pantrag_fisi Projektantrag: Implementierung des neuen Waffenregisters NSiS auf einer Cloud-Plattform

[Kiyori]

 

Hallo Zusammen, 

wollte mal fragen, ob mein Projektantrag bzw mein Abschlussprojekt im ganzen ok ist und ob das so erlaubt wäre.

Folgende Sachen habe ich in die Felder eingetragen im Portal: 

 

1. Projekt:

Implementierung des neuen Waffenregisters NSiS auf einer Cloud-Plattform

1.1 Projektbezeichnung:

Projekt

1.2 Projektbeschreibung:

In diesem Projekt soll das neue Nationale Waffenregister (NSiS), das vom Bundeskriminalamt (BKA) bereitgestellt wird, auf der Cloud-Plattform des Dienstleisters KommOne implementiert werden. Die Einführung des NSiS ist für die Stadtverwaltung verpflichtend. Aufgrund der Sicherheitsanforderungen des BKA muss dabei der IT-Grundschutz umgesetzt werden. Das Projekt beinhaltet die Bereitstellung der notwendigen Infrastruktur sowie die Analyse der damit verbundenen Prozesse und Schutzmaßnahmen. Die konkrete technische Umsetzung wird im weiteren Verlauf des Projekts dokumentiert und angepasst, um den Anforderungen des IT-Grundschutzes und den Sicherheitsrichtlinien des BKA zu entsprechen.

1.3 Projektumfeld:

Das Projekt wird in der IT-Abteilung der Stadtverwaltung (50.000 Einwohner) durchgeführt, in Zusammenarbeit mit dem Dienstleister KommOne, dem Bundeskriminalamt (BKA) und der zuständigen Stelle, die für das Waffenregister verantwortlich ist. Die Planung und Umsetzung erfolgt unter Berücksichtigung der spezifischen Anforderungen an den IT-Grundschutz und die Sicherheit von Cloud-Infrastrukturen.

1.4 Einsatzgebiet / Fachbereich:

IT-Systemadministration und Netzwerksicherheit mit dem Schwerpunkt auf die Implementierung und Absicherung von Cloud-Diensten im öffentlichen Sektor.

2. Projektphasen mit Zeitplanung in Stunden

Planung und Abstimmung: 4 Stunden

(Abstimmung mit KommOne, BKA und der zuständigen Stelle, Klärung der Anforderungen)

 

Schutzbedarfsanalyse und Strukturanalyse gemäß IT-Grundschutz: 8 Stunden

(Analyse der Sicherheitsanforderungen und Erstellung der Prozessstrukturen basierend auf dem IT-Grundschutz)

 

Einrichtung des Laptops und Anbindung an KommOne: 10 Stunden

(Bereitstellung und Konfiguration des Geräts sowie Anbindung an die Infrastruktur von KommOne)

 

Notfallplanung und Dokumentation der Anforderungen des IT-Grundschutzes: 6 Stunden

(Erstellung einer Notfallplanung und Dokumentation der Prozesse unter Berücksichtigung des IT-Grundschutzes)

 

Testphase und Abnahme durch die beteiligten Stellen: 4 Stunden

(Überprüfung der Implementierung, Durchführung von Tests und Abnahme durch KommOne und die zuständigen Behörden)

 

Projektdokumentation: 8 Stunden

(Erstellung der abschließenden Projektdokumentation)

Gesamtzeit: 40 Stunden

 

3. Erklärung des Prüfungsteilnehmers/der Prüfungsteilnehmerin ....

 

Liebe Grüße

Kira

 

 

Bearbeitet Freitag um 14:43 von mapr

[SR2021]

Das hört sich erstmal nicht so an als handelt es sich dabei um ein Projekt im Sinne der Prüfungsordnung.

Welche fachlichen Entscheidungen können bei diesem Projekt von dir getroffen (bzw. vorgeschlagen) werden?
Welche kaufmännischen Aspekte werden hierbei betrachtet?
 

