Projektantrag: Auswahl und Inbetriebnahme einer Lösung zum sicheren Datenaustausch mit externen Dienstleistern

[chrsgsr97]

Hallo zusammen,

derzeit mache ich die Ausbildung zum FiSi und die Abgabefrist der Projektanträge (02.02.) eilt voran. 

Da ich in dem Forum schon auf viele, nutzreiche Tipps bezüglich der Projektarbeit gestoßen bin und eine große Hilfsbereitschaft eurerseits sehen kann, stelle ich euch hiermit meinen Antrag vor. Es wäre super, wenn ihr diesen hinsichtlich Formalität und Inhalt überprüfen könnt und ob dieser so für die IHK ausreichend wäre:

 

 

1*

Projektbezeichnung (Auftrag/Teilauftrag):

Auswahl und Inbetriebnahme einer Lösung zum sicheren Datenaustausch mit externen Dienstleistern

 

 

1.1.*

Ausgangssituation

Beschreibung der derzeitigen Ausgangssituation (IST-Zustand)

Die XXX ist eine Personengesellschaft , welche sich derzeit europaweit für über 50 Hotels auf hotelspezifische Dienstleistungen in den Bereichen Buchhaltung, Reservierungen, Sales & Marketing sowie in dem Bereich IT spezialisiert hat. Die Hauptverwaltung wird von der Firmenzentrale in Köln ausgeführt.

Durch die teils abteilungsübergreifende Tätigkeiten im Rahmen des Hotelmanagements findet ein permanenter verschlüsselter Datenaustausch statt, in dem ebenfalls auch externe Dienstleister mit eingebunden sind. Die Daten werden sowohl von den Mitarbeitern als auch von den externen Dienstleistern sowohl hochgeladen als auch digital abgeholt. Aktuell wird der Datenaustausch mittels einem gehosteten SFTP-Server von dem Drittanbieter „XXX“ ermöglicht und der XXX sowie den externen Dienstleistern zur Verfügung gestellt.

Die Daten umfassen unter anderem die Tagesumsätze der Hotels, welche essentiell für die weitere Bearbeitung in der Finanzbuchhaltung sind. Im Vorfeld wurden bereits die Prozesse zum Bereitstellen und Abholen der benötigten Daten per Skript automatisiert, um die Mitarbeiter der betroffenen Abteilungen zu entlasten und im Allgemeinen die Prozesse zu optimieren.

Durch eine baldige Umstrukturierung bei dem Drittanbieter XXX wird der SFTP-Server nicht mehr zur Verfügung gestellt, weshalb ich im Rahmen meines IHK-Abschlussprojekts mit der Planung, Umsetzung und Inbetriebnahme einer neuen Lösung zum sicheren Datenaustausch betreut wurde.

 

 

1.2. *

Zielsetzung

Was soll nach Abschluss des Projektes erreicht/umgesetzt sein? (SOLL-Zustand)

Ziel des Projektes ist die Realisierung einer Lösung zum sicheren Datenaustausch mit externen Dienstleistern. Hierbei soll der Datenaustausch verschlüsselt sowohl zwischen der XXX und externen Dienstleistern und umgekehrt permanent gewährleistet werden. Hierzu wird mit Hilfe einer Kosten/Nutzen Analyse ein neuer SFTP-Server ausgewählt, welcher nach der Auswahl im weiteren Verlauf der Realisierung installiert und in Betrieb genommen wird. Da der SFTP-Server auch aus dem WAN erreichbar sein muss, sind die Anforderungen im Bezug auf die Datensicherheit entsprechend weitreichend.  

Der Server muss alle drei Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit) im vollen Maße erfüllen, da es sich um wichtige, firmeninterne Daten handelt, die bei Verlust, Beschädigung, Veränderung oder bei unbefugten Zugriff von Dritten einen hohen wirtschaftlichen Schaden hinterlassen können. Zusätzlich besteht der Wunsch, das die Prozesse im Datenaustausch möglichst automatisch ablaufen, um wie bereits zuvor die Mitarbeiter zu entlasten und eine allgemeine Zeitersparnis zu erreichen.

 

1.3.*

Konsequenzen bei Nichtverwirklichung

Was wären die Konsequenzen, wenn das Projekt nicht wie geplant umgesetzt werden könnte? (ggf. Einfluss auf nachfolgende oder sich auf dieses Projekt beziehende Projekte?)

Bei einem Scheitern bzw. bei der Nichtrealisierung des Projektes kann keine sichere Datenübertragung mehr gewährleistet werden, welches sowohl die Sicherheit als auch die Wirtschaftlichkeit der XXX erheblich gefährdet. Die abteilungsübergreifende, betrieblichen Abläufe würden massiv gestört werden , da der Datenaustausch nun manuell durch die Mitarbeiter erfolgen muss, was wiederum zu einem erhöhtem Arbeitsaufkommen und hohen Verzögerungen führen kann. Ebenfalls könnten sich externe Dienstleister weigern, Daten zu Verfügung zu stellen, da diese wegen der fehlenden verschlüsselten Übertragung nicht vor Angriffen geschützt wären. Dies könnte die externen Dienstleister dazu bringen, die weitere Kooperation einzustellen, was zu einem wirtschaftlichen Schaden führen würde.

