pantrag_fisi Projektantrag: Evaluierung und Implementierung eines zentral verwalteten Passwortmanager

[Squaz]

Hallo die Herrschaften,

Ich wollte mal eure Meinungen zum ersten Entwurf meines Projektantrags hören:

 

1.*

Projektbezeichnung

Evaluierung und Implementierung eines zentral verwalteten Passwortmanager

 

1.1*

Kurzbezeichnung der Aufgabenstellung

Kurze Zusammenfassung der Aufgabenstellung

Den Mitarbeitern der **** soll der gesicherte Zugriff auf eigene und kundenspezifische Anmeldedaten auf ihren Endgeräten mit Windows, Android und iOS ermöglicht werden. Diese werden im Büro, im Homeoffice aber auch in Außeneinsätzen benötigt. Zur Speicherung von Anmeldedaten wird ein internes Wiki, eine Zugangsdatentabelle und Notizbücher im OneNote verwendet. Das alles soll durch einen zentral verwalteter Passwort-Manager ersetzt werden. Um sowohl den hauseigenen Server zu entlasten als auch die Verfügbarkeit zu erhöhen, soll dafür ein Cloud-Anbieter genutzt werden. Es soll außerdem ermöglicht werden, das auf Anmeldedaten von Kunden vom jeweiligen Kunden sicher zugegriffen werden kann. Mit der Erstellung und Einrichtung von Benutzergruppen, Zugriffsrichtlinien und einem Passwortmindeststandart soll die Sicherheit erhöht werden.

 

1.2*

Ist-Analyse

Ausgangssituation

Wie in Punkt 1.1 schon erwähnt, sind die Mitarbeiter der **** mit Notebooks und Smartphones ausgestattet. Die Notebooks kommen von ****, sind Firmeneigentum und werden im Büro, im Homeoffice und auch in Außeneinsätzen benutzt. Auf ihnen läuft das Windows 11 Betriebssystem. Die Smartphones sind sowohl Firmeneigentum als auch im privaten Besitz. Es kommen verschiedene Hersteller und Betriebssysteme zum Einsatz.

Anmeldedaten werden auf dem hauseigenen Server in Form von einem Wiki, Tabellen und Notizbücher im OneNote gespeichert. Für persönliche Geschäftsaccounts werden die Daten zum großen Teil sich gemerkt, teils aber auch in Browserintegrierten Passwortmanager gespeichert.

Der Server und die in Firmenbesitz befindlichen Endgeräte werden mit einem Endpoint-Security-Programm verschlüsselt und gesichert. Bei den privaten Smartphones ist das nicht vorhanden.

Um Zugriff auf das Wiki, die Anmeldedatentabelle und dem OneNote zu Erlangen benötigt man jeweils eine Freigabe des Admins. Danach hat man Zugriff auf die jeweils enthaltenen Anmeldedaten.

 

 

2.

Zielsetzung entwickeln / Soll-Konzept

 

2.1*

Was soll am Ende des Projektes erreicht werden?

Alle Anmeldedaten sollen auf einen geeigneten zentral-verwalteten Passwort-Manager migriert werden.

Benutzergruppen und Zugriffsrechte sollen erstellt und zugewiesen sein.

Mitarbeiter sollen gesicherten Zugriff auf benötigte Anmeldedaten können. Dies muss Geräte- und Standortunabhängig geschehen.

Kunden soll der Zugriff auf ihre eigenen Anmeldedaten ermöglicht werden.

Richtlinien zur Passworterstellung sollen eingeführt und durchgesetzt werden.

 

2.2*

Welche Anforderungen müssen erfüllt sein?

Kompatibel mit Windows, Android und iOS.

Hochverfügbar, im Büro, Homeoffice, Außendienst bei Kunden

Sicheres Teilen relevanter Daten mit dem Kunden

AES256-Bit-Verschlüsselung

DSGVO-/ GDPR- konform

Monatlich kündbar und möglichst kostengünstig

Erstellung von Benutzergruppen, Zugriffsrechte und Richtlinien für die Passworterstellung

Multi-Faktor-Authentifizierung

 

2.3*

Welche Einschränkungen müssen berücksichtigt werden?

