Aufbau eines Sicherheitskonzeptes für das Unternehmensnetzwerk eines Altenheims. Betriebswirtschaftliche Analyse unter Berücksichtigung der Kosten und des Nutzens

Inhaltsverzeichnis

Abbildungs- und Tabellenverzeichnis

1. Einleitung
1.1 Problemstellung
1.2 Hintergrund und Zielsetzung der Arbeit
1.3 Aufbau der Arbeit
1.4 Vorstellung des Unternehmens

2. Datensicherung und zentrale Dateiablage
2.1 Begriffserklärungen
2.2 Ist-Zustand
2.3 Identifizierung der Schwäche/Optimierungsbereich
2.4 Identifikation und Beurteilung der Handlungsalternativen
2.4.1 Einführung ReadyNAS von Netgear in Verbindung mit der Dropbox
2.4.2 Einführung QNAP-NAS in Verbindung mit der Microsoft Onedrive-Cloud
2.5 Konzeptvorschlag der Maßnahme anhand Betrachtung der Stärken und Schwächen ZUSATZ: Schutz vor Stromausfall der Maßnahme durch die Unterspannungsversorgung

3.Sicherheit: Virenschutz/Schutz vor Fremdeingriff und Datenschutz
3.1 Begriffserklärungen
3.2 Ist-Zustand
3.3 Identifizierung der Schwäche/Optimierungsbereich
3.4 Identifikation und Beurteilung der Handlungsalternativen
3.4.1 Einführung Kaspersky und organisatorischer Maßnahmen
3.4.2 Einführung von selbstschulischen Maßnahmen und Erhalt von Avira
3.5 Konzeptvorschlag der Maßnahme anhand Betrachtung der Stärken und Schwächen

4. Kosten/ Nutzenabwägung
4.1 Ermittlungen der Kosten
4.2 Analyse des Nutzens

5. Notwendige Maßnahmen zur Einbindung in das Unternehmen

6. Fazit

Quellenverzeichnis

Quellen der Preise

Anhang

Abbildungs- und Tabellenverzeichnis

Abbildung 1: Ready NAS 300 mit einer Einschubmöglichkeit von 4 Festplatten

Abbildung 2: Darstellung eines NAS Systems inklusive einer Cloud

Tabelle 1: Aufbau/ Bestand des Unternehmensnetzes in Hinsicht der EDV

Tabelle 2: Kostendarstellung der Einführung des Netgear-NAS Systems in Verbindung mit einer Cloud

Tabelle 3: Kostendarstellung der Einführung eines QNAP NAS Systems inklusive Microsoft Onedrive-Cloud

Tabelle 4: Kostendarstellung KASPERSKY Premium sowie organisatorischer Maßnahmen

1. Einleitung

1.1 Problemstellung

Die Prozessstruktur heutiger Unternehmen ist in erheblichem Maße von funktionierender Informations- und Kommunikationstechnik abhängig. Gleichzeitigwachsen die damit verbundenen Risiken kontinuierlich. Folglich stehenUnternehmen heutzutage vor der zentralen Herausforderung, passende IT-Sicherheitsmaßnahmen umzusetzen. Es gibt Bedrohungen und Risikenverschiedenster Art (vgl. Bundesamt f ü r Sicherheit in der Informationstechnik,2011, Seite 7).

Unternehmen stehen im Rahmen einer Risikosteuerung (Bestandteil des Risikomanagements) vier verschiedene Steuerungsmöglichkeiten zur Auswahl.Unterscheiden lassen sich die Risikovermeidung, Risikoverminderung, dieÜberwälzung eines Risikos oder das Selbsttragen eines Risikos (vgl. Prof Dr.Ulrich Krystek, 2017). Das Thema meiner Arbeit lässt sich der Risikoverminderungzuordnen.

Die betriebliche Nutzung des Internets ist mit steigenden Investitionen in die IT-Sicherheit verbunden, da Hackerangriffe zunehmen. Dies allein ist jedochunzureichend, da auch Mitarbeiter für Sicherheitsaspekte sensibilisiert werdenmüssen.

Folgen der Unternehmen durch Hacker können sein: Verlust wichtiger Daten der Unternehmen sowie Missbrauch der Daten und eindringen in dasUnternehmensnetz.

Auch in den Medien gehören solche Artikel nicht mehr der Seltenheit an und haben zum Beispiel durch Hackerangriffe auf Wendys, Yahoo und anderebekannte Unternehmen die breite Masse aufmerksam gemacht. Cyberattacken und Hackerangriffe werden zu einer zunehmenden Bedrohung für Unternehmen jeder Art (vgl. Computerwoche, 2017 ).

