pantrag_fisi Projektantrag: Password Manager

[Gast]

Moin, da ich leider kein glückliches Praktikum hatte. Nur rumgesessen und Zeitung gelesen gab es dort leider auch keine Möglichkeit eines Projekts, somit musste ich ein bisschen nachdenken und würde gerne was machen, was ich privat umgesetzt habe, einen PW Manager im Self Hosting

DER ANTRAG IST NOCH NICHT FINAL!!!

 

Projektbeschreibung (Habe mal zwei Versuche für den Anfang gemacht

Erster Versuch.:
Aufgrund eines Umdenkens der Geschäftsführung der xxx GmbH und der zunehmenden IT-Lösung möchte der Kunde eine zentralisierte Passwort-Lösung zurzeit hat jeder seine Passwörter, die er auch für die Kunden selber bestimmt sollte, ein Mitarbeiter ausscheiden oder erkranken weiß kein andere Mitarbeiter welche Passwörter dieser vergeben hat deswegen wünscht sich der Kunde das die Passwörter am besten außerhalb dritter Zentral auf dem Firmen Internen Server gespeichert werden in der Software sollte verschiedene Mitarbeiter oder Abteilung angelegt werden können

---------------------------

Zweiter Versuch.:
Die Firma xxx GmbH ist mit dem Wunsch auf uns zugekommen. Sie möchten in Zukunft ihre Passwörter zentralisiert auf ihrem internen Server speichern und den verschiedenen Abteilung zuweisen z.b. Buchhaltung, Technik, Lager

Zurzeit hat jede Abteilung und Mitarbeiter ihre eigens vergebene Passwörter, was dazu führt das Passwörter sehr aufwändig geändert werden müssen oder verloren geht, sobald ein Mitarbeiter ausscheidet oder für eine Zeit nicht zur Verfugung stehen z.b. bei Krankheit

Die interne Lösung soll angestrebt werden, damit die Passwörter DSGVO-konform gespeichert und verarbeitet werden können und keine dritten Parteien z.b. Google, Amazon und Co. darüber verfügen könnten

Projektphasen
Recherchieren über die möglichen Password Manager - h
Aufsetzten der VM – h
Ubuntu Installieren – h
Docker Installieren – h
Container erstellen – h
Einrichten des Password Manager – h
Konfigurieren des Password Manager – h
Schulung der Kunden – h
Soll-Zustand ermitteln – h
Ist-Zustand ermitteln – h

(Das h steht hier für Stunden, die ich nochmal genauer ermitteln muss)

Zielgruppe
Geschäftsabteilung des Kunden

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

Leider bin ich auch ziemlich aufgeschmissen, weil ich nicht weiß, was ich da noch großartig zu schreiben kann, den zweiten Versuch finde ich eigentlich relativ akzeptable und ob ich mehr oder weniger Projektphasen haben sollte 🤷‍♂️

[charmanta]

Woha schwer zu lesen wegen der vielen vielen Fehler.

Insgesamt zu dünn für eine Zulassung, zumindest würde ich persönlich das Ablehnen mangels fachlicher Tiefe. Du suchst ein Programm, keine Lösung und das reicht nicht.

vor 9 Minuten schrieb freddykrueger:

damit die Passwörter DSGVO-konform gespeichert und verarbeitet werden können

Gewagt. Damit drängst Du die Prüfer quasi zum Nachhaken was die DSGVO denn so alles beinhaltet. Stichwort Schutzklasse, angemessenes Datenschutzniveau, TOMs ...

vor 10 Minuten schrieb freddykrueger:

Ubuntu Installieren – h
Docker Installieren – h
Container erstellen – h

Damit ziehe ich den Schluß dass die Entscheidung bereits fest steht.

Davon abgesehen .... für einen Passwortmanager ziehe ICH keinen Container hoch ? Kanonen auf Spatzen, meiner Meinung nach

Ich empfehle ein neues Thema, mit dem Ansatz wird das nix

[ickevondepinguin]

vor 52 Minuten schrieb charmanta:

Ich empfehle ein neues Thema

Jain. Wir hatten das nun auch schon ein paar Mal als Thema mit immer anderen Lösungen am Ende.

Das geht schon - jedoch, und da stimme ich @charmanta zu: Nicht mit einer Vorgegebenen Lösung. Das sit ein Instalaltions-Arbeitsauftrag, kein Projekt.

