Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Hallo miteinander,

ich mache bei einem kleinen IT-Dienstleister meine verkürzte Ausbildung zum FiSi und könnte Rat bei der Entscheidung für ein Thema für das Abschlussprojekt brauchen.

Ich bin da zugegebenermaßen spät dran, weil der Antrag bis spätestens 08. April abgegeben sein muss.

Zu meiner Verteidigung ist zu sagen, dass ich das Thema Abschlussprojekt bereits für Wochen immer mal wieder mit meinem Ausbilder besproche habe und er sich dabei stets passiv und verzögernd verhalten hat. Für die Themenfindung bin laut ihm ausschließlich ich zuständig. Aber gleichzeitig meinte er auf die Frage, ob die Firma irgendwas brauchen könnte: "Wir brauchen gerade eigentlich nichts." Auf diverse Themenvorschläge von mir kam entweder die Antwort, dass die Firma das aus xy Gründen nicht brauche oder dass das vielleicht ein Thema sein könnte. Man müsse mal sehen.

Jedenfalls stehen jetzt folgende Themen im Raum:

  • Software-Verteilung mit SCCM/MECM
  • Passwort-Manager-Lösung (z. B. Bitwarden)
  • (Intrusion Detection System)
  • (Alternative Aufgaben- und Kundenverwaltung zu Microsoft Dynamics CRM)

Die beiden letztgenannten sind eigentlich schon raus. Ein IDS könnte zu komplex werden laut meinem Ausbilder. Und langfristig will die Firma zwar von MS Dynamics CRM weg, weil die Software mittelfristig wahrscheinlich nicht mehr weiterentwickelt wird, aber irgendwie auch nicht, weil das Tool genau das macht, was die Firma braucht und vermutlich die Migration der Daten schwierig wäre.

 

Die Software-Verteilung wäre eigentlich ein Klassiker-Thema. Allerdings hat ein anderer Azubi der Firma genau das Thema mit SCCM vor ca. 10 Jahren bereits gemacht. Die Firma hat seine Lösung dann kurze Zeit später wieder rückgebaut, weil ihnen irgendwas dran nicht ganz gepasst hat. Sie hätten aber gerne eine Lösung zur Verteilung von Windows-Updates und Dritthersteller-Software-Updates in ihrem kleinen Netzwerk (ca. 50 phys./virt. Clients/Server mit Windows/Linux). Und eine Lizenz von MECM ist bereits da, weshalb die Entscheidung für die eingesetzte Lösung eigentlich vorgegeben ist. Außerdem bin ich von der Tätigkeit für einen Kunden bereits etwas mit MECM vertraut. Ansonsten wäre der Einsatz von MECM in so einem kleinen Netzwerk eigentlich ein absoluter Overkill und nicht zu begründen.

Kann ich das Thema nehmen, obwohl ein anderer Azubi der Firma das Thema bereits vor 10 Jahren hatte?

Kann ich das Thema nehmen, obwohl eigentlich aufgrund der Tatsache, dass bereits eine MECM-Lizenz vorhanden ist, kein sinnvoller Preisvergleich möglich ist?

 

Bei der Passwort-Manager-Lösung geht es darum, dass die Firma Zugangsdaten bisher in zwei Anwendungen speichert. Zum einen in CRM. Damit sind sie aufgrund der wohl schwachen Verschlüsselung aber nicht zufrieden. Zum anderen werden alle Zugangsdaten für eigene oder betreute Systeme in der CMDB-Software Docusnap gespeichert, mit der wir unsere IT-Dokumentation machen. Das soll auch so beibehalten werden.

Nun besteht seitens der Firma Interesse an einer Lösung, in die zum einen die Zugangsdaten aus CRM migriert werden könnten. Zum anderen soll aber der Zugang zu den Zugangsdaten in Docusnap über Verweise möglich sein. Denn Docusnap bietet die Möglichkeit, bestimmte Knoten in Docusnap (z. B. ein bestimmtes Gerät) aus einer anderen Anwendung heraus aufzurufen. (siehe: https://www.docusnap.com/hilfe/docusnap-x/anwender/docusnap-link.html ) Zumindest mit KeePass konnte ich auf die Schnelle testen, dass dort ein Link nach dem Muster "docusnap:[onc]" funktioniert. Für die Firma kommt aber natürlich nur eine Multiuser-fähige Serveranwendung wie z. B. Bitwarden infrage.

Das Thema bestünde also aus dem Vergleich meherer Passwortmanager-Lösungen, der begründeten Entscheidung für eine davon, deren Installation und Einrichtung sowie evtl. noch einer automatisierten Skript-Lösung, um die Docusnap-Objekte inklusive jeweiligem ONC-Pfad en block in die Passwortmanager-Software zu migrieren.

Glaubt ihr, dass das Thema zu wenig komplex für ein Abschlussprojekt wäre?

Ich hoffe, es war jetzt nicht zu viel Text und einigermaßen verständlich gegliedert. Schonmal im Voraus vielen Dank für eure Ratschläge!

Geschrieben

Je nachdem wie du den Antrag und das Projekt aufbaust, kann aus den beiden ersten Lösungen ein taugliches Projekt werden.

Es kann aber auch ein nicht genehmigungsfähiger Antrag raus kommen, welcher noch nicht einmal Überarbeitung zulässt...

Geschrieben

Danke für die Antwort! Ich verstehe das so, dass die Themen an sich genügend hergeben für ein Abschlussprojekt, aber dass die Genehmigung von meiner konkreten Umsetzung abhängt, richtig?

Geschrieben

Ja:

Wenn du von manueller Updateorgie hin zu einer Automatisierung willst und diverse Optionen vergleichst, ist es ein IHK-Projekt. Wenn du die Installations- und Konfigurationsanleitung des vorhandenen MECM durcharbeitest nicht.

Geschrieben (bearbeitet)
vor einer Stunde schrieb Poldi123:

Kann ich das Thema nehmen, obwohl eigentlich aufgrund der Tatsache, dass bereits eine MECM-Lizenz vorhanden ist, kein sinnvoller Preisvergleich möglich ist?

 

Ich hatte für mein Abschlussprojekt ebenfalls das Thema mit automatisierter Softwareverteilung und hatte das ähnliche Problem: Von meiner Praktikumsfirma war SCCM als Lösung bereits vorgegeben. 

Ich bin nach den Tipps aus dem Forum hier dann her gegangen und hab das ganze einfach umgedreht, den Lösungsvorschlag vom Chef hab ich komplett raus genommen und letztendlich ging es dann nur noch darum die bestmögliche Lösung zu finden und habe dann innerhalb des Projektes SCCM mit zwei anderen Anbietern verglichen etc. 

Witzig war dabei das ich nach meinen Vergleichen auf eine komplett andere Lösung kam und die dann auch für mich im Projekt durchgeführt hatte, SCCM war dann damit komplett raus 🙂

MECM sagt mir persönlich jetzt gerade nichts, aber auch dafür wird es mit Sicherheit andere Alternativen geben die sich dann auch auf den Kosten/Nutzenfaktor (ganz wichtig!) auswirken. 

Es spielt auch keine Rolle ob ein anderer vor 10 Jahren schon mal das gleiche Thema hatte, die Prüfer bekommen jedes Jahr immer wieder dieselben Themen auf den Tisch. Das wichtigste ist nur das Du die Umsetzung des Projektes mit Dokumentation etc komplett alleine durchführst und selbst erstellst. 

Was Du definitiv machen solltest... formulier doch mal den Antrag und stell den anonymisiert hier rein. 

 

Bearbeitet von Montaine
Geschrieben

Ok, das ist schonmal gut zu wissen, dass beide Themen grundsätzlich möglich wären!

Bei der Softwareverteilung müsste definitiv SCCM/MECM (letzteres ist soweit ich weiß nur die aktuellere Name) rauskommen, weil der Chef das dann einsetzen will. Im Rahmen des Abschlussprojekts eine andere Lösung umzusetzen, die er dann gar nicht einsetzen will, dafür werde ich vermutlich keine Arbeitszeit verwenden dürfen ... 😉 Aber dadurch, dass die Lizenz schon da is, is diese Lösung (abgesehen von ihrer zu hohen Komplexität für den Einsatzzweck) eigentlich nicht zu schlagen.

