muhi Geschrieben 23. Januar 2012 Geschrieben 23. Januar 2012 Hallo liebe Forumgemeinde, Weil mich das Thema sehr interessiert und ich auch ein bisschen Erfahrung sammeln konnte, habe ich mir überlegt einen "Penetrationtest" bei uns in der Firma durchzuführen. Ziel der Arbeit ist es Schwachstellen in der DMZ zu analysieren und ggf. in die Systeme einzudringen, Sicherheitslücken zu schließen und die Ergebnisse anschließend zu Dokumentieren. Das Ganze soll aus dem "bösen" Internet geschehen. Was hält Ihr von diesem Vorhaben? Hat jemand schon Erfahrung in dieser Hinsicht mit der IHK gemacht? Ist diese Arbeit zu umfangreich? Vielen Dank schonmal für Eure Antworten! lg Zitieren
127.0.0.1 Geschrieben 23. Januar 2012 Geschrieben 23. Januar 2012 welche kaufmännischen entscheidungen triffst du? Zitieren
muhi Geschrieben 23. Januar 2012 Autor Geschrieben 23. Januar 2012 garkeine...worauf willst du hinaus? Zitieren
Thanks-and-Goodbye Geschrieben 23. Januar 2012 Geschrieben 23. Januar 2012 Er will darauf hinaus: (2) Der Prüfling soll in Teil A der Prüfung eine betriebliche Projektarbeit durchführen und dokumentieren sowie in insgesamt höchstens 30 Minuten diese Projektarbeit präsentieren und darüber ein Fachgespräch führen. Für die Projektarbeit soll der Prüfling einen Auftrag oder einen abgegrenzten Teilauftrag ausführen. Hierfür kommt insbesondere eine der nachfolgenden Aufgaben in Betracht: [...] 2. in der Fachrichtung Systemintegration in insgesamt höchstens 35 Stunden für die Projektarbeit einschließlich Dokumentation: a) Realisieren und Anpassen eines komplexen Systems der Informations- und Telekommunikationstechnik einschließlich Anforderungsanalyse, Planung, Angebotserstellung, Inbetriebnahme und Übergabe, Erweitern eines komplexen Systems der Informations- und Telekommunikationstechnik sowie Einbinden von Komponenten in das Gesamtsystem unter Berücksichtigung organisatorischer und logistischer Aspekte einschließlich Anforderungsanalyse, Planung, Angebotserstellung, Inbetriebnahme und Übergabe. http://www.gesetze-im-internet.de/itktausbv/__15.html Kannst du die Anforderungen an die Prüfung abdecken? Zitieren
muhi Geschrieben 23. Januar 2012 Autor Geschrieben 23. Januar 2012 a) Realisieren und Anpassen eines komplexen Systems der Informations- und Telekommunikationstechnik einschließlich Anforderungsanalyse, Planung, Angebotserstellung, Inbetriebnahme und Übergabe, Erweitern eines komplexen Systems der Informations- und Telekommunikationstechnik sowie Einbinden von Komponenten in das Gesamtsystem unter Berücksichtigung organisatorischer und logistischer Aspekte einschließlich Anforderungsanalyse, Planung, Angebotserstellung, Inbetriebnahme und Übergabe. Im Prinzip schon, da kann man doch soviel reininterpretieren. Was mir Kopfschmerzen bereitet ist: 2. in der Fachrichtung Systemintegration in insgesamt höchstens 35 Stunden für die Projektarbeit einschließlich Dokumentation: und sowie in insgesamt höchstens 30 Minuten diese Projektarbeit präsentieren lg Zitieren
Thanks-and-Goodbye Geschrieben 23. Januar 2012 Geschrieben 23. Januar 2012 Im Prinzip schon, da kann man doch soviel reininterpretieren.Wir sind aber nicht hier, um in Antragsrudimente etwas hineinzuinterpretieren. Kannst du einen Antrag entwerfen, der den gesetzlichen Anforderungen der Berufsverordnung entspricht? Zitieren
muhi Geschrieben 23. Januar 2012 Autor Geschrieben 23. Januar 2012 Meiner eigenen Firma werde ich wohl eher kein Angebot erstellen. Zitieren
Thanks-and-Goodbye Geschrieben 23. Januar 2012 Geschrieben 23. Januar 2012 Meiner eigenen Firma werde ich wohl eher kein Angebot erstellen.Auch dein Chef will Kosten und Nutzen sehen. Ich machs mal deutlich: die aktuellen IT-Berufe stammen vom Datenverarbeitungskaufmann ab. Wer meint, diese Wurzeln in der Prüfung leugnen zu müssen wird auf die Nase fallen. Zitieren
