pantrag_fisi Projektantrag: Evaluierung und Implementierung eines Passwort Mangers zur Verbesserung der Sicherheit und eine einheitliche Ablage von Passwörtern und Zugangsdaten.

[Thors]

 

Hallo Zusammen ich bin Umschüler, bin in meinen späten 40igern, war vor 1 1/2 ein interessierter Benutzer so mein Ausbilder. Teil 1 Bestanden und jetzt auf der zielgeraden ich bräuchte mal eine Rückmeldung ob dieser Projektantrag eines FISI würdig ist und wenn nicht was kann ich verbessern. ich danke schon mal hier oben.

## Projektbezeichnung (Auftrag/Teilauftrag/Titel):
Evaluierung und Implementierung eines Passwort Mangers zur Verbesserung der Sicherheit und eine einheitliche Ablage von Passwörtern und Zugangsdaten.

1. Wer ist der Kunde?
2. Welche Dokumentation erwartet der Kunde?
3. Wer ist der Auftraggeber?
## Bitte nutzen Sie das folgende Feld für die Beantwortung der oben genannten 3 Fragen:
1. xyz  ist eine Einrichtung  in der Menschen mit Handycap leben und arbeiten.
2. Lasten und Pflichtenheft; Installationsanleitung; Anleitung für die Benutzung.
3. IT Abteilung von xyz werden 530 PC Arbeitsplätze, eigens Rechenzentrum, eigene Netzwerkinfrastruktur usw. betreut

## Ziel Projektbeschreibung (konkretes Ziel des Projektes):  
Hauptziel ist Evaluierung und Implementierung eines Password Management, durchzuführen, um die Sicherheit zu erhöhen und die Verwaltung von Passwörtern und Zugangsdaten zu vereinheitlichen. Dabei sollen verschiedene Softwarelösungen verglichen werden, um die bestmögliche Lösung im Bezug auf kosten und nutzen finden. Weiterhin besteht die Überlegung nach einer Bewehrung Phase diese Lösung  in der Buchhaltung und  Personalwesen einzuführen (perspektivisch im gesamten Unternehmen)

## Projektumfeld (Abteilung, Entwicklungsumgebung etc.):
Die IT Abteilung besteht aus 4 Mitarbeiter inklusive 2 Auszubilden. Der Zeit werden Zugangsdaten und Passwörter in einer Passwort Geschützen Exceltabelle verwaltet. Diese Lösung soll auch aus Sicherheitsgründen durch einen Passwort Manger ersetzt werden.

## Projektplanung (Zeitplanung der Projektphasen in Stunden):
1. Evaluierung der Aktuellen Situation (4h)
    1.1 IST zustand analysieren 0.5h
    1.2 Schwachstellen und Sicherheitsrisiken identifizieren 1h
    1.3 Aufwand und Handhabbarkeit des aktuellen Prozess bewerten 0.5h
    1.4 Welche Anforderungen sollen erfühlt werden (2.FT) 2h
2. Software Auswahl und Vergleich  (12h)
    2.1 Recherche welche Software Lösungen in Frage kommen 4h
    2.2 Test der in fragekommenden Programmen 5h
    2.3 Anfrage der Kosten für infrage kommende Programme 1h
    2.4 Kosten nutzen Analyse 2h
    2.5 Auswahl der zu Implementierenden Lösung
3. Implementierung der Ausgewählten Lösung (6h)
    3.1 Programm installieren und Konfigurieren und add-ons für Webbrowser installieren 4h
    3.2 Immigration der vorhandenen Passwortdaten  2h
4. Testphase  (4h)
    4.1 Einweisen eines Kollegen damit dieser den Passwort Manager 5 Arbeitstage nutz (1h)
    4.2 Feedback des Benutzers sammeln, wenn möglich gewünschte Änderungen einarbeiten (3h)
5. Vollständige Implementierung (4)
    5.1 Kurz Anleitung für Benutzer 1h
    5.2 In Aktive Nutzung gehen (entfernen der Excel daten) 1h
    5.3 Passwörter nach BSI Basicschutz: Sichere Passwörter ändern 2h
6. Projektabnahme und Abschluss (10h)
    6.1 Admin Anleitung 2h
    6.2 Projektdokumentation 8h
Stunden insgesamt: 40