Grade soll ich für den Chef noch eine Übersicht der selbsthostbaren Passwortmanager erstellen. Dann trifft er hoffentlich die Entscheidung, welches Thema ich machen soll.

Wenn das soweit ist, werde ich auf jeden Fall den Antrag zur Begutachtung hier reinstellen. Danke! 🙃

Geschrieben
vor 2 Stunden schrieb Poldi123:

Bei der Softwareverteilung müsste definitiv SCCM/MECM (letzteres ist soweit ich weiß nur die aktuellere Name) rauskommen, weil der Chef das dann einsetzen will.

Man kann theoretisch durch geschickte Manipulation der Nutzwertanalyse im Rahmen des Lösungsvergleichs ja "rein zufällig" genau auf diese Lösung als gangbaren Weg kommen. Muss dann eben auch gut und belegbar anhand von Zahlen verargumentiert werden. Es darf eben nicht ersichtlich sein, dass das eh von vorne herein die gewünschte Lösung war.

Schwierig könnte es aber werden, weil

vor 2 Stunden schrieb Poldi123:

die Lizenz schon da is

Da wurde ja entsprechend die Entscheidung schon vorweggenommen und auch Geld dafür in die Hand genommen. Demnach eigentlich ungeeignet für dein Abschlussprojekt.

 

vor 2 Stunden schrieb Poldi123:

Grade soll ich für den Chef noch eine Übersicht der selbsthostbaren Passwortmanager erstellen

Eigentlich auch dann dem Projekt vorweggenommen. Auch die Suche und Aufstellung/Vergleich der möglichen Passwortmanager gehört erst in das Projekt, sofern der Antrag dafür auch vom PA genehmigt wird. Es ist grundsätzlich ein Ausschlusskriterium, vor der Projektgenehmigung schon mit dessen Bearbeitung zu beginnen.

Und du hast zusätzlich dann auch hier wieder das Problem, dass die Entscheidung für "Passwortmanager X oder Y" sicherlich ja wieder vom Chef vorweggenommen wird. Das ist nicht Sinn und Zweck der Übung. Es ist DEIN Projekt, DU bist dessen Manager.

 

vor 2 Stunden schrieb Poldi123:

Im Rahmen des Abschlussprojekts eine andere Lösung umzusetzen, die er dann gar nicht einsetzen will, dafür werde ich vermutlich keine Arbeitszeit verwenden dürfen ... 😉

Du setzt das um, was aus technischer und wirtschaftlicher Sicht nach vorangegangener Analyse möglicher Lösungen am Sinnvollsten erscheint. Du begründest das ja anhand nachvollziehbarer Daten und Fakten.Wenn Chef dann hinterher sagt "Ich will deine Lösung aber trotzdem nicht nutzen" ist das ja sein Problem.

Das war übrigens im Rahmen meines Projekts ebenso der Fall. Ich habe umgesetzt, was am Besten den Use Case zu bedienen schien und am Ende wurde dennoch meine Lösung nicht weiter verwendet im Unternehmen. Sowas passiert eben, tut aber dem Projekt keinen Abriss.

Geschrieben
vor 21 Stunden schrieb Poldi123:

Zu meiner Verteidigung ist zu sagen, dass ich das Thema Abschlussprojekt bereits für Wochen immer mal wieder mit meinem Ausbilder besproche habe und er sich dabei stets passiv und verzögernd verhalten hat. Für die Themenfindung bin laut ihm ausschließlich ich zuständig.

Damit hat er zwar komplett unrecht, aber egal...

Der Ausbildungsbetrieb hat dem Azubi die Ausbildungsmittel, und damit auch ein geeignetes Projektthema zu stellen. Klar, man lässt den Azubi auch selbst suchen und etwas machen das ihn interessiert.

Im Zweifelsfall muss man aber ein Projekt zuteilen, egal ob der Azubi das machen will oder nicht. Wie früher beim Ziwi: kümmer dich selbst früh genug um ne coole Stelle sonst gehts Bettpfannen schrubbern.

vor 22 Stunden schrieb Poldi123:

Kann ich das Thema nehmen, obwohl ein anderer Azubi der Firma das Thema bereits vor 10 Jahren hatte?

Definitiv, eine 10 Jahre alte Softwareverteilung sollte auf jeden Fall mal überprüft und bei Bedarf erneuert werden.

vor 22 Stunden schrieb Poldi123:

Kann ich das Thema nehmen, obwohl eigentlich aufgrund der Tatsache, dass bereits eine MECM-Lizenz vorhanden ist, kein sinnvoller Preisvergleich möglich ist?

Eine aktuelle? Obwohl das Konstrukt von vor 10 Jahren rückgebaut wurde hat man weiterhin Geld in die Lizenz gesteckt?

Du prüft erst einmal objektiv welche Lösung technisch die bessere für dein Unternehmen ist. Das Ganze natürlich auch unter Berücksichtigung der Kosten. Aber Geld alleine ist in der IT nie der Faktor, sonst würde niemand kostenpflichtige Software einsetzen wenn es das auch umsonst gibt (MS-Produkte).

Wenn du auf Lösung XY kommst, dein  Chef aber dann "Kraft Krawatte" sagt "is ja ganz nett, aber ICH WILL..." dann machst du das was Chef will, bist aber trotzdem zu einem anderen - begründbaren - Ergebnis gekommen. Und ob du dann Produkt A oder B installierst ist egal. Die Entscheidung dort hin muss schlüssig sein.

Geschrieben
vor 20 Stunden schrieb mlwhoami:

Da wurde ja entsprechend die Entscheidung schon vorweggenommen und auch Geld dafür in die Hand genommen. Demnach eigentlich ungeeignet für dein Abschlussprojekt.

Ok, dann kommt das Thema somit eigentlich nicht mehr infrage. Fragt mich nicht, woher die Firma die aktuelle Lizenz hat. Vielleicht war das im "Paket" mit irgendwelchen anderen Lizenzen dabei. Den Microsoft-Lizenz-Dschungel durchblicke ich nicht wirklich 😄

Geschrieben
vor 20 Stunden schrieb Maniska:

Der Ausbildungsbetrieb hat dem Azubi die Ausbildungsmittel, und damit auch ein geeignetes Projektthema zu stellen. Klar, man lässt den Azubi auch selbst suchen und etwas machen das ihn interessiert.

Klar, aber das war halt schwierig, wenn er erstmal alles abgelehnt hat, was ich vorgeschlagen habe und gleichzeitig gesagt hat, ihm fällt auch nichts ein. Er interpretiert das ganze Ausbildungskonstrukt sehr zu seinen Gunsten, aber das ist ein anderes Thema ...

Geschrieben
vor 20 Stunden schrieb mlwhoami:

Eigentlich auch dann dem Projekt vorweggenommen. Auch die Suche und Aufstellung/Vergleich der möglichen Passwortmanager gehört erst in das Projekt, sofern der Antrag dafür auch vom PA genehmigt wird. Es ist grundsätzlich ein Ausschlusskriterium, vor der Projektgenehmigung schon mit dessen Bearbeitung zu beginnen.

Das ist natürlich richtig, aber ich vermute, dass das viele in der Praxis so machen.

Nur ein Beispiel zu den Passwortmanagern:

Ich hab jetzt auch schon in kurzen Demo-Tests gemerkt, dass einige Passwortmanager das DocusnapLink-Format (s. o.) "docusnap: ..." bzw. "docusnap:// ..." nicht als Link erkennen. Zum Glück gibt es aber welche, die es erkennen und man den entsprechenden Knoten in Docusnap öffnen kann. Wenn das nicht der Fall wäre, wäre das ganze Projekt nicht mehr sinnvoll, da keine einfache Verknüpfung mit Docusnap möglich wäre.

Ich finde, das ist ein Beispiel dafür, dass man Sachen erst auf die technische Machbarkeit prüfen muss vor dem Antrag.

Geschrieben
Gerade eben schrieb Poldi123:

Ich finde, das ist ein Beispiel dafür, dass man Sachen erst auf die technische Machbarkeit prüfen muss vor dem Antrag.

Nein. Dann hast du bereits begonnen und es ist nicht mehr zulassungsfähig. Wenn während des Projekts heraus kommt, dass von 25 Lösungsmöglichkeiten bei 24 ein essentielles Feature fehlt, dann bleibt wohl nur #25... Oder gar die Diskussion des MustHaves mit dem Auftraggeber.

