pantrag_fisi Projektantrag: Konzept einer sicheren Server-Client Lösung für die Bereitstellung einer Accessdatenbank basierten Software

[Ikjuz]

Ich habe diese Woche die Info bekommen, den Antrag zu bearbeiten. Abgabetermin ist der 24.02.18

Grund: Bitte spezifizieren sie genauer, was die konkreten Anforderungen an die Client und Server-Architektur sind und wie angedacht ist diese umzusetzen. Was verstehen Sie hierbei unter "sicher"?  Welche Tätigkeiten werden hierbei konkret von Ihnen realisiert? Bitte füllen Sie Abschnitt 1.3 aus.

Abschnitt 1.3 ist kein MUSS-Kriterium in der Online-Maske der IHK. Da er mich auffordert, habe ich den Punkt auch aufgeführt.

Kursiv geschriebenes habe ich ergänzt oder geändert. Bin für jede Hilfe sehr dankbar.

------------------

1        Projektbezeichnung (Auftrag/Teilauftrag)

Konzept einer sicheren Server-Client Lösung für die Bereitstellung einer Accessdatenbank basierten Software.

                                                                                                                                          

1.1        Ausgangssituation

Die Access Datenbank wird entwickelt von der Firma YXX. Die Zielgruppe der Datenbank sind kleine bis mittelständische Einrichtungen für betreutes Wohnen. Die Datenbank vereinfacht, neben der Speicherung und Verwaltung von Kunden- sowie Mitarbeiterdaten, auch das Erstellen von Dokumentationen.

Da diese Anwendung vertrieben werden soll, wird eine sichere, schnelle und einfache Server-Client Lösung benötigt, um diese bei den Kunden zeitgleich mit der Datenbank implementieren zu können.

Durch die Verwendung von Access als Datenbank müssen die sicherheitstechnischen Aspekte bezüglich der Freigabe von Daten ebenfalls überprüft und optimiert werden.

 

1.2          Zielsetzung

Nach Abschluss des Projektes, soll es eine Server-Client Lösung geben die mit der Access Datenbank zusammen vertrieben werden kann, um diese bei potenziellen Endkunden implementieren zu können. Der Server soll auf Basis von Windows laufen und die Dateifreigabe der Datenbank für jeweilige Clients mittels CIFS übernehmen. Auf den Clients soll Windows 10 sein mit eingeschränkten Dateien-und Ordnerfreigaben, bestimmt durch den Server. Der Client für den Administrator soll jedoch Zugriff auf alle Dateien und Ordner der Datenbank haben. Durch diese Einschränkungen soll die Betriebssystemumgebung der Clients sicherer für die Benutzer und für die Datenbank sein. Für die Realisierung stehen maximal 4.700 € Netto zur Verfügung.

 

1.3          Konsequenzen bei Nichtverwirklichung

Bei Nichtverwirklichung des Projekts entstehen keine direkten wirtschaftlichen Schäden bedingt durch Vertragsstrafen oder Betriebsausfälle beim Kunden. Daher läge die Konsequenz darin, ein erneutes Budget sowie einen Zeitraum für ein Folgeprojekt mit dem Kunden abzustimmen.

 

2             Projektumfeld

Die organisatorische Planung und die Durchführung der Testphase finden in meinem Ausbildungsbetrieb, der Firma YX, statt. Die Firma YX bietet Reparaturen und Wartungen von Laptops, Smartphones und PCs für Privat- und Geschäftskunden an. Darüber hinaus werden IT-Dienstleistungen für kleine Unternehmen angeboten.

Die technische Realisierung erfolgt in den Büros der Firma YYX. Es ist die erste Einrichtung dieser Art, welche die Access Datenbank mit dem dazugehörigen Server-Client Lösung implementieren möchte. Die Datenbank wird entwickelt in Kooperation der Firmen YXX und YYX.

Ansprechpartner ist mein Ausbilder Name und der Entwickler der Access Datenbank Name.

Die Räumlichkeiten der FirmenYX und YYX stehen mir zur Verfügung. YYX ist eine Einrichtung für betreutes Wohnen die Unterstützung bei der Wohnungssuche, Jobsuche oder Organisation eines Umzugs anbietet.

 

 

3             Projektphasen mit Zeitplanung in Stunden

 Definitionsphase

·         Beschreibung des Projektumfelds 1h

·         IST-Analyse 1h

·         SOLL-Analyse 1h

·         Pflichtenheft 1h

 

Planungsphase

·         Erstellen der Arbeitspakete 2h

·         Projektstrukturplan 2h

·         Projektablaufplan 2h

·         Recherche nach Hardware 1h

·         Recherche nach Software 1h

·         Angebotseinholung und Auswertung 2h

·         Nutzwertanalyse 2h

 

Durchführungsphase

·         Installation und Konfiguration der Hardware und Software 3h

·         Testphase 4h

·         Sicherheitsprüfung 1h

 

Abschlussphase

·         Soll/Ist-Vergleich 1h

·         Dokumentation 7h

·         Kosten- und Nutzenanalyse 1h

Zeitpuffer 2h

Gesamtdauer 35h

 

4             Dokumentation/ technische Unterlagen

Administrationshandbuch, Lastenheft, Pflichtenheft, Zeitplan

[MartinSt]

Verstehe ich es richtig, dass Du die Sicherheit dadurch schaffen willst, dass Du entsprechende Freigaben auf OS-Ebene festlegst?

