Zum Inhalt springen
View in the app

A better way to browse. Learn more.

Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Mein Projekt Antrag

Empfohlene Antworten

Hallo Leute,

es ist bald soweit. Ab dem 25.7.2026 kann ich im IHK Online-Portal meinen Projekt-Antrag hochladen.

Diesen möchte ich heute mit euch teilen und besprechen.

Meine Sorge: Er wird so nicht genehmigt.

Hier mein Antrag:

  1. Projektbezeichnung

Evaluation, Auswahl und Implementierung einer zukunftssicheren Firewall-Lösung zur

Absicherung der Unternehmensinfrastruktur

1.2 Ausgangssituation(Ist-Analyse)

Betriebliches Umfeld und Projekthintergrund

Ich führe das Projekt in meinem eigenem IT-Dienstleistungsunternehmen durch.

Mein Betrieb ist auf die Planung und den Betrieb sicherer hybrider

Serverlandschaften, DSGVO-konformen Backup-Lösungen, Managed Services

sowie Disaster-Recovery-Planung spezialisiert. Da mein Unternehmen als interner Kunde fungiert, ist eine hocheffiziente und kostensensible IT-Infrastruktur die

Grundlagen für den wirtschaftlichen Erfolg. Die fachliche Abstimmung sowie

die finale Abnahme der Projektergebnisse erfolgen durch meinen Projektbetreuer,

der in diesem internen Projekt als Auftraggeber fungiert.

Technische Infrastruktur

Die zentrale Serverlandschaft basiert auf einer Virtualisierungsumgebung

mit dem Hypervisor VMware ESXi 8, betrieben auf einem Cisco UCS Server mit

Intel Xeon Prozessoren. Die Speicherung der virtuellen Maschinen (VM’s)

und Unternehmensdaten erfolgt über ein separates iSCSI-Storage, welches

ebenfalls auf einem dedizierten Cisco UCS Server realisiert ist.

Das interne Netzwerk ist zur Absicherung und Mandantentrennung in sechs VLAN’s

unterteilt:

Management: Interne Administration- und Management-Netz

Labor 1 & 2: Getrennte Testumgebungen für Kundenprojekte

DMZ: Öffentlich erreichbare Dienste

Server: Internes Servernetz für zentrale Dienste

Work: Arbeitsnetz für die Client-Workstations und Peripherie Geräte

Guest: Für W-LAN Gäste

Aktueller Sicherheitsstandard und IST-Zustand der Firewall

Zur Absicherung des Perimeter kommt derzeit eine Securepoint UTM

als virtuelle Maschine zum Einsatz. Diese übernimmt die zentrale Filterung

des Datenverkehrs zwischen den VLAN’s und dem WAN. Aktiv genutzt werden

dabei Funktionen wie Intrusion Detection/Prevention (IDS/IPS) sowie

GeoBlocking, um unautorisierte Zugriffe aus spezifischen Regionen zu verhindern.

Zur Anbindung externer Ressourcen bestehen zwei permanente Site-to-Site(S2S)

VPN-Tunnel zu zwei VPC-Servern.

Schwachstellen und Problemanalyse (Motivation)

Die Lizenzen für die proprietäre Securepoint-Lösung laufen im Laufe dieses

Jahres aus. Da es sich um eine kostenpflichtige Subskription handelt,

entstehen jährlich wiederkehrende Fixkosten, die die Wirtschaftlichkeit des

Betriebs belasten. Zudem ist die Erweiterbarkeit der proprietären Lösung durch

Drittanbieter-Plugins stark eingeschränkt, was die Flexibilität bei der Anpassung an

neue Kundenanforderungen oder Sicherheitsbedarfe mindert.

Ein weiterer Nachteil der aktuellen Umgebung ist die fehlende Unterstützung für

moderne Management-Methoden wie Infrastructure as Code (IaC).

Die Konfiguration der bestehenden Firewall erfolgt ausschließlich manuell

über eine proprietäre Weboberfläche, was eine automatisierte Bereitstellung und

Versionierung von Regelwerken (z. B. via Terraform) unmöglich macht.

In einer IT-Landschaft, die auf Skalierbarkeit und Reproduzierbarkeit angewiesen

ist, führt dieser rein manuelle Prozess zu einer erhöhten Fehleranfälligkeit bei

Änderungen und steht einer effizienten Standardisierung der Managed Services

entgegen. Daraus resultiert der Bedarf nach einer Firewall-Lösung, die bei

mindestens gleichbleibendem Sicherheitsstandard eine API-Schnittstelle zur

Automatisierung bereitstellt und durch ein effizienteres Lizenzmodell die Total Cost of Ownership (TCO) nachhaltig senkt.

2. Projektbeschreibung (Soll-Konzept)

2.1 Zielsetzung – Was soll am Ende des Projektes erreicht sein?

Das primäre Ziel des Projektes ist die Migration der bestehenden

Firewall-Infrastruktur auf eine Lösung, die den manuellen Konfigurationsaufwand

durch einen automatisierten Ansatz ersetzt und gleichzeitig die Betriebskosten

(TCO) senkt. Am Ende der 40 Stunden soll ein funktionsfähiges System

implementiert sein, das die Absicherung der sechs VLAN’s (Management,

Labor 1 & 2, DMZ, Server, Work, Guest) sowie die Site-to-Site-VPN Anbindungen

unterbrechungsfrei übernimmt.

Ein wesentlicher Erfolgsparameter ist die Einführung von Infrastructure as Code

(IaC): Die neue Lösung muss über eine API verfügen, die eine automatisierte

Bereitstellung und Versionierung von Firewall-Regeln (z. B. Via Terraform)

ermöglicht, um Fehlerquellen bei manuellen Änderungen zu eliminieren.

