Die bestehende Domain alpenrecht.at wird verifiziert. MX-Records werden vorbereitet (noch nicht umgestellt — das passiert erst bei der Migration).

• Domain-Verifizierung via TXT-Record beim Hoster (z.B. World4You)
• SPF, DKIM, DMARC vorbereiten
• DNS-TTL auf 300s reduzieren (für späteren Switchover)

Neuer Google Workspace Business Plus Tenant für alpenrecht.at.

• Tenant anlegen, Domain zuweisen
• Organisationseinheiten erstellen: /Büro, /Homeoffice
• Gruppen anlegen: alle@, kanzlei@, buchhaltung@
• Google Workspace Business Plus Lizenz × 6 zuweisen

• EUVIC Admin-Account: admin@alpenrecht.at (Super Admin, MFA, Recovery-Codes im Tresor)
• Kunden-Admin: gf@alpenrecht.at mit eingeschränkten Rechten (User-Verwaltung, kein Billing)
• Notfall-Recovery-Codes generieren und sicher ablegen

Google Cloud Identity wird als Identity Provider konfiguriert. MFA wird für alle User erzwungen.

• MFA-Enforcement aktivieren (Grace Period: 7 Tage ab Erstlogin)
• Erlaubte MFA-Methoden: FIDO2 Key (primär), Google Authenticator (Fallback)
• 8× FIDO2 Keys bestellen (YubiKey 5 NFC — 6 User + 2 Spare)

XplicitTrust Controller-Tenant wird eingerichtet und mit Google Cloud Identity als IdP verknüpft.

• XT-Tenant anlegen: alpenrecht.xplicittrust.com
• OIDC-Verbindung zu Google Cloud Identity konfigurieren
• Gruppenimport: Gruppen aus Google werden automatisch synchronisiert
• SSO-Login testen mit EUVIC Admin-Account

Der BMD-Server und das NAS in der Kanzlei werden als geschützte Assets im XT-Controller registriert.

• BMD-Server (192.168.1.10) — Ports: 1433 (SQL), 3389 (RDP), 443 (BMD Web)
• NAS (192.168.1.20) — Ports: 445 (SMB), 443 (Web-UI)
• Drucker/MFP (192.168.1.30) — Port: 9100 (RAW Print), 631 (IPP)

Zugriffsregeln pro Gruppe und Asset:

• Gruppe "kanzlei" (alle 6 User) → BMD-Server (Port 1433, 443), NAS (SMB), Drucker
• Gruppe "buchhaltung" (3 User) → Zusätzlich BMD-Server RDP (für Admin-Zugriff)
• Lehrling → Nur BMD Web-Interface (Port 443), kein RDP, kein NAS-Admin
• Device Posture: OS muss aktuell sein (max. 30 Tage alt), Verschlüsselung aktiv, Domain: alpenrecht.at

• DNS-Filterung aktivieren für alle verwalteten Geräte
• Kategorien blocken: Malware, Phishing, Gambling, Adult
• Whitelist: BMD-Update-Server, Steuer-Portale (FinanzOnline, USP)

Netzwerk-Hardware wird bestellt und vorab konfiguriert (Zero-Touch wo möglich).

• 1× UniFi Cloud Gateway Ultra (€110) — Router + Basis-Firewall
• 1× UniFi Switch Lite 16 PoE (€190) — Managed Switch
• 1× UniFi U6 Pro (€150) — WLAN Access Point

Netzwerk wird in 4 Segmente getrennt:

• VLAN 10 — Arbeitsplatz: Laptops der Mitarbeiter
• VLAN 20 — Server: BMD-Server + NAS (nur über XT erreichbar)
• VLAN 30 — IoT/Drucker: MFP, ggf. Telefonanlage
• VLAN 40 — Gäste: Isoliert, nur Internet

Regionaler Techniker fährt nach Wörgl. Geplanter Einsatz: 1 Tag (Freitagnachmittag für Netzwerk-Umstellung, Samstag-Vormittag für Tests).