Kunden sollte der Zugriff auf ihre Daten ermöglicht werden, ohne dass sie sich die entsprechende Software anschaffen.

 

 

3.

Projektstrukturplan entwickeln

 

3.1*

Was ist zur Erfüllung der Zielsetzung erforderlich?

Das Projekt wird in drei Hauptaufgaben unterteilt. Der erste Teil beinhaltet die Planung. Es wird zunächst eine IST-Analyse durchgeführt und anschließend ein Anforderungsgespräch geführt, um die Mindestanforderungen und weitere Details zu klären. Mit den im Gespräch gesammelten Daten wird ein SOLL-Konzept erstellt. Eine grobe Auswahl verschiedene Anbieter werden dann zusammengetragen und mithilfe einer Kosten- und Nutzwertanalyse verglichen.

In der folgenden Durchführungsphase wird von der geeignetsten Software eine Testlizenz angefragt. Für die Testumgebung werden mehrere Geräte, eine Handynummer und E-Mailadresse gebraucht. Als erstes Hardware mit Windows 11. Diese wird mit den im Unternehmen üblichen Programmen ausgestattet. Zusätzlich werden diverse Browser mit installiert. Hier wird die Weboberfläche, Browser-Plug-ins und ggfs. Desktopanwendungen getestet. Parallel dazu werden ein Android- und ein iOS-Gerät vorbereitet, um die mobilen Anwendungen zu testen. Für die Multi-Faktor-Authentifizierung werden Handynummer, E-Mail und ggfs. Biometrische Sensoren benötigt, weshalb sich das nicht in einer VM-Umgebung simulieren lässt.

Auf diesen Geräten wird dann mithilfe von Testusern und Testanmeldedaten die Funktionalität und Konnektivität der Software geprüft. Hierzu werden verschiedene Benutzergruppen und Zugriffsrechte erstellt und verschiedene Szenarien durchgespielt.

Anschließend wird ein Leitfaden für die Mitarbeiter erstellt, die Software gekauft, Benutzergruppen erstellt und Zugriffsrechte und Passwortrichtlinien eingestellt. Migration des Wikis, der Anmeldedatentabelle und des OneNote. Zum Abschluss werden die Mitarbeiter eingewiesen und der Leitfaden verteilt.

Die Dokumentation wird parallel zur Lösungsfindung erstellt, auch um die Erstellung des Leitfadens zu erleichtern.

 

3.2*

Hauptaufgaben auflisten

-       Planung

-       Durchführung

-       Projektabschluss

 

3.3*

Teilaufgaben auflisten

-       Planung

o   IST-Analyse

o   Anforderungsgespräch

o   SOLL-Konzept

o   Evaluation Software

o   Kosten- und Nutzenanalyse

-       Durchführung

o   Aufbau der Testumgebung

o   Installation und Einrichtung auf den verschiedenen Geräten

o   Erstellung von Testbenutzergruppen, Zugriffsrechte und Passwortrichtlinien

o   Durchführen der Tests

o   Kauf der Software und Erstellung eines Admin-Account

o   Erstellung von Benutzergruppen, Zugriffsrechte und Passwortrichtlinien

o   Migration vom Wiki, Tabelle und OneNote

o   Erstellung des Leitfadens

-       Projektabschluss

o   Vergleich SOLL- und IST-Zustand

o   Einweisung der Mitarbeiter und Verteilung des Leitfadens

o   Anfertigung der Dokumentation

 

3.4

Grafische oder tabellarische Darstellung

Wenn Sie eine grafische Darstellung gewählt haben, laden Sie diese bitte als PDF -Datei als Anlage zum Antrag hoch.

