(ABGELEHNT) Projektantrag Implementierung einer aktuellen IT-Sicherheitsarchitektur

[Pavelnhs10]

Guten Tag alle miteinander leider wurde mein Projektantrag abgelehnt 

 

Grund: bitte beschreiben Sie unter Punkt 4 Projektziel Ihren Eigenanteil am Projekt, um die fachliche Tiefe bzw. Herausforderung klar herauszustellen sowie Ihr Umsetzungsengagement zu bewerten. Eigene Tätigkeiten im Projekt sind klar zu definieren. Durchaus kann der Umfang des ganzen Projekts beschrieben werden, doch muss auch klar erkennbar sein, was die eigene Tätigkeit ausmacht. Die eingebundenen Schnittstellen (z. B. Fremdleistungen) müssen beschrieben sein. Weiterhin soll angegeben werden, welche Mittel (Hard- und Software) für die Erledigung zur Verfügung gestellt werden.

Das Projektziel muss sich auch eindeutig in der Zeitplanung widerspiegeln.

Das ist mein Projektantrag 
 

3 Ausgangssituation

Unternehmen XYZ, ein wachsendes mittelständisches Unternehmen, steht vor bedeutenden

Herausforderungen in der IT-Sicherheit und im Datenmanagement. Trotz vorhandener

Sicherheitsprotokolle und eines grundlegenden Backup-Systems zeigt die Zunahme von

Sicherheitsvorfällen und datenrelevanten Problemen einen dringenden Handlungsbedarf.

Eine Analyse des aktuellen Zustands hat verschiedene Schwachstellen aufgezeigt,

einschließlich ernster Sicherheitslücken, die durch eine Reihe erfolgreicher Cyber-Angriffe und

Sicherheitsverletzungen offenkundig wurden.

Die aktuell genutzte Firewall-Technologie ist veraltet und erfüllt nicht mehr die Anforderungen,

die moderne Cyber-Abwehrmechanismen an sie stellen.

Weiterhin gibt es Defizite in den bestehenden Passwortrichtlinien, sowohl in Bezug auf ihre

Durchsetzung als auch auf ihre Überwachung, was zu einer uneinheitlichen Nutzung sicherer

Passwörter durch die Belegschaft und somit zu einem erhöhten Risiko für unautorisierte Zugriffe

führt.

Zusätzlich fehlt es im Unternehmen an einem ausreichenden Bewusstsein und entsprechenden

Kenntnissen der Mitarbeiter über Cyber-Bedrohungen und bewährte Praktiken im Bereich der

IT-Sicherheit.

Das vorhandene Backup-System hat Schwächen, insbesondere in Bezug auf die redundante

Speicherung von Daten und den Schutz vor lokalen Katastrophen.

Mit dem Wachstum des Unternehmens und einer zunehmend komplexen IT-Struktur steigen

auch die Anforderungen an IT-Sicherheit und Datenintegrität. Diese offensichtlichen

Schwachstellen und daraus resultierenden Probleme unterstreichen die Notwendigkeit einer

umfassenden Überarbeitung der IT-Sicherheitsstrategien sowie der Backup-Strategien für

Unternehmen XYZ.

Die gezielte Implementierung einer starken, aktualisierten IT-Sicherheits- und

Datenbackup-Lösung ist entscheidend um zukünftige Bedrohungen und Datenverluste zu

verhindern um somit Netzwerksicherheit und Datensicherheit zu gewährleisten.

 

4 Projektziel

Das Hauptziel des Projektes besteht in der Implementierung eines umfassenden

Sicherheitssystems sowie eines zuverlässigen Backup- und Recovery-Systems für das

Unternehmensnetzwerk.

Im Fokus steht dabei zunächst die Einbindung einer fortschrittlichen Firewall. Diese soll den

Netzwerkverkehr überwachen und unautorisierte Zugriffe unterbinden, um das Netzwerk vor

diversen Bedrohungen zu schützen.

Weiterhin wird ein besonderer Fokus auf die Aktualisierung und Verschärfung der

Passwortrichtlinien gelegt, um sicherzustellen, dass Zugriffe auf das Netzwerk ausschließlich

von autorisierten Personen durchgeführt werden können.

Hierbei werden die Implementierung komplexerer Passwortanforderungen und die Regelung

regelmäßiger Änderungen im Vordergrund stehen.

Ergänzend hierzu wird ein hoher Wert auf die Weiterbildung und Sensibilisierung der Mitarbeiter

gelegt. Hierbei ist die Konzeption und Durchführung von Schulungen und

Sensibilisierungsmaßnahmen essenziell, um ein hohes Sicherheitsbewusstsein im gesamten

Unternehmen sicherzustellen, dass alle Teammitglieder ausführlich über potenzielle

Sicherheitsrisiken sowie entsprechende präventive und reaktive Maßnahmen informiert sind.

