Erstellung eines Sicherheitskonzeptes für ein Unternehmen der Call-Center-Branche

Aus Winfwiki

Wechseln zu: Navigation, Suche
Namen der Autoren: C. G., Vivien Tölke
Titel der Arbeit: "Erstellung eines Sicherheitskonzeptes für ein Unternehmen der Call-Center-Branche"
Hochschule und Studienort: FOM Berlin

Inhaltsverzeichnis

1 Abkürzungsverzeichnis

AbkürzungBedeutung
ACDAutomatic Call Distribution
CTIComputer-Telephone-Integration
EXEexecutable
IPInternet Protocol
IVRInteractive-Voice-Response
NASNetwork Attached Storage
MTBFMean Time Between Failures
PGPPretty Good Privacy
POPPost Office Protocol
RAIDRedundant Array of Independent Disks
SANStorage Area Network
S/MIMESecure/Multipurpose Internet Mail Extensions
SSLSecure Socket Layer
TSLTransport Layer Secure
UCEUnsolicited Commercial Email
VBSVisual Basis Script
WANWide Area Network

2 Abbildungsverzeichnis

NummerAbbildungsname
1Übersicht der Call-Center Arten
2Faktoren der Ausgangssituation
3„Schutzklassen und Ressourcen“
4Übersicht Erdgeschoß
5Übersicht 1. Obergeschoß
6„Badewannenkurve“
7Ergebnis der Sicherheitsmaßnahmen

3 Tabellenverzeichnis

NummerTabellenname
1Risiko- und Schadenskategorien
2bauliche Schutzobjekte
3technische Schutzobjekte
4personelle Schutzobjekte
5Ermittlung des Call-Center-Schadens pro Stunde
6Kosten für Monitormodelle
7Kosten für Tastaturmodelle
8Kosten für Festplattenmodelle
9Kosten für Switchmodelle
10Kosten für Gatewaymodelle

4 Einleitung

Die Branche der Call-Center und Dialogmarketing-Agenturen ist durch Maßnahmen des Datenschutzes in jüngster Zeit besonders stark geprägt. Nicht selten werden äußerst sensible Daten durch Call-Center transferiert, gespeichert und bei Bedarf abgefragt. Im Rahmen eines Call-Center-Gespräches werden wichtige Daten, wie Bankverbindung oder Telefonnummer, bearbeitet oder gespeichert. Dies erfordert daher eine besondere Beachtung der Datenschutzrichtlinien. Hohe Personalmengen und eine meist hohe Fluktuation an Mitarbeitern stellen das Einhalten datenschutzrelevanter Aspekte besonders in den Vordergrund, außerdem werden Kontrollorgane und Sicherheitssysteme vor eine komplexe Herausforderung gestellt. Der quantitativ notwendige Einsatz von hochwertigen Sachanlagen, wie PCs oder Telefonanlagen bedürfen eines besonderen Schutzes vor Eindringlingen von Außen.

Auf Grundlage dieser Punkte soll diese Arbeit der besonderen Herausforderung gerecht werden, ein Sicherheitskonzept für ein besonders datenschutzbedürftiges Unternehmen, wie ein Call-Center, zu erstellen. Ziel ist es den besonderen Ansprüchen der Zertifizierungsnorm DIN ISO 27001 gerecht zu werden.

Zu Beginn der Arbeit wird ein Abriss zu Technologien im Call-Center gegeben und eine Beschreibung der Situation im praktisch betrachteten Unternehmen dargestellt. Folgend werden Risiko und Schaden analysiert. Dabei wird in bauliche, technische und personelle Risiken sowie Schäden unterschieden. Aus den gewonnenen Ergebnissen findet eine Evaluierung der Maßnahmen für alle Bereiche statt und es wird abschließend ein Maßnahmenkatalog erstellt, welcher die zu realisierenden Maßnahmen darstellt.

5 Technologie eines Call-Centers

In den nächsten drei Abschnitten wird als erstes ein Überblick über die eingesetzten Technologien in Call-Centern gegeben. Als zweites wird allgemein auf die technologische Umgebung in Call-Centern eingegangen. Abschließend wird die praktische Situation in der VFRservices näher beschrieben.

5.1 Überblick

Nach Angaben des Call-Center-Forum Deutschland e.V. arbeiten derzeit 435.000 Beschäftigte in Deutschland in Call-Centern. Das entspricht 1,1 Prozent aller Erwerbstätigen in Deutschland. 5.700 Call-Center existieren bereits in Deutschland, welche einen Gesamtumsatz von 12 Milliarden Euro pro Jahr realisieren. Diese Gesamtheit der Zahlen lässt darauf schließen, dass die Call-Center-Branche sich zu einem wesentlichen Wirtschaftszweig entwickelt hat.[1] Die Abbildung 1 zeigt, welche Differenzierungen zu treffen sind, im Folgenden wird auf diese näher eingegangen.

Eine der Unterscheidungen bezieht sich auf die Organisation des jeweiligen Call-Centers. Das heißt, auf der einen Seite sind die Inhouse-Call-Center zu finden. Diese werden in jener Unternehmung betrieben und administriert, für welche Sie inhaltlich bestimmt sind. Sie sind in die Aufbauorganisation des Unternehmens integriert und gelten als einer der Schnittstellen zwischen Kunde und Unternehmen. Ein typisches Beispiel ist ein Kundenservice-Center innerhalb der Struktur einer Bank oder eines Versandhauses. Auf der anderen Seite sind die Call-Center-Dienstleister zu nennen. Diese bearbeiten innerhalb einer Projektstruktur Call-Center-Dienstleistungen für unterschiedliche Unternehmen. Vor allem im Rahmen von Outsourcing-Projekten kommen Call-Center-Dienstleister zum Tragen. Sie bringen die fehlende Kompetenz in der Kundenkommunikation mit sich und bieten den Vorteil von flexiblen Kosten.

Abbildung 1: Übersicht der Call-Center Arten
Abbildung 1: Übersicht der Call-Center Arten

Funktional sind zwei Bereiche voneinander abzugrenzen, der Inbound-Bereich und der Outbound-Bereich. Inbound umfasst alle Thematiken, welche durch anzunehmende Anrufe entstehen. Häufige Beispiele sind eine Kundenservice-Hotline oder eine Bestellannahme per Telefon. Der Bereich des Outbounds ist durch ausgehende Anrufe gekennzeichnet. Vertriebsunterstützende Maßnahmen, wie telefonischer Nachfass einer Postwurfsendung, oder Zufriedenheitsbefragungen im Nachgang eines KFZ-Werkstatt-Besuchs sind als anschauliche Beispiele hierbei zu erwähnen.

Die Unterscheidung in diese beiden Sektoren ist nicht nur aus organisatorischer Sicht sinnvoll, sondern auch aus technischer Sicht. In Abhängigkeit der Kundenanforderung ist die gestellte Aufgabe im Inbound oder Outbound zu lösen und wird durch unterschiedliche technische Lösungen realisiert. Je nach funktionaler Zuordnung wird ein Client-Server-System zur technischen Realisierung eingesetzt. Alle Mitarbeiterplätze sind in der Mehrheit der Call-Center an ein Serversystem gebunden, auf welchen alle Bewegungsdaten und notwendigen inhaltlichen Informationen gespeichert oder abgerufen werden. Des Weiteren existiert eine Telefonanlage, welche jegliche telekommunikativen Abläufe technisch realisiert. Aus der geschichtlichen Historie heraus, sind dies meist Unternehmen, in denen physische Anlagen vorhandenen sind. Der Trend zeigt, dass diese Anlagen immer mehr virtualisiert werden. Diese Unterscheidung wird im folgenden Abschnitt näher erläutert.

5.2 Technologische Umgebung

Die besondere Herausforderung der Technologie dieser Branche ist erstens die Kommunikation zwischen dem Agenten (operativer Mitarbeiter des Call-Centers) und dem externen Gesprächspartner technisch zu realisieren und zweitens den Agenten mit den übrigen Prozessen im Unternehmen zu verbinden. Eine der zentralen Technologien im Call-Center ist die Automatic Call Distribution (ACD). Diese dient generell zur automatischen Verteilung und Organisation von eingehenden Anrufen. Das heißt, durch eine ACD-Anlage können Warteschlangen-Längen oder Regeln eingerichtet werden, nach welchen Kriterien die Anrufe verteilt werden. Eng damit verbunden ist das Interactive-Voice-Response-System (IVR). Vor allem bei wiederholenden Anfragen und häufig identisch gestellten Fragen unterschiedlicher Anrufer gibt es durch das IVR-System die Möglichkeit, den Anrufer durch eine elektronische Menüstruktur zu führen. Das heißt, der Anrufer wird durch gezielte Fragestellungen, welche als Sprache elektronisch ausgegeben werden, zur Lösung seines Anliegens geführt. Die Beantwortung der elektronischen Fragen kann der Anrufer durch Tastendruck oder Spracheingabe vollziehen. Meist ist dieses IVR-Menü mit einer ACD verbunden, so dass der Anrufer bei Nichtlösen seiner Fragestellung die Option hat, direkt mit einem Call-Center-Agenten zu sprechen.

Im Bereich des Outbounds wird ein Dialer zur Unterstützung beim Abarbeiten großer Adressbestände genutzt. Hier ist der häufig verwendete Predictive Dialer zu nennen. Dieser realisiert mehr Outbound-Anrufe als Agenten zur Verfügung stehen, sortiert Anrufbeantworter und Besetzt-Zeichen aus und verbindet Agent und externen Gesprächspartner erst bei zustande kommen einer Verbindung. Dies hat den Sinn der Erhöhung der Produktivität.

Sowohl bei Outbound-Anrufen mit Dialer-Lösung, als auch bei Inbound-Anrufen mit ACD-Lösung, gibt es eine lokale oder eine virtuelle Realisierung. Dies bedeutet, dass bei einer lokalen Umsetzung die Hardware der jeweiligen Anlage direkt in das Gesamtnetzwerk des Unternehmens integriert ist und physisch für das betreffende Unternehmen vorhanden ist. Im Rahmen der virtuellen Lösung kann sich der Agent über ein Internet-Portal als Client anmelden und nutzt alle Funktionen identisch mit der lokalen Lösung. Einziger Unterschied ist, dass die Hardware zentral von einem Anbieter verwaltet wird und nicht dem nutzenden Unternehmen physisch zur Verfügung steht.

Das Gesamtsystem wird umrahmt von einer Computer-Telephone-Integration-Anwendung (CTI), die die Verknüpfung zwischen Telefon und Computer herstellt. So ist es möglich bei eingehenden Anrufen durch Rufnummernerkennung je nach Anrufer oder in Abhängigkeit zum Projekt, am Computer des jeweiligen Mitarbeiters durch eine Call-Center-Software die richtigen Informationen zum Führen des Gespräches zur Verfügung zu stellen. Im Outbound-Bereich werden bei erfolgreicher Verbindung mit dem Gesprächspartner die jeweiligen Bestandsdaten angezeigt, welche im Gespräch durch neue Daten angereichert werden.[2] [3]

5.3 Praktische Situationsbeschreibung

Der technologische Aufbau der VFRservices basiert zum Einen auf einem Ethernet, bei welchem die PCs mit den dazugehörigen Servern verbunden sind, zu den Servern gehören mehrere Daten- und Email-Server. Zum Zweiten setzt das Call-Center ein Telefonanlagesystem ein, welches die einzelnen Telefonapparate verwaltet. Dabei werden eingehende Anrufe einstellungsabhängig zugeteilt und ausgehende Anrufe korrekt ausgegeben. Beide Systeme sind über eine CTI verbunden. Die CTI ermöglicht die Verbindung von PC-Hardware bzw. Software mit dem Telefonanlagesystem. Ergänzend zur Telefonanlage wird ein Dialer-System zur Optimierung der ausgehenden Anrufe verwendet.

Diese komplexe Infrastruktur besteht insgesamt aus 260 bis 280 Arbeitsplätzen unterschiedlicher Kategorien. Dabei ist zu unterscheiden in Kundenberater-Arbeitsplatz und administrativem Arbeitsplatz. Der Kundenberater-Arbeitsplatz ist dabei mit den nur notwendigen Zugangsberechtigungen und Programmen ausgestattet. So werden über eine Whitelist nur projektrelevante Websites dem Kundenberater zur Verfügung gestellt. Des Weiteren steht lediglich die benötigte Call-Center-Software am Arbeitsplatz zur Nutzung bereit. Weitere Zugänge und Programme stehen nicht zur Verfügung.

Hingegen ist ein administrativer Arbeitsplatz durch mehr Zugangsberechtigungen und Programminstallationen gekennzeichnet. Je nach organisatorischer Stufe der administrativen Tätigkeit sind diese Berechtigungen unterschiedlich und auf unterschiedliche Bereiche begrenzt. Es kann von dieser Kategorie Arbeitsplatz stets auf alle seriösen Websites zugegriffen werden, um einem flexiblen Arbeitsablauf zu gewährleisten. Alle Computer dieser Kategorie sind von ihren Leistungsmerkmalen deutlich besser ausgestattet, um der Komplexität der Aufgaben, welche mit diesen Geräten gelöst werden müssen, gerecht zu werden. Die unterschiedlichen Kategorien und Berechtigungsmuster als auch die unterschiedlichen Bedürfnisse an Leistungsmerkmalen ergeben eine komplexe Infrastruktur, welche im Rahmen dieses Sicherheitskonzepts in die Betrachtung einfließt.

Abbildung 2: Faktoren der Ausgangssituation
Abbildung 2: Faktoren der Ausgangssituation

Im Rahmen des Datenschutzes und der Informationssicherheit wird in der VFRservices eine Zertifizierung nach ISO 27001 für IT-Sicherheit umgesetzt. Unter diesem Rahmen ist das zu erstellende Sicherheitskonzept zu betrachten. Im Zusammenhang mit dieser Zertifizierung wurde untersucht, inwieweit der Informationssicherheits-Prozess den Anforderungen des ISO 27001 gerecht wird. Die zu Grunde gelegte Vorgehensweise beinhaltet dabei das Nachvollziehen des Sicherheitsmanagements und das Prüfen der Anforderungen an das Infomationssicherheits-Managmentsystem hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit. Unterstützend zu dieser Zertifizierung wurde das vorliegende Sicherheitskonzept erstellt, um Optimierungspotenziale in Bezug auf Sicherheit in den baulichen, technischen und personellen Bereichen zu identifizieren, zu kategorisieren und gegebenenfalls Gegenmaßnahmen zu ergreifen.

In Abbildung 2 ist die Ausgangslage zu der VFRservices grafisch zusammengefasst. Als Call-Center Dienstleister muss für die Kunden eine hohe Verfügbarkeit teilweise von bis zu 24 Stunden am Tag gewährleistet werden. Für einige Kunden wie Banken muss Datensicherheit garantierten werden. Aufgrund der vielen Arbeitsplatzarten in dem Call-Center kann von einer komplexen IT-Infrastruktur gesprochen werden. Um alle drei Punkte gleichzeitig zu gewährleisten fehlt aktuell ein Sicherheitssystem, welches auf Basis des Sicherheitskonzeptes erarbeitet werden soll.

6 Risiko- und Schadensanalyse

In Anlehnung an: Müller (2005), S. 57. Abbildung 3: „Schutzklassen und Ressourcen“
In Anlehnung an: Müller (2005), S. 57. Abbildung 3: „Schutzklassen und Ressourcen“

In Abbildung 3 sind die zu analysierenden Schutzklassen und Ressourcen dargestellt. Die grün dargestellten Objekte werden in der folgenden Risiko- und Schadensanalyse betrachtet. Objekte mit der Farbe rot werden nicht betrachtet, da es zum einen keine freien Mitarbeiter bei VFRservices gibt und das Know-how bereits auf mehrere Köpfe verteilt ist. Es wird außerdem davon ausgegangen, dass ausreichend finanzielle Mittel zur Verfügung stehen, um die Maßnahmen dieses Sicherheitskonzeptes umzusetzen. Folgend wird in drei Teilgebieten das Risiko und der Schaden analysiert. Beginnend mit den baulichen Aspekten werden Einbruchs- und Elementarrisiken betrachtet. Der zweite Teilbereich umreißt technische Risikopunkte. Dabei wird vertiefend auf die Materie der Hardwareschäden eingegangen, außerdem wird der Schaden an der Software berücksichtigt. Das letzte Teilgebiet betrachtet Risiken und Schäden die durch personelle Einflüsse entstehen können. Dabei steht vor allem der Datendiebstahl im Vordergrund sowie handlungsbedingte Risiken. In dem vorliegenden Sicherheitskonzept wird unter einem Risiko ein Zustand oder Ereignis verstanden, welches mit einer bestimmten Wahrscheinlichkeit eintreten kann und eine Gefahr für das Call-Center bedeutet[4]. Des Weiteren wird unter einem Schaden eine negative Folge aufgrund eines Ereignisses verstanden[5].


6.1 Baulich

Bauliche Gegebenheiten sind häufig eine nachhaltige meist schwer veränderliche Größe. Vor allem wenn das Unternehmen selbst nicht Eigentümer des Objektes ist, Mietern stehen nur eingeschränkte Möglichkeiten zum Eingriff in die baulichen Gegebenheiten zur Verfügung, ohne diese mit dem Besitzer abzustimmen. Wenn Möglichkeiten bestehen, handelt es sich um kostenintensive Investitionen, welche wesentliche Aufmerksamkeit geschenkt werden sollte. Im Folgenden werden nun Ausführungen gemacht, welche Risiken im Zusammenhang mit der baulichen Situation sowohl durch Einbruch und Elementarschäden bestehen.

