Kann ich das Thema "Penetrationtest" als Abschlussprojekt nehmen? (FISI)

[muhi]

Hallo liebe Forumgemeinde,

Weil mich das Thema sehr interessiert und ich auch ein bisschen Erfahrung sammeln konnte, habe ich mir überlegt einen "Penetrationtest" bei uns in der Firma durchzuführen. Ziel der Arbeit ist es Schwachstellen in der DMZ zu analysieren und ggf. in die Systeme einzudringen, Sicherheitslücken zu schließen und die Ergebnisse anschließend zu Dokumentieren. Das Ganze soll aus dem "bösen" Internet geschehen.

Was hält Ihr von diesem Vorhaben? Hat jemand schon Erfahrung in dieser Hinsicht mit der IHK gemacht? Ist diese Arbeit zu umfangreich?

Vielen Dank schonmal für Eure Antworten!

lg

[127.0.0.1]

welche kaufmännischen entscheidungen triffst du?

[muhi]

garkeine...worauf willst du hinaus?

[Thanks-and-Goodbye]

Er will darauf hinaus:

(2) Der Prüfling soll in Teil A der Prüfung eine betriebliche Projektarbeit durchführen und dokumentieren sowie in insgesamt höchstens 30 Minuten diese Projektarbeit präsentieren und darüber ein Fachgespräch führen. Für die Projektarbeit soll der Prüfling einen Auftrag oder einen abgegrenzten Teilauftrag ausführen. Hierfür kommt insbesondere eine der nachfolgenden Aufgaben in Betracht:

[...]

2. in der Fachrichtung Systemintegration in insgesamt höchstens 35 Stunden für die Projektarbeit einschließlich Dokumentation:

a) Realisieren und Anpassen eines komplexen Systems der Informations- und Telekommunikationstechnik einschließlich Anforderungsanalyse, Planung, Angebotserstellung, Inbetriebnahme und Übergabe,

Erweitern eines komplexen Systems der Informations- und Telekommunikationstechnik sowie Einbinden von Komponenten in das Gesamtsystem unter Berücksichtigung organisatorischer und logistischer Aspekte einschließlich Anforderungsanalyse, Planung, Angebotserstellung, Inbetriebnahme und Übergabe.

http://www.gesetze-im-internet.de/itktausbv/__15.html

Kannst du die Anforderungen an die Prüfung abdecken?

[muhi]

a) Realisieren und Anpassen eines komplexen Systems der Informations- und Telekommunikationstechnik einschließlich Anforderungsanalyse, Planung, Angebotserstellung, Inbetriebnahme und Übergabe,

Erweitern eines komplexen Systems der Informations- und Telekommunikationstechnik sowie Einbinden von Komponenten in das Gesamtsystem unter Berücksichtigung organisatorischer und logistischer Aspekte einschließlich Anforderungsanalyse, Planung, Angebotserstellung, Inbetriebnahme und Übergabe.

Im Prinzip schon, da kann man doch soviel reininterpretieren. Was mir Kopfschmerzen bereitet ist:

2. in der Fachrichtung Systemintegration in insgesamt höchstens 35 Stunden für die Projektarbeit einschließlich Dokumentation:

und

sowie in insgesamt höchstens 30 Minuten diese Projektarbeit präsentieren

lg

[Thanks-and-Goodbye]

Im Prinzip schon, da kann man doch soviel reininterpretieren.

Wir sind aber nicht hier, um in Antragsrudimente etwas hineinzuinterpretieren.

Kannst du einen Antrag entwerfen, der den gesetzlichen Anforderungen der Berufsverordnung entspricht?

[muhi]

Meiner eigenen Firma werde ich wohl eher kein Angebot erstellen.

[Thanks-and-Goodbye]

Meiner eigenen Firma werde ich wohl eher kein Angebot erstellen.

Auch dein Chef will Kosten und Nutzen sehen.

Ich machs mal deutlich: die aktuellen IT-Berufe stammen vom Datenverarbeitungskaufmann ab. Wer meint, diese Wurzeln in der Prüfung leugnen zu müssen wird auf die Nase fallen.