• Alten Router durch Cloud Gateway ersetzen (Internet-Zugangsdaten übernehmen)
• Switch montieren, Patchfeld umstecken, PoE-Ports zuweisen
• Access Point montieren (Decke im Flur), Kabel zum Switch
• BMD-Server + NAS umpatchen in VLAN 20
• Drucker umpatchen in VLAN 30
• WLAN testen: SSID "Alpenrecht" (VLAN 10), "Alpenrecht-Gast" (VLAN 40)

Der Techniker installiert den XplicitTrust Asset-Agent auf dem BMD-Server und NAS. Engineering verifiziert remote die Verbindung zum Controller.

• XT-Agent auf BMD-Server installieren → meldet sich am Controller an
• XT-Agent auf NAS installieren (Synology-Paket)
• Verbindung testen: Engineering verbindet sich remote via XT auf BMD
• Alte Fritz!Box-VPN deaktivieren (wird nicht mehr gebraucht)

• NinjaOne Agent auf BMD-Server + NAS installieren
• SNMP-Monitoring für Switch + AP via UniFi Controller (Cloud)
• Alerts konfigurieren: Disk >85%, CPU >90% (5min), Offline-Alert, Backup-Fehler
• Dashboard für "Alpenrecht" in NinjaOne anlegen

• Cloud Gateway: Default Deny Inbound (kein Port-Forwarding!)
• Outbound: DNS nur über gefilterten Resolver, VLAN-Isolation durchsetzen
• VLAN 20 (Server) → kein direkter Internet-Zugang (nur Updates via Whitelist)
• DNS-Security im Gateway als zusätzliche Schicht

• 6× Lenovo ThinkPad L14 Gen 5 (i5, 16GB, 256GB) — €620/Stk = €3.720
• 2× USB-C Docking Station für Büro-Arbeitsplätze mit externem Monitor
• Geräte werden im EUVIC-Büro Wien entgegengenommen und vorbereitet

Alle 6 Laptops werden in Google Endpoint Management enrollt.

• Windows Autopilot Profile oder manuelles Enrollment (je nach Gerät)
• Google Credential Provider installieren (Login mit Google-Account)
• Policies: BitLocker-Verschlüsselung erzwingen, Bildschirmsperre nach 5 Min
• Software-Baseline: Chrome, BMD NTCS Client, PDF-Reader, Google Drive for Desktop
• Windows Update Policy: Automatisch, max. 7 Tage Verzögerung

• XplicitTrust Agent auf allen 6 Laptops installieren
• Agent wird via MDM-Policy automatisch deployed
• Funktionstest: Jeder Laptop baut E2E-Tunnel zum BMD-Server auf
• DNS-Filterung via XT-Agent aktiv (auch außerhalb des Büronetzwerks)

• Bestehender MFP (Kyocera) bleibt, wird auf VLAN 30 umgehängt
• Drucker als XT-Asset erreichbar machen (für Homeoffice-Druck via IPP)
• Alternativ: Google Cloud Print Nachfolger oder lokaler Druck nur im Büro
• Scan-to-Mail konfigurieren → scans@alpenrecht.at (Shared Drive)

• gf@alpenrecht.at — Kanzleiletung (GF), Gruppe: kanzlei, buchhaltung
• m.huber@alpenrecht.at — Steuerberaterin, Gruppe: kanzlei
• s.berger@alpenrecht.at — Buchhalterin (Büro), Gruppe: kanzlei, buchhaltung
• lehrling@alpenrecht.at — Lehrling, Gruppe: kanzlei (eingeschränkt)
• k.moser@alpenrecht.at — Lohnverrechnerin (Homeoffice), Gruppe: kanzlei, buchhaltung
• a.winter@alpenrecht.at — Buchhalterin TZ (Homeoffice), Gruppe: kanzlei, buchhaltung

E-Mails vom alten lokalen Exchange werden nach Gmail migriert.

