FiSi 2023 Berlin - "Auswahl, Planung, Einrichtung und Konfiguration von einem Passworttresor im internen Netzwerk des Unternehmens."

[aka13]

Hallo an alle, 

ich bin hier im Forum seit einer gewissen Zeit stiller mitleser gewesen. Nun ist die Zeit gekommen, auch aktiv zu werden. 
Ich bin gerade in den letzten Zügen meiner Umschulung zum FiSi und stehe vor meinem Projektantrag. 
Ich komme aus dem SaaS-Umfeld und habe bereits berufliche Erfahrung. 

Überraschend für mich wurde mein Projektantrag abgelehnt, und ich kann mit dem Kommentar seitens des Prüfungsausschusses nichts anfangen. 
Ich habe nun bis zum 02.10 Zeit, diesen zu korrigieren und neu einzusenden. 

Den Antrag in pdf-Form habe ich diesem Post angehängt. 

Folgenden kommentar hat der Prüfungsausschuss dazu gegeben: 

 

Zitat

bitte überprüfen Sie im Antrag noch einmal Ihre Projektziele (Zeit-, Kosten-, und Qualitätsziele) und planen Sie auch die Durchführung einer Schutzbedarfs- bzw. Sicherheitsanalyse ein. Beachten Sie bei der Bearbeitung Ihres Projektes bitte auch den Leitfaden für Fachinformatiker für Systemintegration und denken Sie an die zeitliche Einplanung der Erstellung Ihrer Projektdokumentation.

 

Für mich selbst in Retrospektive ist offensichtlich, dass die 3,5h für die Dokumentation natürlich zu wenig sind, und die werde ich eher richtung 6-8h ansetzten. 
Die Ziele werde ich wahrscheinlich präzisieren, indem ich einen Bezug auf "Durchführung in restlicher praktikumszeit, parallel Tagesgeschäft, 40h" nehme. 
Bei Kosten werde ich wohl schon im Antrag dann eine kleine Rechnung und Budgetierung machen müssen? 
Bei Qualitätszielen kann ich mir leoder nichts vorstellen. 

Schutzbedarfs/Sicherheitsanalyse-vermerk ist mir leider auch unklar. Ich erwähne sowohl in der Durchführung, als auch in der Zeitplanung, dass ich eine Schutzbedarfsanalyse durchführe. Ist die zu kurz angesetzt?

Der Leitfaden, der hier  verfügbar ist, habe ich eigentlich recht nah zum Herzen genommen, und meinen Antrag daran gestaltet. 

 

Ich habe schon Testweise für mich selbst mal so eine Auswahl und implementation Zuhause oberflächlich in n paar Stunden durchgespielt, ich würde Vaultwarden empfehlen, eine Ubuntu-VM aufsetzen, einen Compose schreiben für nginx-vaultwarden-fail2ban oder crowdsec usw, das Ding konfigurieren, dann wahrscheinlich rsync-jobs fürs backuppen erstellen, und dann einen kleinen physischen Server aufsetzen, der über rsync compose, configs und db abholen und ausrollen kann. 

Dazu dann oben Drauf entsprechend Lasten-Pflichtenheft + User/Admindoku + Mikroschhulung für Anwender. Ist für 40 Stunden recht sportlich, aber imo machbar. 

 

Ich hoffe, ich werde nicht nachher durch den Ausschuss abgeschossen, weil ich den Antrag hier gepostet habe. 
Wenn jemandem auffallen sollte, dass ich zu wenig unkenntlich gemacht habe, bitte gerne melden. 

 

Ansonsten freue ich mich über jegliches Feedback. Einen vollen Themensprung würde ich gerne vermeiden/kommt beim Ausschuss vermutlich ehe nicht gut an.
Ratschläge zur Umsetzung der Ausschuss-Kommentare würden mich sehr freuen. 

Mit freundlichen Grüßen,
AK.
 

Projektantrag_unkennt.pdf

[charmanta]

vor 4 Stunden schrieb aka13:

Ich hoffe, ich werde nicht nachher durch den Ausschuss abgeschossen, weil ich den Antrag hier gepostet habe. 

Du darfst keine Hilfe beim Projekt bekommen, beim Antrag schon

vor 4 Stunden schrieb aka13:

Beachten Sie bei der Bearbeitung Ihres Projektes bitte auch den Leitfaden für Fachinformatiker für Systemintegration

Ich sags mal deutlicher: das Projekt hat nicht die fachliche Tiefe. Du suchst ne Software, keine Lösung. Wo zeigst Du die Kompetenz eines Fisi ?