Geschrieben

Wie gesagt, Theorie und Praxis. Du hast ja Recht und darüber möchte ich gar nicht diskutieren.

Aber wenn der Chef sagt, schau dir erstmal einige Passwortmanager an und dann reden wir drüber, ob das ein Thema werden kann, dann macht man das als Azubi.

Außerdem hätte auch rauskommen können, dass keine einzige Lösung im "DocusnapLink" kompatibel ist. Und ich glaube nicht, dass man im Abschlussprojekt dann als Ergebnis haben kann, dass das alles technisch nicht umsetzbar ist (korrigier mich hier gerne, falls ich da falsch liege!). Insofern muss man die technische Umsetzbarkeit vorher prüfen.

Geschrieben
vor 14 Minuten schrieb Poldi123:

Und ich glaube nicht, dass man im Abschlussprojekt dann als Ergebnis haben kann, dass das alles technisch nicht umsetzbar ist (korrigier mich hier gerne, falls ich da falsch liege!).

Doch natürlich. Auch ein gescheitertes Projekt ist ein Projekt über das eine Dokumentation geschrieben werden kann.

Geschrieben

Ich vermute zwar, dass solche Projekte dann häufiger schlechter benotet werden. Grundsätzlich ist das aber sehr gut zu wissen, dass am Erfolg der technischen Umsetzung nicht mein Abschluss hängt 😅

  • 3 Wochen später...
Geschrieben

Jetzt kommt endlich der angekündigte Projektantrag. Sorry, er ist in der Projektbeschreibung etwas lang geworden. Außerdem habe ich 1-2 Fragen dazu.

Thema (max. 300)

Implementierung einer selbsthostbaren und teamfähigen Passwortmanager-Lösung inklusive Migration bzw. Synchronisation bestehender Zugangsdaten

Projektbeschreibung (max. 8000)

Ausgangssituation:

Im Ausbildungsbetrieb des Antragsstellers, der Acme GmbH, werden gemeinsam genutzte Zugangsdaten derzeit in zwei Systemen gespeichert. Zum einen in der ERP- und CRM-Software „Microsoft Dynamics 365“. Zum anderen in der CMDB-Software „Docusnap“.

„Microsoft Dynamics 365“ wird im Unternehmen als Add-In für „Microsoft Outlook“ genutzt, um Kontaktdaten von Kunden sowie Aufgaben zentral zu verwalten. Daneben sind darin die Zugänge zu Online-Accounts der Firma und von Kunden gespeichert.

Bei „Docusnap“ handelt es sich um eine Software zur Dokumentation von IT-Infrastrukturen. Die dokumentierten IT-Systeme sind in der Programmoberfläche als Objekte in einer Baumhierarchie über den entsprechenden Firmen- und ggf. Domänenknoten auffindbar (Struktur: Firma - (Domäne) - Systemtyp - (Systemuntertyp) - IT-System). Zugangsdaten können mit einem oder mehreren Objekten (z. B. Domänen oder IT-Systeme) verknüpft werden. Umgekehrt kann ein Objekt auch mehrere Zugangsdaten haben, die mit ihm verknüpft.

Acme setzt „Docusnap“ zur Dokumentation sowohl der eigenen IT-Infrastruktur als auch der IT-Infrastrukturen von Kunden verschiedener Größe ein. Entsprechend werden in „Docusnap“ Zugangsdaten der Firma und von Kunden gespeichert.

Neben der zentralen Speicherung von Zugangsdaten in „Microsoft Dynamics 365“ und „Docusnap“ hat es sich in der Praxis herausgebildet, dass Mitarbeiter Zugangsdaten in ihrem Browser speichern. Hierbei handelt es sich sowohl um private Zugangsdaten, als auch um solche aus „Microsoft Dynamics 365“ oder „Docusnap“, welche häufig verwendet und deshalb schnell verfügbar sein sollen.

Problemstellung:

Derzeit gibt es keine zentrale „Anlaufstelle“ für Zugangsdaten im Unternehmen. Das führt immer wieder mal dazu, dass Mitarbeiter nicht wissen, ob die gewünschten Zugangsdaten in „Microsoft Dynamics 365“ oder „Docusnap“ zu finden sind und mitunter lange suchen müssen.

Außerdem besteht bei „Microsoft Dynamics 365“ das Problem, dass es keine strukturierte Ablage der Zugangsdaten erlaubt. Diese werden folglich in einer flachen Hierarchie dargestellt, was bei derzeit 264 Einträgen trotz Suchfunktion sehr unübersichtlich ist. Die mangelnde Übersicht begünstigte in der Vergangenheit auch die schlechte Pflege des Datenbestands. Es existieren laut Aussage des Auftraggebers diverse Einträge, die längst veraltet sind.

„Docusnap“ bietet im Gegensatz zu „Microsoft Dynamics 365 „Docusnap“  zwar die Möglichkeit zu einer strukturierten Ablage von Zugangsdaten durch die Verknüpfung mit Objekten, welche sich in einer Baumhierarchie befinden (s. o.). Allerdings ist das Auffinden eines Objekts in der verschachtelten Hierarchie mitunter langwierig. Außerdem ist die Suchfunktion der Anwendung sehr langsam, da Suchen nicht auf eine bestimmte Firma eingeschränkt werden können.

Beide Anwendungen haben schließlich den Nachteil, dass sie vergleichsweise langsam starten und über keine Browser-Integration zum automatischen Ausfüllen von Login-Feldern verfügen.

Die genannten Nachteile haben in der Praxis dazu geführt, dass Mitarbeiter aus Gründen der Zeitersparnis nicht nur private Zugangsdaten im Browser speichern, sondern auch solche aus „Microsoft Dynamics 365“ und „Docusnap“.

Allerdings sind Browser im Allgemeinen ein beliebtes Angriffsziel von Hackern. Entsprechend ist die Speicherung von Zugangsdaten im Passwortspeicher eines Browsers als nicht besonders sicher anzusehen.

Ziel des Projekts:

Alle gemeinsam genutzten Zugangsdaten sollen in Zukunft an zentraler Stelle für alle Mitarbeiter schnell verfügbar und gleichzeitig sicher vor unberechtigtem Zugriff sein. Dies soll durch eine Passwortmanager-Anwendung erreicht werden. Dabei werden die Zugangsdaten verschlüsselt in einer Datenbank gespeichert.

Außerdem muss die Anwendung den gleichzeitigen Zugriff auf diese Datenbank durch mehrere Benutzer unterstützen und über ein Benutzer- und Berichtigungssystem verfügen. Damit scheiden Passwortmanager-Anwendungen wie beispielsweise „KeePass“ aus, welche auf Single-User-Benutzung ausgelegt sind.

Daneben sollte die Anwendung selbsthostbar sein, da es sich bei den gespeicherten Zugangsdaten um extrem sensible Daten handelt. Deshalb möchte Acme die Kontrolle über diese Daten nicht aus der Hand geben. Damit scheiden auch Cloud-basierte Passwortmanager als mögliche Lösungen aus. Umso mehr, da die Speicherung von Kunden-Zugangsdaten bei Drittanbietern Datenschutz-rechtlich problematisch sein könnte.

Außerdem sollte die Software über eine Browser-Integration und im Idealfall noch über die Möglichkeit der Speicherung privater Passwörter verfügen, damit die Mitarbeiter nicht mehr den Passwortspeicher des jeweiligen Browsers verwenden.

Die bisher in „Microsoft Dynamics 365“ gespeicherten Zugangsdaten sollen vollständig in die Passwortmanager-Anwendung migriert und in Zukunft dort gepflegt werden.

Die Zugangsdaten, welche in „Docusnap“ gespeichert sind, sollen nach dem Willen des Auftraggebers (siehe Projektumfeld) weiterhin dort bleiben und gepflegt werden. Denn damit bleiben alle relevanten Informationen zu einem Objekt an einer Stelle in „Docusnap“ gebündelt. Bei einem Router wären das beispielsweise die technischen Daten, angehängte Rechnungen oder Handbücher, gesicherte Konfigurationsdateien und eben auch die Zugangsdaten für das Webinterface.

