Moin Leute,

ich bin aktuell mitten in meinem Projekt Implementierung eines Passwortmanagementsystems. Abgewogen habe ich die Manager Keeper, Bitwarden und Vaultwarden (self-hosted). In unserem Unternehmenskontext passt Bitwarden am besten, es überzeugt durch Sicherheit, saubere Integration und Granularität. Mein Bedenken ist, dass die Implementation einer SaaS-Lösung zu flach ist, am Ende würde ich hauptsächlich "nur" konfigurieren und habe keine klassischen FiSi-Themen wie Netzwerke, Backups etc.

Was ich jetzt voraussichtlich machen würde ist Bitwarden mit unserem Identity Provider verbinden(EntraID), ein Zugriffskonzept ausarbeiten, Nutzer/Admins anlegen und ins Testing übergehen. Also Passwörter migrieren und Granularität testen. Der technisch aufwändigste Schritt wäre dieser: Sync with Microsoft Entra ID | Bitwarden

Wenn ich noch über Governance, Compliance, ISO 27001 etc. in meiner Doku spreche, hat mein Projekt dann genug technische Tiefe für ein FiSi-Projekt?

Wenn Du im Vorfeld erst einen Vergleich zwischen on-prem vs Cloud ziehst, einen ausführlichen Blick auf das Thema Datenschutz wirfst und die wirtschaftliche Betrachtung nicht außer Acht lässt, dann sollte das durchaus ein genehmigungsfähiges Projekt sein.

vor 1 Minute, Muff Potter hat gesagt:

Wenn Du im Vorfeld erst einen Vergleich zwischen on-prem vs Cloud ziehst, einen ausführlichen Blick auf das Thema Datenschutz wirfst und die wirtschaftliche Betrachtung nicht außer Acht lässt, dann sollte das durchaus ein genehmigungsfähiges Projekt sein.

Das Projekt ist schon genehmigt, mir geht es darum, dass in der Prüfung mir nicht vorgeworfen werden kann, dass mein Projekt keine fachliche Tiefe hat. Man könnte dann auch Vaultwarden nehmen, dann wäre das Projekt deutlich technischer. Da wären dann Themen Containerisierung, Backups, Erreichbarkeit per HTTPS, Verschlüsselung etc. der Kern der Präsentation. Die passendere Lösung ist aber Bitwarden als SaaS-Lösung, wo viele dieser Themen vom Anbieter geklärt werden.

Verstehe was du meinst.

Ist ein generelles Problem. Ja dein Projekt ist im grunde zu einfach ABER die IHK hat es ja zugelassen daher mach dir mal nicht zu viele Gedanken. Mach das was du getan hast ordentlich (vor allem die Nutzwertanalyse) und dokumentier es entsprechend. Viel Glück
Kannst ja mal schreiben ob es positiv verlaufen ist

Viel Glück

Ich denke, da dein Projekt genehmigt wurde, dass du dir dahingehend keine Sorgen machen brauchst. Wie schon gesagt, mach es so gut du kannst, eventuell fallen dir doch noch einzelne Punkte ein.

Ich werde versuchen dem Projekt Tiefe zu geben, in dem ich auf "Was wäre, wenn"-Szenarios eingehe, ISO 27001/DSGVO thematisiere, self-hosting und SaaS vergleiche nachdem ich das Produkt vorstelle.

Die Frage an Prüfer wäre, reicht eine Anbindung an EntraID als technischer Part bei so einem Projekt? Wäre es besser Vaultwarden zu nehmen, auch wenn es weniger in den Unternehmenskontext passt, damit man später mehr technisches zeigen kann?

vor 8 Stunden, AequiAzubi hat gesagt:

Moin Leute,

ich bin aktuell mitten in meinem Projekt Implementierung eines Passwortmanagementsystems.

Und damit dürfen wir nicht mehr helfen.