aka13

Danke nochmal, du machst mir definitiv Mut und Hoffnung. Ich denke ich bin jetzt bestens bewaffnet für ein umschreiben des Antrags heut Abend. Was du mit SSO usw erwähnst ist auch in meinen Augen wichtig, aber parallel zum Passwortmanager. Ich würde die nicht als konkurierende Ansätze sehen, genau so wie ein Cloud-Basierter manager den man nicht onprem hostet immernoch ein Manager mit Client-Server-usw, ist klar. Aber ich verstehe nun endgültig, was du vorher meintest, dass das Thema ja dann ein anderes ist, und du dann den PW-Manager als Teillösung eines gesamtkonzeptes des cred-managements siehst. Wirklich vielen herzlichen Dank für die Zeit die du für die Antworten geopfert hast, das ist mehr als meine Schule und mein AG zusammen mir dediziert haben

Vielen Vielen Dank für die letzten zwei Posts! Das macht vieles klarer. Insbesondere spannend ist das ganze aus der Prüfersicht. Ich bin tatsächlich der ausschweifende Typ, da komm ich nicht drumrum, tut mir Leid . Ich habe das Ding so wage formuliert, weil ich dachte, dass das eben dazu gehört, zumindest habe ich das so von meiner Schule mitgegeben bekommen- ich soll im Projekt eine Lösung finden, und ich kann dann ja entsprechend auf der Antragsebene nur vermuten, was mich erwartet - sonst habe ich ja dann mit dem Projekt schon begonnen. Das was ich unter "Bürokratisierung" meine ist genau das, was beim Projektthema @ickevondepinguin geschrieben hat - Ob es daran liegt, dass Deutsch nicht meine Muttersprache ist weiss ich nicht, ich verstehe aber beim besten Willen nicht, wo der Unterscheid sein soll zwischen meiner Themenwahl und "Zentralisierung und Managment von Zugangsdaten" - es sind im besten Fall 10 Minuten weitergedacht, dass man beim Zentralisieren von Passwörtern anstatt von Listen, Brieftauben, versteckten Briefen die abgeschlossen werden, selbst auf Familienebene dann zu einem Passwortmanager greift. Ich wäre aus meinen eigenen geistigen Kräften nicht darauf gekommen, dass es für einen Prüfer einen Unterschied ausmacht, und dass dabei jegliche Tiefe dazukommt, als wenn man direkt sagt, dass man einen Psaswortmanager auswählt. Im gleichen Zusammenhang verstehe ich nicht, wie dann der Rest des Antrags gestaltet werden kann - wenn ich denn sage, dass ich mir erst überlegen WERDE, wie ich die Zugangsdaten zentralisiere und Verwalte, wie kann ich im Voraus wissen, welche Schritte ich dann weiter unternehmen werde im Laufe meines Projekts? Dann kann ich ja wenig bis gar nicht die Arbeitspakete detalisieren. In allen "Musteranträgen" die uns die Schule bereitgestellt hat ist es aber immer eine recht detaillierte A4 seite. Ich hätte meinetwegen nie die Arbeitspakete so ausgeschrieben, wenn ich diese Vorgabe nicht hätte. Zu den Entscheidungsfindungen - ich dachte, diese kommen weiter, erst im Projekt selbst, und nicht schon im Antrag. Soll ich dann im Antrag schon die wahl der Standby-Art begründen? Selbiges zum Schutz und Sicherheit - die Analyse, was, wie und warum ich schütze habe ich für die Projektdoku gelassen. Hätte das auch schon im Antrag passieren sollen? Da würde aber auch dann meines Erachtens ja bereits eine Wahl bedeuten, denn ich muss ja wissen, wie die gewählte Lösung architekturtechnisch aufgebaut ist, damit ich Maßnahmen ergreife, das Ding zu schützen - es ist ein ganz anderes Thema, ob das ein Zero-Knowledge-Architektur ist, bei der ich mich um einen DB-Verlust mir keine Sorgen machen muss, oder eben nicht. Zu ENtscheidungsfindung - es kam mir vor, das mein Antrag sich genau darum dreht, wie ich die Lösungen finde. Danke für die Hinweise, dass es nur mir so vorkam Ja, aber es ist nicht der Fall. Ich habe nur schon zwei Ticketsysteme hier ausgerollt, und dafür nen Reverseproxy aufgesetzt, und ich weiss schon sehr genau, was ich für weitere neue Services machen werde. Interner DNS-Reverseproxy-Service werden für alle Services gültig sein. Es sieht aber tatsächlich doof aus, aus dieser Richtung habe ich gar nicht gedacht. Selbiges gilt wohl zum VM aufsetzen, habe ganz am Anfang für das Unternehmen Ubuntu-Templates angelegt um ein Mindestmaß an Standartisierung zu gewährleisten Das heisst, um mit meinem sinnentlosten emotionalen Geschwafel zum Punkt zu kommen: Ich habe mit meinem Chef geredet, alternativ könnte ich auch ein Monitoringsystem wählen und aufsetzen, aber es kommt auf dasselbe dann hinaus - ihr und der Prüfer werden mir sagen, keine Tiefe, ist ein Arbeitsauftrag . Bin mir immernoch nicht sicher, ob ich einen Themensprung wage aus den oben genannten Gründen. Oder ich bleibe bei meinem Passwortmanager: Bevor ich es hübsch ausschreibe, ein Sanity-Check euererseits wäre sehr lieb. 1. Da Projektthema wandelt sich - es ist nun statt "Auswahl eines Passwortblabla" dann "Zentralisierung des Zugangdatenmanagements". 2. Kurzform der Aufgabenstellung wird dann umgeschrieben, dass nach "Möglichkeiten zur Zentralisierung der Verwaltung" gesucht wird. 3. Ist-Analyse erweitere ich mit konkreten Schmerzen, die die Abteilung hat, so wie es früher war, was gerade schief läuft, und warum das nicht so passt, wie es ist. Ich ärgere mich ziemlich, dass ich da auf die Schule gehört habe, und es gestrichen hatte 4. Soll-Konzept erweitere ich mit "Was wollen wir denn eigentlich erreichen, und wie soll das ganze sicher bleiben mit einer Mikro-Datenschutz-Analyse, wie es in Ordnung ist, und wie nicht. Auch eine Mikrobegründung dann zum Backup, Cold Standby? 5. Durchführung werde ich drastisch reduzieren, und mehr Wert auf "gröbere" Schritte legen. 6. Zeitplan wie er jetzt ist geht in den Müll. Von der Länge her auf die Hälfte reduzieren. Lasten-Pflichtenhefte gehen raus, da interner Kunde(?), 10h ursprüngliche Research, zusammenstellen von Anforderungen, 20h Umsetzung, 10h Abschluss mit Doku und Abnahme. Kommt das grob hin?