Nach Deiner Zeitplanung nimmst Du Dir -2- Stunden für die Auswahl. Das reicht nicht. Die Auswahl sollte 6-8 Stunden in Anspruch nehmen ich hoffe, Du bist bei dem Thema FIT im Datenschutz.

Ich persönlich finde das Thema ungeeignet und rate zu einem neuen Ansatz. Von der Tiefe her grenzwertig, vom Anspruch an den Datenschutz her sehr anspruchsvoll.

 

[ickevondepinguin]

vor 3 Minuten schrieb charmanta:

ch sags mal deutlicher: das Projekt hat nicht die fachliche Tiefe. Du suchst ne Software, keine Lösung. Wo zeigst Du die Kompetenz eines Fisi ?

Richtig. Vorher heißt es nämlich:

vor 4 Stunden schrieb aka13:

bitte überprüfen Sie im Antrag noch einmal Ihre Projektziele (Zeit-, Kosten-, und Qualitätsziele) und planen Sie auch die Durchführung einer Schutzbedarfs- bzw. Sicherheitsanalyse ein.

Das sagt es schon ziemlich genau. Der Ausschuss hätte gerne mehr Eigenleistung. Schutzbedarfs-/Sicherheitsanalyse gem. der bekannten Vorschriften. Bisher ist es erstmal ein Arbeitsauftrag eine Software auszuwählen und zu installieren.

[aka13]

Ich bedanke mich für die Antworten. 
Scheinbar findet wohl die IHK was anderes anspruchsvoll als ich, dann soll es so sein. Ist ja auch in der Ausbildung so, dass schlecht bezahlter undankbarer AD-Quatsch und Subnetze im Kopf rechnen und RAID-Rechnen geschult und abgefragt wird. 

Ich fokussiere mich dann einfach vermehrt auf die Schutzbedarfsanalyse, und spiegele es in der Planung/später in der Dokumentation. 

Bearbeitet 28. September 2023 von aka13
Vorzeitig abgesendet

[cortez]

vor 3 Stunden schrieb aka13:

Scheinbar findet wohl die IHK was anderes anspruchsvoll als ich,

Dein Projektantrag ist mehr oder weniger ein Arbeitsauftrag. Was ist denn das Problem, dass du lösen willst, wenn die Lösung ein neuer Passwortmanager ist?

Dazu kommen ein paar Lücken in der Zeitplanung.

4.1.1 Lastenheft analysieren 1 Std

Wo kommt das Lastenheft her? Und viel wichtiger, warum ist die Erstellung nicht Teil deines Projektes?

4.2.4 Erstellung von DNS-Einträgen im Unternehmensnetzwerk 0,5 Std.

Muss nicht im Antrag erwähnt werden, da selbst 30 Min viel zu viel Zeit sind. Das ist Teil der Installation.

4.2.2 Erstellung einer VM, Installation Betriebssystem, Einrichtung von Zugängen und Firewall 3 Std.

4.2.12 Erstellung einer VM, Installation Betriebssystem, Einrichtung von Zugängen und Firewall 3 Std.

Hier ist eine Doppelung.

4.2.11 Aufstellen und Verbinden von einem physischen Server, der als Cold Standby dienen soll 1 Std.

4.2.13 Übertragung der Konfiguration und Erstellung von einem Übertragungsmechanismus 2 Std.

Ist das jetzt Cold Stand-by oder ein Hot Stand-by?

Am 26.9.2023 um 16:01 schrieb charmanta:

vom Anspruch an den Datenschutz her sehr anspruchsvoll.

Sehe ich auch so. Hier geht es quasi um die Schlüssel zu allem. Bei BSI gibt es ziemlich material dazu. Ich weiß nicht ob es eine gute Idee ist, wenn man da nicht 100% sicher ist.

[aka13]

Das ist schon viel konstruktiver, danke. 

Bis auf die Welt der IHK, in der ich erst seit Kurzem dabei bin, ist ein Arbeitsauftrag für mich ein Ausgangspunkt für ein Projekt gewesen, a la gängiger Definition:

"Ein Projekt ist ein zielgerichtetes, einmaliges Vorhaben, das aus einem Satz von abgestimmten, gesteuerten Tätigkeiten besteht und durchgeführt werden kann, um unter Berücksichtigung von Vorgaben wie etwa Zeit, Ressourcen (zum Beispiel Finanzierung bzw. Kosten, Produktions- und Arbeitsbedingungen, Personal und Betriebsmittel) und Qualität ein Ziel zu erreichen."