Bei den Themen die ich hierzu kenne waren eher "Benutzerverwaltung" und "zentrale Administration" der Passwortdatenbanken Thema und wurden entsprechend durch Konfigurationen und Richtlinien dann umgesetzt mit einer Lösung welche aus mehreren Lösungen ausgewählt wurde.

Wenn das nicht entsprechend "tiefer" geht, wie beschrieben, oder das Wissen fehlt das tiefer zu gestalten - neues Thema.

[Gast]

vor einer Stunde schrieb ickevondepinguin:

Wenn das nicht entsprechend "tiefer" geht, wie beschrieben, oder das Wissen fehlt das tiefer zu gestalten - neues Thema.

Genau da sehe ich ja leider mein Problem, ich müsste mich so oder so in die Thematik einarbeiten, da mir da absolut das tiefergehende Wissen fehlt. Mir fällt halt leider auch nur kein anderes Thema ein, da wie gesagt im professionellen IT Umfeld noch nichts gemacht habe

vor 2 Stunden schrieb charmanta:

Damit ziehe ich den Schluß dass die Entscheidung bereits fest steht.

 

Habe halt das reingeschrieben, was ich zu Hause gemacht habe. Ich weiß halt nicht wie viele schritte da rein müssen

vor 2 Stunden schrieb charmanta:

Du suchst ein Programm, keine Lösung

Ich werde darauf rumdenken, aber wie soll man das sonst abhandeln, ich bin fisi kein fiae also mal eben so was programmieren kann ich auch nicht. Im Endeffekt ist es doch fast immer "einfach Programme installieren"

[Listener]

vor 8 Minuten schrieb freddykrueger:

Im Endeffekt ist es doch fast immer "einfach Programme installieren"

Es geht darum, dass du dich mit dem Thema auseinandersetzt, verschiedene Lösungen vergleichst (Apsekte sind bspw. Wirtschaftlichkeit, Sicherheit, Integration in die bestehende IT) und dann implementierst. Vorallem die wirtschaftlichen Aspekte sind enorm wichtig. 

[Gast]

vor 8 Minuten schrieb Listener:

Es geht darum, dass du dich mit dem Thema auseinandersetzt, verschiedene Lösungen vergleichst (Apsekte sind bspw. Wirtschaftlichkeit, Sicherheit, Integration in die bestehende IT) und dann implementierst. Vorallem die wirtschaftlichen Aspekte sind enorm wichtig. 

Habe ich oben ja geschrieben, dass ich Recherchieren würde, das impliziert, dass für mich im Endeffekt ist das ja der Projektantrag und nicht das Projekt, da kommt ja noch mehr rein dann in das Projekt, im Endeffekt weiß man ja gar nicht wie umfangreich so ein Projekt wird

[ickevondepinguin]

vor 15 Stunden schrieb freddykrueger:

Habe ich oben ja geschrieben, dass ich Recherchieren würde

Ja schon. Aber wenn ich jetzt Google "Passwortmanager für Windows" bekomme ich mehr als 3 Vorschläge. Die installiere ich als Enduser, fertig. Das ist kein Projekt für 40h.

Sprich: Was soll denn nicht passieren? Wie stellst Du sicher, dass User nicht ihren Passwortsafe beim ausscheiden des Unternehmens z.B. "killen" wenn da Zugänge zu wichtigen Lieferanten/Kundenportalen/... für die Firma drinstecken? Wie vermeidest Du dass dort private Einträge landen? Wo sollen die Passwortdatenbanken liegen? Im Benutzerprofil? Auf einem Share? Von wo sollen/dürfen die erreichbar sein? Wer hat Zugriff auf was?.... Und plötzlich reichen hier die 0-8-15 Lösungen aus Google nicht mehr aus. Und dann schaut man bei so mancher (auch frei verfügbaren!) Lösung genauer und findet einen Weg seine Kriterien zu erfüllen.

 

 

[Gast]

vor 6 Stunden schrieb ickevondepinguin:

Ja schon. Aber wenn ich jetzt Google "Passwortmanager für Windows" bekomme ich mehr als 3 Vorschläge. Die installiere ich als Enduser, fertig. Das ist kein Projekt für 40h.

Als Enduser installierst, du einfach was korrekt. Aber da ich ja versuche aus der Sicht einer Firma zu denken, die keine Ahnung hat von IT bin ich ja kein Enduser.