Um trotzdem alle Zugangsdaten zentral im Passwortmanager verfügbar zu haben, soll zwischen „Docusnap“ und dem Passwortmanager eine Synchronisation der Zugangsdaten eingerichtet werden. Diese soll unidirektional sein, um sicherzustellen, dass es durch die Synchronisation zu keinem Datenverlust in „Docusnap“ kommen kann. Außerdem sollen die Benutzer im Passwortmanager auf die Zugangsdaten aus „Docusnap“ ausschließlich einen Read-Only-Zugriff haben. Dies soll vermeiden, dass aktualisierte Zugangsdaten versehentlich im Passwortmanager anstatt in „Docusnap“ eingepflegt werden und bei der nächsten Synchronisation verloren gehen.

Die Synchronisation soll automatisiert durch einen zeitgesteuerten Export der Zugangsdaten aus „Docusnap“ und deren zeitgesteuerten Import in den Passwortmanager ablaufen. Dieser Prozess wird im Folgenden näher beschrieben:

In „Docusnap“ ist der Export von Zugangsdaten im Klartext ist über die „Berichte“-Funktion möglich, welche zeitgesteuert durch den Docusnap-Server ausgeführt werden kann. Der Zugangsdaten-Bericht soll im XLSX-Format gespeichert werden (aus Sicherheitsgründen auf einer Ramdisk). Im Rahmen des Projekts soll eine Berichtsvorlage erstellt werden, welche durch entsprechende SQL-Abfragen Berichte mit allen benötigten Spalten für einen Import in den Passwortmanager generiert. Dazu zählen neben Benutzername, Passwort und URL beispielsweise auch die Firma und der Systemtyp (s. o.). Dies soll es ermöglichen, die Zugangsdaten strukturiert in Ordner und Unterordner nach Firma, Domäne, Systemtyp usw. in den Passwortmanager zu importieren, um im Passwortmanager die Struktur aus „Docusnap“ nachzubilden.

Der automatisierte Import soll durch ein selbsterstelltes Skript (z. B. PowerShell oder Bash) ausgeführt werden, welches zeitgesteuert nach der Erstellung des Berichts ausgeführt wird. Dieses wandelt zuerst den XLSX-Bericht in das CSV-Format um, welches von den meisten Passwortmanagern unterstützt wird. Dann passt es ggf. die Struktur der CSV-Datei so an, dass sie den Import-Anforderungen des Passwortmanagers entspricht und die hierarchische Struktur aus „Docusnap“ im Passwortmanager nachgebildet wird. Falls der Passwortmanager über keine Duplikate-Erkennung verfügt, muss das Skript vor dem eigentlichen Import ggf. bestehende Docusnap-Zugangsdaten aus der Datenbank des Passwortmanagers löschen. Dann erfolgt der eigentliche Import in die Datenbank des Passwortmanagers. Zum Schluss löscht das Skript alle erstellten Berichtsdateien, um sicherzustellen, dass die sensiblen Zugangsdaten so kurz wie möglich im Klartext vorliegen.


Projektumfeld (max. 3000)

Die gesamte Planung und Durchführung des Projekts findet intern bei der Acme GmbH statt. Der Auftraggeber des Projekts ist der Ausbilder des Antragstellers, Herr Mustermann. Er ist einer von zwei Geschäftsführern des Unternehmens und leitet den Bereich der Systemadministration.

Bei der Acme GmbH handelt es sich um einen in Musterhausen ansässigen IT-Dienstleister, der für Privatunternehmen und öffentliche Auftraggeber unterschiedlicher Größe tätig ist. Das Leistungsspektrum umfasst zum einen „klassische“ IT-Dienstleistungen wie die Planung und Administration von IT-Infrastrukturen sowie Beratung und Verkauf von Software und Hardware. Außerdem werden Dienstleistungen in den Bereichen Webdesign und CMS-Systeme angeboten. Ein zentrales Geschäftsfeld stellt daneben die Datenforensik dar.

Das Unternehmen umfasst derzeit neben den zwei Geschäftsführern zwölf Angestellte. Die Mitarbeiter können sich über ihre Actice Directory-Zugangsdaten an den Arbeitsplatzrechnern anmelden. Insgesamt gibt es im Firmennetz 37 Systeme mit Windows 10-Betriebssystem (28 physisch / 9 virtuell) und 17 Windows-Server-Systeme (5 physisch / 12 virtuell). Daneben sind fünf Linux-Server (Ubuntu) im Einsatz (1 physisch / 4 virtuell).

Der Docusnap-Server wird auf einem der virtuellen Windows-Server betrieben. Die Passwortmanager-Anwendung soll in einer virtuellen Maschine mit Linux- oder Windows-Server-Betriebssystem installiert werden, welche auf einem vorhandenen physischen Server laufen soll.


Projektphasen mit Zeitplanung (max. 3000)

1     Planung und Evaluierung (10h)

1.1  Analyse des Ist-Zustands (1h)

1.2  Erarbeitung eines Soll-Konzepts (3h)

1.3  Planung des Projektablaufs (1h)

1.4  Inhaltlicher und wirtschaftlicher Vergleich geeigneter Software und Auswahl (5h)

2     Projektdurchführung (20h)

2.1  Erstellung einer Berichtsvorlage zum Export der Zugangsdaten aus „Docusnap“ (3h)

2.2  Erstellung eines Skripts zur Vorbereitung und Durchführung des Imports der Zugangsdaten in die Passwortmanager-Anwendung sowie zum Löschen der Klartext-Dateien (4h)

2.3  Installation und Konfiguration des Server-Betriebssystems (1h)

2.4  Installation der Passwortmanager-Anwendung (1h)

2.5  Konfiguration der Passwortmanager-Anwendung (3h)

2.6  Migration der Zugangsdaten aus Microsoft Dynamics 365 (2h)

2.7  Tests und ggf. Fehlerbehebung (4h)

2.8  Abnahme durch den Auftraggeber (1h)

2.9  Einweisung der Anwender (1h)

3     Projektabschluss (10h)

3.1  Ergebnisanalyse (1h)

3.2  Projektdokumentation (9h)


Dokumentation zur Projektarbeit (max. 3000)

Die Projektdokumentation soll als prozessorientierter Projektbericht erfolgen. Folgende Gliederung ist geplant:

- Ausgangslage und Ziel des Projekts

- Inhaltlicher und wirtschaftlicher Software-Vergleich

- Beschreibung der Projektdurchführung

- Fazit

Planmäßig werden folgende Anhänge enthalten sein:

- Abkürzungsverzeichnis

- Quellenverzeichnis

- Screenshots

- ggf. Microsoft Word Dokumente (.docx)

- ggf. PDF-Dokumente

- ggf. Präsentationsdateien (.pptx)

Neben der Projektdokumentation soll zum Import-Skript eine kurze Readme-Textdatei angelegt werden, welche die Funktion des Skripts erläutert.


Präsentationsmittel (max. 250)

Bei der Präsentation des Projekts soll „Microsoft PowerPoint“ zur Visualisierung eingesetzt werden. Zu diesem Zweck wird der Antragssteller die Präsentationsfolien in digitaler Form sowie die entsprechenden Geräte (Rechner, Beamer) mitbringen.

 

Fragen von mir:

- Ist die Beschreibung des Sync-Vorgangs am Ende der Projektbeschreibung zu detailliert für den Antrag?

- Ich habe mich bei den Projektphasen etwas an der Struktur bisheriger Anträge orientiert. Bei denen war das immer so, dass man erst mehrere Produkte vergleicht und sich am Ende für genau EINES entscheidet und installiert. Ist es nicht auch möglich, beispielsweise drei in die engere Auswahl zu nehmen und testweise zu installieren, um dabei festzustellen, dass nur ein Produkt gut passt, welches am Ende dann produktiv installiert wird.

- bei der "Dokumentation zur Projektarbeit" wollen sie ja wohl wirklich schon eine Grobgliederung der späteren Projektdoku. Ich habe sie deshalb sehr grob gehalten, um mich nicht zu sehr festzulegen (macht ja auch keinen Sinn sich vor Beginn des Projekts starr auf eine Gliederung der Doku festzulegen!). Aus dem selben Grund hab ich bei "Anhänge" so ziemlich alles reingepackt, was mir einfiel, damit ich mich da nicht einschränke. Wie seht ihr das?

Schonmal vielen vielen Dank für Ratschläge zum Antrag! :)

 

Gute Nacht!
 