In Bezug auf das Backup- und Recovery-System wird die Implementierung eines zentralisierten

Backup-Systems angestrebt welches automatisierte, regelmäßige Datensicherungen

gewährleistet. Die redundante Datenhaltung an mehreren, physisch getrennten Standorten soll

maximalen Schutz gegen Datenverlust durch lokale Katastrophen wie Brände oder

Überschwemmungen bieten.

Zusammenfassend zielt das Projekt darauf ab, durch eine Kombination aus präventiven

Mechanismen gegen Cyber-Bedrohungen und reaktiven Maßnahmen zur

Datenwiederherstellung und Systemrettung, eine ganzheitliche Verbesserung des

IT-Sicherheitsniveaus und der Widerstandsfähigkeit gegen Datenverlust und

Datenbeschädigung im Unternehmen zu bewerkstelligen.

 

5 Zeitplanung

Projektphasen mit Zeitplanung:

Phase 1: Projektvorbereitung (4 Stunden)

Definition und Abgrenzung des Projekts (1,5 Stunden)

Risikoanalyse (1,5 Stunden)

Erstellung eines vorläufigen Zeitplans (1 Stunde)

 

Phase 2: Projektplanung (14 Stunden)

Detaillierte Firewall Technologie-Recherche und -Auswahl (4,0 Stunden)

Erarbeitung der neuen Passwortrichtlinien (3,0 Stunden)

Erstellung eines detaillierten Schulungskonzepts (3,5 Stunden)

Neukonzipierung des Backup-Systems (3,5 Stunden)

Phase 3: Projektdurchführung (16 Stunden)

Installation und Konfiguration der Firewall (4 Stunden)

Umsetzung der Passwortrichtlinien (3,5 Stunden)

Durchführung der Mitarbeiterschulungen (3,5 Stunden)

Implementierung des Backup-Systems (5 Stunden)

Phase 4: Projektabschluss und Dokumentation (6 Stunden)

Evaluierung der Projektergebnisse (2 Stunden)

Erstellung eines Übergabeprotokolls (2 Stunden)

Erstellung der Dokumentation und Abschlussbericht (2 Stunden)

Zu meiner Frage ist dem Prüfer das Projekt zu Umfangreich? Zitat(Durchaus kann der Umfang des ganzen Projekts beschrieben werden, doch muss auch klar erkennbar sein, was die eigene Tätigkeit ausmacht.) Oder muss ich einfach den Soll Zustand umschreiben und halt sage das ich quasi alles mache ? Wäre über jeden Rat dankbar am besten der Rat eines IHK Prüfers
Außerdem verstehe ich (Weiterhin soll angegeben werden, welche Mittel (Hard- und Software) für die Erledigung zur Verfügung gestellt werden.) nicht. Möchte er dann schon wissen welche Firewall ich einkaufen, welche Passwort Richtlinien ich umsetzen, Welche Backupsoftware ich einsetzen möchte? Hatte dies so verstanden das ich das in der Projektdokumentation dann noch weiter ausführen kann.

LG Paul

 

 

 

 

 

 

[be98]

Es geht Projekt darum zu begründen weshalb du dich für eine Umsetzung (bzw. eine Alternative) entscheidest und nicht für eine andere. Was hättest du denn für Alternativen gehabt und weshalb verworfen. Ich knall ne andere Firewall rein ist denen da halt zu wenig 

[alex123321]

Das Thema allumfassend zu betrachten ist zu viel. Such dir den wichtigsten Bestandteil aus und bearbeite das in der Tiefe.

Die Backuplösung oder die Einführung der Firewall klingt für mich nicht verkehrt für ein Projekt. Es muss aber entsprechend aufgezogen werden.

Passwortrichtlinien verschärfen eher weniger. Mal davon abgesehen dass Passwörter alleine nicht mehr das Maß der Dinge sein sollten.

[Dr. Octagon]

Zusätzlich wäre die Zeitplanung in z.B. diesen Punkten nicht entsprechend der Realität:

vor 1 Stunde schrieb Pavelnhs10:

Erarbeitung der neuen Passwortrichtlinien (3,0 Stunden)

Hier zuviel Zeit...

vor 1 Stunde schrieb Pavelnhs10:

Erstellung der Dokumentation und Abschlussbericht (2 Stunden)

Hier zuwenig Zeit...

 

Stimme aber ansonsten auch mit der Aussage von alex123321 überein...

[Pavelnhs10]

 

Danke schonmal an alle Antworten.

Das mit den Passwortrichtlinien werde ich rausnehmen. 