6.1.1 Einbruch und Diebstahl

Im zu bearbeitenden Praxisbeispiel liegt eine bauliche Situation vor, die sich über mehrere Etagen eines Gewerbemiethauses erstreckt. Wie aus Abbildung 4 und 5 zu erkennen ist dienen sowohl das Erdgeschoß als auch Obergeschossräumlichkeiten dazu das Gewerbe zu betreiben. Die einzelnen Etagen sind dabei nicht innerhalb der Räumlichkeiten verbunden und können über einzelne separate Eingänge betreten werden. Hier ist festzustellen, dass es zwar mehr kritische sicherheitsrelevante Zugangsstellen, wie Türen und Fenster gibt, welche durch den öffentlichen Bereich des Treppenhauses zugänglich sind, aber gleichzeitig das Risiko minimiert wird, einen gesamtheitlichen Schaden zu erleiden.

Abbildung 4: Übersicht Erdgeschoß
Abbildung 4: Übersicht Erdgeschoß
Abbildung 5: Übersicht 1. Obergeschoß
Abbildung 5: Übersicht 1. Obergeschoß

In Bezug auf einen Einbruch ist es dementsprechend für einen potenziellen Täter aufwandsärmer durch eine zentrale Tür einzudringen und Zugang zu allen wertrelevanten Gegenständen zu haben. Das heißt, die gegebene Situation senkt den potenziellen Schaden eines Einzeleinbruchs, aufgrund der Mehrfachzugänge, insgesamt.

6.1.1.1 Diebstahl von Sachanlagen

Im Falle eines Einbruchs sind verschiedene Schadenszenarien zu bedenken und das Gesamtrisiko zu analysieren. Dabei ist der Materialschaden durch Diebstahl von Sachanlagen ein wesentlicher Punkt. Mit dem Betrieb eines Call-Centers geht eine hohe PC-Dichte einher. Es existieren meist Großräumlichkeiten zwischen 200 und 500 Quadratmetern, welche mit mehreren Dutzend PCs ausgestattet sind. Dies ist im betrachteten Unternehmen der Fall. Wenn sich jemand Zugang zu diesen Räumlichkeiten verschafft, ist davon auszugehen, dass mit einer Entwendung des klassischen Diebesguts zu rechnen ist und zeitweise dem Call-Center die Arbeitsgrundlage entzogen wird, da eine professionelle Abwicklung eines Call-Center-Projektes ohne PC-Unterstützung nicht realisierbar ist. Somit wäre ein doppeltes Schadensrisiko festzustellen. Auf der einen Seite durch den Wert der Sachanlage selbst und auf der anderen Seite bei produktionsrelevanten Sachanlagen der Ausfallschaden bis zur Neubeschaffung.

6.1.1.2 Einbruch durch Fensterschlag

Weitere Schadenspotenziale sind Türen und Fenster selbst. Im Rahmen eines Einbruches kann es hier durch den Einbuchsvorgang zu Schäden kommen. Besonders gefährdete Einbruchsstellen sind Zugangsmöglichkeiten im Erdgeschoß. Hier bedarf es Sicherheitsmaßnahmen, die den erleichterten Einstieg vermeiden. In Bezug auf die VFRservices ist festzustellen, dass durch die Erdgeschoßräumlichkeiten ein besonderes Risiko besteht, welches die Fenster betrifft. Durch die erheblich große Menge an Fensterfronten im Erdgeschoßbereich, wird das Einbruchs-Risiko durch Fensterschlag als wahrscheinlich eingestuft. Dementsprechend ist die Schadensmöglichkeit durch Fensterschlag hervorzuheben. Dies betrifft nicht nur Schäden bei einem Einbruch selbst, sondern auch Schadensmöglichkeiten durch Vandalismus.

6.1.1.3 Datendiebstahl bei Einbruch

In Hinblick auf Datenschutz und Datensicherheit ist dem Datendiebstahl im Zusammenhang mit einem Einbruch Beachtung zu schenken. Allgemein ist dabei zu analysieren, wo die Daten gespeichert werden. Eine dezentrale Speicherung an Arbeitsplätzen ist dabei nicht zu empfehlen, da die Daten in diesem Fall nicht in einem sicherheitstechnisch kontrollierbaren, abgrenzbaren Bereich vorliegen und die Mißbrauchsrate erheblich erhöht ist. Da bei der VFRservices in der Gesamtheit alle sicherheitsrelevanten Daten nicht lokal gespeichert werden, sondern zentral über ein Client-Server-System, ist dieser besondere sicherheitsrelevante Aspekt der Gefahren einer lokalen Speicherung nicht weiter gegeben. Die Server sind mit den jeweiligen Daten in einem separat gesicherten Serverraum hinterlegt. Es ist in erster Instanz ein niedriges Risiko bezüglich des Datendiebstahls festzustellen, da der jeweilige Serverraum eine entsprechende Sicherung durch PIN-geschützte Zugangskontrollen vorweist.

Im Regelfall ist vorrangig bei einem Einbruch davon auszugehen, dass das Motiv des Einbruchs das Entwenden von Wertgegenständen ist, da die meisten Täter aus finanzieller Not und zur Erhaltung des Lebensstandards handeln.[6] Der gezielte Diebstahl von Daten spielt im Rahmen eines Einbruchs oft eine untergeordnete Rolle. Dennoch sollte eine Datenentwendung durch entsprechende Sicherheitsmaßnahmen im Bereich des Serverraumes abgewendet werden, da bei einem etwaigen Datendiebstahl ein Drittschaden, beispielsweise bei Missbrauch von Bankdaten, eintreten kann. In der Praxis zeigt sich dies durch Zugangsbeschränkungen der Datenbereiche für einen engen Mitarbeiterkreis.

Im Rahmen des Datendiebstahls sollte des Weiteren dem Schaden Beachtung geschenkt werden, welcher durch Datenverlust entsteht, bei Entwendung lokaler Geräte wie PCs. Hier können durch benutzerspezifisches Verhalten sicherheitsrelevante Daten lokal gespeichert sein. Dies kann vor allem bei Arbeitsplätzen mit administrativem Charakter vorkommen. Lokal gespeicherter Email-Verkehr kann in diesem Zusammenhang wichtige Daten enthalten. Aus diesem Zusammenhang bedarf es einem besonderen Schutz der administrativen Arbeitsplätze. In der Praxis ist ein mittelgroßes Risiko festzustellen. Das Entwenden von administrativen Rechnern ist lediglich durch den Verschluss einer Standardtür des jeweiligen Raumes gesichert und durch eine zentrale Alarmanlage.

6.1.1.4 Diebstahl während der Geschäftszeiten

Die oben gefertigten Risiko- und Schadensanalysen basierten unter der Voraussetzung, dass ein Einbruch nachts oder unter Abwesenheit aller Mitarbeiter geschieht. In die Betrachtung ist ein mögliches Eindringen eines externen Diebes während der Geschäftszeiten einzubeziehen. Um dies zu verhindern bedarf es besonderer Sicherheitsmaßnahmen im laufenden Betrieb, da aufgrund der regulären Arbeit sicherheitsrelevante Räumlichkeiten durch den betriebsbedingten Bewegungsstrom an Mitarbeitern eine niedrigere physische Absicherung, beispielsweise durch abgeschlossene Türen, erhalten können als außerhalb der Geschäftszeiten. Hier stellen die Schnittstellen Fenster und Tür einen wesentlichen Faktor dar. In der Praxis fehlt die Kontrolle durch ein elektronisches Zugangssystem. Aktuell wird den Mitarbeitern durch Sichtkontakt Zutritt gewährt. Hier tritt durch das menschliche Versagen eine Risikoerhöhung ein, die vor allem das spontane Entwenden von einzelnen Sachgegenständen betrifft. Das Risiko des Stehlens von mehreren PCs oder gesamten Systemen ist hier als niedrig einzustufen, da dies im laufenden Betrieb zu hoher Aufmerksamkeit führen würde, welche den Diebstahl unmöglich macht.

Das spezielle Stehlen von Daten erlangt einen höheren Risikofaktor im laufenden Betrieb des Call-Centers. Dabei ist zu beachten, dass während des Arbeitens mit sensiblen Daten von Anrufern der Sicht- und Akustikkontakt durch externe Dritte vermieden wird. Der ungehinderte Einblick von Außen durch nicht sichtgeschützte Fenster, beispielsweise im Erdgeschoß, kann zum Entwenden von Daten führen. Das Mithören von Gesprächen durch nicht akustisch geschützte Räume kann zu Datendiebstahl führen. Im Rahmen der Schadensanalyse ist der Umfang des Schadens in solchen Fällen von der Qualität der Information abhängig. Ein entstehender Schaden ist nicht zwingend direkt auf das Unternehmen zu beziehen, sondern entsteht bei Dritten. Demzufolge ist das Risiko als vorstellbar einzustufen und eine mittlere Schadenskategorie festzuhalten.

6.1.2 Elementarrisiken

Gebäude sind den Risikofaktoren der Elemente ausgesetzt. Durch das ständig wachsende Bedürfnis an Strom, Wärme und Wasser wächst auch das Risiko etwaiger Schäden an den jeweiligen Versorgungssystemen. Geophysikalische Voraussetzungen im Umfeld der Unternehmung sind zu betrachten und risikoorientiert zu beurteilen.

6.1.2.1 Umgebungsanalyse

Hochwassergefahren, Lawinen, Erdrutsche oder die Nähe zu Bergwerken sind in die Risikoanalyse einzubeziehen. Des Weiteren ist zu analysieren inwieweit die Unternehmung in direkter Nähe zu Risikoorganisationen wie einem Flughafen oder einem Kraftwerk steht.[7] Sowohl die relevante Nähe zu Bergwerken, Kraftwerken als auch zu Flughäfen kann ausgeschlossen werden, da sich das Unternehmen innerhalb eines urbanisierten Bereiches befindet, in welchem derartige Organisationen nicht angesiedelt sind. Lawinen und Erdrutsche sowie Hochwasser können aufgrund der Umgebungsstruktur nahezu ausgeschlossen werden und können mit einer sehr niedrigen Eintrittswahrscheinlichkeit beurteilt werden.

Ein spezielles Risikopotenzial für diese Unternehmung besteht in dem Umstand, dass das Mietgebäude an eine sehr stark befahrene Straße inklusive Straßenbahnverkehr grenzt. Da sich Büroräumlichkeiten im Erdgeschoß befinden, besteht ein mögliches Gefahrenpotenzial für diese Räumlichkeiten im Falle eines Unfalles vor allem mit Lastkraftwagen oder Straßenbahnen.

Das Gesamtrisikopotenzial für die VFRservices wird betrachtet, hier ist von einer geringen Risikoeintrittswahrscheinlichkeit auszugehen. Die Schadenskategorie wäre bei Eintritt als groß einzustufen, da von erheblichen Schäden am Gebäudebestand und Inventar auszugehen ist.

6.1.2.2 Wasserschaden

Im Falle eines Rohrbruches ist mit einem Wasserschaden zu rechnen. Hierbei ist eine Unterscheidung zwischen den einzelnen Unternehmensbereichen, in Bezug auf das Risiko, zu treffen. Im Bereich des Serverraumes ist ein Wasserschaden zwingend zu vermeiden. Das Eindringen von Wasser und der Kontakt zwischen Wasser und zentraler Servertechnik erzeugen einen erheblichen Gesamtschaden bis hin zum Totalausfall des Systems und der Stilllegung der Produktion. Da alle Vorgänge und Daten über diese zentralen Servereinheiten abgewickelt werden, ist dies ein besonders sensibler Bereich in Bezug auf Wasserschäden. In Rahmen von Wasserschäden in Produktionsräumlichkeiten oder Führungskräfte-Zimmern ist das Risiko insoweit zu beurteilen, dass ein vereinzelter Schaden an PCs auftreten kann und durch eventuelle Rekonstruktionsmaßnahmen der Bausubstanz Teilbereiche zeitweilig nicht für die operative Arbeit zur Verfügung stehen. Ein Schaden am Gesamtsystem ist nicht wahrscheinlich. Die Eintrittswahrscheinlichkeit ist als vorstellbar einzustufen und die Schadenskategorie als hoch zu beurteilen.

6.1.2.3 Blitzschlag

Ein weiterer zu betrachtender Risikofaktor ist ein Blitzschlag. Bei einem System, welches keinen Überspannungsschutz besitzt, ist das Risiko eines Totalausfalls des Systems bei einem Blitzeinschlag als hoch einzuschätzen. Einen Überspannungsschutz schützt das Gerätesystem vor Schädigung durch einen Blitzschlag. In der VFRservices ist solcher Überspannungsschutz bereits integriert. Somit ist eine Risikobeurteilung bezüglich eines Blitzschlages als niedrig einzuschätzen.

6.1.2.4 Sturmschaden

Sturmschäden sind ein weiteres Risiko, welches zu analysieren ist. Hier könnte es durch Glasbruch oder herumfliegende Gegenstände im Umfeld des Gebäudes zu Schäden kommen, je nach Beschaffenheit des Gebäudes durch Einwirkung des Sturmes direkt am Gebäude. Da sich die betrachteten Räumlichkeiten in einem aus Stahl konstruierten Gebäudekomplex befinden, sind Sturmschäden nur an Risikopunkten wie Fenstern zu erwarten. Hier kann im Falle eines Sturmes mit Fensterbruch durch unkontrollierten Flug von Ästen oder ähnlichen Gegenständen gerechnet werden. Die Risikoeintrittswahrscheinlichkeit ist als gering einzustufen.

6.1.2.5 Wasserausfall

Im Rahmen der Elementarrisiken sind Heizungs-, Strom- oder Wasserausfall als Risiko zu betrachten. Ein Frischwasserausfall sollte keine direkte Schadensauswirkung haben. Bei einem längeren Ausfall der Wasserzufuhr ist mit einem Produktionsausfall zu rechnen, da die Hygieneversorgung der Mitarbeiter nicht gewährleistet wäre und nach §37 Arbeitsstätteverordnung "Toiletten und Handwaschbecken (Toilettenräume) zur Verfügung zu stellen"[8] sind.

Insgesamt ist das Risiko als vorstellbar einzustufen, da durch Materialermüdung und Einfluss Dritter außerhalb des Gebäudes, welcher nicht gänzlich auszuschließen ist, von einer mittleren Eintrittswahrscheinlichkeit auszugehen ist. Im Falle des Eintretens ist mit einer mittleren Schadenshöhe zu rechnen, da durch schnelle Schaffung von Alternativen, wie Ersatztoiletten, der Schaden begrenzbar ist.

6.1.2.6 Heizungsausfall

Das Risiko eines Heizungsausfalls ist abhängig vom Zeitraum des Ausfalls und von den Witterungsbedingungen zum Ausfallzeitpunkt. Setzt man die ungünstigsten Witterungsbedingungen voraus, wie sie in Wintermonaten mit -20 Grad Celsius Lufttemperatur herschen, so ist das Risikopotenzial abhängig von der Länge des Ausfalls. Bei einem längeren Ausfall ist mit einem direkten Schaden der Elektronik durch Gefrierung und durch Tauung des Kondenswassers sowie einem Produktionsausfall durch widrige Arbeitsbedingungen zu rechnen. Im betrachteten Unternehmen sind an dieser Stelle Maßnahmen zu entwickeln, die das Risiko minimieren.

Besonderer Beachtung bei der Auswahl der Maßnahmen ist dem Serverraum zu geben. Hier kann durch entstehendes Kondenswasser ein nachhaltiger Hardware-Schaden an Servern und Telefonanlage entstehen. Durch die installierte Klimaanlage kann von einer konstanten Temperatur im Serverraum ausgegangen werden. Somit ist im Falle des Heizungsausfalls nicht mit Kondenswasser im Serverraum zu rechnen. Das Gesamtrisiko ist als vorstellbar einzustufen und es ist von einer geringen Schadenskategorie auszugehen, da in den Produktionsräumen alternative Maßnahmen, wie elektrisch betriebene Heizkörper, als kurzfristig realisierbar anzusehen sind.

6.1.2.7 Stromausfall

Stromausfall ist hingegen ein wesentlicher Faktor, welcher sich direkt auf die Funktionsfähigkeit von Servern und allen, für den Geschäftsablauf wichtigen, Geräten auswirkt. Daher ist im Rahmen des gesamtheitlichen Mietkonzeptes des Gebäudes ein Notstromaggregat installiert, welches dem Risikopotenzial Rechnung trägt und einen Komplettausfall der Produktion beziehungsweise eine Schädigung der Serversysteme verhindert.

Da bereits Maßnahmen, wie ein Notstromaggregat, zur Verhinderung von dauerhaften Stromausfällen getroffen sind, kann von einem geringen Risiko durch Stromausfall ausgegangen werden. Ein möglicher Stromausfall ist mit der Schadenskategorie „groß“ zu beziffern, da dies Auswirkungen auf produktionsrelevante Komponenten, wie Daten-Server, hätte und keine Telefonie möglich wäre.

