pantrag_fisi Projektantrag: Evaluierung und Implementierung eines Phishing-Kampagnen Frameworks.

[BatD]

 

Hallo zusammen,

anbei schicke ich meinen FISI Projektantragsentwurf, mit der bitte ihn zu Kritisieren. Ich habe schon ein Produkt im Kopf und habe versucht den Antrag so zu Forumulieren, dass die Evaluation des Produktes/Systems ebenfalls teil des Projektes ist. Über Input bin ich immer sehr dankbar.

 

1 Thema der Projektarbeit

 

Evaluierung und Implementierung eines Phishing-Kampagnen Frameworks.

 

1.1 Projektumfeld

Die Blubberblasen GmbH ist der größte Bluberblassen Hersteller in Deutschland mit Hauptsitz in Entenhausen. Die Blubberblasen GmbH wurde 1999 gegründet und beschäftigt über 1000 Mitarbeitende, die in mehr als 20 Abteilungen aufgeteilt sind. Die Abteliung "Zentraleinheit für Informationstechnologie" stellt für die Blubberblasen GmbH verschiedene Serviceleistungen und zentrale Ressourcen wie z.B. die Active Directory (AD) oder SMTP Server bereit. 

 

Unterteilt ist die Abteilung in sechs Arbeitsgruppen:

In Netzwerk, Server, XX , Softwaresysteme, Datenbanken und XX. Zusätzlich zu den Arbeitsgruppen gibt es noch das IT-Sicherheitsteam, für die dieses Projekt erstellt wird.

 

2 Geplanter Bearbeitungszeitraum

 

Beginn 03.04.2023 - 25.04.2023 Ende

 

3 Projektbeschreibung / Ausgangssituation

 

Da Emails das größte Einfallstor einer Organisation für Cyberkriminelle sind, sollen die Mitarbeiter des XX durch realistische Phishing-Kampagnen vorbereitet werden. Diese Phishing-Kampagnen sollen speziell auf die Organisation zugeschnitten sein und dienen als Übung zum Erkennen von Phishing-Mails. Zusätzlich können die gewonnen Informationen benutzt werden um ggf. einen Schulungsbedarf oder Anpassungen an der bereits vorhandenen verpflichtenden Schulung zum Thema IT-Sicherheit vorzunehmen. Somit kann eine Überprüfung der Wirksamkeit der aktuellen Maßnahmen, sowie zeitgleich eine realistische Schulung der Mitarbeiter statt finden und fördert die Awareness (Achtsamkeit) der Zielgruppe.

 

4 Projektziel

Das Projektziel liegt in der Evaluierung, Installation, einer ausführlichen Testphase und der Dokumentation eines Phishing Kampagnen-Frameworks. Mit dem Projekt soll ein Testsystem erstellt werden. Eine Implementierung in den Produktivbetrieb ist nicht Teil des Projekts, sondern soll gegebenenfalls später anhand der Projekt- und der Kundendokumentation erfolgen.

Um diesen Prozess möglichst kostengünstig und effektiv zu gestalten, sollen verschiedene Angebote zu unterschiedlichen Systemen und Dienstleistern an Punkten wie: entstehende Kosten, Funktionalität und benutzerfreundlichkeit verglichen werden.

Generell soll hier auch der Aufwand für die spätere Nutzung im Unternehmen für die Systemadministratoren gering gehalten werden. Eine Kunden-Dokumentation soll dazu das nötige Knowhow-Wissen vermitteln, um die Anwendung im Alltag zu vereinfachen. Diese soll definitiv beinhalten, wie die Benutzer später eigene Kampagnen zusammenstellen und versenden, auch aber wie regelmäßig Anwendungs-Patches abgerufen und installiert werden können.

 

5 Zeitplanung (40 Stunden gesamt)

 

Die Durchführung des Projektes ist von mir in verschiedene Projektphasen aufgeteilt worden, die sich wie folgt zusammensetzen.

