Zum Inhalt springen

Projektantrag: Implementierung eines zentralen Passwort-Management-System


Gast _NeXuS

Empfohlene Beiträge

Hallo zusammen :)

Nachdem der erste Antrag nicht so toll war, kommt jetzt mein zweiter Versuch.
Feedback ist sehr Willkommen. :)

 

Thema der Projektarbeit:
Implementierung eines zentralen Passwort-Management-System

2 Geplanter Bearbeitungszeitraum
Beginn: 07.10.2019
Ende: 01.11.2019

 

 

3 Projektbeschreibung

Momentan werden Passwörter für Service-Accounts und allgemein genutzte Admin-Accounts im firmeninternen Wikipedia verschlüsselt hinterlegt und verwaltet. Das firmeninterne Wikipedia war ursprünglich nie für eine Passwortverwaltung ausgelegt. Zudem ist ein Teil des Wikipedia für externe vertrauenswürdige Netzwerke erreichbar, was wiederum ein Sicherheitsrisiko darstellt.

Da keine zentrale Verwaltung vorliegt mussten beim Ausscheiden von Administratoren aus der Firma wichtige Passwörter mit viel organisatorischen Aufwand  an allen betroffenen Systemen geändert werden, auch um Missbrauch zu vermeiden.  Hierunter fallen z.B. Passwörter die für Windowsdienste genutzt werden.
Die Passwörter sollen zukünftig unter wirtschaftlicher Berücksichtigung durch ein Passwort-Management-System zentral gespeichert und verwaltet werden können, um den organisatorischen Aufwand zu verringern. Zudem sollen eine Rechtestruktur, Benutzerverwaltung und eine revisionssichere Protokollierung vorhanden sein, damit nicht alle Benutzer alle Passwörter sehen, bearbeiten oder hinzufügen können und jede Änderung nachvollziehbar ist.


 

 

4 Projektumfeld

Die XXX betreut ca. 1.600 Mitarbeiter in Deutschland, verteilt auf über 100 Kanzleien. Die komplette EDV wird von einem zweigeteilten Team administriert. Fünf Mitarbeiter sind für die Serverwartung, Instandhaltung, Planung und Implementierung neuer Inhalte zuständig. Dies ist auch der Arbeitsbereich des Projektantragstellers. Sieben Mitarbeiter (XXXX) sind für den First-Level Support zuständig und bearbeiten alle anfallenden Störungen bzw. Probleme beim Endnutzer. Das XXXX-Netz erstreckt sich über zwei räumlich getrennte Rechenzentren. Die Serverlandschaft läuft auf der
Virtualisierung-Umgebung VMware und wird über eine Citrix-Umgebung bereitgestellt. Zum
Einsatz kommen Windows Server 2019, sowie weitere Microsoft Produkte und mehrere DATEV-Lösungen.

 

 


5 Projektphasen mit Zeitplanung

 


Planungsphase: 2,5h

 

Projektbesprechung und Zieldefinition - 1h
IST-Analyse – 1,0h

Konzeptionsphase: 7,5h

Erstellen des SOLL-Konzepts - 1,5h
Erstellung des Anforderungskatalogs - 1,5h
Produktvergleich - 2,5h
Kostenanalyse - 1h
Entscheidung der Lösung - 1h

Realisierungsphase: 9h

Installation der VM – 1,5h
Installation und Konfiguration des Passwort-Management-Systems – 5,0h
Tests - 3h

Abschlussphase: 16h

Soll-Ist-Abgleich - 2h
Erstellung der Projektdokumentation – 7,5h
Erstellung einer Anleitung für eigene Abteilung – 1,5h
Rollout und Projektabschluss – 5h

Gesamt: 35h

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Vielen Dank für das Feedback. :)
Ich hab meinen Antrag nochmal angepasst.