6.1.2.8 Feuer

Ein weiteres bauliches Risikopotenzial ist durch entstehende Brandherde zu sehen. In den allgemeinen Büroräumlichkeiten wird dem Brandschutz bereits insofern Rechnung getragen, dass jegliche Möblierung aus feuerhemmenden Material besteht. Des Weiteren herrscht Rauchverbot und die Lagerung von brennbaren Stoffen wird unterbunden. Ein Brandmeldesystem steuert zusätzlich zur frühzeitigen Branderkennung und zum allgemeinen Brandschutz bei. Ein Risiko ist im Brandschutz des Serverraumes zu sehen. Hier kann der nötige Brandschutz durch das Fehlen eines CO2-Feuerlöschers, zum Löschen von Elektronik-Bränden, nicht gewährleistet werden. Insgesamt ist die Risikokategorie als vorstellbar einzustufen. Da der mögliche Eintrittsort vor allem die Serverräumlichkeiten betritt, ist von einer mittleren Schadenskategorie auszugehen.

6.2 Technisch

In einem Call-Center besteht für die Technik das Risiko eines Ausfalls oder eines Schadens. Der Zeitpunkt des Ausfalls von technischen Komponenten geht mit dem Ausfall von Arbeitskräften einher. In so einem Fall können die Mitarbeiter nicht arbeiten. Als erstes wird eine kleine Einführung in die Verfügbarkeit von Komponenten gegeben. In den Unterkapiteln wird anschließend auf die Verfügbarkeit von Hardware- und Softwarekomponenten eingegangen.

In Anlehnung an: Bundesamt für Sicherheit in der Informationstechnik (2009), http://www.bsi.de/fachthem/hochverfuegbarkeit/1_2_Definitionen.pdf, S. 12. Abbildung 6: „Badewannenkurve“
In Anlehnung an: Bundesamt für Sicherheit in der Informationstechnik (2009), http://www.bsi.de/fachthem/hochverfuegbarkeit/1_2_Definitionen.pdf, S. 12. Abbildung 6: „Badewannenkurve“

Als erstes wird an dieser Stelle kurz dargestellt, wie sich die Fehlerquote von Komponenten im Laufe ihres Einsatzes entwickelt. Anhand der Badewannen Kurve aus Abbildung 6 wird das Prinzip der Fehlerquote deutlich. In der Anfangsphase liegen Material-, Bediener- oder Softwarefehler vor, deshalb ist die Fehlerquote relativ hoch. Nach der Einführungsphase sinkt die Fehlerquote auf eine gewisse Zahl und bleibt konstant. Erst mit Ermüdungserscheinungen steigt die Fehlerquote wieder an.[9] Für die Verfügbarkeit von Hardware und Software bedeutet dies, dass neue Komponenten erst eine Testphase durchlaufen sollten, bevor sie produktiv eingesetzt werden. Wenn keine Zeit für eine Testphase zur Verfügung steht, muss in der Einführungsphase mit einer gewissen Ausfallquote gerechnet werden. Außerdem sollten Komponenten noch vor dem Auftreten von Alterserscheinungen aus dem produktiven Einsatz entfernt werden und durch neuere Komponenten ersetzt werden.

6.2.1 Hardwareschäden

Die Betrachtung von Hardwareschäden geht mit der Verfügbarkeit dieser einher. Um Hardwarekomponenten für den Endbenutzer transparent in Hinblick auf die Verfügbarkeit darzustellen, wurde die Mean Time Between Failures (MTBF) eingeführt. Die MTBF gibt die Stundenzahl an, wie lange eine Komponente vor einem Ausfall zur Verfügung steht.[10] Bei einer Kaufentscheidung von Hardwarekomponenten empfiehlt es sich, bei entscheidenden Komponenten, auf eine hohe MTBF zu achten. Im Folgenden werden die Hardwareschäden in Bezug auf die Telefonanlage sowie Rechner- und Netzwerkkomponenten näher betrachtet.

6.2.1.1 Telefonanlage

Der Ausfall einer Telefonanlage führt einem Call-Center einen extrem hohen Schaden zu, der sich nicht nur auf das Unternehmen selbst beläuft, sondern einen negativen Einfluss auf das Image des Auftraggebers der Call-Center-Dienstleistung hat. Da die Telefonanlage neben den Mitarbeitern die primäre Komponente in einem Call-Center darstellt, ist darauf zu achten, dass hier eine hochverfügbare Anlage zum Einsatz kommt. Die Wartungsverträge für eine schnelle Wiederherstellung der Funktionalität sollten eine sehr kurze Reaktionszeit aufweisen. Gegebenenfalls ist eine Ersatzanlage zur Verfügung zu stellen. Das Risiko des Ausfalls der Telefonanlage ist bei VFRservices gegeben und würde zu einem großen Schaden führen, aus diesem Grund müssen hierfür entsprechende Maßnahmen betrachtet werden.

6.2.1.2 Rechnerkomponenten

In der heutigen Zeit werden fast alle Tätigkeiten mit Hilfe von Rechnern durchgeführt, so dass der Mensch von der Funktionsfähigkeit der Rechner abhängig ist.[11] Im Folgenden wird der Schaden betrachtetm, der durch den Ausfall einzelner Rechnerkomponenten verursacht wird.

Bei einem Rechner kann aufgrund von Materialfehler, Alterserscheinungen oder Erschütterungen ein Festplattencrash verursacht werden. Dieser Crash kann bei einem lokalen Arbeitsplatzrechner auftreten und dort einen Datenverlust von lokal gespeicherten Daten verursachen. Gemäß den Arbeitsanweisungen dürfen keine Geschäftsdaten auf der lokalen Festplatte gespeichert werden. Aus diesem Grund muss keine Datensicherung der Arbeitsplatzrechner bei der VFRservices erfolgen. Der eintretende Schaden ist gering, da er auf den Arbeitsausfall des Mitarbeiters begrenzt ist. Der Agent hat bei Ausfall des Rechners im analysierten Call-Center die Möglichkeit für einen kurzen Zeitraum die Informationen aus den Telefonaten auf Papier zu notieren oder sich an einen anderen Arbeitsplatz zu setzen, falls einer zur Verfügung steht.

Der Ausfall eines Monitors oder der Eingabegeräte wie Tastatur oder Maus verursacht einen Schaden der genauso hoch ist wie bei einem lokalen Festplattenausfall. Bis zur Behebung des Problems ist nur der betroffene Agent nicht zu 100 Prozent leistungsfähig. Die Beschaffung von jeglichen Ersatzgeräten dauert bei VFRservices von der Entscheidung bis zur Lieferung ungefähr zwei Wochen.

Um den Schaden so gering wie möglich zu halten, ist es sinnvoll für die Ausfallwahrscheinlichkeit eine bestimmte Anzahl von Eingabegeräte vorzuhalten. Auf diese Weise kann ein sehr schneller Austausch der betroffenen Hardware erfolgen und der Mitarbeiter kann seiner Arbeit wieder nachgehen.

Ein Festplattenausfall in einem Server hat viel größere Auswirkungen, da durch die Mitarbeiter nicht auf die nötigen Daten zugegriffen werden kann. Zur Vorbeugung sollten die Festplatten auf einem Server im RAID (Redundant Array of Independent Disks) betrieben werden, entweder 1-0 oder 5 oder andere Kombinationen, bei denen die ausgefallene Platte nicht den Betrieb beeinträchtigt. Der Einsatz eines Network Attached Storage (NAS) oder Storage Area Networks (SAN) stellen zwei weitere mögliche Maßnahmen dar. Bei VFRservices werden die Server bereits im RAID betrieben, so dass der Schaden als mittel eingestuft werden kann, denn es entstehen nur Kosten für den Austausch der defekten Festplatte und/oder ggf. Wartungskosten für das Wiederherstellen der Daten. Ein NAS kommt für die VFRservices nicht in Betracht, da die aktuell eingesetzten Festplatten bisher nur zu 50 Prozent ausgelastet sind und kein Bedarf für zusätzliche Speicherkapazitäten besteht. Der Einsatz eines SANs wird nicht näher betrachtet, da die Lese- und Schreiboperationen in der gewünschten Geschwindigkeit erfolgen und hier keine Optimierung für die nächste Zeit vorgesehen ist. Außerdem fehlt bei der VFRservices das nötige Fachwissen um ein SAN zu betreiben. Die Kosten für die Nutzung eines SAN sind teuer und rechtfertigen für das Call-Center nicht den damit verbundenen Nutzen.[12]

Das Risiko für den Ausfall einer Festplatte ist trotz der bereits umgesetzten Maßnahme vorhanden.

Ein wesentlich gravierender Schaden entsteht beim Ausfall eines Motherboards oder bei der Überhitzung eines Prozessors. Bei einem lokalen Arbeitsplatzrechner ist der hier eintretende Schaden genauso hoch wie bei einem Festplattenausfall. Tritt dieser Schaden bei einem Server auf, so kann auf die Daten oder die bereitgestellte Software nicht mehr zugegriffen werden und die Call-Center-Mitarbeiter können, für die Zeit des Ausfalls des Servers, die eingehenden Anrufe nicht entsprechend bearbeiten. Zur Minimierung des Schadensrisikos sollten die Server in einem Cluster betrieben werden, so dass ein ausgefallener Server sofort durch seinen Clusterpartner ersetzt werden kann. Der Schaden bei Ausfall der Server ist bei VFRservices geringer als der Ausfall der Telefonanlage, da die Agenten für eine gewisse Zeit ohne Computer arbeiten können. Der Serverraum ist bei VFRservices mit einer Klimaanlage ausgerüstet, wodurch das Risiko einer Prozessorüberhitzung nur noch im Falle eines Ventilatorausfalls auftreten kann und dies ist aufgrund des Betriebssystems und des BIOS als unwahrscheinlich anzusehen. Die Server werden im betrachteten Call-Center nicht im Cluster betrieben, so dass ein Motherboard-Ausfall zu einem gleich hohen Schaden wie bei einem Prozessorausfall führt. Das Risiko für den Ausfall eines Motherboards ist aufgrund der neuen Hardware als unwahrscheinlich zu klassifizieren.

6.2.1.3 Netzwerkkomponenten

Wenn ein Kabel aufgrund von zu starker Biegung bricht oder durch einen Nageschaden zerstört wird, können die angeschlossenen Netzkomponenten nicht miteinander kommunizieren. Tritt der Kabelschaden nur zwischen einem Arbeitsplatzrechner und einem Switch auf, beläuft sich der Schaden nur auf den Arbeitsplatzausfall. Wenn hingegen ein Kabel zwischen zwei Switchen ausfällt, ist ein ganzes Netzsegment betroffen und der Schaden deutlich höher. Im schlechtesten Fall ist das Kabel zum Server betroffen, so dass bei Servern mit nur einer Netzwerkkarte das gesamte Call-Center betroffen ist. Um diesen Ausfall zu vermeiden, werden Server für gewöhnlich mit zwei Netzwerkkarten ausgestattet, so dass der Kabelausfall keinen Schaden verursacht. Der Großteil der Kabel verläuft bei VFRservices in dafür vorgesehenen Kabelkanälen, die sich in Bodentanks oder Deckenkonstruktionen befinden, so dass das Risiko als unwahrscheinlich einzustufen ist. Mit einem vorstellbaren Risiko sind die langen Kabel zu den Arbeitsplätzen und an den Übergangsstellen zu betrachten. Der entstehende Schaden wird je nach betroffener Stelle von gering bis groß klassifiziert, so dass im Durchschnitt von einem mittleren Schaden auszugehen ist.

Der Ausfall einer Netzwerkkomponente wie einem Switch verursacht je nach betroffenem Netzwerksegment einen sehr hohen Schaden. Bis zum Austausch des Switches können die betroffenen Arbeitsplatzrechner nicht miteinander kommunizieren und den Server nicht erreichen. Daten die bis zum Ausfall nicht vollständig übertragen wurden, gehen verloren. Die Folge ist, dass den Agenten die Infrastruktur zum Arbeiten fehlt. Um den Schaden durch den Ausfall eines Switches so gering wie möglich zu halten, sollten viele kleine Netzwerksegmente aufgebaut werden. Die Netzsegmente sind bei der Firma VFRservices in kleine Segmente aufgeteilt, so dass der eintretende Schaden für eine kleine Gruppe an Angestellten spürbar ist. Die Agenten können vorübergehend ohne Computer arbeiten, hingegen benötigt der Vertriebsbereich ein funktionierendes Netz. Die Beschaffung eines Switches kann vom Ausfall bis zum Einsatz ungefähr drei Wochen an Zeit beanspruchen, so dass der eintretende Schaden als hoch klassifiziert wird. Das Risiko des Ausfalls kann als vorstellbar betrachtet werden, da es sich um neue Komponenten handelt. Ähnlich wie ein Switch ausfallen kann, besteht die Wahrscheinlichkeit, dass das Gateway zum Internet ausfallen kann. Der entstehende Schaden kann nicht genau beziffert werden, denn zum einen in so einem Fall keine Email-Kommunikation möglich ist und zum anderen können keine Internetseiten aufgerufen werden. In der Firma VFRservices sind beim Ausfall des Gateways der Vertriebsbereich und Agenten aus Spezialprojekten betroffen. Das Risiko für den Ausfall des Gateways wird als vorstellbar betrachtet, da die eingesetzte Hardware erst das erste Viertel der MTBF erreicht hat. Der Schaden für den Vertriebsbereich ist als mittel einzustufen, da dieser in seinem Arbeitsablauf vollständig unterbrochen wird und mit Kunden keine Emails und wichtige Dokumente austauschen kann. Agenten in speziellen Projekten benötigen für die Arbeit die Schnittstelle zur Außenwelt, so dass der Schaden ebenso auf mittel kategorisiert werden kann.

6.2.2 Schäden durch Software

Der Betrieb eines Call-Centers kann durch Softwareschäden erheblich beeinträchtigt werden. Hierbei kann zwischen Angriffen über das Internet, jegliche Arten von schädlichen Programmen und dem Ausfall von Software unterschieden werden. Ein anderer Schaden der durch Software entstehen kann, ist die Manipulation von Daten oder das Ausspionieren oder sogar löschen von Daten, aufgrund von Sicherheitslücken bei der Verwendung von Software. Im Folgenden wird auf die genannten Punkte eingegangen.

6.2.2.1 allgemeine Gefahren

Für das Versenden von Emails werden standardmäßig Post Office Protocol (POP) und Simple Mail Transfer Protocol (SMTP) verwendet. Beide Protokolle wurden zu einer Zeit entwickelt, in welcher das Internet noch einen überschaubaren Nutzerkreis und eine geringe Anzahl an Email-Servern hatte. Aus diesem Grund erfolgt bei beiden Protokollen keine Verschlüsselung der übertragenen Daten. Bei POP werden Benutzername und Passwort im Klartext übertragen. Wenn jemand erst einmal im Besitz der Zugangsdaten zu einem Email-Account ist, kann er zum einen Emails versenden und zum anderen Emails lesen und abfangen. Als kleine Sicherheitsmaßnahme genügt es bereits für eine verschlüsselte Übertragung des Passworts mittels SSL (Secure Socket Layer) oder TLS (Transport Layer Secure) zu sorgen. Die gängigsten Email-Server ermöglichen die Verwendung dieser Protokolle. Auf diese Weise kann eine verschlüsselte Übertragung der Nachricht zum Email-Server erfolgen, allerdings liegt die Nachricht auf dem Server im Klartext vor. Falls der Empfänger der Nachricht kein Protokoll zur Verschlüsselung der Daten auf der Transportschicht wie SSL oder TLS verwendet, werden die Daten an dieser Stelle im Klartext über das Internet gesendet. Die einzige Möglichkeit die Daten von Emails sicher zu transportieren stellt die Verschlüsselung auf der Applikationsschicht dar. Hierbei wird die Nachricht beim Sender verschlüsselt und anschließend beim Empfänger entschlüsselt. Auf diese Weise wird bei OpenPGP (Pretty Good Privacy) sicher gestellt, dass lediglich Sender und Empfänger der Nachricht die Inhalte lesen können. Voraussetzung für die Nutzung von PGP ist der Austausch eines Schlüsselpaares. Als Alternative kann S/MIME (Secure Multipurpose Internet Mail Extensions) verwendet werden, hierbei wird die Email verkryptet und signiert. Für die Verwendung von S/MIME wird ein Zertifikat von einer Certificate Authority benötigt. Problematisch stellt sich hier die Erlangung eines Zertifikates dar, denn die Certificate Authorities verlangen teilweise Geld für diesen Dienst. Aus diesem Grund hat sich S/MIME bisher noch nicht so stark verbreitet.[13] Beim Umgang mit Emails, müssen die Benutzer über die Sicherheitsmechanismen informiert und entsprechend sensibilisiert werden.

Zum einen führt VFRservices regelmäßig Schulungen für ihre Mitarbeiter durch, um diese im Bereich der Sicherheit regelmäßig zu sensibilisieren. Zum anderen wird GnuPG zur Verschlüsselung des Email-Verkehrs eingesetzt. Aufgrund der bereits umgesetzten Maßnahmen ist das Risiko als unwahrscheinlich einzuschätzen. Der mögliche Schaden kann als groß angesehen werden, da mögliche Dritte Vertragsdaten oder andere Firmeninterne Daten abfangen könnten und der Firma einen Imageschaden zuführen könnten.