Analysephase (6h)

- IST-SOLL-Analyse 2,0

- Recherche geeigneter Software 2,0

- Nutzwertanalyse / Entscheidung 2,0

 

Planungsphase (8h)

- Angebote einholen  3,0

- Kosten- und Terminplanung (Stundensatzkalkulation?) 2,0

- Angebotserstellung 1,0

- Ablaufplan der Implementierung erstellen (Umsetzung) 2,0

 

Durchführungsphase (11h)

- Software / Hardware vorbereiten 1,0

- Software / Hardware installieren 3,0

- Konfiguration / Einstellungen vornehmen 7,0

 

Projektübergabe (4h)

- Funktionsbeschreibung 1,0

- Funktionstest / Abschlusskontrolle 2,0

- Übergabe an den Kunden / Projektübergabe 1,0

 

Dokumentation (9h)

- Erstellen einer Projektdokumentation 6,5

- Erstellen einer Kurzeinweisung für den Kunden 2,5

 

Puffer (2h)

- Zeitraum für unerwarteten Aufwand

Gesamtzeit = 40 Stunden

 

 

[charmanta]

vor 15 Stunden schrieb BatD:

Um diesen Prozess möglichst kostengünstig und effektiv zu gestalten, sollen verschiedene Angebote zu unterschiedlichen Systemen und Dienstleistern an Punkten wie: entstehende Kosten, Funktionalität und benutzerfreundlichkeit verglichen werden.

So, hab nun lange drauf rumgedacht und recherchiert....

Obiger Teil ist in meinen Augen, genauso wie der Ansatz evt ein Problem. Ich sehe zuwenig Abgrenzung zu einem Projektthema eines ITSK.

Zunächst bin ich über den Begriff "Framework" gestolpert, da der nach AE klingt. DAS gänge Tool, was Du vermutlich im Auge hast, wirbt aber selbst mit dem Begriff.

Die Evaluation und das Thema finde ich ok ... aber Du suchst kaufmännisch nach einem Verwaltungstool für Sicherheit. Die PO für den FiSi sieht hier eher eine Suche nach einem TECHNISCHEM Problem vor ... daher halte ich das Thema für vermutlich nicht zulassungsfähig. Ich persönlich finde es total interessant und würde es sofort beim ITSK zulassen, ich sehe es aber nicht beim Fisi. Mal sehen was andere sagen ... @Voller01@skylake@JMilanese um nur einige zu beschwöre

Andere Profis wechseln ja grad Windeln

[ickevondepinguin]

vor 15 Minuten schrieb charmanta:

Andere Profis wechseln ja grad Windeln

höhö. Is' mal was anderes.

vor 17 Minuten schrieb charmanta:

Obiger Teil ist in meinen Augen, genauso wie der Ansatz evt ein Problem. Ich sehe zuwenig Abgrenzung zu einem Projektthema eines ITSK.

Diese Meinung teile ich. Mir fehlt der "integrative"/"technische" Part.

vor 15 Stunden schrieb BatD:

Ich habe schon ein Produkt im Kopf und habe versucht den Antrag so zu Forumulieren, dass die Evaluation des Produktes/Systems ebenfalls teil des Projektes ist.

Das könnte (unter Umständen) das Problem sein.

Ich rate hier auch ggf. zu einem neuen Thema oder einer techischeren Ausführung/Überlegung, falls es eine Möglichkeit dazu gibt. Sehe es aber auch eher beim ITSK/KFSM und gehe davon aus das die Ablehnung mit "neuem Thema bitte" daher kommen wird.

[Maniska]

Nicht beschworen, aber trotzdem eine Meinung:

Könnte zu untechnisch sein, und ich sehe auch etwas Risiko bei den rechtlichen Fragen, gerade wenn man die Ergebnisse der Kampagnen nicht genug anonymisiert und so Rückschlüsse auf bestimmte Personen gezogen werden:

vor 15 Stunden schrieb BatD:

Zusätzlich können die gewonnen Informationen benutzt werden um ggf. einen Schulungsbedarf oder Anpassungen an der bereits vorhandenen verpflichtenden Schulung zum Thema IT-Sicherheit vorzunehmen. Somit kann eine Überprüfung der Wirksamkeit der aktuellen Maßnahmen, sowie zeitgleich eine realistische Schulung der Mitarbeiter statt finden und fördert die Awareness (Achtsamkeit) der Zielgruppe.

Hier seh ich Stolpersteine bei Datenschutz und Betriebsrat, mit Fragen zu beiden solltest du auf jeden Fall rechnen. Und bitte nicht mit "wir haben keinen BR" und "Datenschutz macht wer anders" rauswinden wollen.

 

[JMilanese]

Hmmmm. Die Prüfungsordnung sagt folgendes:

§ 20 Prüfungsbereich "Planen und Umsetzen eines Projektes der Systemintegration"
(1) Im Prüfungsbereich Planen und Umsetzen eines Projektes der Systemintegration besteht die Prüfung aus zwei Teilen.
(2) Im ersten Teil hat der Prüfling nachzuweisen, dass er in der Lage ist,
1. auftragsbezogene Anforderungen zu analysieren,
2. Lösungsalternativen unter Berücksichtigung technischer, wirtschaftlicher und qualitativer Aspekte vorzuschlagen,
3. Systemänderungen und -erweiterungen durchzuführen und zu übergeben,
4. IT-Systeme einzuführen und zu pflegen,
5. Schwachstellen von IT-Systemen zu analysieren und Schutzmaßnahmen vorzuschlagen und umzusetzen sowie
6. Projekte der Systemintegration anforderungsgerecht zu dokumentieren.