1 Thema der Projektarbeit
Implementierung eines zentralen Passwort-Management-Systems

2 Geplanter Bearbeitungszeitraum
Beginn: 07.10.2019
Ende: 01.11.2019

3 Projektbeschreibung
A.) Problembeschreibung (Ist-Zustand)


Momentan werden Passwörter für Service-Accounts, allgemein genutzte Admin-Accounts und Webseiten sowie für ca. 800 virtuelle Server im firmeninternen Wikipedia verschlüsselt hinterlegt und verwaltet. Ursprünglich war dieses nicht für die Verwaltung von über 800 Passwörtern ausgelegt.
Die Administration unserer IT-Infrastruktur erfordert aus Datenschutzgründen sichere und unterschiedliche Passwörter. Zudem ist ein Teil des Wikipedia für externe vertrauenswürdige Netzwerke erreichbar, was wiederum ein Sicherheitsrisiko darstellt.
Da keine zentrale Verwaltung vorliegt, mussten beim Ausscheiden von Administratoren aus der Firma wichtige Passwörter mit viel organisatorischen Aufwand an allen betroffenen Systemen geändert werden, um Missbrauch zu vermeiden.

B.) Ziel des Projektes (Sollzustand)

Die Passwörter sollen zukünftig, unter Berücksichtigung wirtschaftlicher Aspekte,
durch ein Passwort-Management-System zentral im Rechenzentrum gespeichert und verwaltet werden können.
Es wird verhindert das betroffene Passwörter an mehreren Systemen manuell geändert werden müssen. Damit reduziert sich der organisatorische Aufwand.
Um sicher zu stellen, dass  jede Änderung nachvollziehbar dokumentiert ist, ist eine revisionssichere Protokollierung unter aktuellen Datenschutzrichtlinien vorgesehen.
Zudem soll eine Rechtestruktur mit AD-Integration vorhanden sein, um die Passwort-Einsicht bei betroffenen User-Accounts zu beschränken.
Die Passwort-Management-Software soll in der Lage sein die Passwörter zu filtern, sowie übersichtlich und ansprechend darzustellen.
Bei der Implementierung des Servers müssen die IT-Sicherheitsstandards der Firma eingehalten werden, um im Störungsfall weiter auf die Passwörter zugreifen zu können.

4 Projektumfeld
Die XXXX GmbH betreut ca. 1.600 Mitarbeiter in Deutschland, an über 100 Standorten. Die komplette EDV wird von einem zweigeteilten Team administriert. Fünf Mitarbeiter sind für die Serverwartung, Instandhaltung, Planung und Implementierung neuer Inhalte zuständig. Dies ist auch der Arbeitsbereich des Projektantragstellers. Sieben Mitarbeiter (davon vier am Standort XXX) sind für den User-Helpdesk tätig und bearbeiten alle anfallenden Störungen bzw. Probleme beim Endnutzer.
Das XXX-Netz erstreckt sich über zwei räumlich getrennte Rechenzentren. Die Serverlandschaft läuft auf der Virtualisierung-Umgebung VMware und wird über eine Citrix-Umgebung bereitgestellt. Zum Einsatz kommen Windows Server 2019 sowie weitere Microsoft Produkte und mehrere DATEV-Lösungen.

5 Projektphasen mit Zeitplanung

Planungsphase: 2,0h

Projektbesprechung und Zieldefinition - 1h
IST-Analyse – 1,0h

Konzeptionsphase: 7,5h
Erstellen des SOLL-Konzepts - 1,5h
Erstellung des Anforderungskatalogs - 1,5h
Produktvergleich - 2,5h
Kostenanalyse - 1h
Entscheidung der Lösung - 1h

Realisierungsphase: 9,5h
Installation der VM – 1,5h
Installation und Konfiguration des Passwort-Management-Systems – 5,0h
Tests - 3h

Abschlussphase: 16h
Soll-Ist-Abgleich - 2h
Erstellung der Projektdokumentation – 7,5h
Erstellung einer Anleitung für eigene Abteilung – 1,5h
Rollout und Projektabschluss – 5h