Geschrieben

Ich bin mal ehrlich: Ich dachte bis ich zu deiner Zeiteinteilung gekommen bin das es ein FIAE Projekt wäre und du warum auch immer einen eigenen Passwortmanager programmieren sollst.

Geschrieben

Danke, da hast du glaube ich einen Punkt!

Dann hab ich mich in der Projektbeschreibung zu sehr auf Ist- und Soll-Zustand konzentriert und den Weg zum Soll-Zustand vernachlässigt ;)

Wenn ich dich richtig verstehe, sollte ich unter "Ziel des Projekts" noch beschreiben, dass ich mehrere Passwortmanager hinsichtlich eines Kriterienkatalogs und hinsichtlich der Kosten vergleichen werde, also im Prinzip Punkt 1.4 von der Zeiteinteilung.

Ich schreib den Teil dann noch um und poste es dann nochmal hier.

Geschrieben

Hier nochmals der überarbeitete Projektantrags-Entwurf. Hauptunterschied ist der Anfangsabsatz unter "Ziel des Projekts":

 

Thema (max. 300)

Implementierung einer selbsthostbaren und teamfähigen Passwortmanager-Lösung inklusive Migration bzw. Synchronisation bestehender Zugangsdaten


Projektbeschreibung (max. 8000)

**Ausgangssituation:**

Im Ausbildungsbetrieb des Antragsstellers, der Acme Informationsdesign GmbH, werden gemeinsam genutzte Zugangsdaten derzeit in zwei Systemen gespeichert. Zum einen in der CRM-Software „Microsoft Dynamics 365“. Zum anderen in der CMDB-Software „Docusnap“.

„Microsoft Dynamics 365“ wird im Unternehmen als Add-In für „Microsoft Outlook“ genutzt, um Kontaktdaten von Kunden sowie Aufgaben zentral zu verwalten. Daneben sind darin die Zugänge zu Online-Accounts der Firma und von Kunden gespeichert.

Bei „Docusnap“ handelt es sich um eine Software zur Dokumentation von IT-Infrastrukturen. Die dokumentierten IT-Systeme sind in der Programmoberfläche als Objekte in einer Baumhierarchie über den entsprechenden Firmen- und ggf. Domänenknoten auffindbar (Struktur: Firma - (Domäne) - Systemtyp - (Systemuntertyp) - IT-System). Zugangsdaten können mit einem oder mehreren Objekten (z. B. Domänen oder IT-Systeme) verknüpft werden. Umgekehrt kann ein Objekt auch mehrere Zugangsdaten haben.

Acme setzt „Docusnap“ zur Dokumentation sowohl der eigenen IT-Infrastruktur als auch der IT-Infrastrukturen von Kunden verschiedener Größe ein. Entsprechend werden in „Docusnap“ Zugangsdaten der Firma und von Kunden gespeichert.

Neben der zentralen Speicherung von Zugangsdaten in „Microsoft Dynamics 365“ und „Docusnap“ speichern viele Mitarbeiter Zugangsdaten aus Bequemlichkeit im Browser, und zwar sowohl private, als auch gemeinsam genutzte aus „Microsoft Dynamics 365“ oder „Docusnap“.

**Problemstellung:**

Derzeit gibt es keine zentrale „Anlaufstelle“ für Zugangsdaten im Unternehmen. Das führt immer wieder dazu, dass Mitarbeiter nicht wissen, ob die gewünschten Zugangsdaten in „Microsoft Dynamics 365“ oder „Docusnap“ zu finden sind und lange suchen müssen.

Außerdem erlaubt „Microsoft Dynamics 365“ keine strukturierte Ablage der Zugangsdaten. Diese werden folglich in einer flachen Hierarchie dargestellt, was bei derzeit 264 Einträgen trotz Suchfunktion sehr unübersichtlich ist. Die mangelnde Übersicht begünstigt die schlechte Pflege des Datenbestands. So existieren laut Aussage des Auftraggebers (siehe Projektumfeld) diverse Einträge, die längst veraltet sind.

„Docusnap“ bietet im Gegensatz zu „Microsoft Dynamics 365 „Docusnap“  zwar die Möglichkeit zu einer strukturierten Ablage von Zugangsdaten durch die Verknüpfung mit Objekten, welche sich in einer Baumhierarchie befinden (s. o.). Allerdings ist das Auffinden eines Objekts in der verschachtelten Hierarchie mitunter langwierig. Außerdem ist die Suchfunktion der Anwendung sehr langsam, da Suchen nicht auf eine bestimmte Firma eingeschränkt werden können.

Beide Anwendungen haben schließlich den Nachteil, dass sie vergleichsweise langsam starten und über keine Browser-Integration zum automatischen Ausfüllen von Login-Feldern verfügen.

Die genannten Nachteile haben in der Praxis dazu geführt, dass Mitarbeiter aus Gründen der Zeitersparnis nicht nur private Zugangsdaten im Browser speichern, sondern auch solche aus „Microsoft Dynamics 365“ und „Docusnap“.

Allerdings sind Browser ein beliebtes Angriffsziel von Hackern. Entsprechend ist die dortige Speicherung von Zugangsdaten  als nicht besonders sicher anzusehen.

**Ziel des Projekts:**

Als Lösung der genannten Probleme wurde mit dem Auftraggeber die Installation eines Passwortmanagers im Firmennetz vereinbart. Hierfür sollen verschiedene Passwortmanager anhand eines zu erstellenden Kriterienkatalogs sowie hinsichtlich ihrer Kosten verglichen und hieraus die beste Lösung zur Installation ausgewählt werden.

In diesem Passwortmanager sollen alle gemeinsam genutzten Zugangsdaten verschlüsselt in einer Datenbank gespeichert werden, um sie vor vor unberechtigtem Zugriff zu sichern. Damit wären sie an zentraler Stelle für alle Mitarbeiter verfügbar und durch Volltextsuche bzw. strukturierte Ablage schnell auffindbar.

Außerdem muss die Anwendung den gleichzeitigen Zugriff auf diese Datenbank durch mehrere Benutzer unterstützen und über ein Benutzer- und Berichtigungssystem verfügen. Damit scheiden Passwortmanager-Anwendungen wie beispielsweise „KeePass“ aus, welche auf Single-User-Benutzung ausgelegt sind.

Daneben muss die Anwendung selbsthostbar sein, da es sich bei den gespeicherten Zugangsdaten um extrem sensible Daten handelt. Deshalb möchte Acme die Kontrolle über diese Daten nicht aus der Hand geben. Damit scheiden auch Cloud-basierte Passwortmanager als mögliche Lösungen aus. Umso mehr, da die Speicherung von Kunden-Zugangsdaten bei Drittanbietern Datenschutz-rechtlich problematisch sein könnte.

Außerdem sollte die Software über eine Browser-Integration und im Idealfall noch über die Möglichkeit der Speicherung privater Passwörter verfügen, damit die Mitarbeiter ihre Zugangsdaten nicht mehr im Browser speichern.

Die bisher in „Microsoft Dynamics 365“ gespeicherten Zugangsdaten sollen vollständig in die Passwortmanager-Anwendung migriert und in Zukunft dort gepflegt werden.

Die in "Docusnap" gespeicherten Zugangsdaten sollen nach dem Willen des Auftraggebers weiterhin dort bleiben und gepflegt werden. Denn damit bleiben alle relevanten Informationen zu einem Objekt an einer Stelle in „Docusnap“ gebündelt. Bei einem Router wären das beispielsweise die technischen Daten, angehängte Rechnungen oder Handbücher, gesicherte Konfigurationsdateien und eben auch die Zugangsdaten für das Webinterface.

Um trotzdem alle Zugangsdaten zentral im Passwortmanager verfügbar zu haben, soll zwischen „Docusnap“ und dem Passwortmanager eine Synchronisation der Zugangsdaten eingerichtet werden. Diese soll unidirektional sein, um sicherzustellen, dass es durch die Synchronisation zu keinem Datenverlust in „Docusnap“ kommt. Außerdem sollen die Benutzer im Passwortmanager auf die Zugangsdaten aus „Docusnap“ ausschließlich einen Read-Only-Zugriff haben. Dies soll vermeiden, dass aktualisierte Zugangsdaten versehentlich im Passwortmanager anstatt in „Docusnap“ eingepflegt werden und bei der nächsten Synchronisation verloren gehen.

