HAL_9000

Kann aus eigener Erfahrung Barandorias nur beipflichten: Den Tag vor der Prüfung nichts machen, bzw. einen Spaziergang machen, Schwimmen oder Joggen gehen, den Kopf frei machen. Eigentlich selbstverständlich, aber kein Alkohol oder andere sinnesbeeinflusse Substanzen vor dem Prüfungstag zu sich nehmen Last but not least, ausreichend Schlaf!

Hallo igel155, vielleicht versuchst Du es mal, Dich persönlich auf IT Messen den Unternehmen vorzustellen. Zum Beispiel auf der ITCS (https://it-cs.io). Das ist eine IT Jobmesse. Von dieser Art gibt es mehrere pro Jahr, an verschiedenen Standorten in Deutschland. Zum Beispiel findet eine am 29.11.2024 in Frankfurt a.M. statt. Bei diesen Messen präsentieren sich Unternehmen, die auf der Suche sind. Du hast auf Jobmessen die Möglichkeit, Dich persönlich den Mitarbeitenden an den Info-Ständen (oft HR Leute) vorzustellen und ins Gespräch zu kommen. Der persönliche Eindruck ist meistens viel Ausdrucksstärker als ein Bewerbungsschreiben/ Lebenslauf. Und bestenfalls wirst Du nach dem Erstgespräch zu einem Interview eingeladen. Ich wünsche Dir auf jeden Fall viel Erfolg. 🙂

Moin HORIA, wenn Du Dich mit KI beschäftigst, kann ich Dir das folgende Buch ans Herz legen von Michelle Mitchell: Artificial Intelligence: A Guide for Thinking Humans (2019). Es erklärt die Entwicklung der verschiedenen Modelle sehr verständlich, und wie sie funktionieren. Es ist wirklich sehr gut und verständlich geschrieben. Und fernab des ganzen Hype, sondern sehr nüchtern und logisch erklärt. Sie geht auch auf die "3 Roboter-Gesetze" von Isaac Asimov ein, und warum diese für die Entwicklung von KI einen Konflickt darstellen. In der Geschichte "Runaround" (1942) beschreibt Asimov eine Situation, in dem ein Roboter in einer Endlosschleife endet beim Versuch, das 2. und das 3. Robotergesetz einzuhalten. Ich denke, Asimov wollte damit aufzeigen, dass diese 3. Gesetze nicht funktionieren können. Die Problematik wird auch von Arther C. Clarke in dem Roman 2001: A Space Odysee (1968) aufgegriffen. Im Moment sehe ich eine Gefahr in der KI darin, dass wir uns zu sehr auf die Algorithmen verlassen die wir nicht verstehen, und vergessen, dass wir einen "gesunden Menschenverstand" (=Common Sense) haben. Das fehlt m.E. bei der KI noch. Zu bemeken wäre noch, dass sich hinter einigen "KI" Modellen tausende von Data-Labeler verbergen (oftmals sitzen diese in niedriglohn-Ländern wie Bangladesh oder Pakistan), die nichts anderes tun als Informationen auszuwerten und den Datenbanken zu füttern (Böse Zungen sprechen von "Data-Sklaven"). Manchmal ist "die KI" garnicht so künstlich, wie man es präsentieren möchte. Da steckt ganz viel Menschenarbeit bzw. Menschenintelligenz dahinter 🙂

Vielen Dank Charmanta für Deine Antwort 🙂. Ich stehe noch ziemlich am Anfang meiner Praxisphase und werde die Zeit im Betrieb nutzen um mein Wissen weiter zu vertiefen bzw. das bereits Erlernte Know-How einzusetzen. Am Ende kann ich hoffentlich ein gutes und überzeugendes Projekt abliefern und präsentieren. Dieses Forum und die darin enthaltene Fachexpertisen und Anregungen, Ratschläge und Kritik ist wirklich sehr hilfreich. Da komme ich gerne immer wieder zurück für Coaching und Unterstützung 🙂