[Klugscheißer-Modus]

Laut Duden heißt Recherchieren

"Auskunft einholen, einer Sache auf den Grund gehen/nachgehen, erforschen, Ermittlungen/Nachforschungen/Recherchen anstellen"

Quelle.:https://www.duden.de/rechtschreibung/recherchieren

[/Klugscheißer-Modus]

Und das trifft doch eigentlich genau das, was ich machen würde

vor 6 Stunden schrieb ickevondepinguin:

Sprich: Was soll denn nicht passieren? Wie stellst Du sicher, dass User nicht ihren Passwortsafe beim ausscheiden des Unternehmens z.B. "killen" wenn da Zugänge zu wichtigen Lieferanten/Kundenportalen/... für die Firma drinstecken? Wie vermeidest Du dass dort private Einträge landen? Wo sollen die Passwortdatenbanken liegen? Im Benutzerprofil? Auf einem Share? Von wo sollen/dürfen die erreichbar sein? Wer hat Zugriff auf was?.... Und plötzlich reichen hier die 0-8-15 Lösungen aus Google nicht mehr aus. Und dann schaut man bei so mancher (auch frei verfügbaren!) Lösung genauer und findet einen Weg seine Kriterien zu erfüllen.

Ich rede immer noch von dem Antrag, nicht von dem Projekt an sich, mein Kollege hatte 5 Seiten, durfte dann erstmal vier wieder wegwerfen und selbst die eine Seite hat er noch runter gedampft, vllt hilfts, wenn ich sage IHK Hamburg?

 

Nächster Versuch meine Beschreibung...

Zitat

Die Firma xxx GmbH ist mit dem Wunsch auf uns zugekommen. Sie möchten in Zukunft ihre Passwörter zentralisiert auf ihrem internen Server speichern und den verschiedenen Abteilung zuweisen z.b. Buchhaltung, Technik, Lager.

 

Zurzeit hat jeder Mitarbeiter ihre eigens vergebene Passwörter, was dazu führt das Passwörter sehr aufwändig geändert werden müssen oder verloren gehen, sobald ein Mitarbeiter ausscheidet oder für eine Zeit nicht zur Verfugung stehen z.b. wenn ein Mitarbeiter erkrankt

 

Ziel ist es, dass die Passwörter Zentrale und Intern aufbewahrt werden, damit jeder Mitarbeiter während seiner Dienstzeit Zugriff im Rahmen seiner Aufgabenstellung dazu hat. Da der Kunde bereits einen eingerichteten VPN-Tunnel besitzt, sollen die Passwörter nur intern, also nicht von außen einsehbar sein

 

Die interne Lösung soll angestrebt werden, damit die Passwörter sicher gespeichert und verarbeitet werden können und keine dritten Parteien darüber verfügen könnten

Zurzeit zweifle ich stark an meinen Fähigkeiten diese "Art" von Aufgabenstellung zu verstehen, also die von der IHK

Hilft aber nichts, Donnerstag ist Abgabe

Bearbeitet 27. September 2022 von freddykrueger

[ickevondepinguin]

vor 4 Minuten schrieb freddykrueger:

Ich rede immer noch von dem Antrag, nicht von dem Projekt an sich, mein Kollege hatte 5 Seiten, durfte dann erstmal vier wieder wegwerfen und selbst die eine Seite hat er noch runter gedampft, vllt hilfts, wenn ich sage IHK Hamburg?

Aber das kann man als Kriterium/Auftrag so formulieren. Und dann hat man relativ schnell ein genehmigungsfähiges Projekt.

Im Forum sind zu verschiedensten Themen sehr viele Anträge auffindbar. Du musst nur ein bisschen schauen.

Ich denke aber, dass Du mit einem neuen, ganz anderen Thema besser beraten bist.

[charmanta]

Es geht darum, ein komplexes Problem nachvollziehbar mit eigenen Entscheidungen zu lösen. Es geht also NICHT um eine Anleitung, wie man den Server XYZ mit User ABC in die tolle Domäne 123 integriert. Es geht darum, WIESO man das macht, WANN sich das rechnet und welche Alternativen ( es gibt IMMER welche ) WARUM ausgeschlossen wurden.
Und installieren darfst Du es auch ... nur ist Deine Entscheidungsleistung und deren Sachlichkeit die Grundlage der Beurteilung. Klicken kann jeder, es geht darum, daß Du auch ne Idee hast was Du da tust
Ganz grobe und ganz neue Übersetzung meines Lieblingstextes: "Komplex" im Sinne der Prüfungsordnung sind Ansätze, welche in einem Datacenter oder einem Rechenzentrum eingesetzt werden können und nicht mehr in einem kleinen zb Handwerksbetrieb Verwendung finden.
Damit scheiden Ansätze wie "Domaineneinrichung" oder "Ich suche ne Plattform für ein Windows Programm" fast automatisch aus.
Gerne genommen werden:
- Telefonanlagen ( weil Musterprojekt der IHK )
- Monitoring
- Heterogenes Backup
- Softwareverteilung
- Massenbetankung

