Kölner

Hallo Kölner,

würdest du deinen überarbeiteten Antrag nochmal hier drunter posten? Dann sehen wir, was du umsetzt und kannst dann wieder sagen ob genehmigt oder nicht und ob du vlt. sogar ein neues Projekt nimmst. Wäre echt spannend.

Gruß

FiSi-Azubi

Danke für dein Interesse.

Ich werd den Antrag jetzt nicht noch mal hier hochladen, da sich von der Thematik nichts verändert hat.

Der Punkt war, das ich teilweise flashpixx Argumentation nicht so ganz folgen konnte. Womit er aber den Nagel mittig auf den Kopf traf, ist meine umständliche Art zu schreiben. Ich hab das alles mal meiner Frau zu lesen gegeben und die hat von der Informatik noch weniger Schimmer als ich Das half mir einige Dinge klarer heraus zu stellen. Wenn man so ein Teil 178 mal gelesen hat, ist für einen selber selbverständlich was gemeint ist (eben Betriebsblindheit). Wie auch immer, der PA hat sich gnädig gezeigt und den Antrag angenommen..

Nur so aus meiner Sicht der Dinge und sehr allgemein auch auf andere Forenbeiträde:

Es wird heute zu Tage sehr gerne und häufig das Argument angebracht: Das ist ja "nur" ein Installations Projekt oder auch gerne "Klickibunti..."

Ich bin nicht wirklich überzeugt ob das irgend jemand weiterhilft, den:

1. unterm Strich wird man dann wohl irgendwann irgend etwas zu installieren haben, so trifft dann die Argumentation bei jedem FISI -Projekt irgendwie zu. (klar voher Analyse was fürn Problem, wie kann man das lösen, was kostet die Lösung usw.)

2. Man kann ganz bestimmt Nichts dafür, das mittlerweile 2013 ist. Da ist die Software nun mal sehr komfortabel geworden und nicht Jeder benötigt en Core Server..

Aber egal! Euch allen, alles Jute und viel Erfolg

OK Ich glaub ich versteh dich jetzt schon etwas besser.

Danke flashpixx

Schön Deine Entscheidung steht schon fest, wie kann das sein..

Ja das ist korrekt, das ist das was der Kunde möchte. Eine softwarebasierte Passwortlösung wie sie umschrieben wurde.

Meine Aufgabe wird sein: eine Lösung finden anhand der Kriterien welche in der Zertifizierung gefordert werden. Dazu müssen Kriterien ausgearbeitet und Priorisiert werden. Das bedingt Recherche zu Produkten, Angebotseinholung, und den Vergleich der Lösungen. Zu guter Letzt eine Empfehlung an den Kunde: das Produkt kann das und das und kostest soviel.

Was bringt Deinem Projekt, dass die Abteilung ISO 27001 zertifiziert ist? Das ist für mich im Grunde der Punkt, dass Du hier versuchst Deinem Projekt Tiefe zu geben, obwohl Du keine drin hast, denn ein Installationsprojekt kann man schnell abreißen.

Das Projekt besteht hauptsächlich wegen der Zerti, ob du es nun glaubst oder auch nicht.

(Ich weiß das das nicht für sinnvoll hältst, hab ich schon vorher verstanden. Es wird so gewünscht und es wird 100% so durchgeführt werden. Egal ob ich es tue oder jemand anderes)

ja und? Da trägt jemand einfach die User mit entsprechenden Rollen ein und das wars dann? Oder gibt es evtl, wenn Du hier schon von einer Zertifizierung redest, ein Konzept, was eben aus Geschäftprozesssicht das Rollenkonzept stützt? Im Grunde auch wieder viele Worte mit wenig Inhalt.

Ja korrekt auch bedingt durch Zerti: nachzulesen unter zugangskontrolle

Ach ja, also ist die genannte Zertifizierung völlig unerheblich für das Projekt. Warum redest Du um den heißen Brei bzw. warum erzeugst Du hier sprichwörtlich Fülltext ohne Inhalt.

Für mich ein Hilfeschrei, dass dieses Projekt "unbedingt und genauso wie Du es beschreibst umgesetzt werden muss", denn "was wird das denn wohl alles kosten, wenn Du Dein Projekt nicht so umsetzt". Was kostet es denn, wenn Dein Projekt scheitert? Was sind Pro und Contra-Argumente für das Projekt?

Die Zerti ist ausschlagegebend. Aber auch ohne Zerti hat das Projekt eine Mehrwert, den es besser als die vorherige Lösung. Andere Lösung wäre 4 Augenprinzip,also immer 2 Mitarbeiter zu jeder Zeit en Zettel+ Stift & en Safe. Ja kann was kosten… Das Gesamtkonzept der Zerti sind mehr als 2000 Arbeitsstunden. Trotzdem wenn mein Anteil nicht durchgeführt würde, berührt es erst mal nicht andere Projekte. Sprich es gibt keine direkten Abhängigkeiten, wie ein Folgeprojekt das nicht starten könnte.

Außerdem wie kannst Du von Konsequenzen reden, wenn überhaupt nicht klar ist, wie das Projekt durchgeführt wird? Entweder hast Du harte Fakten vorliegen, die Deine Argumente stützen oder es sind wieder nur leere Worte.

Ist nicht mein Wunsch über die Konsequenzen zu schreiben, ist gerade der neuste Schrei der IHK und wird von mir im Eingabefeld gefordert.

