Ablehnung - Verbesserung Projektantrag - bitte um Hilfe

[Kölner]

Moinmoin liebe Mitlesende und Ratgebende.

Ich habe gestern die vorläufige Ablehnung zum Projektantrag erhalten mit folgender Bemerkung:

Sehr geehrter Herr, der Antrag ist sehr ausführlich beschrieben allerdings ist nicht genau beschrieben was ihre Aufgaben bei dem Projekt sein werden und welche Schnittstellen noch an diesem Projekt beteiligt sind.

Bitte stellen Sie ihre Tätigkeiten bei dem Projekt klar heraus

Da ich nach gefühlter 100ste Bearbeitung des Antrags völlig Betriebsblind bin und eigentlich gedacht das soweit klar wäre: WAS das Problem ist, das ich entsprechende LÖSUNGEN SUCHE, diese VERGLEICHE und IMPLEMENTIERE. (gross geschriebenes gilt hier nur zur Hervorhebung)

Aber erstens kommt es anders und zweitens als man denkt. Da ich in keinem bisher gelesen Antrag irgendwelche Ich – Botschaften gelesen habe (z.B. ich vergleiche Angebot A mit , kann ich mir nur vorstellen das sich die Kritik des PA auf die Projektplanung / Phasen bezieht ??

Bevor ich mich nun heulend hintern Bus schmeisse, oder aus dem 1 Stock springe hat noch jemand eine Idee? Vorab vielen Dank, an wen auch immer, der sich die Mühe macht, das hier zu lesen.

1* Projektbezeichnung

Einführung einer Passwort Management Lösung zur Einhaltung der IT-Compliance.

1.1* Ausgangssituation

Zurzeit verwendet die Firma XYZ GmbH & Co. KG eine Open Source Software für die Verwaltung der Login-Daten von Kundensystemen, welche in einer Datenbank hinterlegt sind.

Diese Datenbank wird regelmäßig auf einem File Server gespeichert und zwischen zwei Standorten der XYZ synchronisiert. Der Zugriff auf diese Daten ist mit einem Masterpasswort gesichert und ist nur den Mitarbeitern des Premium Service gestattet.

Mit diesem Masterpasswort ist es möglich, die Kunden-Passwörter und IP-Adressen einzusehen sowie diese zu ändern oder zu löschen.

Die jetzige Lösung bietet weder die Möglichkeit den Mitarbeiter, den Zeitpunkt, noch die angefragten Login-Daten von Kundensystemen, zu bestimmen. Des Weiteren könnte ein Diebstahl der Datenbank zum Verlust aller Kunden Passwörter führen, da eine Brute Force Attacke zwar schwierig, aber dennoch möglich ist.

1.2* Zielsetzung

Die XYZ strebt für ihre Abteilung "Premium Services" die Zertifizierung nach ISO 27001 an.

Im Rahmen der Zertifizierung müssen die Vorgaben für das User Access Management erfüllt werden.

Zudem soll zur Erhöhung der Unternehmenssicherheit die bestehende Passwortverwaltung abgelöst werden.

Das neue System muss dazu Nachvollziehbarkeit über die Zugriffe der XYZ-Mitarbeiter auf die kundenbezogenen Daten gewährleisten, d.h. es muss nachträglich ablesbar sein, welcher Mitarbeiter zu welchem Zeitpunkt auf welche Kundendaten Zugriff genommen hat.

Zudem sollte eine möglichst granulare Rechtevergabe den Zugriff auf die Daten reglementieren.

Der lesende Zugriff auf Kunden-Passworte und deren Verwaltung soll über eine Management-Oberfläche realisiert sein. Ein direkter Zugriff der XYZ-Mitarbeiter auf die zugrundeliegende Datenbank sollte ausgeschlossen sein.

Es soll eine plattformunabhängige Lösung gefunden werden, in welche sich die bestehenden Kundendaten und Strukturen integrieren lassen. Durch Redundanz des Systems an einen weiteren Standort soll hohe Verfügbarkeit sowie Ausfallsicherheit erzielt werden.

1.3*Konsequenzen bei Nichtverwirklichung

Bei Nichtverwirklichung des Projekts wird ein Teilaspekt, für die angestrebte Zertifizierung nach ISO27001, nicht erfüllt sein.

Das hätte die Bindung personeller Ressourcen zur Ausarbeitung anderer Lösungen zur Folge.

Direkte Abhängigkeiten zu anderen, noch zu realisierenden Projekten für die ISO-Zertifizierung bestehen nicht.

