pantrag_fisi Projektantrag: Evaluierung und Einrichtung eines zentralen Passwort-Management-Systems

[Zendom]

Moin,

ich bin mir unsicher bezüglich meines Prüfungsantrags. Ich füge meinen Prüfungsantrag einmal unten mit an.

Ich habe nun gelesen das dieses Thema vll. nicht genug in die Tiefe geht und frage daher nach Verbesserungsvorschlägen.

Alternativ wurde mir vorgeschlagen einen Server neu aufzusetzen von meinem Ausbilder, dazu habe ich noch keinen Projektantrag, aber würde Folgendes beinhalten:

Festplatten austauschen

RAID aufsetzten

Proxmox anbinden

VMs von dem Server migrieren und später wieder rauf

Notfallplanung

Kosten/Nutzen

Ist/Soll Vergleich

Vergleich Kosten Neuanschaffung/Aufrüsten.

Hier wäre ich mir auch aber nicht sicher, ob dies ein Thema für ein Projekt wäre.

Ich würde mich aufs Feedback freuen.

Projektantrag

1.      Bezeichnung der betrieblichen Projektarbeit:

Evaluierung und Einrichtung eines zentralen Passwort-Management-Systems

3.      Projektbeschreibung

Um den sicheren Zugriff auf eigene Zugangsdaten und abteilungsübergreifende allgemeine Zugangsdaten zu gewährleisten, soll ein zentral verwalteter Passwort-Manager eingeführt werden. Dieser soll unter Windows und IOS funktionieren. Der Passwort-Manager soll die bisherige Speicherung in Excel Tabellen ablösen. Dadurch soll die Sicherheit und Effizienz erheblich verbessert werden.

Da aktuell Passwörter unverschlüsselt in Excel gespeichert werden, besteht hier ein hohes Risiko. Um unsere Cybersecurity zu verbessern, ist hier ein Handlungsbedarf vorhanden. Die neue Lösung soll self-hosted betrieben werden, um die volle Kontrolle über die Dateien zu gewährleisten. Der Passwort-Manager soll durch Benutzergruppen und Zugriffsrichtlinien verwaltet werden. Dazu soll die Passwort-Richtlinie durchgesetzt und erweitert werden, um die Sicherheit weiter zu erhöhen.

 

4.      Zielsetzung

Evaluierung des self-hosted Passwort-Managers

Einrichtung des self-hosted Passwort-Managers

Migration aller vorhandenen Zugangsdaten in den Passwort-Manager

Erstellen und zuweisen von Benutzergruppen und Zugriffsrechten.

Gesicherter Zugriff auf die benötigten Anmeldedaten, geräteunabhängig und standortunabhängig

Durchsetzen und Erweiterung der Passwort-Richtlinie

 

5.      Projektphasen mit Zeitplanung in Stunden

Ist-Analyse 1h

Risikobewertung 2h

Soll-Konzept 2h

Vergleich Software 3h

Kosten- und Nutzanalyse 2h

Einrichtung der VM 1h

Einrichtung der Software mit Datenbank 5h

Erstellen von Testbenutzer, Zugriffsrechten und Gruppen 1h

Durchführen von Tests 2h

Erstellung von Benutzern, Benutzergruppen und Zugriffrechten 4h

Migration der vorhandenen Passwort-Tabellen 3h

Vergleich Soll- und Ist-Zustand 1h

Anfertigung Dokumentation 9h

Anfertigung Anwenderschulung/Anwenderdokumentation 2h

Admin Dokumentation 2h

Summe: 40h

6.      Geplante Hilfsmittel zur Präsentation:

Notebook, Beamer, Präsentationssoftware (PowerPoint), Laserpointer, Screenshots der Software-Umgebung

 

 

 

 

Bearbeitet 5. Februar von mapr

[FISI-Prüfer]

Moin,

auf den ersten Blick ist das Thema brauchbar, allerdings sollte der Antrag offener formuliert und vlt. im Rahmen der Marktanalyse auch SaaS mit einbezogen werden. 