[muhi]

Danke für die Anregungen.

Werde mir wohl was anderes suchen müssen.

[muhi]

Moment versteh ich das richtig? Wenn ich ein internes Projekt unter dem Aspekt von Kosten und Nutzen mitbehandle ist der kaufmännische Bereich abgedeckt oder? Die Kosten sind nicht das Problem bei mir, denn ich habe die Hardware + Software. Und der Nutzen der aus dieser Arbeit erfolgt ist mit Sicherheit nicht verkehrt würde ich mal sagen.

[tennessee]

Wenn Du ein internes Projekt machst sind genauso Kosten und Nutzen gegen überstellbar.

Wenn ich jetzt den Penetrationstest nehme:

Welche Möglichkeiten gibt es

Was kosten diese jeweils.

Welche Vor und Nachteile ergeben sich aus den jeweiligen Variationen

White Box Test

Black Box Test

davon gibts sicher auch Stufen bis zu welchen Grad

gegangen werden soll (Soll nur versucht werden eine DB Verbindung herzustellen

oder soll auch Service richt pentriert werden, wenn ja bis zu welchen Grad. Denial of service??

Beispiel: White Box - Vorteil: durch Versorgung mit internen Wissen können die Tester mehrere Lücken aufdecken. Ist dann sinnvoll wenn auch Schutz gegen interne Angriffe interessant ist. Eventuell ein Fall für eine Bank?!

Oder vertraue ich meinen Mitarbeiter oder bisherigen internen Schutzmaßnahmen bzw. brauche das nicht weil nur die Sicht von einem Angreifer von aussen ohne interna Wissen

im Vordergrund stehen soll. Kandidat wäre hier eine Firma die Webshops betreibt.

Das kann man natürlich nicht pauschalisieren. Genauso gut könnte eine Firma die einen Webshop betreibt großen Wert auf Sicherheit oder Image legen und auch einen White Box Test oder speziellen Test präferieren. Beispiel große Versandhäuser Otto, Quelle, Baur.

Was passiert wenn dieser Test bzw. das Projekt nicht durchgeführt wird.

Meine Anwendung wird gehackt:

damit Potentieller Imageschaden?

dadurch resultierender Umsatzverlust?

wenn nun ein Penetrationstest sagen wir mal 25T Euro kostet

mein Umsatzverlust nach einem Angriff aber geschätzt 250T Euro beträgt ist die Kosten Nutzen Situation klar.

Passiert nix wurden 25T "umsonst" ausgegeben, wenn was passiert sind eben die errechneten 225T auch weg, eventuell leidet

das Image. Dadurch ggf. sogar nicht bezifferbarer Umsatzschaden.

Hier kann man dann auch Wahrscheinlichkeitsbetrachtungen machen.

Man kann hier also denke eine ganze Menge machen um die IHK Anforderungen zu erfüllen.

All diese Fragen die für einen Kunden zu klären sind, sind auch für ein internes Projekt zu klären.

Jedoch stellt sich die Frage ob ein Penetrationstest als Projekt den Rahmen sprengen

würde

Denn dazu gehört ja dann auch die Begleitung der Tester während der Prüfung sowie die Bearbeitung des Finding Reports.

Betrachten der Findings die von der Security Firma ja eine entsprechende Gewichtung

erhalten haben. Schauen passt das für meine Umgebung oder ist das in unserem Umfeld

eher wichtig zunächst das Finding mit der niedrigeren Priorität abzuarbeiten.

Wenn das festgelegt wurden müssen die Jobs an Abteilungen oder Dienstleister verteilt werden damit sie abgearbeitet werden.

Und zum Schluß nachgeprüft.

Ich weiss nicht ob da 35 Stunden ausreichen. Doku muss da ja auch mit rein.

Dazu wäre interessant in welchen Umfeld du agierst. Bist du MA bei einen großen Versandhändler wie quelle oder otto (ist ja jetzt das gleiche ) mit einem Riesigen und komplexen Testumfang.