[BlueSkies]

Einerseits fehlt mir die klare Entscheidung in der Sache, und andererseits weiß ich gar nicht genau, welche Aufgaben du eigentlich übernehmen sollst. Es gibt überhaupt keine klare Trennung zwischen den Aufgaben des Azubis, des Dienstleisters und der internen IT.

Außerdem, von dem, was ich so von Kollegen höre, die gerade im Praktikum sind, lassen Stadtverwaltungen Azubis normalerweise nicht an produktive Systeme ran.

Wahrscheinlich läuft das eher auf eine Testumgebung hinaus, die irgendwo nebenbei läuft?

[Ximm]

vor 2 Stunden schrieb BlueSkies:

Außerdem, von dem, was ich so von Kollegen höre, die gerade im Praktikum sind, lassen Stadtverwaltungen Azubis normalerweise nicht an produktive Systeme ran.

Kann ich so nicht bestätigen. Kommt natürlich immer auf das System und auf die "Begleitung" an.

[BlueSkies]

vor 11 Minuten schrieb Ximm:

Kann ich so nicht bestätigen. Kommt natürlich immer auf das System und auf die "Begleitung" an.

Das war vielleicht etwas ungeschickt ausgedrückt. Sie können durchaus an den bestehenden Systemen arbeiten, aber sobald es um tiefgreifende Änderungen an der Infrastruktur oder um die Einführung neuer Systeme geht – insbesondere im Hinblick auf das IHK-Projekt – bleibt es meist bei einem Proof-of-Concept, der letztlich nie umgesetzt wird, aber es bei der IHK so verkauft wird.

Letztendlich sind es auch nur drei Geschichten, die aus unterschiedlichen Quellen stammen, aber alle sehr ähnlich klingen. Ich hätte da vielleicht nicht so verallgemeinern sollen.

[Kiyori]

vor 4 Stunden schrieb BlueSkies:

Einerseits fehlt mir die klare Entscheidung in der Sache, und andererseits weiß ich gar nicht genau, welche Aufgaben du eigentlich übernehmen sollst. Es gibt überhaupt keine klare Trennung zwischen den Aufgaben des Azubis, des Dienstleisters und der internen IT.

Außerdem, von dem, was ich so von Kollegen höre, die gerade im Praktikum sind, lassen Stadtverwaltungen Azubis normalerweise nicht an produktive Systeme ran.

Wahrscheinlich läuft das eher auf eine Testumgebung hinaus, die irgendwo nebenbei läuft?

Bei der Stadt ist es schwierig eigene Sachen zu entscheiden. Meine Entscheidung wird sein wie ich das ganze dann umsetze. Also wie die Anbindung an die KommOne Cloud dann gemacht wird.

und es braucht keine Trennung, da ich alles alleine machen werde, den IT Part (die Anbindung an die Cloud) und zum anderen den Grundschutz part. Sobald die Anbindung an die Cloud funktioniert, werde ich dort auch das Modul freischalten über unsere Admin Oberfläche. 
 

und was produktiv angeht, doch wurde mir erlaubt. Das wird produktiv von mir umgesetzt. Da bedarf es einfach etwas an Vertrauen an die Kollegen. Habe das schon abgesegnet bekommen vom IT Leiter, Abteilungsleiter und Ausbildungsleitung. Daher klappt von der Seite alles.

[Kiyori]

vor 4 Stunden schrieb SR2021:

Das hört sich erstmal nicht so an als handelt es sich dabei um ein Projekt im Sinne der Prüfungsordnung.

Welche fachlichen Entscheidungen können bei diesem Projekt von dir getroffen (bzw. vorgeschlagen) werden?
Welche kaufmännischen Aspekte werden hierbei betrachtet?
 

