Project Overview

In der zentralen Archivierungsplattformen IBM ContentCollector (Common Store), Buildingblock für Archivierung für AWS-Cloud und SAP-RISE sind die zentral verantwortete Systemkonfiguration und sämtliche administrative Sicherheitsprozesse zu prüfen.

In der zentralen Archivierungsplattformen IBM ContentCollector (Common Store), Buildingblock für Archivierung für AWS-Cloud und SAP-RISE sind die zentral verantwortete Systemkonfiguration und sämtliche administrative Sicherheitsprozesse sowie sicherheitsrelevante Vorgaben der Plattformnutzung für Applikationen auf Übereinstimmung mit den Anforderungen der Porsche AG und den Best-Practices/Sicherheitsempfehlungen u.a. von den Lösungsanbietern und anderen relevanten Quellen zu prüfen.

Der Fokus der Prüfung liegt v.a. auf der technischen Umsetzung der aktuell existierenden Best-Practices.

Die Prüfungen umfassen v.a. die Themenkomplexe:

• Technische Umsetzung von Best-Practices für die Härtung

• Technische Umsetzung einer sicheren Konfiguration

• Management und technische Absicherung von Schnittstellen

• Management und technische Absicherung von privilegierten Accounts (shared, dedicated)

• Usermanagement

• Patchmanagement

• Technische Umsetzung von Monitoring-/Logging-/Threat Detection-/Auditing-Aktivitäten

• Verschlüsselung

• Autorisierung

• Authentifizierung

• Sichere Datenbankadministration

• Identifizierung von bestehen Sicherheitsrisiken in Folge einer unklaren Abgrenzung zwischen zentraler Archivierungsplattform und den nutzenden Applikationen

• Identifizierung von bestehen Sicherheitsrisiken in Folge einer unklaren Abgrenzung zwi-schen zentraler Archivierungsplattform und genutzter Betriebssystemplatt-form/Infrastrukturkomponenten?

Die Überprüfung erfolgt im Rahmen von Workshops, Einzelinterviews und Systemprüfungen. Der Kunde stellt eine Begleitung durch die betroffenen Servicebereiche sicher.

Der abschließende Projektbericht

• erläutert den Prüfscope, einschließlich betrachteter Komponenten und Prozesse,

• erläutert in den jeweiligen Bereichen die Abweichungen vom verwendeten Anforderungskatalog bzw. Best-Practices/Industriestandards,

• bewertet die hieraus resultierende Schwachstellen oder Verwundbarkeiten und

• gibt Handlungsempfehlungen zur Behebung/Mitigation der Schwachstellen und Verwundbarkeiten.

Zusammenfassend sind somit durch den Auftragnehmer folgende Tätigkeiten durchzuführen:

• Sichtung der vorhandenen Dokumentation im Rahmen der Überprüfung wenn notwendig

• Durchführung von Workshops und Systemprüfungen mit relevanten Ansprechpartnern zur Identifizierung von Schachstellen und Verwundbarkeiten in den sicherheitsrelevanten Themenkomplexen

• Systematische Dokumentation der Schwachstellen und Verwundbarkeiten (technisch und prozessual) mit Risikoeinschätzung und Handlungsempfehlungen in Berichtsform

• Teilnahme mindestens eines Repräsentanten an regelmäßigen Abstimmungen zum Pr-jektstatus

• Präsentation des Zwischenstands nach ca. 75% Fortschritt des Projekts

• Vorstellung/Detailerläuterung des Berichtsergebnisses für die relevanten Bereiche und ggf. Nachbereitung der Auditergebnisse

Der Kunde wirkt wie folgt an den Tätigkeiten mit:

• Mitarbeit bei der Identifikation der relevanten Ansprechpartner

• Mithilfe bei der Terminierung notwendiger Workshops mit den Ansprechpartnern

• Bereitstellung eines zentralen Ansprechpartners der Informationssicherheitsabteilung FDI1 über die gesamte Projektlaufzeit

• Teilnahme an regelmäßigen Abstimmungen zum Projektstatus und an Ergebnispräsentationen