## Bestandteile der Dokumentation (Unterlagen, Dokumente, Protokolle, Projekttagebuch etc.):
- Lasten- und Pflichtenheft
- Installationsanleitung
- Anleitung für die Benutzung
- Admin Anleitung
- Kosten nutzen Analyse

 

Bearbeitet 18. August 2023 von mapr

[cortez]

Mir fehlt hier etwas der rote Faden, denn an manchen Stellen ließt es sich so, als ob ein Passwordmanager implementiert werden soll, aber dann gibt es da noch die Punkte "Aufwand und Handhabbarkeit des aktuellen Prozess bewerten 0.5h" und " Passwörter nach BSI Basicschutz: Sichere Passwörter ändern 2h" welche da nicht so ganz reinpassen.

vor 1 Stunde schrieb Thors:

 1.2 Schwachstellen und Sicherheitsrisiken identifizieren 1h
    1.3 Aufwand und Handhabbarkeit des aktuellen Prozess bewerten 0.5h

Was möchtest du denn hier in den 1,5 Stunden machen? Es sind nur 1-2 Stätze, denn eine Exceltabelle mit Passwort ist nur ein kleine Hürde.

vor 1 Stunde schrieb Thors:

1.4 Welche Anforderungen sollen erfühlt werden (2.FT) 2h

Soll Konzept erstellen.

vor 1 Stunde schrieb Thors:

4. Testphase  (4h)

Warum kommt die Testphase erst, wenn du dich schon für ein Produkt entschieden hast?

 

[Dr. Octagon]

vor 5 Stunden schrieb Thors:

## Projektplanung (Zeitplanung der Projektphasen in Stunden):

[...]
4. Testphase  (4h)
    4.1 Einweisen eines Kollegen damit dieser den Passwort Manager 5 Arbeitstage nutz (1h)
    4.2 Feedback des Benutzers sammeln, wenn möglich gewünschte Änderungen einarbeiten (3h)
5. Vollständige Implementierung (4)
    5.1 Kurz Anleitung für Benutzer 1h
  

Zu 4.1 und 5.1:

Du könntest auch einfach zuerst die kurze Anleitung schreiben, und sie dann einem Kollegen geben... damit sparst Du im besten Falle eine Stunde und weißt, ob Deine Anleitung überhaupt gut ist.

Zu 4.2:

Falsch gedacht, denn es ist DEIN Projekt und Deine selbst durchdachte/erprobte Lösung ist hier gefragt... Du sollst bitte ein Produkt abliefern, dass wie gewünscht funktioniert, dafür hast Du Dir ja in Punkt 1.4 Gedanken gemacht und sie vorgetragen. Gleichniss: Ein Dachdecker sagt auch nicht "Hier ist ihr neues Dach... schauen sie bitte die nächsten 5 Tage, ob es reinregnet."

[Dr. Octagon]

Zusatz:

Also, Du redest ja von einer Server-gestützten Implementierung und nicht von sowas wie Keepass auf jedem PC einzeln installiert oder so. Geht nicht offensichtlich aus dem Post hervor. Denn: Ersteres wäre ein Go, letzteres ein NO!

 

Und insgesamt empfinde ich die Durchführungsphase zeitlich für einen FISI als zu gering, denn von den "hier nötigen" 6 Stunden sind alleine schon 2 h für Copy/Paste vergeben... hier geschickt Imigration genannt.

Wenn Du "[...]gewünschte Änderungen einarbeiten" aus der Testphase (siehe mein Post oben) durch Dich selbst erarbeitest und implementierst, kannst Du die 3 Stunden direkt hier verbuchen.

Bearbeitet 18. August 2023 von Dr. Octagon

[Thors]

Hallo, danke für die schnell Antworten.
Werde die auf geworfenen fragen von Cortez überdenken und arbeiten.
zu Testphase 4.1 meinte ich den USER Test ich habe die Produkte in 2.2 getestet.
Aber den punkt 4.2 hat ja auch Dr. Octagon benannt also werde ich da auch noch mal nach Schauen.
Ja die Lösung ist server-gestützt sonst bekomme ich nicht die fachliche Tiefe denke ich.
bis später wenn ich noch mal in mich gegangen bin.