Danke für die wertgeschätzte Rückmeldung. 🙂 Es ist ein "echtes", internes Projekt (interner Auftraggeber), welches auf jeden Fall umgesetzt wird. Mein Projektvorhaben wäre ein eigenständiger Teil davon, da ich nur 40 Stunden zur Verfügung habe. Wie könnte ich es im Antrag deiner Meinung nach verständlicher darlegen, dass dieses Vorhaben in die Tat umgesetzt wird? Was fehlt denn ganz konkret? Gibt es bestimmte Textbausteine oder Formulierungen, die von den Prüfenden gerne gesehen/gelesen werden? Wäre es möglicherweise sinnvoll, ein Gantt-Diagramm für das gesamte Projekt in den Antrag einzubauen, um die Schritte der Umsetzung visuell abzubilden? Was meinst du mit "Deine Antwort klingt irgendwie generiert"? Ist die Antwort zu generisch, nicht spezifisch/ausführlich/konkret genug?

Hallo ickevondepinguin, vielen Dank für deinen Feedback. Ein zentraler Bestandteil des Vorhabens besteht darin, die geeignetste Softwarelösung aus verschiedenen Optionen zu identifizieren. Auf dieser Grundlage wird die Software entsprechend angepasst und in das bestehendes IT-System sowie das ISMS integriert. Die Anforderungen der DSGVO, des BDSG, des BSI-Grundschutz-Kompendiums und der ISO/IEC 27001:2022 werden berücksichtigt. Der Schwerpunkt liegt auf Informationssicherheit, wobei der Informationsschutz und Datenschutz nicht vernachlässigt werden sollen. Ziel ist es, die Software und die dazugehörigen Prozesse nahtlos in den betrieblichen Ablauf zu integrieren und anzuwenden. Dabei soll die Informationssicherheit nicht nur die technische Infrastruktur, sondern den gesamten Informationsfluss unter Berücksichtigung aller Risiken umfassen. Dabei ist wichtig, Schwachstellen zu identifizieren und geeignete Optimierungsmaßnahmen zu entwickeln, um den TISAX-Anforderungen gerecht zu werden. Auf diese Weise kann der Betrieb seinen Partnern und Kunden demonstrieren, dass er über die notwendigen Sicherheitsmaßnahmen verfügt, um sensible Informationen sicher zu verwalten und zu schützen. Dies trägt letztlich zur Stärkung des Vertrauens der Kunden und zur Verbesserung der Auftragslage des Unternehmens bei.

Falls Du diesen Anbieter für Quereinsteiger noch nicht kennst, kannst Du dich ja hier mal umsehen: https://www.gotoitcareer.com/ Ich habe mich da selber mal beworben und erlebte den Bewerbungsprozess freundlich und unkompliziert. Am Ende habe ich mich dann doch für eine IHK Umschulung zum FISI entschieden. Am Ende passte dieser Weg besser zu meiner Lebenssituation.

Verstehe, vielen Dank Brapchu 🙂 Ich beziehe die Systemänderungen und -erweiterungen auf die organisatorischen Prozesse in Bezug auf Informationssicherheit, mit Hilfe von einer (zu ermittelnden) Software ( = Teil eines IT-Systems). Systemänderungen und -erweiterung müssen ja nicht zwangsläufig auf Soft- oder Hardware beschränkt sein, oder liege ich mit dieser Einschätzung völlig daneben? 🤔

Hallo MiaMuh, vielen Dank für Deine Erläuterung. Ja, in der Tat, keine Migration, keine Installation etc. Ich arbeite im Bereich Informationssicherheit wo es u.a. um den Schutz von Informationswerten geht. Laut § 20 der FIAausbV muss ich nachweisen, dass ich in der Lage bin, 1. auftragsbezogene Anforderungen zu analysieren, 2. Lösungsalternativen unter Berücksichtigung technischer, wirtschaftlicher und qualitativer Aspekte vorzuschlagen, 3. Systemänderungen und -erweiterungen durchzuführen und zu übergeben, 4. IT-Systeme einzuführen und zu pflegen, 5. Schwachstellen von IT-Systemen zu analysieren und Schutzmaßnahmen vorzuschlagen und umzusetzen sowie 6. Projekte der Systemintegration anforderungsgerecht zu dokumentieren. All diese Punkte würde ich im Projekt abdecken können (oder zumindest versuchen!). Insbesondere Punkt 5 wäre hier zu erwähnen. 🙂

