Sicherheitskonzept für ein kleines mittelständisches Unternehmen
 

Halli hallo.

Mir liegt hier ein Angebot vor für das Erstellen eines Sicherheitskonzeptes.
Es handelt sich um ein kleines mittelständisches Unternhemen welches per VPN-Tunnel zwischen zwei Standorten kommuniziert.
Bisherige Sicherheitsmaßnahmen sind eher rudimentär und sollen verbessert werden.
Durch das vorliegende Angebot soll erschlossen werden was getan werden muss und wie kostenaufwendig die Pflege des ganzen System-Konzeptes hinterher wird.
Da ich keine Ahnung habe wie so etwas normalerweise bezahlt wird und wie viel man hinterher üblicher Weise in die Pflege investiert wollte ich hier mal nachfragen und hoffe das sich einige Leute mit Einblick in die doch sehr difficile Materie finden.
Fragestellungen wären:
a) eine Bewertung und
b) ein konstruktiver Beitrag im Zuge einer kommerziell richtigen Umsetzung (Kosten-Nutzen).

viele Grüße

Undo


PS: Weitere Informationen zu den Gegebenheiten im Unternhemen habe ich der Übersicht halber ersteinmal nicht erwähnt.

SRY, Du gehst das Problem falsch an;)
Erstelle ein Aufgabenprofil. Schicke es als Art Ausschreibung an einige Firmen. Prüfe dann die Angebote.

Rama

s. Antwort von Rama :-)

Üblicherweise?

Was wollt ihr denn alles?
Stichworte wären Redundanz/Reaktionszeit/komplette Pflege+Wartung/ SSL- oder IPSec-VPN, ISDN Backup., mobile Zugänge, usw, usw.

....nur so als kleiner Hinweis für das Aufgabenprofil :)

cad

Wie meine beiden Vorredenden (wir gendern was das Zeug hält). Wenn Du keinen Aufgabenkatalog erstellst, bekommst Du vom Dienstleister nicht nur alles was notwendig ist, sondern auch alles was sinnvoll ist. Sinnvoll bedeutet aus Sicht einiger Dienstleister, dass es abgerechnet werden kann und nicht die IT in Schutt und Asche legt (wir haben hier reichlich Erfahrung mit dieser kostpieligen Art der Auftragsvergabe).

Marc

Danke schonmal für die Antworten! :)

Öhm, ich habe was Unternehmensnetzwerke angeht nicht so den wahnsinnigen Durchblick und wende mich ja grade daher an euch.

Was haltet ihr denn von dem Aufgabenkatalog der im Angebot enthalten ist?
Was muss rein was soll wieder raus?

Ich arbeite mich grade erst in das Thema ein und bin außerdem leider nicht vor Ort sondern habe nur Kontakt per e_mail was die Sache erschwert.

Vor Ort hat ebenfalls niemand wirklich Ahnung weil die gesamte Netzwerkpflege vom Dienstleister betreut wird.

Damit uns der nicht über's Ohr haut frage ich hier nach. Wie mir scheint war das nicht die schöechteste Idee..

PS:

Eine Ausschreibung kommt nicht in Frage da der Diensleister das Unternhemen seit der Anfangszeit betreut und somit vertraut mit dem Netzwerk und aller Probleme ist.

Wie umfassend wollt Ihr denn an die Sache rangehen? Ich bin nun wahrlich kein Experte auf dem Gebiet, aber ein Konzept beinhaltet mehr als eine formale technische Prüfung. Das ist mMn nichts was man bestellen kann, sondern etwas das erarbeitet werden muss (zusammen mit einem Dienstleister). Technische Prüfungen, Konfigurationen und Dokumentationen kann man über Pauschalen abwickeln und den Rest (Beratung) auf Stundenbasis, aber das kommt erst wenn Ihr wisst was Ihr haben wollt.
Ich würde grundsätzlich nicht auf den "eigenen" Dienstleister vertrauen, sondern einen anderen, auf Sicherheit spezialisierten Dienstleister suchen. Immer wieder erfrischend was andere sehen, wenn sie einen Blick auf die IT werfen.


Marc

Hm, derjenige der das zu entscheiden hat wird davon nicht sonderlich begeistert sein...
Aber gut, vorschlagen werde ich das.
Wie kann ich so einen IT-Sicherheits-Dienstleister finden? Irgendwelche Tips?

Es soll kein NSA Netzwerk aufgebaut werden aber das Unternehmen wurde vom Bundesverfassungsschutz angesprochen und darauf hingewiesen, dass es seine Maßnahmen gegen Industriespionage verschärfen soll.
Außerdem erhielt ich vor drei Wochen etwa auf die Nachfrage hin ob das MS Update KB958644 (Conficker) installiert sei die Antwort: "Warum? Conficker ist doch schon längst in den TrendMicro Signaturen enthalten!"
Das war der eigentlich Auslöser mal etwas mehr auf den Busch zu klopfen. Die Jungs machen es sich eindeutig zu bequem...

Es sollen halt die Basis Dinge erledigt und sauber gepflegt werden.

Full Ack :daumenhoc

Tja, was will der Mensch? Weitermachen wie bisher?

Kleiner Denkanstoß :)

Was bringt ein sauber ausgearbeitet Sicherheitskonzept + Umsetzung/Einrichtung, wenn die Vorortadmins keinen Sinn dahinter sehen und aus Faulheit/Unwissenheit ein Loch nach dem anderen reinbohren?

Diese Fragen und ob die Bereitschaft zu Änderungen/Weiterbildung überhaupt da sind, sollten vorher abgeklärt werden.

Gruß cad

Genau das ist es was ich ihm die ganze Zeit sage!
Eigentlich habe ich auch gesagt, dass es garnicht unbedingt notwendig ist irgendetwas zu ändern sondern, dass die Admins einfach ihren Job besser machen sollen.