 

2.*

Projektumfeld/Rahmenbedingungen

Technisch + Organisatorisch

Das Projekt wird an dem Hauptstandort der XXX in Köln durchgeführt. Die Verantwortlichkeit von der Durchführung des Projektes liegt bei der IT-Abteilung.

Für die Durchführung des Projektes steht ein vollausgestatteter Arbeitsplatz zur Verfügung, mit welchem man auf die virtuelle Desktopumgebung zugreifen kann, die wiederum nur Zugänglich über das von der IT-Abteilung verwaltete Firmennetzwerk ist. Das Projekt soll zudem auch in dem firmeninternen Netzwerk durchgeführt werden.

Zum Auswählen und Testen der jeweiligen SFTP Lösung wird eine virtualisierte Testumgebung zur Verfügung stellt, welche innerhalb des vCenters der IT-Abteilung gehostet wird. Auf dieser virtuellen Testumgebung können verschiedene Betriebssysteme, auf den SFTP Lösungen realisiert werden können, getestet und anschließend bewertet werden.

Der Chief Information Officer Herr XXX steht in dem Projektumfeld als Hauptansprechpartner zur Verfügung, welcher gleichzeitig Ausbilder ist und die Genehmigung zur Durchführung des Projektes erteilt. Weitere technische Ansprechpartner sind der Chief Technology Officer und Teamleiter der Abteilung Systemadministration Herr XXX sowie der Systemadministrator Herr XXX.

 

 

3.*

Projektplanung/Projektphasen/geplante Arbeitsschritte inklusive Zeitplanung

ggf. inklusive Angabe der Meilensteine

 

1.      Initialisierungsphase (2 Stunden)

Ist-Zustand                                                                                                    1 Stunde

Soll-Zustand                                                                                                  1 Stunde

2.      Entwurfsphase (6 Stunden)

Recherche und Auswahl geeigneter SFTP-Lösungen                                    3 Stunden

Projektstrukturplan, Zeitplanung und Auswahl                                            1 Stunde

Kostenplanung                                                                                              1 Stunde

Risikoplanung                                                                                                1 Stunde

3.      Realisierungsphase (11 Stunden)

 

Beschaffung der SFTP-Lösung                                                                       1,5 Stunden

 

Installation der SFTP-Lösung                                                                        2 Stunden

 

Konfiguration  der SFTP-Lösung                                                                    7,5 Stunden

 

4.      Abschlussphase (14 Stunden)

 

Qualitätssicherung/Produkttest                                                                    1 Stunde

Erstellung Dokumentation für Anwender                                                     1 Stunde

Abnahme und Übergabe                                                                              1 Stunden

SOLL-IST Zeitvergleich                                                                                  0,5 Stunde

Wirtschaftlichkeitsbetrachtung                                                                    0,5 Stunde

Anfertigung der Dokumentation                                                                  10 Stunden

 

5.      Puffer (2 Stunden)

 

Pufferzeit                                                                                                      2 Stunden

 

Gesamtdauer des Projekts: 35 Stunden

 

 

4.*

Dokumentation/technische Unterlagen

Welche technischen Unterlagen planen Sie ihrer Dokumentation später beizufügen?

 

-          Glossar

-          Prozessorientierte Dokumentation

-          Projektstrukturplan/Projektablaufplan

-          Zeitplan

-          Testkatalog

-          Projektkosten

-          Soll/Ist Vergleich

 

 

 

 

[ickevondepinguin]

vor 4 Minuten schrieb chrsgsr97:

Gesamtdauer des Projekts: 35 Stunden

Nach welcher Prüfungsordnung wirst Du geprüft? Bitte einmal nachforschen. Bei der neuen Verordnung hast Du 40 Stunden Zeit. Bei der alten von 1997 35 Stunden.

vor 5 Minuten schrieb chrsgsr97:

mit der Planung, Umsetzung und Inbetriebnahme einer neuen Lösung zum sicheren Datenaustausch betreut wurde.

und

vor 6 Minuten schrieb chrsgsr97:

Zum Auswählen und Testen der jeweiligen SFTP Lösung wird eine virtualisierte Testumgebung zur Verfügung stellt

Wo geht die Reise hin? Suchen wir wirklich eine elegante Lösung welche das Schutzziel Vertraulichkeit und Integrität bewahrt oder wollen wir einfach nur SFTP auf einem Server installieren? Vor Allem nimmst Du ja die Lösung (SFTP) schon vorweg - sprich, du willst die alte Lösung nur ersetzen.

vor 7 Minuten schrieb chrsgsr97:

3.      Realisierungsphase (11 Stunden)

Beschaffung der SFTP-Lösung                                                                       1,5 Stunden

Installation der SFTP-Lösung                                                                        2 Stunden

Konfiguration  der SFTP-Lösung                                                                    7,5 Stunden

7 Stunden zur Konfiguration von SFTP? Überhaupt: Hier steht die Lösung SFTP schon feste. Was suchst Du? Einen Dienst und eine Plattform die euch SFTP ermöglicht oder willst du eifnach $_Standardserverdienst installieren für SFTP? Klingt ein bisschen wie ein Arbeitsauftrag. Es steht schon feste das du einen SFTP-Server installierst. Ob das nun Windows, Linux-Distro A oder B ist und welcher Dienst es bereitstellt ist da egal. Das erfüllt bei weiten nicht die fachliche, geforderte Tiefe.