2* Projektumfeld/Rahmenbedingungen

Das Unternehmen XYZ GmbH & Co KG mit seinem Hauptsitz in Timbuktu und einer Zweigstelle in Nimmerland, beschäftigt zurzeit 35 Mitarbeiter. Das Betätigungsfeld der Firma besteht hauptsächlich in dem Vertrieb und Support von IT-Sicherheitslösungen. Im Bereich des Premium Service stellt die XYZ erweiterte Dienstleistungen, wie zum Beispiel Hotline, Fernwartung, System Monitoring oder auch Änderungen von Systemkonfigurationen, zur Verfügung.

Des Weiteren bietet die XYZ Consulting, Projektmanagement und Schulungen rund um die IT-Sicherheit an.

Als Praktikant der Abteilung Technik führe ich dieses XYZ-interne Projekt durch.

Die Integration des neuen Systems wird in einem heterogenen Unternehmensnetzwerk realisiert. Es besteht aus diversen physikalischen Infrastrukturkomponenten sowie virtuellen Maschinen. Dem Premium Service steht ein eigenes Subnetz, getrennt durch eine Firewall, zur Verfügung. Dem Firmennetzwerk liegt eine Windows Active Directory Domäne zu Grunde.

3* Projektplanung/Projektphasen

Definitionsphase (3h)

- Besprechung Auftrag (1h)

- Ist-Analyse (1h)

- Soll-Konzept (1h)

Planungsphase (12h)

- Erstellung eines Projektstrukturplan (1h)

- Erstellung Zeitplan mittels Projektablaufplan, Netzplan (2h)

- Evaluierung möglicher Lösungen (4h)

- Erstellung einer Vergleichsmatrix (2h)

- Entscheidungsfindung (1h)

- Kostenanalyse (1h)

- Erstellung eine Prüfkatalogs (1h)

Realisierungsphase (10h)

- Erwerb und Download der Software (0,5h)

- Installation der ermittelten Software in einer virtuellen Umgebung (1h)

- Anpassung der Software an die Unternehmensanforderung (1h)

- Sicherung und Überführung der bestehenden Datenbestände (1h)

- Erstellung und Anpassung eines Abbilds für eine Ausfallsicherung, in einer virtuellen Umgebung(1,5h)

- Erstellung von Sicherungsstrategie für Datenbank(1h)

- Testen auf korrekte Ausführung (2h)

- Qulitätssicherung (1h)

- Puffer (1h)

Abschlussphase (10h)

- Fazit (0,5h)

- Erstellung Projektdokumentation (8h)

- Projektübergabe/Einweisung (1h)

- Abschlussbesprechung (0,5)

3.2* Ergebnis

Das zu erwartende Ergebnis bildet eine Lösung zur Verwaltung der kundenspezifischen Login-Daten ab. Eine regelbare Zugriffssteuerung, die Protokollierung aller Zugriffe, sowie die hohe Verfügbarkeit sind die Hauptkriterien zur Erfüllung des Projektziels.

Das angestrebte Projektergebnis wird anhand des Projektauftrags sowie dem Soll-Konzept genauer formuliert. Anhand eines Testfallkatalogs, Soll–Ist Vergleich sowie der Qualitätssicherung wird das Ergebnis dokumentiert. Wirtschaftliche Ergebnisse werden durch eine Kostenanalyse abgebildet.

[flashpixx]

1 Thema = 1 Thread, Dein Antrag bezieht sich auf http://www.fachinformatiker.de/abschlussprojekte/157955-passwort-management-system-zu-duenn.html

Du hast im Grunde aus dem alten Thread nichts an Informationen übernommen und die Antwort des PAs ist klar, denn letztendlich "installierst Du nur ein Tool" und das ist nicht ausreichend. Du befasst Dich in keiner Weise mit einer Problemstellung und daraus resultierend mit Deiner Arbeit. Zusätzlich ist vieles für mich im Antrag nicht wirklich von Bedeutung, denn es ist sprichwörtlich viel Füllstruktur dabei, die eben einen umfangreichen Antrag schafft, aber die Kernproblematik völlig oberflächlich behandelt. Ich empfehle Dir, schreibe in je 3 Stichworten einmal das IST- & SOLL-Konzept, die Problemstellung und die grobe Umsetzung auf und aufgrund dessen kannst Du dann auch direkt sehen, wo es Abgrenzungen zu anderen Themen- / Abteilungen gibt.

Z.B. (ich drücke es mal hart aus)

1* Projektbezeichnung

Einführung einer Passwort Management Lösung zur Einhaltung der IT-Compliance.

Schön Deine Entscheidung steht schon fest, wie kann das sein, Du hast nichts evaluiert? Also ist Dein Projekt nur eine einfache Installation, das kann auch ein Praktikant machen

1.2* Zielsetzung

Die XYZ strebt für ihre Abteilung "Premium Services" die Zertifizierung nach ISO 27001 an.