Der Arbeitsauftrag war in dem Fall, "Überlege dir, wie wir unsere Passwortverwaltung zivilisiert gestalten können".
Mein Projekt ist entsprechend die Recherche, was denn überhaupt gewünscht ist an Funktionalität, was es so alles gibt,  das diese Anforderungen abdeckt, auswählen, ggf. support/lizenzkosten budgetieren, falls gar keine freie (frei wie Stallman-frei) Software findet, überlegen, wie man es am besten in bestehender Infrastruktur deployed und eingerichtet kriegt, einrichten, sicherungen, cold-standby, schulung, doku. 

Das kommt mir unironisch wie ein Projekt vor. 

 

 

Zitat

Dein Projektantrag ist mehr oder weniger ein Arbeitsauftrag. Was ist denn das Problem, dass du lösen willst, wenn die Lösung ein neuer Passwortmanager ist?

 

Das Problem, dass das Unternehmen es nicht schafft, die Passwortverwaltung zu organisieren, und dafür rudimentäre Tools aus dem Endanwenderbereich auf Abteilungen versucht zu dimensionieren. Offensichtlich funktioniert das nicht gut. Was genau die Probleme sind, hatte ich in einer früheren Version des Antrags recht ausführlich beschrieben, wurde mir aber von meiner Schule abgeraten, da "Das ist IST-Analyse und gehört in die Projektarbeit selbst".

 

Zitat

 

Wo kommt das Lastenheft her? Und viel wichtiger, warum ist die Erstellung nicht Teil deines Projektes?

 

 

 

Hatte ich lustigerweise ursprünglich auch drin, wurde mir aber ebenfalls von der Schule abgeraten. Die Begründung war "Wenn das Lastenheft nicht ganz im Anhang ist, und extern bereitgestellt, braucht man es gar nicht haben, ist dann unseriös". Würdest du es genau umgekehrt sehen, dass ich es lieber mit dem Auftraggeber gemeinsam erarbeiten soll?

 

vor einer Stunde schrieb cortez:

Muss nicht im Antrag erwähnt werden, da selbst 30 Min viel zu viel Zeit sind. Das ist Teil der Installation.

 

Ich habe für andere Services die ich hier eingerichtet habe die Geschichte durchgeführt. Klar, der eigentliche Eintrag im Microsoft-DNS ist 30 Sekunden, aber die logistik drumherum mit neuer Zone, Hauptadmin abfangen, Termin vereinbaren, dokumentieren sind schon ne halbe Stunde gewesen. Gern werf ich es raus, da mir die 30 Minuten definitiv noch an anderen Stellen fehlen. 

 

vor einer Stunde schrieb cortez:

Hier ist eine Doppelung.

 

Ja, ist mir auch nachm Senden aufgefallen. Gemeint war natürlich im zweiten Eintrag die Einrichtung des physischen Standbys. Der braucht ja natürlich auch ein Betriebssystem, entsprechende Konfiguration, usw usf. 

 

vor einer Stunde schrieb cortez:

Ist das jetzt Cold Stand-by oder ein Hot Stand-by?

Definitiv ein Cold-Standby. Der muss jedoch ab und zu auf den aktuellen Stand gebracht werden können, durch einen fachkundigen Dritten, der einfach einen "auf-den-stand-bringen"-Knopf drücken soll. Aktuell sehe ich es als ein bash-script, das mithilfe von z.B. rsync und anderen hilfstools die Konfiguration und die DB rüberziehen soll. 

 

vor einer Stunde schrieb cortez:

wenn man da nicht 100% sicher ist

Mir gefällt die Bürokratisierung meines Projektes auch nicht, aber ich weiss sonst nicht, was ich machen soll. Radikal Thema wechseln? Ist ja offensichtlich, dass es dann zwar kein "künstlcihes" Projektthema sein wird, aber definitiv viel synthetischer als jetzt. Ich mache mir Sorgen, dass wenn ich solch einen Themensprung unternehme, der Prüfungsausschuss es mir wieder absagt. Mein Praktikum geht ja nur noch bis zum 03.11, nehmen wir an eine Woche Bearbeitungszeit, wird recht eng für Diskussionsversuche. 
Ich kann mich nicht entscheiden, was ich weniger mag - synthetisch ein anderes Thema rauskotzen, oder Bürokratisierung diesen Themas riskieren. 