Die Prüfungsordnung sagt in §22 dazu:
§ 20 Prüfungsbereich Planen und Umsetzen eines Projektes der Systemintegration
(1) Im Prüfungsbereich Planen und Umsetzen eines Projektes der Systemintegration besteht die Prüfung aus zwei Teilen.
(2) Im ersten Teil hat der Prüfling nachzuweisen, dass er in der Lage ist,
1.auftragsbezogene Anforderungen zu analysieren,
2.Lösungsalternativen unter Berücksichtigung technischer, wirtschaftlicher und qualitativer Aspekte vorzuschlagen,
3.Systemänderungen und -erweiterungen durchzuführen und zu übergeben,
4.IT-Systeme einzuführen und zu pflegen,
5.Schwachstellen von IT-Systemen zu analysieren und Schutzmaßnahmen vorzuschlagen und umzusetzen sowie
6.Projekte der Systemintegration anforderungsgerecht zu dokumentieren.

 

[Gast]

So ich habe eben noch einmal mit meinem Kollegen telefoniert (studiert Nanotechnologie) der hat mir noch das ein oder andere gesagt und ich bin jetzt erstmal hier

 

Zitat

Wir die xxx GmbH bieten, als Systemhaus maßgeschneiderte Lösung für ihr Unternehmen an unser Anliegen ist, es den Kunden langfristig zu begleiten durch langjährige Erfahrung mit mittelständischen Unternehmen können wir schnelle, kostengünstige und kundenorientierte Lösung realisieren wir besitzen ein über 20-Köpfiges Team was ihnen mit ihrem Know-how zur Seite steht.

 

Der Kunde ist mit dem Wunsch auf uns zugekommen, dass sie in Zukunft ihre Passwörter zentralisiert auf ihrem internen Server speichern und die Passwörter sollten dann ebenfalls den verschiedenen Abteilungen \ Mitarbeitern zugewiesen werden können z.b. Buchhaltung, Technik, Lager.

 

Zurzeit hat jeder Mitarbeiter ihre eigens vergebene Passwörter, was dazu führt, dass Passwörter sehr aufwändig geändert werden müssen oder verloren gehen, sobald ein Mitarbeiter ausscheidet oder für eine Zeit nicht zur Verfügung stehen z.b. wenn ein Mitarbeiter erkrankt. Außerdem benutzen einige Mitarbeiter Programme zum Speichern ihrer Passwörter, andere wiederum haben nur eine Handvoll Standard-Passwörter. Dies möchte man aufgrund der oben genannten Problematik abschaffen, den die Passwörter werden Lokal gespeichert. Somit bleibt einem der Zugriff verwehrt, da die PC-Arbeitsplätze alle mit Passwörtern abgesichert sind, die ebenfalls nur ihrem Benutzer bekannt sind.

 

Ziel ist es, dass die Passwörter Zentrale und Intern aufbewahrt werden, damit jeder Mitarbeiter während seiner Dienstzeit Zugriff im Rahmen seiner Aufgabenstellung dazu hat. Eingesehen werden sollen die Passwörter nur intern, also nicht von außen erreichbar sein. Dazu soll der schon vorhandene Server dienen, wenn dieser den Anforderungen entspricht. Dazu werde ich mir vor Ort bei dem Kunden einen Überblick verschaffen über deren IT-Infrastruktur und gegebenenfalls die Infrastruktur optimieren.

 

Die interne Lösung soll angestrebt werden, damit die Passwörter sicher gespeichert und verarbeitet werden können und keine dritten Parteien darüber verfügen könnten.

 

Mein Dozent hat mir auf meinen vorherigen Vorschlag geschrieben das da die aufgaben Stellung schon deutlicher wurde ich jetzt noch meine Firma und eben die Schritte bearbeiten soll 🤷‍♂️ Was sagen die Experten?

[charmanta]

vor 37 Minuten schrieb freddykrueger:

(studiert Nanotechnologie)

Ehm … was tut das zur Sache ? Du brauchst jemanden der die IT PO kennt ..

vor 6 Stunden schrieb ickevondepinguin:

Ich denke aber, dass Du mit einem neuen, ganz anderen Thema besser beraten bist.

