HAL_9000

Danke für die Rückmeldung und viel Erfolg!

Hallo zusammen,
heute kam die Bestätigung der IHK, dass mein Projektantrag genehmigt wurde. 🙂 Die Erleichterung und Freude sind groß! Vielen Dank an alle, die mich mit Ihren wertvollen Ratschlägen und hilfreichen Hinweisen zur Antragstellung unterstützt haben. Jetzt freue ich mich darauf, mit der Projektarbeit loslegen zu können!

- Aufgabenstellungen richtig lesen - Manchmal beantworten Fragestellungen andere Aufgaben und/oder haben gewisse verstecke Fallstricke, die nur durch genaues Lesen erkennst
- Bei jeder Frage irgendwas hinschreiben - alles ist besser als ein leeres Textfeld, im Zweifel gibt es Teilpunkte
- erst die einfachen/schnellen Sachen machen, schweres/komplexes am Schluss
- nur machen, was die Aufgabenstellung erfordert - Bei "Nennen sie ABC" nennst du ABC. Punkt. Keine Beschreibung, was ABC macht, wenn es nicht explizit gefordert ist
- entspannt in die Prüfung gehen - Du gewinnst nichts, wenn du bis eine halbe Stunde vor der Prüfung noch lernst, das bleibt meistenns nicht hängen, den Tag vor der Prüfung legst du einfach die Füße hoch und machst nichts

Hallo Zusammen,
Ich bereite gerade einen Projektantrag für die IHK Darmstadt Rhein Main Neckar vor. Der Antrag hält sich, was die Länge und Struktor angeht, an den Vorgaben der IHK Darmstadt. Darüber hinaus sind die Vorgaben der FIAusbV § 20 im Projektantrag abgebildet.
Über Rückmeldungen bin ich dankbar. 🙂
 