[mapr]

Was installierst und konfigurierst du alles?

[Ikjuz]

vor 13 Stunden schrieb MartinSt:

Verstehe ich es richtig, dass Du die Sicherheit dadurch schaffen willst, dass Du entsprechende Freigaben auf OS-Ebene festlegst?

Jap. Damit die Ordnerstruktur von der Acces Datenbank nicht von jedem einfach eingesehen werden kann.

[Ikjuz]

vor 12 Stunden schrieb mapr:

Was installierst und konfigurierst du alles?

Auf den Server und Clients wird Windows 10 Pro installiert. Danach soll die Datenbank durch ein Netzwerklaufwerk für die Clients erreichbar sein.

Damit nicht jeder die Ordner/Dateien auf dem Netzwerklaufwerk sieht, soll ich die Freigabe konfigurieren. Der Admin sieht alles, normale Mitarbeiter sehen nur die DB und den PDF Ordner, Mitarbeiter die Berichte erstellen sehen nur DB, PDF-Ordner und den Berichte-Ordner, alles andere nicht.

 

[Thanks-and-Goodbye]

vor 7 Minuten schrieb Ikjuz:

Auf den Server und Clients wird Windows 10 Pro installiert.

Ich will dir ja nicht zu nahe treten, aber bei mir stellen sich gerade die Nackenhaare auf. Meinst du das wirklich ernsthaft so? Win10 als Serversystem?

[MartinSt]

Jeder Prüfer der schonmal richtige Datenbanken aus der Nähe gesehen hat, zerreisst dir das Projekt in 5 min. Fachgespräch.

Du hast mit den genannten Kunden- und Mitarbeiterdaten personenbezogene Daten und evtl. sogar besondere personenbezogene Daten, wenn z.B. Gesundheitsinfos beim betreuten Wohnen ins Spiel kommen.
Diese sind zu schützen, wie die DSGVO sagt "entsprechend dem Stand der Technik".

Für sowas nutzt man bei entsprechenden Datenbanken Rollen/Rechte, Row-Level-Security, sichere Verbindungen und Authentifizierung, Festlegung der erlaubten Clients/IPs, Logging ...usw.

Das ist kein Projekt, das ist grober Unfug.

Bearbeitet 22. Februar 2018 von MartinSt

[Ikjuz]

vor einer Stunde schrieb Chief Wiggum:

Ich will dir ja nicht zu nahe treten, aber bei mir stellen sich gerade die Nackenhaare auf. Meinst du das wirklich ernsthaft so? Win10 als Serversystem?

Danke, werde Windows Server 2012 oder 2016 nehmen als Serversystem.

vor einer Stunde schrieb MartinSt:

Jeder Prüfer der schonmal richtige Datenbanken aus der Nähe gesehen hat, zerreisst dir das Projekt in 5 min. Fachgespräch.

Du hast mit den genannten Kunden- und Mitarbeiterdaten personenbezogene Daten und evtl. sogar besondere personenbezogene Daten, wenn z.B. Gesundheitsinfos beim betreuten Wohnen ins Spiel kommen.
Diese sind zu schützen, wie die DSGVO sagt "entsprechend dem Stand der Technik".

Für sowas nutzt man bei entsprechenden Datenbanken Rollen/Rechte, Row-Level-Security, sichere Verbindungen und Authentifizierung, Festlegung der erlaubten Clients/IPs, Logging ...usw.

Das ist kein Projekt, das ist grober Unfug.

Wenn der Zugriff auf die DB und Daten mit einem Windows Server 2012/2016 geregelt wird, ist es trotzdem nicht sicher genug?
Die jeweiligen Ordner mit den sensiblen Daten kann ich doch bestimmt auf irgendeiner Weise verschlüsseln oder bestimmten Nutzern Zugriffsrechte entziehen.

Ob die DB selbst alle Sicherheitsaspekte erfüllt weiß ich nicht, da ich nichts mit der Entwicklung der DB zu tun habe. Die DB ist, laut dem Entwickler, noch nicht in der Release-Version.
Wenn das Thema nicht ausreicht für einen Abschlussprojekt hätten die das nicht direkt abgelehnt? Kann ich ein neues Projekt beantragen falls das im Nachhinein passiert?

 

Vielen Dank für die Antworten.

[Thanks-and-Goodbye]

vor 7 Stunden schrieb Ikjuz:

Wenn der Zugriff auf die DB und Daten mit einem Windows Server 2012/2016 geregelt wird, ist es trotzdem nicht sicher genug?

Nein, bei weitem nicht. Du kannst serverseitig steuern, ob jemand Zugriff auf die DB hat oder nicht. Hier muss aber auch festgelegt werden, dass nicht jeder Mitarbeiter auf jede in der DB gespeicherte Information Zugriff hat. Das sind Zugriffe, die innerhalb der DB festgelegt werden müssen.

BTW: so ein System auf Access aufbauen ist auch nicht gerade hochprofessionell.