Bnce

Vielen Vielen Dank für den Rat, das Video werde ich mir direkt anschauen

Hallöchen, ich bin aktuell noch reichlich mit meiner Projektdokumentation beschäftigt. Da es seitentechnisch aktuell "knapp" wird, frage ich mich, ob man nicht sämtliche Screenshots aus der Durchführungsphase auch einfach in das Abbildungsverzeichnis packen kann? Ich habe nämlich noch genug Inhalt, den ich abtippen kann, diesen muss ich aber aufgrund der ganzen Screenshots stark kürzen und einiges auch leider ganz weglassen. In einigen älteren Foreneinträgen im Internet habe ich dazu bestätigende Aussagen gelesen, diese waren aber wie bereits erwähnt deutlich älter von 2000-2008. Unsere IHK vor Ort gibt leider kaum nützliche Infos preis. Wir können da schon froh sein, dass wir wissen, dass in Arial 12 geschrieben werden soll (wenn es nicht so traurig wäre, würde ich tatsächlich lachen)! Hat hier der ein oder andere eventuell eine Antwort oder Einschätzung parat? Wäre sehr dankbar!

Du meinst wirklich die Zeitplanung innerhalb des Projekts oder der Zeitraum der Projektdurchführung?

Risikoanalyse habe ich tatsächlich gar nicht in meinem Projekt eingeplant.

Danke dir für den Tipp mit Phillipi. Die Playlists werde ich mir reinziehen - 2 Monate habe ich noch und in der Berufsschule nicht alles optimal vermittelt bekommen und in der Praxis auch natürlich nicht alles schon gemacht in den 2,5 Jahren bisher.

Hallo zusammen, mein Projektantrag wurde letzte Woche glücklicherweise genehmigt. So weit so gut - erste Hürde überwunden. Nun will ich mich auf mein baldiges Projekt vorbereiten damit ich weiß, was alles in die Doku kommt etc. Im Rahmen dessen habe ich mir einige Beispieldokumentationen im Internet angesehen, wobei mir folgende Frage in den Sinn kam: Wie genau nimmt die IHK die Formulierungen des Projektantrags bzw. des Zeitplans? Beispiel (damit es besser zu verstehen ist): Im Projektantrag steht im Laufe der Planung der Begriff "IST-Analyse". Ich nenne es in der Doku aber um in Beschreibung des IST-Zustandes. Ja, klingt erstmal nicht wild, aber ich kann die IHK da echt nicht einschätzen und würde es gerne vermeiden, anhand solcher kleinen Dinge potentiellen Punktabzug zu riskieren. Wie würdet ihr das bewerten? Hat man in der Doku gewissen Spielraum, auch wenn man im Endeffekt merkt: "Hey, das würde so aber besser passen"? Kann man gewisse Änderungen vornehmen, die man erst im Laufe der tatsächlichen Doku dann erst als notwendig wahrnimmt? Klar, streichen werde ich nichts von meinen genannten Punkten, dass das schlecht kommt ist mir bewusst. Danke im Voraus!

In Bezug darauf, dass es sich um Kennwörter handelt und daher um Datenschutz? Die ISO ist ja jetzt kein Thema mehr.