Gesamt: 35h

Link zu diesem Kommentar
Auf anderen Seiten teilen

Am 13.8.2019 um 13:35 schrieb Markus#14:

@mapr wie sieht denn dann Deine Vorstellung aus? Soll ein Azubi das IT-Rad neu erfinden? Solche Aussagen helfen meiner Meinung nach wenig. Passwortmanager gibt es sicher viele aber hier ist die Rede von einer zentralen IT Lösung im RZ. Wir reden nicht von KeePass odern ähnlichem.

Selbst bei einer RZ Lösung sehe ich manche der geforderten Punkte als schwer umsetzbar.

Mir ist kein System bekannt, bei dem ich hinterlegte Kennwörter automatisch ändern kann (ich sage aber nicht, dass es so was nicht gibt). Das mag bei Windows Dienstkonten noch funktionieren, aber wenn das Kennwort für den LDAP-User in Drittanbietersoftware eingetragen ist, muss ich mich ja trotzdem händisch einloggen und das Kennwort anpassen. Oder bei Webportalen etc.

Jeder RZ-Software die ich mir hierzu angeschaut habe macht auch nicht viel anders als Keepass, nur eben als Serverlösung mit ggf. AD-Integration.

Der organisatorische Aufwand eines "kick an admin" Prozesses ist nicht zu unterschätzen, gerade in Bezug auf Konsistenz. Ich muss ja in diesem Zuge nicht nur das Kennwort ändern, sondern (gerade wenn man sich nicht im Guten trennt und die Trennung ggf absehbar war) prüfen ob es noch andere, nicht dokumentierte Zugänge gibt.

Hier hilft nur eine konsequente Trennung der Kennwörter (AD Admin braucht keine Zugangsdaten zur Firewall, Netzwerkadmin muss nicht auf den Exchange...). Selbst eine Trennung mit AD Gruppen schafft keine absolute Sicherheit, dann pack ich meinen User halt in die Gruppe der Netzwerkadmins, hol mir die Kennwörter und entferne den User dann wieder.

Ich persönlich bin der Meinung, ohne ändern ALLER Kennwörter kann nie sichergestellt werden, dass der Ex-Kollege nicht doch irgendwo Zugriff hat.

Und für den Störungsfall hilft eigentlich nur ein aktueller Ausdruck (so richtig oldschool auf Papier) im versiegelten Umschlag im Safe der GF und/oder auf der Bank. Bei einem Totalcrash des SAN komm ich nicht ans Backup weil ich kein Kennwort habe, weil das nur digital auf genau jenem SAN das sich gerade mit Rauchzeichen verabschiedet... Blöd :D

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dass der Antrag vermutlich so durchgeht ... aber die Tücken bei dem Thema so gross sind, dass Du Dich verrennst.

Nehmen wir mal an mein persönliches Passwort sei ein personenbezogenes Datum. Darfst Du das denn überhaupt zentral hinterlegen und zwar so, dass andere das Einsehen können ?

Wie verfügbar muss diese neue Lösung sein ?

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 1 Minute schrieb charmanta:

Dass der Antrag vermutlich so durchgeht ... aber die Tücken bei dem Thema so gross sind, dass Du Dich verrennst.

Nehmen wir mal an mein persönliches Passwort sei ein personenbezogenes Datum. Darfst Du das denn überhaupt zentral hinterlegen und zwar so, dass andere das Einsehen können ?

Wie verfügbar muss diese neue Lösung sein ?

Es geht nicht darum die Passwörter von Usern zu ändern sondern um die Passwörter für Service-Accounts, allgemein genutzte Admin-Accounts und Webseiten sowie für ca. 800 virtuelle Server. Auf diese Passwörter können nur Admins zugreifen. Da gibt es keine persönlichen Passwörter.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 2 Stunden schrieb Maniska:

Selbst bei einer RZ Lösung sehe ich manche der geforderten Punkte als schwer umsetzbar.

