Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Ich bin gerade auf der Suche nach möglichen Abschlussprojekten als Fisi-Umschüler in einem Praktikum und das ist so meine erste Idee.

Problemstellung:

Ein Kunde möchte eine möglichst einfache, zentrale Passwortverwaltung haben. Zur Zeit werden Passwörter in Browser-integrierte Passwortspeicher oder Textdateien oder Handbücher gespeichert bzw. niedergeschrieben.

Das Problem hierbei: scheidet ein MA aus oder vergisst ein PW ist die Wiederherstellung des Zuganges aufwendig und teuer, da wir als Dienstleister dies übernehmen.

Der Kunde wünscht sich daher eine möglichst einfache Methode, selber die Verwaltung zu übernehmen. Außerdem soll die Sicherheit der PW durch Vorgaben wie Mindestlänge, Zeichensatz und Komplexität erhöht werden.

Unter Verwaltung würde nicht nur das Wiederherstellen von vergessenen PW´s sondern auch die Erstellung neuer Benutzer, Erstellen und Zuweisen zu Berechtigungsgruppen und Benutzerrollen, Löschen von ausgeschiedenen MA mit Sicherung derer relevanten PW´s.

Da es sich um ein Handelsunternehmen handelt sollen die MA auch die Möglichkeit erhalten, PW´s für Zulieferer, Webseiten, Zahlungsinformationen und dergleichen zentral abzuspeichern. Je nach eingestellten Rollen und Rechten sollen die MA auch Zugriff auf Abteilungs-Infos haben.

In kurz: ein PW-Manager mit zentraler Verwaltung und möglichst einfacherer Bedienung soll her.

Ich habe mich dazu schon etwas erkundigt und aus meiner Sicht gibt es zwei Hauptunterschiede: 1. On-Prem oder Cloud, 2. Als Abo oder Einmalige Anschaffungskosten.

Ich würde dazu verschiedene Programme miteinander abgleichen und die meiner Meinung nach geeignetsten Kandidaten dem Kunden mit meiner Empfehlung vorstellen. Die finale Entscheidung dazu wird der Kunde fällen.

Danach würde es dann an die Implementierung, Einrichtung und Migration sowie ggfs. MA-Unterweisung gehen.

Da der Kunde es zukünftig selbst verwalten will und es deswegen einfach zu bedienen sein muss (da keine großen IT-Kenntnisse) bleibt mir da nicht so viel Spielraum.

Ich habe schon ähnliche Projekte gesehen, die durchgegangen sind und bin mir nicht über die Eignung sicher.

Könnte man daraus also ein Projekt rausformulieren oder fehlt es an eigenen Entscheidungen?

 

Geschrieben

Mein Projekt war auch ein Passwortmanagementsystem für unsere IT-Abteilung, das on prem lief mit Organisationsstrukturen und einem Berechtigungssystem. Ging problemlos bei meiner IHK durch.

Sehe hier also eigentlich kein Problem solange es kein stumpfes installieren ist sondern die Berechtigungen und Strukturen selbst erstellt werden.

Geschrieben

Ich denke ebenfalls, dass es problemlos als Projekt umsetzbar sein sollte. Einer meiner Auszubildenden hat 2018 einen ähnlich komplexen, webbasierten On-Premise-Passwort-Safe bei uns eingeführt. Obwohl es kein Abschlussprojekt war, habe ich darauf bestanden, dass er es trotzdem entsprechend behandelt, die notwendigen Entscheidungen trifft, die Arbeitsschritte entsprechend ausführt und am Ende alles so dokumentiert, als wäre es eine IHK-Prüfung. Meiner Einschätzung nach hat das hinsichtlich Zeitaufwand, Umfang und Tiefe sehr gut gepasst. Ich bin überzeugt, dass er auch damit genauso problemlos die Prüfung bestanden hätte wie mit seinem eigentlichen Projekt.

Als.kleine Anmerkungen, du musst dich dabei auch sehr stark mit Datenschutz und aktuellen Gesetzen auseinander setzen.

Falls dort ein Betriebsrat besteht, sollte dieser auch bereits im Vorfeld mit einbezogen werden, da er bei so einem Projekt Mitspracherecht hat und das sonst stoppen könnte sobald er davon erfährt. Und sowas ist normalerweise der Fall nachdem der Antrag von der IHK genehmigt wurde. 