Die fachliche Entscheidung hier wird sein, dass das Gerät am Ende dann ausserhalb unseres Netzes dann über VPN Verbindung zur KommOne Cloud bekommt. Das hat den Grund, dass man aufgrund der Anforderung des BKAs sonst in Bezug auf IT-Grundschutz das ganze Netz aufzeichnen müsste in der Strukturanalyse und Notfallplan. Da wir momentan noch am Aufbau des ISMS sind (da bin ich auch mit drin), würde das sonst sehr viel mehr geld, Arbeitszeit und sonstiges kosten. Aber wenn die Geräte dann ausserhalb des Netzes sind, ist es ziemlich schnell den einzelnen Prozess abzubilden, da einfach weniger Netzwerkgeräte definiert werden müssen.

[Dr. Octagon]

vor 34 Minuten schrieb Kiyori:

Die fachliche Entscheidung hier wird sein, dass das Gerät am Ende dann ausserhalb unseres Netzes dann über VPN Verbindung zur KommOne Cloud bekommt. Das hat den Grund, dass man aufgrund der Anforderung des BKAs sonst in Bezug auf IT-Grundschutz das ganze Netz aufzeichnen müsste

OK, da es sich hier ja eigentlich um "ein geschicktes Umgehen von sinnhaften Vorgaben" handelt und man es sich hier (aus Sicht der Behörde?) einfach machen möchte, würde ich vorschlagen, Wireguard wie geplant auf dem Gerät einzusetzen, damit sich dieses darüber dann wieder mit der "FritzBox" der Behörde verbindet, um die Daten konform durchzuleiten.

 

[Dr. Octagon]

Zusatz: Muss unter Berücksichtigung der BKA-Vorgaben eigentlich auch bei Netzsegmentierung / VLAN das ganze Netz drumherum angeben werden, das ja eigentlich überhaupt keinen Zugriff hätte? Nein? Warum dann überhaupt "rausgehen in den Geräteschuppen"?

Ich verstehe beim besten Willen nicht, wie man daraus eine fachliche Entscheidung, die dazu auch noch kaufmännische Aspekte beinhalten würde, konstruieren könnte?

Ich schließe mal ab mit den Worten von KommOne:

"Die Installation ist unaufwändig: Für den Zugang zur Cloud ist lediglich eine WorkspaceApp nötig."

 

[Kiyori]

vor 1 Stunde schrieb Dr. Octagon:

Zusatz: Muss unter Berücksichtigung der BKA-Vorgaben eigentlich auch bei Netzsegmentierung / VLAN das ganze Netz drumherum angeben werden, das ja eigentlich überhaupt keinen Zugriff hätte? Nein? Warum dann überhaupt "rausgehen in den Geräteschuppen"?

Ich verstehe beim besten Willen nicht, wie man daraus eine fachliche Entscheidung, die dazu auch noch kaufmännische Aspekte beinhalten würde, konstruieren könnte?

Ich schließe mal ab mit den Worten von KommOne:

"Die Installation ist unaufwändig: Für den Zugang zur Cloud ist lediglich eine WorkspaceApp nötig."

Man müsste jedes Netzgerät das von der Abteilung bis KommOne (jetziger Weg) beschreiben und absichern. Das ist sowohl zeitaufwendig, noch haben wir personal um das schnell umzusetzen. 
jeder Switch der dazwischen hängt usw. 
 

und wenn das mit der Workspace app so einfach wäre würde ich das nicht machen müssen. Um Zugang zur KommOne zu bekommen muss man sich im kommunalen Verwaltungsnetz befinden. Wir verstoßen da auch nicht gegen deren Vorgaben, wir versuchen nur uns daran zu halten, dass es schnell umgesetzt wird. Es ist leider Pflicht das schnell umzusetzen. Nach und nach werden wir dann den Rest „absichern“ und dann wird dieser „Umweg“ nicht mehr benötigt. Aber momentan wäre es die kostengünstige Lösung es bei der VPN Lösung zu belassen. Verstehe nicht warum das zb nicht fachlich genug sein soll. 

[Dr. Octagon]

vor 25 Minuten schrieb Kiyori:

wir versuchen nur uns daran zu halten, dass es schnell umgesetzt wird.