Mir ist kein System bekannt, bei dem ich hinterlegte Kennwörter automatisch ändern kann (ich sage aber nicht, dass es so was nicht gibt). Das mag bei Windows Dienstkonten noch funktionieren, aber wenn das Kennwort für den LDAP-User in Drittanbietersoftware eingetragen ist, muss ich mich ja trotzdem händisch einloggen und das Kennwort anpassen. Oder bei Webportalen etc.

Jeder RZ-Software die ich mir hierzu angeschaut habe macht auch nicht viel anders als Keepass, nur eben als Serverlösung mit ggf. AD-Integration.

Der organisatorische Aufwand eines "kick an admin" Prozesses ist nicht zu unterschätzen, gerade in Bezug auf Konsistenz. Ich muss ja in diesem Zuge nicht nur das Kennwort ändern, sondern (gerade wenn man sich nicht im Guten trennt und die Trennung ggf absehbar war) prüfen ob es noch andere, nicht dokumentierte Zugänge gibt.

Hier hilft nur eine konsequente Trennung der Kennwörter (AD Admin braucht keine Zugangsdaten zur Firewall, Netzwerkadmin muss nicht auf den Exchange...). Selbst eine Trennung mit AD Gruppen schafft keine absolute Sicherheit, dann pack ich meinen User halt in die Gruppe der Netzwerkadmins, hol mir die Kennwörter und entferne den User dann wieder.

Ich persönlich bin der Meinung, ohne ändern ALLER Kennwörter kann nie sichergestellt werden, dass der Ex-Kollege nicht doch irgendwo Zugriff hat.

Und für den Störungsfall hilft eigentlich nur ein aktueller Ausdruck (so richtig oldschool auf Papier) im versiegelten Umschlag im Safe der GF und/oder auf der Bank. Bei einem Totalcrash des SAN komm ich nicht ans Backup weil ich kein Kennwort habe, weil das nur digital auf genau jenem SAN das sich gerade mit Rauchzeichen verabschiedet... Blöd :D

Das muss ich tatsächlich ausbessern.

Es soll so weit es möglich ist automatisch geändert werden können. Das ich damit alle Passwörter automatisch ändern kann wird wahrscheinlich nicht möglich sein.

vor 2 Stunden schrieb charmanta:

Dass der Antrag vermutlich so durchgeht ... aber die Tücken bei dem Thema so gross sind, dass Du Dich verrennst.

Nehmen wir mal an mein persönliches Passwort sei ein personenbezogenes Datum. Darfst Du das denn überhaupt zentral hinterlegen und zwar so, dass andere das Einsehen können ?

Wie verfügbar muss diese neue Lösung sein ?

Ich glaube du hast das missverstanden. Hier geht es nicht um die persönlichen Passwörter von Usern oder z.B meinem Admin-Konto.

Diese Lösung soll nur für unsere IT-Abteilung verfügbar sein.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Und wenn es nun ein Account ist der auf "Maniska@firma.de" lautet?

Wir haben eine Software im Einsatz, bei der der Hersteller nur Supportaccounts auf Personen, nicht auf "admin@..." ausstellt.Und davon auch nur 2 pro Kunde. Blöd, ist aber so. Da sich aber mehr wie 2 Kollegen mit der Software auseinander setzen (2x der Server an sich, min 3 im Programm selbst)... Ist das nun personenbezogen, weil es auch MICH läuft, oder nicht? Wenn ja, darf das dort hinterlegt werden? Müsste ich dem zustimmen? Wenn nein, bitte begründen.

Und bitte kein "so was haben wir nicht", das kommt schneller als man denkt.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ihr habt keine interne Wikipedia, sondern ein internes Wiki. ?

