Squaz

Update:
Antrag wurde ohne Beanstandung genehmigt.
Hier die finale Version:
 
1.*
Projektbezeichnung
Evaluierung und Implementierung eines zentral verwalteten Passwortmanager
1.1*
Kurzbezeichnung der Aufgabenstellung
Kurze Zusammenfassung der Aufgabenstellung
Den Mitarbeitern der *** soll der gesicherte Zugriff auf eigene und kundenspezifische Anmeldedaten auf ihren Endgeräten mit Windows, Android und iOS ermöglicht werden. Diese werden im Büro, im Homeoffice aber auch in Außeneinsätzen benötigt. Zur Speicherung von Anmeldedaten wird ein internes Wiki, eine Zugangsdatentabelle und Notizbücher im OneNote verwendet. Das alles soll durch einen zentral verwalteter Passwort-Manager ersetzt werden. Um sowohl den hauseigenen Server zu entlasten als auch die Verfügbarkeit zu erhöhen, soll dafür ein Cloud-Anbieter genutzt werden. Es soll außerdem ermöglicht werden, das auf Anmeldedaten von Kunden vom jeweiligen Kunden sicher zugegriffen werden kann. Mit der Erstellung und Einrichtung von Benutzergruppen, Zugriffsrichtlinien und einem Passwortmindeststandart soll die Sicherheit erhöht werden.
1.2*
Ist-Analyse
Ausgangssituation
Wie in Punkt 1.1 schon erwähnt, sind die Mitarbeiter der *** mit Notebooks und Smartphones ausgestattet. Die Notebooks kommen von Dell, sind Firmeneigentum und werden im Büro, im Homeoffice und auch in Außeneinsätzen benutzt. Auf ihnen läuft das Windows 11 Betriebssystem. Die Smartphones sind sowohl Firmeneigentum als auch im privaten Besitz. Es kommen verschiedene Hersteller und Betriebssysteme zum Einsatz.
Anmeldedaten werden auf dem hauseigenen Server in Form von einem Wiki, Tabellen und Notizbücher im OneNote gespeichert. Für persönliche Geschäftsaccounts werden die Daten zum großen Teil sich gemerkt, teils aber auch in Browserintegrierten Passwortmanager gespeichert.
Der Server und die in Firmenbesitz befindlichen Endgeräte werden mit einem Endpoint-Security-Programm verschlüsselt und gesichert. Bei den privaten Smartphones ist das nicht vorhanden.
Um Zugriff auf das Wiki, die Anmeldedatentabelle und dem OneNote zu Erlangen benötigt man jeweils eine Freigabe des Admins. Danach hat man Zugriff auf die jeweils enthaltenen Anmeldedaten.
 
2.
Zielsetzung entwickeln / Soll-Konzept
2.1*
Was soll am Ende des Projektes erreicht werden?
Alle Anmeldedaten sollen auf einen geeigneten zentral-verwalteten Passwort-Manager migriert werden.
Benutzergruppen und Zugriffsrechte sollen erstellt und zugewiesen sein.
Mitarbeiter sollen gesicherten Zugriff auf benötigte Anmeldedaten können. Dies muss Geräte- und Standortunabhängig geschehen.
Kunden soll der Zugriff auf ihre eigenen Anmeldedaten ermöglicht werden.
Richtlinien zur Passworterstellung sollen eingeführt und durchgesetzt werden.
2.2*
Welche Anforderungen müssen erfüllt sein?
Kompatibel mit Windows, Android und iOS.
Hochverfügbar, im Büro, Homeoffice, Außendienst bei Kunden
Sicheres Teilen relevanter Daten mit dem Kunden
AES256-Bit-Verschlüsselung
DSGVO-/ GDPR- konform
Monatlich kündbar und möglichst kostengünstig
Erstellung von Benutzergruppen, Zugriffsrechte und Richtlinien für die Passworterstellung
Multi-Faktor-Authentifizierung
2.3*
Welche Einschränkungen müssen berücksichtigt werden?
Kunden sollte der Zugriff auf ihre Daten ermöglicht werden, ohne dass sie sich die entsprechende Software anschaffen.
 
