Hi,
Danke für Deine Antwort.
Bitte bitte.
Nie und nimmer wird man einen direkten Zugang von Außen auf
zentrale Systeme zulassen. Punkt.
Grau, mein Freund, ist alle Theorie…
Mit anderen Worten: geht nicht anders! Wird sonst zu teuer.
Bitte sag, dass das ein Witz sein soll! Du willst uns hier auf den Arm nehmen, oder? Du sagst, es ist eine europaweite Ausschreibung. D.h. der Angebotswert liegt deutlich über 200.000,00 EUR. Da sollten die Kosten eines anständigen VPN Routers nicht wirklich Bauchschmerzen bereiten.
Was „Normen“ betrifft, so sollte man das ganze konform zu dem
hoffentlich vorhandenen ISMS (nach ISO/IEC 27001) bzw. ITIL
oder ISO/IEC 20000 halten. Es ist aber wenig sinnvoll, sich
auf diese Normen zu berufen, wenn man sie selbst nicht einmal
ansatzweise umgesetzt hat. Dort wäre der Wartungszugang auch
nur Teil eines erheblich größeren Gesamtkonzeptes.
Sorry, musste grade schmunzeln… Du hast natürlich völlig
recht. Und wenn wir endlich mal die Etatverdopplung bekommen,
wird so was auch gnadenlos durchgezogen.
Das mag jetzt überraschend kommen, aber man macht sowas nicht, um Geld zu verbrennen, sondern ganz im Gegenteil, um Geld zu sparen. Das man zunächst einmal eine Anfangsinvestition tätigen muss, ist leider in den meisten Fällen unvermeidlich.
Das klingt schon mal sehr gut - allerdings für eine
Ausschreibung eigentlich schon viel zu spezifisch. Wir sind
gehalten, Funktionen zu beschreiben und nicht
Implementationen.
Dann beschreibe eben abstrakt die Funktion eines VPN Tunnels zwischen einem definierten Endpunkt außerhalb eurer Firewall mit dem Zugang zu einem isolierten Admin-Portal. Und natürlich musst Du dort dann auditierbare Logfiles erzeugen, anhand derer Du sehen kannst, was der Dienstleister wann wie gemacht hat.
Es ist auch kein Problem, wenn Du dafür keine Zeit oder im Detail das Wissen nicht hast. Dann wird halt für die Angebotsphase ein entsprechend kompetenter Berater beschäftigt.
Was sagt denn der Dienstleister selbst? Hat der keinen
Lösungsvorschlag? Das sieht mir wenig seriös aus.
Welcher Dienstleister? oO
Ausschreibung! Europaweit. Wer weiß schon, was da alles aus
den Löchern gekrochen kommt?!
Darum sollte man die RFI Phase sorgfältig planen und sich Gedanken darüber machen, was man erwartet und welche Anforderungen die Anbieter erfüllen sollen. Das geht auch im ÖD, nennt sich glaube ich Teilnahmewettbewerb oder so. Schau halt mal in die Verdingungsordnung. Anschließend erst kommt das RFQ bzw. die Ausschreibung. So sollte es jedenfalls sein, sogar bei Behörden.
Es ist übrigens durchaus nicht so, dass zwangsläufig der billigste Anbieter gewinnen muss. Allerdings musst Du gut argumentieren können, warum Du aus bestimmten technischen Gründen die teurere Lösung für die bessere Wahl hältst. Das bedeutet zusätzlichen Aufwand. Vernünftige VPN Anbindung im Vergleich zu „direkt vom Internet auf die Adminkonsole“ wäre ein möglicher Punkt, für den es sich lohnt, den Aufwand zu betreiben.
Herzlich Willkommen in der wundersamen Welt des ÖD! Und bevor
jetzt nach dem Sinn gefragt wird: Ohne Moos nix los!
Wenn ich bedenke, dass sowas bei Behörden üblich sein könnte, dann wird mir bei dem Gedanken daran, welche Daten da momentan alle von mir gesammelt werden, noch schlechter, als mir ohnehin schon war.
Gruß
Fritze