Wie steht das in Zusammenhang zu Deinem Projekt bzw. was sind "Infrastrukturkomponenten" und warum müssen es virtuelle Maschinen sein", also ein physikalischer Server wäre also nicht zugelassen. Benutze die richtigen Fachbegriffe, so ist das für mich eher wieder nur Fülltext.

Pysikalischer Server gehört für mich zur Infrastruktur…

Danke sehr ich werd darüber nachdenken

Moinmoin liebe Mitlesende und Ratgebende.

Ich habe gestern die vorläufige Ablehnung zum Projektantrag erhalten mit folgender Bemerkung:

Sehr geehrter Herr, der Antrag ist sehr ausführlich beschrieben allerdings ist nicht genau beschrieben was ihre Aufgaben bei dem Projekt sein werden und welche Schnittstellen noch an diesem Projekt beteiligt sind.

Bitte stellen Sie ihre Tätigkeiten bei dem Projekt klar heraus

Da ich nach gefühlter 100ste Bearbeitung des Antrags völlig Betriebsblind bin und eigentlich gedacht das soweit klar wäre: WAS das Problem ist, das ich entsprechende LÖSUNGEN SUCHE, diese VERGLEICHE und IMPLEMENTIERE. (gross geschriebenes gilt hier nur zur Hervorhebung)

Aber erstens kommt es anders und zweitens als man denkt. Da ich in keinem bisher gelesen Antrag irgendwelche Ich – Botschaften gelesen habe (z.B. ich vergleiche Angebot A mit , kann ich mir nur vorstellen das sich die Kritik des PA auf die Projektplanung / Phasen bezieht ??

Bevor ich mich nun heulend hintern Bus schmeisse, oder aus dem 1 Stock springe hat noch jemand eine Idee? Vorab vielen Dank, an wen auch immer, der sich die Mühe macht, das hier zu lesen.

1* Projektbezeichnung

Einführung einer Passwort Management Lösung zur Einhaltung der IT-Compliance.

1.1* Ausgangssituation

Zurzeit verwendet die Firma XYZ GmbH & Co. KG eine Open Source Software für die Verwaltung der Login-Daten von Kundensystemen, welche in einer Datenbank hinterlegt sind.

Diese Datenbank wird regelmäßig auf einem File Server gespeichert und zwischen zwei Standorten der XYZ synchronisiert. Der Zugriff auf diese Daten ist mit einem Masterpasswort gesichert und ist nur den Mitarbeitern des Premium Service gestattet.

Mit diesem Masterpasswort ist es möglich, die Kunden-Passwörter und IP-Adressen einzusehen sowie diese zu ändern oder zu löschen.

Die jetzige Lösung bietet weder die Möglichkeit den Mitarbeiter, den Zeitpunkt, noch die angefragten Login-Daten von Kundensystemen, zu bestimmen. Des Weiteren könnte ein Diebstahl der Datenbank zum Verlust aller Kunden Passwörter führen, da eine Brute Force Attacke zwar schwierig, aber dennoch möglich ist.

1.2* Zielsetzung

Die XYZ strebt für ihre Abteilung "Premium Services" die Zertifizierung nach ISO 27001 an.

Im Rahmen der Zertifizierung müssen die Vorgaben für das User Access Management erfüllt werden.

Zudem soll zur Erhöhung der Unternehmenssicherheit die bestehende Passwortverwaltung abgelöst werden.

Das neue System muss dazu Nachvollziehbarkeit über die Zugriffe der XYZ-Mitarbeiter auf die kundenbezogenen Daten gewährleisten, d.h. es muss nachträglich ablesbar sein, welcher Mitarbeiter zu welchem Zeitpunkt auf welche Kundendaten Zugriff genommen hat.

Zudem sollte eine möglichst granulare Rechtevergabe den Zugriff auf die Daten reglementieren.

Der lesende Zugriff auf Kunden-Passworte und deren Verwaltung soll über eine Management-Oberfläche realisiert sein. Ein direkter Zugriff der XYZ-Mitarbeiter auf die zugrundeliegende Datenbank sollte ausgeschlossen sein.

Es soll eine plattformunabhängige Lösung gefunden werden, in welche sich die bestehenden Kundendaten und Strukturen integrieren lassen. Durch Redundanz des Systems an einen weiteren Standort soll hohe Verfügbarkeit sowie Ausfallsicherheit erzielt werden.

1.3*Konsequenzen bei Nichtverwirklichung

Bei Nichtverwirklichung des Projekts wird ein Teilaspekt, für die angestrebte Zertifizierung nach ISO27001, nicht erfüllt sein.

Das hätte die Bindung personeller Ressourcen zur Ausarbeitung anderer Lösungen zur Folge.

Direkte Abhängigkeiten zu anderen, noch zu realisierenden Projekten für die ISO-Zertifizierung bestehen nicht.

2* Projektumfeld/Rahmenbedingungen

Das Unternehmen XYZ GmbH & Co KG mit seinem Hauptsitz in Timbuktu und einer Zweigstelle in Nimmerland, beschäftigt zurzeit 35 Mitarbeiter. Das Betätigungsfeld der Firma besteht hauptsächlich in dem Vertrieb und Support von IT-Sicherheitslösungen. Im Bereich des Premium Service stellt die XYZ erweiterte Dienstleistungen, wie zum Beispiel Hotline, Fernwartung, System Monitoring oder auch Änderungen von Systemkonfigurationen, zur Verfügung.