Dabei fällt mir auf, dass du zweimal User anlegst. Mir wäre das zu doof und ich würd LDAP o.ä. integrieren. Es fehlt mir noch ein Kriterienkatalog, der in der Planungsphase erstell wird, damit Du abschließend erfolgreich testen kannst. Sonst grundsätzlich machbar. 

[mlwhoami]

Ich denke grundsätzlich kann das Thema mit dem zentralen Passwortmanager etwas werden, es kommt aber ganz auf die Ausarbeitung an. Beim Lesen kamen mir ein paar Fragen auf:

vor 18 Stunden schrieb Zendom:

Der Passwort-Manager soll die bisherige Speicherung in Excel Tabellen ablösen. Dadurch soll die Sicherheit und Effizienz erheblich verbessert werden.

Das sollte m.M.n. etwas weiter ausformuliert werden. Mir ergibt sich aus diesen zwei kurzen Sätzen nicht, welches große Problem vorhanden ist das einer zentralen Lösung bedarf. Vor Allem der Teil mit der Effizienz ergibt sich mir so nicht.

vor 18 Stunden schrieb Zendom:

Migration aller vorhandenen Zugangsdaten in den Passwort-Manager

Widerspricht das nicht ein wenig deiner Aussage weiter oben, dass eine Passwortrichtlinie durchgesetzt wird wenn du alle vorhandenen Passwörter migrierst? Und wer wird die Migration vornehmen, du?

vor 18 Stunden schrieb Zendom:

Migration der vorhandenen Passwort-Tabellen 3h

D.h. am Ende kennst du grundsätzlich erstmal alle Zugangskennungen von jedem? Hm, weiß nicht...

vor 18 Stunden schrieb Zendom:

Gesicherter Zugriff auf die benötigten Anmeldedaten, geräteunabhängig und standortunabhängig

Davon liest man in deiner Zeitplanung nichts mehr. Wie wird das umgesetzt?

vor 18 Stunden schrieb Zendom:

Einrichtung der VM 1h

Warum soll es eine VM sein und kein dediziertes physisches System?  Du greifst hier bereits eine Entscheidung vor.

Deine Zeitplanung zur Einrichtung der Software klingt mir mit 5h etwas hoch gegriffen. Vielleicht kannst du hiervon einen Teil der Zeit abzwacken und woanders nützlich einbringen.

 

Zu deinem alternativen Projekt:

vor 18 Stunden schrieb Zendom:

Alternativ wurde mir vorgeschlagen einen Server neu aufzusetzen von meinem Ausbilder

Was für ein Server, zu welchem Zweck? Welches Problem soll dadurch gelöst werden?

Klingt erstmal nach Arbeitsauftrag und weniger nach einem Projekt. Zumal hier inhaltliche Kriterien bereits vorgegeben sind.

[Sullidor]

Am 6.2.2025 um 17:24 schrieb mlwhoami:

Widerspricht das nicht ein wenig deiner Aussage weiter oben, dass eine Passwortrichtlinie durchgesetzt wird wenn du alle vorhandenen Passwörter migrierst? Und wer wird die Migration vornehmen, du?

Eine Passwortrichtlinie macht ja nicht automatisch die gerade gesetzten Passwörter ungültig und sagt auch nicht aus, dass die jetzigen dienstlichen Passwörter der zukünftigen Passwortrichtlinie nicht bereits entsprechen. Ich gehe auch davon aus, dass hier nur von den dienstlichen Passwörtern in der Excel-Datei gesprochen wird. Die anderen Abteilungen und persönlichen Passwörter werden wohl von den betreffenden Personen selbst einpflegen werden müssen.

Viele professionelle Produkte haben eine Funktion, um solche Tabellen einzulesen, Felder zu mappen und darauf automatisch Einträge anzulegen.

Ich würde hier eher das Problem sehen, dass die Passwörter bisher unverschlüsselt in eben dieser Datei vorlagen und man davon ausgehen muss, dass auch viele "Schatten-Kopien" davon existieren. Daher würde ich vermutlich jedes Passwort ändern (lassen), bevor ich es migriere.

Am 6.2.2025 um 17:24 schrieb mlwhoami:

Warum soll es eine VM sein und kein dediziertes physisches System?  Du greifst hier bereits eine Entscheidung vor.