Aber ein ganzes Projekt für eine neue Firewall? Scheint mir die Zeit zuviel oder liege ich da falsch ?

Bei der Backuplösung ist schon Veeam im Einsatz jedoch wird nur lokal auf den Clients gesichert. Mein Plan war es die 3-2-1 Backup-Regel anzuwenden und das sowie das Generationenprinzip. Da Veeam eh schon im Einsatz ist wollte ich es einfach auf Veeam Data Platform mit einer Premium Lizenz. (Habe dazu auch den Ist-Zustand berreits angepasst).
Das als ein ganzes Projekt aufzuziehen scheint mir auch etwas wenig, berichtigt mich wenn ich falsch liege.
Werde mich heut nochmal dransetzen. Sehr frustrierend für mich aktuell, hatte mir echt mühe gegeben.

 

[Dr. Octagon]

vor 40 Minuten schrieb Pavelnhs10:

Aber ein ganzes Projekt für eine neue Firewall? Scheint mir die Zeit zuviel oder liege ich da falsch ?

Bei der Backuplösung ist schon Veeam im Einsatz jedoch wird nur lokal auf den Clients gesichert. Mein Plan war es die 3-2-1 Backup-Regel anzuwenden und das sowie das Generationenprinzip. Da Veeam eh schon im Einsatz ist wollte ich es einfach auf Veeam Data Platform mit einer Premium Lizenz. (Habe dazu auch den Ist-Zustand berreits angepasst).
Das als ein ganzes Projekt aufzuziehen scheint mir auch etwas wenig, berichtigt mich wenn ich falsch liege.
Werde mich heut nochmal dransetzen. Sehr frustrierend für mich aktuell, hatte mir echt mühe gegeben.

Wie Du das hier gerade anfügst, wird es tatsächlich zu wenig sein... schau nochmal beim Post von be98... da steht eigentlich das, was Du jetzt machen solltest, wenn Du bei diesen Themen bleiben willst.

Was alles kaputt macht sind z.B. Sachen wie: "Da X eh schon im Einsatz ist, wollte ich es einfach..."

 

 

Bearbeitet 15. Oktober 2023 von Dr. Octagon

[charmanta]

 

Es geht darum, ein komplexes Problem nachvollziehbar mit eigenen Entscheidungen zu lösen. Es geht also NICHT um eine Anleitung, wie man den Server XYZ mit User ABC in die tolle Domäne 123 integriert. Es geht darum, WIESO man das macht, WANN sich das rechnet und welche Alternativen ( es gibt IMMER welche ) WARUM ausgeschlossen wurden.
Und installieren darfst Du es auch ... nur ist Deine Entscheidungsleistung und deren Sachlichkeit die Grundlage der Beurteilung. Klicken kann jeder, es geht darum, daß Du auch ne Idee hast was Du da tust
Ganz grobe und ganz neue Übersetzung meines Lieblingstextes: "Komplex" im Sinne der Prüfungsordnung sind Ansätze, welche in einem Datacenter oder einem Rechenzentrum eingesetzt werden können und nicht mehr in einem kleinen zb Handwerksbetrieb Verwendung finden.
Damit scheiden Ansätze wie "Domaineneinrichung" oder "Ich suche ne Plattform für ein Windows Programm" fast automatisch aus.
Gerne genommen werden:
- Telefonanlagen ( weil Musterprojekt der IHK )
- Monitoring
- Heterogenes Backup
- Softwareverteilung
- Massenbetankung

Die Prüfungsordnung sagt in §22 dazu:
§ 20 Prüfungsbereich Planen und Umsetzen eines Projektes der Systemintegration
(1) Im Prüfungsbereich Planen und Umsetzen eines Projektes der Systemintegration besteht die Prüfung aus zwei Teilen.
(2) Im ersten Teil hat der Prüfling nachzuweisen, dass er in der Lage ist,
1.auftragsbezogene Anforderungen zu analysieren,
2.Lösungsalternativen unter Berücksichtigung technischer, wirtschaftlicher und qualitativer Aspekte vorzuschlagen,
3.Systemänderungen und -erweiterungen durchzuführen und zu übergeben,
4.IT-Systeme einzuführen und zu pflegen,
5.Schwachstellen von IT-Systemen zu analysieren und Schutzmaßnahmen vorzuschlagen und umzusetzen sowie
6.Projekte der Systemintegration anforderungsgerecht zu dokumentieren.