Im Rahmen der Zertifizierung müssen die Vorgaben für das User Access Management erfüllt werden.

Was bringt Deinem Projekt, dass die Abteilung ISO 27001 zertifiziert ist? Das ist für mich im Grunde der Punkt, dass Du hier versuchst Deinem Projekt Tiefe zu geben, obwohl Du keine drin hast, denn ein Installationsprojekt kann man schnell abreißen.

Das neue System muss dazu Nachvollziehbarkeit über die Zugriffe der XYZ-Mitarbeiter auf die kundenbezogenen Daten gewährleisten, d.h. es muss nachträglich ablesbar sein, welcher Mitarbeiter zu welchem Zeitpunkt auf welche Kundendaten Zugriff genommen hat.

Zudem sollte eine möglichst granulare Rechtevergabe den Zugriff auf die Daten reglementieren.

ja und? Da trägt jemand einfach die User mit entsprechenden Rollen ein und das wars dann? Oder gibt es evtl, wenn Du hier schon von einer Zertifizierung redest, ein Konzept, was eben aus Geschäftprozesssicht das Rollenkonzept stützt? Im Grunde auch wieder viele Worte mit wenig Inhalt.

1.3*Konsequenzen bei Nichtverwirklichung

Bei Nichtverwirklichung des Projekts wird ein Teilaspekt, für die angestrebte Zertifizierung nach ISO27001, nicht erfüllt sein.

Das hätte die Bindung personeller Ressourcen zur Ausarbeitung anderer Lösungen zur Folge.

Direkte Abhängigkeiten zu anderen, noch zu realisierenden Projekten für die ISO-Zertifizierung bestehen nicht.

Ach ja, also ist die genannte Zertifizierung völlig unerheblich für das Projekt. Warum redest Du um den heißen Brei bzw. warum erzeugst Du hier sprichwörtlich Fülltext ohne Inhalt.

Für mich ein Hilfeschrei, dass dieses Projekt "unbedingt und genauso wie Du es beschreibst umgesetzt werden muss", denn "was wird das denn wohl alles kosten, wenn Du Dein Projekt nicht so umsetzt". Was kostet es denn, wenn Dein Projekt scheitert? Was sind Pro und Contra-Argumente für das Projekt?

Außerdem wie kannst Du von Konsequenzen reden, wenn überhaupt nicht klar ist, wie das Projekt durchgeführt wird? Entweder hast Du harte Fakten vorliegen, die Deine Argumente stützen oder es sind wieder nur leere Worte.

Die Integration des neuen Systems wird in einem heterogenen Unternehmensnetzwerk realisiert. Es besteht aus diversen physikalischen Infrastrukturkomponenten sowie virtuellen Maschinen. Dem Premium Service steht ein eigenes Subnetz, getrennt durch eine Firewall, zur Verfügung. Dem Firmennetzwerk liegt eine Windows Active Directory Domäne zu Grunde.

Wie steht das in Zusammenhang zu Deinem Projekt bzw. was sind "Infrastrukturkomponenten" und warum müssen es virtuelle Maschinen sein", also ein physikalischer Server wäre also nicht zugelassen. Benutze die richtigen Fachbegriffe, so ist das für mich eher wieder nur Fülltext.

Bringe den Antrag auf den Punkt mit klaren Grenzen. Es geht nicht darum, dass Du hier Prosa schreiben kannst, sondern es geht darum ein technisches Projekt anhand von klaren Definitionen im Geschäftskontext von anderen Projekten abzugrenzen und darzulegen, warum es notwendig ist das Projekt durchzuführen und wie sich dies auf den Gesamtgeschäftsprozess auswirkt (im Sinn von Umsatz).

Bearbeitet 20. September 2013 von flashpixx

[Kölner]

Schön Deine Entscheidung steht schon fest, wie kann das sein..

Ja das ist korrekt, das ist das was der Kunde möchte. Eine softwarebasierte Passwortlösung wie sie umschrieben wurde.

Meine Aufgabe wird sein: eine Lösung finden anhand der Kriterien welche in der Zertifizierung gefordert werden. Dazu müssen Kriterien ausgearbeitet und Priorisiert werden. Das bedingt Recherche zu Produkten, Angebotseinholung, und den Vergleich der Lösungen. Zu guter Letzt eine Empfehlung an den Kunde: das Produkt kann das und das und kostest soviel.