1         Thema der Projektarbeit
Entwicklung von Optimierungsmaßnahmen zum Schutz von Informationswerten im Rahmen des TISAX-Prüfungsverfahrens
Was ist zu tun?
Ermittlung und Vergleich von verschiedenen TOMs Entwicklung eines Maßnahmeplans Umsetzung von Schutzmaßnahmen unter Berücksichtigung technischer, wirtschaftlicher und qualitativer Aspekte Wofür?
Sicherung von Informationswerten Management von Cyber Security Bedrohungen  
2         Geplanter Bearbeitungszeitraum
Beginn:              Datum Projektgenehmigung durch IHK Prüfungsausschuss (Einreichung ab dem ab dem 02.01.2025 möglich. Spätester Einreichungstermin  ist der 01.02.2025))
Ende:                 Datum Abgabetermin (vorgegeben durch die IHK Darmstadt)
Möglicher Bearbeitungszeitraum laut Kursplan
02.01.2025 – 26.02.2025
Projektplanung Ist-Analyse Bedarfsanalyse 20.03.2025 – 09.04.2025
Nutzwertanalyse Maßnahmeplanung Projektdokumentation und -Übergabe  
3         Ausgangssituation
Die #### GmbH ist Teil der #### Firmenfamilie mit insgesamt ca. 3500 Mitarbeitern in unterschiedlichen Gesellschaften. Die Gesellschaft hat ihren Firmensitz in ####. Die #### ist die Konzernmutter, die Tochtergesellschaften unterteilen sich in Markt- und Liefereinheiten. Der #### als Markteinheit mit ca. 35 Mitarbeitern kommt die Aufgabe zuteil, die zentral erbrachten Dienstleistungen aus dem sogenannten ##### als Standardprodukt am Markt anzubieten.
Durch Kundenanforderungen hat die Geschäftsführung der #### entschieden, ein TISAX-Label anzustreben. Mit diesem Label soll sowohl gegenüber den Kunden als auch konzernintern zukünftig ein Qualitätsnachweis erbracht werden. Auf Grundlage des ISMS der #### sowie des DSMS der #### möchte sich die #### kontinuierlich verbessern.
Im Rahmen dieses Prozesses setzt die Projektarbeit an. Es sollen die mit dem TISAX-Prüfungsverfahren verbundenen neuen Herausforderungen und Erwartungshaltung von Kunden, vor allem aus der Automobilbranche, praktisch umgesetzt werden. Der Fokus liegt dabei auf das Kapitel 5 des Information Security Assessments (ISA) der VDA: IT Security / Cyber Security. Dieses Kapitel wiederum unterteilt sich in 13 weitere Abschnitte. Die dort erwähnten Anforderungen werden durch vorgegebene technische Rahmenbedingungen (TISAX-Framework), spezielle Kundenanforderungen vor allem - aber nicht ausschließlich - aus der Automobilindustrie, geänderte Sicherheitslagen, neue Funktionalitäten und ähnliches bestimmt.
Der Projektantragsteller ist dem Country Security Manager (CSM) unterstellt. Der CSM ist der Informationssicherheitsbeauftragte der ####. Er berät die Geschäftsführung bei der Wahrnehmung deren Aufgaben bezüglich Informationssicherheit und Datenschutz und unterstützt bei der Umsetzung. Der CSM ist in seiner Rolle organisatorisch direkt der Geschäftsführung unterstellt. Der CSM hat das Zutrittsrecht zu allen Betriebsbereichen und ist befugt, IT-Komponenten und/oder IT-Anwendungen vorübergehend stillzulegen und Informationsverarbeitungen zu untersagen, wenn die Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit, Authenzität) bzw. der Datenschutz gefährdet ist.
Der notwendige Datenaustausch für den Geschäftsbetrieb und die Kundenkommunikation erfolgt über Kanäle wie E-Mail, Portale, Sharepoints und Cloudlösungen. Neben der Prozess-Sicherheit spielt auch die Informationssicherheit eine wichtige Rolle, um Daten vor Angriffen zu schützen, die Kommunikationssysteme stören könnten. Informationssicherheitsmanagementsysteme sorgen dafür, dass Informationen sicher und ohne Beeinträchtigung ankommen. Informationssicherheit umfasst mehr als nur technische Infrastruktur, sie sichert den gesamten Informationsfluss unter Berücksichtigung aller Risiken.
In der Automobilindustrie müssen Produktdaten, Konstruktionszeichnungen und Softwarearchitekturen zwischen allen Beteiligten der Wertschöpfungskette ausgetauscht werden. Um Risiken wie Datendiebstahl und Hackerangriffe zu begegnen, sind geeignete Schutzmaßnahmen notwendig. Die Digitalisierung von Geschäftsprozessen über Unternehmensgrenzen hinweg erfordert ein einheitliches Informationssicherheitsniveau aller Beteiligten, das zuverlässig funktionieren muss.
Hier kommt TISAX als Prüf- und Austauschmechanismus der Automobilindustrie zum Nachweis der speziell geforderten Informationssicherheit im Unternehmen ins Spiel. TISAX steht für Trusted Information Security Assessment Exchange und wurde vom VDA (Verband der Automobilindustrie) in Zusammenarbeit mit der ENX (European Network Exchange Association) Anfang 2017 etabliert.
In der Automobilindustrie ist der digitale Austausch von Produkt- und Konstruktionsdaten zwischen Herstellern und Zulieferern alltäglich. Um Geschäftsgeheimnisse und Technologieneuerungen zu schützen, ist das Management der Informationssicherheit entscheidend. Seit 2017 wird der TISAX Standard genutzt. Dieser Standard sichert die Verarbeitung von Informationen, den Schutz von Prototypen und den Datenschutz gemäß DSGVO und richtet sich an alle Beteiligten der Wertschöpfungskette, einschließlich Unternehmen wie IT Dienstleister zu denen die #### zählt.
Die #### als branchenübergreifender IT Dienstleister nimmt am TISAX-Prüfungverfahren teil. Der Prüfkatalog unterscheidet zwischen acht Kapitel:
IS Policies and Organisation Human Resources Physical Security and Business Continuity Identity and Access Management IT Security/ Cyber Security Supplier Relationships Compliance Prototypenschutz (na) Der Projektantragsteller grenzt sein Projektvorhaben auf das Kapitel 5 IT Security/ Cybersecurity ab.
Anhand einer Ist-Analyse wird festgestellt, inwieweit die einzelnen Standards bereits umgesetzt sind. Mit Hilfe der Bedarfsanalyse (was wird benötigt?), bei dem der Bedarf an Ressourcen, Dienstleistungen und den Kosten gegenüberstellt werden, folgt die Nutzwertanalyse (welche ist die beste Lösung?) um zu verstehen, welche Maßnahmen die geeignetsten sind, um dem TISAX Anforderungskatalog zu entsprechen. Insbesondere bei der Entwicklung des Maßnahmenkatalogs sollten Alternativlösungen miteinander verglichen und gegenübergestellt werden, um ein möglichst effizientes und effektives Ergebnis zu erzielen. Dafür werden verschieden Compliance Tools, Software- und Hardwarelösungen untersucht und verglichen.
 