Als das dann an unseren Dienstleister weitergeleitet wurde sagte der dass das nicht Bestandteil des Pflege und Wartungs Vertrages wäre und ein neues Angebot erarbeitet werden muss.

Es wäre also nicht schlecht wenn ihr mir ein bischen helfen könntet einen Aufgabenkatalog zu erstellen der dann als Leitlinie dienen wird.
(Dafür brauche ich halt Hilfe weil ich nicht weiss wie man ein Sicherheitskonzept im Betrieb integriert bzw. wie ein solches überhaupt genau aussieht.)

Du erkennst den Widerspruch?

Nochmal Undo, erst wenn klar ist, was ihr überhaupt alles wollt/bereits vorhanden ist, dann kommen eventuell auch Vorschläge :)

:)

Wir wollen das IT-Sicherheitssystem verbessern und klare Richtilinien für die Administratoren schaffen.
Diese werden dann vertraglich festgelegt sodass sich keiner mehr rausreden kann.

Diese Rede finde ich so Klasse, dass ich heute Nacht nicht schlafen kann. Derjenige oder sein Bauftragter, der den Verterag unterschreibt, sollte miindestens das Wissen der beauftrgten Firma haben.

Felix

War mir schon klar, dass meine Ausführung zu Belustigungen führen wird...

Ihr habt gut reden bzw. lachen. Ich nicht so wirklich.

Will mir denn jetzt keiner helfen eine halbwegs vernünftige Lösung zu finden?
Das die Angelegenheit nicht grade optimal läuft und gelaufen ist ist mir klar!

Es geht wie gesagt um keine große Firma die sich mal eben einen festangestellten Admin leisten kann..

Der Innhaber ist ein sehr guter Bekannter dem ich gerne helfen möchte da wie schon gesagt in der Firma keiner einen Plan hat und die Dienstleister pennen...

Mich würde mal interessieren, welchen Auftrag die Firma hatte, die das Angebot erstellt hat.
Entweder war dar Auftrag stümperhaft oder die Fa. ist ihr Geld nicht wert.
Und was soll dann mit den Ergebnissen gemacht werden? Das Angebot reduziert sich auf das Erstellen einer Momentaufnahme des Systems der Firma.

Rama

Ich hoffe mal, ich habe alles richtig verstanden, falls nicht, auch nicht so schlimm, dann mache ich wenigstens ein paar Fingerübungen ;)

Dieses Angebot in der angehängten Grafik ist nicht wirklich sinnvoll. Dort würden eine Menge Scans und überprüfungen durchgeführt, die sicher zu einem Ergebnis führen würden, das dieses Netzwerk nicht sicher ist. Und wer kümmert sich dann um diese Lücken? Eine weitere andere Firma oder auch die, die alles überprüft haben. Das wird dann wahrscheinlich noch mehr kosten und zudem sind einige der dort aufgefühten Sicherheitsüberprüfungen absolut nicht mehr Zeitgemäß. Von einem erfolgreichen WinNuke habe ich seit Windows 98 nichts mehr gehört und auch der Ping Of Death verpufft in der heutigen Zeit wie ein Tropfen Wasser auf einem heißen Stein.

Es müsste ein klares Konzept her, mit einem gut aufgebauten Aufgabenkatalog, in dem klargestellt wird, was alles Teil dieses Konzeptes ist.

Hier ist z.B. ein großer Aufgabenkatalog eines Rechenbetreuers an ein Gymnasium. Klick mich

Man könnte im Umkehrschluß ein Gesuche schreiben, das klarstellt, was alles benötigt wird und was vorhanden ist.

ComSpec schrieb ja bereits:
Und genau das ist es, was ausgearbeitet werden muß. Dort sollte der Inhaber der Firma anfangen und keine Mühen scheuen. Man kann nicht einfach sagen, ach, ich hol mir eine Firma, sag denen, dass unser gesamtes Netzwerk abgesichert werden muß und die machen das schon und der Rest klappt dann irgendwie. Wenn er das nicht begreift, wirst du ihm dort auch kaum helfen können.

Es kann nur funktionieren, wenn der Dienstleister genau weiß, was zu tun ist und auch der Inhaber der Firma genau weiß, was er will.

• Was für Betriebssyteme werden verwendet
• Wie ist das Netzwerk genau aufgebaut
• Wird dort W-Lan verwendet
• Was für Programme werden benutzt
• Wie sind die Webseiten aufgebaut
• Wer kümmert sich um das Netzwerk und wie gut kennen die sich aus
• Was genau soll erweitert oder geändert werden.
• Kann das Netzwerk überhaupt nach der überprüfung und optimierung weitergepflegt werde oder müssen die Administratoren beraten werden.
• und und und

Natürlich sollte alles gut dokumentiert und festgelegt werden und das auch später. Denn wenn verschiedene Admins dort arbeiten, muß jeder wissen, was der andere gemacht hat. Ist dies nicht der Fall, wird dass alles ein durcheinander geben. Daran sollte sich irgendwie gehalten werden, was zu einem Problem wird, wie Ramazottel schon sagte, müsste der Inhaber der Firma schon einge Menge Ahnung haben, um das alles zu überprüfen. Wenn die Admins da aber ordentlich mitarbeiten und sich daran halten (dafür vielleicht auch eine Beratung), sollte es weniger Probleme geben.

Das ist nur ein kleiner Teil, von dem, was überlegt werden muß. Es kommt eine ganze Menge zusammen und ohne ein gründliche Planung bricht alles zusammen, bevor es überhaupt aufgebaut wird.

mfg, Kaos

Ps.: Mich würde auch mal interessieren, welchen Auftrag die Firma bekommen hat.