Sicherheitskonzept für ein kleines mittelständisches Unternehmen
 

Halli hallo.

Mir liegt hier ein Angebot vor für das Erstellen eines Sicherheitskonzeptes.
Es handelt sich um ein kleines mittelständisches Unternhemen welches per VPN-Tunnel zwischen zwei Standorten kommuniziert.
Bisherige Sicherheitsmaßnahmen sind eher rudimentär und sollen verbessert werden.
Durch das vorliegende Angebot soll erschlossen werden was getan werden muss und wie kostenaufwendig die Pflege des ganzen System-Konzeptes hinterher wird.
Da ich keine Ahnung habe wie so etwas normalerweise bezahlt wird und wie viel man hinterher üblicher Weise in die Pflege investiert wollte ich hier mal nachfragen und hoffe das sich einige Leute mit Einblick in die doch sehr difficile Materie finden.
Fragestellungen wären:
a) eine Bewertung und
b) ein konstruktiver Beitrag im Zuge einer kommerziell richtigen Umsetzung (Kosten-Nutzen).

viele Grüße

Undo


PS: Weitere Informationen zu den Gegebenheiten im Unternhemen habe ich der Übersicht halber ersteinmal nicht erwähnt.

SRY, Du gehst das Problem falsch an;)
Erstelle ein Aufgabenprofil. Schicke es als Art Ausschreibung an einige Firmen. Prüfe dann die Angebote.

Rama

s. Antwort von Rama :-)

Üblicherweise?

Was wollt ihr denn alles?
Stichworte wären Redundanz/Reaktionszeit/komplette Pflege+Wartung/ SSL- oder IPSec-VPN, ISDN Backup., mobile Zugänge, usw, usw.

....nur so als kleiner Hinweis für das Aufgabenprofil :)

cad

Wie meine beiden Vorredenden (wir gendern was das Zeug hält). Wenn Du keinen Aufgabenkatalog erstellst, bekommst Du vom Dienstleister nicht nur alles was notwendig ist, sondern auch alles was sinnvoll ist. Sinnvoll bedeutet aus Sicht einiger Dienstleister, dass es abgerechnet werden kann und nicht die IT in Schutt und Asche legt (wir haben hier reichlich Erfahrung mit dieser kostpieligen Art der Auftragsvergabe).

Marc

Danke schonmal für die Antworten! :)

Öhm, ich habe was Unternehmensnetzwerke angeht nicht so den wahnsinnigen Durchblick und wende mich ja grade daher an euch.

Was haltet ihr denn von dem Aufgabenkatalog der im Angebot enthalten ist?
Was muss rein was soll wieder raus?

Ich arbeite mich grade erst in das Thema ein und bin außerdem leider nicht vor Ort sondern habe nur Kontakt per e_mail was die Sache erschwert.

Vor Ort hat ebenfalls niemand wirklich Ahnung weil die gesamte Netzwerkpflege vom Dienstleister betreut wird.

Damit uns der nicht über's Ohr haut frage ich hier nach. Wie mir scheint war das nicht die schöechteste Idee..

PS:

Eine Ausschreibung kommt nicht in Frage da der Diensleister das Unternhemen seit der Anfangszeit betreut und somit vertraut mit dem Netzwerk und aller Probleme ist.

Wie umfassend wollt Ihr denn an die Sache rangehen? Ich bin nun wahrlich kein Experte auf dem Gebiet, aber ein Konzept beinhaltet mehr als eine formale technische Prüfung. Das ist mMn nichts was man bestellen kann, sondern etwas das erarbeitet werden muss (zusammen mit einem Dienstleister). Technische Prüfungen, Konfigurationen und Dokumentationen kann man über Pauschalen abwickeln und den Rest (Beratung) auf Stundenbasis, aber das kommt erst wenn Ihr wisst was Ihr haben wollt.
Ich würde grundsätzlich nicht auf den "eigenen" Dienstleister vertrauen, sondern einen anderen, auf Sicherheit spezialisierten Dienstleister suchen. Immer wieder erfrischend was andere sehen, wenn sie einen Blick auf die IT werfen.


Marc

Hm, derjenige der das zu entscheiden hat wird davon nicht sonderlich begeistert sein...
Aber gut, vorschlagen werde ich das.
Wie kann ich so einen IT-Sicherheits-Dienstleister finden? Irgendwelche Tips?