4         Projektziel
Was soll nach Abschluss des Projektes erreicht sein?
Das Hauptziel des Projektes ist die Sicherstellung der Informationswerte sowie das effektive Management von Cyber Security Bedrohungen nach den Vorgaben des TISAX Prüfungskatalogs. Hierbei sollen die spezifischen Schutzmaßnahmen im Rahmen des Kapitels 5 erarbeitet werden, um die TISAX-Anforderungen zu erfüllen. Ziel ist es, den Reifegrad der IT-Sicherheitsmaßnahmen in der #### zu analysieren, Schwachstellen zu identifizieren und entsprechende Optimierungsmaßnahmen zu entwickeln.
Das abschließende Ziel ist es, den Kunden und Partnern der #### zu zeigen, dass das Unternehmen über die erforderlichen Sicherheitsmaßnahmen verfügt, um sensible Informationen sicher zu verwalten und zu schützen, was auch zur Steigerung des Vertrauens von Kunden und der Auftragslage für die #### beitragen wird.
Wie soll das Projektziel erreicht werden?
Das Projekt wird selbstständig, aber in enger Koordination mit dem Country Security Manager umgesetzt, um sicherzustellen, dass alle Sicherheitsaspekte in die Planung und Umsetzung einfließen. Die Analyse bestehender Prozesse und Systeme sowie die Entwicklung einer zukunftsfähigen Sicherheitsstrategie wird es der #### ermöglichen, die TISAX-Anforderungen zu erfüllen und eine verbesserte Informationssicherheit zu gewährleisten.
Der erste Schritt wird sein zu ermitteln, welche Anforderungen an die Informationswerte geknüpft sind. Wie sieht der Ist-Zustand aus? Anhand einer Ist-Analyse soll dokumentiert werden, wie Informationswerte bisher geschützt, verarbeitet und an Dritte übermittelt werden. Welche Informationen werden mit Kunden ausgetauscht, und welchen Grad an Sensibilität haben diese Informationen? Untersucht wird, wo besteht der Bedarf, welche Informationswerte wie zu schützen anhand einer Bedarfsanalyse.
Im zweiten Schritt soll eine Marktanalyse ermitteln, welche GRC-Softwarelösungen für Risikomanagement, Automatisierung von Kontrollprozessen, Dokumentation und Berichterstattung zur Verfügung stehen, und eine Nutzwertanalyse feststellen, welche Software für die #### in Frage kommt. Eine Auswahl von folgenden Softwarelösungen soll in Betracht genommen werden:
IBM OpenPages Workiva Auditboard IsiMap Impero SAP GRC MetricStream NAVEX Global LogicGate Im dritten Schritt wird anhand der Ergebnisse der Nutzwertanalyse ein Maßnahmenkatalog entwickelt mit konkreten Verbesserungsmaßnahmen, die im Anschluss sodann umgesetzt werden. Die Planung und Umsetzung der identifizierten Maßnahmen als auch die Projektergebnisse werden schließlich im Rahmen eines Projektberichts erfasst und dokumentiert.
 