Du schreibst viel darüber was Teil des Ganzen sein soll, aber ich habe das Gefühl ein essentieller Teil davon findet sich im Projektplan nicht wieder. Beispielsweise die Umsetzung der internen IT-Sicherheitsstandards - insbesondere in Bezug auf den Zugriff im Störungsfall (Sollte für eine derart geschäftskritische Anwendung nicht auch eine Sicherung erfolgen, die du implementieren musst oder setzt ihr alleinig auf Redundanz durch das Vorhandensein zweier RZ?) - oder auch die notwendige AD-Konfiguration zur Gewährleistung der Rechtestruktur.

Und ich kann mir einfach nicht vorstellen, dass du das als Teil des reinen Installationsprozesses betrachtest.

Ansonsten:

  • Zentrales Passwort-Management-System las sich so, als ob jeder im Unternehmen diesen Dienst nutzen kann. Hm.
  • Wieso Projektbesprechung und Zieldefinition im Projektplan? Der Sollzustand bzw. das Ziel wird doch schon im Antrag definiert...
  • Du hast mehr Abschluss als Realisierung? Hm. Und der Rollout sowie der ominöse Projektabschluss brauchen zusammen laut Plan so lange wie die Installation/Konfiguration der Software? Hm.

Insgesamt habe ich das Gefühl, dass der Antrag trotzdem durchgehen könnte. Aber ich kann auch verstehen, dass einige wenig fachliche Tiefe in dem bisherigen Antrag sehen - oder dass das Fachgespräch dich töten könnte.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Das werde ich mal ausbessern ;)

Naja das mit dem Störungsfall würde ich nochmal überdenken bzw. weglassen. Redundanz ist vorhanden und eine richtiges Backup für den kompletten Ausfall wäre tatsächlich einfach mit Papier in einem Safe oder einen verschlüsselten Datenträger, welche alle x Monate überprüft werden muss.

Ich würde das Thema ein bisschen abändern.

Evaluierung und Implementierung eines Passwort-Management-Systems (für die IT-Abteilung)

Den Projektplan würde ich nochmal richtig überarbeiten :)

- Einrichtung einer  oder zwei Testumgebung
- Vergleich der geeigneten Software + Installation und Konfiguration (Berechtigungen und Rollen)
- Anbindung LDAP (durch das AD evtl.)  und SSO (Wäre sowieso gewünscht)
- Testbetrieb und Fehlerbeseitigungen gehören dann natürlich auch dazu

Damit hat mein Antrag zwar eine kleine Ähnlichkeit wie aus diesem Thread -> 


Jedoch ist meine Projektbeschreibung / Projektumfeld vollkommen anders geschrieben und das Projekt :)

 

Bearbeitet von _NeXuS
Link zu diesem Kommentar
Auf anderen Seiten teilen

Ich hab den Soll-Zustand und den Zeitplan nochmal angepasst.
Leider gefällt mir aber der Zeitplan noch nicht ganz.
Evtl. Verbesserungsvorschläge? :)
Vielen Dank für eure Hilfe nochmal. :) ☺️

1 Thema der Projektarbeit
Evaluierung und Implementierung eines zentralen Passwort-Management-Systems für die IT-Abteilung

2 Geplanter Bearbeitungszeitraum
Beginn: 07.10.2019
Ende: 01.11.2019

3 Projektbeschreibung
A.) Problembeschreibung (Ist-Zustand)


Momentan werden Passwörter der IT-Abteilung für Service-Accounts, allgemein genutzte Admin-Accounts und Webseiten sowie für ca. 800 virtuelle Server im firmeninternen Wiki verschlüsselt hinterlegt und verwaltet. Ursprünglich war dieses nicht für die Verwaltung von über 800 Passwörtern ausgelegt.
Die Administration unserer IT-Infrastruktur erfordert aus Datenschutzgründen sichere und unterschiedliche Passwörter. Zudem ist ein Teil des Wikis für externe vertrauenswürdige Netzwerke erreichbar, was wiederum ein Sicherheitsrisiko darstellt.
Da keine zentrale Verwaltung vorliegt, mussten beim Ausscheiden von Administratoren aus der Firma wichtige Passwörter mit viel organisatorischen Aufwand an allen betroffenen Systemen geändert werden, um Missbrauch zu vermeiden.