Das ist schon viel konstruktiver, danke. Bis auf die Welt der IHK, in der ich erst seit Kurzem dabei bin, ist ein Arbeitsauftrag für mich ein Ausgangspunkt für ein Projekt gewesen, a la gängiger Definition: "Ein Projekt ist ein zielgerichtetes, einmaliges Vorhaben, das aus einem Satz von abgestimmten, gesteuerten Tätigkeiten besteht und durchgeführt werden kann, um unter Berücksichtigung von Vorgaben wie etwa Zeit, Ressourcen (zum Beispiel Finanzierung bzw. Kosten, Produktions- und Arbeitsbedingungen, Personal und Betriebsmittel) und Qualität ein Ziel zu erreichen." Der Arbeitsauftrag war in dem Fall, "Überlege dir, wie wir unsere Passwortverwaltung zivilisiert gestalten können". Mein Projekt ist entsprechend die Recherche, was denn überhaupt gewünscht ist an Funktionalität, was es so alles gibt, das diese Anforderungen abdeckt, auswählen, ggf. support/lizenzkosten budgetieren, falls gar keine freie (frei wie Stallman-frei) Software findet, überlegen, wie man es am besten in bestehender Infrastruktur deployed und eingerichtet kriegt, einrichten, sicherungen, cold-standby, schulung, doku. Das kommt mir unironisch wie ein Projekt vor. Das Problem, dass das Unternehmen es nicht schafft, die Passwortverwaltung zu organisieren, und dafür rudimentäre Tools aus dem Endanwenderbereich auf Abteilungen versucht zu dimensionieren. Offensichtlich funktioniert das nicht gut. Was genau die Probleme sind, hatte ich in einer früheren Version des Antrags recht ausführlich beschrieben, wurde mir aber von meiner Schule abgeraten, da "Das ist IST-Analyse und gehört in die Projektarbeit selbst". Hatte ich lustigerweise ursprünglich auch drin, wurde mir aber ebenfalls von der Schule abgeraten. Die Begründung war "Wenn das Lastenheft nicht ganz im Anhang ist, und extern bereitgestellt, braucht man es gar nicht haben, ist dann unseriös". Würdest du es genau umgekehrt sehen, dass ich es lieber mit dem Auftraggeber gemeinsam erarbeiten soll? Ich habe für andere Services die ich hier eingerichtet habe die Geschichte durchgeführt. Klar, der eigentliche Eintrag im Microsoft-DNS ist 30 Sekunden, aber die logistik drumherum mit neuer Zone, Hauptadmin abfangen, Termin vereinbaren, dokumentieren sind schon ne halbe Stunde gewesen. Gern werf ich es raus, da mir die 30 Minuten definitiv noch an anderen Stellen fehlen. Ja, ist mir auch nachm Senden aufgefallen. Gemeint war natürlich im zweiten Eintrag die Einrichtung des physischen Standbys. Der braucht ja natürlich auch ein Betriebssystem, entsprechende Konfiguration, usw usf. Definitiv ein Cold-Standby. Der muss jedoch ab und zu auf den aktuellen Stand gebracht werden können, durch einen fachkundigen Dritten, der einfach einen "auf-den-stand-bringen"-Knopf drücken soll. Aktuell sehe ich es als ein bash-script, das mithilfe von z.B. rsync und anderen hilfstools die Konfiguration und die DB rüberziehen soll. Mir gefällt die Bürokratisierung meines Projektes auch nicht, aber ich weiss sonst nicht, was ich machen soll. Radikal Thema wechseln? Ist ja offensichtlich, dass es dann zwar kein "künstlcihes" Projektthema sein wird, aber definitiv viel synthetischer als jetzt. Ich mache mir Sorgen, dass wenn ich solch einen Themensprung unternehme, der Prüfungsausschuss es mir wieder absagt. Mein Praktikum geht ja nur noch bis zum 03.11, nehmen wir an eine Woche Bearbeitungszeit, wird recht eng für Diskussionsversuche. Ich kann mich nicht entscheiden, was ich weniger mag - synthetisch ein anderes Thema rauskotzen, oder Bürokratisierung diesen Themas riskieren.