5         Zeitplanung
Projektphasen
Beschreibung und Stundenanzahl (in Klammern)
PLANUNGSPHASE
1        Projektplanung
1.1 Planung und Definition der Projektziele (3)
1.2 Festlegung der Ressourcen und Zeitrahmen (Zeit und Ablaufplanung) (2)
STARTPHASE
2      Ist-Analyse
2.1 Dokumentation der aktuellen relevanten Informationswerte für das Prüfverfahren (3)
2.2 Erfassung des Ist-Zustandes der IT-Systeme hinsichtlich der IT-Sicherheit (4)
DURCHFÜHRUNGSPHASE
3        Soll-Konzept und Bedarfsanalyse
3.1 Identifikation der erforderlichen Ressourcen, Dienstleistungen und Kosten (Budgetierung) (2)
3.2 Bewertung der Ist-Situation im Vergleich zu den TISAX-Anforderungen (Soll-/Ist-Vergleich) (4)
4        Nutzwertanalyse & Wirtschaftlichkeitsbetrachtung
4.1 Bewertung und Gewichtung möglicher Maßnahmen und Lösungen zur Erfüllung der TISAX-Anforderungen (3)
4.2 Vergleich von Hardware-, Software- und organisatorischen Lösungen und deren Effizienz (3)
5        Maßnahmeplanung
5.1 Entwicklung eines Maßnahmenkatalogs mit spezifischen Verbesserungsmaßnahmen (3)
5.2 Planung und Umsetzung der identifizierten Maßnahmen (4)
ABSCHLUSSPHASE
6        Dokumentation und Projektabschluss
6.1 Erstellung einer umfassenden Projektdokumentation der Projektergebnisse und der durchgeführten Maßnahmen, Benutzerdokumentation (7)
6.2 Sicherstellung der Anforderungsgerechtigkeit der Dokumentation  (1,5)
6.3 Projektübergabe (0,5)
 
6         Präsentationsmittel
Laptop LCD-Projektor (Beamer)  
 
 
 
 
 
 

Moin HORIA, wenn Du Dich mit KI beschäftigst, kann ich Dir das folgende Buch ans Herz legen von Michelle Mitchell: Artificial Intelligence: A Guide for Thinking Humans (2019). Es erklärt die Entwicklung der verschiedenen Modelle sehr verständlich, und wie sie funktionieren. Es ist wirklich sehr gut und verständlich geschrieben. Und fernab des ganzen Hype, sondern sehr nüchtern und logisch erklärt. Sie geht auch auf die "3 Roboter-Gesetze" von Isaac Asimov ein, und warum diese für die Entwicklung von KI einen Konflickt darstellen. In der Geschichte "Runaround" (1942) beschreibt Asimov eine Situation, in dem ein Roboter in einer Endlosschleife endet beim Versuch, das 2. und das 3. Robotergesetz einzuhalten. Ich denke, Asimov wollte damit aufzeigen, dass diese 3. Gesetze nicht funktionieren können.
Die Problematik wird auch von Arther C. Clarke in dem Roman 2001: A Space Odysee (1968) aufgegriffen.
Im Moment sehe ich eine Gefahr in der KI darin, dass wir uns zu sehr auf die Algorithmen verlassen die wir nicht verstehen, und vergessen, dass wir einen "gesunden Menschenverstand" (=Common Sense) haben. Das fehlt m.E. bei der KI noch.
Zu bemeken wäre noch, dass sich hinter einigen "KI" Modellen tausende von Data-Labeler verbergen (oftmals sitzen diese in niedriglohn-Ländern wie Bangladesh oder Pakistan), die nichts anderes tun als Informationen auszuwerten und den Datenbanken zu füttern (Böse Zungen sprechen von "Data-Sklaven"). Manchmal ist "die KI" garnicht so künstlich, wie man es präsentieren möchte. Da steckt ganz viel Menschenarbeit bzw. Menschenintelligenz dahinter 🙂