Ein häufiges Problem in der Praxis stellt die Inkompatibilität von Softwarekomponenten dar. Zur Verhinderung dieses Problems kann nur durch Testinstallationen überprüft werden, wie sich die Komponenten untereinander verhalten, bevor sie für den produktiven Betrieb zum Einsatz kommen. Häufig stellen Softwarehersteller Kompatibilitätslisten zur Verfügung. Wenn im Testbetrieb Probleme auftreten, so sind diese den Herstellern zu melden und ggf. wird ein Fix oder Update für das Problem bereitgestellt.

Das zu betrachtende Call-Center hat für die einzelnen Tätigkeitsgruppen spezielle Software-Images erstellt, um die Software-Kombinationen minimal zu halten. Bevor eine neue Software installiert wird, erfolgt ein ausführlicher Test der Software auf einem Testrechner. Anschließend wird in der Produktion nur eine geringe Anzahl an Rechnern mit der neuen Software ausgerüstet, so dass die Software in einer Pilotphase weiter überprüft wird. Erst wenn diese beiden Testphasen erfolgreich bewältigt wurden, wird die Software auf den erforderlichen Rechner installiert. Durch dieses Vorgehen ist das Risiko des Konfliktes von Softwarekomponenten in der Produktion als unwahrscheinlich zu sehen. Der Schaden ist durch dieses Vorgehen als gering einzustufen.

Der Ausfall von Software in einem Call-Center kann sich auf unterschiedliche Weise gestalten. Zum einen besteht die Möglichkeit, dass lediglich auf einzelnen Rechnern Programme ausfallen. Der hier entstehende Schaden ist relativ gering. Hingegen ist bei einem Ausfall einer Datenbank, auf welche alle Call-Center-Mitarbeiter zugreifen, der Schaden erheblich höher, da alle Mitarbeiter betroffen sind. Zur Vorbeugung des Ausfalls von Servern, durch welche Software oder Datenbanken zur Verfügung gestellt werden, ist der Betrieb der Server in Clustern empfehlenswert. Bei Clustern wird zwischen kalten und warmen Clusterswitches unterschieden. Bei einem kalten Clusterswitch muss nach dem Ausfall des Servers noch manuell auf den anderen Clusterpartner umgeschaltet werden. Ein warmer Clusterswitch erfolgt automatisch und erfordert normalerweise kein manuelles eingreifen.

Da die VFRservices keine redundanten Software-Server betreibt, ist das Risiko für das Auftreten eines Softwarefehlers, welcher zum Ausfall dieser Software führen kann, als vorstellbar zu betrachten. Der Schaden kann als mittel klassifiziert werden, da das gesamte Call-Center bis zur Beseitigung nicht oder nur eingeschränkt arbeiten kann.

6.2.2.2 Gefahren von innen

Netzwerke mit Zugang zum Internet können unter anderem durch Viren, Würmer und Trojaner geschädigt werden. Bis zum Jahre 1999 waren Makroviren stark verbreitet. In der damaligen Zeit erfolgte die Verbreitung von Viren durch den Austausch von Datenträgern. Heute hingegen ist die Bedrohung durch Würmer erheblich höher, da der Datenaustausch zum großen Teil über Email erfolgt. Ein Virus kann den Bootsektor, Dateien oder Verzeichnisse befallen und diese manipulieren.[14] Unter einem Trojaner ist ein Programm zu verstehen, welches durch ein anderes Programm mitinstalliert wird oder durch eine Sicherheitslücke im Browser durch den Aufruf einer gefährlichen Internetseite ausgeführt wird. Ein Trojaner verfolgt zum einen das Ziel Informationen von einem Rechner auszuspionieren oder den Rechner als Virenschleuder oder Spam-Relay zu nutzen.[15] Der Anteil an Spam oder Unsolicited Commercial Email (UCE) genannt, beläuft sich bereits auf 90 Prozent der empfangenen Emails. Der wirtschaftliche Schaden, der durch den enorm hohen Spamanteil entsteht ist enorm. Denn zwischen allen Emails befinden sich wichtige Nachrichten, die die Anwender identifizieren müssen und das kostet wichtige Arbeitszeit. Spam-Nachrichten können Links auf gefährliche Internetseiten enthalten, deshalb sollten sie auf gar keinen Fall geöffnet werden oder ein Link betätigt werden oder gar auf Antworten geklickt werden.[16] Emails können Anhänge enthalten, in welchen ausführbare Programme enthalten sind, die den Rechnern einen Schaden zuführen, in so einem Fall wird von einem Wurm gesprochen. Die Dateiendung der schädlichen Anhänge lautet meistens *.vbs (Visual Basic Script) oder *.exe (executable) und sind durch eine doppelte Erweiterung wie .jpg oder .txt getarnt. Zur Erkennung der Dateiendung sollte die Standardeinstellung zum Ausblenden bekannter Dateiendungen deaktiviert werden.[17]

Zum Schutz vor Spam und Würmern sollte der Lesebereich bei Emails im Posteingang deaktiviert werden, um ein Öffnen der Email zu verhindern und das ggf. enthaltene Skript nicht auszuführen. Zusätzlich sollte der Anwender darauf achten, dass er nur Anhänge von vertrauten Personen öffnet und Emails von Unbekannten mit merkwürdigem Betreff sollten sofort gelöscht werden.

Gegen Viren, Trojaner, Spam, Würmer und andere schädliche unerwünschte Programme sollten Antivirenprogramme installiert werden, die regelmäßig - am besten in Echtzeit - aktualisiert werden und in regelmäßigen Abständen den gesamten Rechner scannen. Das Antivirenprogramm sollte eine Wächterfunktion enthalten, mit welcher im Hintergrund die Datenträger und Dateien überwacht werden. Außerdem sollte die Software in das Email-Programm eingebunden werden, um Würmer, Viren und Spam zu erkennen.[18]

Die VFRservices setzt bereits Antivirenprogramme zum Schutz vor Gefahren von innen ein. Hierbei werden auf den Servern und den Arbeitsplatzrechnern Produkte von unterschiedlichen Herstellern eingesetzt, um eine hohe Trefferquote zu erlangen. Falls das eine Produkt den Virus nicht kennt, besteht die Möglichkeit, dass das andere Produkt die schädliche Software aufspürt. Durch diese Vorgehensweise ist das Risiko für einen Schaden als unwahrscheinlich einzustufen. Der entstehende Schaden kann als hoch eingeschätzt werden, da im schlechtesten Fall die Server mit der ACD oder CTI ausfallen und dann das gesamte Call-Center nicht produzieren kann.

6.2.2.3 Gefahren von außen

Bei einem Angriff über das Internet werden Sicherheitslücken in der installierten Software ausgenutzt. Ein Angreifer meldet sich über einen gehackten oder ausspionierten Benutzernamen mit dazugehörigem Passwort auf einem Call-Center-Rechner an und startet einen Dienst, über welchen er seinen Angriff weiter ausbaut. Zur Vermeidung von solchen Angriffen sollten Dienste und Programme die nicht benötigt werden, entweder deinstalliert oder gesperrt werden. Dienste können so konfiguriert werden, dass sie lediglich über einen bestimmten Rechner aufgerufen werden. Diese Vorgehensweise wird als Härten bezeichnet und stellt eine wichtige Sicherheitsmaßnahme dar, um Schwachstellen in Systemen zu schließen.[19] Unternehmensnetzwerke die mit sensiblen Daten arbeiten, so wie es in diesem Call-Center-Unternehmen der Fall ist, besitzen für den Zugang zum Internet Black- und White-Listen. Auf den Black-Listen sind alle Internetseiten gespeichert, zu denen keine Verbindung hergestellt werden darf. Auf diese Weise kann der Zugang zu gefährlichen Internetinhalten unterbunden werden. White-Listen gestatten es bestimmte Internetseiten zu besuchen. Aufgrund der Tatsache, dass sich die Internetpräsenzen sehr schnell ändern, müssen beide Listen immer aktuell gehalten werden und es muss immer wieder überprüft werden, ob eine Seite weiterhin zur White-Liste gehört oder ob der Inhalt bereits gefährliche Programme enthält, von denen eine Gefahr für das Unternehmen ausgehen könnte. Im analysierten Call-Center existieren sowohl Hardware- als auch Softwarefirewalls, die einen Angriff von außen verhindern sollen. Die eingesetzten Server und Arbeitsplatzrechner sind stark gehärtet, so dass nur notwendige Dienste bereitstehen. Die Administratoren der VFRservices überarbeiten in regelmäßigen Abständen die Black- und White-Listen. Aufgrund der bereits durchgeführten Maßnahmen wird das Risiko für einen Angriff als unwahrscheinlich eingeschätzt. Ein eintretender Schaden wird als hoch eingestuft, da ein Angriff die notwendige Software-Infrastruktur beschädigen kann.

6.3 Personell

Im Rahmen der Risikoanalyse sind die Gefahren, welche dem Unternehmen drohen, auf externe und interne Ursachen zurückzuführen.

Das umschließt im Wesentlichen die personellen Risiken. Diese können zum einen durch bewusstes schädigendes Handeln oder durch handlungsbedingte Fehler entstehen. Der Datendiebstahl und die Datensicherheit spielen in diesem Zusammenhang eine wesentliche Rolle.

6.3.1 Datendiebstahl durch Mitarbeiter

Täglich arbeiten circa 90 Prozent aller Mitarbeiter von VFRservices mit sensiblen und schutzbedürftigen Daten. Bei einer Mitarbeiteranzahl von ungefähr 400 Personen muss davon ausgegangen werden, dass ein Gefahrenpotenzial durch Datendiebstahl existiert. Eine Gefahrenerweiterung stellt der, im Verhältnis zu anderen Branchen, hohe Anteil an Mitarbeitern mit einem niedrigen finanziellen und sozialen Niveau dar. Dementsprechend ist die Motivation zur Selbstbereicherung durch Datendiebstahl als hoch zu beurteilen. Demzufolge sind alle relevanten Möglichkeiten zu betrachten, wie ein Mitarbeiter Daten entwenden könnte um diese zu verwerten.

6.3.1.1 Verwendung von Audio- und Videogeräten

Besonders risikorelevant sind moderne Audio- und Videogräte. So ist es zwingend notwendig diese persönlichen Geräte von den Arbeitsplätzen fern zu halten. Der Mitarbeiter darf nicht in der Lage sein, ein Mobilfunkgerät an seinem Arbeitsplatz zu nutzen. Da diese meist mit einer Fotokamera und Audioaufnahmefunktionen ausgestattet sind, können diese zum bewussten Aufnehmen und Abfotografieren von Daten genutzt werden. Andere datensichernde Geräte wie USB-Sticks und externe Festplatten sind nicht durch den Mitarbeiter am jeweiligen Arbeitsplatz zu nutzen. Dies gilt auch für Laptops und ähnliche Geräte.

Schadenspotenzial in diesem Zusammenhang besteht darin, dass sensible Kundendaten nach Außen getragen werden können und zum einen das Image und die Seriosität der VFRservices geschädigt werden könnte und zum anderen der Auftraggeber aufgrund fehlender Vertraulichkeit das Vertragsverhältnis kündigen könnte.

In der VFRservices sind Sicherheitsmaßnahmen durch Arbeitsanweisungen umgesetzt, die ein Verbot von derartigen Geräten am Arbeitsplatz und etwaige Geldbußen darstellen. Eine direkte Aufbewahrungsstelle und Kontrollmaßnahmen sind nicht eingerichtet. Somit ist ein Missbrauch nicht auszuschließen und die Risikowahrscheinlichkeit als vorstellbar einzuschätzen. Dementsprechend könnten Folgen, wie Auftragskündigung und Imageschädigung eintreten.

6.3.1.2 Verwendung von USB-Ports

In diesem Zusammenhang ist der USB-Port am Arbeitsplatz selbst als Risikoschnittstelle zu beurteilen. Aufgrund der Raumstruktur mit großen Flächen und bis zu 100 Mitarbeitern im Raum ist es durch einen Mitarbeiter verhältnismäßig einfach einen USB-Stick an dem jeweiligen Port zu platzieren. Dies gilt es durch geeigneten Maßnahmen zu verhindern. An dieser Stelle ist die Schädigung in ähnlicher Weise zu beurteilen, wie bei Nutzung von Audio- und Videogeräten. Sowohl ein Image-Schaden als auch ein Auftragsschaden sind denkbare Szenarien. Im betrachteten Unternehmen sind durch Sperrung der USB-Ports und die Passwortverschlüsselung der BIOS-Oberfläche bereits notwendige Maßnahmen ergriffen, um die Risikoeintrittswahrscheinlichkeit zu minimieren. Es kann von einem unwahrscheinlichen Eintritt ausgegangen werden.

6.3.1.3 Verwendung eines CD-ROM-Laufwerks

Ein weiterer Risikopunkt ist ein CD-ROM-Laufwerk. Durch dieses können keine Daten entwendet werden, aber schädigende Programme können installiert werden, welche über einen anderen Kanal Datendiebstahl möglich machen, indem sie zum Beispiel Firewalls deaktivieren oder andere Sicherheitslücken erzeugen. Diesem Problem ist Rechnung zu tragen. Schädigungen können vor allem durch Datendiebstahl, mit den Folgen eines Image- oder Auftragsschadens, entstehen. In der praktischen Umsetzung sind Call-Center-Agenten-Arbeitsplätze ohne CD-ROM-Laufwerk ausgestattet. Lediglich administrative Arbeitsplätze haben die Möglichkeit einer Verwendung eines CD-ROM-Laufwerkes. In der Gesamtbetrachtung ist die Eintrittswahrscheinlichkeit des Risikos als unwahrscheinlich einzustufen, da die Nutzer administrativer Arbeitsplätze einen begrenzten, besonders geprüften Nutzerkreis darstellen.

6.3.1.4 Risikofaktor externe Personen

Als Risikofaktor sind externe Dienstleister und externe Besucher zu betrachten. Häufig sind Sie sich der Datenschutzbedürftigkeit im Call-Center nicht bewusst und tragen dadurch unbewusst Daten mit nach außen. Der bewusste Datendiebstahl kann durch Dritte eintreten. Hierbei ist sicherzustellen, dass alle IT-Anbindungen zu Dritten nicht zum Datendiebstahl missbraucht werden können.

In diesem Zusammenhang ist von einem vorstellbaren Risiko auszugehen, da die Handlung und Informationsweitergabe von Dritten schwierig erfassbar und nachvollziehbar ist. Der Missbrauch von Daten durch externe Personen kann vor allem ganzheitliche Imageschäden und damit Kunden- und Umsatzverluste erzeugen. Die Schadenskategorie „groß“ wird diesem möglichen Existenz bedrohenden Faktor gerecht.

6.3.1.5 Backup-Diebstahl

Als letztes ist ein wesentliches Risikopotenzial anzumerken. Bei Datensicherung durch Datensicherungsbänder muss stets eine sichere Aufbewahrung, für die nicht im Server befindlichen Bänder, gewährleistet sein. Sollte an dieser Stelle eine Entwendung stattfinden, ist ein Datendiebstahl aller unternehmensweiten Daten zu beklagen. Dies ist zwingend zu vermeiden. Bei der VFRservices ist dies als besonderes Risikopotenzial zu beachten, da eine Stelle zur Sicherung der Streamer-Kassetten nicht zur Verfügung steht.

6.3.2 Handlungsbedingte Risiken

Handlungsbedingte Risiken können durch fehlerhaftes Handeln von Mitarbeitern entstehen. Dabei wird kein bewusstes schadhaftes Handeln vorausgesetzt, sondern das Risiko betrachtet, welches durch fehlerhaftes Handeln auf Grund von Unwissenheit oder fehlender fachlicher Kompetenz entsteht. In der Betrachtung sollen Bedienfehler stehen, welche beim Nutzen jeglicher Arbeitsmittel auftreten können. Die Datenlöschung kann durch fehlerhafte Handlungen entstehen. Des Weiteren ist der Faktor des Schlüsselverlustes als handlungsbedingtes Risiko zu betrachten und zu beurteilen.

6.3.2.1 Bedienfehler

Ein Risikopotenzial stellt das Auftreten von Bedienfehlern an Hardware-Geräten und Software-Produkten dar. Durch die falsche Anwendung von Programmen kann es zur Abspeicherung von falschen Daten kommen, welches einen Schaden erzeugen kann. Zum Beispiel nimmt ein Call-Center-Mitarbeiter eine Bestellung auf und setzt den Anruf auf den Status "Kunde wollte Produktinformationen". Damit wird die Bestellbearbeitung nicht ausgelöst und der Datensatz wird ohne Information an Folgestufen abgespeichert. Im schlimmsten Fall wird der Bestellumsatz nicht realisiert und es tritt ein Umsatzschaden für den Projektauftraggeber und die VFRservices ein, da eine etwaige vereinbarte Bestellprovision nicht realisiert wird.

Des Weiteren sind vor allem an administrativen Arbeitsplätzen Risiken durch Bedienfehler zu sehen. Durch die erweiterten Zugangsberechtigungen und eingeräumten Installationsrechte kann es durch falsche Installation oder falsch angepasste Einstellungen zu Schäden oder Reparaturaufwenden kommen.

Als Folge von Bedienfehlern kann das Risiko der Datenlöschung auftreten. Hierbei werden durch unwissendes Handeln der Datenbestand oder einzelne Datensätze gelöscht. Vor allem an administrativen Arbeitsplätzen ist dies besonders zu berücksichtigen.