Des Weiteren bietet die XYZ Consulting, Projektmanagement und Schulungen rund um die IT-Sicherheit an.

Als Praktikant der Abteilung Technik führe ich dieses XYZ-interne Projekt durch.

Die Integration des neuen Systems wird in einem heterogenen Unternehmensnetzwerk realisiert. Es besteht aus diversen physikalischen Infrastrukturkomponenten sowie virtuellen Maschinen. Dem Premium Service steht ein eigenes Subnetz, getrennt durch eine Firewall, zur Verfügung. Dem Firmennetzwerk liegt eine Windows Active Directory Domäne zu Grunde.

3* Projektplanung/Projektphasen

Definitionsphase (3h)

- Besprechung Auftrag (1h)

- Ist-Analyse (1h)

- Soll-Konzept (1h)

Planungsphase (12h)

- Erstellung eines Projektstrukturplan (1h)

- Erstellung Zeitplan mittels Projektablaufplan, Netzplan (2h)

- Evaluierung möglicher Lösungen (4h)

- Erstellung einer Vergleichsmatrix (2h)

- Entscheidungsfindung (1h)

- Kostenanalyse (1h)

- Erstellung eine Prüfkatalogs (1h)

Realisierungsphase (10h)

- Erwerb und Download der Software (0,5h)

- Installation der ermittelten Software in einer virtuellen Umgebung (1h)

- Anpassung der Software an die Unternehmensanforderung (1h)

- Sicherung und Überführung der bestehenden Datenbestände (1h)

- Erstellung und Anpassung eines Abbilds für eine Ausfallsicherung, in einer virtuellen Umgebung(1,5h)

- Erstellung von Sicherungsstrategie für Datenbank(1h)

- Testen auf korrekte Ausführung (2h)

- Qulitätssicherung (1h)

- Puffer (1h)

Abschlussphase (10h)

- Fazit (0,5h)

- Erstellung Projektdokumentation (8h)

- Projektübergabe/Einweisung (1h)

- Abschlussbesprechung (0,5)

3.2* Ergebnis

Das zu erwartende Ergebnis bildet eine Lösung zur Verwaltung der kundenspezifischen Login-Daten ab. Eine regelbare Zugriffssteuerung, die Protokollierung aller Zugriffe, sowie die hohe Verfügbarkeit sind die Hauptkriterien zur Erfüllung des Projektziels.

Das angestrebte Projektergebnis wird anhand des Projektauftrags sowie dem Soll-Konzept genauer formuliert. Anhand eines Testfallkatalogs, Soll–Ist Vergleich sowie der Qualitätssicherung wird das Ergebnis dokumentiert. Wirtschaftliche Ergebnisse werden durch eine Kostenanalyse abgebildet.

Moinmoin.

Da ich auch ne Umschulung mache, kann ich sehr gut nachvollziehen wie schwierig das Alles sein kann.

Lass dich nicht unterkriegen, wird schon "schiefgehen"

Das wird schwierig werden, da ich im Support gebraucht werde.. das ist ja mein Problem :/

Das klingt für mich so, als wenn du keine Zeit bereit gestellt bekommst, um ein Projekt zu realisieren? Ist klar das der Betrieb gerne deine Arbeitskraft nutzt und das es auch hilfreich sein kann um etwas zu lernen, aber trotzdem sollte dem Betrieb natürlich klar sein : ohne Projekt kein Abschluss.

Ich weiß nicht wie es auf deiner Schule gehandhabt wird? An den "besseren" Schulen (meine gehört leider nicht dazu) sind Berater abgestellt, welche auch mal den Praktikumsbetrieb besuchen. Der checkt vor Ort z.B. ob der/die Praktikant/in den gestellten Aufgaben nachkommt oder auch ob der Betrieb sich an Absprachen hält (wie z.B. Projekt).

Vieleicht hast du irgendeine Möglichkeit, deine Schule mit ins Boot zu holen, was das Projekt angeht?

In Ausnahmefällen ist es sogar möglich, das Projekt selbst in der Schule durch zu führen.

(Is ja ne IT Schule mit ner bestehenden Netzwerkstruktur, gibt es da evtl. nix zu verbessern?)

Wie auch immer, ich drück dir die Daumen und wie gesagt : wird schon schief gehen;)

lieben Gruß

- ergebnis da hat sich die ihk mal wieder ein eigentor geschossen! Wenn du eier hast, schreibst du "dies ist erst am projektende ersichtlich und gehört nicht zum antrag (siehe zielsetzung)" - ich hab dort die zielsetzung reingeschrieben bzw. Mit etwas anderen worten inhaltlich wiederholt.

Mfg itni

Vielen Dank

Hallo Allerseits!

Auch wenn ich damit vieleicht den Preis "die dümmste Frage des Forums" gewinne und es schon evtl autistische Züge animmt, nur mal nach gefragt :

Wenn ich mir die "Handreichungen der IT" von der IHK anschaue, bekomme ich in etwa die Form "vorgegeben":

- Projektbezeichnung

- Kurze Projektbeschreibung

- Projektumfeld

- Projektplanung einschließlich Zeitplanung

- geplante Dokumentation zur Projektarbeit

Ich denke soweit ist das auch in etwa die Form, welche den meisten bekannt ist.