 

 

[cortez]

vor 7 Stunden schrieb aka13:

Der Arbeitsauftrag war in dem Fall, "Überlege dir, wie wir unsere Passwortverwaltung zivilisiert gestalten können".

Das Problem ist, es ist verdammt wage und liegt zwischen Arbeitsauftrag und Projekt. Wie schon im ersten Post gefragt, was ist denn das Problem, dass du lösen willst, wenn die Lösung ein neuer Passwortmanager ist?

vor 7 Stunden schrieb aka13:

..., dass das Unternehmen es nicht schafft, die Passwortverwaltung zu organisieren, ... dafür rudimentäre Tools aus dem Endanwenderbereich auf Abteilungen versucht zu dimensionieren. ... hatte ich in einer früheren Version des Antrags recht ausführlich beschrieben, wurde mir aber von meiner Schule abgeraten, ...

Ich sehe es etwas anders, aber vielleicht können mit @charmanta und @ickevondepinguin als Prüfer noch was du dazu sagen. Der Prüfungsausschuss braucht eine Idee von dem Grund und Umfang des Projektes, damit man es bewerten kann, denn die Details sind bei der Genehmigung erstmal egal. Hier zählt erstmal der Rahmen und der stimmt nicht. 

Von deinem Antrag und deinen Forenposts würde ich sagen du bist ehr der ausschweifende Typ. Versuche das Problem mal mit ein paar kurzen prägnanten Sätzen zu beschreiben, dass würde dem Antrag sehr helfen. 

vor 8 Stunden schrieb aka13:

Würdest du es genau umgekehrt sehen, dass ich es lieber mit dem Auftraggeber gemeinsam erarbeiten soll?

Da der Kunde intern ist, würde ich es etwas zusammen kürzen, eine Ist Analyse und dann ein Soll Konzept machen und  dann in die Entscheidungsfindung gehen. Schau dir mal andere Anträge hier im Forum an. 

vor 8 Stunden schrieb aka13:

Klar, der eigentliche Eintrag im Microsoft-DNS ist 30 Sekunden, aber die logistik drumherum mit neuer Zone, Hauptadmin abfangen, Termin vereinbaren, dokumentieren sind schon ne halbe Stunde gewesen

Hier wäre noch ein Problem, was ich mit dem Antrag hätte. Du gehst bei den einzelnen Arbeitsschritten, sehr ins Detail.  Du hast im Antrag 40 Stunden, welche auf 26 Pakete aufgeteilt wurden. Das macht 1,6 Stunden pro Paket. Es ist sehr knapp. Wie wird dann mit einer Verzögerung umgegangen? Diese Paket, kannst du gut im Aufsetzen unterbringen und du hast dir etwas Spielraum geschaffen. 

vor 8 Stunden schrieb aka13:

Definitiv ein Cold-Standby.

Warum ein Cold Standby? Hier müsste es im Antrag auch einen Punkt zum Thema, Entscheidungsfindung um eine Ausfallsicherheit zu gewährleisten geben. Ein Cold Standby hat auch ein paar Nachteile.  Dazu kommt noch jegliche Absicherung des Systems fehlt im Antrag. So können 3 Punkte erschlagen werden.

Am 26.9.2023 um 11:10 schrieb aka13:

bitte überprüfen Sie im Antrag noch einmal Ihre Projektziele (Zeit-, Kosten-, und Qualitätsziele) und planen Sie auch die Durchführung einer Schutzbedarfs- bzw. Sicherheitsanalyse ein

 

vor 8 Stunden schrieb aka13:

Mir gefällt die Bürokratisierung meines Projektes auch nicht, aber ich weiss sonst nicht, was ich machen soll. Radikal Thema wechseln?

Hier geht es nicht um Bürokratisierung. Datenschutz  ist ein Thema, welches dich in der IT immer begleitet mal mehr mal weniger, aber es gibt stellen an denen du nicht darum herum kommst. 

Am 26.9.2023 um 16:01 schrieb charmanta:

Ich persönlich finde das Thema ungeeignet und rate zu einem neuen Ansatz. ..., vom Anspruch an den Datenschutz her sehr anspruchsvoll.