Ich habe meinen Antrag nun einmal komplett überarbeitet und die ISO-Thematik rausgelassen, um auf Nummer sicher zu gehen. Klar, es muss dennoch erfüllt werden, aber das lasse ich dann aus dem Projekt raus. Auch den Zeitplan habe ich überarbeitet. So nun besser? IHK-Projektantrag 1. Bezeichnung der Projektarbeit Evaluierung, Integration und Konfiguration eines Kennwortmanagers 1.1 Geplanter Bearbeitungszeitraum Beginn: 01.03.2024 Ende: 01.04.2024 2. Projektbeschreibung IST-Zustand Aufgrund der intensiven Nutzung zahlreicher Anwendungen und Dienste innerhalb der IT-Abteilung entsteht eine Vielzahl an Kennwörtern, welche von IT-Mitarbeitern regelmäßig abgerufen und genutzt werden müssen. Die aktuelle Situation hierbei sieht so aus, dass zu verwendende Kennwörter innerhalb einer lokalen KeePass-Datei auf einem der vorhandenen Fileserver abgespeichert sind. Dabei ergeben sich mehrere Probleme. Einerseits kann so immer nur ein Mitarbeiter zur gleichen Zeit auf die Kennwörter zugreifen, dadurch wird die Effektivität im Arbeitsalltag erheblich eingeschränkt. Ein weiteres Problem, welches dadurch auftritt, ist der eingeschränkte Zugriff. Dieser ist außerhalb des Fileservers nicht vorhanden, der Zeitfaktor bei Verwendung der Kennwörter erhöht sich dadurch erheblich. Zusätzlich fehlt innerhalb der aktuellen KeePass-Lösung ein User-Management, dieses fehlt gänzlich. Eine Optimierung ist auch hier dringend notwendig, da nicht jeder IT-Mitarbeiter von Beginn an auf jedes Kennwort zugreifen soll – dies stellt ein enormes Sicherheitsrisiko dar, vor allem in Bezug auf neu eingetretene Mitarbeiter und Auszubildene oder Praktikanten. SOLL-Konzept Das Ziel soll daher sein, einen Kennwortmanager zu evaluieren und zu integrieren, welcher die gewünschten Anforderungen bezüglich der Optimierung des IST-Zustandes erfüllt und somit für eine effizienteren und sichereren Umgang mit Kennwörtern sorgt. Folgende Anforderungen wurden hierzu im Rahmen der Optimierung gesammelt: - Verwendung einer On-Premise-Lösung, welche innerhalb einer virtuellen Maschine gehostet werden soll - Clientseitige Verwendung der angelegten Kennwörter abseits der virtuellen Maschine - Konfigurierbares User-Management zur Verwaltung von Zugriffsrollen Um den Prozess effektiv und kostengünstig zu gestalten, werden hierbei verschiedene Angebote innerhalb einer Nutzwertanalyse evaluiert und neben den bereits genannten Anforderungen zusätzlich in Bezug auf Preisgestaltung, sonstige Funktionalitäten und Erweiterungspotential verglichen. Nach Auswahl und Beschaffung einer entsprechenden Lösung erfolgt die Integration innerhalb der IT-Abteilung. Hierzu wird eine virtuelle Maschine erstellt. Nach Installation des Kennwortmanagers wird dieser entsprechend konfiguriert. Daraufhin wird eine User-Verwaltung inklusive Zugriffsrollen so angelegt, dass diese die abteilungsinternen Anforderungen erfüllt. Nach erfolgreicher Umsetzung wird das Projekt in die Anfertigung einer Anleitung einer darauffolgenden Schulung für die Mitarbeiter der IT-Abteilung münden. 2.2 Projektumfeld Die X beschäftigt aktuell über X Mitarbeiter an X Standorten und ist ein Unternehmen für X. Die IT-Abteilung der X fungiert hierbei als zentrale Einheit, die technologische Lösungen bereitstellt, um die Abläufe in verschiedenen Abteilungen zu unterstützen. Hierzu befinden sich an allen vorhandenen Standorten diverse Server, darunter Domänencontroller, Fileserver, Printserver, Firewalls, DNS- und DHCP-Server. Einen wesentlichen Kernaspekt stellen hierbei die zentralen Server innerhalb eines Rechenzentrums dar, welche als zentrale Knoten fungieren. Die Integration selbst erfolgt innerhalb einer zu erstellenden virtuellen Maschine. Den Auftraggeber des Projektes bildet die Abteilungsleitung der IT ab. Das Projekt wird abteilungsintern durchgeführt, zusätzliche externe Schnittstellen werden durch den Software-Anbieter des zu integrierenden Passwortmanagers abgebildet. Die spätere Nutzung des Passwortmanagers erfolgt durch die Mitarbeiter der IT-Abteilung. 2.3 Projektphasen mit Zeitplan Projektphase ------------------------------------------------------------------------------------- Zeitaufwand Planungsphase ----------------------------------------------------------------------------------------------- 8 h Projektdefinition & Teamabsprache 1h IST-Analyse – 2h SOLL-Konzept – 2h Erstellung eines Lasten- und Pflichtenhefts – 3h Evaluierungsphase ------------------------------------------------------------------------------------------ 7 h Recherche nach Softwarelösungen – 2h Evaluierung/Auswahl der Software – 3h Beschaffung der Software – 1h Kalkulation der ausgewählten Software – 1h Realisierungsphase ---------------------------------------------------------------------------------------- 11 h Einrichtung eines virtuellen Servers – 3h Installation der Software – 1h Konfiguration der Software – 3h Anfertigung des User-Managements inkl. Zugriffsrollen – 2h Testdurchführung – 2h Abschlussphase ----------------------------------------------------------------------------------------- 14 h Schulung inkl. Erstellung der Schulungsdokumente – 4h Erstellung der Dokumentation – 8h SOLL-IST-Vergleich – 2h Gesamt --------------------------------------------------------------------------------------------------------- 40 h 3. Dokumentation zur Projektarbeit - Nutzwertanalyse - Lasten- und Pflichtenheft - Nutzwertanalyse & Kostenkalkulation (Evaluierungsphase) - Anleitung zu Schulungszwecken der Mitarbeiter