 

 

[be98]

Punkt 2.2 und 2.5 sind sehr wichtig für dich. Schwachstellen analysieren,  aus Alternativen begründet auswählen und das sauber dokumentieren. Und du solltest klar kommen 

[Pavelnhs10]

vor 11 Minuten schrieb be98:

Punkt 2.2 und 2.5 sind sehr wichtig für dich. Schwachstellen analysieren,  aus Alternativen begründet auswählen und das sauber dokumentieren. Und du solltest klar kommen 

Danke dir bin grad am umschreiben, mein Plan ist eine Kosten Nutzen Analyse zwischen Cisco und Sophos wo ich dann zu dem Entschluss komme Sophos zu wählen (muss noch nen Grund finden)
Danach folgt eine SWOT-Analyse von 3 Modellen. 
Das ist was die IHK möchte richtig ? Bevor ich wieder sinnlos Zeit investiere.........

[Dr. Octagon]

vor 2 Stunden schrieb Pavelnhs10:

zwischen Cisco und Sophos wo ich dann zu dem Entschluss komme Sophos zu wählen (muss noch nen Grund finden)

Das hier ist ein Ausschlusskriterium: Du weißt vor dem Antrag schon, was das Beste ist!

Lass uns mal zusammen raten: Sophos gibt es schon im Unternehmen und/oder ist einfacher zu implementieren.

Merke:

Alles, was Dir direkt am Anfang einfach erscheint, wird Dir am Ende Schwierigkeiten bereiten... vor allem bei der Bewertung!

[cortez]

vor 9 Stunden schrieb be98:

Was hättest du denn für Alternativen gehabt und weshalb verworfen

vor 8 Stunden schrieb alex123321:

Das Thema allumfassend zu betrachten ist zu viel. Such dir den wichtigsten Bestandteil aus und bearbeite das in der Tiefe.

vor 5 Stunden schrieb charmanta:

Es geht darum, WIESO man das macht, WANN sich das rechnet und welche Alternativen ( es gibt IMMER welche ) WARUM ausgeschlossen wurden.

Würde ich genau so unterschreiben. Es ist Sammelsurium von verschiedenen Ansätzen, welche sich nicht in der nötigen tiefe in den 40h bearbeiten lassen. 

vor 10 Stunden schrieb Pavelnhs10:

Die eingebundenen Schnittstellen (z. B. Fremdleistungen) müssen beschrieben sein. Weiterhin soll angegeben werden, welche Mittel (Hard- und Software) für die Erledigung zur Verfügung gestellt werden.

 Daher auch dieses Statements deines Prüfungsausschusses. 

vor 10 Stunden schrieb Pavelnhs10:

Erarbeitung der neuen Passwortrichtlinien (3,0 Stunden)

Ich nehme mal die Passwortrichtlinien als Beispiel.

Warum neue Passwortrichtlinien? Was unterscheidet diese von den alten Passwortrichtlinien? 

Was erarbeitest du in den 3 Stunden? Warum nimmst du nicht das CIS Controls Self Assessment Tool als Basis zum erstellen einer GPO für alle User? Umsetzung ca. 30 Min und keine 6,5 Stunden wie in deinem Projektplan.

Warum ist MFA keine Option?

[Pavelnhs10]

vor 17 Minuten schrieb cortez:

Würde ich genau so unterschreiben. Es ist Sammelsurium von verschiedenen Ansätzen, welche sich nicht in der nötigen tiefe in den 40h bearbeiten lassen. 

 Daher auch dieses Statements deines Prüfungsausschusses. 

Ich nehme mal die Passwortrichtlinien als Beispiel.

Warum neue Passwortrichtlinien? Was unterscheidet diese von den alten Passwortrichtlinien? 

Was erarbeitest du in den 3 Stunden? Warum nimmst du nicht das CIS Controls Self Assessment Tool als Basis zum erstellen einer GPO für alle User? Umsetzung ca. 30 Min und keine 6,5 Stunden wie in deinem Projektplan.

Warum ist MFA keine Option?

Danke habe es jetzt schon verstanden und werde in ca 1 Std den neuen Antrag posten

[Pavelnhs10]

So da ich es hoffentlich verstanden habe bin ich zu folgendem Ergebnis gekommen:

3 Ausgangssituation

Unternehmen XYZ, ein wachsendes mittelständisches Unternehmen, steht vor bedeutenden Herausforderungen in der IT-Sicherheit und im Datenmanagement. Trotz vorhandener Sicherheitsprotokolle und eines grundlegenden Backup-Systems zeigt die Zunahme von Sicherheitsvorfällen und datenrelevanten Problemen einen dringenden Handlungsbedarf. Eine Analyse des aktuellen Zustands hat verschiedene Schwachstellen aufgezeigt, einschließlich ernster Sicherheitslücken, die durch eine Reihe erfolgreicher Cyber-Angriffe und Sicherheitsverletzungen offenkundig wurden.