Ich kann verstehen, warum charmanta dieses Thema für ungeeignet hält. Wenn ich deinen Antrag richtig verstanden, habe baust du einen Zentralenpasswortspeicher für das ganze Unternehmen. Einen sehr wichtigen und kritischen Teil der Infrastruktur. Zum Themen wie Sicherheit und Ausfallsicherheit nicht wirklich ein Wort, denn wenn du dies als Thema nehmen möchtest du, meines Erachtens nach dort deinen Fokus haben. 

Es wäre ein sehr schweres Projekt, durch den Datenschutz/Sicherheit. Zum Vergleich bei der Einführung eines  Monitoringsystems, könnte man das ganze Thema Datenschutz ganz anders angehen und manche Sachen wären kein Thema.

 

[ickevondepinguin]

vor 8 Stunden schrieb cortez:

Ich sehe es etwas anders, aber vielleicht können mit @charmanta und @ickevondepinguin als Prüfer noch was du dazu sagen.

Gerne. Danke @cortez für deine konstruktiven Hinweise.

vor 8 Stunden schrieb cortez:

Der Prüfungsausschuss braucht eine Idee von dem Grund und Umfang des Projektes, damit man es bewerten kann, denn die Details sind bei der Genehmigung erstmal egal.

Richtig. Wichtig sind drei kleine Details auf die wir bei uns später achten:

• Planung und Vorbereitung sind 1/4 der Zeit. Also Kosten-/Zeit-/Sachmittel-/Personalplanung
• Die Durchführung beginnt mit der Lösungsauswahl. Das eigentliche Projekt ist die Lösungsfindung!
  Heißt: Der Weg zur Lösung ist entscheidend. In den Handreichungen/Bewertungsbögen heißt die
  obere Überschrift zwar "Durchführung" aber die Unterpunkte sind "Vorgehen" und "Entscheidungsfindung".
  Und Vorgehen meint hier später nicht das Durchklicken von Installationsassistenten sondern das Nutzen der
  korrekten Strategien im fachlichen Kontext. Da ist alles drin: Ablaufmanagment, fachl. korrekte Umsetzung (Installation).
  Gesamtbetrachtet: In wieweit wurde die Hanldungskompetenz des Fachinformatikers f. Systemintegration ausgespielt.
  Der Entscheidungsweg selbst wird dann eben bei der Entscheidungsfindung bewertet. Welche Methode... usw.
• Projektabschluss sind idR auch 1/4 der Zeit (10 Stunden) mit Abschlusstest, Abnahme, Dokumentation, Kundendoku...

Warum schreibe ich das so detailliert, jetzt schon, in der Antragsphase?

Weil es das ist, was @cortez meint: Der Antrag enthält eigentlich kaum Tiefgang. Bis auf das man durchblicken lässt was das Problem ist und wo die Reise hingeht, sprich, das Lösungsansätze miteinander verglichen werden.

Konkret: Dein Problem ist das Zugangsdaten überall, unkontrolliert abgelegt werden. Es gibt keine Zugriffskontrolle und keinen Überblick wozu es überhaupt Zugänge gibt.

Mit dem Titel "Auswahl, Planung, Installation eines Passwortmanagers" wird das Ganze eben ein Arbeitsauftrag.

Ein Projekt ist aber für uns in der Prüfung die Erkennung eines Probelmes und die Lösung dieses Problemes. Du musst also einen Schritt zurück, damit es kein Arbeitsauftrag mehr ist.

Ein Projekttitel wäre "Zentralisierung und Managment von Zugangsdaten" mit einer entsprechenden Beschreibung.
Je nach Größe reichen ja ggf. sauber getrennte Excellisten und Dateiberechtigungen. (Natürlich nicht!) - Aber von der Logik her... Denn: Den Passwortmanager zu installieren ist wirklich kein Akt. Das Konfigurieren auch nicht. Aber die Findung ist dein Projekt.

vor 8 Stunden schrieb cortez:

Hier wäre noch ein Problem, was ich mit dem Antrag hätte. Du gehst bei den einzelnen Arbeitsschritten, sehr ins Detail. 

Sehe ich ähnlich. Vor Allem wenn du, @aka13 anfängst Projektschritte detailliert zu listen. Damit erweckst du mir den Eindruck die Lösung stünde schon feste und ihr wisst, dass ihr DNS-Einträge machen müsst oder eine MSSQL-DB mit Windows Server braucht (Beispiel, hab deinen Antrag jetzt nicht Wort-fürWort gelesen) wenn es aber z.B. auch eine webbasierende Anwendung gibt die mit mariaDB unter $Linux klarkäme... - Du verstehst, was ich sagen möchte?

vor 8 Stunden schrieb cortez:

Hier müsste es im Antrag auch einen Punkt zum Thema, Entscheidungsfindung um eine Ausfallsicherheit zu gewährleisten geben. Ein Cold Standby hat auch ein paar Nachteile.  Dazu kommt noch jegliche Absicherung des Systems fehlt im Antrag. So können 3 Punkte erschlagen werden.

