Zitat:

Zitat von Ramazottel

Mich würde mal interessieren, welchen Auftrag die Firma hatte, die das Angebot erstellt hat.
Entweder war dar Auftrag stümperhaft oder die Fa. ist ihr Geld nicht wert.
Und was soll dann mit den Ergebnissen gemacht werden? Das Angebot reduziert sich auf das Erstellen einer Momentaufnahme des Systems der Firma.

Rama

Was genau als "Auftrag" rausging kann ich nicht mehr rekonstruieren da ich nicht beteiligt war.
Es hieß aber es solle eine Neuausrichtung und Konzepterstellung der Netzwerk-Sicherheits-Plattform inkl. Dokumentation erfolgen.
Das ist alles.
Natürlich ist der Auftrag stümpferhaft (Solche Aussagen bringen mich übrigens grade nicht sonderlich weiter) da in der Firma wie gesagt kein Admin existiert! Die Funktion des Beraters und Administrators wird vom Dienstleister übernommen.

Ich bitte euch quasi mir dabei zu helfen einen besseren Auftrag in Form eines Aufgabenkatalogs zu erstellen!

Für das "Projekt" bekomme ich übrigens kein Geld oder so. Nicht das jemand denk ich würde euch für mich arbeiten lassen..
Nachdem ich mitbekommen habe wie das Thema in der Firma behandelt wird konnte mein Helfersyndrom nicht anders und hat sich eingeklinkt. ^^

Zitat:

Zitat von Kaos

Ich hoffe mal, ich habe alles richtig verstanden, falls nicht, auch nicht so schlimm, dann mache ich wenigstens ein paar Fingerübungen

Dieses Angebot in der angehängten Grafik ist nicht wirklich sinnvoll. Dort würden eine Menge Scans und überprüfungen durchgeführt, die sicher zu einem Ergebnis führen würden, das dieses Netzwerk nicht sicher ist. Und wer kümmert sich dann um diese Lücken? Eine weitere andere Firma oder auch die, die alles überprüft haben. Das wird dann wahrscheinlich noch mehr kosten und zudem sind einige der dort aufgefühten Sicherheitsüberprüfungen absolut nicht mehr Zeitgemäß. Von einem erfolgreichen WinNuke habe ich seit Windows 98 nichts mehr gehört und auch der Ping Of Death verpufft in der heutigen Zeit wie ein Tropfen Wasser auf einem heißen Stein.

Es müsste ein klares Konzept her, mit einem gut aufgebauten Aufgabenkatalog, in dem klargestellt wird, was alles Teil dieses Konzeptes ist.

Hier ist z.B. ein großer Aufgabenkatalog eines Rechenbetreuers an ein Gymnasium. Klick mich

Man könnte im Umkehrschluß ein Gesuche schreiben, das klarstellt, was alles benötigt wird und was vorhanden ist.

ComSpec schrieb ja bereits:
Und genau das ist es, was ausgearbeitet werden muß. Dort sollte der Inhaber der Firma anfangen und keine Mühen scheuen. Man kann nicht einfach sagen, ach, ich hol mir eine Firma, sag denen, dass unser gesamtes Netzwerk abgesichert werden muß und die machen das schon und der Rest klappt dann irgendwie. Wenn er das nicht begreift, wirst du ihm dort auch kaum helfen können.

Es kann nur funktionieren, wenn der Dienstleister genau weiß, was zu tun ist und auch der Inhaber der Firma genau weiß, was er will.

• Was für Betriebssyteme werden verwendet
• Wie ist das Netzwerk genau aufgebaut
• Wird dort W-Lan verwendet
• Was für Programme werden benutzt
• Wie sind die Webseiten aufgebaut
• Wer kümmert sich um das Netzwerk und wie gut kennen die sich aus
• Was genau soll erweitert oder geändert werden.
• Kann das Netzwerk überhaupt nach der überprüfung und optimierung weitergepflegt werde oder müssen die Administratoren beraten werden.
• und und und

Natürlich sollte alles gut dokumentiert und festgelegt werden und das auch später. Denn wenn verschiedene Admins dort arbeiten, muß jeder wissen, was der andere gemacht hat. Ist dies nicht der Fall, wird dass alles ein durcheinander geben. Daran sollte sich irgendwie gehalten werden, was zu einem Problem wird, wie Ramazottel schon sagte, müsste der Inhaber der Firma schon einge Menge Ahnung haben, um das alles zu überprüfen. Wenn die Admins da aber ordentlich mitarbeiten und sich daran halten (dafür vielleicht auch eine Beratung), sollte es weniger Probleme geben.

Das ist nur ein kleiner Teil, von dem, was überlegt werden muß. Es kommt eine ganze Menge zusammen und ohne ein gründliche Planung bricht alles zusammen, bevor es überhaupt aufgebaut wird.

mfg, Kaos

Ps.: Mich würde auch mal interessieren, welchen Auftrag die Firma bekommen hat.

Danke, dass du dir die Mühe machst!

Mit dem "Erarbeiten" ist das so eine Sache... Wer soll das mit dem Dienstleister erarbeiten?
In der Position befinde ich mich grade. Nur habe ich ebenfalls nur minimalen Plan vom Unternehmensnetzwerk.

Zu deinen Punkten.