Geschrieben

Schonmal danke für die Zustimmung, das beruhigt und bestärkt mich.

 

vor 7 Stunden schrieb Sullidor:

Als.kleine Anmerkungen, du musst dich dabei auch sehr stark mit Datenschutz und aktuellen Gesetzen auseinander setzen.

Falls dort ein Betriebsrat besteht, sollte dieser auch bereits im Vorfeld mit einbezogen werden, da er bei so einem Projekt Mitspracherecht hat und das sonst stoppen könnte sobald er davon erfährt. Und sowas ist normalerweise der Fall nachdem der Antrag von der IHK genehmigt wurde. 

Von wie stark reden wir hier? Muss ich zitieren können, den Inhalt jeden Paragrafens wissen oder nur Grundlegendes wie z.B. das Recht auf Löschung? Mein erster Ansatz war zu Erwähnen, dass ich als Auswahlkriterium eine DSGVO-Konformität gesetzt habe, das wars aber auch schon.

Der zweite Ansatz wäre, mir Stichpunkte als Erinnerung dafür aufzuschreiben und in die Prüfung mitzunehmen. Aber ich glaube, das ist nicht erlaubt, oder?

vor 7 Stunden schrieb Sullidor:

Falls dort ein Betriebsrat besteht, sollte dieser auch bereits im Vorfeld mit einbezogen werden, da er bei so einem Projekt Mitspracherecht hat und das sonst stoppen könnte sobald er davon erfährt. Und sowas ist normalerweise der Fall nachdem der Antrag von der IHK genehmigt wurde. 

Ich wollte eh dort zuerst noch anfragen, ob das OK ist, dass ich das als Projektarbeit durchführen will.

Demnächst darf ich das Thema erstmal im Praktikumsbetrieb via Präsentation vorstellen. Das gehört nämlich (noch) nicht zum Portfolio.

Geschrieben
vor 47 Minuten schrieb Squaz:

Von wie stark reden wir hier? Muss ich zitieren können, den Inhalt jeden Paragrafens wissen oder nur Grundlegendes wie z.B. das Recht auf Löschung? Mein erster Ansatz war zu Erwähnen, dass ich als Auswahlkriterium eine DSGVO-Konformität gesetzt habe, das wars aber auch schon.

@charmanta Ich beschwöre dich, lass uns an deiner reichhaltigen Weisheit teilhaben... 🪘 

Da möchte jemand die Passwörter von Kollegen wieder herstellen können,  die eventuell ausgeschieden, krank oder vergesslich sind. Ich schätze als Prüfer vom Fach würdest du ihn da quasi komplett zerlegen was Datenschutz, Betriebsverfassungsgesetz usw. angeht? 

 

Geschrieben

Erstmal: ich bin kein Jurist. Nur teilweise. Damit darf ich keine Rechtsberatung durchführen und im BetrVG schwimme ich auch nur an der Oberfläche.

Ich hab als Prüfer auch nicht einen Zerlegeauftrag, den haben Metzger ;) Aber ich würde absolut schauen ob der Prüfling sich der Brisanz im Klaren ist und ob er mir mindestens eine Rechtsgrundlage nach Art 6 nennen kann.

vor einer Stunde schrieb Squaz:

Muss ich zitieren können, den Inhalt jeden Paragrafens wissen oder nur Grundlegendes wie z.B. das Recht auf Löschung?

Nö, in dem Fall erwarte ich Kenntnis der Rechtsgrundlagen. Die allgemeinen Pflichten und Rechte sowie Art 32 muß ja eh jeder ITLer drauf haben.

Aber selbst wenn ein Prüfling hier komplett loooooost kann der PA nach der neuen Prüfungsordnung nicht mehr das Durchfallen testieren, solange die Schulnoten ok sind.

Als AG würde ich aber sehr sehr deutlich hinterfragen wollen was hier Nutzen und Risiken sind. Das "Auslesen" eines persönlichen Kennworts halte ich stets für kritisch, bei technischen Usern eher nicht. Hier ist die Frage nach der "natürlichen Person" und der "juristischen Person" ...