 

 

4.*

Projektphasen mit Zeitplanung in Stunden

IST-Analyse – 1h

Anforderungsgespräch – 1h

SOLL-Konzept – 2h

Evaluation Software – 4h

Kosten- und Nutzenanalyse – 2h

Aufbau der Testumgebung – 1h

Installation und Einrichtung auf den verschiedenen Geräten – 2h

Erstellung von Testbenutzergruppen, Zugriffsrechte und Passwortrichtlinien – 2h

Durchführen der Tests – 5h

Erstellung von Benutzergruppen, Zugriffsrechte und Passwortrichtlinien – 2h

Migration vom Wiki, Tabelle und OneNote – 5h

Erstellung des Leitfadens – 2h

Vergleich SOLL- und IST-Zustand – 1h

Einweisung der Mitarbeiter und Verteilung des Leitfadens – 2h

Anfertigung der Dokumentation – 8h

 

Bearbeitet 28. Januar von mapr

[ickevondepinguin]

vor 47 Minuten schrieb Squaz:

Aufbau der Testumgebung

Instalaltion innerhalb der Testumgebung? Und wie geht das ganze Produktiv?

Ich finde das etwas verwirrend. Kannst du das einmal ganz knapp darlegen für uns, wie das geplante vorgehen ist, bis zur Echtnutzung?

[Squaz]

vor 9 Minuten schrieb ickevondepinguin:

Instalaltion innerhalb der Testumgebung? Und wie geht das ganze Produktiv?

Ich finde das etwas verwirrend. Kannst du das einmal ganz knapp darlegen für uns, wie das geplante vorgehen ist, bis zur Echtnutzung?

Ich installiere das erst auf 3 Testgeräte, um auf Windows, Android und iOS verschiedene Szenarien mit Fakedaten durchspielen zu können.

Das läuft mit einer Testlizenz.

Wenn ich sicherstellen konnte, das alles funktioniert, wird das alles wieder gelöscht.

Anschließend wird die richtige Lizenz gekauft, die Software wird auf die produktiven Systeme installiert und alles eingerichtet und migriert. Sodass die zentrale Verwaltung steht, bevor die Mitarbeiter ihre Accounts mit den persönlichen Geschäftskonten einrichten.

 

so der grobe Plan.

Bearbeitet 28. Januar von Squaz

[ickevondepinguin]

vor einer Stunde schrieb Squaz:

Anfertigung der Dokumentation – 8h

Admin-/oder Anwenderdokumentation nicht vergessen.

Ansonsten klingt dein Plan solide. Ich würde es einmal darauf ankommen lassen und den einreichen.

Könnte, je nach Ausschuss, durchgehen.

[Squaz]

Hab ich den Punkt nicht mit der Erstellung des Leitfadens abgedeckt?

 

Und danke für deine Einschätzung

Bearbeitet 28. Januar von mapr

[pointer125]

Die Kollegen können das besser Beurteilen, aber meine Meinung ließt sich das so, als ob hier die ausreichende Komplexität fehlt, als Abschlussprojekt erfolgreich umgesetzt zu werden.

Aber ggf. irre ich mich auch.

[charmanta]

Datenschutz oder Risikobewertung fehlt mir noch, sonst ok

[Squaz]

vor 10 Minuten schrieb pointer125:

Die Kollegen können das besser Beurteilen, aber meine Meinung ließt sich das so, als ob hier die ausreichende Komplexität fehlt, als Abschlussprojekt erfolgreich umgesetzt zu werden.

Aber ggf. irre ich mich auch.

Danke für deine Einschätzung. Das ist auch meine Befürchtung, ich werde es aber wohl auf einen Versuch drauf ankommen lassen. Die Zeit ist auch zu knapp mir was neues zu überlegen.

vor 11 Minuten schrieb charmanta:

Datenschutz oder Risikobewertung fehlt mir noch, sonst ok

Danke auch dir für deine Einschätzung. Ich würde dann eine Risikobewertung nach der IST-Analyse einfügen, eine Stunde für einplanen, die ich dann von der Migration der Daten abzwacken würde. Klingt das gut?

[FISI-Prüfer]

Moin,

mit den Nachbesserungen auf Basis der Anmerkungen von @ickevondepinguin und @charmanta lässt sich das bei uns durchwinken..

Viel Erfolg 

[Squaz]

vor 11 Stunden schrieb FISI-Prüfer:

Moin,

mit den Nachbesserungen auf Basis der Anmerkungen von @ickevondepinguin und @charmanta lässt sich das bei uns durchwinken..

Viel Erfolg 

Danke

Sobald ich da was von der IHK höre, gibt's hier nen Update.