Ich bedanke mich für die Antworten. Scheinbar findet wohl die IHK was anderes anspruchsvoll als ich, dann soll es so sein. Ist ja auch in der Ausbildung so, dass schlecht bezahlter undankbarer AD-Quatsch und Subnetze im Kopf rechnen und RAID-Rechnen geschult und abgefragt wird. Ich fokussiere mich dann einfach vermehrt auf die Schutzbedarfsanalyse, und spiegele es in der Planung/später in der Dokumentation.

Hallo an alle, ich bin hier im Forum seit einer gewissen Zeit stiller mitleser gewesen. Nun ist die Zeit gekommen, auch aktiv zu werden. Ich bin gerade in den letzten Zügen meiner Umschulung zum FiSi und stehe vor meinem Projektantrag. Ich komme aus dem SaaS-Umfeld und habe bereits berufliche Erfahrung. Überraschend für mich wurde mein Projektantrag abgelehnt, und ich kann mit dem Kommentar seitens des Prüfungsausschusses nichts anfangen. Ich habe nun bis zum 02.10 Zeit, diesen zu korrigieren und neu einzusenden. Den Antrag in pdf-Form habe ich diesem Post angehängt. Folgenden kommentar hat der Prüfungsausschuss dazu gegeben: Für mich selbst in Retrospektive ist offensichtlich, dass die 3,5h für die Dokumentation natürlich zu wenig sind, und die werde ich eher richtung 6-8h ansetzten. Die Ziele werde ich wahrscheinlich präzisieren, indem ich einen Bezug auf "Durchführung in restlicher praktikumszeit, parallel Tagesgeschäft, 40h" nehme. Bei Kosten werde ich wohl schon im Antrag dann eine kleine Rechnung und Budgetierung machen müssen? Bei Qualitätszielen kann ich mir leoder nichts vorstellen. Schutzbedarfs/Sicherheitsanalyse-vermerk ist mir leider auch unklar. Ich erwähne sowohl in der Durchführung, als auch in der Zeitplanung, dass ich eine Schutzbedarfsanalyse durchführe. Ist die zu kurz angesetzt? Der Leitfaden, der hier verfügbar ist, habe ich eigentlich recht nah zum Herzen genommen, und meinen Antrag daran gestaltet. Ich habe schon Testweise für mich selbst mal so eine Auswahl und implementation Zuhause oberflächlich in n paar Stunden durchgespielt, ich würde Vaultwarden empfehlen, eine Ubuntu-VM aufsetzen, einen Compose schreiben für nginx-vaultwarden-fail2ban oder crowdsec usw, das Ding konfigurieren, dann wahrscheinlich rsync-jobs fürs backuppen erstellen, und dann einen kleinen physischen Server aufsetzen, der über rsync compose, configs und db abholen und ausrollen kann. Dazu dann oben Drauf entsprechend Lasten-Pflichtenheft + User/Admindoku + Mikroschhulung für Anwender. Ist für 40 Stunden recht sportlich, aber imo machbar. Ich hoffe, ich werde nicht nachher durch den Ausschuss abgeschossen, weil ich den Antrag hier gepostet habe. Wenn jemandem auffallen sollte, dass ich zu wenig unkenntlich gemacht habe, bitte gerne melden. Ansonsten freue ich mich über jegliches Feedback. Einen vollen Themensprung würde ich gerne vermeiden/kommt beim Ausschuss vermutlich ehe nicht gut an. Ratschläge zur Umsetzung der Ausschuss-Kommentare würden mich sehr freuen. Mit freundlichen Grüßen, AK. Projektantrag_unkennt.pdf