Die Synchronisation soll automatisiert durch einen zeitgesteuerten Export der Zugangsdaten aus „Docusnap“ und deren zeitgesteuerten Import in den Passwortmanager ablaufen. Dieser Prozess wird im Folgenden näher beschrieben:

In „Docusnap“ ist der Export von Zugangsdaten im Klartext ist über die „Berichte“-Funktion möglich, welche zeitgesteuert durch den Docusnap-Server ausgeführt werden kann. Der Zugangsdaten-Bericht soll im XLSX-Format gespeichert werden (aus Sicherheitsgründen auf einer Ramdisk). Im Rahmen des Projekts soll eine Berichtsvorlage erstellt werden, welche durch entsprechende SQL-Abfragen Berichte mit allen benötigten Spalten für einen Import in den Passwortmanager generiert. Dazu zählen neben Benutzername, Passwort und URL beispielsweise auch die Firma und der Systemtyp (s. o.). Dies soll es ermöglichen, die Zugangsdaten strukturiert in Ordner und Unterordner nach Firma, Domäne, Systemtyp usw. in den Passwortmanager zu importieren, um im Passwortmanager die Struktur aus „Docusnap“ nachzubilden.

Der automatisierte Import soll durch ein selbsterstelltes Skript (z. B. PowerShell oder Bash) ausgeführt werden, welches zeitgesteuert nach der Erstellung des Berichts ausgeführt wird. Dieses wandelt zuerst den XLSX-Bericht in das CSV-Format um, welches von den meisten Passwortmanagern unterstützt wird. Dann passt es ggf. die Struktur der CSV-Datei so an, dass sie den Import-Anforderungen des Passwortmanagers entspricht und die hierarchische Struktur aus „Docusnap“ im Passwortmanager nachgebildet wird. Falls der Passwortmanager über keine Duplikate-Erkennung verfügt, muss das Skript vor dem eigentlichen Import ggf. bestehende Docusnap-Zugangsdaten aus der Datenbank des Passwortmanagers löschen. Dann erfolgt der eigentliche Import in die Datenbank des Passwortmanagers. Zum Schluss löscht das Skript alle erstellten Berichtsdateien, um sicherzustellen, dass die sensiblen Zugangsdaten so kurz wie möglich im Klartext vorliegen.

Projektumfeld (max. 3000)

Die gesamte Planung und Durchführung des Projekts findet intern bei der Acme GmbH statt. Der Auftraggeber des Projekts ist der Ausbilder des Antragstellers, Herr Mustermann. Er ist einer von zwei Geschäftsführern des Unternehmens und leitet den Bereich der Systemadministration.

Bei der Acme GmbH handelt es sich um einen in Musterhausen ansässigen IT-Dienstleister, der für Privatunternehmen und öffentliche Auftraggeber unterschiedlicher Größe tätig ist. Das Leistungsspektrum umfasst zum einen „klassische“ IT-Dienstleistungen wie die Planung und Administration von IT-Infrastrukturen sowie Beratung und Verkauf von Software und Hardware. Außerdem werden Dienstleistungen in den Bereichen Webdesign und CMS-Systeme angeboten. Ein zentrales Geschäftsfeld stellt daneben die Datenforensik dar.

Das Unternehmen umfasst derzeit neben den zwei Geschäftsführern zwölf Angestellte. Die Mitarbeiter können sich über ihre Actice Directory-Zugangsdaten an den Arbeitsplatzrechnern anmelden. Insgesamt gibt es im Firmennetz 37 Systeme mit Windows 10-Betriebssystem (28 physisch / 9 virtuell) und 17 Windows-Server-Systeme (5 physisch / 12 virtuell). Daneben sind fünf Linux-Server (Ubuntu) im Einsatz (1 physisch / 4 virtuell).

Der Docusnap-Server wird auf einem der virtuellen Windows-Server betrieben. Die Passwortmanager-Anwendung soll in einer virtuellen Maschine mit Linux- oder Windows-Server-Betriebssystem installiert werden, welche auf einem vorhandenen physischen Server laufen soll.


Projektphasen mit Zeitplanung:

1     Planung und Evaluierung (10h)

1.1  Analyse des Ist-Zustands (1h)

1.2  Erarbeitung eines Soll-Konzepts (3h)

1.3  Planung des Projektablaufs (1h)

1.4  Inhaltlicher und wirtschaftlicher Vergleich geeigneter Software und Auswahl (5h)

2     Projektdurchführung (20h)

2.1  Erstellung einer Berichtsvorlage zum Export der Zugangsdaten aus „Docusnap“ (3h)

2.2  Erstellung eines Skripts zur Vorbereitung und Durchführung des Imports der Zugangsdaten in die Passwortmanager-Anwendung sowie zum Löschen der Klartext-Dateien (4h)

2.3  Installation und Konfiguration des Server-Betriebssystems (1h)

2.4  Installation der Passwortmanager-Anwendung (1h)

2.5  Konfiguration der Passwortmanager-Anwendung (3h)

2.6  Migration der Zugangsdaten aus Microsoft Dynamics 365 (2h)

2.7  Tests und ggf. Fehlerbehebung (4h)

2.8  Abnahme durch den Auftraggeber (1h)

2.9  Einweisung der Anwender (1h)

3     Projektabschluss (10h)

3.1  Ergebnisanalyse (1h)

3.2  Projektdokumentation (9h)


Dokumentation zur Projektarbeit (max. 3000)

Die Projektdokumentation soll als prozessorientierter Projektbericht erfolgen. Folgende Gliederung ist geplant:

- Ausgangslage und Ziel des Projekts

- Inhaltlicher und wirtschaftlicher Software-Vergleich

- Beschreibung der Projektdurchführung

- Fazit

Planmäßig werden folgende Anhänge enthalten sein:

- Abkürzungsverzeichnis

- Quellenverzeichnis

- Screenshots

- ggf. Microsoft Word Dokumente (.docx)

- ggf. PDF-Dokumente

- ggf. Präsentationsdateien (.pptx)

Neben der Projektdokumentation soll zum Import-Skript eine kurze Readme-Textdatei angelegt werden, welche die Funktion des Skripts erläutert.


Präsentationsmittel (max. 250)

Bei der Präsentation des Projekts soll „Microsoft PowerPoint“ zur Visualisierung eingesetzt werden. Zu diesem Zweck wird der Antragssteller die Präsentationsfolien in digitaler Form sowie die entsprechenden Geräte (Rechner, Beamer) mitbringen.

 

 

Wird es jetzt klarer, dass es ein FiSi-Projekt ist?

Geschrieben

Der Projektantrag wurde jetzt zunächst mit der Begründung abgelehnt, dass ich nicht meinen Eigenbeitrag nicht deutlich genug gemacht hätte. Das lag vermutlich an an den ganzen Passivformulierungen ("Es soll XY installiert werden.") Diese Formulierungen hab ich noch von früher von schriftlichen Arbeiten, weil da jeweils klar war, dass ich der einzige Verfasser bin. Jedenfalls hab ich das jetzt alles umformuliert ins Aktiv mit klarer Nennung des Akteurs (also mich).

Jedenfalls wurde jetzt der Antrag wieder nicht genehmigt bzw. unter folgenden Auflagen genehmigt:

Zitat

Ihr Projekt ist unter der Auflage genehmigt, dass Sie die Softwarepakete selbständig ohne vorhandenes Firmenimage aufsetzen und in eine gebrauchsfähigen Stand setzen (mindestens 2 Maßnahmen zum Systemschutz sind durchzuführen und in der Dokumentation zu erklären).

Hier gehe ich davon aus, dass mit "Softwarepakete" die Installation des Serverbetriebssystems in der virtuellen Maschine gemeint ist, in der der Passwortmanager laufen soll. Oder verstehe ich das falsch? Finde ich eigentlich selbstverständlich, dass ich das selber mache. Packe ich dann noch explizit in den Antrag.

Zitat

Zusätzlich sind die Tests in der Planungsphase im Soll-Bereich vor Start zu planen.

Das finde ich auch etwas missverständlich formuliert. Ist damit Punkt 2.7 gemeint? Und ist damit gemeint, dass ich in der Planungsphase das Testverfahren planen soll, welches unter 2.7 dann umgesetzt wird? Oder soll ich die Tests (mit mehreren Passwortmanagern?) bereits in der Planungsphase durchführen?

Falls das jemand hier besser versteht als ich, schonmal vielen Dank!