Wenn ich mich dan auf das online Portal schalte, in welchem ich dann den Antrag hochladen soll, erscheinen jene Fromularfelder:

- Projektbezeichnung

- Ausgangssituation

- Zielsetzung

- Konsequenzen bei Nichterfüllung

- Projektumfeld / Rahmenbedingungen

- Projektplanung / Projektphasen / geplante Arbeitsschritte inkl. Zeitplanung

- Meilensteine

- Ergebnis

- Dokumentation / technische Unterlagen

wobei die mir neuen Felder markiert sind. Auf Nachfrage bei der IHK, was sie jetzt mit Ergebnis meinen (da ein Soll Zustand unter Zielsetzung formuliert wird, kann es das ja nicht sein?), wurde ich nur freundlich darauf hingewiesen, das sie mir keine fachlichen Fragen beantworten dürfen.

Kennt ihr diese Struktur / Aufbau des Projektantrags und was könnte eurer Meinung nach unter Ergebnis formuliert sein?

"Darstellung der funktionalen Ergebnisse"?

Vieln Dank für eure Zeit und Mühen,

lieben Gruß

Nach Auskunft einer sehr netten Dame von der IHK:

Konsequenzen bei Nichterfüllung - sehr allgemein gehalten:

Tatsächlich alles was bei Nichterfüllung auftauchen kann, z.B: ein Folgeprojekt kann nicht gestartet werden, Kosten welche enstehen könnten oder vieleicht versenkt wurden, müssen zusätzliche Resourcen freigesetzt werden weil das Projekt nicht zu stande kam...In der Art, also alles was euch aufällt während der Planung, was eben die Konsequenzen sein könnten..

Dank an die IHK

….

/Nachtrag: flashpixx und die anderen haben hier gute Hinweise gegeben, was für Fragen im FG aufkommen könnten und welche Punkte im Projekt vielleicht anders betrachtet werden sollten. Was du daraus machst, ist einzig und allein dir überlassen.

….

Und bevor es völlig untergeht: Ich habe es auch so verstanden und zumeist eher als konstruktiv gewertet. Und viel wichtiger: Ich bin wirklich Dankbar für den Einsatz aller Beteiligten und habe es eigentlich auch schon ein paarmal erwähnt, aber trotzdem noch mal

Vielen Dank für eure Geduld und Mitarbeit!

@flashpixx Sorry für die übertriebene Reaktion.

@crash2011 DAAAAAAAAANKE schön :beagolisc

....

Auch: Dein Ton ist absolut unangemessen.

..... dass man so was unter Zeitdruck und ohne Ansprechpartner nicht hören will, mehr als nachvollziehen, aber deine Reaktion darauf ist einfach nur unreif und unangemessen.

OnTopic: Klartext-Passwörter gehen gar nicht.

Wenn es so rüberkommt, sorry.

Meine Reaktion ist dem bashing auf "Unbeteiligte" geschuldet. Was soll das: "Ihr als IT Sicherheits Firma" Komentare (war jetzt auch nicht das erste mal) ? Spricht nicht unbedingt für guten Stiel, triftt nicht den Kern und hilft auch sonst nicht wirklich weiter. Wird aber ohne weiters deduldet. Genasuso Ansetzte wie : "Das ist doch Schwachsinn" waren hier schon zu lesen, das ist direkt angreifend und wird widrum geduldet.

Weshalb hab ich überhaupt diese Diskussion weitergeführt?

Ich bin immer noch der Meinung, das Produkte wie der angesprochene PasswordSafe, ihre Daseinsberechtigung haben. (hier werden Passwörter aber nun mal verschlüsselt und nicht gehasht)

Weshalb vertrete ich die Meinung: Aus dem Disskusionsverlauf, denn Strategien wie SingleSignOn sind auszuschliessen. Eine zentrale Authentifizierung bedingt bei jedem Kunden eine Authetifizierungstelle wie z.B. ein Radius server oder Ähnliches und die hat nicht jeder Kunde. Authentifiezierung direkt am Gerät wird nicht immer von allen Hersteller unterstützt. Was bleibt ist das Nutzen von Passwörtern. Soweit konnte ICH zumindest folgen und wenn das falsch ist, gut ist es eben falsch. Aber noch mal auch mir gegenüber darf man respektvoll sein (muss man nicht, kann ich mit leben), was gar nicht geht ist, irgendwelche Firmen oder deren Mitarbeiter runter zu ziehen. Aber nur meine bescheidene Meinung...

Nabends.

N

bekomme ich überlste Bauchschmerzen, denn eine Firma, die "IT Sicherheit" bietet und nun hier in einem Abschlussprojekt verschiedene Sicherheitsaspekte durchkauen, scheint durchaus Probleme bezügl. Sicherheit zu haben.

Bis her fand ich deinen style noch konstruktiv, bis weilen etwas von oben herab, aber konstruktiv.

Nicht die Firma kaut hier irgend etwas durch, sondern meiner einer in Persona.

Zu meiner Person: Ich mache eine 2 jährige Umschulung und bin selber wenig begeistert von dem was meine Schule glaubt, was richtiger Lehrplan sei oder auch nicht, nur soviel, diese Schule würd ich meinem ärgsten Feinden nicht empfehlen.

