kimura Geschrieben 16. Dezember 2021 Geschrieben 16. Dezember 2021 Hallo zusammen, bis zu meinem Abschlussprojekt ist es zwar noch ein wenig Zeit, allerdings kümmere ich mich jetzt schon um ein mögliches Thema bzw. Projekt. Da ich mich immer mehr für Netzwerksicherheit interessiere wäre meine Idee eine Art Pentest als Abschlussprojekt zu absolvieren. Unsere Firma arbeitet als kleiner Netzwerkdienstleister (also Serverwartungen/Verwaltung, Netzwerkaufbau und Betreuung). So wie ich es verstehe sollte ein Projekt ja immer einen direkten Bezug zur Firma haben. Ein Pentest ist aus meiner Sicht ja eigentlich in so gut wie jedem Betrieb in einen direkten Bezug zur firma zu bringen, da jede Firma ein hohes Interesse an der eigenen Sicherheit vertreten sollte. Wie seht ihr das? Ist das ein mögliches Projekt aus meiner Situation? Danke euch! Zitieren
charmanta Geschrieben 16. Dezember 2021 Geschrieben 16. Dezember 2021 in der ANNAHME dass Du Fisi lernst ( weil das da nicht steht ) KANN das was werden wenn Du eine Lösung für PenTests auswählst und in Betrieb nimmst. Hauptteil ist aber die Suche nach Lösungen unter Berücksichtigung wirtschaftlicher Grundlagen: Es geht darum, ein komplexes Problem nachvollziehbar mit eigenen Entscheidungen zu lösen. Es geht also NICHT um eine Anleitung, wie man den Server XYZ mit User ABC in die tolle Domäne 123 integriert. Es geht darum, WIESO man das macht, WANN sich das rechnet und welche Alternativen ( es gibt IMMER welche ) WARUM ausgeschlossen wurden. Und installieren darfst Du es auch ... nur ist Deine Entscheidungsleistung und deren Sachlichkeit die Grundlage der Beurteilung. Klicken kann jeder, es geht darum, daß Du auch ne Idee hast was Du da tust Ganz grobe und ganz neue Übersetzung meines Lieblingstextes: "Komplex" im Sinne der Prüfungsordnung sind Ansätze, welche in einem Datacenter oder einem Rechenzentrum eingesetzt werden können und nicht mehr in einem kleinen zb Handwerksbetrieb Verwendung finden. Damit scheiden Ansätze wie "Domaineneinrichung" oder "Ich suche ne Plattform für ein Windows Programm" fast automatisch aus. Gerne genommen werden: - Telefonanlagen ( weil Musterprojekt der IHK ) - Monitoring - Heterogenes Backup - Softwareverteilung - Massenbetankung Zitieren
mlwhoami Geschrieben 16. Dezember 2021 Geschrieben 16. Dezember 2021 vor 18 Minuten schrieb xkoi: So wie ich es verstehe sollte ein Projekt ja immer einen direkten Bezug zur Firma haben. Ein Pentest ist aus meiner Sicht ja eigentlich in so gut wie jedem Betrieb in einen direkten Bezug zur firma zu bringen, da jede Firma ein hohes Interesse an der eigenen Sicherheit vertreten sollte. Ja, schon. Aber welches konkrete Problem willst du denn mit deinem Projekt für den Betrieb lösen? Dein Abschlussprojekt wird ja kein Selbstzweck im Sinne von "ich mache dieses und jenes weil es irgendwie im Kontext zu den Aufgaben/Tätigkeiten im Betrieb steht". Definiere eine konkrete Problemstellung, z.B. einen verbesserungswürdigen Prozess, und beschreibe warum das für den Betrieb ein Problem darstellt (Stichwort: Kosten/Einsparungspotentiale). Daran hangelst du dich entlang und begibst dich auf die Suche nach möglichen Lösungen (Richtwert mind. 3 verschiedene), die du gegeneinander abwägst. Eine davon setzt du dann als PoC um. Um bei deinem Beispiel zu bleiben: Der PenTest an sich ist nicht deine Hauptaufgabe, sondern die Ermittlung/Abwägung verschiedener Lösungen, mit denen man PenTesting betreiben kann. Zitieren