Die aktuell genutzte Firewall-Technologie ist veraltet und erfüllt nicht mehr die Anforderungen, die moderne Cyber-Abwehrmechanismen an sie stellen. Zusätzlich fehlt es im Unternehmen an einem ausreichenden Bewusstsein und entsprechenden Kenntnissen der Mitarbeiter über Cyber-Bedrohungen und bewährte Praktiken im Bereich der IT-Sicherheit.

Das vorhandene Backup-System hat Schwächen. Trotz des Einsatzes von Veeam Backup & Replication gibt es Probleme bei der redundanten Datenhaltung und im Katastrophenschutz. Aktuell erfolgt die Sicherung von Client-Daten auf externen Festplatten vor Ort. Das bringt Risiken bei physischen Schäden mit sich, etwa durch lokale Katastrophen. Mit dem Wachstum des Unternehmens und einer zunehmend komplexen IT-Struktur steigen auch die Anforderungen an IT-Sicherheit und Datenintegrität.

Diese offensichtlichen Schwachstellen und daraus resultierenden Probleme unterstreichen die Notwendigkeit einer umfassenden Überarbeitung der IT-Sicherheitsstrategien sowie der Backup-Strategien für Unternehmen XYZ. Die gezielte Implementierung einer starken, aktualisierten IT-Sicherheits- und Datenbackup-Lösung ist entscheidend um zukünftige Bedrohungen und Datenverluste zu verhindern um somit Netzwerksicherheit und Datensicherheit zu gewährleisten.

 

4 Projektziel

Das Hauptziel meines Projektes ist die Implementierung eines umfassenden Sicherheitssystems sowie eines zuverlässigen Backup- und Recovery-Systems für das Unternehmensnetzwerk. Im Vordergrund meiner Aufgaben steht die Integration einer fortschrittlichen Firewall. Diese soll den Netzwerkverkehr überwachen und unautorisierte Zugriffe verhindern, um das Netzwerk vor diversen Bedrohungen zu schützen. Ich werde eine Kosten-Nutzen-Analyse durchführen, um das am besten geeignete Produkt im Laufe des Projekts auszuwählen.

Zusätzlich lege ich hohen Wert auf die Weiterbildung und Sensibilisierung der Mitarbeiter. Hierbei ist es für mich essenziell, Schulungen und Sensibilisierungsmaßnahmen zu konzipieren und durchzuführen, um sicherzustellen, dass ein hohes Sicherheitsbewusstsein im gesamten Unternehmen besteht und alle Teammitglieder umfassend über potenzielle Sicherheitsrisiken sowie entsprechende präventive und reaktive Maßnahmen informiert sind. Dabei muss ich noch entscheiden, ob die erforderlichen Schulungsmaterialien extern eingekauft oder intern erstellt werden sollen.

Bezüglich des Backup- und Recovery-Systems strebe ich die Implementierung eines zentralisierten Backup-Systems an, welches automatisierte, regelmäßige Datensicherungen gewährleistet. Die redundante Datenhaltung an mehreren, physisch getrennten Standorten soll maximalen Schutz gegen Datenverlust durch lokale Katastrophen wie Brände oder Überschwemmungen bieten. Mit einer SWOT-Analyse werde ich den passenden Anbieter auswählen.

Zusammenfassend ziele ich darauf ab, durch eine Kombination aus präventiven Mechanismen gegen Cyber-Bedrohungen und reaktiven Maßnahmen zur Datenwiederherstellung und Systemrettung, eine ganzheitliche Verbesserung des IT-Sicherheitsniveaus und der Widerstandsfähigkeit gegen Datenverlust und Datenbeschädigung im Unternehmen zu erreichen.

 

5 Zeitplanung

Projektphasen mit Zeitplanung:

Phase 1: Projektvorbereitung (4,5 Stunden)

Ist-Analyse (2,5 Stunden)
Soll-Analyse (2,0 Stunden)

Phase 2: Projektplanung (13 Stunden)

Firewall Auswahl durch Nutzen-Kosten-Analyse (2,0 Stunden)
Erarbeitung von Schulungskonzepten (3,0 Stunden)
    Identifikation des Schulungsbedarf (1 Stunden)
    Definition der Schulungsinhalte und -ziele (1,0 Stunden)
    Analyse und Bewertung bestehender externer Schulungsmaterialien (1,0Stunden)
    Kostenschätzung für die Eigenentwicklung (1 Stunden)
    Entscheidung treffen (0,5 Stunden)
SWOT-Analyse und Konzipierung des Backup-System(3,5 Stunden)

Phase 3: Projektdurchführung (13,5 Stunden)

Installation und Konfiguration der Firewall (4 Stunden)
Erstellung oder Kauf und Vorbereitung der Schulungsmaterialien (2,5 Stunden)
Durchführung der Mitarbeiterschulungen (2 Stunden)
Implementierung des Backup-Systems (5 Stunden)

Phase 4: Projektabschluss und Dokumentation (9 Stunden)

Feedback der Mitarbeiterschulung (1 Stunde)
Evaluierung der Projektergebnisse (2 Stunden)
Erstellung eines Übergabeprotokolls (2 Stunden)
Erstellung der Dokumentation und Abschlussbericht (4 Stunden)

[Wissenshungriger]

Du hast zwar jetzt beschrieben, was du machst, aber ich fürchte, das dies dennoch nicht reichen wird, da die fachliche Tiefe fehlt.