[EnterpriseMobility]

So viel Text und kein einziges Mal wird Bitwarden erwähnt.

[Dr. Octagon]

Am 18.8.2023 um 11:41 schrieb Thors:

3.1 Programm installieren und Konfigurieren und add-ons für Webbrowser installieren 4h  

Habe es mir nochmal angeschaut: Du schreibst schon in den Antrag, dass Add-ons im Browser installiert werden sollen. Woher weißt du das? Denn meine vorherige Frage bezüglich Server-gestützter Implementierung bezog sich darauf, ob Du einen Server (vermutlich virtuell) im lokalen Unternehmensnetz dafür etablieren und einrichten wirst, um darauf eine PW-Manager-Instanz laufen zu lassen, auf die die Mitarbeiter nach Regeln beschränkt Zugriff haben oder eben nicht.  Bei hier genanntem "Browser und Add-ons" glaube ich, es geht in die falsche Richtung. Wenn Du bei Google "password manager browser addons" eingibst... und Deine Projektlösung ist hier direkt zu finden, ist es wohl kein Projekt für einen Fisi.

Und denk dran: Wenn die Passwörter "irgendwo in der Cloud" liegen... werden Dich auch Fragen bezüglich DSGVO treffen.

[Montaine]

Tut mir leid, aber in meinen Augen ist das kein eigenes Abschlussprojekt was hier aufgezogen wird sondern vielmehr handelt es sich hier um einen reinen Arbeitsauftrag.

Der Kunde wünscht dieses und jenes, Umsetzung erfolgt als Projekt. Genau das ist aber nicht das Ziel des ganzen sondern es geht vielmehr darum selbstständig eine Lösung für ein komplexes Problem zu finden. 

Zudem ist die Lösung mit der Implementierung eines Tools zur Passwortsicherheit ja quasi bereits vorgegeben. 

Ich denke der Antrag wird, so wie er aktuell oben steht, mit ziemlicher Wahrscheinlichkeit abgelehnt werden. 

Vor allem.. welches Betriebssystem wird denn überhaupt genutzt? Über was läuft denn die Benutzerverwaltung, Windows oder anderes OS? Falls Windows mit entsprechenden Servern zum Einsatz kommen liefert das AD doch bereits ausreichend Tools zum Managen der Benutzerberechtigungen inklusive Passwortvergabe. 

Oder geht es vielmehr darum den Anwendern innerhalb der Softwarelandschaft ein Tool zur eigenen Passwortverwaltung zur Verfügung zu stellen? In dem Sinn wäre das erst Recht ein Arbeitsauftrag der mit Hilfe von Softwarepaketierung u. automatischer Verteilung innerhalb von wenigen Stunden erledigt wäre. 

Du erkennst allein an den Fragestellungen hier dass das Thema insgesamt nicht komplex genug ist. Entweder Du baust das ganze so um das da wesentlich mehr Tiefe rein kommt und ein "tatsächliches" Problem vorhanden ist für das Du eine Lösung finden musst oder ich empfehle Dir vielleicht auf Tuchfühlung mit anderen Themen zu gehen. 

[Thors]

vor 17 Stunden schrieb Montaine:

Tut mir leid, aber in meinen Augen ist das kein eigenes Abschlussprojekt was hier aufgezogen wird sondern vielmehr handelt es sich hier um einen reinen Arbeitsauftrag.

Der Kunde wünscht dieses und jenes, Umsetzung erfolgt als Projekt. Genau das ist aber nicht das Ziel des ganzen sondern es geht vielmehr darum selbstständig eine Lösung für ein komplexes Problem zu finden. 

Zudem ist die Lösung mit der Implementierung eines Tools zur Passwortsicherheit ja quasi bereits vorgegeben. 

Ich denke der Antrag wird, so wie er aktuell oben steht, mit ziemlicher Wahrscheinlichkeit abgelehnt werden. 