Naja, die ISO muss der Passwortmanager so oder so erfüllen, daher fände ich es schwachsinnig, es einfach rauszulassen, da ich da so oder eben drauf achten muss bei der Produktauswahl.

OK aber das geht doch noch? Natürlich bereite ich mich dann entsprechend vor. Ich brauch mir aber denke ich keine Sorgen machen, dass die Prüfer am Ende Informationen haben wollen, die es in der ISO selbst nur zu erwerben gibt? Ich tue mich da echt schwer, das einzuschätzen. Aber wenn es nur um das drumherum geht, dann ist es reine Vorbereitungssache in meinen Augen.

OK - müsste ich dann mit meinem Ausbilder noch abklären, natürlich könnte man direkt einen virtuellen Server aufziehen, der dann auch final genutzt wird. Ich würde auch gerne bei der Norm bleiben, Problem ist allerdings, dass ich keinerlei Einsicht in diese habe. Mein Unternehmen will nach der ISO 27001 zertifiziert werden und dementsprechend soll die Software beschafft werden, die das bietet. Auswahl, Integration, Konfiguration und Schulung liegt dann natürlich bei mir - aber wenn die Prüfer dann von mir exakt wissen wollen, was in der ISO geschrieben steht, wirds schwierig. Edit: Wenn es aber im Fachgespräch dann in Richtung Kryptographie gehen würde, wäre das natürlich kein Problem. Da hänge ich mich dann natürlich entsprechend fachlich rein um fit zu sein.

Wäre das Thema noch anspruchsvoll genug, wenn ich die DIN-Norm rauslasse? Falls nein: Wie würde es aussehen, wenn ich noch das Aufsetzen eines virtuellen Testservers mit einbeziehe, auf welchem die Datenbank der Softwarelösung dann integriert wird?

Möchten denn noch andere Personen in diesem Forum ihre Meinung zu meinem Projektantrag abgeben? Ich wäre echt dankbar!

Wie gut sollte man in dem Thema denn sein? Natürlich kenne ich die Bestandteile der ISO nicht auswendig, weiß aber dass hinsichtlich dieser die Verschlüsselungsverfahren des Passwortmanagers essentiell sind, und dass ich diese auch für das Fachgespräch und generell das Projekt drauf haben muss. Natürlich könnte ich die ISO auch rauslassen - aber wäre das Projekt dann nicht zu anspruchslos? Man soll ja auch IT-Kenntnisse mit einbringen. Vorgestellt hatte ich es mir so: Bei der Beschaffung genügt es ja, dass die Softwarelösung die entsprechende Zertifizierung besitzt - ist Auswahlkriterium. In der Doku hingegen wäre ich dann genauer auf die Verschlüsselungsverfahren eingegangen, welche verwendet werden und warum diese wichtig sind.