2.2 Welche Anforderungen müssen erfüllt sein?

- Netzwerk & Sicherheit: Vollständige Filterung und Trennung der 6 VLAN’s sowie aktive Nutzung von IDP/IPS und GeoBlocking

- VPN-Konnektivität: Stabile Migration und Validierung der zwei

bestehenden Site-to-Site VPN-Tunnel zu den externen VPC-Servern

- Management: Bereitstellung einer API-Schnittstelle zur Unterstützung

moderner Automatisierungswerkzeugen (IaC)

- Wirtschaftlichkeit: Die Lösung muss ohne jährliche Lizenzgebühren

betrieben werden können und eine nachweisbare Amortisation des

Projektaufwands ermöglichen

- Skalierbarkeit: Die Architektur muss so ausgelegt sein, dass zusätzliche

Standorte oder Dienste zukünftig ohne Systemwechsel integriert werden

können

2.3 Projektabgrenzung und Einschränkungen

- Hardware: Die Bereitstellung des Cisco UCS Servers sowie

die Konfiguration des iSCSI-Storages sind nicht Bestandteil

diese Projektes, da diese Resourcen bereits vorhanden sind.

- Endgeräte: Die Konfiguration von Clients innerhalb der VLAN’s

(z. B. Work-Net) erfolgt nicht im Rahmen dieses Projektes, sofern

sie nicht die Firewall-Regelwerke betreffen

- Zeitrahmen: Die Umsetzung ist strikt auf den Zeitraum

von 40 Stunden begrenzt

- Organisatorische Schnittstellen: Die fachliche Abnahme des Projetes

erfolgt durch den Projektbetreuer, die gesamte konzeptionelle und operative

Umsetzung ist meine Eigenleistung.

3. Projektphasen mit Zeitplanung (Gesamt: 40 Stunden)

Phase 1: Projektinitiierung und Analyse (5 Stunden)

- Ist-Analyse: Detaillierte Aufnahme der bestehenden

Netzwerkstruktur und VPN-Endpunkte – 1 Stunde

- Anforderungsanalyse: Erstellung eines Lastenheftes basierend auf Sicherheitsbedarf und IaC-Anforderungen – 2 Stunden

- Projektplanung: Erstellung der Ablaufplanung

und Meilensteine – 2 Stunden

Phase 2: Evaluierung und Konzeption (9 Stunden)

- Marktrecherche & Nutzwertanalyse: Gegenüberstellung von

Lösungen unter Berücksichtigung von Kosten, API-Fähigkeit

und Funktionsumfang – 3 Stunden

- Wirtschaftlichkeitsprüfung: Durchführung einer

Amortisationsrechnung (Migrationsaufwand vs. Eingesparte

Lizenzkosten) – 2 Stunden

- Technisches Soll-Konzept: Erstellung des Sicherheitskonzepts

(VLAN-Trennung, VPN-Parameter) und Planung der

API-Schnittstelle - 4 Stunden

Phase 3: Realisierung und Implementierung (14 Stunden)

- Systembereitstellung: Installation der Firewall-Appliance in der

ESXi-Umgebung und Grundkonfiguration – 4 Stunden

- Netzwerk- & VPN-Konfiguration: Einrichtung der 6 VLAN’s sowie

Migration und Validierung der Site-to-Site VPN-Tunnel – 6 Stunden

- Sicherheitsdienste: Konfiguration von IDS/IPS und GeoBlocking – 3 Stunden

- Automatisierung (IaC): Bereitstellung der API-Schnittstelle und erste

Anbindung an das Management-Tool ( z. B. Terraform) – 3 Stunden

Phase 4: Qualitätssicherung und Abschluss ( 4 Stunden)

- Funktions- & Sicherheitstest: Validierung der Regelwerke und Überprüfung

der VPN-Stabilität unter Last – 2 Stunden

- Soll-ist-Vergleich: Abgleich der Projektergebnisse mit den Zielen

aus dem Lastenheft – 1 Stunde

- Abnahme: Formale Übergabe und Projektabnahme durch

den Projektbetreuer – 1 Stunde

Phase 5: Projektdokumentation (6 Stunden)

- Erstellung des praxisbezogenen Projektberichts (Vorgehensweise,

Entscheidungsbegründungen, Reflexion) – 4 Stunden

- Zusammenstellung der technischen Anlagen

und der Kundendokumentation – 2 Stunden

4. Geplante Dokumentationsanlagen

Wirtschaftliche und konzeptionelle Unterlagen

- Nutzwertanalyse: Detaillierter Vergleich der evaluierten Firewall-Lösungen

- Wirtschaftlichkeitsbetrachtung: Amortisationsrechnung (Gegenüberstellung

der Migrationskosten zu den eingesparten Lizenzgebühren)

- Schutzbedarfsanalyse: Einstufung der 6 VLAN’s und der VPN-Verbindungen

Technische Dokumentation

- Netzwerkplan: Darstellung der IST-und-SOLL-Infrastruktur inkl.

der VLAN-Struktur

- Konfigurationsauszüge: Dokumentation der Firewall-Regelwerke,

IDS/IPS-Richtlinien und der Site-to-Site VPN-Parameter

- IaC-Dokumentation: Auszüge der Terraform-Konfigurationsdateien

oder API-Spezifikationen zur Automatisierung

Ich freue mich über jede ehrliche Meinung und konstruktive Kritik von euch!

Liebe Grüße

Ueba3ba


Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.

Konto

Navigation

Suchen

Suchen

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.