Datensicherungskonzepte

Aus Winfwiki

Wechseln zu: Navigation, Suche

1 Motivationspapier

1.1 Thema

Erarbeiten eines Konzeptes zur Datensicherung am Beispiel der Alpha AG (KMU)

1.2 Themenbegründung

Die zertifizierte Datensicherung gemäß ISO 27001, welche die Einführung und den Betrieb eines Informationssicherheit Management Systems (ISMS) definiert, ist häufig für die KMU's zu komplex und darüber hinaus sehr kostenintensiv. Die Umsetzung der Norm bedarf oft einer umfangreichen Schulung der Mitarbeiter oder die Einschaltung eines externen Dienstleisters für die Planung und Umsetzung.

1.3 Vorgehsweise

Die Fallstudie soll am Beispiel eines Geschäftsprozesses der Alpha AG einen Leitfaden für eine mögliche Datensicherungsstrategie erarbeiten. Dabei wird zunächst der Geschäftsprozess analysiert, um die relevanten Daten zusammen zu stellen. Im späteren Verlauf werden diese bewertet. Anhand der in der Fallstudie erarbeiteten Kriterien lassen sich dann Zeitpunkt, Häufigkeit und andere sicherheitsrelevante Kriterien für die Datensicherung ableiten.

1.4 Literatur

  • Skript Geschäftsprozesse von Prof. Dr. Hötling,
  • Kersten, Heinrich; Reuter, Jürgen; Schröder, Klaus-Werner; IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz; Der Weg zur Zertifizierung
  • Linux-Systemadministration Von Jochen Hein
  • Wirtschaftsinformatik: Entwicklung und Implementation eines Informations- und Kommunikationssystems: Methoden, Prozesse und Technologien - mit ... Beispielen, Repetitionsfragen und Antworten von Kurt Badertscher und Johannes
  • IT-Grundschutz-Katalog des BSI zum Baustein Datensicherungskonzept

2 Titel

Titel der Arbeit: "Datensicherungskonzepte"

Name der Autoren: Juri Glukowski (201688), Andreas Mohr (198217), Sebastian Lenz, Andre Rakowski

Hochschule und Studienort: FOM Berlin

3 Inhaltsverzeichnis

Inhaltsverzeichnis


4 Themenschwerpunkte

Ziel: Erreichen einer zertifizierten Datensicherung für KMU durch eine authorisierte Gesellschaft

Anforderungen definieren: Welche gesetzlichen Vorgaben, Standards oder Vorgaben durch zertifizierende Gesellschaften gibt es?

Allgemeine IT-Sicherheit als Einführung und Datensicherung als deren Bestandteil darstellen

Was, welche Daten müssen gesichert werden, Datenmengen ermitteln - Welche Daten sind allgemein verfügbar und müssen gar nicht mehr im Unternehmen gespeichert werden.

Wie, hier stehen die Themen automatisiert, manuell, geplant und regelmäßig, Verwendet von Standardsoftwarelösungen möglich? Auswahlkriterien festlegen Sind wir durch die MENGE oder ART der Daten in der Datensicherung eingeschränkt?

Wo, Verwendete Hardware und deren Lagerung, räumlich Trennung notwendig,Kosten ?, wenn Auslagerung erfolgen muss wohin, wie, was,....

Wann, Zeitplan, zu fester Uhrzeit, Zeitintervallen oeder Datenmengen

Wer, interne Mitarbeiter oder externe Firma

Kosten / Nutzen betrachten

Risikomanagement, Bewertung der Daten bzw. des Schadens / Auswirkung auf das Unternehmen bei Verlust Ist Analyse / Sollkonzept

5 Einleitung

Die Arbeit zeigt die Probleme und verschiedene Ansätze zur Datensicherung

6 Zusammenstellung der Kriterien für die Sicherungen

Im ersten Schritt bei einer zertifizierten Datensicherung werden die Daten anhand der durch die Zertifizierung festgelegten Kriterien gesammelt.

6.1 Buchungsschritte und anfallende Daten

Buchung einer Reise - Kunde hat sein Ziel ausgesucht! - Unser Beispiel (Kreuzfahrt in China mit Kur auf dem Schiff)


  • Bei der Buchung: Information Kunde --> Veranstalter
  • Adressinformation des Kunden
  • Adressinformationen der Mitreisenden
  • Alter der Kunden
  • Reservierungsdaten (Buchungsdaten)
  • Zustimmung zum Newsletter erhalt
  • Buchungsinformationen
  • Zustimmung zu den AGB

Bild:Winf.png


  • Bearbeitung der Buchung: Information Veranstalter --> Kunde
  • Übergabe von Überweisungsträgern
  • Übergabe vom Bordmanifest
  • Übergabe von Visaantrag
  • Übergabe Arztcheckliste
  • Übergabe Länderinformationen
  • Sicherungsscheine
  • Übergabe Rechnung

  • Bearbeitung Buchung: Information Kunde --> Veranstalter
  • Überweisung durch Kunden
  • Ausfüllen Bordmanifest für Schiffseigner
  • Ausfüllen Visaantrag für Botschaft
  • Ausfüllen Arztcheckliste für Kur
  • Übersendung der Informationen
  • Übersendung Reisepass

  • Bearbeitung Veranstalter Informationen Veranstalter --> Reederei
  • Übersendung von Kabinendaten
  • Übersendung von Bordmanifest
  • Überweisung von Geldern an Reederei

  • Versand der Buchungsinformation --> ausgelagertes Rechenzentrum
  • Reisedaten
  • Kundenadressdaten
  • Statistikinformationen

  • Abschluss der Buchung
  • Dokumentausgabe an Kunden
  • Rückgabe Reisepass
  • Übergabe Schiffsvoucher
  • Übergabe Visum
  • Übergabe Kabinenbestätigung

Antritt der Reise.

