pantrag_fisi Projektantrag: Abschottung, Isolierung des Backups um eine höhere Backup Sicherheit zu gewährleisten

[einePerson]

Hallo zusammen, 
ich werde diese Woche noch meinen Projektantrag für das Abschlussprojekt für Fachinformatiker für Systemintegration abgeben und wollte mir hier diesbezüglich nochmal konstruktive Kritik / Feedback einholen.
Vielen Dank im voraus!

 

1. Thema der Projektarbeit

Abschottung der Backups um eine höhere Backup Sicherheit zu gewährleisten

2. Geplanter Bearbeitungszeitraum

08.03.2022 bis 04.05.2022

3. Projektbeschreibung

Mein Projekt “Abschottung der Backups um eine höhere Backup Sicherheit zu gewährleisten”, ist durch einen Auftrag der XXXXXX entstanden. Der Auftraggeber wurde bereits zuvor von mir bei Projekten betreut. Das genannte Thema, wurde bei einem vorherigen Projekt erwähnt und sollte nun realisiert werden.

Aktuell verfügt die Firma XXXXXX über ein Backup-System, das intern im Firmennetzwerk durch Systemadministratoren jederzeit über Netzwerk ansprechbar und administrierbar ist. Damit sind nicht alle Bedrohungsszenarien abgedeckt, gegen die ein Schutz wünschenswert ist.

 

Deshalb wünscht sich die Firma nun ein abgeschottetes isoliertes zusätzliches System, auf welchem die Backups ein weiteres Mal  gespeichert werden. 

 

Im Rahmen des Projekts soll ein Bedrohungsmodell  erstellt werden, auf dessen Basis dann aufgezeigt wird, welche Maßnahmen des neu zu schaffenden zusätzlichen Systems, zweckdienlich diese Gefahren adressieren.

 

Der Kern des Projekts ist darauf aufbauend, die Umsetzung der neuen Anforderungen als betriebsbereiter Prototyp auf bereits vorhandener Serverhardware mit existierenden Festplatten; das System soll dazu neu aufgesetzt werden und die Sicherungsmaßnahmen dokumentiert umgesetzt werden.

Abschließend soll eine Analyse auf Basis existierender Betriebsdaten zum langfristig erwarteten Bedarf an Speichergröße erstellt werden, und ein wirtschaftlicher Vergleich zwischen der Speicherung auf Festplatten, gegenüber einer möglichen  mit  Speicherung auf LTO-Bändern, durchgeführt werden. Im Ergebnis soll sich daraus eine Empfehlung für die zukünftige Hardwarebeschaffung ableiten.

4. Projektumfeld

Das mittelständige, inhabergeführte Unternehmen, die XXXXX, ist seit mehr als XX Jahren ansässig in Wiesbaden. 20XX gründete der Geschäftsführer XXXXXXX die Firma, XXXXXX. Inzwischen hat die Firma ca. XX Mitarbeiter, betreibt XX verschiedene internationale Webseiten, welche zentral vom Firmenstandort XXXXXX aus verwaltet werden. Die gesamte Production Hardware läuft unter dem XXXX Betriebssystem XXXXXX.
Da das Unternehmen seine Produkte komplett selbst verwaltet, sind sie in der Lage schnell und individuell auf ihre Kunden und ihre Produktverbesserungen oder Produktprobleme zu reagieren. Aktuell bin ich Auszubildender Fachinformatiker für Systemintegration. Ich arbeite zusammen mit X weiteren Mitarbeitern in der IT Abteilung, die sich in System Operations und Office-IT unterteilt.

5. Projektphasen mit Zeitplanung
 

Projektplanungsphase: 3 Std

-Initialisierungsphase 0.5 Std

-Ist-Analyse 0.5 Std

-Soll-Konzept / Gefahren Modell 1 Std

-Zeitplanung mit der Netzplantechnik 1 Std

-Puffer 0-3 Std

Realisierungsphase: 20 Std

-Kostenkalkulation der Projektkosten, Kostenkalkulation Backup Server vs. LTO-Bänder 3 Std