Vor allem.. welches Betriebssystem wird denn überhaupt genutzt? Über was läuft denn die Benutzerverwaltung, Windows oder anderes OS? Falls Windows mit entsprechenden Servern zum Einsatz kommen liefert das AD doch bereits ausreichend Tools zum Managen der Benutzerberechtigungen inklusive Passwortvergabe. 

Oder geht es vielmehr darum den Anwendern innerhalb der Softwarelandschaft ein Tool zur eigenen Passwortverwaltung zur Verfügung zu stellen? In dem Sinn wäre das erst Recht ein Arbeitsauftrag der mit Hilfe von Softwarepaketierung u. automatischer Verteilung innerhalb von wenigen Stunden erledigt wäre. 

Du erkennst allein an den Fragestellungen hier dass das Thema insgesamt nicht komplex genug ist. Entweder Du baust das ganze so um das da wesentlich mehr Tiefe rein kommt und ein "tatsächliches" Problem vorhanden ist für das Du eine Lösung finden musst oder ich empfehle Dir vielleicht auf Tuchfühlung mit anderen Themen zu gehen. 

Hallo Montain,  

es geht geht nicht um alle Nutzer weil an dem Punkt hast du recht , das kann ich über das AD regel. Ich dachte ich hätte auf gezeigt das es um um die IT Abteilung geht und um die viefählzigen zugänge die eine höre Sicherheit wie die "normalen Nutzer"  benötigen.

An alle Anderen die ihr auch mit kommentiert haben ich habe die Anregungen und hinweise versucht einzuarbeiten vielleicht wird es jetzt klarer.

[Thors]

Hallo Zusammen,

ich hoffen das ich jetzt so die nötige tiefe bekomme. Danke noch mal und auch für weitere Rückmeldung. gruß Thors

## Bitte nutzen Sie das folgende Feld für die Beantwortung der oben genannten 3 Fragen:
1. antonius gemeinsam leben gGmbH ist eine Einrichtung der der Menschen mit Handycap leben und arbeiten.
2. Lasten und Pflichtenheft; Installationsanleitung; Anleitung für die Benutzung.
3. IT Abteilung von xyz werden 530 PC Arbeitsplätze, für 4 Gesellschaften die zuxyz gehören sowie eigens Rechenzentrum, eigene Netzwerkinfrastruktur usw. betreut . (Hier habe ich das Arbeitsumfeld noch mal genauer dargestellt. Vielleicht zeigt es auf warum ich an der ein oder anderen stelle auf die aufgewendeten Stunden komme) 

## Projektplanung (Zeitplanung der Projektphasen in Stunden):
1. Evaluierung der Aktuellen Situation (2h) (2 unter Punkte gestrichen)
    1.1 IST zustand analysieren und bewerten  0.5h
    1.2 Welche Anforderungen sollen erfühlt werden (Pflichtenheft) 1.5h
2. Software Auswahl und Vergleich  (13h) (1 unter Punkte gestrichen)
    2.1 Recherche welche Software Lösungen in Frage kommen 4h
    2.2 Test der in fragekommenden Programmen 6h
    2.3 Anfrage der Kosten für infrage kommende Programme 1h
    2.4 Kosten nutzen Analyse Auswahl einer Lösung 2hKosten nutzen Analyse 2h
3. Implementierung der Ausgewählten Lösung (7h) (Aufgaben in 3.1 konkretisiert )
    3.1 Programm installieren und Konfigurieren (Windows Server aufsetzten u. konfiguriene, Zugriffsrechte u. Anforderungen aus 1.2) 6h
    3.2 Immigration der vorhandenen Passwortdaten  1h
4. Testphase  (5h) (Aufgabenstellung abgeändert )
    4.1 Test des Passwort Manager im Betrieblichen Umfeld durch mich 5 Arbeitstage 2h
    4.2 Kurz Anleitung für Benutzer 1h
    4.3 Erkannte Mängel und Unzulänglichkeiten anpassen wenn möglich abstellen 3h
5. Vollständige Implementierung (3h) (1 unter Punkte gestrichen)
    5.1 In Aktive Nutzung gehen (entfernen der Excel daten) 1h
    5.2 Passwörter nach BSI Basicschutz ersetzten (Aktuell vorhanden Ähnlichkeiten vermeiden) 2h
6. Projektabnahme und Abschluss (10h)
    6.1 Admin Anleitung 2h
    6.2 Projektdokumentation 8h
Stunden insgesamt: 40