• Google Workspace Migration Tool (GWMT) einsetzen
• Alle Postfächer migrieren: E-Mails, Kalender, Kontakte
• Migration startet Freitagabend, läuft über das Wochenende
• MX-Records Montagfrüh umstellen → neue Mails kommen direkt in Gmail
• Alten Exchange noch 2 Wochen parallel laufen lassen (Catch-All)

• Gemeinsame Dateien vom alten Fileserver → Google Shared Drive "Kanzlei"
• Persönliche Ordner → jeweiliges My Drive
• Archiv-Daten (>2 Jahre alt) bleiben vorerst auf dem NAS (XT-geschützt)
• Google Drive for Desktop auf allen Laptops für Offline-Zugriff

Am Montag (Go-Live Tag) übergibt der Techniker jedem Mitarbeiter persönlich den YubiKey.

• 6 personalisierte YubiKeys (Name beschriftet)
• Jeder Mitarbeiter registriert seinen Key direkt am eigenen Laptop
• Backup: Google Authenticator als zweite MFA-Methode auf dem Handy
• 2 Spare-Keys bleiben im Büro-Tresor (für Verlust/Neustart)

Alle 4 Büro-Mitarbeiter bekommen eine 90-Minuten-Einweisung vor Ort.

• Neuer Laptop: Einschalten, Login mit Google-Account + YubiKey
• Gmail, Calendar, Drive, Meet — Kurzüberblick
• BMD starten: „Funktioniert wie vorher, aber jetzt von überall"
• Drucker: Drucken, Scannen → E-Mail
• Helpdesk-Nummer + E-Mail erklären: „Eine Nummer für alles"

Die 2 Homeoffice-Mitarbeiterinnen bekommen ihre Laptops per Post + eine 45-Minuten-Einweisung via Google Meet.

• Laptop auspacken, einschalten, Google-Login + YubiKey
• XT-Agent ist bereits installiert → „BMD funktioniert einfach"
• Kein VPN-Client, kein Port-Forwarding, keine Konfiguration nötig
• Test: BMD öffnen, Beleg buchen, Datei auf NAS speichern
• Drucken: Via XT auf den Büro-Drucker oder lokal auf eigenen Drucker

• NinjaOne: Alle 8 Geräte online (6 Laptops + BMD-Server + NAS)
• UniFi Dashboard: Switch, AP, Gateway — alles grün
• Google Workspace Backup: Tägliche Sicherung aller Postfächer + Drives aktiv
• BMD-eigenes Backup: Täglich auf NAS + wöchentlich in Google Cloud Storage
• Test-Restore durchführen: Eine E-Mail + ein BMD-Mandant wiederherstellen

• SLA-Vertrag: Reaktionszeit 4h (Bürozeiten), NBD für Vor-Ort
• Helpdesk-Nummer + E-Mail an alle Mitarbeiter kommuniziert
• Ticket-Adressen: support@euvic-it.at / Tel: gemeinsame Nummer
• Eskalationspfad: L1 Remote (Helpdesk Wien) → L2 Engineering → Vor-Ort (Techniker Tirol)

• Verzeichnis der Verarbeitungstätigkeiten aktualisiert
• Auftragsverarbeitungsverträge: Google (Workspace), XplicitTrust, NinjaOne
• Technische & organisatorische Maßnahmen (TOMs) dokumentiert
• Datenschutzfolgenabschätzung: Nicht erforderlich (keine Hochrisiko-Verarbeitung)

Abschlussdokument für den Kunden:

• Netzwerkplan (VLANs, IPs, Hardware-Standorte)
• Account-Übersicht (wer hat welche Rechte)
• XT-Policy-Matrix (wer darf auf was zugreifen)
• Notfall-Kontakte + Recovery-Prozedur
• Lizenz-Übersicht + nächstes Verlängerungsdatum
• Erster Quartals-Review: Termin in 3 Monaten fixiert