Korrekt. Bis hier hin.
Na ja. WIr würden schon gerne sehen, dass du hier dann etwas "übergibst", welches hinterher für den Betrieb nutzbar ist.
Du wirst ja eine Entscheidung treffen müssen, aus verschiedenen Lösungsalternativen. Ist das dann die zu ermittlende Software? Gibst du dann (einem PoC eben) eine Empfehlung und gibst mit, wie diese in der vorhandenen Umgebung integriert wird? Oder nehmt ihr diese dann auch in Betrieb?
Interessantes Thema. Jedoch würde ich hier, nach erfolgter Genehmigung, nicht auf jemanden wie @charmanta oder in abgemidlerter Form, meiner Person treffen wollen. Da musst du wirklich fit sein, mit den Inhalten des BSI Grundschutzes und der DSGVO. Darauf wird es, bei dieser Thematik, hinauslaufen.

Was nicht rauskommt ist, ob dies dann auch im Rahmen deines Projektes umgesetzt wird.
Das ist hier die spannende Frage, um was es geht. Deine Antwort @HAL_9000 klingt jedoch irgendwie generiert.
Wenn du die Inhalte drauf hast, viel Spaß!

Der Satz würde mir zur Zulassung reichen. Ein PoC ist zulassungsfähig.
Erschlägt dem kaufmännischen Part
Oooooh Ja Das könnte ein durchaus anspruchsvolles Fachgespräch geben.
Kurz: ich würde es zulassen, wärst Du mein Azubi, Dich aber bezüglich des letzten Parts coachen

Das finde ich tatsächlich etwas zu kurz gedacht, ein PoC kann ja auch genehmigungsfähig sein, zudem sehe ich wenig Alternativen zu einem FiSi um die aufkommenden Fragen fachgerecht zu klären. Auch wenn das sicherlich kein typisches Projekt ist.

Bin aber sehr gespannt wie das von den erfahrenen Prüfern hier bewertet wird.

Wo machst du das?
Genau die Punkte machst du eben nicht.

Ich seh da nur Planung, aber nichts wirklich durchgeführtes. Keine Migration, keine Installation, kein Aufsetzen.
zB einen BackUp Server mit integrieren etc. Einbindung in das Unternehmensnetz, irgendetwas was ein FISI tut
 

Du scheinst überhaupt nichts zu Implementieren oder Aufzusetzen.. wofür brauche ich dabei einen FiSi?
(Außer du meinst den Punkt 5.2.. und dann ist das sehr dünn)
Wäre mir zu dünn.

Ich bin da bei @charmanta:
mir fehlt da auch der kaufmännische Ansatz und irgendwie scheint mir auch schon alles vorgegeben.
Aber ich bin auch gespannt, was @skylake dazu sagt.

Ich kann zwar nicht für jeden hessischen Prüfungsausschuss sprechen aber so wie von dir dargestellt, halte ich es auch für nicht zulassungsfähig.
Gerade wenn alles vorgegeben ist und keine Entscheidungen getroffen werden, wäre das ein Punkt der entweder zu einer Ablehnung führt oder sich in der Punktzahl negativ auswirken wird. Auch ein kaufmännische Betrachtung sollte in einer Projektarbeit nicht fehlen und hier stellt sich die Frage, wo/ob dieser ins Projekt einfließen kann.
Wobei ich glaube, dass wenn man das Thema ordentlich umschreibt und die obigen Punkte einbringt, dass Thema durchaus auch genehmigt werden kann. Einige Ausschüsse sind bereits so ausgehungert nach Themen, die sie nicht jedesmal sehen, dass relativ freizügig auf den „genehmigt“ Knopf geklickt wird *lach* :). Es muss wie von charmanta beschrieben, zur Prüfungsordnung und zum Berufsschwerpunkt passen. 