Hallo Brapchu, vielen Dank für Deine Rückmeldung. 🙂 Nach langem überlegen muss ich eingestehen, dass ich Deinen Kommentar bzw. Deine Frage nicht ganz verstehe. Was meinst Du denn genau mit "Aufsetzen" und wofür man einen FiSi benötigt? 🤔 LG

Hallo Zusammen, Ich bereite gerade einen Projektantrag für die IHK Darmstadt Rhein Main Neckar vor. Der Antrag hält sich, was die Länge und Struktor angeht, an den Vorgaben der IHK Darmstadt. Darüber hinaus sind die Vorgaben der FIAusbV § 20 im Projektantrag abgebildet. Über Rückmeldungen bin ich dankbar. 🙂 1 Thema der Projektarbeit Entwicklung von Optimierungsmaßnahmen zum Schutz von Informationswerten im Rahmen des TISAX-Prüfungsverfahrens Was ist zu tun? Ermittlung und Vergleich von verschiedenen TOMs Entwicklung eines Maßnahmeplans Umsetzung von Schutzmaßnahmen unter Berücksichtigung technischer, wirtschaftlicher und qualitativer Aspekte Wofür? Sicherung von Informationswerten Management von Cyber Security Bedrohungen 2 Geplanter Bearbeitungszeitraum Beginn: Datum Projektgenehmigung durch IHK Prüfungsausschuss (Einreichung ab dem ab dem 02.01.2025 möglich. Spätester Einreichungstermin ist der 01.02.2025)) Ende: Datum Abgabetermin (vorgegeben durch die IHK Darmstadt) Möglicher Bearbeitungszeitraum laut Kursplan 02.01.2025 – 26.02.2025 Projektplanung Ist-Analyse Bedarfsanalyse 20.03.2025 – 09.04.2025 Nutzwertanalyse Maßnahmeplanung Projektdokumentation und -Übergabe 3 Ausgangssituation Die #### GmbH ist Teil der #### Firmenfamilie mit insgesamt ca. 3500 Mitarbeitern in unterschiedlichen Gesellschaften. Die Gesellschaft hat ihren Firmensitz in ####. Die #### ist die Konzernmutter, die Tochtergesellschaften unterteilen sich in Markt- und Liefereinheiten. Der #### als Markteinheit mit ca. 35 Mitarbeitern kommt die Aufgabe zuteil, die zentral erbrachten Dienstleistungen aus dem sogenannten ##### als Standardprodukt am Markt anzubieten. Durch Kundenanforderungen hat die Geschäftsführung der #### entschieden, ein TISAX-Label anzustreben. Mit diesem Label soll sowohl gegenüber den Kunden als auch konzernintern zukünftig ein Qualitätsnachweis erbracht werden. Auf Grundlage des ISMS der #### sowie des DSMS der #### möchte sich die #### kontinuierlich verbessern. Im Rahmen dieses Prozesses setzt die Projektarbeit an. Es sollen die mit dem TISAX-Prüfungsverfahren verbundenen neuen Herausforderungen und Erwartungshaltung von Kunden, vor allem aus der Automobilbranche, praktisch umgesetzt werden. Der Fokus liegt dabei auf das Kapitel 5 des Information Security Assessments (ISA) der VDA: IT Security / Cyber Security. Dieses Kapitel wiederum unterteilt sich in 13 weitere Abschnitte. Die dort erwähnten Anforderungen werden durch vorgegebene technische Rahmenbedingungen (TISAX-Framework), spezielle Kundenanforderungen vor allem - aber nicht ausschließlich - aus der Automobilindustrie, geänderte Sicherheitslagen, neue Funktionalitäten und ähnliches bestimmt. Der Projektantragsteller ist dem Country Security Manager (CSM) unterstellt. Der CSM ist der Informationssicherheitsbeauftragte der ####. Er berät die Geschäftsführung bei der Wahrnehmung deren Aufgaben bezüglich Informationssicherheit und Datenschutz und unterstützt bei der Umsetzung. Der CSM ist in seiner Rolle organisatorisch direkt der Geschäftsführung unterstellt. Der CSM hat das Zutrittsrecht zu allen Betriebsbereichen und ist befugt, IT-Komponenten und/oder IT-Anwendungen vorübergehend stillzulegen und Informationsverarbeitungen zu untersagen, wenn die Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit, Authenzität) bzw. der Datenschutz gefährdet