-Recherche, Vergleich mit Gefahrenanalyse(Thread model) 5 Std

-Proof of Concept Box bauen 2 Std

-Installation(und Raid Verschlüsselung) und Test aller Softwarekomponenten 4 Std

- in das vorhandene interne Firmennetzwerk einbinden 1.5 Std

-Verbindung zu den anderen servern herstellen und testen 1 Std

- Firewall regeln setzen (nur pull allowed)und alle dienste welche für eine verbindung nach außen genutzt werden stoppen und disablen 1 Std

- console access verschlüsseln und gegen brute force schützen 1 Std

-endgültiger Funktionstest 1 Std

-Puffer 0-3 Std

Projektabschluss: 10 Std

-Erstellung einer Projektdokumentation 7 Std

-Soll- und Ist-Vergleich 1 Std

-Projektübergabe 1 Std

-Fazit 0.5 Std

-Puffer 0-3 Std

Insgesamt 35 Stunden, davon 3 Std puffer

 

 

6. Dokumentation zur Projektarbeit

Betriebliche Projektdokumentation

Grobgliederung:

-Inhalte der Planungsphase

-Dokumentation der Realisierung

-Projektabschluss mit Gegenüberstellung des finalen Soll- und Ist-Zustandes

-Fazit

7. Anlagen

-Google Docs Dokumente

-ggf. Fotos und Screenshots

-ggf. PDF-Dokumente

-ggf. Präsentationsdateien

8. Präsentationsmittel

Laptop (Macbook), Beamer, ggf. Karteikarten

9. Hinweis

Ich bestätige, dass der Projektantrag dem Ausbildungsbetrieb vorgelegt und vom Ausbildenden genehmigt wurde. Der Projektantrag enthält keine Betriebsgeheimnisse. Soweit diese für die Antragstellung notwendig sind, wurden nach Rücksprache mit dem Ausbildenden die entsprechenden Stellen unkenntlich gemacht. Mit dem Absenden des Projektantrages bestätige ich weiterhin, dass der Antrag eigenständig von mir angefertigt wurde. Ferner sichere ich zu, dass im Projektantrag personenbezogene Daten (d. h. Daten, über die eine Person identifizierbar oder bestimmbar ist) nur verwendet werden, wenn die betroffene Person hierin eingewilligt hat. Bei meiner ersten Anmeldung im Online-Portal wurde ich darauf hingewiesen, dass meine Arbeit bei Täuschungshandlungen bzw. Ordnungsverstößen mit „null“ Punkten bewertet werden kann. Ich bin weiter darüber aufgeklärt worden, dass dies auch dann gilt, wenn festgestellt wird, dass meine Arbeit im Ganzen oder zu Teilen mit der eines anderen Prüfungsteilnehmers übereinstimmt. Es ist mir bewusst, dass Kontrollen durchgeführt werden.

 

Name der Ausbildungsstätte in dem das Projekt durchgeführt wird

 

Name des Ausbilders, bzw. Projektverantwortlichen mit Angabe der Tel. Nr.

 

[mapr]

Musst du Puffer mit angeben?
0-3 Std. x 3 = 9 wenn's "dumm läuft"?
Vergiss es.

[charmanta]

vor 10 Minuten schrieb einePerson:

Deshalb wünscht sich die Firma nun ein abgeschottetes isoliertes zusätzliches System, auf welchem die Backups ein weiteres Mal  gespeichert werden. 

Hä ? Das ist kein Projekt

 

vor 11 Minuten schrieb einePerson:

Im Rahmen des Projekts soll ein Bedrohungsmodell  erstellt werden, auf dessen Basis dann aufgezeigt wird, welche Maßnahmen des neu zu schaffenden zusätzlichen Systems, zweckdienlich diese Gefahren adressieren.

... lies den Satz bitte selbst noch ein paar Mal

vor 12 Minuten schrieb einePerson:

Der Kern des Projekts ist darauf aufbauend, die Umsetzung der neuen Anforderungen als betriebsbereiter Prototyp auf bereits vorhandener Serverhardware mit existierenden Festplatten; das System soll dazu neu aufgesetzt werden und die Sicherungsmaßnahmen dokumentiert umgesetzt werden.