• OS ist XP
• Netzwerkaufbau muss ich erfragen.
• WLAN glaube ich nicht. Werde ich prüfen.
• Programme werden folgende genutzt: Tobit (regelmäßig Probleme), Excel, SAPa3 und weitere (Automatischer Chip-Login zur Arbeitszeitabrechnung usw).
• Webseiten bestehen praktisch nicht. Das ist ein weiteres "Projekt" was vor Jahren mal angefangen und nie richtig zu Ende gebracht wurde. Ich habe aufgehört ihm verklickern zu wollen wie wichtig ein ordentlicher I-Net Auftritt ist..
• Ein Administrator seitens des Dienstleisters kümmert sich um das Netzwerk. Kenntnisstand: Siehe Angebot..
• Was genau geändert werden muss sollte zunächst geklärt werden. Daher kam das Angebot zustande. Um diesen Punkt zu erarbeiten brauche ich eure Erfahrung.
• Die Pflege sollte der Dienstleister übernehmen.

Vielen Dank schonmal für erste produktive Anstöße!

Zitat:

Natürlich ist der Auftrag stümpferhaft (Solche Aussagen bringen mich übrigens grade sonderlich weiter) da in der Firma wie gesagt kein Admin existiert! Die Funktion des Beraters und Administrators wird vom Dienstleister übernommen.

Ihr habt aber schon jemanden der auf Firmenseite die IT-Projekte begleitet? Ich vermute 8:00-16:00 die Geschäftsleitung und danach die Putzfrau.

Und um was geht es Euch denn? Schutz Eures Netzwerks, Schutz Eurer Daten, Schutz von SQL-Server, Erhöhung der Datensicherheit und -verfügbarkeit, Datenschutz oder sonstwas... Was sind die Primärziele dieses Vorhabens und was ist zweitrangig?
Ohne eine Antwort auf diese Frage brauchst Du an keinem anderen Punkt weiterfrickeln.

Marc

Zitat:

Ihr habt aber schon jemanden der auf Firmenseite die IT-Projekte begleitet? Ich vermute 8:00-16:00 die Geschäftsleitung und danach die Putzfrau.

^^
Die Geschäftsleitung. Der Verkaufsleiter ist mit der Sache betraut worden. Er kontaktiert den Dienstleister nimmt dann Rücksprache mit dem Geschäftsführer und dieser mit mir..

Zitat:

Schutz Eures Netzwerks, Schutz Eurer Daten, Schutz von SQL-Server, Erhöhung der Datensicherheit und -verfügbarkeit, Datenschutz oder sonstwas...

Das Netzwerk soll vorallem davor geschützt werden auszufallen. Sei dies durch Würmer oder sonstige Eventualitäten.
Die Daten sollen ebenfalls geschützt werden da Betriebsspionage zu fürchten ist. (Das ist jetzt nicht einfach nur so dahingesagt...)
Warum hast du die SQL Server aufgelistet? Gehören die nicht mit zum Schutz des Netzerks? Oder wie war das gemeint?
Die letzten Punkte sind doppelt gemoppel oder wolltest du damit auf was bestimmtes raus?

Zitat:

Ohne eine Antwort auf diese Frage brauchst Du an keinem anderen Punkt weiterfrickeln.

Ich gebe mir Mühe..

Zitat:

Zitat von cad

Nochmal Undo, erst wenn klar ist, was ihr überhaupt alles wollt/bereits vorhanden ist, dann kommen eventuell auch Vorschläge

VPN? Welches Protokoll?
Bestehende Hardware soll weiterverwendet werden? Welche ist im Einsatz?
Kostenlimit?
Redundanz?
Reaktionszeit bei Störungen? Garantierte Hardware-Austauschzeit?
Bei Ausfall der DSL-Verbindung -> ISDN Backup gewünscht?
Wie sieht es mit Daten-Backups generell aus?
Benutzerkontrolle (Zugangskontrolle)?
Mobile Zugänge nötig?
usw, usw, usw.

Ach ja ->
Und wer kontrolliert die korrekte Ausführung?

Zitat:

Die Geschäftsleitung. Der Verkaufsleiter ist mit der Sache betraut worden. Er kontaktiert den Dienstleister nimmt dann Rücksprache mit dem Geschäftsführer und dieser mit mir..

Flüsterpost lässt grüßen. Vllt stellt Ihr mal jemanden dafür ab. Das ist keine Sache die man nebeher macht und einem Dienstleister darf man auch keinen Persilschein ausstellen.

Zitat:

Warum hast du die SQL Server aufgelistet?

Wir haben Datenbanken die besonders geschützt werden müssen. Eine Firewall lässt überhaupt nur Verbindungen von 10 bestimmten Rechnern zu. Eine RDP-Verbindung ist nur von meinem Rechner möglich.

Zitat:

Die letzten Punkte sind doppelt gemoppel oder wolltest du damit auf was bestimmtes raus?

Ja, ich wollte darauf hinaus, dass Datenschutz, Datensicherheit und Datenverfügbarkeit durchaus unterschiedliche Dinge sind.

Marc

Zitat:

Zitat von %ComSpec%

Ja, ich wollte darauf hinaus, dass Datenschutz, Datensicherheit und Datenverfügbarkeit durchaus unterschiedliche Dinge sind. Marc

So ist es, deshalb mal etwas Lektüre

Rama

Danke ihr Drei!
Super Link. Ich lese... Hätte ich auch selber drauf kommen können mal beim BSI nachzugucken...

Ich werde die angesrochenen Dinge erfragen. Genau so konkrete Sachen brauche ich! Sonst weiss ich garnicht wo ich anfangen soll..