3.
Projektstrukturplan entwickeln
3.1*
Was ist zur Erfüllung der Zielsetzung erforderlich?
Das Projekt wird in drei Hauptaufgaben unterteilt. Der erste Teil beinhaltet die Planung. Es wird zunächst eine IST-Analyse durchgeführt, danach eine Risikobewertung erstellt und anschließend ein Anforderungsgespräch geführt, um die Mindestanforderungen und weitere Details zu klären. Mit den im Gespräch gesammelten Daten wird ein SOLL-Konzept erstellt. Eine grobe Auswahl verschiedene Anbieter werden dann zusammengetragen und mithilfe einer Kosten- und Nutzwertanalyse verglichen.
In der folgenden Durchführungsphase wird von der geeignetsten Software eine Testlizenz angefragt. Für die Testumgebung werden mehrere Geräte, eine Handynummer und E-Mailadresse gebraucht. Als erstes Hardware mit Windows 11. Diese wird mit den im Unternehmen üblichen Programmen ausgestattet. Zusätzlich werden diverse Browser mit installiert. Hier wird die Weboberfläche, Browser-Plug-ins und ggfs. Desktopanwendungen getestet. Parallel dazu werden ein Android- und ein iOS-Gerät vorbereitet, um die mobilen Anwendungen zu testen. Für die Multi-Faktor-Authentifizierung werden Handynummer, E-Mail und ggfs. Biometrische Sensoren benötigt, weshalb sich das nicht in einer VM-Umgebung simulieren lässt.
Auf diesen Geräten wird dann mithilfe von Testusern und Testanmeldedaten die Funktionalität und Konnektivität der Software geprüft. Hierzu werden verschiedene Benutzergruppen und Zugriffsrechte erstellt und verschiedene Szenarien durchgespielt. Die Testgeräte werden danach wieder zurückgesetzt.
Anschließend wird eine Anwenderdokumentation für die Mitarbeiter erstellt, die Software gekauft, Benutzergruppen erstellt und Zugriffsrechte und Passwortrichtlinien eingestellt. Dann folgt die Migration des Wikis, der Anmeldedatentabelle und des OneNote. Zum Abschluss werden die Mitarbeiter eingewiesen und die Anwenderdokumentation verteilt.
Die Projektdokumentation wird parallel zur Lösungsfindung erstellt, auch um die Erstellung der Anwenderdokumentation zu erleichtern.
3.2*
Hauptaufgaben auflisten
-       Planung
-       Durchführung
-       Projektabschluss
3.3*
Teilaufgaben auflisten
-       Planung
o   IST-Analyse
o   Risikobewertung
o   Anforderungsgespräch
o   SOLL-Konzept
o   Evaluation Software
o   Kosten- und Nutzenanalyse
-       Durchführung
o   Aufbau der Testumgebung
o   Installation und Einrichtung auf den verschiedenen Testgeräten
o   Erstellung von Testusern, Testbenutzergruppen, Zugriffsrechte und Passwortrichtlinien
o   Durchführen der Tests
o   Zurücksetzten der Testhardware
o   Kauf der Software und Erstellung eines Admin-Account für das Produktivsystem
o   Erstellung von Benutzergruppen, Zugriffsrechte und Passwortrichtlinien
o   Migration vom Wiki, Tabelle und OneNote
o   Erstellung der Anwenderdokumentation
-       Projektabschluss
o   Vergleich SOLL- und IST-Zustand
o   Einweisung der Mitarbeiter und Verteilung der Anwenderdokumentation
o   Anfertigung der Dokumentation
3.4
Grafische oder tabellarische Darstellung
Wenn Sie eine grafische Darstellung gewählt haben, laden Sie diese bitte als PDF -Datei als Anlage zum Antrag hoch.
(Habe ich ausgelassen da nicht notwendig)
 
4.*
Projektphasen mit Zeitplanung in Stunden
IST-Analyse – 1h
Risikobewertung – 1h
Anforderungsgespräch – 1h
SOLL-Konzept – 2h
Evaluation Software – 4h
Kosten- und Nutzenanalyse – 2h
Aufbau der Testumgebung – 1h
Installation und Einrichtung auf den verschiedenen Testgeräten – 2h
Erstellung von Testusern, Testbenutzergruppen, Zugriffsrechte und Passwortrichtlinien – 2h
Durchführen der Tests – 5h
Zurücksetzten der Testhardware – 1/2h
Kauf der Software und Erstellung eines Admin-Account für das Produktivsystem – 1/2h
Erstellung von Benutzergruppen, Zugriffsrechte und Passwortrichtlinien – 1h
Migration vom Wiki, Tabelle und OneNote – 4h
Erstellung der Anwenderdokumentation – 2h
Vergleich SOLL- und IST-Zustand – 1h
Einweisung der Mitarbeiter und Verteilung der Anwenderdokumentation – 2h
Anfertigung der Dokumentation – 8h

Ahia Osnabrück, kannste einfach so hochladen ohne Durchführungszeitraum meine ich. Bin jetzt gerade fertig geworden und kann mich auch nicht erinnern das da was stand

Moin Squaz, 

was ein Zufall ich bin auch unter der IHK Osnabrück und ich habe genau das gleiche. Ich hatte mich bezüglich der Felder auch bei der IHK gemeldet. Mir wurde mitgeteilt du kannst den Antrag per Felder ausfüllen oder einen Antrag per PDF einreichen. Die PIN erhältst du per Email von der IHK. Die muss du beim Absenden deines Antrag mit angeben, sonst wird es nicht funktionieren. 

In den mir bekannten Vordrucken der IHK gibst Du das beim Upload an ?

sorry, dann frag mal bei Deiner IHK oder Deinem Ausbilder nach. Diesen Prozess kenne ich so nicht sorry

Moin,
mit den Nachbesserungen auf Basis der Anmerkungen von @ickevondepinguin und @charmanta lässt sich das bei uns durchwinken..
Viel Erfolg 

Danke für deine Einschätzung. Das ist auch meine Befürchtung, ich werde es aber wohl auf einen Versuch drauf ankommen lassen. Die Zeit ist auch zu knapp mir was neues zu überlegen.
Danke auch dir für deine Einschätzung. Ich würde dann eine Risikobewertung nach der IST-Analyse einfügen, eine Stunde für einplanen, die ich dann von der Migration der Daten abzwacken würde. Klingt das gut?