... mit Flickschusterei, weil es bereits seit ca. 2021 möglich gewesen wäre - ohne Zeitdruck-, aber plötzlich ist sogar 2024 fast zu Ende.

Schau Dir bitte auch noch das hier an:

vor 9 Stunden schrieb Kiyori:

Planung und Abstimmung: 4 Stunden

(Abstimmung mit KommOne, BKA und der zuständigen Stelle, Klärung der Anforderungen)

Nebenbei: Das hat wohl schon stattgefunden vor Bewilligung des Projektes durch die IHK, denn sonst wüsstest Du die Anforderungen ja noch nicht.

Egal, aber hier wird / wurde gesagt, was gefordert ist... und Dein Projekt / Deine Entscheidung basiert nun einzig darauf, eine dieser Anforderungen elegant zu umgehen.

-- Alles ganz klein heruntergebrochen, da keine Zeit mehr, das noch weiter auszuführen. --

[charmanta]

vor 6 Stunden schrieb Dr. Octagon:

aber hier wird / wurde gesagt, was gefordert ist... und Dein Projekt / Deine Entscheidung basiert nun einzig darauf, eine dieser Anforderungen elegant zu umgehen.

Und damit ist das zu dünn für nen Fisi

[houseshow]

vor 13 Stunden schrieb Dr. Octagon:

... mit Flickschusterei, weil es bereits seit ca. 2021 möglich gewesen wäre - ohne Zeitdruck-, aber plötzlich ist sogar 2024 fast zu Ende.

Das Problem ist die marode IT Infrastruktur in vielen Behörden, die ist nicht mal eben auf ein vernünftiges Sicherheitsniveau gehieft, hauptsächlich weil es einen riesigen Haufen Kohle kosten würde. Aktuell sieht es nach meinen Informationen eher so aus als das sich das noch ne Weile hinziehen wird, weil die Anforderungen einfach nicht umzusetzen sind oder aber es wird implementiert ohne die Anforderungen zu erfüllen. Ich darf mich demnächst auch um die Schnittstelle kümmern, bzw. bin ich bereits dabei, ich habe aber klar kommuniziert, wie viele andere auch, das die Anforderungen Utopie sind.

 

Zum Projekt: Mir fehlen da leider auch die Alternativen, welche man kaufmännisch vergleichen kann, wenn du dazu was findest ginge das sicher je nach Formulierung und Kammer durch.

[Kiyori]

vor 4 Stunden schrieb houseshow:

Das Problem ist die marode IT Infrastruktur in vielen Behörden, die ist nicht mal eben auf ein vernünftiges Sicherheitsniveau gehieft, hauptsächlich weil es einen riesigen Haufen Kohle kosten würde. Aktuell sieht es nach meinen Informationen eher so aus als das sich das noch ne Weile hinziehen wird, weil die Anforderungen einfach nicht umzusetzen sind oder aber es wird implementiert ohne die Anforderungen zu erfüllen. Ich darf mich demnächst auch um die Schnittstelle kümmern, bzw. bin ich bereits dabei, ich habe aber klar kommuniziert, wie viele andere auch, das die Anforderungen Utopie sind.

Zum Projekt: Mir fehlen da leider auch die Alternativen, welche man kaufmännisch vergleichen kann, wenn du dazu was findest ginge das sicher je nach Formulierung und Kammer durch.

Hast du Tipps zu den Alternativen 🙃 ist leider echt das einzige was ich machen könnte. Bei uns wurde das ganze unter den Tisch gekehrt und ich möchte das gerne umsetzen als ich davon gehört habe. Durch meine Methode könnten alle Anforderungen abgedeckt werden. Fachlich sollte es eigentlich passen. Viel IT die zu machen ist + Informationssicherheitsanteil. 
 

hab halt echt keine Ahnung in wie weit die IHK das „kaufmännisch“ haben will. Gerade bei Behörden ist sowas nicht so einfach, ausser dass man Arbeitszeit und somit Personalkosten spart.