Du hast insgesamt drei Themen, die du behandeln willst:

1. Firewall-Lösung
2. Backup-Lösung
3. Schulung IT-Sicherheit

Wenn das eine 5-Mann-Bude wäre, dann könnte man das in 40 Stunden in der Praxis umsetzen.
Da du allerdings geschrieben hast, dass es sich um ein mittelständisches Unternehmen handelt, sehe ich keine Chance, das Projekt von der Analyse, über die Evaluierung bis hin zur Implementierung innerhalb von 40 Stunden umzusetzen.
Außer man verzichtet auf die fachliche Tiefe...
Deshalb konzentriere dich auf ein Thema.
In meinen Augen wäre die Firewall-Lösung oder die Backup-Lösung geeignet.

Hier ein paar Inputs von mir:

vor 2 Stunden schrieb Pavelnhs10:

Firewall Auswahl durch Nutzen-Kosten-Analyse (2,0 Stunden)

Bei der Frage, ob eine betriebliche Weihnachtsfeier durchgeführt werden soll, ist eine Kosten-Nutzen-Analyse anwendbar.
Nicht jedoch in der Auswahl einer Firewall. Hier würde ich eher auf eine Nutzwertanalyse setzen.
Und die angesetzten 2 Stunden sehe ich auch als zu gering an.

vor 2 Stunden schrieb Pavelnhs10:

SWOT-Analyse und Konzipierung des Backup-System(3,5 Stunden)

Das klingt ja fast so, als ob die vorhandene Backup-Lösung beibehalten werden soll.
Falls dem so ist, dann würde ich dies sprachlich besser herausarbeiten und z.B. mit den Wörtern Neukonzipierung und vorhandenen.

vor 2 Stunden schrieb Pavelnhs10:

Erarbeitung von Schulungskonzepten (3,0 Stunden)

Den Zeitbedarf halte ich für sehr, sehr "sportlich".

Damit die fehlende fachliche Tiefe deutlich wird, würde ich dir die folgenden Fragen stellen:

• Welche Stateful Paket Inspection-Funktionen waren der Grund, sich für diese Lösung entschieden zu haben? (Firewall)
• Welche Rolle spielte bei der Entscheidungsfindung die Möglichkeit einer VPN- und VoIP-Unterstützung? (Firewall)
• Welche Funktionen im Bereich der Deep Packet Inspection, waren/sind besonders wichtig und weshalb? (Firewall)
   
• Weshalb wird weiterhin dieser Anbieter verwendet? (Backup)
• Weshalb wurde kein PoC durchgeführt? (falls neuer Backup-Anbieter)
• Wer ist für die Durchführung der Backups verantwortlich und wer bedient die Software? (Backup)
• Welche Rolle spielte(n) diese Person(en) in der Entscheidungsfindung? (Backup)
• Weshalb wurde sich für die Speicherung der Backups für Cloudanbieter X entschieden bzw. für eine private Cloud? (Backup)
   
• Wie werden neue Mitarbeiter in das Schulungskonzept eingebunden? (Schulung IT-Sicherheit)
• Werden Phishing-Simulationen durchgeführt oder ist dies in Zukunft geplant? (Schulung IT-Sicherheit)
• Falls ja, was sagt der Betriebsrat dazu bzw. wie wird mit personenbezogenen Daten umgegangen? (Schulung IT-Sicherheit)
• Wer hat alles Zugriff auf die Ergebnisse der Phishing-Simulationen? (Schulung IT-Sicherheit)
• Wie wird sichergestellt, dass die Schulungen nicht nur einmalig sondern kontinuierlich durchgeführt werden? (Schulung IT-Sicherheit)
• Wie wird der Erfolg der Schulungsmaßnahmen sichergestellt (Schulung IT-Sicherheit)

Das waren jetzt nur ein paar Fragen, die mir auf die schnelle eingefallen sind.
Es wird aber hoffentlich deutlich, dass es zu viele Themen sind, um in nur 40 Stunden die nötige fachliche Tiefe erreichen zu können.

Falls der Backup-Anbieter nicht ausgetauscht werden soll, würde ich persönlich auf die Firewall setzen.