ist. Der notwendige Datenaustausch für den Geschäftsbetrieb und die Kundenkommunikation erfolgt über Kanäle wie E-Mail, Portale, Sharepoints und Cloudlösungen. Neben der Prozess-Sicherheit spielt auch die Informationssicherheit eine wichtige Rolle, um Daten vor Angriffen zu schützen, die Kommunikationssysteme stören könnten. Informationssicherheitsmanagementsysteme sorgen dafür, dass Informationen sicher und ohne Beeinträchtigung ankommen. Informationssicherheit umfasst mehr als nur technische Infrastruktur, sie sichert den gesamten Informationsfluss unter Berücksichtigung aller Risiken. In der Automobilindustrie müssen Produktdaten, Konstruktionszeichnungen und Softwarearchitekturen zwischen allen Beteiligten der Wertschöpfungskette ausgetauscht werden. Um Risiken wie Datendiebstahl und Hackerangriffe zu begegnen, sind geeignete Schutzmaßnahmen notwendig. Die Digitalisierung von Geschäftsprozessen über Unternehmensgrenzen hinweg erfordert ein einheitliches Informationssicherheitsniveau aller Beteiligten, das zuverlässig funktionieren muss. Hier kommt TISAX als Prüf- und Austauschmechanismus der Automobilindustrie zum Nachweis der speziell geforderten Informationssicherheit im Unternehmen ins Spiel. TISAX steht für Trusted Information Security Assessment Exchange und wurde vom VDA (Verband der Automobilindustrie) in Zusammenarbeit mit der ENX (European Network Exchange Association) Anfang 2017 etabliert. In der Automobilindustrie ist der digitale Austausch von Produkt- und Konstruktionsdaten zwischen Herstellern und Zulieferern alltäglich. Um Geschäftsgeheimnisse und Technologieneuerungen zu schützen, ist das Management der Informationssicherheit entscheidend. Seit 2017 wird der TISAX Standard genutzt. Dieser Standard sichert die Verarbeitung von Informationen, den Schutz von Prototypen und den Datenschutz gemäß DSGVO und richtet sich an alle Beteiligten der Wertschöpfungskette, einschließlich Unternehmen wie IT Dienstleister zu denen die #### zählt. Die #### als branchenübergreifender IT Dienstleister nimmt am TISAX-Prüfungverfahren teil. Der Prüfkatalog unterscheidet zwischen acht Kapitel: IS Policies and Organisation Human Resources Physical Security and Business Continuity Identity and Access Management IT Security/ Cyber Security Supplier Relationships Compliance Prototypenschutz (na) Der Projektantragsteller grenzt sein Projektvorhaben auf das Kapitel 5 IT Security/ Cybersecurity ab. Anhand einer Ist-Analyse wird festgestellt, inwieweit die einzelnen Standards bereits umgesetzt sind. Mit Hilfe der Bedarfsanalyse (was wird benötigt?), bei dem der Bedarf an Ressourcen, Dienstleistungen und den Kosten gegenüberstellt werden, folgt die Nutzwertanalyse (welche ist die beste Lösung?) um zu verstehen, welche Maßnahmen die geeignetsten sind, um dem TISAX Anforderungskatalog zu entsprechen. Insbesondere bei der Entwicklung des Maßnahmenkatalogs sollten Alternativlösungen miteinander verglichen und gegenübergestellt werden, um ein möglichst effizientes und effektives Ergebnis zu erzielen. Dafür werden verschieden Compliance Tools, Software- und Hardwarelösungen untersucht und verglichen. 