6.2 Ermittlung der zu sichernenden Daten

  • Die zu sichernden Daten ermitteln durch Befragungen und Anweisungen durch IT-Verantwortlichen des Kunden.
  • Datenmenge ermitteln
  • Rückspielen der Daten, wie wird die Konsistenz der Daten sichergestellt


ANDRE

6.3 Ermittlung der Art der Daten

Wie häufig werden die Daten gesichert.

Derzeitige Sicherung MO - Fr Nacht jeweils komplett - 1,2 TB beginn 22:00 - Ende 7:00

  • Was sind das für Dateitypen. Sind das z.B. Datenbanken, die im Betrieb gesichert werden müssen?

Wir sichern: Officedokumente, PDF Dokumente (Reisebestätigungen/Rechnungen), Datenbanken, Transaktionsprotokolle, Mails, Faxe

Datenbanken: der SQL Server 2008 erstellt alle 12h eine Sicherung der Datenbank, die Transaktionsprotokolle werden alle 4h geschrieben, Die Datenbanken werden alle 24h auf Tape geschrieben

  • Wie hoch ist der Schaden bei Dateiverlust.

Der schaden kann nicht genau benannt werden, aber über Schadensersatzforderungen usw. wird er ansteigen

  • Wie hoch ist der Schaden, wenn Daten einer 1 stündigen Arbeit verloren gehen?

umsatz täglich 150000€ davon können 75000€ wieder aktiviert werden --> Verlust bei Systemstillstang > 6000€ / h

  • Sicherheitsrelevanz der Daten

Personenbezogene Daten - sind Sicherheitsrelevant

6.4 Ermittlung die Hardware, auf der die Daten liegen

  • Liegen die Daten auf "normalen" Festplatten oder auf Wechsellaufwerken vor?

Die Daten liegen im Betrieb auf einem SAN mit Raid 1 vor, die Sicherungsdateien und Transaktionsprotokolle liegen im SAN auf Raid 5, danach liegen die Daten 4 Wochen auf Tape vor

  • Liegen die Daten auf verschlüsselten Laufwerken vor?

nein

  • Liegen die Daten an unterschiedlichen Standorten vor?

ja, an unterschiedlichen Standorten, im Haus verteilt und außer Haus

6.5 Sicherungshäufigkeit

  • Ermittlung der Häufigkeit der Sicherung ausgehend vom möglichen Datenverlust und durch den Kunden angegebenen Relevanz der Daten für den Firmenbetrieb.

6.6 Festlegung der Vorgehensweise bei der Datenrestaurierung

  • Randbedingungen für das Datensicherungsarchiv

Das Datensicherungsarchiv sollte außerhalb der Geschäftsräume der Wörlitz Tourist GmbH liegen. Dadurch soll vermieden werden, dass bei Feuerschaden oder Naturkatastrophen ein Datenverlust auftritt. Ferner ist eine Bedingung an die Sicherung, die Aufteilung von Sicherungsmedien auf mehrere Standorte um bei einem Datenverlust an einem der Standorte einen Totalverlust zu vermeiden. Die Medien mit den Sicherungsdateien sind in einem Feuersicheren Schrank zu lagern. Zusätzlich ist das Archiv durch Wachschutz gegen Diebstahl zu sichern.

  • Vertragsgestaltung (bei externen Archiven)

Der Vertrag ist so zu gestalten, dass im Falle des Verlustes von Sicherungsdaten der Betreiber des Archivs zur Haftung und Schadensersatz heranzuziehen ist. Den Verantwortlichen der Wörlitz Tourist GmbH ist der Zugang zu den Archivräumen rund um die Uhr zu gestatten.

  • Bestandsverzeichnis

Die Datenträger sind zu beschriften und durchzunumerieren. Es ist zu dokumentieren auf welchem Datenträger welche Daten in welchem Zeitraum gespeichert sind, um im Notfall schnell das richtige Medium auffinden zu können. Das Bestandsverzeichnis ist in elektronischer Form abzulegen (Excel tabelle). Dadurch wird die Suche und Sortierung erleichtert.

  • Löschen von Datensicherungen

Das Löschen der Sicherung ist abhängig von der Art der Daten durchzuführen. Die Personenbezogenen Daten sind möglichst zeitnah nach der Vertragserfüllung zu löschen, um den Bestimmungen des Datenschutzes gerecht zu werden. Rechnungsdaten und Vertragsdaten sind gemäß der Richtlinien des Bundes 10 Jahre aufzubewahren.

  • Vernichtung von unbrauchbaren Datenträgern

Die Datenträger, vor allem solche, die personenbezogene Daten beinhalten, sind sicher zu vernichten, um die Wiederherstellungsgefahr und Mißbrauchsgefahr zu minimieren. Grundlage hierfür bildet die Norm DIN 32757-1. Die Norm schreibt mehrere Sicherheitsstufen vor, die durch die Partikelgröße der zu vernichtenden Datenträgern definiert sind. Es wird eine Norm von 300 Quadratmillimetern bei Festplatten und 200 Quadratmillimetern bei CDs oder DVDs vorgeschrieben. Hierzu sind entsprechende Geräte anzuschaffen.

  • Vorhalten von arbeitsfähigen Lesegeräten

Zur schnelleren Wiederherstellung sind mehrere Lesegeräte in der It-Abteilung vorzuhalten. Zusätzliche Geräte sollten im Archiv deponiert werden, um mögliche Verzögerungen bei der Wiederherstellung durch den Ausfall von Geräten in der IT-Abteilung zu vermeiden. Die Funktionstüchtigkeit der Geräte ist in zyklischen Abständen zu überprüfen.

Persönliche Werkzeuge