Aber wie auch immer 2 Jahre sind schlecht weg ein Witz, wenn es um diese Ausbildung geht und ja ich hatte es mir anders vorgestellt. Und nein ich bin nicht zu faul mir etwas anzueignen. Nun schön und gut. Nach 1 1/2 Jahren der tollen Schule, darf ich nun ein Praktikum bei einer Firma machen, welche Sicherheit vertreibt (wofür ich sehr dankbar sein kann und auch bin). So what, macht mich das jetzt zum Sicherheitsexperten? Nein bestimmt nicht und das liegt auch nicht an der Firma oder deren Mitarbeiter. Die haben schlecht weg auch was bessere zu tuen, als mich nun komplet auszubilden. By the way, die Personen die ich evtl fragen könnte weil es sie direkt angeht, sind derweil in Urlaub, soll ja mal vorkommen und soll ihnen auch gegönnt sein.

Von mir aus haut auf meinem zu klein geratenen Kopf rum, ich weiss wie es meine "Ausbildung" steht, aber schwingt euch nicht zum "Meister der offensichtlich vom Himmel viel" auf und kloppt dabei mal einfach auf Unbeteiligte.

Junge Junge da geht mir der Hut hoch, dieses bescheidene bashing in allen möglichen Foren k**zt mich an.

Tue mir einen Gefallen, fühl dich bitte nicht genötigt weiterhin irgend einen post zu beantworten. Ich möchte nicht an deinem Reiz am Enddarm schuld sein.

Schönen Dank :upps

Guten Morgen Allerseits, hoffe ihr hattet ein schönes WE!

Vielen Dank für die rege Anteilnahme!

wie genau machst du https ohne SSL?

….entweder Https (ssl bzw. tls) oder ssh Verbindung (hab mich wieder missverständlich ausgedrückt)

Was sollen denn die gehashten Passwörter in der Datenbank bringen?

So wie das im ersten Beitrag zu lesen ist, geht es darum, dass Paswörter ordentlich pro Kunde abgelegt werden können. Diese Passwörter müssen anschließend wieder im Klartext sichtbar werden, damit das Passwort für z. B. den VPN-Zugang beim Kunden eingesetzt werden können. Ich kann ja nicht den VPN-Tunnel mit einem Hash des Passworts aufbauen.

Ich gehe davon aus, dass er sowas wie Password Safe | Passwortverwaltung als Produkt sucht?

EXACT! Dankeschön

Nein, in diesem Fall würde ich SSH mit Key nutzen, ist jedenfalls bei uns im Rechenzrentrum das Standardverfahren + zentraler Authentifizierungsserver via LDAP. Administrative Tätigkeiten werden hier nur per SSH gemacht.

Wenn ich das richtig verstehe:

Bei einem zentralen Authentifizierungsserver (welcher bei jedem Kunden vorhanden sein müsste?),

wäre ich für das ganze Netzwerk des Kunden authentifiziert und hätte Zugriff auf jegliche Maschine des Kunden?

Bei Authetifizierung direkt an der zu administrierenden Maschine, müsste dies in dem device erst einmal so (wiederum vom Kunden und für jede Maschine welche Support benötigt oder benötigen könnte) eingerichtet werden?

Liebe Grüsse aus Köln

Hi flashpixx.

Sehe schon mal einen Fehler in meiner Disskusionsfürhrung..

.....Bei Anwendung, soll heißen, bei Zugriff auf Kundensystem wird https/ssl Verbindung verwendet, also eigentlich auch nichts mit Klartext. Wo lieg ich ...

Gruß aus Köln

...meinte eigentlich https / ssh Verbindung. (ssl ist zwar hier nicht falsch, aber ssh war gemeint). Für die devices wird eben bei uns in selten Fällen WebUI und in der Regel ssh über putty oder ner anderen CLI verwendet.

Danke fürs Feedback;)

Nabends Allerseits!

Sehr anregende "Unterhaltung" bisweilen.

Frage ob ichs richtig verstehe:

Ihr würdet ein Single Sign On empfehlen, für vieleicht 50 unterschiedliche Domänen, um dort die Backendgeräte wie Switche,Router,Firewalls und Proxies zu konfigurieren? :confused:

Guten Morgen SilentDemise.

Ich habe das Gefühl das du da Recht haben könntest, das es zu Komplex werden kann, für ein Abschlussprojekt.

Meine Ursprungsfrage lautete mal : passwort mangement system - zu "dünn" als Projekt.

Diese Fragestellung resultiert daraus, das einer meiner Dozenten eher der Meinung ist, das so wie sich der Antrag liest, es nicht für ein Projekt reichen könnte.

Danke Gruss aus Köln

Schönen guten Morgen flashpixx. Guten Morgen liebe Mitlesenden.

Vielen Dank für deine/eure Geduld!

Kann sein dass der Groschen bei mir nur centweise fällt, aber damit er dann fällt noch folgendes:

Mitarbeiter X kommt morgens ins Büro möchte sich anmelden. Login Fenster meldet sich, er gibt seine credentials ein. Im Hintergrund gibt z.B. die AD dem Login den Hash Algo.(evtl. MD5), + das Salt. Aus dem Passwort das gerade von Mitarbeiter X eingeben wurde, wird wieder der Hash-Wert errechnet, mit dem Wert in der AD abgeglichen und wenn es passt, wird der User mit seinen credentials zugelassen. (Ich hoffe soweit erst mal keine groben Schnitzer in der Logik)

Mitarbeiter X ist zudem noch in der Gruppe Helpdesk vertreten und hat ca.100 Remote Devices zu bespassen. Diese devices liegen nicht gezwungener Maßen in derselben AD Domäne. Um jetzt nicht 100 credentials im Kopf haben zu müssen, bedient er sich irgendeines softwaretools als Passwortsafe. Wie bekommt mit Mitarbeiter X die Logindaten zu seinen Remote Devices, wenn diese nur als Hashwert in der Datenbank des Passwortsafes abgelegt sind?