4 Projektziel Was soll nach Abschluss des Projektes erreicht sein? Das Hauptziel des Projektes ist die Sicherstellung der Informationswerte sowie das effektive Management von Cyber Security Bedrohungen nach den Vorgaben des TISAX Prüfungskatalogs. Hierbei sollen die spezifischen Schutzmaßnahmen im Rahmen des Kapitels 5 erarbeitet werden, um die TISAX-Anforderungen zu erfüllen. Ziel ist es, den Reifegrad der IT-Sicherheitsmaßnahmen in der #### zu analysieren, Schwachstellen zu identifizieren und entsprechende Optimierungsmaßnahmen zu entwickeln. Das abschließende Ziel ist es, den Kunden und Partnern der #### zu zeigen, dass das Unternehmen über die erforderlichen Sicherheitsmaßnahmen verfügt, um sensible Informationen sicher zu verwalten und zu schützen, was auch zur Steigerung des Vertrauens von Kunden und der Auftragslage für die #### beitragen wird. Wie soll das Projektziel erreicht werden? Das Projekt wird selbstständig, aber in enger Koordination mit dem Country Security Manager umgesetzt, um sicherzustellen, dass alle Sicherheitsaspekte in die Planung und Umsetzung einfließen. Die Analyse bestehender Prozesse und Systeme sowie die Entwicklung einer zukunftsfähigen Sicherheitsstrategie wird es der #### ermöglichen, die TISAX-Anforderungen zu erfüllen und eine verbesserte Informationssicherheit zu gewährleisten. Der erste Schritt wird sein zu ermitteln, welche Anforderungen an die Informationswerte geknüpft sind. Wie sieht der Ist-Zustand aus? Anhand einer Ist-Analyse soll dokumentiert werden, wie Informationswerte bisher geschützt, verarbeitet und an Dritte übermittelt werden. Welche Informationen werden mit Kunden ausgetauscht, und welchen Grad an Sensibilität haben diese Informationen? Untersucht wird, wo besteht der Bedarf, welche Informationswerte wie zu schützen anhand einer Bedarfsanalyse. Im zweiten Schritt soll eine Marktanalyse ermitteln, welche GRC-Softwarelösungen für Risikomanagement, Automatisierung von Kontrollprozessen, Dokumentation und Berichterstattung zur Verfügung stehen, und eine Nutzwertanalyse feststellen, welche Software für die #### in Frage kommt. Eine Auswahl von folgenden Softwarelösungen soll in Betracht genommen werden: IBM OpenPages Workiva Auditboard IsiMap Impero SAP GRC MetricStream NAVEX Global LogicGate Im dritten Schritt wird anhand der Ergebnisse der Nutzwertanalyse ein Maßnahmenkatalog entwickelt mit konkreten Verbesserungsmaßnahmen, die im Anschluss sodann umgesetzt werden. Die Planung und Umsetzung der identifizierten Maßnahmen als auch die Projektergebnisse werden schließlich im Rahmen eines Projektberichts erfasst und dokumentiert. 5 Zeitplanung Projektphasen Beschreibung und Stundenanzahl (in Klammern) PLANUNGSPHASE 1 Projektplanung 1.1 Planung und Definition der Projektziele (3) 1.2 Festlegung der Ressourcen und Zeitrahmen (Zeit und Ablaufplanung) (2) STARTPHASE 2 Ist-Analyse 2.1 Dokumentation der aktuellen relevanten Informationswerte für das Prüfverfahren (3) 2.2 Erfassung des Ist-Zustandes der IT-Systeme hinsichtlich der IT-Sicherheit (4) DURCHFÜHRUNGSPHASE 3 Soll-Konzept und Bedarfsanalyse 3.1 Identifikation der erforderlichen Ressourcen, Dienstleistungen und Kosten (Budgetierung) (2) 3.2 Bewertung der Ist-Situation im Vergleich zu den TISAX-Anforderungen (Soll-/Ist-Vergleich) (4) 4 Nutzwertanalyse & Wirtschaftlichkeitsbetrachtung 4.1 Bewertung und Gewichtung möglicher Maßnahmen und Lösungen zur Erfüllung der TISAX-Anforderungen (3) 4.2 Vergleich von Hardware-, Software- und organisatorischen Lösungen und deren Effizienz (3) 5 Maßnahmeplanung 5.1 Entwicklung eines Maßnahmenkatalogs mit spezifischen Verbesserungsmaßnahmen (3) 5.2 Planung und Umsetzung der identifizierten Maßnahmen (4) ABSCHLUSSPHASE 6 Dokumentation und Projektabschluss 6.1 Erstellung einer umfassenden Projektdokumentation der Projektergebnisse und der durchgeführten Maßnahmen, Benutzerdokumentation (7) 6.2 Sicherstellung der Anforderungsgerechtigkeit der Dokumentation (1,5) 6.3 Projektübergabe (0,5) 6 Präsentationsmittel Laptop LCD-Projektor (Beamer)