 

[tTt]

In deinem Antrag hast du zu viele Projekte drin. Zudem ist keine Entscheidung durch dich daran zu erkennen.
Wie schon gesagt, sind im Rahmen der IT-Sicherheit viele Optionen denkbar als Projekt. Deine Aufgabe könnte z.B. sein, herauszufinden ob z.B. durch die erhöhte Anzahl an Sicherheitsvorfällen die Überprüfung der aktuellen Firewall sinnvoll ist. Im Rahmen des Projektes ermittelst du dann, ob ein Tausch sinnvoll ist und führst einen Marktcheck sowie den Wechsel dann durch. Teilaufgaben zu übernehmen sind auch zulässig, aber ich glaube nicht gerne gesehen.

Der Tausch könnte aber auch je nach Betriebsgröße und Komplexität der FW-Regeln schnell zu groß für ein Projekt sein (35h sind nicht viel!), die Prüfungskommission könnte das Thema also weiterhin ablehnen, da zu komplex oder zu flach, wenn nur Teilaufgaben. 
 

Schulungskonzepte erarbeiten wird wahrscheinlich als nicht technisch genug angesehen werden. Auch da fehlt es an deiner Denkarbeit, es sei denn dir wird überlassen, welche Themen geschult werden sollen. 

Du sollst im Rahmen eines Projektes (Teil-)Lösungen selbstständig erarbeiten können. 

[Pavelnhs10]

Danke an euch alle hat mir echt geholfen (hoffe ich :D) 
So auf ein neues:

Ausgangsituation

Unternehmen XYZ, ein wachsendes mittelständisches Unternehmen, steht vor bedeutenden Herausforderungen in der IT-Sicherheit. 

Um ein detailliertes Verständnis der bestehenden Infrastruktur und der damit verbundenen Sicherheitsprobleme zu erlangen, wurde ein Vor-Ort-Termin mit dem Administrator des Unternehmens vereinbart. Dieser Termin dient dazu, die aktuelle Ausgangssituation präzise zu erfassen. Im Anschluss an diese Bewertung wird das Projektziel gemeinsam mit dem Administrator definiert, um eine maßgeschneiderte Lösung zur Behebung der identifizierten Probleme und zur Stärkung der IT-Sicherheit des Unternehmens zu entwickeln.

Die im Einsatz befindliche Firewall-Technik ist, nach technischer Bewertung, längst überholt und kann den Anforderungen eines modernen und wachsenden Unternehmens nicht mehr standhalten. 

Die Komplexität des aktuellen Geschäftsumfelds, die Erweiterung der Dienstleistungen und die digitale Transformation verlangen nach einem fortschrittlicheren Schutzmechanismus.
 
Kombiniert mit dem bevorstehenden End-of-Life des aktuellen Firewallsystems, betonen die dringende Notwendigkeit, eine zeitgemäße und leistungsstarke Firewall-Lösung zu implementieren, um das Unternehmen vor zukünftigen Cyber-Bedrohungen zu schützen und die Netzwerkeffizienz sicherzustellen.

 

Projektziel 

Es gilt als zentraler Punkt zu betonen, dass die Nutzung des aktuellen Firewallsystems über sein End-of-Life-Datum hinaus erhebliche Gefahren birgt.

Hauptgefahren sind potenzielle Sicherheitslücken, die aufgrund fehlender Softwareaktualisierungen offen bleiben könnten und somit Angriffsvektoren darstellen. Im schlimmsten Szenario könnten diese Lücken erhebliche negative Auswirkungen auf das Unternehmen haben. Über die Zeit könnten zudem Funktions- und Leistungseinbußen auftreten, was die Notwendigkeit einer raschen Projektumsetzung hervorhebt.

Das neue System sollte alle bisher genutzten Funktionen des aktuellen Firewallsystems, wie die Deep-Packet-Inspection, Quality of Service und Content Filtering etc. , beibehalten. Darüber hinaus sind neue Anforderungen wie VPN- und VOIP-Unterstützung zu integrieren; wobei die VOIP-Integration zu einem späteren Zeitpunkt erfolgen wird. 

Das Unternehmen wünscht eine nutzerfreundliche Bedienoberfläche für das neue Firewallsystem, da es intern verwaltet wird. Hierbei sollte vor allem Wert auf eine intuitive Benutzeroberfläche und einfache Log-Analyse gelegt werden. Lange Einarbeitungszeiten sollten vermieden werden, weshalb ein benutzerfreundliches Graphical User Interface besonders wichtig ist.

In dieser Phase werden die technischen und wirtschaftlichen Anforderungen des Unternehmens genau betrachtet, um geeignete Firewallsysteme zu identifizieren. Es wird auch ermittelt, welche Ressourcen für die erfolgreiche Durchführung des Projekts erforderlich sind. 