Geschrieben

Dein Projekt ist mit Auflage genehmigt worden. Glückwunsch!

vor 12 Minuten schrieb Poldi123:

Hier gehe ich davon aus, dass mit "Softwarepakete" die Installation des Serverbetriebssystems in der virtuellen Maschine gemeint ist, in der der Passwortmanager laufen soll. Oder verstehe ich das falsch? Finde ich eigentlich selbstverständlich, dass ich das selber mache. Packe ich dann noch explizit in den Antrag.

Sie wollen sichergestellt haben das du auf du kein "All in One Komplett Image" irgendwo draufziehst das schon vorher existiert.

vor 13 Minuten schrieb Poldi123:

Und ist damit gemeint, dass ich in der Planungsphase das Testverfahren planen soll, welches unter 2.7 dann umgesetzt wird?

Yes. Die Testplanung gehören z.B. ins Pflichtenheft.

Gutes Gelingen!

Geschrieben

Das Projekt wurde inzwischen genehmigt mit dem folgenden Projektantrag. Vielen Dank an alle, die hilfreiche Ratschläge gegeben haben! :)

 

# Thema (max. 300)

Implementierung einer selbsthostbaren und teamfähigen Passwortmanager-Lösung inklusive Migration bzw. Synchronisation bestehender Zugangsdaten

# Projektbeschreibung (max. 8000)

**Ausgangssituation und Problemstellung:**

Im Ausbildungsbetrieb des Antragstellers (John Doe), der Acme GmbH, werden gemeinsam genutzte Zugangsdaten in zwei Systemen gespeichert. Zum einen in der CRM-Software „Microsoft Dynamics 365“. Zum anderen in der CMDB-Software „Docusnap“.

„Microsoft Dynamics 365“ wird im Unternehmen als Add-In für „Microsoft Outlook“ genutzt. Darin werden neben Zugangsdaten für Online-Accounts der Firma und von Kunden die Kontaktdaten von Kunden sowie Aufgaben zentral verwaltet.

Bei „Docusnap“ handelt es sich um eine Software zur Dokumentation von IT-Infrastrukturen. Die dokumentierten IT-Systeme sind in der Programmoberfläche als Objekte in einer Baumhierarchie über den entsprechenden Firmen- und ggf. Domänenknoten auffindbar. Zugangsdaten können mit einem oder mehreren Objekten (z. B. Domänen oder IT-Systeme) verknüpft werden. Umgekehrt kann ein Objekt auch mehrere Zugangsdaten haben. Auch in „Docusnap“ speichert Acme Zugangsdaten der Firma und von Kunden, welche mit bestimmten Objekten dort verknüpft sind.

Derzeit gibt es keine zentrale „Anlaufstelle“ für alle Zugangsdaten im Unternehmen. Das führt immer wieder dazu, dass Mitarbeiter nicht wissen, ob sie in „Microsoft Dynamics 365“ oder in „Docusnap“ suchen müssen.

Außerdem erlaubt „Microsoft Dynamics 365“ keine strukturierte Ablage der Zugangsdaten. Diese werden in einer flachen Hierarchie dargestellt, was bei derzeit 264 Einträgen trotz Suchfunktion sehr unübersichtlich ist. Dies begünstigt die schlechte Pflege des Datenbestands. So existieren laut Aussage des Auftraggebers (siehe Projektumfeld) diverse veraltete Einträge.

„Docusnap“ bietet im Gegensatz zu „Microsoft Dynamics 365“ zwar die Möglichkeit zu einer strukturierten Ablage von Zugangsdaten durch die erwähnte Baumhierarchie. Allerdings ist das Auffinden eines Objekts in der verschachtelten Hierarchie mitunter langwierig und die Suchfunktion sehr langsam.

Beide Anwendungen haben schließlich den Nachteil, dass sie vergleichsweise langsam starten und über keine Browser-Integration zum automatischen Ausfüllen von Login-Feldern verfügen.

Die genannten Nachteile haben dazu geführt, dass Mitarbeiter aus Gründen der Zeitersparnis nicht nur private Zugangsdaten im Browser speichern, sondern auch solche aus „Microsoft Dynamics 365“ und „Docusnap“.

Allerdings sind Browser ein beliebtes Angriffsziel von Hackern, weshalb die dortige Speicherung von Zugangsdaten als nicht besonders sicher anzusehen ist.

**Ziel des Projekts:**

Zur Lösung der genannten Probleme wird der Antragsteller im Auftrag des Ausbilders einen Passwortmanager im Firmennetzwerk produktiv setzen. Dies umfasst insbesondere:
- die selbständige Installation und Konfiguration (ohne Nutzung vorhandener Images):
    - eines Linux- oder Windows-Betriebssystems in einer virtuellen Maschine
    - der Passwortmanager-Serveranwendung in der eingerichteten virtuellen Maschine (inkl. Planung und Umsetzung eines Benutzer-, Gruppen- und Berechtigungskonzepts)
    - ggf. der Passwortmanager-Clientanwendung auf den Arbeitsplatzrechnern (ansonsten Bedienung über Webinterface)
- die Planung und Durchführung diverser Sicherheitsmaßnahmen nach „Best Practice“ zur Absicherung des genannten Betriebssystems und der genannten Anwendungen im Rahmen der Konfiguration
- die Instruktion der Benutzer zur Einrichtung des Browser-Addons des Passwortmanagers

Zuvor wird der Antragsteller verschiedene Passwortmanager vergleichen und hieraus die beste Lösung auswählen. Grundlage für den Vergleich bildet einerseits ein durch den Antragsteller in Absprache mit dem Auftraggeber zu erstellender Kriterienkatalog und andererseits die durch die Software entstehenden Kosten für das Unternehmen.

In dem Passwortmanager sollen alle gemeinsam genutzten Zugangsdaten verschlüsselt in einer Datenbank gespeichert werden, um sie vor unberechtigtem Zugriff zu sichern. Damit wären sie an zentraler Stelle für alle Mitarbeiter durch Volltextsuche bzw. strukturierte Ablage schnell auffindbar.

Der Passwortmanager muss den gleichzeitigen Zugriff durch mehrere Benutzer unterstützen und über ein Benutzer- und Berichtigungssystem verfügen. Damit scheiden Passwortmanager aus, welche auf Single-User-Benutzung ausgelegt sind.

Daneben muss die Anwendung selbsthostbar sein, da es sich bei den gespeicherten Zugangsdaten um extrem sensible Daten handelt, die Acme nicht aus der Hand geben möchte. Damit scheiden auch Cloud-basierte Passwortmanager aus. Umso mehr, da die Speicherung von Kunden-Zugangsdaten bei Drittanbietern da­ten­schutz­recht­lich problematisch sein könnte.

Außerdem sollte die Software über eine Browser-Integration und im Idealfall noch über die Möglichkeit der Speicherung privater Passwörter verfügen, damit die Mitarbeiter ihre Zugangsdaten nicht mehr im Browser speichern.

Die bisher in „Microsoft Dynamics 365“ gespeicherten Zugangsdaten sollen vollständig in die Passwortmanager-Anwendung migriert und in Zukunft dort gepflegt werden.

Die in „Docusnap“ gespeicherten Zugangsdaten sollen nach dem Willen des Auftraggebers weiterhin dort bleiben und gepflegt werden. Denn damit bleiben alle relevanten Informationen zu einem Objekt (z. B. technische Daten, Rechnungen, Handbücher, Zugangsdaten) an einer Stelle in „Docusnap“ gebündelt.

Um trotzdem alle Zugangsdaten zentral im Passwortmanager verfügbar zu haben, wird der Antragsteller zwischen „Docusnap“ und dem Passwortmanager eine Synchronisation der Zugangsdaten einrichten. Diese soll unidirektional sein, um sicherzustellen, dass es durch die Synchronisation zu keinem Datenverlust in „Docusnap“ kommt. Außerdem sollen die Benutzer im Passwortmanager auf die Zugangsdaten aus „Docusnap“ ausschließlich einen Read-Only-Zugriff haben. Dies soll vermeiden, dass aktualisierte Zugangsdaten versehentlich im Passwortmanager anstatt in „Docusnap“ eingepflegt werden und bei der nächsten Synchronisation verloren gehen.