Das klingt nach einer Bastelei für einen ITSE ...

vor 12 Minuten schrieb einePerson:

Abschließend soll eine Analyse auf Basis existierender Betriebsdaten zum langfristig erwarteten Bedarf an Speichergröße erstellt werden, und ein wirtschaftlicher Vergleich zwischen der Speicherung auf Festplatten, gegenüber einer möglichen  mit  Speicherung auf LTO-Bändern, durchgeführt werden. Im Ergebnis soll sich daraus eine Empfehlung für die zukünftige Hardwarebeschaffung ableiten.

Also vergleichst Du *nur* Backup2Disk gegen Backup2Tape ? Das ist sehr sehr dünn ... und für das Fachgespräch ebnet das ganz ganz viel Potential

vor 14 Minuten schrieb einePerson:

- Firewall regeln setzen (nur pull allowed)und alle dienste welche für eine verbindung nach außen genutzt werden stoppen und disablen 1 Std

- console access verschlüsseln und gegen brute force schützen 1 Std

das gehört in das genannte Projekt so eigentlich nicht rein ? Bleibt auch ITSE ....

Also, zusammenfassend: Du bastelst einen Rechner zusammen auf Basis vorhandener Platten, der dann eine zweite Kopie einer Sicherung aufnehmen soll. Du entscheidest zwischen B2D und B2T ...

Das wird mit mindesten 50% Wahrscheinlichkeit abgelehnt. Als FiSi bastelst Du ( nach PO ) nix zusammen und die fachliche Anforderung ist zu dünn.

Den Hinweis mit dem "Gefahrenmodell" finde ich eigentlich ! reizvoll. Ich könnte mich da als böser Prüfer ( sowas gibt es hoffentlich nicht ) gar nicht entscheiden, ob ich Dich nach dem BSI Kompendium oder/und der DSGVO befrage ... in BEIDEM müsstest Du sicher sein ...

Wenn Du was mit Sicherheit machen willst UND die rechtlichen Grundlagen drauf hast dann änder den Fokus mal ab auf eine Absicherung einer Infrastruktur gegen Bedrohungen mit einem gestecktem finanziellen Limit ... und lass das Bauen.

Wenn Du in o.g. Themen nicht wirklich happy bist ... dann empfehle ich dringend ein neues Thema. Das hier verlässt zu sehr den FiSi Rahmen

[einePerson]

Hallo hier einmal die Aufgebesserte version meines Projektantrags
würde mich freuen hierzu auch feedback zu erhalten
(nur die geänderten Punkte folgend dargestellt)

1. Thema der Projektarbeit

Abschottung eines Backup Servers um eine höhere Backup Sicherheit zu gewährleisten

2. Geplanter Bearbeitungszeitraum

08.03.2022 bis 04.05.2022

3. Projektbeschreibung

Mein Projekt “Abschottung eines Backup Servers um eine höhere Backup Sicherheit zu gewährleisten”, ist durch einen Auftrag der XXXXX entstanden. Der Auftraggeber wurde bereits zuvor von mir bei Projekten betreut. Das genannte Thema, wurde bei einem vorherigen Projekt erwähnt und sollte nun realisiert werden.

Aktuell verfügt die Firma XXXXXXX über ein Backup-System, das intern im Firmennetzwerk durch Systemadministratoren jederzeit über Netzwerk ansprechbar und administrierbar ist. Damit sind nicht alle Bedrohungsszenarien abgedeckt, gegen die ein Schutz wünschenswert ist.

Deshalb wünscht sich die Firma nun ein abgeschottetes isoliertes zusätzliches System, auf welchem die Backups weitere Male gespeichert werden. Einmal dort gesicherte Daten, sollen gegen Diebstahl durch Dritte, aber auch gegen Verfälschung und Löschung durch einzelne Mitarbeiter (rogue admin), geschützt sein.

Im Rahmen des Projekts soll ein Bedrohungsmodell  erstellt werden, auf dessen Basis dann aufgezeigt wird, welche Maßnahmen des neu zu schaffenden zusätzlichen Systems, zweckdienlich diese Gefahren adressieren. Insbesondere sind Vorschläge zu erarbeiten, wie der Schutz vor Missbrauch durch einzelne Mitarbeiter in der Zugriffskontrolle des Systems umgesetzt werden kann, gegebenenfalls auch durch Eigenentwicklung geeigneter Skripte, unter der Annahme, daß unsere vertraute XXXX-Betriebssoftware zum Einsatz kommt. 