Insgesamt ist festzuhalten, dass das Eintreten von Bedienfehlern als wahrscheinlich einzuschätzen ist. Der entstehende Schaden ist als gering einzustufen, da durch die Schutzmechanismen, wie Backup-Systeme und Automatisieren von Vorgängen keine größeren Schadensereignisse zugelassen sind.

6.3.2.2 Schlüsselverlust

Ein besonders zu betrachtendes handlungsbedingtes Risiko ist der Schlüsselverlust. Da dieser meist im gesamten Tagesablauf und im Privatbereich mitgeführt wird, untersteht dieser höheren Verlustrisikos. Der Verlust des Schlüssels erzeugt unmittelbar ein Ansteigen des Einbruchversuches. Dementsprechend ist eine hohe Schadenskategorie festzustellen, da sich durch den Finder des Schlüssels ein hohes Schadensrisiko durch Dritte ergibt. Es sind Maßnahmen zu ergreifen, welche im Falle eines Schlüsselverlustes schnellstmöglich das Einbruchsrisiko minimieren. Gleichzeitig sind Maßnahmen zu ergreifen, die den internen Aufwand, und damit den Schaden des Schlüsselverlustes minimieren.

Bei der VFRservices kann davon ausgegangen werden, dass ein Risiko durch Schlüsselverlust als vorstellbar anzusehen ist. Der eintretende Schaden ist als hoch einzustufen.

6.4 Risiko- und Schadenskategorisierung

Die einzelnen möglichen Risiken werden in einer Tabelle zusammengefasst, dabei wird für die Klassifizierung des Risikos mit dem Schaden ein Punktewert gemäß der Tabelle 1 vergeben. Dieser wird multiplikatorisch zu einer Risiko-Schadenskategorie zusammengefasst.

Schaden gering mittel groß
Risiko Punkte 0 1 2
unwahrscheinlich 0 0 0 0
vorstellbar 1 0 1 2
wahrscheinlich 2 0 2 4

Tabelle 1: Risiko- und Schadenskategorien

In den Tabellen 2-4 sind die möglichen Risiken und Schäden der verschiedenen Schutzobjekte zusammengefasst. Dabei ist sowohl die jeweilige Risikoeintrittswahrscheinlichkeit als auch die Schadenskategorie dargestellt, welche sich multiplikatorisch in der Kennzahl der Risiko-Schaden-Kategorie zusammenfassen. Dabei erzeugt eine Risiko-Schaden-Kategorie von 0 keine Maßnahmennotwendigkeit. Eine Kategorisierung von 1 erzeugt eine bedingte Notwendigkeit von Maßnahmen, welche unter dem Kosten-Nutzen-Faktor betrachtet werden muss. Die Kategorisierung von 2 und 4 sind maßgeblich an die Notwendigkeit einer Maßnahme gebunden und sollten in Abhängigkeit von der Kategorie und dem Kosten-Nutzen-Faktor in die Analyse einbezogen werden.

Schutzobjekte Risikoeintrittswahrscheinlichkeit Schadenkategorie Risiko-Schaden-Kategorie Maßnahmen festlegen
Diebstahl Sachanlagen 1 2 2 ja
Einbruch durch Fensterschlag 2 1 2 ja
Datendiebstahl bei Einbruch 1 1 1 ja
Diebstahl während der Geschäftszeiten 1 1 1 ja
Umgebung 0 2 0 nein
Wasserschaden 1 2 2 ja
Blitzschlag 0 2 0 nein
Sturmschaden 0 1 0 nein
Wasserausfall 1 1 1 ja
Heizungsausfall 1 0 0 nein
Stromausfall 0 2 0 nein
Feuer 1 1 1 ja

Tabelle 2: bauliche Schutzobjekte


Schutzobjekte Risikoeintrittswahrscheinlichkeit Schadenkategorie Risiko-Schaden-Kategorie Maßnahmen festlegen
Telefonanlage 1 2 2 ja
Arbeitsplatzrechner - Festplattenausfall 1 2 2 ja
Arbeitsplatzrechner - Eingabegeräte 1 2 2 ja
Server - Festplattenausfall 1 2 2 ja
Server - Prozessorüberhitzung 0 2 0 nein
Server - Motherboardausfall 0 2 0 nein
Kabel 1 2 2 ja
Switch 1 1 1 ja
Gateway 1 2 2 ja
Email - unverschlüsselte Firmendaten 0 2 0 nein
Angriffe von innen 0 2 0 nein
Angriffe von außen 0 2 0 nein
Inkompatibilität von Softwarekomponenten 0 0 0 nein
Programmfehler auf Softwareservern 1 2 2 ja

Tabelle 3: technische Schutzobjekte


Schutzobjekte Risikoeintrittswahrscheinlichkeit Schadenkategorie Risiko-Schaden-Kategorie Maßnahmen festlegen
Verwendung von Audio- und Videogeräten 1 2 2 ja
Verwendung von USB-Ports 0 2 0 nein
Verwendung eines CD-ROM-Laufwerks 0 2 0 nein
Risikofaktor externe Personen 1 2 2 ja
Backup-Diebstahl 1 2 2 ja
Bedienfehler 2 0 0 nein
Schlüsselverlust 1 2 2 ja

Tabelle 4: personelle Schutzobjekte

7 Evaluierung der Maßnahmen

Im folgenden wird evaluiert welche Maßnahmen in den Schadenskategorien baulich, technisch und personell durchgeführt werden müssen, um entweder die Wahrscheinlichkeit für das Eintreten eines Risikos zu verringern oder um die Höhe des eintretenden Schadens zu minimieren.

7.1 Baulich

Die nächsten zwei Unterabschnitte stellen die baulichen Maßnahmen zur Risikovermeidung und/oder zur Schadensminimierung für die Kategorien Einbruch und Elementarrisiken dar.

7.1.1 Einbruch

Um den Risiken im Zusammenhang eines Einbruchs, wie Diebstahl von Sachanlagen, Einbruch durch Fensterschlag, Datendiebstahl oder Diebstahl während der Geschäftszeiten vorzubeugen, sind vor allem Maßnahmen zu ergreifen, die im Allgemeinen das unbefugte Eindringen durch Dritte verhindern. Zum einen sind alle Zugänge durch ein Zugangskontrollsystem zu schützen. Dabei bietet sich ein schlüsselloses Schließsystem an, welches hohen Sicherheitsmaßstäben entspricht. Das System TRAX+G Familie für kontaktlose MIFAR-Karten von der Firma DATATRONIC IDentsystem erfüllt diese Anforderungen.[20] Die Anschaffungskosten für dieses Systems betragen 1.118,60 Euro. Der Nutzen einer Lösung mit persönlichen Zutrittskarten ist insofern sinnvoll, dass jeder Mitarbeiter kostengünstig eine persönliche Zugangskarte erhält. Damit wird die Zugangsberechtigung zum Unternehmen dokumentiert. Zusätzlich ist ein menschlicher Kontrollposten am Eingang zu platzieren, um zu gewährleisten, dass mit einer Zutrittskarte ordnungsgemäß nur eine Person pro Karte sich Zutritt verschafft. Ein solcher Kontrollposten ist mit einem Bruttogehalt von ca. 1.100 Euro zuzüglich. Lohnnebenkosten des Arbeitgebers von circa 30 Prozent zu berechnen. So dass von einer Kostenposition von 1.430 Euro pro Monat ausgegangen werden kann. Dieser Kontrollposten wäre an allen drei Eingängen zu installieren. Damit ist von einem Gesamtkostenblock von 4.290 Euro auszugehen. Zusätzlich werden drei Kartenlesegeräte im Wert von jeweils 1.118,60 Euro benötigt. Jeder Mitarbeiter muss mit einer Zutrittskarte versorgt werden, die einen Einzelpreis von 1,70 Euro hat. Bei 400 Mitarbeitern ist dies eine Gesamtinvestition von 680 Euro. Somit sind einmalige Investitionskosten von 4.035,80 Euro. festzuhalten und monatlich laufende Kosten von 4.290 Euro.

Weitere Einbruchmöglichkeiten über Fenster können über eine Alarmanlage mit Bewegungsmeldern und Erschütterungssensoren am Fenster verhindert werden. Dies ist vor allem im Erdgeschoß als Maßnahme vorgesehen. Die Kosten für eine Alarmanlage mit Bewegungsmeldern und Erschütterungssensoren für alle Räumlichkeiten des Unternehmens sind mit circa 15.000 Euro zu beziffern.

Zusätzlich ist der verstärkte Einsatz von einem Sicherheitsdienst als Maßnahme herausgearbeitet. Dieser wird vom Vermieter gestellt und ist an dieser Stelle mit Null Euro zu evaluieren.

7.1.2 Elementarrisiken

Im Bereich der Elementarrisiken wurden verschiedene Gefahrenpotenziale identifiziert. Als erstes ist dabei das Risiko durch Wasserschaden zu nennen. Dabei sind Maßnahmen festzulegen, welche einen daraus folgenden Schaden durch Wasser vor allem an Serverkomponenten verhindern. Zum einen ist demzufolge der Wartungszyklus der Wasserleitungen im Unternehmen in einen häufigeren Rhythmus zu bringen. Da der Vermieter nur die Standard-Wartungsarbeiten durchführt, ist hier eine Wartungsfirma zu kalkulieren, welche das Unternehmen beauftragt. Dabei ist mit einer durchschnittlichen Handwerkerstunde von 50 Euro zu rechnen. Die Komplettwartung aller an das Unternehmen angrenzenden Wasserleitungen ist mit einem Arbeitstag zu berechnen. Daraus ergibt sich ein Gesamttagessatz von 400 Euro. Bei einem vierteljährlichen Rhythmus ist dies eine Gesamtinvestition von 1.600 Euro pro Jahr.

Ein zweites Risiko kann durch Wasserausfall entstehen, dabei ist nicht eine direkte Sachanlage des Unternehmens gefährdet, sondern ein Produktionsausfall ist der Situation geschuldet, dass den Mitarbeitern eine längere Arbeit am Arbeitsplatz ohne Wasser und ohne Toilette nicht zumutbar ist. Eine kurzfristige Maßnahme kann an dieser Stelle die Bereitstellung von mobilen Ersatztoiletten sein. Wobei es sich hier nicht um eine präventive Maßnahme handelt, da diese nur im Eintrittsfall zu empfehlen ist. Die Kosten für eine mobile Ersatztoilette betragen 115 Euro[21] für drei Tage. Bei fünf gemieteten Toiletten beträgt die Gesamtinvestition im Eintrittsfall 575 Euro. Zusätzlich sind, vergleichbar mit den präventiven Maßnahmen gegen Wasserschäden, enge Wartungsintervalle zu realisieren. Die Kosten sind dementsprechend identisch mit 1.600 Euro jährlich zu kalkulieren. Da die Kosten für die Wartungsarbeiten kleiner als der mögliche Produktionsausfall sind, sind die Wartungsarbeiten an den Wasserleitungen durchzuführen.

Feuer ist ein weiteres Risiko, welches Gegenmaßnahmen bedarf. Hier sind bereits Maßnahmen, wie Brandmelder oder schwer entflammbare Möbel, umgesetzt. Zum Schutz vor Elektrobränden im Serverraum ist als ergänzende Maßnahme ein CO2-Feuerlöscher zu installieren. Diese Maßnahme ist mit circa 180 Euro zu kalkulieren. Der Feuerlöschung ist aufgrund der geringen Anschaffungskosten im Vergleich zum eintretenden Schaden von mehreren tausend Euro anzuschaffen.

7.2 Technisch

Für die Evaluierung der technischen Maßnahmen wird bei allen Komponenten vor der Umsetzung der Maßnahme von einer normalen Verfügbarkeit ausgegangen, bei welcher die Ausfallwahrscheinlichkeit bei einem Prozent liegt. Nach Durchführung der Maßnahme wird von einer erhöhten Verfügbarkeit ausgegangen, so dass die Ausfallwahrscheinlichkeit - sprich das Restrisiko - auf 0,1 Prozent reduziert werden kann[22].

Durch einen technischen Schaden fallen in der Regel Arbeitsplätze aus, so dass an dieser Stelle kurz der zu vermeidende Schaden pro Arbeitsplatz und Stunde dargestellt wird. Ein Call-Center-Agent erhält in Deutschland im Durchschnitt 1.422 Euro Brutto pro Monat. Bei einer 40 Stundenwoche und 4,25 Arbeitswochen pro Monat ergibt sich ein Brutto-Stundenlohn von 8,36 Euro. Das Brutto-Monatsgehalt eines Call-Center-Controller liegt durchschnittlich bei 2.658 Euro, daraus ergibt sich ein Brutto-Stundenlohn von 15,64 Euro.[23] Das Brutto-Monatsgehalt eines Teamleiters im Call-Center beträgt im bundesdeutschen Durchschnitt bei 2.340 Euro, der Brutto-Stundenlohn liegt somit bei 13,76 Euro.[24]

In der Spitzenzeit sind bei der VFRservices 260 Agentenarbeitsplätze besetzt, zusätzlich sind 1 Call-Center-Controller und 15 Teamleiter tätig. Für die Ermittlung des Schadens, der dem Call-Center zugeführt wird, wenn zum Beispiel die Telefonanlage oder eine wichtiger Software-Server wegfällt, ist zum Brutto-Stundenlohn der entfallende Umsatz zu betrachten. Ein Call-Center-Agent erwirtschaftet im Inbound in der Stunde ungefähr einen Umsatz von 20 Euro. Call-Center-Agenten die Outbound-Gespräche tätigen erwirtschaften einen Stundenumsatz von circa 30 Euro. Die Verteilung von Inbound und Outbound beträgt im betrachteten Call-Center jeweils 50 Prozent. Daraus ergibt sich ein Stundenumsatz von 25 Euro pro Call-Center-Agent. In der Tabelle 5 ist die Zusammensetzung des Gesamtschadens in Höhe von 8.895,64 Euro pro Stunde detailliert aufgegliedert.

Euro pro Stunde Anzahl Mitarbeiter Summe in Euro
Teamleiter Call-Center 13,76 15 206,40
Call-Center-Controller 15,64 1 15,64
Call-Center-Agent 8,36 260 2.173,60
Umsatz pro Call-Center-Agent 25,00 260 6.500,00
Gesamtschaden pro Stunde 8.895,64

Tabelle 5: Ermittlung des Call-Center-Schadens pro Stunde

7.2.1 Hardwareschäden

Die Anschaffung von redundanter Hardware reduziert das Schadensrisikos. Im Folgenden wird auf die Evaluierung der Maßnahme für die Telefonanlage sowie die redundante Anschaffung von Rechner- und Netzwerkkomponenten eingegangen.

7.2.1.1 Telefonanlage

Die Telefonanlage wird an den Werktagen Montag bis Samstag jeweils elf Stunden benötigt. Bei 306 Werktagen im Jahr muss die Telefonanlage 3.366 Stunden zur Verfügung stehen. Die Ausfallzeit beträgt vor Durchführung der Maßnahme 33,66 Stunden im Jahr. Der Gesamtschaden beläuft sich für das Call-Center auf 8.895,64 Euro pro Stunde, daraus ergibt sich ein möglicher Gesamtschaden von 299.427,24 Euro.

Mögliche Maßnahmen um den Schaden zu reduzieren oder die Ausfallwahrscheinlichkeit zu verringern, stellen zum einen die Anschaffung einer zweiten Telefonanlage, der Abschluss eines Wartungsvertrages oder die Umstellung auf eine Voice over IP Telefonanlage dar.

Die Anschaffung einer zweiten Telefonanlage ist mit Kosten in Höhe von circa 200.000 Euro verbunden. Im Falle des Ausfalls der Telefonanlage muss diese ausgetauscht und neu konfiguriert werden, außerdem muss die Verkabelung für die 276 Arbeitsplätze erfolgen. Der Austausch muss durch einen Dienstleister erfolgen, welcher hierfür ungefähr zwei Werktage benötigt. Da mit dem Dienstleister ein Termin vereinbart werden muss, können vom Ausfall bis zur Inbetriebnahme der neuen Telefonanlage circa vier Werktage vergehen. Der Gesamtschaden für die vier Werktage beläuft sich auf 391.408,16 Euro zuzüglich der 200.000 Euro[25] für die neue Telefonanlage. Daraus ergeben sich Gesamtkosten in Höhe von 591.408,16 Euro. Diese Summe ist erheblich hoch. Durch das Vorhalten einer Ersatztelefonanlage ist der Ausfall nicht vier Wochen lang, was einen Schaden in Höhe von 2,3 Millionen Euro vermeiden würde. Die Einsparung bei dieser Maßnahme liegt bei 1,7 Millionen Euro. Das Restrisiko ist im Schadensfall genauso hoch wie in der aktuellen Situation.

Eine andere Alternative stellt der Abschluss eines Wartungsvertrags mit einem Dienstleister dar. Der Schaden für das Restrisiko beläuft sich auf 29.942,72 Euro. Jährlich entstehen durch den Wartungsvertrag Kosten in Höhe von 12.800 Euro[26] Durch den Wartungsvertrag kann ein Ausfall über vier Stunden im Jahr auf den Dienstleister übertragen werden, der dann für den Schaden aufzukommen hat. Die Gesamtkosten inklusive Restrisiko belaufen sich bei dieser Maßnahme auf 42.742,72 Euro. Die Einsparungen betragen im Vergleich zum ursprünglichen Ausfallrisiko 256.684,52 Euro.