Neben dieser Situation gibt es jedoch weitere Risikoquellen. Durch Stromausfälle, Computerabstürze und menschlichen Fehlverhaltens kann es zu Datenverlust kommen. Ebenso kann ein zu leichter Umgang bei Einsicht von Dateien, Weitergabe wichtiger Unternehmensdaten sowie die Infizierung von Dateien durch schädliche Software gravierende Auswirkungen auf die Kosten und somit auf den Gewinn eines Unternehmens haben.

Die vorherigen Ausführungen sollen mit folgenden Zitat verdeutlichtet werden: „Laut Geschäftsführerin Janice Kausitz gab es bereits einen Vorfall imUnternehmensnetzwerk, so dass an einem Tag das gesamte Unternehmensnetz still stand. Ein IT-Fachmann musste mit einer Arbeitszeit von 12 Std die Probleme beseitigen und einzelne Dateien aufwendig wiederherstellen. Zusätzlich hat der Verlust dieser Daten auch zu erneuter Bearbeitung und somit Mehrarbeit imUnternehmen geführt“ (Kausitz, Janice, Interview vom 22.09.17).

Zu den sensiblen Unternehmensdaten gehören z.B. Gehaltsabrechnungen, Rechnungen, Pflegedokumentationen, Mitarbeiterverzeichnisse. Diese sind auf den EDV-Systemen auf den jeweiligen Computern abrufbar und müssen geschütztund gesichert werden. Das Speichern von Dateien auf USB-Sticks undWeiterleitungen von z.B. Gehaltsabrechnungen an den Steuerberater, geltenunternehmensintern als Datensicherung (Data-Backup). Eine Datensicherung, wiesie derzeit erfolgt ist jedoch sehr unüblich und kann durch menschliche Fehlerauch zu unordentlichen Schritten und zum Teil des Vergessens der Speicherungführen.

Die mit der großen Masse des heutzutage notwendigen internen und externen Datenverkehrs verbundener Risiken lassen sich trotz des breiten Angebotes von Sicherheitssoftware nie gänzlich beseitigen. Diesen Umstand sollte dieGeschäftsführung eines Unternehmens stets bedenken.

1.2 Hintergrund und Zielsetzung der Arbeit

Die EU-Datenschutzlinie 95/46/EG besagt mit Novellierung des Bundesdatenschutzgesetzes, dass Verantwortliche, technische sowie organisatorische Maßnahmen einleiten müssen, um Schutz durch zufällige Zerstörung, Datenverlust, Weitergabe und Veränderung und insbesondere der personenbezogenen Daten zu garantieren (vgl. Eckert 2014, S 189).

Neben der EU-Datenschutzrichtlinie sollte ein Unternehmer stets in eigenem Interesse datenschutzrechtliche Belange berücksichtigen. Dafür wird untersucht, in welchem sich ein solches Sicherheitskonzept realisierenlässt und ob sich die Einführung eines zum Schluss zusammengefassten undvorgestellten Sicherheitskonzeptes lohnt. Hierzu wird ermittelt, welche Kostendurch einen Ausfall entstehen können und mit welcher Wahrscheinlichkeit einsolcher auftreten könnte. Hinzuzufügen ist die Ermittlung, welche Kosten dieorganisatorischen Maßnahmen mit sich bringen sowie weiterebetriebswirtschaftlichen Faktoren, wie Zeitersparnis, Nutzen und dadurch indirekteVorteile, die sich auf den Gewinn ausüben. Zusätzlich ist ein Ziel dieser Arbeit, dieMöglichkeiten und Notwendigkeiten des Datenschutzes festzustellen, genauso wieeine Datensicherung erfolgreich im Unternehmen erfolgen kann.

1.3 Aufbau der Arbeit

Die Innovationsmanagementarbeit ist aufgebaut, dass zunächst einmal auf dieZielstellung eingegangen wird. Dies bezieht sich auf die Datensicherung sowieden Schutz der Daten vor fremden Eingriffen und den Datenschutz generell.Anschließend werden die beiden Optimierungsbereiche Datensicherung undDatenschutz in ihren Istzuständen dargestellt. Es werden die Möglichkeitenerläutert, die Kosten für die einzelnen Aspekte erfasst und konkreteUmsetzungsmöglichkeiten diesbezüglich analysiert, um daraufhin die getroffeneEntscheidung umfassend zu begründen. Hierbei wird im Besonderen einSicherheitskonzept in technische Maßnahmen, so wie organisatorischeMaßnahmen unterteilt. Anschließend findet eine Kosten-Nutzenabwägung statt.Zum Schluss wird ein Fazit abgeleitet mit einer Aussage für oder gegen dieEinführung des Sicherheitskonzeptes sowie anschließend die Darstellung derkonkreten Maßnahmen die umgesetzt werden müssen, damit dasSicherheitskonzept in das Altenheim eingeführt werden kann.

