Projektantrag FISI

[Wertzui1996]

Hallo, ich würde mir mal gerne eure Meinung über meine Projektidee anhören, ich mache zur Zeit eine Umschulung zum Fachinformatiker Systemintegration.

bei dem Titel bin ich mir noch etwas unschlüssig, deshalb habe ich da bisher 3 Vorschläge.

Ich freue mich über euer Feedback.

 

 

Titel-Auswahl:

1.Evaluierung und Vergleich möglicher administrativer Zugriffsoptionen auf ein Firmennetzwerk

2.Evaluierung und Umsetzung einer sicheren administrierung der kompletten IT-Infrastruktur

3.Planung und Implementierung einer abgegrenzten administrierung im Firmennetzwerk

 

 

Geplanter Bearbeitungszeitraum

Beginn: 08.04.2024

Ende: 17.05.2024

 Ausgangssituation:

 

Die Firma XXX GmbH, mit Firmensitz in XXX, nimmt eine maßgebliche Rolle in der Entwicklung und Verbreitung von innovativen Soft- sowie Hardwarelösungen für die Automatisierungstechnik ein. Aktuell arbeiten XX Angestellte in der Firma. Die IT-Abteilung administriert derzeit von ihren Arbeitsrechnern, dafür haben sie jeweils ein eigenen Admin-Benutzer. Allerdings besteht dabei die Gefahr, dass Sicherheitslücken anderer Anwendungen zu Schadsoftware auf dem PC selbst führen kann, und diese sich dann ausbreiten könnten. Dies birgt ein sehr hohes Risiko für die Firma, da sich deshalb eine nicht autorisierte Person Zugriff auf das System, sowie im schlimmsten Fall alle Adminrechte der Infrastruktur aneignen kann.

 

 

Projektziel

Das Ziel des Projektes ist den administrativen Zugriff auf das Firmennetzwerk auch zu ermöglichen, wenn sich der Benutzer außerhalb der Organisation befindet. Darüber hinaus muss ein Konzept für die Trennung zu den Arbeitsrechnern erarbeitet und implementiert werden. Besonders wichtig ist auch die Auswahl an den Sicherheitseinstellungen für das zu erarbeitende Konzept, hierbei wird von der IT-Abteilung eine Multifaktor-Authentifizierung (MFA) gewünscht, eine Trennung aus dem Netzwerk, sodass man es aber trotzdem noch administrieren kann und auch eine Backup Möglichkeit besteht. Weiterhin ist auch das Prinzip der geringsten Rechte, auch als Least Privilege bekannt, zu beachten. Dies bedeutet, dass Admin-Benutzer nur die Berechtigungen haben sollten, die für ihrer spezifische Aufgaben unerlässlich sind. Hierbei minimiert sich das Risiko von Schadsoftware, die sich über erweiterte Benutzerrechte ausbreiten könnte.  

 

 

Zeitplanung

1.      Projektplanungsphase (3h)

 

1.1.   Ist-Analyse (1h)

1.2.   Soll-Konzept (2h)

 

2.      Konzeptphase (9h)

 

2.1.   Recherche möglicher Lösungen (5h)

2.2.   Evaluierung (Kosten-Nutzen) und Auswahl der Lösung (3h)

2.3.   Zwischenpräsentation (1h)

 

3.      Durchführung (15h)

 

3.1.   Implementierung der ausgewählten Lösung (6h)

3.2.   Konfiguration der Software (6h)

3.3.   Aufbau einer Testumgebung mit Funktionstest (3h)

 

4.      Abschlussphase (13h)

 

4.1.   Fehlerbehebung (3h)

4.2.   Ist-Soll-Vergleich (1h)

4.3.   Projektdokumentation (8h)

4.4.   Abschlussgespräch und Präsentation (1h)

 

Gesamt 40h

 

 

 

 

[charmanta]

vor 2 Minuten schrieb Wertzui1996:

Die IT-Abteilung administriert derzeit von ihren Arbeitsrechnern, dafür haben sie jeweils ein eigenen Admin-Benutzer.

OK. Verstanden.

vor 3 Minuten schrieb Wertzui1996:

Dies birgt ein sehr hohes Risiko für die Firma, da sich deshalb eine nicht autorisierte Person Zugriff auf das System, sowie im schlimmsten Fall alle Adminrechte der Infrastruktur aneignen kann.