Gar nicht oder, denn die Passwörter selbst liegen ja nicht vor sondern nur die gesalzenen Hashes, welche nicht umkehrbar sind?

Wenn ich dich jetzt soweit richtig verstehe, wäre auf jeden Fall der Mitarbeiter X genötigt, die 100 Logindaten im Kopf zu bewaren. Im Hinblick auf die Sicherheit dürfte der Mitarbeiter kein tool verwenden.

Was ist bei 200 remote devices oder 500.

Ich glaub schon, dass ich dich so halbwegs verstanden habe. Aber es mag mir noch nicht einleuchten, dass dem „armen“ Helpdeskmitarbeiter nicht geholfen werden kann. Irgendwo hakt es da in meinem Schädel.

Nabends flahpixx,

du gibst dir aber echt Mühe, muss ich zugeben.

Dankeschön.

Sorry, ich verstehe aber echt nicht, was daran so schwierig zu verstehen ist !? Google doch einmal danach wie man Passwörter richtig speichert.

Kommunikation ist so ziemlich das Schwierigste, was so man betreiben kann.

Ich versteh dich nicht, weil ich nirgends geschrieben habe, dass die Passwörter auch in Zukunft in Klartext gespeichert bleiben müssen oder verschlüsselt werden sollen. Kann natürlich mit meiner Darstellung im Antrag zu tuen haben, dass es so rüber kommt(Trotzdem 1001 Dank für das Augenmerk in die Richtung salted hash vs. Verschlüsselung wird helfen genauso wie der Link zum connection string).

Steht doch nirgends etwas von Unveränderlichkeit der angesprochenen Dinge?

Fehlende Fachkompetenz kann man mir ja gerne vorwerfen, ist kein Ding, dafür lerne ich es ja auch gerade. Aber man kann doch nicht davon ausgehen, das wenn ein Problem x auftritt, das man evtl nicht sofort, oder gleich perfekt lösen kann, das Ganze gleich in die Tonne zu werfen. Da ist noch ein bissel Luft bis zu der Durchführung des Projekts (wenn es denn überhaupt angenommen wird bei der IHK), also auch um noch was dazu zu lernen. Deshalb meine Unverständnis und ich werf erst mal gar nix inne Tonne

Aber wie schon geschrieben nix für Ungut, ich bin da eher Dankbar für deine konstruktive Kritik!

Schöne Grüsse und erst mal gute Nacht

Hey flashpixx,

vielen Dank für deine dezidierte Meinung!

. ...Egal was Du hier machst, die Passwörter liegen unverschlüsselt in der Datenbank und jeder der das Masterpasswort kennt, kann sie lesen, .

Ja genau und Teil des Projekts soll eben sein dies zu ändern.

Bitte benutze einmal Google und suche danach wie oft in den letzten Jahren Firmen durch solche massiven Sicherheitslücken eine negative Presse erhalten haben.

Ja kann sehr interessant sein, wer schon alles negativ aufgefallen ist. Das Projekt soll ja das Auftreten eben der massiven Sicherheitslücken, wie du sie benennst, ja abstellen.

Es ist schon seit Jahren Standard Passwörter zu hashen. .

Danke für den Hinweis, werde es nachlesen.

Das Argument "das Passwort ist nur einigen Mitarbeitern bekannt" ist nichts wert, denn wer sagt, dass das Passwort nicht nach außen gelangen kann.

Genau, gut erkannt das es nicht viel wert sein mag und es soll Teil des Projekts sein dies zu ändern. Eventuell durch ein regelbasierte Zugriffssteuerung zum Beispiel, mal sehen was es da gibt.

Und wenn die Anwendung nun auf die Datenbank connected, dann kann der User den Connectionstring abgreifen und macht einfach ein "select * from usertable" und schon sieht er von allen Benutzern die Passwörter im Klartext. .

Sehr interessanter Aspekt, das blick ich noch nicht ganz, wie das "abgreifen funktioniert" bzw wie man es verhindert..

Ich rate Dir, entsorge das Projekt, denn es hat massive fachliche Fehler

davon bin ich noch nicht ganz überzeugt, ist eigentlich auch viel zu Spannend. Wie kann ein noch nicht durch geführtes Projekt zu viele fachliche Fehler haben? Man kann sicherlich einiges/vieles verbessern, obs mein Spatzenhirn hinkriegt steht auf nem anderen Blatt.

Aber wie schon gesagt und ganz erhlich gemeint, Danke für den Rat.

Hey SilentDemise,

vielen Dank für dein Interesse.

wie werden die passwörter im hintergrund verschlüsselt? Wie wird das Master Kennwort überwacht, stichwort auditing, wie wird die Datenbank in der die Passwörter liegen verschlüsselt, wo liegen die Connectionstrings zu der Datenbank?