Oder ist das eine überschaubare interne Anwendung. Sollst du das ganze Projekt begleiten

oder nur ein Teil

Falls nur ein Teil: Wo grenzt Du dich ab? Wo ist die Schnittstelle zu anderen Kollegen oder externen Firmen.

Bearbeitet 23. Januar 2012 von tennessee

[allesweg]

Wenn du icht da wärst, wären folgende Kosten auch nicht da: deine Ausbildungsvergütung, dein Rechner, deine Software, dein kompletter Arbeitsplatz, vielleicht sogar noch dein Ausbilder inkl. Ausstattung, ...

[muhi]

Wir sind ein mittelständischer IT-Dienstleister mit ca 120 Mitarbeitern. Die Infrastruktur ist relativ überschaubar. Das Gesamte Projekt würde ich alleine durchführen wollen/müssen (hab aber trotzdem 2 Mitarbeiter die mir mit Rat und Tat zur Seite stehen und auch in der Hinsicht Erfahrung haben). Allerdings bezweifle ich trotzdem, dass ich mit 35 Stunden inkl. Doku das schaffe da das Thema recht umfrangreich ist. Und im Fachgespräch kann das auch nach hinten losgehen...

Trotzdem vielen Dank für die ganzen Eindrücke, das Projekt werde ich dennoch fortführen aber nicht im Rahmen meiner Projektarbeit.

lg

[tennessee]

Die Prüfer und sonstigen Spezialisten mögen mich korrigieren aber

vielleicht kannst Du es so machen in dem Du

Raus findest welcher Test der Richtige ist

durch Ermittlung des Sicherheitsbedarf der Anwendung und der potentiellen höheren Sicherheit die Kosten dafür gegenüberstellst

Mit Szenarien was könnte passieren wenn die jeweils andere Variante oder eventuell gar kein Test gemacht wird.

(Umsatzverlust, Imageschäden, eventuell gar rechtliche Konsequenzen)

Aufgrund dieser Entscheidungsvorlage wurde sich aufgrund .... für Test XY entschieden

Dann hast du diese Kosten Nutzen Thematik schon mal??

Dann kannst du sicher planen zu welche Zeiten und mit welchen Rahmenbedingungen der Test durchgeführt werden kann.

In welchen Zeitfenster kann getestet werden, wie weit soll es gehen unter welchen Umständen ist der Test abzubrechen.

Beispiel Beeinträchtigung des übrigen Betriebsablaufes wie etwa Performance ...

das wäre die Projektplanung?

Verteilst die Findings zur Abarbeitung an zuständigen Abteilungen und externe Dienstleister. Die Zeit die die brauchen zur Behebung geht ja nicht auf dein Konto

Das wäre dann die Implementierung bzw. Durchführung? wenn auch nur eine passive Rolle von Dir da das eigentliche Doing ja der DL oder

eine andere Abteilung macht.

Danach noch die Endkontrolle (wurden die Fehler behoben) da kannst Du Dich ja abgrenzen bzw. Dir helfen lassen das man sich aufteilt wer was testet

oder komplett andere Kollegen in deinem Team das übernehmen und dir Ihre Ergebnisse weitergeben

Das wäre dann Qualitätssicherung

Zusammenfassung der Ergebnisse für den Vorgesetztenbzw. Dokumentation für die Abteilung

Das wäre der Projektabschluss?

Und zum Schluss die Doku für die IHK in der Alles beschrieben wird.

Bearbeitet 25. Januar 2012 von tennessee

[127.0.0.1]

das Projekt werde ich dennoch fortführen aber nicht im Rahmen meiner Projektarbeit

und schon passt das ganze doch wieder (vielleicht)

"bei einem penetrationstest kam heraus, dass ....

Diesen Fehler gilt es, im Rahmen der Projektarbeit abzustellen. Dazu werden folgende möglichkeiten in einer kosten/nutzen-matrix verglichen... usw. usf."

jetzt komm aber nicht mit so einem pipifax wie offene ports schließen. da muss schon etwas 35h füllendes herauskommen.