Die Umstellung auf eine Voice over IP Telefonie bringt zum einen Anschaffungskosten für neue Telefone mit sich, zum anderen ist die Ausfallwahrscheinlichkeit weiterhin bei einem Prozent. Erst weitere Maßnahmen wie ein Wartungsvertrag können die Ausfallwahrscheinlichkeit senken. Da die Telefonanlage und sämtliche Endgeräte erst vor kurzem angeschafft wurden, wird die Umstellung auf Voice over IP Telefonie nicht näher betrachtet. Erst wenn sich die aktuelle Telefonanlage amortisiert hat und eine höhere Ausfallwahrscheinlichkeit durch das gestiegene Einsatzalter eintritt, wird eine alternative Telefonanlage betrachtet.

Als Maßnahme wird der Abschluss eines Wartungsvertrages gewählt, da dies zum einen die günstigste Maßnahme ist und zum anderen verringert diese Maßnahme die Ausfallwahrscheinlichkeit, was bei Anschaffung einer zweiten Telefonanlage nicht gegeben ist.

7.2.1.2 Rechnerkomponenten

Die Ausfallwahrscheinlichkeit steigt mit der Anzahl der eingesetzten Geräte, so dass bei 276 Arbeitsplätzen die Wahrscheinlichkeit der betroffenen Arbeitsplätze bei 2,76 liegt. Wenn nicht alle Arbeitsplätze besetzt sind, kann der betroffene Mitarbeiter den Arbeitsplatz wechseln, so dass ein geringer Schaden von 33,36 Euro entsteht. Es ist davon auszugehen, dass der Mitarbeiter durch den Arbeitsplatzwechsel maximal eine Stunde nicht produktiv sein kann. Wenn kein Ersatzrechner zur Verfügung steht, kann der Arbeitsplatz zwei Wochen nicht genutzt werden und der Schaden beläuft sich auf 3.670 Euro. Für die Berechnung des Schadens wird davon ausgegangen, dass an diesem Arbeitsplatz elf Stunden am Tag für insgesamt zehn Tage nicht produziert werden kann. Die Kosten für einen Ersatzrechner belaufen sich auf 683,05 Euro[27]. Durch das Vorhalten eines zusätzlichen Rechners verringert sich nicht die Ausfallwahrscheinlichkeit, sondern der eintretende Schaden wird begrenzt. Die Umsetzung der Maßnahme ist sinnvoll, da eine Einsparung von 3.636 Euro erfolgen kann.

Aufgrund der Ausfallrate von 2,76 Hardwarekomponenten pro Tag müssten zur Überbrückung der Neubeschaffungszeit von zwei Wochen insgesamt 28 Ersatzarbeitplätze im Lager vorgehalten werden. Da dies eine zu hohe Bindung von finanziellen Mitteln darstellt, werden lediglich zehn zusätzliche Arbeitsplätze eingerichtet.

Zur Reduzierung des Schadens bei Ausfall eines Monitors, werden 19 Zoll Geräte auf Vorrat gekauft, um schrittweise die 17 Zoll Arbeitsplätze mit besserer Technik auszustatten. Bei den Merkmalen des Monitors ist darauf zu achten, dass ein Kensington-Schloss vorhanden ist, so dass die Monitore an den Arbeitsplätzen zukünftig gegen Diebstahl gesichert werden können. Für einen ergonomisch eingerichteten Arbeitsplatz sind Monitore mit Höhenverstellung zu bevorzugen. Auf diese Weise können Erhöhungsgegenstände wie Papierpackungen vom Arbeitsplatz entfernt werden. Aus den in Tabelle 6 dargestellten Monitoren ergibt sich als Maßnahme die Anschaffung des BenQ E900T für ungefähr 208,90 Euro.

Hersteller Bezeichnung Displaygröße Höhenverstellbar Kensigton-Lock MTBF Lieferzeit in Tagen Preis
BenQ E700 17 nein ja 50.000 h[28] 1-5 ca. 116,47 Euro[29]
BenQ E900 19 nein ja 50.000 h[30] 1-5 ca. 181,54 Euro[31]
BenQ E900T 19 ja ja 50.000 h[32] 1-5 ca. 208,90 Euro[33]

Tabelle 6: Kosten für Monitormodelle

Für die Verringerung der Ausfallwahrscheinlichkeit bei den Tastaturen, ist bei der Vorhaltung auf folgendes zu achten. Die Tastaturen müssen eine hohe und lange Zuverlässigkeit aufweist, die Anschlagzahl muss nicht so hoch sein, da im Call-Center eher gesprochen als getippt wird. Aus diesen Bedingungen ergibt nach den betrachteten Modellen aus Tabelle 7 das Cherry XS Complete Keyboard für rund 61 Euro.

Hersteller Bezeichnung Lebensdauer Standardtaste Stromaufnahme MTBF Lieferzeit in Tagen Preis
Cherry XS Complete Keyboard > 20 Mio. Anschläge 25mA > 11,4 Mio. h[34] sofort ab Lager ca. 60,97 Euro[35]
Cherry G80-3000 > 50 Mio. Anschläge 15mA > 80.000 Mio. h[36] 1-5 ca. 54,38 Euro[37]
Cherry G81-3000 > 50 Mio. Anschläge 16mA > 80.000 Mio. h[38] 1-5 ca. 28,80 Euro[39]

Tabelle 7: Kosten für Tastaturmodelle

Für den schnellen Austausch einer nicht mehr funktionierenden Maus, kann für circa 6,40 Euro[40] die WheelMouse optical von Cherry auf Reserve gekauft werden, die eine MTBF von über 80.000 Stunden[41] aufweist.

Der Ausfall einer RAID-Festplatte in einem Server führt erst einmal nicht zu einem Schaden. Lediglich beim Ausfall von mehr als einer RAID-Festplatte kann das Call-Center nicht mehr produktiv sein. Hier beläuft sich der Schaden bis zum Austausch (zwei Wochen für die Neubeschaffung) auf 978.520 Euro. Zur Vermeidung dieses sehr hohen Schadens wird eine Ersatzfestplatte vorrätig gehalten. Um im Falle eines Einbruchs sicher zu sein, dass keine schutzwürdigen Daten in fremde Hände gelangen, wird eine Festplatte mit eigenständiger Verschlüsselungstechnik und einer sehr hohen MTBF gewählt. Die Festplatte kann ohne die Software aus dem Rechenzentrum nicht entschlüsselt werden.[42] Gemäß den Anforderungen und den betrachteten Modellen aus Tabelle 8 ergibt sich die Festplatte Seagate Savvio 15K.2 mit 146 GB für 341,32 Euro.

Hersteller Bezeichnung Kapazität in GB Einzelpreis MTBF benötigte Anzahl Lieferzeit in Tagen Gesamtpreis
Seagate Cheetah 15K.6 146 ca. 236,86 Euro[43] 1.600.000 h = 182 Jahre[44] 4 2-3 947,44 Euro
Seagate Savvio 15K.2 146 ca. 341,32 Euro[45] 1.600.000 h = 182 Jahre[46] 4 2-5 1.365,28 Euro
Seagate Savvio 15K.2 73 ca. 253,28 Euro[47] 1.600.000 h = 182 Jahre[48] 8 2-5 2.026,20 Euro

Tabelle 8: Kosten für Festplattenmodelle

7.2.1.3 Netzwerkkomponenten

Zur Vermeidung eines Switchausfalls werden in Tabelle 9 die Preise von verschiedenen Switches mit ihrer MTBF-Zeit gegenübergestellt. Der Hersteller NETGEAR hat seinen Sitz in deutschsprachigen Ländern und stellt Hardware-Lösungen für kleine und mittelständische Unternehmen bereit. Außerdem gewährt er bei den dargestellten Produkten einen Sofortservice zum nächsten Tag, wenn die Meldung bis 12:00 Uhr eingeht. Hingegen sitzt die die Firma Cisco in den USA und stellt Lösungen für große Unternehmen und Konzerne zur Verfügung. Die Zielgruppe ist deutlich im Preis zu spüren, allerdings umfasst der Switch der Firma Cisco weit aus mehr Sicherheitsfunktionen als der der Firma NetGear. Alle Switches sind für die Unterbringung in einem Rack-Schrank geeignet, so dass der unbefugte Zugriff unterbunden und ein Zugriff auf alle Geräte an einer zentralen Stelle gewährleistet werden kann.

Hersteller Gerätebezeichnung Anzahl Ports Übertragungsgeschwindigkeit Preis pro Gerät MTBF in h Sicherheit benötigte Geräte Lieferzeit Gesamtpreis
Cisco ME-C6524GT-8S 24 10/100/1000 ca. 12.032,30 Euro[49] sehr hoch 59.172[50] 17 2-3 Wochen 204.549,10 Euro
Netgear GSM7224R 24 10/100/1000 ca. 736,24 Euro[51] hoch 58.300[52] 17 36 h 12.516,00 Euro
Netgear GSM7224 24 10/100/1000 ca. 744,00 Euro[53] mittel 58.300[54] 17 36 h 12.648,00 Euro
Netgear GSM7248 48 10/100/1000 ca. 1627,43 Euro[55] mittel 58.300[56] 9 36 h 14.646,87 Euro
Netgear GSM7248R 48 10/100/1000 ca. 1357,22 Euro[57] hoch 58.300[58] 9 36 h 12.214,98 Euro

Tabelle 9: Kosten für Switchmodelle

Die Switches bieten durch eingebaute Testfunktionen die Möglichkeit kabelbedingte Netzwerkstörungen schnell zu orten.[59] Auf diese Weise können Kabelbrüche schnell behoben werden. Durch die bereitgestellten Sicherheitsfunktionen, können Unbefugte sich nicht einfach an ein Netzwerkkabel hängen und das Netz ausspionieren. Die Ausfallrate für die dreizehn verwendeten Switches bei VFRservices liegt bei 1,3. Wenn ein Netzwerksegment mit 22 Arbeitsplätzen für einen Tag ausfällt, entsteht ein Schaden in Höhe von 8.073 Euro. Wenn hingegen der Verteilerswitch für einen Tag ausfällt, entsteht ein Schaden in Höhe von 97.852 Euro. Durch das Vorhalten eines Ersatzswitches für 736,24 Euro kann durch den schnellen Austausch der Schaden für den Ausfall auf eine Stunde begrenzt werden, dieser liegt bei 734 Euro für ein Segment. Die Durchführung der Maßnahme lohnt sich bereits bei einem gering eintretenden Schaden. Ähnlich wie der Ausfall eines Switches, verhält es sich mit zerstörten Kabeln, wenn die Kabel zwischen den Switches oder Servern ausfallen. Wenn lediglich das Kabel zwischen Arbeitsplatz und Switch ausfällt entsteht ein geringer Schaden in Höhe von 366 Euro. Entsprechend der Anzahl der Arbeitsplätze sollten hier 30 Twisted Pair Kabel der Kategorie 6 für je 5,35 Euro[60] vorrätig gehalten werden. Für die 100m langen Verbindungskabel der Kategorie 7 zwischen den Switches genügt es zwei Kabel für 96,00 Euro[61] vorzuhalten.

Der Ausfall eines Gateways kann nach Ablauf der Gewährleistungszeit auftreten. Bei der Neuanschaffung ist auf Sicherheitsmerkmale wie benutzerbezogene White- und Black-Listen sowie Authentifizierungs- und Autorisierungsfunktionen zu achten. Die Kosten für die Anschaffung eines Gateways sind der nachstehenden Tabelle 10 zu entnehmen.

Hersteller Gerätebezeichnung Ausschlusslisten Anti-Spam Anti-Virus Authentisierung MTBF in h Preis
Raritan CommandCenter Secure Gateway ja ja ja LDAP, Active Directory, RADIUS, TACACS+ 38.269 (mittlerer Reperaturstand)[62] 6.265,35 Euro[63]
ZyXEL ZyWALL USG 1000 basieren auf IP-Adresse nein nein LDAP, Active Directory, RADIUS keine Angabe, aber Hochverfügbarkeit[64] 3.255,30 Euro[65]

Tabelle 10: Kosten für Gatewaymodelle

Wenn das Gateway ausfällt können die Call-Center Teamleiter nicht mit der Außenwelt über das Internet kommunizieren, der Schaden für eine kurze Störung die im besten Fall auf eine Stunde begrenzt ist, beträgt für die 15 Teamleiter 206 Euro. Für einen größeren nicht schnell beseitigbaren Ausfall können die Teamleiter und 20 Spezialagenten für circa zwei Wochen nicht richtig arbeiten, so dass ein Schaden von 89.904 Euro entsteht. Die Anschaffung des Hochverfügbarkeitsgateways von ZuXEL lohnt sich bei länger andauernden Ausfällen bereits ab 16 Stunden.

7.2.2 Softwareschäden

Der Ausfall eines Servers aufgrund eines Softwareschadens, wie zum Beispiel ein Fehler im Dateisystem, kann im besten Fall eine Stunde betragen und so entsteht der VFRservices ein Schaden in Höhe von 8.895,64 Euro. Im schlechtesten Fall wird für die Beseitigung des Fehlers eine Woche an Zeit in Anspruch genommen, so dass ein Schaden von 489.260 Euro entsteht. Zur Schadensbegrenzung können die einzelnen Server im Cluster betrieben werden, bei welchem der Wechsel manuell (cold) erfolgt. Hierbei ist darauf zu achten, dass die Daten zwischen den Clusterpartnern in der Nacht aktualisiert werden und die Änderungen des Tages schnell nachgespielt werden können. Die Ausfallzeit kann bei der beschriebenen Vorgehensweise auf eine Stunde minimiert werden. Für die Anschaffung von vier Servern entstehen Kosten in Höhe von 5.596 Euro[66]. Die Investition lohnt sich bereits ab einer Ausfallzeit von zwei Stunden.

7.3 Personell

Im Folgenden wird auf die personellen Maßnahmen eingegangen, die zur Verhinderung von Datendiebstahl und handlungsbedingten Risiken wie die falsche Bedienung oder der Schlüsselverlust zählen.

7.3.1 Datendiebstahl

Zur Vermeidung von Datendiebstahl durch Passanten durch das Fenster, empfiehlt es sich eine Sichtschutzfolie mit einer hohen Lichtdurchlässigkeit im Erdgeschoss an den Fenstern anzubringen. Für 1,35 m x 50 m Aslan SF 180 Sichtschutzfolie entstehen Anschaffungskosten in Höhe von 400,46 Euro[67].

Der Diebstahl von Daten durch die Mitarbeiter kann durch gehärtete Rechner verhindert werden, dies ist bereits bei der VFRservices umgesetzt, ebenso ist der Zugriff auf den USB-Port und CD-ROM-Laufwerk gesperrt. Die Rechner selbst können vor Diebstahl durch die Anbringung eines Kensington MicroSaver Desktop Computer Lock[68] Schlosses für ca. 29,30 Euro[69] gesichert werden. Zur Verhinderung des Datendiebstahls durch vorhandene Backups, ist darauf zu achten, dass die Backups zum einen sicher aufbewahrt werden und zum anderen, dass sie in verschlüsselter Form vorliegen. So dass im Falle eine Diebstahls der Räuber nichts mit den Daten anfangen kann. Bei der Erstellung der Backups ist sicher zu stellen, dass die Daten für die Backups erst komprimiert und anschließend verschlüsselt werden und danach für ein Backup über das Netzwerk übermittelt werden. Das Backup selbst sollte zusätzlich nochmals verschlüsselt werden. Bei der Wahl der Passwörter ist ein sicheres Passwort zu wählen, welches bei jeder Verschlüsselung der Daten unterschiedlich ist.[70]

7.3.2 Handlungsbedingte Risiken

Die Kosten für den Schutz vor handlungsbedingten Risiken können nicht beziffert werden, da es sich viel mehr um die Einrichtung von Richtlinien und die Konfiguration von Firewalls handelt. Für die Durchführung der Tätigkeiten kann eine Firma beauftragt werden, so dass eine Summe beziffert werden kann. Im hier betroffenen Call-Center sollen die Tätigkeiten von der IT-Abteilung durchgeführt werden. Ein Netzwerk kann gegen Angriffe von innen nicht geschützt werden, da die entsprechenden Anwender sich bereits authentifiziert haben und auf die Ressourcen im Netzwerk zugreifen können. Es ist lediglich möglich durch einzelne Richtlinien sowie die Sensibilisierung der Mitarbeiter die Gefährdung zu minimieren. Hierzu zählt das Aufstellung von Richtlinien für angemessenes und ungemessenes Verhalten. Durch das Einrichten von Sicherheitsklassifikationen für Daten und Rechner kann mit einer entsprechenden Zugangskontrolle der mögliche Schaden minimiert werden. Für die Sicherstellung, dass nicht jeder eine Datei lesen oder verändern kann, können dateispezifische Berechtigungen erteilt werden. Der Zugang zu Serverräumen sollte auf wenige Personen beschränkt sein, so dass eine Überwachung des Schlüsselbesitzes und Zugangs möglich ist. Eine stringente Zutrittsüberwachung kann sicherstellen, dass nur befugtes Personal in die Räume gelangt. Unbefugtes Personal darf nur in Begleitung von autorisierten Personen die Räume betreten. Die Mitarbeiter müssen in Hinblick auf die Sensibilität der Daten hingewiesen werden und zwar in regelmäßigen Abständen. Ausdrucke mit sensiblen Daten sollten nicht herumliegen, für die Vernichtung dieser Ausdrucke empfiehlt es sich Aktenvernichter aufzustellen. Einer der wichtigsten Punkte zur Abwendung eines Angriffs von innen, stellt die Zufriedenheit der Mitarbeiter dar, denn nur unzufriedene Mitarbeiter kommen auf dumme Gedanken und wollen dem Unternehmen einen Schaden zuführen.[71]

7.3.3 Schlüsselverlust

Wenn durch den Verlust eines Schlüssels die gesamte Schließanlage ausgetauscht werden muss, so muss bei der Wiederbeschaffung auf folgende Punkte geachtet werden. Die Schließanlage muss für den Schutz vor Einbrüchen hohen Sicherheitsanforderungen entsprechen. Zu den Sicherheitsmerkmalen gehören eine Schlagschlüsselhemmung sowie ein Aufbohr- und Kopierschutz des Schlüssels. Die Kosten für einen Doppelzylinder GERA MAX belaufen sich auf 41,53 Euro, hiervon müssen im Schadensfall drei Stück gekauft werden.[72] Zusätzlich muss für jeden Mitarbeiter der Schlüssel ausgetauscht werden, bei einem Einzelpreis von 7,19 Euro ergibt sich bei 300 Schlüsseln eine Summe von 2.157 Euro für die Schlüssel.[73] Die Gesamtkosten für den Austausch aller Doppelzylinder und Schlüssel betragen demnach 2.281,59 Euro.