Derzeitige Verschlüsselung der Datenbank mit AES 256bit. (Passwörter werden zuzeit nicht noch mal extra verschlüsselt) Masterpasswort wird zurzeit nicht überwacht, ist aber nur den Mitarbeitern bekannt welche es benötigen.

Zur Frage: wo der connectionstring liegt - kann ich momentan nicht beantworten, da ich mit der Fragestellung "wo" gerade nicht so viel anfangen kann, sorry my fault.

Zu eventuellen Zukünftigen Lösungen kann ich noch nichts sagen, da ich sie mir im Einzelnen noch nicht angeschaut habe. Ich habe ja auch noch keinen Antrag bei der IHK gestellt.

Aber im Übrigen finde ich deine Fragen schon schick und könnte mir vorstellen das ein Prüfer die auch stellt, also schon mal Dankeschön.

Hello Akku,

Deine Entscheidung bzgl. der Passwortproblematik.

1. Du hast ein Masterpasswort. Sobald das richtig eingegeben wurde, hast du Zugriff auf alle Kundendaten. Richtig?

2. Jedem Kunden ist aber wieder (hoffentlich) ein Passwort zugewiesen, dass aber nun im Klartext angezeigt wird. Richtig?

3. Wenn dem so ist, kann ich nach "knacken" des Masterpassworts ein schweres Chaos anrichten. Das must du verhindern.

Soweit klar?

Klar soweit, ziemlich genaue Wiedergabe der IST - Situation und bis hier her gibt’s meiner Seits keinen Einfluss auf den Prozess. (…zudem: auch wenn es jemand gelänge das Masterpasswort zu knacken, müsste er/sie erschwerend erst einmal an die Datenbank kommen. Auch nicht ganz trivial)

Aber wie dem auch sei, genau diese Dinge sollen ja abgestellt werden...

Also vom Ansatz her doch nicht das Schlechteste, oder?

Hi Akku,

vieln Dank für deine Antwort.

Wie bereits erwähnt, solltest du dir wirklich Gedanken machen. Als Prüfer würde ich deine Entscheidung und Vorgehensweise bzgl. der Passwörter, mehr als bedenklich finden. Dies hätte mit Sicherheit einen nicht unerheblichen Einfluss auf deine Abschlussnote.

Was genau meinst du: welche Entscheidung soll ich denn bis hier her getroffen haben? Nicht zu verwechseln wäre IST-Zustand und wo es hin gehen soll/kann..

Vieleicht hast du noch ne Minute und schenkst mir ein paar Worte damit ich klar seh.

Vielen Dank

Da bin ich aber beruhigt dass man nur ein(!) Passwort knacken muss um an alle Passwörter ranzukommen.

Auch in Hinsicht dass nur einer das Klartextpasswort sehen kann, lässt sich kein Bedarf für die Klartextspeicherung erkennen.

Dass ihr auch noch ein Sicherheitsunternehmen seid ist bedenklich.

Servus!

Ich stehe irgendwie total auf dem Schlauch.

Anscheinend ist mein Text nicht besonders gut gelungen. Wo steht, das in Klartext gespeichert wird? Erst nach dem Masterpasswort wird in Klartext angezeigt, lokal... den JA! die Kollegen hier haben schon so ne grobe Idee, wie das funktioniert, so mit die IT-Gedöne und dem ganzen Sicherheitsdingens Heisst ja nicht das ich der Crack bin, ich bin Praktikant, aber die Kollegen hier sind es definitiv. (darum wärs nett, wenn man nicht ne FIRMA, oder deren MITARBEITER grundlos runterzieht, nur weil ich vieleicht nicht gut genug bin einen Sachverhalt verständlich wieder zu geben). Aber macht euch ruhig lustig, den Humar hat wer trotzdem lacht

Aber vielen Dank für die kostruktive Kritik.

Moin flashpixx,

danke für die schnelle Antwort.

Ich halte es für fahrlässig Klartextpasswörter zu verwenden, da nützt auch kein neues Managementsystem. Passwörter gehören gehasht & gesalzen und nicht im Klartext. Im Grunde sollte das Design des Systems überarbeitet werden, damit es mit gehashten Passwörtern arbeitet, das was Du hier machst halte ich für mehr als fahrlässig, weil Du im Grunde das Problem nicht erkennst

Kann sein das ich das Problem nicht erkannt habe, vielleicht magst du mir ja auf die Sprünge helfen.

Der Zugriff auf diese Dantebank ist mit einem Masterpasswort gesichert. Mit diesem Passwort ist es möglich sowohl die Einträge aller Kunden im Klartext einzusehen, als auch zu ändern oder zu löschen.

Also erst nach dem das Masterpasswort eingegeben wurde, liegen die Daten in Klartext vor. Masterpasswort zu knacken wäre zwar schwer aber nicht unmöglich. 1 Grund für Systemwechsel.

Bei Anwendung, soll heißen, bei Zugriff auf Kundensystem wird https/ssl Verbindung verwendet, also eigentlich auch nichts mit Klartext. Wo lieg ich falsch, mit meinem Ansatz?

Vielen Dank für die Mitarbeit.

Gruß aus Köln

Hallo werte Mitleser und Ratgeber!

Was ist eure Meinnung zu Folgendem:

1. Projektbezeichnung

Auswahl eines geeigneten Passwort Management Systems mit anschließender Implementierung/Integration in die bestehende Netzwerk Infrastruktur.