1.4 Vorstellung des Unternehmens

Das Haus Nachtigall in Viesdorf wurde 2011 gegründet. Viesdorf liegt in Schleswig- Holstein im Norden von Hamburg. Bei dem Unternehmen handelt essich um eine familiär geführte Einrichtung für Pflege und Betreuung in privaterTrägerschaft.

Das durch die Geschäftsführerin Janice Kausitz als Einzelunternehmen geführteAltenheim beschäftigt 31 Mitarbeiter (8 Vollzeit, 15 Teilzeit und 8 geringfügigBeschäftigte) und bietet zurzeit Platz für 33 pflegebedürftige Bewohner allerPflegestufen.

Insgesamt besteht das Altenheim aus 11 Einzelzimmern sowie 11 Doppelzimmern. Diese verteilen sich auf das Erdgeschoss, das 1. Obergeschoss und auf das 2. Obergeschoss. Das Altenheim ist ruhig gelegen und bietet noch verschiedene Gärten, Außenbereiche sowie gemeinschaftlich nutzbareAufenthaltsräume an (Kausitz, Janice, Interview vom 22.09.2017).

2. Datensicherung und zentrale Dateiablage

2.1 Begriffserklärungen

NAS: Network Attached Storage ist ein Speicher, der überwiegend im Unternehmensnetz zur Verfügung steht. Er kennzeichnet sich durch redundanteStorage Einheiten der Datensicherung sowie den Netzwerkzugriff auf die Dateienvon zahlreichen Benutzern. Dieser NAS ist überwiegend von allen Computern imNetzwerk zugänglich und wird mittels Zugangsverwaltung geregelt. Auf denFestplatten des NAS-Systems findet überwiegend die zentrale Dateiablage desHeimnetzwerkes oder des Unternehmensnetzwerkes statt. Zusätzliche Funktionenwie Online-Backup und Archivierung sind von großer Bedeutung in Bezug auf dieSicherung der Daten (vgl. Karl Fr ö hlich und Ulrike Rie ß , Seite 1).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Ready NAS 300 mit einer Einschubmöglichkeit von 4 Festplatten

von Netgear (Quelle: https://www.amazon.de/dp/B00BLFD2Y4?tag=ps-de-netgear-02-21&m=A3JWKAKR8XB7XF)

2.2 Ist-Zustand

In dem Altenheim Haus Nachtigall wurde zunächst eine Bestandsaufnahme derrelevanten IT-Systeme durchgeführt. Um ein Sicherheitskonzept festzulegensowie zu bewerten, ist es grundlegend in welchem Umfang das Haus Nachtigallein Netzwerk integriert hat und wie die bisherige Datensicherung im Hause erfolgt.Im Folgenden findet sich der Aufbau/Bestand des Unternehmensnetzes in Hinsichtder EDV:

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1: Aufbau/ Bestand des Unternehmensnetzes in Hinsicht der EDV

Hinsichtlich der Datensicherung werden die Daten zunächst nur lokal auf den jeweiligen PCs gespeichert. Bei Zugriff auf den Server zum Arbeiten mit der jeweiligen Software erfolgt das Arbeiten auf dem Server, die dort zwischengespeichert wird. Jedoch erfolgt die darauffolgende Speicherung auf demjeweiligen lokalen PC. Die Weiterleitung der Mitarbeitergehälter bzw.Abrechnungsdateien gilt als Maßnahme der Datensicherung.Gesichert werden einzelne sowie gesammelte Dateien, wie zum BeispielAbrechnungsdokumente auf Sticks. Es findet damit also zurzeit eine sehrungewöhnliche Art der Datensicherung statt. Dokumentation findet teilweise perEDV und auch handschriftlich statt. Ein sogenanntes Backup findet also nur wieerwähnt statt.

Eine zentrale Dateiablage für das Unternehmensnetzwerk besteht nicht. Das Arbeiten erfolgt lokal und die Mitarbeitergruppen haben festgelegte Arbeiten und Dateien, auf die sie Zugriff haben.

2.3 Identifizierung der Schwäche/Optimierungsbereich

Unternehmenswichtige Dateien wie, Pflegedokumentation, Gehaltsabrechnungen,Worddokumente, Excel Tabellen, Qualitätsmaßnahmen werden per emailweitergeleitet und je nach Ermessen des Mitarbeiters/Geschäftsführung auf einenStick gespeichert und dadurch gesichert. USB-Sticks können und lassen sich auchleicht entwenden. Dieses ist die Schwäche der Datensicherung, da im Falle einesAbsturzes/Verlustes keine festzugeordnete und organisierte Sicherung besteht,wie z.B. auf einem abgelegten zentralen System mit automatischer Backup-Funktion. Außerdem sind Arbeiten an den Dokumenten nur lokal möglich. Esbesteht lediglich ein Fernzugriff auf den Server für die Geschäftsführung, der dieGehaltsabrechnungssoftware und Software für das Qualitätsmanagement enthält.Eine zentrale Dateiablage, die notwendig ist, um eine vernünftige Teamarbeit,Organisation und Möglichkeiten und Funktionen der Geschäftsoptimierung bietet,ist nicht vorhanden.