B.) Ziel des Projektes (Sollzustand)

Die Passwörter der IT-Abteilung sollen soweit wie möglich zukünftig, unter Berücksichtigung wirtschaftlicher Aspekte, durch ein Passwort-Management-System zentral im Rechenzentrum gespeichert und verwaltet werden können.
Es soll verhindert werden, dass ein Teil der betroffenen Passwörter an mehreren Systemen manuell geändert werden muss. Damit reduziert sich der organisatorische Aufwand.
Um dies zu realisieren, soll eine Passwort-Management Software evaluiert und implementiert werden. Hierbei sollen mehrere Produkte auf einer Testumgebung installiert und bewertet werden. Zudem soll mit einer LDAP-Anbindung die Userverwaltung durch Berechtigungen und Rollen erleichtert werden und die Anmeldung am System gegebenenfalls durch eine SSO-Lösung erleichtert werden.
Um sicher zu stellen, dass jede Änderung nachvollziehbar dokumentiert ist, ist eine revisionssichere Protokollierung unter aktuellen Datenschutzrichtlinien vorgesehen.
Die Passwort-Management-Software soll in der Lage sein die Passwörter zu filtern, sowie übersichtlich und ansprechend darzustellen.
Bei der Implementierung des Servers müssen die IT-Sicherheitsstandards der Firma eingehalten werden, um im Störungsfall weiter auf die Passwörter zugreifen zu können.

4 Projektumfeld
Die XXX GmbH betreut ca. 1.600 Mitarbeiter in Deutschland, an über 100 Standorten. Die komplette EDV wird von einem zweigeteilten Team administriert. Fünf Mitarbeiter sind für die Serverwartung, Instandhaltung, Planung und Implementierung neuer Inhalte zuständig. Dies ist auch der Arbeitsbereich des Projektantragstellers. Sieben Mitarbeiter (davon vier am Standort XXX) sind für den User-Helpdesk tätig und bearbeiten alle anfallenden Störungen bzw. Probleme beim Endnutzer.
Das XXX-Netz erstreckt sich über zwei räumlich getrennte Rechenzentren. Die Serverlandschaft läuft auf der Virtualisierung-Umgebung VMware und wird über eine Citrix-Umgebung bereitgestellt. Zum Einsatz kommen Windows Server 2019 sowie weitere Microsoft Produkte und mehrere DATEV-Lösungen.
Das Projekt wird für die Mitarbeiter der IT-Abteilung umgesetzt.

5 Projektphasen mit Zeitplanung

1. Planungsphase: 1,0h

1.1 IST-Analyse - 1,0h

2. Konzeptionsphase: 7h
2.1 Anforderungskatalog mit Hauptkriterien erstellen – 1,5h
2.2 Informationssammlung über verschiedene Passwort-Management Anbieter - 3h
2.3 Produktvergleich - 1h
2.4 Entscheidung für ein Testsystem – 0,5h
2.5 Kostenanalyse - 1h


3. Realisierungsphase: 14h
3.1 Installation und Einrichtung der Testumgebung – 2h
3.2.1 Installation und Grundkonfiguration des 1. Passwort-Management-Systems - 4,0h
3.2.2 Installation und Grundkonfiguration des 2. Passwort-Management-Systems - 4,0h
3.2.3 Konfiguration der LDAP-Anbindung, Berechtigungen und Rollen - 4h


4. Testphase: 4h
4.1 Testbetrieb und Fehlerbeseitigungen - 4h

Abschlussphase: 9
Soll-Ist-Abgleich - 1h
Erstellung der Projektdokumentation – 8h

Gesamt: 35h

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...