muhi Geschrieben 23. Januar 2012 Autor Geschrieben 23. Januar 2012 Danke für die Anregungen. Werde mir wohl was anderes suchen müssen. Zitieren
muhi Geschrieben 23. Januar 2012 Autor Geschrieben 23. Januar 2012 Moment versteh ich das richtig? Wenn ich ein internes Projekt unter dem Aspekt von Kosten und Nutzen mitbehandle ist der kaufmännische Bereich abgedeckt oder? Die Kosten sind nicht das Problem bei mir, denn ich habe die Hardware + Software. Und der Nutzen der aus dieser Arbeit erfolgt ist mit Sicherheit nicht verkehrt würde ich mal sagen. Zitieren
tennessee Geschrieben 23. Januar 2012 Geschrieben 23. Januar 2012 (bearbeitet) Wenn Du ein internes Projekt machst sind genauso Kosten und Nutzen gegen überstellbar. Wenn ich jetzt den Penetrationstest nehme: Welche Möglichkeiten gibt es Was kosten diese jeweils. Welche Vor und Nachteile ergeben sich aus den jeweiligen Variationen White Box Test Black Box Test davon gibts sicher auch Stufen bis zu welchen Grad gegangen werden soll (Soll nur versucht werden eine DB Verbindung herzustellen oder soll auch Service richt pentriert werden, wenn ja bis zu welchen Grad. Denial of service?? Beispiel: White Box - Vorteil: durch Versorgung mit internen Wissen können die Tester mehrere Lücken aufdecken. Ist dann sinnvoll wenn auch Schutz gegen interne Angriffe interessant ist. Eventuell ein Fall für eine Bank?! Oder vertraue ich meinen Mitarbeiter oder bisherigen internen Schutzmaßnahmen bzw. brauche das nicht weil nur die Sicht von einem Angreifer von aussen ohne interna Wissen im Vordergrund stehen soll. Kandidat wäre hier eine Firma die Webshops betreibt. Das kann man natürlich nicht pauschalisieren. Genauso gut könnte eine Firma die einen Webshop betreibt großen Wert auf Sicherheit oder Image legen und auch einen White Box Test oder speziellen Test präferieren. Beispiel große Versandhäuser Otto, Quelle, Baur. Was passiert wenn dieser Test bzw. das Projekt nicht durchgeführt wird. Meine Anwendung wird gehackt: damit Potentieller Imageschaden? dadurch resultierender Umsatzverlust? wenn nun ein Penetrationstest sagen wir mal 25T Euro kostet mein Umsatzverlust nach einem Angriff aber geschätzt 250T Euro beträgt ist die Kosten Nutzen Situation klar. Passiert nix wurden 25T "umsonst" ausgegeben, wenn was passiert sind eben die errechneten 225T auch weg, eventuell leidet das Image. Dadurch ggf. sogar nicht bezifferbarer Umsatzschaden. Hier kann man dann auch Wahrscheinlichkeitsbetrachtungen machen. Man kann hier also denke eine ganze Menge machen um die IHK Anforderungen zu erfüllen. All diese Fragen die für einen Kunden zu klären sind, sind auch für ein internes Projekt zu klären. Jedoch stellt sich die Frage ob ein Penetrationstest als Projekt den Rahmen sprengen würde Denn dazu gehört ja dann auch die Begleitung der Tester während der Prüfung sowie die Bearbeitung des Finding Reports. Betrachten der Findings die von der Security Firma ja eine entsprechende Gewichtung erhalten haben. Schauen passt das für meine Umgebung oder ist das in unserem Umfeld eher wichtig zunächst das Finding mit der niedrigeren Priorität abzuarbeiten. Wenn das festgelegt wurden müssen die Jobs an Abteilungen oder Dienstleister verteilt werden damit sie abgearbeitet werden. Und zum Schluß nachgeprüft. Ich weiss nicht ob da 35 Stunden ausreichen. Doku muss da ja auch mit rein. Dazu wäre interessant in welchen Umfeld du agierst. Bist du MA bei einen großen Versandhändler wie quelle oder otto (ist ja jetzt das gleiche ) mit einem Riesigen und komplexen Testumfang. Oder ist das eine überschaubare interne Anwendung. Sollst du das ganze Projekt begleiten oder nur ein Teil Falls nur ein Teil: Wo grenzt Du dich ab? Wo ist die Schnittstelle zu anderen Kollegen oder externen Firmen. Bearbeitet 23. Januar 2012 von tennessee Zitieren