 

@charmanta@ickevondepinguin@skylake@Voller01Wo seht ihr hier §19 FIAusbV nicht erfüllt?

Die technischen Aspekte au §19 Abs. (2) Satz 2 hat er ja eigentlich implizit auch inkludiert. Ich würde den Antrag genehmigen und davon ausgehen, dass die technische Machbarkeit bei dem Thema selbstverständlich mit betrachtet wird.

Wo mache ich jetzt den Denkfehler?

[BatD]

vor 37 Minuten schrieb ickevondepinguin:

höhö. Is' mal was anderes.

Diese Meinung teile ich. Mir fehlt der "integrative"/"technische" Part.

Das könnte (unter Umständen) das Problem sein.

Ich rate hier auch ggf. zu einem neuen Thema oder einer techischeren Ausführung/Überlegung, falls es eine Möglichkeit dazu gibt. Sehe es aber auch eher beim ITSK/KFSM und gehe davon aus das die Ablehnung mit "neuem Thema bitte" daher kommen wird.

Hmmm schon vielen Dank für euren Input, den integrativen Part sehe ich bei der Installation und Konfiguration des Test-Systems, z.B. muss das Tool an die vorhandene Mail-Infrastruktur angebunden werden. Die Linux-Kiste (höchstwahrscheinlich eine VM) muss ja dann auch noch etwas abgehärtet werden. Was den Zeitlich gesehen, geplant der größte Aufwand wäre.

vor 22 Minuten schrieb Maniska:

Nicht beschworen, aber trotzdem eine Meinung:

Könnte zu untechnisch sein, und ich sehe auch etwas Risiko bei den rechtlichen Fragen, gerade wenn man die Ergebnisse der Kampagnen nicht genug anonymisiert und so Rückschlüsse auf bestimmte Personen gezogen werden:

Hier seh ich Stolpersteine bei Datenschutz und Betriebsrat, mit Fragen zu beiden solltest du auf jeden Fall rechnen. Und bitte nicht mit "wir haben keinen BR" und "Datenschutz macht wer anders" rauswinden wollen.

Die Stolpersteine sind tatsächlich schon eingeplant und sind mir persönlich sogar recht, da ich mir hier einen großen Aufwand einiger Features "sparen" kann, mit der Begründung, dass nicht vom Datenschutz/PR genehmigt worden sind.

 

Meine Frage:

Habt ihr vielleicht Tipps, wie ich den Technischen Teil beim Antrag hervorheben kann? Vom Vorgehen her sollte es doch genau auf den FISI zutreffen? Problemstellung --> Produkt-Recherche --> Auswahl --> Installation --> Konfiguration --> Dokumentation/Abgabe.

Der Kaufmännische Part ist mit der Evaluierung abgedeckt und der Technische Part dachte ich mit der Installation und Konfiguration des Systems. Ein neues Thema würde ich mir sehr ungern suchen und es mal "probieren" zu beantragen. Vielleicht muss ich es noch etwas präziser ausdrücken, damit es angenommen wird.

Bearbeitet 2. März 2023 von BatD

[charmanta]

vor 3 Stunden schrieb JMilanese:

Die technischen Aspekte au §19 Abs. (2) Satz 2 hat er ja eigentlich implizit auch inkludiert. Ich würde den Antrag genehmigen und davon ausgehen, dass die technische Machbarkeit bei dem Thema selbstverständlich mit betrachtet wird.

Wo mache ich jetzt den Denkfehler?

Nirgendwo. Aber ich habe die Erfahrung gemacht dass, wenn ich von etwas ausgehe, es eher selten passiert. Hier würde ich mich der Mehrheit der Prüfer fügen ( mach ich ja eh )

[ickevondepinguin]

@JMilanese ich sehe das ähnlich wie @charmanta. Wenn ich davon "ausgehe das" bei einem Prüfling werd ich in der Regel eher enttäuscht. Daher würde ich den Antrag mit den entsprechenden Kommentaren sauber formuliert auch bei uns ablehnen, würde dieser bei uns in dieser Form gestellt werden - vor allem in der ersten Runde.

[BatD]

Projektantrag wurde heute genehmigt. Danke an euch @ickevondepinguin@charmanta@JMilanese@Maniska.