Zur Minimierung des Schadens bei einem Schlüsselverlust kann das bereits oben erwähnte Zutrittkontrollsystem TRAX+G Familie für kontaktlose MIFAR-Karten von der Firma DATATRONIC IDentsysteme[74] für 1.118,60 Euro angeschafft werden. So dass im Schadensfall die Kartennummer gesperrt werden kann und nur eine neue Karte im Wert von 1,70 Euro[75] ausgegeben werden muss. Die Anschaffungskosten ergeben sich aus drei Kartenlesern für die Haupttüren für 3.355,80 Euro und 400 kontaktlosen MIFAR-Karten für 680 Euro auf insgesamt 4.035,80 Euro. Die Maßnahme lohnt sich bereits wenn mehr als einmal ein Schlüssel verloren gegangen ist, so dass die Maßnahme umzusetzen ist.

8 Maßnahmenkatalog

Im Folgenden werden die umzusetzenden Maßnahmen für die Implementierung eines Sicherheitssystems zusammengefasst. Hierbei wird als erstes auf die baulichen Maßnahmen eingegangen. Im Anschluss werden die technischen und personellen Maßnahmen betrachtet.

Im Bereich der baulichen Maßnahmen werden zur Verhinderung von Einbrüchen drei schlüssellose Schließsysteme für alle drei Eingänge sowie insgesamt 400 kontaktlose MIFAR-Karten angeschafft. Zur Gewährung, dass nur eine Person an den Eingängen die Räume betritt, werden drei Personen für die Zugangskontrolle eingestellt. Außerdem wird eine Alarmanlage mit Bewegungsmeldern und Erschütterungssensoren gekauft. In Summe ergeben sich fixe Kosten in Höhe von 15.680 Euro und die laufenden Kosten betragen jährlich 51.480 Euro. Zur Verhinderung der Elementarrisiken Wasserschaden und Wasserausfall sind jährlich Wartungsarbeiten in Höhe von 3.200 Euro vorzunehmen. Für die schnelle Löschung eines Feuers im Schadensfall wird ein CO2-Feuerlöscher für den Serverraum für 180 Euro angeschafft.

Zu den technischen Maßnahmen die im Rahmen des Sicherheitskonzepts für VFRservices durchgeführt werden müssen, zählt die Schadensbegrenzung und Reduzierung der Ausfallwahrscheinlich beim Ausfall der Telefonanlage, hierfür wird ein Wartungsvertrag mit laufenden Kosten von 12.800 Euro pro Jahr abgeschlossen. Für die Begrenzung des Schadens beim Ausfall von Rechnerkomponenten werden zehn zusätzliche Arbeitsplätze eingerichtet, hierbei entstehen insgesamt fixe Kosten in Höhe von 9.886,20 Euro. Für die schnelle Wiederherstellung des RAIDs in den Servern wird eine Festplatte Seagate Savvio 15K.2 mit 146 GB für 341,32 Euro vorrätig gehalten. Eine Schadensminimierung im Bereich der Netzwerkkomponenten wird durch die Anschaffung redundanter Komponenten erreicht, hierbei werden ein Netgear GSM7224R Switch und 30 Netzwerkkabel mit 10m Länge sowie zwei Kabel mit 100m Länge angeschafft. Die Anschaffungskosten belaufen sich auf 1.088,74 Euro. Für die Gewährleistung, dass der Vertrieb einen hoch verfügbaren Zugriff auf das Internet hat, wird das Gateway ZuXEL ZuWALL USG 1000 für 3.255,30 Euro angeschafft. Zur Verringerung des Schadens bei Softwareschäden auf den Servern werden vier Server für insgesamt 5.596 Euro angeschafft, so dass jeder Server im Cluster betrieben werden kann.

Die personellen Maßnahmen umfassen den Datendiebstahl, den Schlüsselverlust und die handlungsbedingten Risiken. Der Diebstahl von Daten durch Passanten kann durch die Anbringung von Sichtschutzfolie für 400,46 Euro vermieden werden. Um sicher zu stellen, dass kein Rechner geklaut wird und die darauf gegebenenfalls gespeicherten Daten in fremde Hände gelangen, werden die einzelnen Rechner durch das Kensington MicroSaver Desktop Computer Lock an die Schreibtische angekettet. Die Anschaffungskosten für diese Schlösser belaufen sich bei 276 Arbeitsplätzen auf 8.086,80 Euro. Zusätzlich sind die Rechner zu härten, so dass dem Anwender nur die benötigte Software zur Verfügung steht. Um Backups vor Missbrauch zu schützen, sind diese jeweils mit einem sicheren neuen Passwort zu verschlüsseln, so dass ein Dieb mit den Daten nichts anfangen kann. Zur Reduzierung der Kosten bei einem Schlüsselverlust, kann das bereits bei den Maßnahmen zur Vermeidung von Einbrüchen gewählte kontaktlose Zutrittssystem TRAX*G Familie von der Firma DATATRONIC IDentsysteme für 4.035,80 Euro genutzt werden. Bei Verlust einer Karte beläuft sich der Schaden auf den Kartenwert in Höhe von 1,70 Euro. Zur Vermeidung von handlungsbedingten Risiken ist eine strikte Zutrittskontrolle zu den Serverräumen zu gewähren, außerdem sind alle Mitarbeiter in regelmäßigen Abständen zu sensibilisieren. Es ist darauf zu achten, dass die Mitarbeiter zufrieden sind. Die Anpassung der White- und Black-Listen sowie die Konfiguration der Firewalls erfolgt in regelmäßigen Abständen durch die eigene IT-Abteilung.

Für die Einführung des Sicherheitssystems entstehen der VFRservices Anschaffungskosten in Summe von 45.190,32 Euro sowie jährliche Kosten in Höhe von 54.680 Euro.

9 Fazit

Abbildung 7: Ergebnis der Sicherheitsmaßnahmen
Abbildung 7: Ergebnis der Sicherheitsmaßnahmen

Die Basisfaktoren der VFRservices sind in Abbildung 7 dargestellt und werden durch die hohe Verfügbarkeit, die komplexe Infrastruktur und die Datensicherheit gebildet. Mit der Umsetzung der Maßnahmen aus dem Maßnahmenkatalog entstehen für die VFRservices im ersten Jahr Kosten in Höhe von rund 100.000 Euro. Mit diesen Mitteln wird aus dem fehlenden Sicherheitssystem ein verbessertes Sicherheitssystem, welches die Eintrittswahrscheinlichkeit für die einzelnen Risiken minimiert und den eintretenden Schaden reduziert. Die Eintrittswahrscheinlichkeit kann nie auf Null reduziert werden, so dass die VFRservices auch mit Durchführung der Maßnahmen ein gewisses Restrisiko tragen muss. Bei der Umsetzung der Sicherheitsmaßnahmen wurde darauf geachtet, dass die Maßnahmen von allen Beteiligten akzeptiert werden und ein ausgewogenes Verhältnis nach dem Leitsatz "So wenig wie möglich, so viel wie nötig"[76] besteht. Es wurde auch darauf geachtet, dass keine Maßnahmen umgesetzt wurden, die nicht akzeptiert werden, denn diese können sogar zu noch größeren Sicherheitsmängeln führen, als wenn die Maßnahmen gar nicht erst durchgeführt worden wären.[77] Mit dem vorliegenden Sicherheitskonzept werden Maßnahmen umgesetzt, die im erheblichen Maße dazu beitragen, die Zertifizierung nach ISO 27001 weiterhin aufrecht zu erhalten und somit für Auftraggeber ein Call-Center darzustellen, in welchem zum einen eine hohe Verfügbarkeit und zum anderen die Datensicherheit gewährleistet sind.

10 Fußnoten

  1. Vgl. o.V. (2009), http://www.call-center-forum.de/index.php?id=79.
  2. Vgl. Florl in Jahnke, Rabbe (2001), S. 25-28.
  3. Vgl. Helber, Stolletz (2004), S. 7-9.
  4. Vgl. Hansen, Neumann et al. (2005), S. 303.
  5. Vgl. o.V. (2009), http://www.riskplan.admin.ch/temppics/Glossar_1250174365.pdf, S. 4.
  6. Vgl. Peter (2004), http://www.kriminalpraevention.de/downloads/as/techpraev/Wirksamkeit_Kurzfassung.pdf S. 15f.
  7. Vgl. o.V. (2009), http://www.bsi.de/fachthem/hochverfuegbarkeit/11_Infrastruktur.pdf S. 8-9.
  8. o.V. (2003), http://bb.osha.de/good_practice/wmiw/arbst/ast2.htm.
  9. Vgl. o.V. (2009), http://www.bsi.de/fachthem/hochverfuegbarkeit/1_2_Definitionen.pdf, S. 11f.
  10. Vgl. Hansen, Neumann et al. (2005), S. 95.
  11. Vgl. Rubin (2002), S. 33.
  12. Vgl. o.V. (2009), http://www.seagate.com/ww/v/index.jsp?locale=de-DE&name=dn-surv-solutions-enterprise&vgnextoid=f8622d6caec34110VgnVCM100000f5ee0a0aRCRD.
  13. Vgl. Kappes (2007), S. 250ff.
  14. Vgl. Kersken (2008), S. 1003f.
  15. Vgl. Kersken (2008), S. 1007f.
  16. Vgl. Kersken (2008), S. 1012.
  17. Vgl. Kersken (2008), S. 1004f.
  18. Vgl. Kersken (2008), S. 1005.
  19. Vgl. Kappes (2007), S. 78f.
  20. Vgl. Haas, http://www.datatronic.eu/rfid/downloaddaten/TRAXfamily_D_DTID.pdf, S. 1f.
  21. Vgl. o.V. (2009), http://www.erento.com/mieten/suchindex/toi+toi+mieten/.
  22. Vgl. Bundesamt für Sicherheit in der Informationstechnik (2009), http://www.bsi.de/fachthem/hochverfuegbarkeit/1_2_Definitionen.pdf, S. 31.
  23. Vgl. o.V. (2009), http://www.gehaltsvergleich.com/berufe-c.html.
  24. Vgl. o.V. (2009), http://www.gehaltsvergleich.com/berufe-t.html.
  25. Vgl. o.V. (2009), http://geschaeftskunden.telekom.de/tsi/de/509070/Home/Erfolgsgeschichten/Geschaeftsthemen/Kosten-senken/990-schwind-interview.
  26. Vgl. o.V. (2009), http://geschaeftskunden.telekom.de/tsi/de/509070/Home/Erfolgsgeschichten/Geschaeftsthemen/Kosten-senken/990-schwind-interview.
  27. Vgl. o.V. (2009), http://www.google.de/products?q=Preisvergleich+Fujitsu+Siemens+Esprimo+P5916&hl=de.
  28. Vgl. Warstat (2007), ftp://217.21.255.101/monitor/lcd/datasheets/bqde/datenblatt_benq_e700.pdf, S. 1.
  29. Vgl. o.V. (2009), http://www.guenstiger.de/gt/main.asp?produkt=618654.
  30. Vgl. Warstat (2009), ftp://80.252.92.142/monitor/lcd/datasheets/bqde/datenblatt_benq_e900.pdf, S. 1.
  31. Vgl. o.V. (2009), http://www.guenstiger.de/gt/main.asp?produkt=618620.
  32. Vgl. Hornung (2009), ftp://217.21.255.101/monitor/lcd/datasheets/bqde/benq_e900t_datenblatt.pdf, S. 1.
  33. Vgl. o.V. (2009), http://www.guenstiger.de/gt/main.asp?produkt=723811.
  34. Vgl. ZF Electronics GmbH (2009), http://www.cherry.de/PDF/DE_XS_Complete_Keyboard.pdf, S. 1.
  35. Vgl. o.V. (2009), http://www.guenstiger.de/gt/main.asp?kid=0&suche=cherry+xs+complete+keyboard&Button=Suchen.
  36. Vgl. ZF Electronics GmbH (2009), http://www.cherry.de/PDF/DE_G80-3000.pdf, S. 1.
  37. Vgl. o.V. (2009), http://www.guenstiger.de/gt/main.asp?produkt=769190.
  38. Vgl. ZF Electronics GmbH (2009), http://www.cherry.de/PDF/DE_G81-3000.pdf, S. 1.
  39. Vgl. o.V. (2009), http://www.guenstiger.de/gt/main.asp?produkt=834079.
  40. Vgl. o.V. (2009), http://www.guenstiger.de/gt/main.asp?produkt=375577.
  41. Vgl. ZF Electronics GmbH (2009), http://www.cherry.de/PDF/DE_WheelMouse_optical.pdf, S. 1.
  42. Vgl. o.V. (2008), http://www.seagate.com/docs/pdf/de-DE/marketing/po_cheetah_15k_6.pdf, S. 2.
  43. Vgl. o.V. (2009), http://www.geizkragen.de/preisvergleich/pc-und-co/festplatte/seagate/seagate-cheetah-15k6-st3146356fc/524661.html.
  44. Vgl. o.V. (2008), http://www.seagate.com/docs/pdf/de-DE/marketing/po_cheetah_15k_6.pdf, S. 1.
  45. Vgl. o.V. (2009), http://www.geizkragen.de/suche/Savvio_%2015K.2.
  46. Vgl. o.V. (2009), http://www.seagate.com/docs/pdf/de-DE/marketing/po_savvio_15k_2.pdf, S. 2.
  47. Vgl. o.V. (2009), http://www.geizkragen.de/suche/Savvio_%2015K.2.
  48. Vgl. o.V. (2009), http://www.seagate.com/docs/pdf/de-DE/marketing/po_savvio_15k_2.pdf, S. 2.
  49. Vgl. o.V. (2009), http://geizhals.at/at/a405426.html.
  50. Vgl. o.V. (2009), http://www.cisco.com/en/US/prod/collateral/switches/ps6568/ps6845/ps6846/product_data_sheet0900aecd8040657e.html.
  51. Vgl. o.V. (2009), http://www.preistrend.de/suchen.php?q=GSM7224r&s=0&a=&z=&x=0&y=0.
  52. Vgl. o.V. (2008), ftp://ftp.netgear.de/download/GSM7224R/datenblatt_GSM7224R.pdf, S. 3.
  53. Vgl. o.V. (2009), http://shopping.msn.de/prices/netgear-prosafe-24-port-gigabit-l2-managed-switch-gsm7224/itemid1411362/?itemtext=itemname:netgear-prosafe-24-port-gigabit-l2-managed-switch-gsm7224.
  54. Vgl. o.V. (2008), http://www.netgear.de/Produkte/Switches/Managed/GSM7224/datenblatt.html.
  55. Vgl. o.V. (2009), http://shopping.msn.de/prices/netgear-prosafe-48-port-10-100-1000-4-sfp-l2-managed-switch-%5Bgsm7248%5D/itemid1411520/?itemtext=itemname:netgear-prosafe-48-port-10-100-1000-4-sfp-l2-managed-switch-[gsm7248]&stext=gsm7248.
  56. Vgl. o.V. (2008), http://www.netgear.co.uk/pdfs/GSM7248.pdf, S. 2.
  57. Vgl. o.V. (2009), http://shopping.msn.de/prices/netgear-prosafe-48-ports-gigabit-l2-switch-gsm7248r/itemid41948349/?itemtext=itemname:netgear-prosafe-48-ports-gigabit-l2-switch-gsm7248r&stext=gsm7248r.
  58. Vgl. o.V. (2008), ftp://ftp.netgear.de/download/GMS7248R/datenblatt_GSM7248R.pdf, S. 3.
  59. Vgl. o.V. (2008), ftp://ftp.netgear.de/download/GSM7224R/datenblatt_GSM7224R.pdf, S. 1.
  60. Vgl. o.V. (2009), http://www.preisroboter.de/search.php?search=kat6+kabel+10+m&x=0&y=0&min=&max=.
  61. Vgl. o.V. (2009), http://www.preisroboter.de/search.php?search=kat7+kabel+100+m&start=0&shift=0&sortmode=0&min=&max=.
  62. Vgl. Irene (2009), http://www.raritan.de/Default.aspx?DN=2d7e7e31-396f-4a19-be18-367e78e633e5&l=German, S. 2 u.4.
  63. o.V. (2009), http://daxton.de/raritan-commandcenter-user-management.html.
  64. o.V. (2009), http://www.zyxel.de/web/product_print_version.php?PC1indexflag=20040908175941&CategoryGroupNo=F767D27C-26A1-41A2-966C-72688E1628B3.
  65. Vgl. o.V. (2009), http://www.twenga.de/preise-ZyWALL-USG-1000-ZYXEL-Hardware-Firewall-380250-0-4.
  66. Vgl. o.V. (2009), http://www1.euro.dell.com/de/de/unternehmen/Enterprise/server-poweredge-r710/pd.aspx?refid=server-poweredge-r710&s=bsd&cs=debsdt1.
  67. Vgl. o.V. (2009), http://www.wbdatentechnik.de/klebefolien-fuer-plotter/aslan/sichtschutzfolien/aslan-sf-140-sichtschutzfolie-mit-sandstrahl-2-2.html.
  68. Vgl. o.V. (2009), http://files.acco.com/KENSINGTON/K64162A/K64162A-deconsumer.pdf, S. 1.
  69. Vgl. o.V. (2009), http://www.google.de/products?q=Preis+K64162&oe=utf-8&rls=org.mozilla:de:official&client=firefox-a&um=1&ie=UTF-8&ei=NcsjSuG9OMjJ_gaF1IXDBg&sa=X&oi=product_result_group&resnum=4&ct=title.
  70. Vgl. Rubin (2002), S. 131.
  71. Vgl. Rubin (2002), S. 226.
  72. Vgl. Kortus (2009), http://www.siko-shop.de/product_info.php/info/p4601%7B48%7D226%7B1%7D24%7B45%7D159%7B70%7D336%7B51%7D213%7B77%7D383%7B52%7D214%7B53%7D221_Doppelzylinder-GERA-X---MAX.html/XTCsid/05802840866e86106bcc3ce7d572caed.
  73. Vgl. Kortus (2009), http://www.siko-shop.de/product_info.php/info/p4606%7B72%7D364%7B50%7D208_Wendeschluessel-aus-Neusilber-GERA-X---MAX.html.
  74. Vgl. Haas, http://www.datatronic.eu/rfid/downloaddaten/TRAXfamily_D_DTID.pdf, S. 1f.
  75. Vgl. o.V. (2009), http://www.intersider.de/pdf/rfid-karten-philips-mifare-at-500-rrda-intersider.pdf, S. 1.
  76. Kappes (2007), S. 321.
  77. Vgl. Kappes (2007), S. 321f.