Instalaltion innerhalb der Testumgebung? Und wie geht das ganze Produktiv?
Ich finde das etwas verwirrend. Kannst du das einmal ganz knapp darlegen für uns, wie das geplante vorgehen ist, bis zur Echtnutzung?

Datenschutz oder Risikobewertung fehlt mir noch, sonst ok

Die Kollegen können das besser Beurteilen, aber meine Meinung ließt sich das so, als ob hier die ausreichende Komplexität fehlt, als Abschlussprojekt erfolgreich umgesetzt zu werden.
Aber ggf. irre ich mich auch.

Admin-/oder Anwenderdokumentation nicht vergessen.
Ansonsten klingt dein Plan solide. Ich würde es einmal darauf ankommen lassen und den einreichen.
Könnte, je nach Ausschuss, durchgehen.

@charmanta Ich beschwöre dich, lass uns an deiner reichhaltigen Weisheit teilhaben... 🪘 
Da möchte jemand die Passwörter von Kollegen wieder herstellen können,  die eventuell ausgeschieden, krank oder vergesslich sind. Ich schätze als Prüfer vom Fach würdest du ihn da quasi komplett zerlegen was Datenschutz, Betriebsverfassungsgesetz usw. angeht? 
 

Erstmal: ich bin kein Jurist. Nur teilweise. Damit darf ich keine Rechtsberatung durchführen und im BetrVG schwimme ich auch nur an der Oberfläche.
Ich hab als Prüfer auch nicht einen Zerlegeauftrag, den haben Metzger Aber ich würde absolut schauen ob der Prüfling sich der Brisanz im Klaren ist und ob er mir mindestens eine Rechtsgrundlage nach Art 6 nennen kann.
Nö, in dem Fall erwarte ich Kenntnis der Rechtsgrundlagen. Die allgemeinen Pflichten und Rechte sowie Art 32 muß ja eh jeder ITLer drauf haben.
Aber selbst wenn ein Prüfling hier komplett loooooost kann der PA nach der neuen Prüfungsordnung nicht mehr das Durchfallen testieren, solange die Schulnoten ok sind.
Als AG würde ich aber sehr sehr deutlich hinterfragen wollen was hier Nutzen und Risiken sind. Das "Auslesen" eines persönlichen Kennworts halte ich stets für kritisch, bei technischen Usern eher nicht. Hier ist die Frage nach der "natürlichen Person" und der "juristischen Person" ...
Genug Angst gemacht, ich schweige und geniesse weiter

Aus Art. 32 lassen sich massig technische Fragen gestalten. Das ist in der Regel oft unser Opener für Maßnahmen. Und da möchte ich dann nicht nur "Es gibt für Vefügbarkeit Raid, Backup, USV" hören. Das geht schon sehr viel tiefer dann...

Einige professionelle Lösungen haben solche Mechanismen mit implementiert.
Aber auch ansonsten. Wer bestimmt, dass dort keine privaten Passwörter mit rein kommen und wie wird sowas bestimmt? Wie sieht da die rechtliche Regelung aus? Sowas und auch wann wiederherstellen erlaubt ist und wann nicht,  solltest du in der Prüfung wissen.

Ich denke ebenfalls, dass es problemlos als Projekt umsetzbar sein sollte. Einer meiner Auszubildenden hat 2018 einen ähnlich komplexen, webbasierten On-Premise-Passwort-Safe bei uns eingeführt. Obwohl es kein Abschlussprojekt war, habe ich darauf bestanden, dass er es trotzdem entsprechend behandelt, die notwendigen Entscheidungen trifft, die Arbeitsschritte entsprechend ausführt und am Ende alles so dokumentiert, als wäre es eine IHK-Prüfung. Meiner Einschätzung nach hat das hinsichtlich Zeitaufwand, Umfang und Tiefe sehr gut gepasst. Ich bin überzeugt, dass er auch damit genauso problemlos die Prüfung bestanden hätte wie mit seinem eigentlichen Projekt.
Als.kleine Anmerkungen, du musst dich dabei auch sehr stark mit Datenschutz und aktuellen Gesetzen auseinander setzen.
Falls dort ein Betriebsrat besteht, sollte dieser auch bereits im Vorfeld mit einbezogen werden, da er bei so einem Projekt Mitspracherecht hat und das sonst stoppen könnte sobald er davon erfährt. Und sowas ist normalerweise der Fall nachdem der Antrag von der IHK genehmigt wurde. 

Sollte kein Problem sein

Mein Projekt war auch ein Passwortmanagementsystem für unsere IT-Abteilung, das on prem lief mit Organisationsstrukturen und einem Berechtigungssystem. Ging problemlos bei meiner IHK durch.
Sehe hier also eigentlich kein Problem solange es kein stumpfes installieren ist sondern die Berechtigungen und Strukturen selbst erstellt werden.