Was bringt Deinem Projekt, dass die Abteilung ISO 27001 zertifiziert ist? Das ist für mich im Grunde der Punkt, dass Du hier versuchst Deinem Projekt Tiefe zu geben, obwohl Du keine drin hast, denn ein Installationsprojekt kann man schnell abreißen.

Das Projekt besteht hauptsächlich wegen der Zerti, ob du es nun glaubst oder auch nicht.

(Ich weiß das das nicht für sinnvoll hältst, hab ich schon vorher verstanden. Es wird so gewünscht und es wird 100% so durchgeführt werden. Egal ob ich es tue oder jemand anderes)

ja und? Da trägt jemand einfach die User mit entsprechenden Rollen ein und das wars dann? Oder gibt es evtl, wenn Du hier schon von einer Zertifizierung redest, ein Konzept, was eben aus Geschäftprozesssicht das Rollenkonzept stützt? Im Grunde auch wieder viele Worte mit wenig Inhalt.

Ja korrekt auch bedingt durch Zerti: nachzulesen unter zugangskontrolle

Ach ja, also ist die genannte Zertifizierung völlig unerheblich für das Projekt. Warum redest Du um den heißen Brei bzw. warum erzeugst Du hier sprichwörtlich Fülltext ohne Inhalt.

Für mich ein Hilfeschrei, dass dieses Projekt "unbedingt und genauso wie Du es beschreibst umgesetzt werden muss", denn "was wird das denn wohl alles kosten, wenn Du Dein Projekt nicht so umsetzt". Was kostet es denn, wenn Dein Projekt scheitert? Was sind Pro und Contra-Argumente für das Projekt?

Die Zerti ist ausschlagegebend. Aber auch ohne Zerti hat das Projekt eine Mehrwert, den es besser als die vorherige Lösung. Andere Lösung wäre 4 Augenprinzip,also immer 2 Mitarbeiter zu jeder Zeit en Zettel+ Stift & en Safe. Ja kann was kosten… Das Gesamtkonzept der Zerti sind mehr als 2000 Arbeitsstunden. Trotzdem wenn mein Anteil nicht durchgeführt würde, berührt es erst mal nicht andere Projekte. Sprich es gibt keine direkten Abhängigkeiten, wie ein Folgeprojekt das nicht starten könnte.

Außerdem wie kannst Du von Konsequenzen reden, wenn überhaupt nicht klar ist, wie das Projekt durchgeführt wird? Entweder hast Du harte Fakten vorliegen, die Deine Argumente stützen oder es sind wieder nur leere Worte.

Ist nicht mein Wunsch über die Konsequenzen zu schreiben, ist gerade der neuste Schrei der IHK und wird von mir im Eingabefeld gefordert.

Wie steht das in Zusammenhang zu Deinem Projekt bzw. was sind "Infrastrukturkomponenten" und warum müssen es virtuelle Maschinen sein", also ein physikalischer Server wäre also nicht zugelassen. Benutze die richtigen Fachbegriffe, so ist das für mich eher wieder nur Fülltext.

Pysikalischer Server gehört für mich zur Infrastruktur…

Danke sehr ich werd darüber nachdenken

[flashpixx]

Ja das ist korrekt, das ist das was der Kunde möchte. Eine softwarebasierte Passwortlösung wie sie umschrieben wurde.

Das hatte ich in dem anderen Antrag schon geschrieben, wenn genau das so sein soll, dann ist das Projekt ungeeignet als Abschlussprojekt.

Das Projekt besteht hauptsächlich wegen der Zerti, ob du es nun glaubst oder auch nicht.

(Ich weiß das das nicht für sinnvoll hältst, hab ich schon vorher verstanden. Es wird so gewünscht und es wird 100% so durchgeführt werden. Egal ob ich es tue oder jemand anderes)

Es ist völlig unerheblich was ich darüber denke, aber Du widersprichst Dir in Deinem Antrag selbst, denn auf der einen Seite sagst Du "Zertifizierung wichtig" auf der anderen "Zertifizierung ist für das Projekt nicht relevant", daraus folgt "Zertifizierung obsolet". Also was willst Du nun Zertifizierung "ja" oder "nein"?

Ja korrekt auch bedingt durch Zerti: nachzulesen unter zugangskontrolle

Das ist völlig irrelevant, denn wenn Du Dich nicht für die Zertifizierung klar entscheiden kannst, dann spielt dies auch keine Rolle.

Die Zerti ist ausschlagegebend. Aber auch ohne Zerti hat das Projekt eine Mehrwert, den es besser als die vorherige Lösung.