Das ist leider so in der IT. Nennt sich Trojaner .... o.ä

vor 4 Minuten schrieb Wertzui1996:

Das Ziel des Projektes ist den administrativen Zugriff auf das Firmennetzwerk auch zu ermöglichen, wenn sich der Benutzer außerhalb der Organisation befindet.

Nennt sich VPN ? Oder was meinst Du ?

Den ganzen Rest zitiere ich mal nicht. Kurz: ich versteh nicht worauf Du hinaus willst ? Der Antrag ist für mich unverständlich und würde mit der Bitte um Präzisierung zurück gehen

[Wertzui1996]

Ok vielen dank dir schon mal, ich werde ihn überarbeiten.

[Wertzui1996]

Guten Morgen,

ich habe die es nochmal überarbeitet, und hoffe es ist so etwas verständlicher und Präziser was denn so mein Projekt sein soll.

 

   Evaluierung und Umsetzung eines getrennten Administrationssystem unter Berücksichtigung aktueller IT-Security Standards

 

3. Ausgangssituation

Die Firma XXX GmbH, mit Firmensitz in XXX  nimmt eine maßgebliche Rolle in der Entwicklung und Verbreitung von innovativen Soft- sowie Hardwarelösungen für die Automatisierungstechnik ein. Aktuell arbeiten 17 Mitarbeiter/innen in der Firma. Die IT-Abteilung administriert derzeit von ihren Arbeitsrechnern, wo Sie auch alltägliche Arbeiten durchführen, dazu zählt z.B. der E-Mail-Verkehr sowie auch das Öffnen verschiedener Dateien. Dadurch besteht die Gefahr, dass Sicherheitslücken zu Schadsoftware auf dem PC selbst führen können, und diese sich dann ausbreiten. Dies stellt für das Unternehmen ein vielfältiges Risiko dar, da hierdurch zentrale IT-Systeme wie das Active Directory leicht angreifbar sind. Des Weiteren besteht die Möglichkeit, dass Dritte Zugang erlangen, Daten abfließen lassen und auch Verschlüsselungen durch Dritte vorgenommen werden können.

 

 

4. Projektziel

Um sicherzustellen, dass ein Active Directory nicht durch Sicherheitslücken in herkömmlichen Computern gefährdet wird, empfiehlt es sich, die Verwaltung der Umgebung von dedizierten Administrationssystemen aus durchzuführen.

Darüber hinaus muss eine klare Trennung zu den Arbeitsrechnern erarbeitet und implementiert werden. Die Auswahl der Sicherheitseinstellungen für das zu entwickelnde Konzept ist von besonderer Bedeutung. Die IT-Abteilung favorisiert[TF1]  dabei eine Multifaktor-Authentifizierung (MFA), eine Netzwerktrennung, die jedoch eine Administration ermöglicht, sowie eine Backup-Lösung.

Bei dem unabhängigen Administrations-System, das implementiert werden soll, spielt die Verfügbarkeit eine entscheidende Rolle, weshalb dieser Aspekt ebenfalls berücksichtigt werden muss. Für dieses System ist es von grundlegender Bedeutung, dass einem "Zero Trust"-Ansatz gefolgt wird, wobei grundsätzlich allem misstraut wird. Es sollten ausschließlich nur die notwendigen Dienste und Anwendungen ausgeführt werden können, um das Risiko der Ausbreitung von Schadsoftware zu minimieren.

 [TF1]Noch nicht ganz sicher welche Formulierung, (favorisiert, gibt … vor, wünscht, bevorzugt)

Bearbeitet 23. Januar von Wertzui1996

[Keemo]

Keine Bewertung meinerseits da ich selber in der Antragsphase stecke aber du hast vergessen die Firma zu zensieren

Bearbeitet 23. Januar von Keemo

[Wertzui1996]

Oh Vielen Dank @Keemo habe es soeben zensiert 👍

[Wertzui1996]

Könnte ich noch eine Rückmeldung von meinem Überarbeiteten Antrag bekommen?😆 @charmanta

[charmanta]

Hm. Ich versteh es immer  noch nicht, aber ich fass auch kein AD an. Keine Meinung, sorry. @Maniska@skylake vlt ?