Bearbeitet 20. August 2023 von Thors
zu schnell geklickt

[Montaine]

vor 50 Minuten schrieb Thors:

Hallo Montain,  

es geht geht nicht um alle Nutzer weil an dem Punkt hast du recht , das kann ich über das AD regel. Ich dachte ich hätte auf gezeigt das es um um die IT Abteilung geht und um die viefählzigen zugänge die eine höre Sicherheit wie die "normalen Nutzer"  benötigen.

An alle Anderen die ihr auch mit kommentiert haben ich habe die Anregungen und hinweise versucht einzuarbeiten vielleicht wird es jetzt klarer.

Ne Du... wirklich klarer wird das jetzt auch nicht. 

Einzelne Useraccounts die eine höhere Sicherheitsstufe benötigen, auch das lässt sich komplett über die Passwortverwaltung im AD, in Zusammenspiel mit SAP u. OIM regeln... Lösung hierfür: Zu den normalen Useraccounts entsprechende Adminaccounts die über die höheren Berechtigungen verfügen, fertig. 

Und es tut mir wirklich von Herzen leid das ich Deine Gedankengänge so komplett zerpflücke und Dir in dem Sinn jegliche Hoffnung zunichte mache...  aber Du wirst damit komplett gegen die Wand rennen. 

In welcher Fachrichtung machst Du die Umschulung, FiSi? 

Welche Möglichkeiten bieten sich eventuell noch für ein Projekt das von der fachlichen Tiefe soweit tauglich ist und von Dir alleine auf die Füße gestellt werden kann...  mit welchem OS arbeiten die aktuell? 

Was zum Beispiel gerne genommen wird ist z.B. Massenverteilung von Software (Neues OS, Updates, Softwarepaketierung) oder Monitoring... um mal nur 2 zu nennen. 

Wie lange hast Du überhaupt noch Zeit, wann ist der Stichtag für die Abgabe des Projektantrags?

[Thors]

okay vielleicht hat noch jemand einen Idee  die Aufgabe FISI würdig zumachen....

@Montain mein erster wunsch war die Softwearverteilung, aber ich möchte doch möglichst Kosten neutral bleiben.

Ich könnet doch einen Umzug eines Servers (Windows neu aufsetzten usw.) inklusive RDP und Storage (umziehrn und syn. zur Zentrale) machen. Ich habe aber auf die Tochter Gesellschaft nicht wirklich lust (aber nicht weitersagen),

 

[Montaine]

vor 10 Minuten schrieb Thors:

okay vielleicht hat noch jemand einen Idee  die Aufgabe FISI würdig zumachen....

@Montain mein erster wunsch war die Softwearverteilung, aber ich möchte doch möglichst Kosten neutral bleiben.

Ich könnet doch einen Umzug eines Servers (Windows neu aufsetzten usw.) inklusive RDP und Storage (umziehrn und syn. zur Zentrale) machen. Ich habe aber auf die Tochter Gesellschaft nicht wirklich lust (aber nicht weitersagen),

Umzug eines Servers ist auch zu wenig... aber Hey, bleib doch bei dem ersten Wunsch mit der Softwareverteilung! 

Zum Thema "Neutrale Kosten"... in jedem Projekt fallen Kosten an, selbst wenn das eigentliche Projekt scheinbar keine Kosten verursacht. 

Bleib bei der Softwareverteilung und denk da mal tiefer... Du hast in der Umschulung mit Sicherheit gelernt welche Arten und Möglichkeiten es zur Verteilung gibt... na, da fällt Dir doch sicher auf Anhieb was ein was im ersten Moment gar keine Kosten verursacht weil Du im Prinzip schon über alles verfügst was Du dazu brauchst... klingelts bei Dir? 