Es soll kein NSA Netzwerk aufgebaut werden aber das Unternehmen wurde vom Bundesverfassungsschutz angesprochen und darauf hingewiesen, dass es seine Maßnahmen gegen Industriespionage verschärfen soll.
Außerdem erhielt ich vor drei Wochen etwa auf die Nachfrage hin ob das MS Update KB958644 (Conficker) installiert sei die Antwort: "Warum? Conficker ist doch schon längst in den TrendMicro Signaturen enthalten!"
Das war der eigentlich Auslöser mal etwas mehr auf den Busch zu klopfen. Die Jungs machen es sich eindeutig zu bequem...

Es sollen halt die Basis Dinge erledigt und sauber gepflegt werden.

Full Ack :daumenhoc

Tja, was will der Mensch? Weitermachen wie bisher?

Kleiner Denkanstoß :)

Was bringt ein sauber ausgearbeitet Sicherheitskonzept + Umsetzung/Einrichtung, wenn die Vorortadmins keinen Sinn dahinter sehen und aus Faulheit/Unwissenheit ein Loch nach dem anderen reinbohren?

Diese Fragen und ob die Bereitschaft zu Änderungen/Weiterbildung überhaupt da sind, sollten vorher abgeklärt werden.

Gruß cad

Genau das ist es was ich ihm die ganze Zeit sage!
Eigentlich habe ich auch gesagt, dass es garnicht unbedingt notwendig ist irgendetwas zu ändern sondern, dass die Admins einfach ihren Job besser machen sollen.

Als das dann an unseren Dienstleister weitergeleitet wurde sagte der dass das nicht Bestandteil des Pflege und Wartungs Vertrages wäre und ein neues Angebot erarbeitet werden muss.

Es wäre also nicht schlecht wenn ihr mir ein bischen helfen könntet einen Aufgabenkatalog zu erstellen der dann als Leitlinie dienen wird.
(Dafür brauche ich halt Hilfe weil ich nicht weiss wie man ein Sicherheitskonzept im Betrieb integriert bzw. wie ein solches überhaupt genau aussieht.)

Du erkennst den Widerspruch?

Nochmal Undo, erst wenn klar ist, was ihr überhaupt alles wollt/bereits vorhanden ist, dann kommen eventuell auch Vorschläge :)

:)

Wir wollen das IT-Sicherheitssystem verbessern und klare Richtilinien für die Administratoren schaffen.
Diese werden dann vertraglich festgelegt sodass sich keiner mehr rausreden kann.

Diese Rede finde ich so Klasse, dass ich heute Nacht nicht schlafen kann. Derjenige oder sein Bauftragter, der den Verterag unterschreibt, sollte miindestens das Wissen der beauftrgten Firma haben.

Felix

War mir schon klar, dass meine Ausführung zu Belustigungen führen wird...

Ihr habt gut reden bzw. lachen. Ich nicht so wirklich.

Will mir denn jetzt keiner helfen eine halbwegs vernünftige Lösung zu finden?
Das die Angelegenheit nicht grade optimal läuft und gelaufen ist ist mir klar!

Es geht wie gesagt um keine große Firma die sich mal eben einen festangestellten Admin leisten kann..

Der Innhaber ist ein sehr guter Bekannter dem ich gerne helfen möchte da wie schon gesagt in der Firma keiner einen Plan hat und die Dienstleister pennen...

Mich würde mal interessieren, welchen Auftrag die Firma hatte, die das Angebot erstellt hat.
Entweder war dar Auftrag stümperhaft oder die Fa. ist ihr Geld nicht wert.
Und was soll dann mit den Ergebnissen gemacht werden? Das Angebot reduziert sich auf das Erstellen einer Momentaufnahme des Systems der Firma.