Nach einer gründlichen Systembewertung und Ressourcenplanung durch den Prüfling wird Herr X ein  Angebot erstellen. 

Das Budget des Unternehmens ist begrenzt, sodass eine wirtschaftliche Lösung, die sowohl die Anschaffungs- als auch die Betriebskosten berücksichtigt, bevorzugt wird. Nachdem das Angebot vom Kunden angenommen wurde, kann der Prüfling das Projekt in die Realisierungsphase einleiten.

 

Projektphasen mit Zeitplanung:

Phase 1: Projektvorbereitung (4,0 Stunden)

Ist-Analyse (2,0 Stunden)
Soll-Analyse (2,0 Stunden)

Phase 2: Projektplanung (6 Stunden)

Evaluation eines geeigneten Firewallsystems (3,5 Stunden)
    Technische Anforderungen (0,75 Stunden)
    Wirtschaftlichkeitsbewertung (0,75 Stunden)
    Auswahl von geeigneten Lösungen (1 Stunde)
    Auswertung (1 Stunde)
Planung von Arbeitspaketen (1 Stunde)
Ressourcenplanung (1,5 Stunden)

Phase 3: Projektdurchführung (16,5 Stunden)

Vorbereitung der Systemmigration (6,5 Stunden)
    Technische Analyse des aktuellen Systems (2,5 Stunden)
    Konfiguration des neuen Systems (2 Stunden)
    Qualitätssicherung vor Inbetriebnahme (2 Stunden)
Inbetriebnahme des neuen Systems (6 Stunden)
    Installation (3 Stunden)
    Konfiguration und Tests (2 Stunden)
    Einweisung des Personals (1 Stunde)
Qualitätssicherung nach Inbetriebnahme (4 Stunden)
    Systemüberwachung und Anpassung (2 Stunden)
    Endbenutzerfeedback und Optimierung (2 Stunden)

Phase 4: Projektabschluss und Dokumentation (7,5 Stunden)

    Abgleich Ist-/Sollsituation (2,5 Stunden)
    Abnahme und Übergabe Projektdokumentation (5 Stunden)

 

[cortez]

vor 6 Stunden schrieb Pavelnhs10:

Nach einer gründlichen Systembewertung und Ressourcenplanung durch den Prüfling wird Herr X ein  Angebot erstellen. 

Das würde ich definitiv noch etwas ausarbeiten, damit ganz klar ist was du machst und was andere machen. Mir erschließt sich nicht so ganz.

vor 6 Stunden schrieb Pavelnhs10:

Vorbereitung der Systemmigration (6,5 Stunden)
    Technische Analyse des aktuellen Systems (2,5 Stunden)
    Konfiguration des neuen Systems (2 Stunden)
    Qualitätssicherung vor Inbetriebnahme (2 Stunden)
Inbetriebnahme des neuen Systems (6 Stunden)
    Installation (3 Stunden)
    Konfiguration und Tests (2 Stunden)

Wie sieht es denn hier mit dem roten Faden aus? Warum erst Konfiguration des neuen Systems (2 Stunden) und dann noch   Installation (3 Stunden)   Konfiguration und Tests (2 Stunden)?

vor 6 Stunden schrieb Pavelnhs10:

Qualitätssicherung vor Inbetriebnahme (2 Stunden)

Sollte stattfinden bevor du etwas am neuen System machst, denn du kannst dir hier eine ToDo Liste erstellen und diese dann  im "Qualitätssicherung nach Inbetriebnahme" Punkt abarbeiten und Abweichungen dokumentieren/begründen. 

Das waren meine schnellen Ideen.

[Pavelnhs10]

vor 8 Minuten schrieb cortez:

Das würde ich definitiv noch etwas ausarbeiten, damit ganz klar ist was du machst und was andere machen. Mir erschließt sich nicht so ganz.

Wie sieht es denn hier mit dem roten Faden aus? Warum erst Konfiguration des neuen Systems (2 Stunden) und dann noch   Installation (3 Stunden)   Konfiguration und Tests (2 Stunden)?

Sollte stattfinden bevor du etwas am neuen System machst, denn du kannst dir hier eine ToDo Liste erstellen und diese dann  im "Qualitätssicherung nach Inbetriebnahme" Punkt abarbeiten und Abweichungen dokumentieren/begründen. 

Das waren meine schnellen Ideen.

Danke für den Input. Muss dir aufjedenfall Recht geben und werde es morgen nochmal überarbeiten. 

Ich werde im Soll Zustand genauer erleutern was meine Aufgaben sind und die Zeitplanung anpassen