Vielen Dank für das hilfreiche Feedback. Ja, der kaufmännische Blickwinkel sollte nicht außer Acht gelassen werden. Damit muss ich mich also noch definitiv intensiver beschäftigen und idealerweise mit den Ausbildern im Unternehmen abstimmen. Also danke nochmals!

Alles klar. Vielen Dank für Deine hilfreiche und detaillierte Antwort. Das nehme ich gerne mit für mein weiteres Brainstorming 🙂

Hallo, ich bin neu auf diesem Forum. Daher vorneweg die Bitte um Nachsicht, wenn das Thema hier nicht passt oder das Format für das Posting nicht stimmig ist. Über Hinweise und Tipps schon mal "danke" im Voraus! 🙂 Nun zum eigentlichen Anliegen: Ich mache derzeit eine Umschulung zum Fachinformatiker Systemintegration über die IHK in Darmstadt. Die AP1 habe ich hinter mir und vor einer Woche habe ich meine betriebliche Praxisphase bei einem branchenübergreifenden IT-Dienstleister für klein- und mittelständische Unternehmen mit ca. 3500 Mitarbeitende begonnen. Ich arbeite im Bereich IT-Sicherheit unter dem Country Security Manager. Jetzt bin ich dabei, ein geeignetes Thema für meine Projektarbeit zu erkunden. Mein Vorgesetzter hat mir keine Vorgaben gemacht, also kann ich frei entscheiden, wo es hingehen soll. Das Unternehmen hat ein umfangreiches ISMS, nach ISO/IEC 27001 zertifiziert, und strebt derzeit an, den TISAX-Prozess zu durchlaufen. Ich hätte Interesse und könnte mir vorstellen, im Rahmen von diesem TISAX-Prüfungsverfahren meine Projektarbeit einzubetten. Da das gesamte TISAX-Prüfungsverfahren mein Zeitlimit von 40 Stunden mit Sicherheit überschreitet, wäre es denkbar, lediglich einen Teilbereich zu bearbeiten, etwa den Bereich "Organisatorische Maßnahmen". Frage an die Projekterfahrenen unter euch: Ist erfahrungsgemäß so ein "Compliance-Thema" angemessen für eine Projektarbeit? Wenn ja, worauf sollte ich achten? Was darf auf keinen Fall fehlen? Gibt es Beispiele, Anhaltspunkte, Erfahrungswerte und/oder weitere Informationsquellen, die mir weiterhelfen könnten? Ich stehe noch ganz weit am Anfang und bin für jeden Tipp, Rat oder Hinweis dankbar. Da die IHK Darmstadt nur wenige Vorgaben macht, wie ein Projektantrag als auch eine Projektarbeit auszusehen hat, bin ich für alles dankbar, was euch einfällt. Vielen Dank!