Genug Angst gemacht, ich schweige und geniesse weiter

Geschrieben
vor 15 Minuten schrieb charmanta:

Ich hab als Prüfer auch nicht einen Zerlegeauftrag, den haben Metzger ;) Aber ich würde absolut schauen ob der Prüfling sich der Brisanz im Klaren ist und ob er mir mindestens eine Rechtsgrundlage nach Art 6 nennen kann.

Nö, in dem Fall erwarte ich Kenntnis der Rechtsgrundlagen. Die allgemeinen Pflichten und Rechte sowie Art 32 muß ja eh jeder ITLer drauf haben.

Ok danke, die Basics also, das ist ja kein Problem.

vor 17 Minuten schrieb charmanta:

Aber selbst wenn ein Prüfling hier komplett loooooost kann der PA nach der neuen Prüfungsordnung nicht mehr das Durchfallen testieren, solange die Schulnoten ok sind.

Beruhigend zu wissen, wenn auch etwas besorgniserregend für die Zukunft des Berufes.

vor 18 Minuten schrieb charmanta:

Als AG würde ich aber sehr sehr deutlich hinterfragen wollen was hier Nutzen und Risiken sind. Das "Auslesen" eines persönlichen Kennworts halte ich stets für kritisch, bei technischen Usern eher nicht. Hier ist die Frage nach der "natürlichen Person" und der "juristischen Person" ...

Persönliche bzw private PW´s sollen auch nicht mit rein. Hat ja nichts mit dem Unternehmen zu tun. Falls doch der Wunsch dafür aufkommen sollte, finde ich ne Möglichkeit, die für jede Einzelperson zu segmentieren, das da nur die Person selbst zugriff drauf hat. Jedoch mit dem Haken, dass bei egal welchem Fall des Verlustes keine Wiederherstellung möglich sein wird. Irgendwie so, mal gucken.

vor 28 Minuten schrieb charmanta:

Genug Angst gemacht, ich schweige und geniesse weiter

Nochmals danke fürs Feedback, nun weiß ich schonmal grob, was da auf mich zukommt 👍

 

 

Geschrieben (bearbeitet)
vor 1 Stunde schrieb Squaz:

Persönliche bzw private PW´s sollen auch nicht mit rein. Hat ja nichts mit dem Unternehmen zu tun. Falls doch der Wunsch dafür aufkommen sollte, finde ich ne Möglichkeit, die für jede Einzelperson zu segmentieren, das da nur die Person selbst zugriff drauf hat. Jedoch mit dem Haken, dass bei egal welchem Fall des Verlustes keine Wiederherstellung möglich sein wird. Irgendwie so, mal gucken.

Einige professionelle Lösungen haben solche Mechanismen mit implementiert.

Aber auch ansonsten. Wer bestimmt, dass dort keine privaten Passwörter mit rein kommen und wie wird sowas bestimmt? Wie sieht da die rechtliche Regelung aus? Sowas und auch wann wiederherstellen erlaubt ist und wann nicht,  solltest du in der Prüfung wissen.

Bearbeitet von Sullidor
Geschrieben
vor 3 Stunden schrieb Squaz:

Ok danke, die Basics also, das ist ja kein Problem.

Aus Art. 32 lassen sich massig technische Fragen gestalten. Das ist in der Regel oft unser Opener für Maßnahmen. Und da möchte ich dann nicht nur "Es gibt für Vefügbarkeit Raid, Backup, USV" hören. Das geht schon sehr viel tiefer dann...

Geschrieben
vor 3 Stunden schrieb Sullidor:

Aber auch ansonsten. Wer bestimmt, dass dort keine privaten Passwörter mit rein kommen und wie wird sowas bestimmt? Wie sieht da die rechtliche Regelung aus? Sowas und auch wann wiederherstellen erlaubt ist und wann nicht,  solltest du in der Prüfung wissen.

vor 32 Minuten schrieb ickevondepinguin:

Aus Art. 32 lassen sich massig technische Fragen gestalten. Das ist in der Regel oft unser Opener für Maßnahmen. Und da möchte ich dann nicht nur "Es gibt für Verfügbarkeit Raid, Backup, USV" hören. Das geht schon sehr viel tiefer dann...

Bin grad echt froh, so früh gefragt zu haben. Da hab ich ja noch einiges vor mir. 

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...