Wichtiger und guter Hinweis. Grundsätzlich ist natürlich die Datenschutztechnische Betrachtung und die Sicherstellung der Schutzziele Aufgabe im Projekt. Vor Allem beiM Thema Datenschutz spielt die korrekte Handhabung und Sicherstellung eine wesentliche Rolle. Der Gute @charmanta hat schon relativ früh klargestellt wo die Reise mit diesem Projekt dann hingehen wird:

Am 26.9.2023 um 16:01 schrieb charmanta:

Von der Tiefe her grenzwertig, vom Anspruch an den Datenschutz her sehr anspruchsvoll.

Was aber ja nicht schlimm ist. Durch die techn./ablaufbedingten Hinweise und dem Anspruch in Richtung Datenschutz erhält das Projekt die nötige Tiefe, meiner Meinung nach. Wir erwarten ja keine Raketenwissenschaft.

Bearbeitet 29. September 2023 von ickevondepinguin

[aka13]

Vielen Vielen Dank für die letzten zwei Posts! Das macht vieles klarer. 
Insbesondere spannend ist das ganze aus der Prüfersicht.

Ich bin tatsächlich der ausschweifende Typ, da komm ich nicht drumrum, tut mir Leid .

Ich habe das Ding so wage formuliert, weil ich dachte, dass das eben dazu gehört, zumindest habe ich das so von meiner Schule mitgegeben bekommen- ich soll im Projekt eine Lösung finden, und ich kann dann ja entsprechend auf der Antragsebene nur vermuten, was mich erwartet - sonst habe ich ja dann mit dem Projekt schon begonnen. 

 

Das was ich unter "Bürokratisierung" meine ist genau das, was beim Projektthema @ickevondepinguin geschrieben hat - Ob es daran liegt, dass Deutsch nicht meine Muttersprache ist weiss ich nicht, ich verstehe aber beim besten Willen nicht, wo der Unterscheid sein soll zwischen meiner Themenwahl und "Zentralisierung und Managment von Zugangsdaten" - es sind im besten Fall 10 Minuten weitergedacht, dass man beim Zentralisieren von Passwörtern anstatt von Listen, Brieftauben, versteckten Briefen die abgeschlossen werden, selbst auf Familienebene dann zu einem Passwortmanager greift. 

Ich wäre aus meinen eigenen geistigen Kräften nicht darauf gekommen, dass es für einen Prüfer einen Unterschied ausmacht, und dass dabei jegliche Tiefe dazukommt, als wenn man direkt sagt, dass man einen Psaswortmanager auswählt.

Im gleichen Zusammenhang verstehe ich nicht, wie dann der Rest des Antrags gestaltet werden kann - wenn ich denn sage, dass ich mir erst überlegen WERDE, wie ich die Zugangsdaten zentralisiere und Verwalte, wie kann ich im Voraus wissen, welche Schritte ich dann weiter unternehmen werde im Laufe meines Projekts? Dann kann ich ja wenig bis gar nicht die Arbeitspakete detalisieren. In allen "Musteranträgen" die uns die Schule bereitgestellt hat ist es aber immer eine recht detaillierte A4 seite. 

Ich hätte meinetwegen nie die Arbeitspakete so ausgeschrieben, wenn ich diese Vorgabe nicht hätte. 

 

Zu den Entscheidungsfindungen - ich dachte, diese kommen weiter, erst im Projekt selbst, und nicht schon im Antrag. Soll ich dann im Antrag schon die wahl der Standby-Art begründen? 

Selbiges zum Schutz und Sicherheit - die Analyse, was, wie und warum ich schütze habe ich für die Projektdoku gelassen. Hätte das auch schon im Antrag passieren sollen? Da würde aber auch dann meines Erachtens ja bereits eine Wahl bedeuten, denn ich muss ja wissen, wie die gewählte Lösung architekturtechnisch aufgebaut ist, damit ich Maßnahmen ergreife, das Ding zu schützen - es ist ein ganz anderes Thema, ob das ein Zero-Knowledge-Architektur ist, bei der ich mich um einen DB-Verlust mir keine Sorgen machen muss, oder eben nicht. 

