgendwie im Kontext zu den Aufgaben/Tätigkeiten im Betrieb steht".

 

Definiere eine konkrete Problemstellung, z.B. einen verbesserungswürdigen Prozess, und beschreibe warum das für den Betrieb ein Problem darstellt (Stichwort: Kosten/Einsparungspotentiale). Daran hangelst du dich entlang und begibst dich auf die Suche nach möglichen Lösungen (Richtwert mind. 3 verschiedene), die du gegeneinander abwägst. Eine davon setzt du dann als PoC um.

 

Um bei deinem Beispiel zu bleiben:

Der PenTest an sich ist nicht deine Hauptaufgabe, sondern die Ermittlung/Abwägung verschiedener Lösungen, mit denen man PenTesting betreiben kann.

Vielen Dank für die Rückmeldungen!

 

Also ich habe mir gedacht, einen spezifischen Teil des Firmensystems auf Sicherheitslücken zu untersuchen und dies natürlich auch zu dokumentieren.

 

Problemstellung stellt also hier die evtl Sicherheit von sensiblen Daten dar.

 

Alternativen wären ja hier nur eine Fremdfirma zu beauftragen, sodass man hier also auch eine Entscheidung treffen und hinterher eine Kosten-Nutzen Rechnung in hinsicht auf die Wirtschaftlichkeit erstellen und vergleichen kann.

Zudem könnte man auch (weiter gesponnen) überlegen ob das anbieten von PenTests bei iegenen Kunden nicht sogar Mandats-fähig wäre und auch hier eine Rechnung erstellen, Probleme, alternativen und Lösungen finden.

 

Meint ihr das wäre so eine gute Grundlage, oder hättet ihr vlt. andere Vorschläge in diesem Themengebiet für einen Projektantrag?

 

Lg

vor 3 Minuten schrieb xkoi:

Alternativen wären ja hier nur eine Fremdfirma zu beauftragen, sodass man hier also auch eine Entscheidung treffen und hinterher eine Kosten-Nutzen Rechnung in hinsicht auf die Wirtschaftlichkeit erstellen und vergleichen kann.

das ist ein Thema für einen ITK

vor 4 Minuten schrieb xkoi:

Zudem könnte man auch (weiter gesponnen) überlegen ob das anbieten von PenTests bei iegenen Kunden nicht sogar Mandats-fähig wäre und auch hier eine Rechnung erstellen, Probleme, alternativen und Lösungen finden.

Grenzwertig. Du sollst ja ne Lösung finden. Also wenn Du zwischen verschiedenen fertigen Lösungen eine suchst dann wäre das ein Ansatz.

 

Du denkst bitte an den Datenschutz ? So rauf und runter ?

vor 30 Minuten schrieb xkoi:

Meint ihr das wäre so eine gute Grundlage

Kommt letztendlich auf deinen Ausbildungsberuf bzw. den Schwerpunkt an. Dazu hast du dich bislang ja noch nicht geäußert.

 

Unter der weiteren ANNAHME, dass du FiSi lernst, sind das hier grundlegend keine guten Ansätze:

vor 32 Minuten schrieb xkoi:

Also ich habe mir gedacht, einen spezifischen Teil des Firmensystems auf Sicherheitslücken zu untersuchen

 

vor 32 Minuten schrieb xkoi:

Alternativen wären ja hier nur eine Fremdfirma zu beauftragen

 

 

vor 32 Minuten schrieb xkoi:

überlegen ob das anbieten von PenTests bei iegenen Kunden nicht sogar Mandats-fähig wäre und auch hier eine Rechnung erstellen, Probleme, alternativen und Lösungen finden

Letzteres hiervon eventuell, aber ist schon grenzwertig m.E.n. und könnte schwierig werden vom Ablauf her, wenn kein "echtes" Problem dahingehend besteht.

 

Die reine Durchführung eines PenTesting oder eine reine Make or Buy - Entscheidung wäre zumindest für einen FiSi nicht tauglich als Projekt.
 

Wäre vielleicht etwas in Richtung Vulnerability Scanning o.ä. sinnvoll? Da könnte ich mir eher ein typisches Projekt vorstellen.

 

Ich denke es ist nicht sinnvoll für die Abschlussprüfung zu experimentieren und etwas abseits der Norm zu nehmen.