Oder verstehe ich hier etwas falsch?

vor 10 Minuten schrieb chrsgsr97:

5.      Puffer (2 Stunden)

Pufferzeit                                                                                                      2 Stunden

Wofür? Wenn du nach neuer Verordnung geprüft wirst musst du 40h planen. Du hast, inkl. Puffer, 35 geplant, davon 2h Puffer.

[charmanta]

vor 39 Minuten schrieb chrsgsr97:

Hierzu wird mit Hilfe einer Kosten/Nutzen Analyse ein neuer SFTP-Server ausgewählt, welcher nach der Auswahl im weiteren Verlauf der Realisierung installiert und in Betrieb genommen wird. Da der SFTP-Server auch aus dem WAN erreichbar sein muss, sind die Anforderungen im Bezug auf die Datensicherheit entsprechend weitreichend.  

machen unsere Azubis im ersten Lehrjahr

Nope, das wird nix.

vor 26 Minuten schrieb ickevondepinguin:

Wo geht die Reise hin? Suchen wir wirklich eine elegante Lösung welche das Schutzziel Vertraulichkeit und Integrität bewahrt oder wollen wir einfach nur SFTP auf einem Server installieren? Vor Allem nimmst Du ja die Lösung (SFTP) schon vorweg - sprich, du willst die alte Lösung nur ersetzen.

der Watschelmann spricht wahr ...

[chrsgsr97]

vor einer Stunde schrieb ickevondepinguin:

Nach welcher Prüfungsordnung wirst Du geprüft? Bitte einmal nachforschen. Bei der neuen Verordnung hast Du 40 Stunden Zeit. Bei der alten von 1997 35 Stunden.

Nach der AO 2020, da hatte ich mich vertan mit der Zeit. 

Wo geht die Reise hin? Suchen wir wirklich eine elegante Lösung welche das Schutzziel Vertraulichkeit und Integrität bewahrt oder wollen wir einfach nur SFTP auf einem Server installieren? Vor Allem nimmst Du ja die Lösung (SFTP) schon vorweg - sprich, du willst die alte Lösung nur ersetzen.

Es soll nach einer alternativen Lösung gesucht werden und ein neuer SFTP, welchen ich dann aussuche (z.B. Cloudbasiert oder On-Premise) ist wie ich deinem Beitrag entnehmen kann nicht umfangreich genug korrekt? Was wäre denn, wenn ich innerhalb meines Projektes dann eine umfangreichere Lösung finde? Ich würde dann für das Projektziel den alternativen neuen SFTP garnicht erst erwähnen, wäre das dann auch nachwievor "zu wenig"? 

 

7 Stunden zur Konfiguration von SFTP? Überhaupt: Hier steht die Lösung SFTP schon feste. Was suchst Du? Einen Dienst und eine Plattform die euch SFTP ermöglicht oder willst du eifnach $_Standardserverdienst installieren für SFTP? Klingt ein bisschen wie ein Arbeitsauftrag. Es steht schon feste das du einen SFTP-Server installierst. Ob das nun Windows, Linux-Distro A oder B ist und welcher Dienst es bereitstellt ist da egal. Das erfüllt bei weiten nicht die fachliche, geforderte Tiefe.

Oder verstehe ich hier etwas falsch?

Den bisherigen SFTP zu ersetzen ist ja das Hauptziel. Wie das ganze dann ausgesucht/installiert wird ist ja auch Bestandteil des Projektes. Ich habe mich tatsächlich schon auf die Lösung eines neues SFTP Server mehr oder weniger festgelegt, der wird wahrscheinlich auch dann über eine Linux Distro laufen. Allerdings stehen halt auch noch Alternativen zur Verfügung, die ich noch ermitteln werde. Ich habe den Eindruck, dass im Antrag halt direkt ersichtlich sein muss, was ich genau durchführen werde. Daher habe ich auch schon direkt die Installation eines neuen SFTP Servers genommen. Mir wird leider nicht ganz klar, warum hier die fachliche Tiefe nicht erreicht wird bzw. einfach unzureichend ist.

Wenn ich hier Fehlgedanken habe, wäre es super wenn du mich da entsprechend belehren könntest. 

 

 

vor einer Stunde schrieb ickevondepinguin:

Wofür? Wenn du nach neuer Verordnung geprüft wirst musst du 40h planen. Du hast, inkl. Puffer, 35 geplant, davon 2h Puffer.

Ändere ich noch ab. 

 

[chrsgsr97]

vor einer Stunde schrieb charmanta:

machen unsere Azubis im ersten Lehrjahr

Nope, das wird nix.

 

Dann lieber direkt ein alternatives, umfangreicheres Projekt nehmen?

[charmanta]

bitte ja