Rama

Ich hoffe mal, ich habe alles richtig verstanden, falls nicht, auch nicht so schlimm, dann mache ich wenigstens ein paar Fingerübungen ;)

Dieses Angebot in der angehängten Grafik ist nicht wirklich sinnvoll. Dort würden eine Menge Scans und überprüfungen durchgeführt, die sicher zu einem Ergebnis führen würden, das dieses Netzwerk nicht sicher ist. Und wer kümmert sich dann um diese Lücken? Eine weitere andere Firma oder auch die, die alles überprüft haben. Das wird dann wahrscheinlich noch mehr kosten und zudem sind einige der dort aufgefühten Sicherheitsüberprüfungen absolut nicht mehr Zeitgemäß. Von einem erfolgreichen WinNuke habe ich seit Windows 98 nichts mehr gehört und auch der Ping Of Death verpufft in der heutigen Zeit wie ein Tropfen Wasser auf einem heißen Stein.

Es müsste ein klares Konzept her, mit einem gut aufgebauten Aufgabenkatalog, in dem klargestellt wird, was alles Teil dieses Konzeptes ist.

Hier ist z.B. ein großer Aufgabenkatalog eines Rechenbetreuers an ein Gymnasium. Klick mich

Man könnte im Umkehrschluß ein Gesuche schreiben, das klarstellt, was alles benötigt wird und was vorhanden ist.

ComSpec schrieb ja bereits:
Und genau das ist es, was ausgearbeitet werden muß. Dort sollte der Inhaber der Firma anfangen und keine Mühen scheuen. Man kann nicht einfach sagen, ach, ich hol mir eine Firma, sag denen, dass unser gesamtes Netzwerk abgesichert werden muß und die machen das schon und der Rest klappt dann irgendwie. Wenn er das nicht begreift, wirst du ihm dort auch kaum helfen können.

Es kann nur funktionieren, wenn der Dienstleister genau weiß, was zu tun ist und auch der Inhaber der Firma genau weiß, was er will.

• Was für Betriebssyteme werden verwendet
• Wie ist das Netzwerk genau aufgebaut
• Wird dort W-Lan verwendet
• Was für Programme werden benutzt
• Wie sind die Webseiten aufgebaut
• Wer kümmert sich um das Netzwerk und wie gut kennen die sich aus
• Was genau soll erweitert oder geändert werden.
• Kann das Netzwerk überhaupt nach der überprüfung und optimierung weitergepflegt werde oder müssen die Administratoren beraten werden.
• und und und

Natürlich sollte alles gut dokumentiert und festgelegt werden und das auch später. Denn wenn verschiedene Admins dort arbeiten, muß jeder wissen, was der andere gemacht hat. Ist dies nicht der Fall, wird dass alles ein durcheinander geben. Daran sollte sich irgendwie gehalten werden, was zu einem Problem wird, wie Ramazottel schon sagte, müsste der Inhaber der Firma schon einge Menge Ahnung haben, um das alles zu überprüfen. Wenn die Admins da aber ordentlich mitarbeiten und sich daran halten (dafür vielleicht auch eine Beratung), sollte es weniger Probleme geben.

Das ist nur ein kleiner Teil, von dem, was überlegt werden muß. Es kommt eine ganze Menge zusammen und ohne ein gründliche Planung bricht alles zusammen, bevor es überhaupt aufgebaut wird.

mfg, Kaos

Ps.: Mich würde auch mal interessieren, welchen Auftrag die Firma bekommen hat.

Was genau als "Auftrag" rausging kann ich nicht mehr rekonstruieren da ich nicht beteiligt war.
Es hieß aber es solle eine Neuausrichtung und Konzepterstellung der Netzwerk-Sicherheits-Plattform inkl. Dokumentation erfolgen.
Das ist alles.
Natürlich ist der Auftrag stümpferhaft (Solche Aussagen bringen mich übrigens grade nicht sonderlich weiter) da in der Firma wie gesagt kein Admin existiert! Die Funktion des Beraters und Administrators wird vom Dienstleister übernommen.

Ich bitte euch quasi mir dabei zu helfen einen besseren Auftrag in Form eines Aufgabenkatalogs zu erstellen!

Für das "Projekt" bekomme ich übrigens kein Geld oder so. Nicht das jemand denk ich würde euch für mich arbeiten lassen.. ;)
Nachdem ich mitbekommen habe wie das Thema in der Firma behandelt wird konnte mein Helfersyndrom nicht anders und hat sich eingeklinkt. ^^



Danke, dass du dir die Mühe machst!

Mit dem "Erarbeiten" ist das so eine Sache... Wer soll das mit dem Dienstleister erarbeiten?
In der Position befinde ich mich grade. Nur habe ich ebenfalls nur minimalen Plan vom Unternehmensnetzwerk.