Die Synchronisation soll automatisiert durch einen zeitgesteuerten Export der Zugangsdaten aus „Docusnap“ und deren zeitgesteuerten Import in den Passwortmanager ablaufen. Beides wird der Antragsteller einrichten. Dieser Prozess wird im Folgenden näher beschrieben:

In „Docusnap“ ist der Export von Zugangsdaten im Klartext über die „Berichte“-Funktion möglich, welche zeitgesteuert durch den Docusnap-Server ausgeführt werden kann. Der Zugangsdaten-Bericht soll im XLSX-Format gespeichert werden (aus Sicherheitsgründen auf einer Ramdisk). Der Antragsteller wird eine Berichtsvorlage erstellen, welche durch entsprechende SQL-Abfragen an die Docusnap-Datenbank Berichte mit allen Spalten generiert, die benötigt werden, um beim Import in den Passwortmanager die Struktur aus „Docusnap“ durch Ordner und Unterordner nachzubilden. Dazu zählen neben Benutzername, Passwort und URL beispielsweise auch die Firma und der Systemtyp.

Für den automatisierten Import der Zugangsdaten in den Passwortmanager wird der Antragsteller ein Skript (z. B. PowerShell, Bash) erstellen, welches zeitgesteuert nach dem Export des Berichts ausgeführt werden soll. Dieses wandelt zuerst den XLSX-Bericht in das breit-unterstützte CSV-Format um. Dann passt es ggf. die Struktur der CSV-Datei so an, dass sie den Import-Anforderungen des Passwortmanagers entspricht und die hierarchische Struktur aus „Docusnap“ im Passwortmanager nachgebildet wird. Falls der Passwortmanager über keine Duplikate-Erkennung verfügt, muss das Skript vor dem Import ggf. bestehende Docusnap-Zugangsdaten aus der Datenbank des Passwortmanagers löschen. Darauf folgt der eigentliche Import in die Datenbank. Zum Schluss löscht das Skript alle erstellten Berichtsdateien, um sicherzustellen, dass die sensiblen Zugangsdaten so kurz wie möglich im Klartext vorliegen.

Zur Durchführung des Projekts steht dem Antragsteller ein Arbeitsplatzrechner mit Windows 10 und aller benötigten Software zur Verfügung. Für weitere Details zu Hardware und Software siehe „Projektumfeld“.


# Projektumfeld (max. 3000)

Die gesamte Planung und Durchführung des Projekts findet intern bei der Acme GmbH statt. Der Auftraggeber des Projekts ist der Ausbilder des Antragstellers, Max Mustermann. Er ist einer von zwei Geschäftsführern des Unternehmens und leitet den Bereich der Systemadministration. Der Antragsteller, John Doe, wird das Projekt in Absprache mit dem Auftraggeber ohne Mithilfe weiterer Mitarbeiter durchführen.

Bei der Acme GmbH handelt es sich um einen in Musterhausen ansässigen IT-Dienstleister, der für Privatunternehmen und öffentliche Auftraggeber unterschiedlicher Größe tätig ist. Das Leistungsspektrum umfasst zum einen „klassische“ IT-Dienstleistungen wie die Planung und Administration von IT-Infrastrukturen sowie Beratung und Verkauf von Software und Hardware. Außerdem werden Dienstleistungen in den Bereichen Webdesign und CMS-Systeme angeboten. Ein zentrales Geschäftsfeld stellt daneben die Datenforensik dar.

Das Unternehmen umfasst derzeit neben den beiden Geschäftsführern zwölf Angestellte. Die Mitarbeiter können sich über ihre Actice Directory-Zugangsdaten an den Arbeitsplatzrechnern anmelden. Insgesamt gibt es im Firmennetz 37 Systeme mit Windows 10-Betriebssystem (28 physisch / 9 virtuell) und 17 Windows-Server-Systeme (5 physisch / 12 virtuell). Daneben sind fünf Linux-Server (Ubuntu) im Einsatz (1 physisch / 4 virtuell).

Der Docusnap-Server wird auf einem virtuellen Windows-Server betrieben, welcher durch den Auftraggeber administriert wird und auf den der Antragsteller Zugriff hat. Der Auftraggeber ist außerdem Administrator des physischen Windows-Servers, auf dem die virtuellen Maschinen der Firma laufen (im Folgenden: physischer VM-Server). Auf diesen physischen VM-Server hat der Antragsteller keinen Zugriff.

Der Antragsteller wird deshalb auf seinem Arbeitsplatzrechner eine virtuelle Maschine erstellen, in der er die Installation und Ersteinrichtung des Linux- oder Windows-Betriebssystems vornehmen wird, in dem der Passwortmanager installiert werden soll. Anschließend wird der Auftraggeber diese virtuelle Maschine auf den physischen VM-Server migrieren und ggf. notwendige Konfigurationsanpassungen durchführen, um den Antragsteller administrativen Zugang zur virtuellen Maschine per SSH bzw. RDP zu verschaffen. Anschließend wird der Antragsteller darin wie unter „Projektbeschreibung“ beschrieben die Konfiguration des Server-Betriebssystems sowie die Installation und Konfiguration der Passwortmanger-Serveranwendung vornehmen.

# Projektphasen mit Zeitplanung (max. 3000)

1     Planung und Evaluierung (10h)

1.1  Analyse des Ist-Zustands (1h)

1.2  Erarbeitung eines Soll-Konzepts (3h)

1.3 Planung des Testverfahrens für Software, Berichtsvorlage und Import-Skript (1h)

1.4  Planung des Projektablaufs (1h)

1.5  Inhaltlicher und wirtschaftlicher Vergleich geeigneter Software und Auswahl (4h)

2     Projektdurchführung (20h)

2.1  Erstellung einer Berichtsvorlage zum Export der Zugangsdaten aus „Docusnap“ (3h)

2.2  Erstellung eines Skripts zur Vorbereitung und Durchführung des Imports der Zugangsdaten in die Passwortmanager-Anwendung sowie zum Löschen der Klartext-Dateien (4h)

2.3  Installation und Konfiguration des Server-Betriebssystems (1h)

2.4  Installation der Passwortmanager-Server- und ggf. Clientanwendung (1h)

2.5  Konfiguration der Passwortmanager-Serveranwendung (3h)

2.6  Migration der Zugangsdaten aus „Microsoft Dynamics 365“ (2h)

2.7  Tests und ggf. Fehlerbehebung (4h)

2.8  Abnahme durch den Auftraggeber (1h)

2.9  Einweisung der Anwender (1h)

3     Projektabschluss (10h)

3.1  Ergebnisanalyse (1h)

3.2  Projektdokumentation (9h)

# Dokumentation zur Projektarbeit (max. 3000)

Die Projektdokumentation soll durch den Antragsteller als prozessorientierter Projektbericht erfolgen. Folgende Gliederung ist geplant:

- Ausgangslage und Ziel des Projekts

- Beschreibung der Planung des Projekts

- Inhaltlicher und wirtschaftlicher Software-Vergleich

- Beschreibung der Projektdurchführung:

    - Erstellung der Berichtsvorlage

    - Erstellung des Import-Skripts
 
    - Installation und Konfiguration des Server-Betriebssystems sowie der Passwortmanager-Anwendung (inklusive Erläuterung der ergriffenen Sicherheitsmaßnahmen)

    - Migration der Zugangsdaten aus „Microsoft Dynamics 365“
 
    - Verlauf der Tests
 
    - Abnahme durch Auftraggeber und Einweisung der Anwender

- Fazit

Planmäßig werden folgende Anhänge in der Projektdokumentation enthalten sein:

- Abkürzungsverzeichnis

- Quellenverzeichnis

- Screenshots

- ggf. Microsoft Word Dokumente (.docx)

- ggf. PDF-Dokumente

- ggf. Präsentationsdateien (.pptx)

Neben der Projektdokumentation wird der Antragsteller zum Import-Skript eine kurze Readme-Textdatei schreiben, welche die Funktion des Skripts erläutert.

# Präsentationsmittel (max. 250)

Bei der Präsentation des Projekts soll „Microsoft PowerPoint“ zur Visualisierung eingesetzt werden. Zu diesem Zweck wird der Antragsteller die Präsentationsfolien in digitaler Form sowie die entsprechenden Geräte (Rechner, Beamer) mitbringen.

  • mapr hat Thema gesperrt
Gast
Dieses Thema wurde nun für weitere Antworten gesperrt.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...