Die Zugriffskontrolle beinhaltet die Aufgabe der Rechteverwaltung und der Zugangskontrolle eines IT-Systems, Mechanismen zur Vergabe von Zugriffsrechten darzustellen. Ebenso bedeutet dies, das System vor nicht autorisierten Zugangsversuchen zu prüfen und zu schützen (vgl. Eckert, 2014, S643.). Hier gibt es 2 Arten von Benutzergruppen. Hier ist die Schwäche in derjetzigen groben Aufteilung der Zugriffskontrollen. Anhand Folgendem Beispiel istdarzulegen:

Die Pflegedienstleitung und die Küchendienstleitung haben mit einem Mitarbeiterlogin Zugriff auf ihre eigenen Aufgabenbereiche, aber auch auf sämtliche andere Dateien, die lokal gespeichert sind. Die Küchendienstleitung könnte Einsicht auf den Teil der Pflegedokumentation Einsicht haben, der mittels PC bearbeitet wird. Es sollten verschiedene Benutzerkonten angelegt werden, in diesem Beispiel wäre eine personalisierte Registrierung sinnvoll.

2.4 Identifikation und Beurteilung der Handlungsalternativen

Da ein Mangel im Bereich der Datensicherung besteht und diese auf alten Systemen basiert, ebenso im Bereich der gemeinschaftlichen Nutzung der Dateienin Bezug auf eine zentrale Dateiverwaltung, gilt es diese zu optimieren. DieMöglichkeit auf die näher eingegangen werden sollte im Vergleich zu der jetzigenMethode ist die Möglichkeit der Einführung eines NAS Systems. Das NAS Systembietet zum einen die Möglichkeit der zentralen Dateiablage sowie ein Fernzugriffauf den NAS und ein Arbeiten in der Cloud ist möglich. Einige NAS Systemebieten den Vorteil der nächtlichen Datensicherung auf z.B. der bereitgestelltenCloud oder auf einer zusätzlichen parallellaufenden Festplatte, die nur zumBackup dient. Dies kann eine externe Festplatte sein sowie eine interneFestplatte, die in eines der häufig mehreren zur Verfügung stehenden Schächtedes NAS installiert ist. Ebenso die Zugriffskontrolle ist mit einem NAS Systemmöglich. Es gilt zwei verschiedene Systemarten die für ein Unternehmen mitkleiner Bürogröße zu vergleichen und zu analysieren.

2.4.1 Einführung ReadyNAS von Netgear in Verbindung mit der Dropbox

Zunächst einmal wird auf das System RN31441E-100EUS von Netgear eingegangen. Netgear besitzt ein NAS System, welches sich hinsichtlich derDatensicherung und Datenfreigabe für kleine Unternehmensnetzwerke eignet.

Dieses NAS-System bietet ausreichende Funktionen, eine mehrfache Datensicherung mit 4 Festplatten sowie eine Netzwerkorganisation, Datenverwaltung sowie Freigabe kann damit realisiert werden. Zusätzlich ist eineEinführung von der Dropbox-Cloud in Erwägung zu ziehen. Es gibtverschiedenste Cloudanbieter, da das System Readynas z.B. mit der Dropbox-Cloud funktioniert und auch vom Hersteller empfohlen wird, gilt es dieserEmpfehlung nachzugehen und die Dropbox als Cloud auszuwählen. DieEinführung der Dropbox Business Cloud funktioniert erst ab einer Nutzerlizenz ab 3 Nutzern, die aber auch minimal notwendig ist hinsichtlich der Benutzerstruktur des Altenheimes. Die Cloud funktioniert in Verbindung mit dem NAS System, da Daten von überall aus gespeichert, abgerufen und synchronisiert werden können. Ebenso bietet es genauso die Zusatzfunktion des Backups in der Cloud (vgl.Netgear Inc, 2017). Im Folgenden ist die Funktionsweise eines NAS Systemsinklusive einer Cloud dargestellt:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Darstellung der Funktionsweise eines NAS Systems inklusive einer Dropbox-Cloud (Quelle: Netgear Grafik, 2017)

Im Folgenden sind die Kosten der Einführung des genannten Systems dargestellt:

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 2: Kostendarstellung der Einführung des Netgear-NAS Systems in

Verbindung mit einer Cloud

[...]