kimura Geschrieben 20. Dezember 2021 Autor Geschrieben 20. Dezember 2021 Vielen Dank für die Rückmeldungen! Also ich habe mir gedacht, einen spezifischen Teil des Firmensystems auf Sicherheitslücken zu untersuchen und dies natürlich auch zu dokumentieren. Problemstellung stellt also hier die evtl Sicherheit von sensiblen Daten dar. Alternativen wären ja hier nur eine Fremdfirma zu beauftragen, sodass man hier also auch eine Entscheidung treffen und hinterher eine Kosten-Nutzen Rechnung in hinsicht auf die Wirtschaftlichkeit erstellen und vergleichen kann. Zudem könnte man auch (weiter gesponnen) überlegen ob das anbieten von PenTests bei iegenen Kunden nicht sogar Mandats-fähig wäre und auch hier eine Rechnung erstellen, Probleme, alternativen und Lösungen finden. Meint ihr das wäre so eine gute Grundlage, oder hättet ihr vlt. andere Vorschläge in diesem Themengebiet für einen Projektantrag? Lg Zitieren
charmanta Geschrieben 20. Dezember 2021 Geschrieben 20. Dezember 2021 vor 3 Minuten schrieb xkoi: Alternativen wären ja hier nur eine Fremdfirma zu beauftragen, sodass man hier also auch eine Entscheidung treffen und hinterher eine Kosten-Nutzen Rechnung in hinsicht auf die Wirtschaftlichkeit erstellen und vergleichen kann. das ist ein Thema für einen ITK vor 4 Minuten schrieb xkoi: Zudem könnte man auch (weiter gesponnen) überlegen ob das anbieten von PenTests bei iegenen Kunden nicht sogar Mandats-fähig wäre und auch hier eine Rechnung erstellen, Probleme, alternativen und Lösungen finden. Grenzwertig. Du sollst ja ne Lösung finden. Also wenn Du zwischen verschiedenen fertigen Lösungen eine suchst dann wäre das ein Ansatz. Du denkst bitte an den Datenschutz ? So rauf und runter ? Zitieren
mlwhoami Geschrieben 20. Dezember 2021 Geschrieben 20. Dezember 2021 vor 30 Minuten schrieb xkoi: Meint ihr das wäre so eine gute Grundlage Kommt letztendlich auf deinen Ausbildungsberuf bzw. den Schwerpunkt an. Dazu hast du dich bislang ja noch nicht geäußert. Unter der weiteren ANNAHME, dass du FiSi lernst, sind das hier grundlegend keine guten Ansätze: vor 32 Minuten schrieb xkoi: Also ich habe mir gedacht, einen spezifischen Teil des Firmensystems auf Sicherheitslücken zu untersuchen vor 32 Minuten schrieb xkoi: Alternativen wären ja hier nur eine Fremdfirma zu beauftragen vor 32 Minuten schrieb xkoi: überlegen ob das anbieten von PenTests bei iegenen Kunden nicht sogar Mandats-fähig wäre und auch hier eine Rechnung erstellen, Probleme, alternativen und Lösungen finden Letzteres hiervon eventuell, aber ist schon grenzwertig m.E.n. und könnte schwierig werden vom Ablauf her, wenn kein "echtes" Problem dahingehend besteht. Die reine Durchführung eines PenTesting oder eine reine Make or Buy - Entscheidung wäre zumindest für einen FiSi nicht tauglich als Projekt. Zitieren
alex123321 Geschrieben 20. Dezember 2021 Geschrieben 20. Dezember 2021 Wäre vielleicht etwas in Richtung Vulnerability Scanning o.ä. sinnvoll? Da könnte ich mir eher ein typisches Projekt vorstellen. Ich denke es ist nicht sinnvoll für die Abschlussprüfung zu experimentieren und etwas abseits der Norm zu nehmen. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.