Zu deinen Punkten.

• OS ist XP
• Netzwerkaufbau muss ich erfragen.
• WLAN glaube ich nicht. Werde ich prüfen.
• Programme werden folgende genutzt: Tobit (regelmäßig Probleme), Excel, SAPa3 und weitere (Automatischer Chip-Login zur Arbeitszeitabrechnung usw).
• Webseiten bestehen praktisch nicht. Das ist ein weiteres "Projekt" was vor Jahren mal angefangen und nie richtig zu Ende gebracht wurde. Ich habe aufgehört ihm verklickern zu wollen wie wichtig ein ordentlicher I-Net Auftritt ist..
• Ein Administrator seitens des Dienstleisters kümmert sich um das Netzwerk. Kenntnisstand: Siehe Angebot.. ;)
• Was genau geändert werden muss sollte zunächst geklärt werden. Daher kam das Angebot zustande. Um diesen Punkt zu erarbeiten brauche ich eure Erfahrung.
• Die Pflege sollte der Dienstleister übernehmen.

Vielen Dank schonmal für erste produktive Anstöße!

Ihr habt aber schon jemanden der auf Firmenseite die IT-Projekte begleitet? Ich vermute 8:00-16:00 die Geschäftsleitung und danach die Putzfrau.

Und um was geht es Euch denn? Schutz Eures Netzwerks, Schutz Eurer Daten, Schutz von SQL-Server, Erhöhung der Datensicherheit und -verfügbarkeit, Datenschutz oder sonstwas... Was sind die Primärziele dieses Vorhabens und was ist zweitrangig?
Ohne eine Antwort auf diese Frage brauchst Du an keinem anderen Punkt weiterfrickeln.

Marc

^^
Die Geschäftsleitung. Der Verkaufsleiter ist mit der Sache betraut worden. Er kontaktiert den Dienstleister nimmt dann Rücksprache mit dem Geschäftsführer und dieser mit mir.. :rolleyes:

Das Netzwerk soll vorallem davor geschützt werden auszufallen. Sei dies durch Würmer oder sonstige Eventualitäten.
Die Daten sollen ebenfalls geschützt werden da Betriebsspionage zu fürchten ist. (Das ist jetzt nicht einfach nur so dahingesagt...)
Warum hast du die SQL Server aufgelistet? Gehören die nicht mit zum Schutz des Netzerks? Oder wie war das gemeint?
Die letzten Punkte sind doppelt gemoppel oder wolltest du damit auf was bestimmtes raus?


Ich gebe mir Mühe.. ;)

VPN? Welches Protokoll?
Bestehende Hardware soll weiterverwendet werden? Welche ist im Einsatz?
Kostenlimit?
Redundanz?
Reaktionszeit bei Störungen? Garantierte Hardware-Austauschzeit?
Bei Ausfall der DSL-Verbindung -> ISDN Backup gewünscht?
Wie sieht es mit Daten-Backups generell aus?
Benutzerkontrolle (Zugangskontrolle)?
Mobile Zugänge nötig?
usw, usw, usw.

Ach ja ->
Und wer kontrolliert die korrekte Ausführung?

Flüsterpost lässt grüßen. Vllt stellt Ihr mal jemanden dafür ab. Das ist keine Sache die man nebeher macht und einem Dienstleister darf man auch keinen Persilschein ausstellen.

Wir haben Datenbanken die besonders geschützt werden müssen. Eine Firewall lässt überhaupt nur Verbindungen von 10 bestimmten Rechnern zu. Eine RDP-Verbindung ist nur von meinem Rechner möglich.

Ja, ich wollte darauf hinaus, dass Datenschutz, Datensicherheit und Datenverfügbarkeit durchaus unterschiedliche Dinge sind. ;)

Marc

So ist es, deshalb mal etwas Lektüre:daumenhoc

Rama

Danke ihr Drei! :daumenhoc
Super Link. Ich lese... Hätte ich auch selber drauf kommen können mal beim BSI nachzugucken...

Ich werde die angesrochenen Dinge erfragen. Genau so konkrete Sachen brauche ich! Sonst weiss ich garnicht wo ich anfangen soll..