[FISI-Prüfer]

Moin,

ich bin mir nicht sicher, ob Du "einfach nur" einen Admin-PC in einem separaten Netz unterbringst, der per RDP/VPN/... und 2FA erreicht werden kann und Deine Admins im Tagesgeschäft mit unpriviligierten Konten an "einfachen Clients" arbeiten.

Passt der Gedankengang zumindest grundsätzlich? Falls nicht, versuch mir zu verkaufen, was da sonst noch passiert 😉

Viele Grüße 

 

[cortez]

Ich weiß auch nicht was es werden soll. 

Mein Tipp wäre passende Berechtigungsgruppen erstellen, diese so aufbauen, dass man den Domainadmin nicht mehr braucht und der Domainadmin nur als Backup für den Notfall dient. 

[FISI-Prüfer]

Klingt grundsätzlich spannend und lässt Raum für Auswahl- und Entscheidungsprozesse. Aus der hohlen Hand würde ich sagen, das kann genehmigt werden. Wobei ich mich hier was die Erwartungen angeht mit meinen Kollegen im Ausschuss, bzw. hier im Forum, abstimmen würde... Mal schauen, was der TO dazu zurück meldet.

Außerdem bin ich relativ sicher, dass einer meiner benachbarten Ausschüsse ablehnen würde, weil nicht greifbar ist, was Du tust... Ich höre den Kollegen von "zu wenig Fleisch am Knochen" sprechen... 🤷

100%ige Sicherheit gibt es da nicht. Trotzdem

viel Erfolg 

[Maniska]

Klingt so ein bisschen nach einer (halbgaren) Umsetzung eines Tier3 Modells mit Jumphost, kommt das ungefähr hin?

 

Am 23.1.2024 um 09:17 schrieb Wertzui1996:

Die IT-Abteilung favorisiert[TF1]  dabei eine Multifaktor-Authentifizierung (MFA), eine Netzwerktrennung, die jedoch eine Administration ermöglicht, sowie eine Backup-Lösung.

Das sind 3 Einzelthemen die jeweils ein komplettes Projekt ergeben könnten, keins davon ist aber eine Verwirklichung von

Am 22.1.2024 um 09:50 schrieb Wertzui1996:

Weiterhin ist auch das Prinzip der geringsten Rechte, auch als Least Privilege bekannt, zu beachten. Dies bedeutet, dass Admin-Benutzer nur die Berechtigungen haben sollten, die für ihrer spezifische Aufgaben unerlässlich sind

oder

Am 23.1.2024 um 09:17 schrieb Wertzui1996:

die Verwaltung der Umgebung von dedizierten Administrationssystemen aus durchzuführen.

Damit sind wir bei 5 Themen (eher 4, die Jumphostgeschichte könnte zu dünn sein).

Konzerntrier dich auf eins der Themen, Netzwerksegmentierung ist (sofern richtig umgesetzt) nicht gerade trivial, das selbe gilt für ein sauberes Tier3 Modell, vor allem da es immer Ausreißer/Ausnahmen geben wird. LeastPrivilege setzt (meiner Meinung nach) darauf auf, es ist kein Ersatz, sondern eine Ergänzung.

An sich brauchbare Themen, aber für ein 40h Projekt sehr ambitioniert, sofern es nicht bei einer Konzeptausarbeitung bleiben soll. Und ob dem PA ein Konzept reicht...

[Wertzui1996]

@FISI-Prüfer ja so sollte dann das ziel aussehen, das es ein abgegrenzter Admin-PC werden soll. das wollte ich nicht direkt reinschreiben, da es ja auch noch die Möglichkeit gäbe eine VM dafür anzulegen.

Da wollte ich dann eigentlich auch die Entscheidung treffen, was ja immer gefordert wird.  sollte ich das genauer im Antrag verfassen, dass ich zwischen den 2 Arten entscheiden will? Ich hab da eher so das Gefühl, das dann schon zu viel vorgegeben ist und es eher wie ein Arbeitsauftrag ausschaut.

Mir fällt das nicht so einfach die richtige Formulierung dafür zu finden🙄 wenn ihr aber als Prüfer sagt das ich das auch so reinschreiben kann, dann wäre mir deutlich geholfen.