11 Literatur- und Quellenverzeichnis

Eckert, Claudia (2003): IT-Sicherheit. Konzept - Verfahren - Protokolle. 2., überarb. und erw. Aufl. Oldenbourg, München
Florl (2001): Aufgaben in Call Centern. In: Jahnke, Jennifer; Rabbe, Georg (Hrsg.). Praxishandbuch Call-Center. Fachwissen kompakt für Agents und Management ; ein Handbuch der Call Center Akademie NRW. 1. Aufl. ECMC, Marl, S. 25–28.
Haas (2009): TRAXfamily deutsch DTID.doc, http://www.datatronic.eu/rfid/downloaddaten/TRAXfamily_D_DTID.pdf (Abruf am 31.05.2009)
Hansen, Hans Robert; Neumann, Gustaf; Hansen-Neumann (2005): Informationstechnik. 9., neu bearb. Aufl. Lucius & Lucius, Stuttgart
Helber, Stefan; Stolletz, Raik (2004): Call Center Management in der Praxis. Strukturen und Prozesse betriebswirtschaftlich optimieren. Springer, Berlin
Hornung (2009): Datenblatt BenQ E900T, ftp://217.21.255.101/monitor/lcd/datasheets/bqde/benq_e900t_datenblatt.pdf (Abruf am 29.05.2009)
Irene (2009): Spec Sheet CommandCenter Secure Gateway 4.1-German.qxp, http://www.raritan.de/Default.aspx?DN=2d7e7e31-396f-4a19-be18-367e78e633e5&l=German (Abruf am 30.05.2009)
Jahnke, Jennifer; Rabbe, Georg (Hrsg.) (2001): Praxishandbuch Call-Center. Fachwissen kompakt für Agents und Management ; ein Handbuch der Call Center Akademie NRW. 1. Aufl. ECMC, Marl
Kappes, Martin (2007): Netzwerk- und Datensicherheit. Eine praktische Einführung. B.G. Teubner Verlag / GWV Fachverlage GmbH Wiesbaden, Wiesbaden
Kersken, Sascha (2008): IT-Handbuch für Fachinformatiker. Der Ausbildungsbegleiter ; [EDV-Grundlagen, Netzwerktechnik, Programmierung ; praxisorientiertes Lehr- und Nachschlagewerk ; für Fachinformatiker der Bereiche Anwendungsentwicklung und Systemintegration]. 3., aktualisierte und erw. Aufl. Galileo Press, Bonn
Kortus (2009): MAX Doppelzylinder GERA X | MAX DZ X|MAX, http://www.siko-shop.de/product_info.php/info/p4601%7B48%7D226%7B1%7D24%7B45%7D159%7B70%7D336%7B51%7D213%7B77%7D383%7B52%7D214%7B53%7D221_Doppelzylinder-GERA-X---MAX.html/XTCsid/05802840866e86106bcc3ce7d572caed (Abruf am 31.05.2009)
Kortus (2009): MAX Wendeschlüssel aus Neusilber GERA X | MAX, http://www.siko-shop.de/product_info.php/info/p4606%7B72%7D364%7B50%7D208_Wendeschluessel-aus-Neusilber-GERA-X---MAX.html (Abruf am 31.05.2009)
Müller, Klaus-Rainer (2008): GWV Fachverlage GmbH Wiesbaden, Wiesbaden
o.V. (2003): Arbeitsstättenverordnung (2/3), http://bb.osha.de/good_practice/wmiw/arbst/ast2.htm (Abruf am 05.06.2009)
o.V. (2008): NetGear GMS7248, http://www.netgear.co.uk/pdfs/GSM7248.pdf (Abruf am 22.05.2009)
o.V. (2008): Seagate Cheetah 15K.6, http://www.seagate.com/docs/pdf/de-DE/marketing/po_cheetah_15k_6.pdf (Abruf am 22.05.2009)
o.V. (2008): GSM7224R, ftp://ftp.netgear.de/download/GSM7224R/datenblatt_GSM7224R.pdf (Abruf am 22.05.2009)
o.V. (2008): GMS7248R, ftp://ftp.netgear.de/download/GMS7248R/datenblatt_GSM7248R.pdf (Abruf am 22.05.2009)
o.V. (2008): GSM7224 Managed L2 Gigabit Switch mit 24 Ports, http://www.netgear.de/Produkte/Switches/Managed/GSM7224/datenblatt.html (Abruf am 21.05.2009)
o.V. (2009): Preisvergleich für NetGear ProSafe 24 Port Gigabit L2 Managed Switch (GSM7224), http://shopping.msn.de/prices/netgear-prosafe-24-port-gigabit-l2-managed-switch-gsm7224/itemid1411362/?itemtext=itemname:netgear-prosafe-24-port-gigabit-l2-managed-switch-gsm7224 (Abruf am 21.05.2009)
o.V. (2009): Preisvergleich Fujitsu Siemens Esprimo P5916 - Google Produktsuche, http://www.google.de/products?q=Preisvergleich+Fujitsu+Siemens+Esprimo+P5916&hl=de (Abruf am 22.06.2009)
o.V. (2009): Preisvergleich für NetGear ProSafe 48-Ports Gigabit L2 Switch (GSM7248R), http://shopping.msn.de/prices/netgear-prosafe-48-ports-gigabit-l2-switch-gsm7248r/itemid41948349/?itemtext=itemname:netgear-prosafe-48-ports-gigabit-l2-switch-gsm7248r&stext=gsm7248r (Abruf am 22.05.2009)
o.V. (2009): Preisvergleich für NetGear Prosafe 48-Port 10/100/1000 + 4 SFP L2 Managed Switch [GSM7248], http://shopping.msn.de/prices/netgear-prosafe-48-port-10-100-1000-4-sfp-l2-managed-switch-%5bgsm7248%5d/itemid1411520/?itemtext=itemname:netgear-prosafe-48-port-10-100-1000-4-sfp-l2-managed-switch-%5bgsm7248%5d&stext=gsm7248 (Abruf am 22.05.2009)
o.V. (2009): Kensington MicroSaver Desktop Computer Lock, http://files.acco.com/KENSINGTON/K64162A/K64162A-deconsumer.pdf (Abruf am 01.06.2009)
o.V. (2009): kat7 kabel 100 m –› Produktsuche & Preisvergleich bei PreisRoboter.de, http://www.preisroboter.de/search.php?search=kat7+kabel+100+m&start=0&shift=0&sortmode=0&min=&max= (Abruf am 26.07.2009)
o.V. (2009): Preis K64162 - Google Produktsuche, http://www.google.de/products?q=Preis+K64162&oe=utf-8&rls=org.mozilla:de:official&client=firefox-a&um=1&ie=UTF-8&ei=NcsjSuG9OMjJ_gaF1IXDBg&sa=X&oi=product_result_group&resnum=4&ct=title (Abruf am 01.06.2009)
o.V. (2009): Marktdaten, http://www.call-center-forum.de/index.php?id=79 (Abruf am 05.06.2009)
o.V. (2009): Preisvergleich Savvio® 15K.2, http://www.geizkragen.de/suche/Savvio_%2015K.2 (Abruf am 29.05.2009)
o.V. (2009): Toi Toi mieten - erento, http://www.erento.com/mieten/suchindex/toi+toi+mieten/ (Abruf am 12.08.2009)
o.V. (2009): Seagate Produktblatt Savvio 15K.2, http://www.seagate.com/docs/pdf/de-DE/marketing/po_savvio_15k_2.pdf (Abruf am 29.05.2009)
o.V. (2009): ZyWALL USG 1000, http://www.zyxel.de/web/product_print_version.php?PC1indexflag=20040908175941&CategoryGroupNo=F767D27C-26A1-41A2-966C-72688E1628B3 (Abruf am 30.05.2009)
o.V. (2009): Was bleibt vom Bruttolohn bzw. Bruttogehalt?, http://www.gehaltsvergleich.com/berufe-t.html (Abruf am 21.06.2009)
o.V. (2009): Rfid Karten Philips MIFARE AT 500, http://www.intersider.de/pdf/rfid-karten-philips-mifare-at-500-rrda-intersider.pdf (Abruf am 31.05.2009)
o.V. (2009): Raritan CommandCenter Secure Gateway, http://daxton.de/raritan-commandcenter-user-management.html (Abruf am 30.05.2009)
o.V. (2009): Preisvergleich, Test, Preis, Vergleich und Kaufen, http://www.geizkragen.de/preisvergleich/pc-und-co/festplatte/seagate/seagate-cheetah-15k6-st3146356fc/524661.html (Abruf am 22.05.2009)
o.V. (2009): RiskPlan Glossar, http://www.riskplan.admin.ch/temppics/Glossar_1250174365.pdf (Abruf am 13.08.2009)
o.V. (2009): Cherry G81-3000LPCDE-2 - Preisvergleich - Eingabegerät, http://www.guenstiger.de/gt/main.asp?produkt=834079 (Abruf am 29.05.2009)
o.V. (2009): Cherry G80-3000LQCEU - Preisvergleich - Eingabegerät, http://www.guenstiger.de/gt/main.asp?produkt=769190 (Abruf am 29.05.2009)
o.V. (2009): cherry xs complete keyboard - Suchergebnis von guenstiger.de, http://www.guenstiger.de/gt/main.asp?kid=0&suche=cherry+xs+complete+keyboard&Button=Suchen (Abruf am 29.05.2009)
o.V. (2009): Cherry WheelMouse Optical M-5400 - Preisvergleich - Eingabegerät, http://www.guenstiger.de/gt/main.asp?produkt=375577 (Abruf am 30.05.2009)
o.V. (2009): BenQ E700 - Preisvergleich (Preis ab € 97,51) - Monitor-Flatscreen, http://www.guenstiger.de/gt/main.asp?produkt=618654 (Abruf am 29.05.2009)
o.V. (2009): Aslan SF 180 - Sichtschutzfolie mattiert, hohe Lichtdurchlässigkeit, mit schwachem Ätzeffekt - W+B Datentechnik GmbH, http://www.wbdatentechnik.de/klebefolien-fuer-plotter/aslan/sichtschutzfolien/aslan-sf-140-sichtschutzfolie-mit-sandstrahl-2-2.html (Abruf am 28.06.2009)
o.V. (2009): BenQ E900T - Preisvergleich (Preis ab € 158,00) - Monitor-Flatscreen, http://www.guenstiger.de/gt/main.asp?produkt=723811 (Abruf am 29.05.2009)
o.V. (2009): BenQ E900 - Preisvergleich (Preis ab € 169,00) - Monitor-Flatscreen, http://www.guenstiger.de/gt/main.asp?produkt=618620 (Abruf am 29.05.2009)
o.V. (2009): Cisco ME 6500 Series Ethernet Switch [Cisco ME 6500 Series Ethernet Switches] - Cisco Systems, http://www.cisco.com/en/US/prod/collateral/switches/ps6568/ps6845/ps6846/product_data_sheet0900aecd8040657e.html (Abruf am 21.05.2009)
o.V. (2009): Geschäftskunden: Jährliche Wartungskosten um 75 Prozent gesenkt, http://geschaeftskunden.telekom.de/tsi/de/509070/Home/Erfolgsgeschichten/Geschaeftsthemen/Kosten-senken/990-schwind-interview (Abruf am 03.07.2009)
o.V. (2009): Seagate, http://www.seagate.com/ww/v/index.jsp?locale=de-DE&name=dn-surv-solutions-enterprise&vgnextoid=f8622d6caec34110VgnVCM100000f5ee0a0aRCRD (Abruf am 26.07.2009)
o.V. (2009): kat6 kabel 10 m –› Produktsuche & Preisvergleich bei PreisRoboter.de, http://www.preisroboter.de/search.php?search=kat6+kabel+10+m&x=0&y=0&min=&max= (Abruf am 26.07.2009)
o.V. (2009): Infrastruktur im HV-Umfeld, http://www.bsi.de/fachthem/hochverfuegbarkeit/11_Infrastruktur.pdf (Abruf am 05.06.2009)
o.V. (2009): Definitionen und Metrik für die Hochverfügbarkeit, http://www.bsi.de/fachthem/hochverfuegbarkeit/1_2_Definitionen.pdf (Abruf am 17.05.2009)
o.V. (2009): Cisco ME-6524-GT, 24-Port (ME-C6524GT-8S) Preisvergleich bei Geizhals.at Österreich, http://geizhals.at/at/a405426.html (Abruf am 21.05.2009)
o.V. (2009): Der / das Bruttogehalt : Durchschnitt in Deutschland, http://www.gehaltsvergleich.com/berufe-c.html (Abruf am 21.06.2009)
o.V. (2009): Dell PowerEdge R710 Rack-Server–Produktinformationen, http://www1.euro.dell.com/de/de/unternehmen/Enterprise/server-poweredge-r710/pd.aspx?refid=server-poweredge-r710&s=bsd&cs=debsdt1 (Abruf am 27.07.2009)
Peter (2004): Innenteil Einbruch, http://www.kriminalpraevention.de/downloads/as/techpraev/Wirksamkeit_Kurzfassung.pdf (Abruf am 05.06.2009)
Rubin, Aviel D. (2002): Hackerabwehr und Datensicherheit. Angriff, Diagnose, Abwehr. Addison-Wesley, München
SA (2009): ZYXEL ZyWALL USG-1000, http://www.twenga.de/preise-ZyWALL-USG-1000-ZYXEL-Hardware-Firewall-380250-0-4 (Abruf am 30.05.2009)
Warstat (2007): Datenblatt E900, ftp://80.252.92.142/monitor/lcd/datasheets/bqde/datenblatt_benq_e900.pdf (Abruf am 29.05.2009)
Warstat (2007): Datenblatt E700, ftp://217.21.255.101/monitor/lcd/datasheets/bqde/datenblatt_benq_e700.pdf (Abruf am 29.05.2009)
ZF Electronics GmbH (2009): WheelMouse optical, http://www.cherry.de/PDF/DE_WheelMouse_optical.pdf (Abruf am 30.05.2009)
ZF Electronics GmbH (2009): XS Complete Keyboard, http://www.cherry.de/PDF/DE_XS_Complete_Keyboard.pdf (Abruf am 29.05.2009)
ZF Electronics GmbH (2009): G80-3000, http://www.cherry.de/PDF/DE_G80-3000.pdf (Abruf am 29.05.2009)
ZF Electronics GmbH (2009): G81-3000, http://www.cherry.de/PDF/DE_G81-3000.pdf (Abruf am 29.05.2009)
Von „http://winfwiki.wi-fom.de/index.php/Erstellung_eines_Sicherheitskonzeptes_f%C3%BCr_ein_Unternehmen_der_Call-Center-Branche
Persönliche Werkzeuge