Der Kern des Projekts ist darauf aufbauend, die Umsetzung der neuen Anforderungen als betriebsbereiter Prototyp auf bereits vorhandener Serverhardware mit existierenden Festplatten; das System soll dazu neu aufgesetzt werden, vorhandene Software zur Entgegennahme der Backup Daten angepasst und ggf. erweitert werden, so daß der Prototyp echte Backup Daten entgegennimmt und vorhält, und es werden alle geplanten Sicherungsmaßnahmen gegen Missbrauch durch Einzelne, dokumentiert umgesetzt.

Abschließend soll eine Analyse auf Basis existierender Betriebsdaten zum langfristig erwarteten Bedarf an Speichergröße erstellt werden, und ein wirtschaftlicher Vergleich zwischen der Speicherung auf Festplatten, gegenüber einer möglichen  mit  Speicherung auf LTO-Bändern, durchgeführt werden. Um einen Schutz vor Diebstahl oder physischer Beschädigung der Hardware zu gewährleisten, soll schließlich ein Zwei-Standort Aufbau mit gedoppelter Hardware wirtschaftlich ausgearbeitet werden.

5. Projektphasen mit Zeitplanung

Projektplanungsphase: 5 Std

-Ist-Analyse 0.5 Std

-Soll-Konzept / Gefahren Modell 1 Std

-Zeitplanung mit der Netzplantechnik 1 Std

-Bedrohungsszenarien: Gefahrenanalyse(Threat model) 2 Std

 

Realisierungsphase: 17 Std

-Kostenkalkulation der Projektkosten, Kostenkalkulation Backup Server vs. LTO-Bänder, Kostenkalkulation eines zwei-Standort szenarios 4 Std

-Installation(und Raid Verschlüsselung) und Test aller Softwarekomponenten 3 Std

- in das vorhandene interne Firmennetzwerk einbinden 1.5 Std

-Verbindung zu den anderen servern herstellen und testen 1 Std

- Firewall regeln setzen (nur pull allowed)und alle dienste welche für eine verbindung nach außen genutzt werden stoppen und disablen 1.5 Std

- console access verschlüsseln und gegen brute force schützen 1 Std

- einrichten eines vier augen schutzes auf dem backup server (zwei administratoren benötigt zum ausführen/ öffnen) (scripten sehr wahrscheinlich benötigt) 3 Std

-endgültiger Funktionstest 1 Std

- abteilung bezüglich des 4-Augen prinzips schulen 1 Std

 

Projektabschluss: 8 Std

-Erstellung einer Projektdokumentation 6 Std

-Soll- und Ist-Vergleich 1 Std

-Projektübergabe 0.5 Std

-Fazit 0.5 Std

Insgesamt 35 Stunden, davon 5 Std puffer

Bearbeitet 11. Februar 2022 von einePerson

[charmanta]

ich erwähnte bereits dass das kein Projekt ist, sorry

Und mal ehrlich: wenn ich sicher gehen will dass meine Daten nicht verfälscht werden dürfen dann setz ich einfach WORM Medien ein und schon ist Deine ganze Idee im Eimer.

Meiner Meinung nach: Neues Thema. Das ist echt zu seicht und sogar ziemlich sinnbefreit

[MartinSt]

Wo testest du denn gegen dein erstelltes Bedrohungsszenario? Doch nicht in der 1h??
IMHO wäre beim Backup Thema für mich auch immer der Tests eines Restores ganz sinnvoll

vor 8 Stunden schrieb einePerson:

Analyse auf Basis existierender Betriebsdaten zum langfristig erwarteten Bedarf an Speichergröße erstellt werden

Wo passiert denn das, im Zeitplan steht dazu nichts?

 

vor 8 Stunden schrieb einePerson:

einrichten eines vier augen schutzes auf dem backup server (zwei administratoren benötigt zum ausführen/ öffnen)

Das heißt im Umkehrschluss, dass der Gesch.führer allein NIE eine Chance hat, an das Backup ran zu kommen. Mein GF würde da mit einer sehr deutlichen Geste reagieren...