Ich schliesse mich nochmals an. Mir ist die Idee zu dünn … 

Mal anders: siehst Du kein Problem nach Datenschutz und BSI wenn Kennworte zentral abgelegt allen zur Verfügung stehen könnten ?

Nimm BITTE was anderes

[Gast]

vor 21 Minuten schrieb charmanta:

Mal anders: siehst Du kein Problem nach Datenschutz und BSI wenn Kennworte zentral abgelegt allen zur Verfügung stehen könnten ?

Deswegen soll ja eingerichtet werden, wer was sehen darf, mit rechte Vergabe wie es z.b. bei Team-Pass ja funktioniert

Und es ist generell immer riskant, alles zentral zu lagern. Eine Hacker-Attacke Futsch isset aber wenn ich hier jetzt anfange mit wir stellen mehrere Server auf, die Verschieden angebunden sind und so weiter wird das wohl den rahmen sprengen
Und mit Zentral meine ich generell eigentlich das alle die den PW Benutzen ja nur auf eine Datenbank zugreifen

vor 21 Minuten schrieb charmanta:

Ehm … was tut das zur Sache ? Du brauchst jemanden der die IT PO kennt ..

Einfach mal ein Blick von aus bekommen? Zumal kann er komplexe Sachverhalte ziemlich gut für dumme Menschen wie mich zusammen fassen

vor 21 Minuten schrieb charmanta:

Nimm BITTE was anderes

Wenn mir bis Donnerstag 12 Uhr was einfällt gerne

Bearbeitet 27. September 2022 von freddykrueger

[ickevondepinguin]

vor 16 Stunden schrieb charmanta:

Gerne genommen werden:
- Telefonanlagen ( weil Musterprojekt der IHK )
- Monitoring
- Heterogenes Backup
- Softwareverteilung
- Massenbetankung

Das sind klassische Mustertehmen die "immer" gehen und meist vom Thema her
schon hergeben, was gefordert ist solange im Antrag nicht hervorgeht, dass die Lösung schon fest steht....

[Gast]

Antrag wurde genehmigt, mit auflagen.

[SR2021]

vor 6 Minuten schrieb freddykrueger:

Antrag wurde genehmigt, mit auflagen.

Nur aus Interesse, was sind das für Auflagen?

[Gast]

vor 14 Minuten schrieb SR2021:

Nur aus Interesse, was sind das für Auflagen?

"Bitte wirtschaftliche, technische, organisatorische, und zeitliche Aspekte betrachten, sowie eine kundengerechte Umsetzung. Ebenso auf die Abgrenzung der Eigenleistung achten."

[SR2021]

vor 13 Minuten schrieb freddykrueger:

Bitte wirtschaftliche, technische, organisatorische, und zeitliche Aspekte betrachten, sowie eine kundengerechte Umsetzung.

Ok, also quasi alles was ein Projekt ausmacht. Dein PA sieht es also vermutlich ähnlich wie @ickevondepinguin hier:

Am 26.9.2022 um 15:55 schrieb ickevondepinguin:

Jain. Wir hatten das nun auch schon ein paar Mal als Thema mit immer anderen Lösungen am Ende.

Das geht schon - jedoch, und da stimme ich @charmanta zu: Nicht mit einer Vorgegebenen Lösung. Das sit ein Instalaltions-Arbeitsauftrag, kein Projekt.

Bei den Themen die ich hierzu kenne waren eher "Benutzerverwaltung" und "zentrale Administration" der Passwortdatenbanken Thema und wurden entsprechend durch Konfigurationen und Richtlinien dann umgesetzt mit einer Lösung welche aus mehreren Lösungen ausgewählt wurde.

Wenn das nicht entsprechend "tiefer" geht, wie beschrieben, oder das Wissen fehlt das tiefer zu gestalten - neues Thema.

Daher dann schauen das dein Projekt diese Themen auch ausführlich behandelt, sonst wird es schwierig in der Endabrechnung.

 

[ickevondepinguin]

vor 26 Minuten schrieb SR2021:

Daher dann schauen das dein Projekt diese Themen auch ausführlich behandelt, sonst wird es schwierig in der Endabrechnung.

So kann mans sagen.

Fehlt der ganze Teil, den der PA sich wünscht fehlen einem hinterher massig Punkte.

Wie oben erwähnt, durch mich:

Software auswählen und einfach installieren ist halt nicht. Da gehört noche in bisschen was dazu, technisch, damit daraus ein Thema für einen FiSi wird.