Zu ENtscheidungsfindung - es kam mir vor, das mein Antrag sich genau darum dreht, wie ich die Lösungen finde. Danke für die Hinweise, dass es nur mir so vorkam

 

 

vor 50 Minuten schrieb ickevondepinguin:

Du verstehst, was ich sagen möchte?

 

Ja, aber es ist nicht der Fall. Ich habe nur schon zwei Ticketsysteme hier ausgerollt, und dafür nen Reverseproxy aufgesetzt, und ich weiss schon sehr genau, was ich für weitere neue Services machen werde. Interner DNS-Reverseproxy-Service werden für alle Services gültig sein. Es sieht aber tatsächlich doof aus, aus dieser Richtung habe ich gar nicht gedacht. 

Selbiges gilt wohl zum VM aufsetzen, habe ganz am Anfang für das Unternehmen Ubuntu-Templates angelegt um ein Mindestmaß an Standartisierung zu gewährleisten

 

Das heisst, um mit meinem sinnentlosten emotionalen Geschwafel zum Punkt zu kommen:

Ich habe mit meinem Chef geredet, alternativ könnte ich auch ein Monitoringsystem wählen und aufsetzen, aber es kommt auf dasselbe dann hinaus - ihr und der Prüfer werden mir sagen, keine Tiefe, ist ein Arbeitsauftrag . Bin mir immernoch nicht sicher, ob ich einen Themensprung wage aus den oben genannten Gründen. 
 

Oder ich bleibe bei meinem Passwortmanager:

Bevor ich es hübsch ausschreibe, ein Sanity-Check euererseits wäre sehr lieb.

1. Da Projektthema wandelt sich - es ist nun statt "Auswahl eines Passwortblabla" dann "Zentralisierung des Zugangdatenmanagements". 

2. Kurzform der Aufgabenstellung wird dann umgeschrieben, dass nach "Möglichkeiten zur Zentralisierung der Verwaltung" gesucht wird. 

3.  Ist-Analyse erweitere ich mit konkreten Schmerzen, die die Abteilung hat, so wie es früher war, was gerade schief läuft, und warum das nicht so passt, wie es ist. Ich ärgere mich ziemlich, dass ich da auf die Schule gehört habe, und es gestrichen hatte

4. Soll-Konzept erweitere ich mit "Was wollen wir denn eigentlich erreichen, und wie soll das ganze sicher bleiben mit einer Mikro-Datenschutz-Analyse, wie es in Ordnung ist, und wie nicht. Auch eine Mikrobegründung dann zum Backup, Cold Standby?

5. Durchführung werde ich drastisch reduzieren, und mehr Wert auf "gröbere" Schritte legen.

6. Zeitplan wie er jetzt ist geht in den Müll. Von der Länge her auf die Hälfte reduzieren. Lasten-Pflichtenhefte gehen raus, da interner Kunde(?), 10h ursprüngliche Research, zusammenstellen von Anforderungen, 20h Umsetzung, 10h Abschluss mit Doku und Abnahme. 

Kommt das grob hin?

[ickevondepinguin]

vor 2 Minuten schrieb aka13:

Ich wäre aus meinen eigenen geistigen Kräften nicht darauf gekommen, dass es für einen Prüfer einen Unterschied ausmacht, und dass dabei jegliche Tiefe dazukommt, als wenn man direkt sagt, dass man einen Psaswortmanager auswählt.

Überlege was die Alternative wäre. Ich meine nicht Buch, Liste, Brieftaube. Single Sign On, z.B. - es gibt Clouddienste, die das machen. Über Azure Tendants hinweg haste dann dein SSO, jenachdem, wer den Dienst bereitstellt. Oder unsere Webanwendung zur Zeiterfassung ist an unser Azure Login gebunden, ohne komm ich nicht rein... Und dann sind wir nicht mehr beim Passwortmanager. Die Überlegung ist mit welchen deiner Dienste/Anwendungen du das realisieren könntest und ob das dann eine sinnvolle alternative ist als eine Datenbank mit dann vielleicht hunderten, zu pflegenden Einzelzugängen die händisch noch z.B. geändert werden müssen.