allesweg Geschrieben 24. Januar 2012 Geschrieben 24. Januar 2012 Wenn du icht da wärst, wären folgende Kosten auch nicht da: deine Ausbildungsvergütung, dein Rechner, deine Software, dein kompletter Arbeitsplatz, vielleicht sogar noch dein Ausbilder inkl. Ausstattung, ... Zitieren
muhi Geschrieben 25. Januar 2012 Autor Geschrieben 25. Januar 2012 Wir sind ein mittelständischer IT-Dienstleister mit ca 120 Mitarbeitern. Die Infrastruktur ist relativ überschaubar. Das Gesamte Projekt würde ich alleine durchführen wollen/müssen (hab aber trotzdem 2 Mitarbeiter die mir mit Rat und Tat zur Seite stehen und auch in der Hinsicht Erfahrung haben). Allerdings bezweifle ich trotzdem, dass ich mit 35 Stunden inkl. Doku das schaffe da das Thema recht umfrangreich ist. Und im Fachgespräch kann das auch nach hinten losgehen... Trotzdem vielen Dank für die ganzen Eindrücke, das Projekt werde ich dennoch fortführen aber nicht im Rahmen meiner Projektarbeit. lg Zitieren
tennessee Geschrieben 25. Januar 2012 Geschrieben 25. Januar 2012 (bearbeitet) Die Prüfer und sonstigen Spezialisten mögen mich korrigieren aber vielleicht kannst Du es so machen in dem Du Raus findest welcher Test der Richtige ist durch Ermittlung des Sicherheitsbedarf der Anwendung und der potentiellen höheren Sicherheit die Kosten dafür gegenüberstellst Mit Szenarien was könnte passieren wenn die jeweils andere Variante oder eventuell gar kein Test gemacht wird. (Umsatzverlust, Imageschäden, eventuell gar rechtliche Konsequenzen) Aufgrund dieser Entscheidungsvorlage wurde sich aufgrund .... für Test XY entschieden Dann hast du diese Kosten Nutzen Thematik schon mal?? Dann kannst du sicher planen zu welche Zeiten und mit welchen Rahmenbedingungen der Test durchgeführt werden kann. In welchen Zeitfenster kann getestet werden, wie weit soll es gehen unter welchen Umständen ist der Test abzubrechen. Beispiel Beeinträchtigung des übrigen Betriebsablaufes wie etwa Performance ... das wäre die Projektplanung? Verteilst die Findings zur Abarbeitung an zuständigen Abteilungen und externe Dienstleister. Die Zeit die die brauchen zur Behebung geht ja nicht auf dein Konto Das wäre dann die Implementierung bzw. Durchführung? wenn auch nur eine passive Rolle von Dir da das eigentliche Doing ja der DL oder eine andere Abteilung macht. Danach noch die Endkontrolle (wurden die Fehler behoben) da kannst Du Dich ja abgrenzen bzw. Dir helfen lassen das man sich aufteilt wer was testet oder komplett andere Kollegen in deinem Team das übernehmen und dir Ihre Ergebnisse weitergeben Das wäre dann Qualitätssicherung Zusammenfassung der Ergebnisse für den Vorgesetztenbzw. Dokumentation für die Abteilung Das wäre der Projektabschluss? Und zum Schluss die Doku für die IHK in der Alles beschrieben wird. Bearbeitet 25. Januar 2012 von tennessee Zitieren
127.0.0.1 Geschrieben 25. Januar 2012 Geschrieben 25. Januar 2012 das Projekt werde ich dennoch fortführen aber nicht im Rahmen meiner Projektarbeit und schon passt das ganze doch wieder (vielleicht) "bei einem penetrationstest kam heraus, dass .... Diesen Fehler gilt es, im Rahmen der Projektarbeit abzustellen. Dazu werden folgende möglichkeiten in einer kosten/nutzen-matrix verglichen... usw. usf." jetzt komm aber nicht mit so einem pipifax wie offene ports schließen. da muss schon etwas 35h füllendes herauskommen. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.