1.1 Kurze Projektbeschreibung

a) Erläuterung des Geschäftsprozesses

Einbindung und Schnittstellen des Projekts innerhalb eines Auftrages bzw. Teilauftrages

c) Angaben zum Ist-Zustand, u. a. technische Einrichtungen

d) Ziel des Auftrages und Darstellung des Nutzens für den Anwender/Kunden

Zurzeit verwendet die Firma „XYZ“ eine Open Source Software für die Verwaltung der Logindaten von Kundensystemen, welche in einer Datenbank hinterlegt sind.

Diese Datenbank wird regelmäßig gesichert, auf einem File Server hinterlegt und zwischen zwei Standorten der „XYZ“ synchronisiert. Der Zugriff auf diese Dantebank ist mit einem Masterpasswort gesichert. Mit diesem Passwort ist es möglich sowohl die Einträge aller Kunden im Klartext einzusehen, als auch zu ändern oder zu löschen. Mit der jetzigen Lösung ist nicht nachvollziehbar, welcher Mitarbeiter, wann und mit welchem Passwort, Zugriff auf ein Kundensystem hat. Des Weiteren könnte ein Diebstahl der Datenbank zur Kompromittierung aller Kunden Logindaten führen.

Zur Erhöhung der Unternehmenssicherheit soll das bestehende Passwort Management abgelöst werden. Das Ziel des Projekts ist es, die vollständige Protokollierung sowie Kontrolle über die Zugriffe auf die Kundensysteme zu gewährleisten.

Des Weiteren ist das User Access Management eine Voraussetzung, für die, von der "XYZ" angestrebten Zertifizierung nach ISO 27001.

Es soll eine plattformunabhängige Lösung gefunden werden, in welche sich die bestehenden Datenbankbestände integrieren lassen. Das Verwalten der Logindaten soll ohne direkten Zugriff auf die Datenbank geschehen. Durch Redundanz des Systems, an einem weiteren Standort, soll hohe Verfügbarkeit sowie Ausfallsicherheit erzeugt werden.

Die Integration des neuen Systems wird in einem heterogenen Unternehmensnetzwerk, bestehend aus div. physikalischen als auch virtuellen Maschinen, Linux, Windows, Mac-OS, realisiert. Dem Firmennetzwerk liegt eine Windows Active Directory Domäne zu Grunde.

2.0 Projektumfeld

Das Unternehmen „XYZ“ mit seiner Hauptniederlassung in Timbuktu und einer Zweigstelle in Bokinafaso, beschäftigt zurzeit 35 Mitarbeiter. Das Betätigungsfeld der Firma besteht hauptsächlich in dem Vertrieb und Support von IT Sicherheitslösungen. Des Weitern bietet die „XYZ“ auch Schulungen rund um die IT Sicherheit an.

Als Praktikant bin ich der Abteilung Technik zugewiesen, in welcher ich auch das Projekt durchführe, da es sich um ein internes Projekt handelt.

3.0 Projektplanung einschließlich Zeitplanung

a) Angaben der Projektphasen,

Nennung der erforderlichen, wesentlichen Arbeitsschritte mit Vernetzungen

c) Kennzeichnung der prüfungsrelevanten Phasen

d) Tabellarische Auflistung der Phasen und deren zeitliche Aufwände

Definitionsphase (2,5h)

- Besprechung Auftrag (1h)

- Ist-Analyse (0,5h)

- Soll-Konzept (1h)

Planungssphase (11h)

- Erstellung eines Projektstrukturplan (1h)

- Erstellung Zeitplan mittels Projektablaufplan, Netzplan (2h)

- Evaluieren möglicher Lösungen (4h)

- Erstellen einer Vergleichsmatrix (2h)

- Entscheidungsfindung (1h)

- Kostenanalyse (1h)

Realisierungsphase (12h)

- Erwerb und Download der Software (1h)

- Installation der ermittelten Software auf EXSi / VMware (1h)

- Anpassen der Software an die Unternehmensanforderung (2h)

- Erstellung und Anpassung eines clones für Test von Failover auf EXSi (2h)

- Sicherung und Migration der bestehenden Datenbank (1h)

- Testen auf korrekte Ausführung (3h)

- Puffer (2h)

Abschlussphase (9,5h)

- Fazit (0,5h)

- Erstellung Projektdokumentation (8h)

- Projektübergabe/Abschlussbesprechung (1h)

Gesamt (35h)

4.0 geplante Dokumentation zur Projektarbeit

......

Vielen Dank für eure Zeit und Gruß aus Köln

Moinmoin!

Danke für die Literatur Hinweise!

Hallo,

Vielleicht sind eure Dozenten auch schlicht unterfordert, weil bisher kaum Fragen von euch gestellt werden. ... Das kann man ja auch ändern.

Wie schon geschrieben, Grundsatzdiskussion macht keinen Sinn. Die ITSE werden hier in der Schule total ver...scht. Unterrichtsinhalte werden gebogen, sodas aus Elktrotechnik mal eben Netzwerktechnik wird. Praktische Inhalte gleich 0,00! Zur Zeit machen wir am Tag eine freiwillge Überstunde und bekommen da via TELElearning doch noch mal was beigebracht. Das heisst 8h. Netzwerke + 1h. Elktro Unterricht (da is man dann so richtig gar im Kopf), aber alles ist besser als nix!

Grüsse aus dem sonnigen Köln!