Oder er kennt sich mit der Infrastruktur seiner Firma gut aus und ihm sind die zukünftigen Anforderungen dadurch bereits bekannt. Eine Anforderung war ja bereits eine On-Premise-Lösung. Ich habe schon in mehreren Firmen gearbeitet, die ebenfalls nur VMs genutzt haben. Da wird dann keine Entscheidung vorweggenommen, sondern die Anforderungen werden erfüllt, was auch ein wichtiger Teil eines Projekts ist. Der Rest des Projekts bietet noch genügend Möglichkeiten, die passenden Entscheidungen herbeizuführen.

Am 6.2.2025 um 17:24 schrieb mlwhoami:

Mir ergibt sich aus diesen zwei kurzen Sätzen nicht, welches große Problem vorhanden ist das einer zentralen Lösung bedarf.

Alle dienstlichen Passwörter für Server, Online-Accounts usw. sind in einer unverschlüsselten Excel-Datei im Netzwerk erreichbar. Obwohl hier eigentlich sehr deutlich klar sein sollte, warum es einer zentralen Lösung bedarf, stimme ich darin überein, dass das Problem hier sehr, sehr viel ausführlicher beschrieben und erklärt wird.

Am 6.2.2025 um 17:24 schrieb mlwhoami:

D.h. am Ende kennst du grundsätzlich erstmal alle Zugangskennungen von jedem? Hm, weiß nicht...

Ich bin mir ziemlich sicher, dass in dieser Excel-Datei nur die dienstlichen Passwörter gespeichert wurden. Das ist leider immer noch sehr verbreitet, da viele Firmen kein Geld für einen netzwerkfähigen und multipersonenfähigen Passwort-Safe mit Rechteverwaltung ausgeben möchten.

Das soll übrigens kein „Niedermachen“ sein. Ich finde es hervorragend, dass du hier aktiv hilfst. Aber ich bin auch schon mehrfach mit genau dieser Situation konfrontiert gewesen, und diese Situation ist tatsächlich nahezu immer identisch.

Am 6.2.2025 um 17:24 schrieb mlwhoami:

Was für ein Server, zu welchem Zweck? Welches Problem soll dadurch gelöst werden?

Klingt erstmal nach Arbeitsauftrag und weniger nach einem Projekt. Zumal hier inhaltliche Kriterien bereits vorgegeben sind.

Ich denke das ist korrekt. Hier warum solltest man einfach einen Server aufsetzen? Ich sehe hier auch absolut kein Projekt.

Bearbeitet 8. Februar von Sullidor

[ickevondepinguin]

Am 5.2.2025 um 15:04 schrieb Zendom:

Alternativ wurde mir vorgeschlagen einen Server neu aufzusetzen von meinem Ausbilder, dazu habe ich noch keinen Projektantrag, aber würde Folgendes beinhalten:

Festplatten austauschen

RAID aufsetzten

Proxmox anbinden

VMs von dem Server migrieren und später wieder rauf

Notfallplanung

Alles vorgegeben, damit kein Projekt.

Am 5.2.2025 um 15:04 schrieb Zendom:

Risikobewertung 2h

Soll-Konzept 2h

Vergleich Software 3h

Woher kommen die Kriterien? Auch für Tests? Gehören ebenfalls ins Soll!

Denn, alle Lösungen, die du vergleichst, durchlaufen die selben Tests, wenn diese den Vergleich gewinnen.

Am 5.2.2025 um 19:04 schrieb FISI-Prüfer:

vlt. im Rahmen der Marktanalyse auch SaaS mit einbezogen werden. 

Würde ich als vierte Lösung ebenfalls in den Vergleich ziehen (3x onPrem-Lösungen, wie gewünscht, und dann eine SaaS-Lösung nochmal im Vgl.)

Am 5.2.2025 um 19:04 schrieb FISI-Prüfer:

Mir wäre das zu doof und ich würd LDAP o.ä. integrieren.

Mir auch. Und ich würde das auch bei einem FiSi erwarten. Systemintegration ist ja das, worüber wir hier sprechen. Ansonsten brauche ich dafür keinen FiSi.