Auch hier: Was passiert wenn Mitarbeiter ausscheidet? Klar, der hat keinen Zugriff mehr auf dem PW-Manager. Aber der Mitarbeitende kann sich ja das Kundenkontokennwort von xyz-Shop mitgenommen haben.....

vor 7 Minuten schrieb aka13:

Selbiges zum Schutz und Sicherheit - die Analyse, was, wie und warum ich schütze habe ich für die Projektdoku gelassen.

Siehe mein letzter Satz eben. Auch das gehört dazu - also, in der Doku natürlich. Aber durch eine offene Formulierung zur Frage "Wie gehen wir mit unterschiedlichen Zugängen um?" besser als pauschal zu sagen "Wir suchen uns ein PW-Manager...".

vor 10 Minuten schrieb aka13:

Zu ENtscheidungsfindung - es kam mir vor, das mein Antrag sich genau darum dreht, wie ich die Lösungen finde. Danke für die Hinweise, dass es nur mir so vorkam

Das ist auch so gewesen, da hast du Recht. Aber du suchst die Lösung für "Welchen PW-Manager?" nicht "Wie organisieren wir Zugänge für Mitarbeitende?" Und hier schließt sich der Kreis. Dein Projekt ist größer als das Suchen eines PW-Managers. Der PW-Manager ist ein möglicher Baustein.

vor 13 Minuten schrieb aka13:

Kommt das grob hin?

Grob, ja. Nimm dir den oberen Absatz zu Herzen. Es gibt nicht nur Passwortmanager

@charmanta was denkst du darüber:

vor 14 Minuten schrieb aka13:

Ich habe mit meinem Chef geredet, alternativ könnte ich auch ein Monitoringsystem wählen und aufsetzen, aber es kommt auf dasselbe dann hinaus - ihr und der Prüfer werden mir sagen, keine Tiefe, ist ein Arbeitsauftrag . Bin mir immernoch nicht sicher, ob ich einen Themensprung wage aus den oben genannten Gründen.

Meiner Meinung nach: Nicht unbedingt. Genauso wie beim Passwortmanager kommt es auf das Problem und das konkrete Ziel an, was ihr möchtet.

[aka13]

Danke nochmal, du machst mir definitiv Mut und Hoffnung. 
Ich denke ich bin jetzt bestens bewaffnet für ein umschreiben des Antrags heut Abend.

Was du mit SSO usw erwähnst ist auch in meinen Augen wichtig, aber parallel zum Passwortmanager. Ich würde die nicht als konkurierende Ansätze sehen, genau so wie ein Cloud-Basierter manager den man nicht onprem hostet immernoch ein Manager mit Client-Server-usw, ist klar. 

Aber ich verstehe nun endgültig, was du vorher meintest, dass das Thema ja dann ein anderes ist, und du dann den PW-Manager als Teillösung eines gesamtkonzeptes des cred-managements siehst. Wirklich vielen herzlichen Dank für die Zeit die du für die Antworten geopfert hast, das ist mehr als meine Schule und mein AG zusammen mir dediziert haben

[cortez]

Am 29.9.2023 um 10:26 schrieb ickevondepinguin:

Auch hier: Was passiert wenn Mitarbeiter ausscheidet? Klar, der hat keinen Zugriff mehr auf dem PW-Manager. Aber der Mitarbeitende kann sich ja das Kundenkontokennwort von xyz-Shop mitgenommen haben....

Hier wäre meines Erachtens noch wichtig, wie sieht hier der Prozess aus? Kommen die Informationen aus der Personalabteilung regelmäßig und rechtzeitig in der IT an? Es ist ein Problem, wenn kaum/keine Kommunikation statt findet. Gerade wenn jemand gekündigt wurde und es wichtig ist die Zugänge asap zu entfernen.

Am 29.9.2023 um 10:26 schrieb ickevondepinguin:

Meiner Meinung nach: Nicht unbedingt. Genauso wie beim Passwortmanager kommt es auf das Problem und das konkrete Ziel an, was ihr möchtet.

Würde ich genau so sehen. Was ist das Problem, was mit einem neuen Monitoringsystem gelöst werden soll? 

Als Beispiel, du arbeitest in einem Betrieb wo etwas produziert wird und die Produktionsanlagen/Kontrollcomputer nicht ausfallen dürfen. Die Produktionsanlagen/Kontrollcomputer werden geupdatet und kommen nicht mehr mit dem aktuellen Monitoringsystem zurecht. 

Du hast die Basis für ein Projekt. Wie können die Produktionsanlagen/Kontrollcomputer weiter überwacht werden, ohne jemanden 24/7 vor die einzelnen Anlagen zusetzen?