 

Das passt leider gar nicht zur Prüfungsordnung, weil Du zb keinen kaufmännischen Ansatz hast.
 
Es geht darum, ein komplexes Problem nachvollziehbar mit eigenen Entscheidungen zu lösen. Es geht also NICHT um eine Anleitung, wie man den Server XYZ mit User ABC in die tolle Domäne 123 integriert. Es geht darum, WIESO man das macht, WANN sich das rechnet und welche Alternativen ( es gibt IMMER welche ) WARUM ausgeschlossen wurden.
Und installieren darfst Du es auch ... nur ist Deine Entscheidungsleistung und deren Sachlichkeit die Grundlage der Beurteilung. Klicken kann jeder, es geht darum, daß Du auch ne Idee hast was Du da tust
Ganz grobe und ganz neue Übersetzung meines Lieblingstextes: "Komplex" im Sinne der Prüfungsordnung sind Ansätze, welche in einem Datacenter oder einem Rechenzentrum eingesetzt werden können und nicht mehr in einem kleinen zb Handwerksbetrieb Verwendung finden.
Damit scheiden Ansätze wie "Domaineneinrichung" oder "Ich suche ne Plattform für ein Windows Programm" fast automatisch aus.
Gerne genommen werden:
- Telefonanlagen ( weil Musterprojekt der IHK )
- Monitoring
- Heterogenes Backup
- Softwareverteilung
- Massenbetankung
Die Prüfungsordnung sagt in §22 dazu:
§ 20 Prüfungsbereich Planen und Umsetzen eines Projektes der Systemintegration
(1) Im Prüfungsbereich Planen und Umsetzen eines Projektes der Systemintegration besteht die Prüfung aus zwei Teilen.
(2) Im ersten Teil hat der Prüfling nachzuweisen, dass er in der Lage ist,
1.auftragsbezogene Anforderungen zu analysieren,
2.Lösungsalternativen unter Berücksichtigung technischer, wirtschaftlicher und qualitativer Aspekte vorzuschlagen,
3.Systemänderungen und -erweiterungen durchzuführen und zu übergeben,
4.IT-Systeme einzuführen und zu pflegen,
5.Schwachstellen von IT-Systemen zu analysieren und Schutzmaßnahmen vorzuschlagen und umzusetzen sowie
6.Projekte der Systemintegration anforderungsgerecht zu dokumentieren.
Aus der „Umsetzungsempfehlung des DIHK“
Die Ausbildungsverordnung des jeweiligen IT-Berufes definiert klare Anforderungen für den betreffenden Prüfungsbereich:
So sind zum Beispiel:
        −  kundenspezifische Anforderungen zu analysieren,
        −  eine Projektplanung durchzuführen,
        −  eine wirtschaftliche Betrachtung des Projektes vorzunehmen,
        −  eine Soft- oder Hardwarelösung zu erstellen, anzupassen, bereitzustellen oder anzubie- ten,
        −  die Lösung qualitativ und/oder wirtschaftlich zu überprüfen und die Planung und Durchführung des Projektes anforderungsgerecht zu dokumentie- ren. Das Projekt muss fachlich passend zum Ausbildungsberuf sein und darf den zeitlichen Rah- men nicht überschreiten. Umgekehrt sollte der Zeitrahmen aber auch weitestgehend ausgeschöpft werden. Im Vordergrund der Bewertung durch den Prüfungsausschuss steht die Fähigkeit des Prüflings, einen komplexen Ablauf zu planen, zu steuern und mit nachvollziehbaren Analysen und Entscheidungen zu belegen.
Das Ergebnis oder das fertige Produkt einer Projektarbeit haben daher keinen ausschlaggebenden Einfluss auf die Bewertung. Vor diesem Hintergrund werden Abweichungen und Anpassungen vom Projektantrag nicht negativ bewertet, wenn sie inhaltlich gut begründet sind und nach wie vor zu den Projektzielen passen.
Kurz: halte ich nicht für zulassungsfähig. Meinungen aus Hessen hierzu ? @skylake