 

Bearbeitet 20. August 2023 von Montaine

[Thors]

Ich höre da eine ganz leises Klingen das sich wie AD anhört.

Wenn icht stehe ich auf dem Schlauch und bräuchte mal eine schupps.

danke

[Montaine]

vor 9 Minuten schrieb Thors:

Ich höre da eine ganz leises Klingen das sich wie AD anhört.

Wenn icht stehe ich auf dem Schlauch und bräuchte mal eine schupps.

danke

Ne.. nicht AD... das leise Klingeln geht eher in Richtung Hyper-V.

[charmanta]

vor einer Stunde schrieb Thors:

@Montain mein erster wunsch war die Softwearverteilung, aber ich möchte doch möglichst Kosten neutral bleiben.

und wo ist da das Problem ? Wobei DEINE Kosten IMMER mit reinspielen

[Thors]

vor 28 Minuten schrieb charmanta:

und wo ist da das Problem ? Wobei DEINE Kosten IMMER mit reinspielen

Ich habe kein Kosten Problem mein Ausbilder 🙈 für den fall das man eine Lösung nutze die Kosten bei der umsetzung erzeugt.

Du siehst also auch keine weg für mein Passwort-Manager?

[charmanta]

Ich halte das für nicht hinreichend komplex. Ich kenne diesen Ansatz als Thema für ITSK ... beim FiSi erwarte ich etwas mehr und empfehle ein ganz neues Thema

[Thors]

okay 🤕

danke euch werde die Tage dann mal wieder hier einen neuen Ansatz zum drüberschauen einstellne.

[Thors]

Hallo Zusammen,

ihr habt alle Recht gehabt. ABGEHLEHNT

Begründung:

Der Prüfungsausschuss hat folgende Fragen:
Ist die Bereitstellung des Betriebssystemes ebenfalls Teil des Projekts?
2. Werden weitere Dienste gebraucht z.B. SQL wie werden diese bereitgestellt durch das Pro-
jekt oder bereits vorhanden?
3. Wie wird auf die Software zugegriffen bzw. sind hier noch weitere Dienste einzurichten o-
der bereits vorhanden (VPNr HTTPS, etc.)?
Die ledigliche Bereitstellung eines Passwortmanagers ist kein Projekt einer Abschlussprüfung.

ja ich weis ihr habt es mir alle gesagt....

ich Poste das für FISIs die auch so was machen wollen......

[Thors]

Am 25.9.2023 um 10:48 schrieb Thors:

Hallo Zusammen,

ihr habt alle Recht gehabt. ABGEHLEHNT

Begründung:

Der Prüfungsausschuss hat folgende Fragen:
Ist die Bereitstellung des Betriebssystemes ebenfalls Teil des Projekts?
2. Werden weitere Dienste gebraucht z.B. SQL wie werden diese bereitgestellt durch das Pro-
jekt oder bereits vorhanden?
3. Wie wird auf die Software zugegriffen bzw. sind hier noch weitere Dienste einzurichten o-
der bereits vorhanden (VPNr HTTPS, etc.)?
Die ledigliche Bereitstellung eines Passwortmanagers ist kein Projekt einer Abschlussprüfung.

ja ich weis ihr habt es mir alle gesagt....

ich Poste das für FISIs die auch so was machen wollen......

kleine Einschränkung muss/durfte den Antrag überarbeiten.....

ich teile mit was draus geworden ist .)

[Emcey]

@Thors und was ist der aktuelle Stand?

[Thors]

vor 22 Stunden schrieb Emcey:

@Thors und was ist der aktuelle Stand?

@Emcey ich warte auf antwort der IHK 🫣

[Emcey]

@Thors kannst du mal zeigen wie du es dieses mal formuliert hast, hab ein ähnliches Thema aber noch nicht angefragt 

[Thors]

vor 9 Stunden schrieb Emcey:

@Thors kannst du mal zeigen wie du es dieses mal formuliert hast, hab ein ähnliches Thema aber noch nicht angefragt 

ich denke das ich die Tage eine Antwort bekommen dann kann ich gerne info geben.