An welchen objektiven (!) Kritierien kannst Du das messen? Ich werfe mal das Stichwort "Metrik" in den Raum, wie lautet Deine Metrik und wieso kannst Du das schon im Antrag bevor das Projekt beendet wurde. Was ist wenn das Projekt völlig scheitert, dann hättest Du Kosten gehabt, kein abgeschlossenes Projekt, d.h. Verlust. Du kannst mir nicht erzählen, dass das Projekt dann noch besser ist als die aktuelle Lösung.

Das Gesamtkonzept der Zerti sind mehr als 2000 Arbeitsstunden.

Was hat das Gesamtprojekt für eine Relevanz für Dich, wenn Du eben auch auf die Zertifizierung verzichten kannst, dann ist Dein Projekt völlig losgelöst von allem anderen.

Trotzdem wenn mein Anteil nicht durchgeführt würde, berührt es erst mal nicht andere Projekte. Sprich es gibt keine direkten Abhängigkeiten, wie ein Folgeprojekt das nicht starten könnte.

Ich zitiere Dich selbst:

Die Zerti ist ausschlagegebend.

Merkst Du, wie widersprüchlich Deine Argumentation ist?

Pysikalischer Server gehört für mich zur Infrastruktur…

Dann schreib es auch so.

Allgemeine Anmerkung: Du redest Dich im Antrag um Kopf & Kragen und Du grenzt eben nicht klar das Projekt ab und genau das ist die Kritik der IHK. Du bist extrem unpräzise in Deinen Ausführungen und Du widersprichst Dir selbst. Wenn die Zertifizierung wichtig für Dein Projekt ist, dann gehört das in den Antrag klar formuliert rein, wenn nicht, dann lass es ganz weg (Stichwort ist es optional oder nicht). Schreibe kurze klare Sätze, die nicht viel Interpretationsspielraum lassen.

Ansonsten zur Thematik, wenn Du den Auftrag hast ein Passwortmanagement zu suchen, dann reicht das nicht für ein Projekt, das wurde in Deinem letzten Antrag schon geschrieben. Was ist das Problem, wenn die Lösung heißt "Passwort Management"? Da ich die andere Diskussion kenne, weiss ich was Du willst, aber es ist völlig egal was Du willst oder was Du denkst zu wollen, sondern es zählt das, was in dem Antrag steht.

[Kölner]

OK Ich glaub ich versteh dich jetzt schon etwas besser.

Danke flashpixx

[FiSi-Azubi-W13]

Hallo Kölner,

würdest du deinen überarbeiteten Antrag nochmal hier drunter posten? Dann sehen wir, was du umsetzt und kannst dann wieder sagen ob genehmigt oder nicht und ob du vlt. sogar ein neues Projekt nimmst. Wäre echt spannend.

Gruß

FiSi-Azubi

[Kölner]

Hallo Kölner,

würdest du deinen überarbeiteten Antrag nochmal hier drunter posten? Dann sehen wir, was du umsetzt und kannst dann wieder sagen ob genehmigt oder nicht und ob du vlt. sogar ein neues Projekt nimmst. Wäre echt spannend.

Gruß

FiSi-Azubi

Danke für dein Interesse.

Ich werd den Antrag jetzt nicht noch mal hier hochladen, da sich von der Thematik nichts verändert hat.

Der Punkt war, das ich teilweise flashpixx Argumentation nicht so ganz folgen konnte. Womit er aber den Nagel mittig auf den Kopf traf, ist meine umständliche Art zu schreiben. Ich hab das alles mal meiner Frau zu lesen gegeben und die hat von der Informatik noch weniger Schimmer als ich Das half mir einige Dinge klarer heraus zu stellen. Wenn man so ein Teil 178 mal gelesen hat, ist für einen selber selbverständlich was gemeint ist (eben Betriebsblindheit). Wie auch immer, der PA hat sich gnädig gezeigt und den Antrag angenommen..

Nur so aus meiner Sicht der Dinge und sehr allgemein auch auf andere Forenbeiträde:

Es wird heute zu Tage sehr gerne und häufig das Argument angebracht: Das ist ja "nur" ein Installations Projekt oder auch gerne "Klickibunti..."

Ich bin nicht wirklich überzeugt ob das irgend jemand weiterhilft, den:

1. unterm Strich wird man dann wohl irgendwann irgend etwas zu installieren haben, so trifft dann die Argumentation bei jedem FISI -Projekt irgendwie zu. (klar voher Analyse was fürn Problem, wie kann man das lösen, was kostet die Lösung usw.)

2. Man kann ganz bestimmt Nichts dafür, das mittlerweile 2013 ist. Da ist die Software nun mal sehr komfortabel geworden und nicht Jeder benötigt en Core Server..

Aber egal! Euch allen, alles Jute und viel Erfolg