Am 30.1.2024 um 08:25 schrieb Maniska:

 

Das sind 3 Einzelthemen die jeweils ein komplettes Projekt ergeben könnten, keins davon ist aber eine Verwirklichung von

 

 

Teilweise sind diese auch schon vorhanden und müssen dann auch nur für dieses System konfiguriert werden. diese müssten nicht komplett neu Implementiert werden.

Vielen Dank für die vielen Meinungen @FISI-Prüfer @cortez @Maniska

[Maniska]

vor 4 Minuten schrieb Wertzui1996:

@FISI-Prüfer ja so sollte dann das ziel aussehen, das es ein abgegrenzter Admin-PC werden soll. das wollte ich nicht direkt reinschreiben, da es ja auch noch die Möglichkeit gäbe eine VM dafür anzulegen.

Die Einschränkungen bzgl. gleichzeitiger Anmeldungen bei einem ClientOS (zumindest dem mit Fenstern) sind bekannt? Warum ein PC und keine VM, sollen die Admins sich dann da anstellen wenn sie was machen müssen, wie machen das die im HO?

vor 7 Minuten schrieb Wertzui1996:

Teilweise sind diese auch schon vorhanden und müssen dann auch nur für dieses System konfiguriert werden. diese müssten nicht komplett neu Implementiert werden.

Dann mal Butter bei die Fische: was machst du wirklich? Der Jumphost alleine ist zu dünn; MFA birgt extrem viele Fallstricke in Punkto Sicherheit; Netzwerksegmentierung ist zu komplex; LeastPrivilege macht ohne Tier3 wenig Sinn; zu der im Projektziel angesprochen "BackupLösung" fehlen die Infos.

Aktuell ist dein Antrag eine Sammlung von Buzzwords, für mich ist nicht klar erkennbar was das Zeil sein soll. Wenn/Falls der Antrag in der Form durch kommen sollte und du nur mit einem halbgaren Jumphost um die Ecke kommst ist die Reaktion des PA ungefähr so:

[Wertzui1996]

vor 25 Minuten schrieb Maniska:

Die Einschränkungen bzgl. gleichzeitiger Anmeldungen bei einem ClientOS (zumindest dem mit Fenstern) sind bekannt? Warum ein PC und keine VM, sollen die Admins sich dann da anstellen wenn sie was machen müssen, wie machen das die im HO?

Die Haus-IT besteht bei uns aus einer Person, die zweite ist nur stellvertretend im Falle eines Ausfalls.

Warum keine VM -> Bei einem Ausfall bzw ggf update des Servers, wo dann nicht richtig durchgelaufen ist, kann man im schlimmsten Fall ja gar nicht auf die VM zugreifen von der er dann alles administrieren soll. und falls sie am PC beide gleichzeitig arbeiten gäbe es ja auch Betriebssysteme die Multi-session fähig wären. Wenn der Admin im HO ist kann er sich dann über RDP/VPN auf den Rechner verbinden.

vor 28 Minuten schrieb Maniska:

Dann mal Butter bei die Fische: was machst du wirklich?

Ich entscheide ob VM oder PC dann welche Betriebssysteme Sinn machen und ggf welche Hardware benötigt wird. Konfiguriere dann und lege in unsere vorhandenes VLAN-Netzwerk eins für dieses Spezielle Admin-System an. Da wir schon eine MFA haben prüfe ich ob diese ausreichend und zufriedenstellend ist, vergleiche sie mit anderen und entscheide welche dann implementiert wird.

 

[alex123321]

Ich finde das Thema grundsätzlich nicht uninteressant und es kann fachlich sehr herausfordernd sein die richtige Lösung zu wählen.

PAW, PAM, Cloud/on-prem jumphost, VPN vs eine ZTNA Lösung, etc. Ein ganzheitliches Lösungskonzept fände ich nicht verkehrt, aber es müsste sehr schlank sein für ein 40h FISI Projekt. 

[FISI-Prüfer]

Moin,

Meiner Meinung nach sollst du im Antrag nicht zu viele Details ausformulieren. Die Frage stellte sich mir nur um den Umfang abschätzen zu können.

Im Antrag sollte ersichtlich sein, dass ein gewisser Umfang und die fachliche Tiefe vorhanden sind. Andernfalls bekommst Du den Antrag vom Ausschuss zurück.

Drücke die Daumen!