ESCHBORN (VWD) - Mit der Verbreitung der Akustik-Koppler wächst auch die Mißbrauchsmöglichkeit von Datenbanken. In den USA werden 1987 nach einer Dataquest-Schätzung voraussichtlich über zwei Millionen Akustik-Koppler installiert sein. Den Eigentümern von Datenbanken graust vor den Aussichten illegalen Zugriffs.

Fachleute gehen davon aus, daß die Wirtschaftskriminalität in wenigen Jahren auf diesem empfindlichen Gebiet ihr Hauptfeld haben wird, weil die Durchdringung der Gesellschaft mit Computern und die viel selbstverständlichere Vorbereitung einer neuen Generation auf dies für die Alten quälerische Gebiet zu einem Erfindungsreichtum führen

wird, von denen der Film "War Games", in dem der junge Filmheld sich mal eben an den Computer des amerikanischen Verteidigungsministeriums hängt, einen Vorgeschmack

liefert.

Wie drängend die Computersicherheit ist, kann aus der Sorge von Managern abgelesen werden, die schon einiges für das Abschirmen tun. Eine große Lebensversicherungsgesellschaft in den USA beispielsweise (Metropolitan Life Insurance Co.) gibt zwei bis drei Prozent der Budgetansätze für Datenverarbeitung für die Sicherheit aus. Sechs Vollzeitkräfte sind mit der Aufgabe betraut. Und doch sagt der Fachmann für

Elektronik (auf Vorstandsebene) Daniel J. Cavanagh: "Wir schießen auf ein bewegtes Ziel."

Wie viel unruhiger müssen jene Unternehmensleiter sein, die bisher auf diesem Sektor nichts oder fast nichts unternehmen? Der Grund für die Tatsache, daß die Computersicherheit sich wohl nur selten auf den Tagesordnungen von Vorstandsvorsitzungen befindet, liegt nach Expertenmeinung auch darin, daß nur die wenigsten Unternehmen überhaupt abzuschätzen vermögen, wie hoch das Kostenrisiko im Falle eines "Einbruchs" ist. Für Banken und ähnliche Institute sei das eher kalkulierbar, die wüßten eben, was ihnen blüht, wenn jemand mit ihren Konten herumspielt. Aber wie schätze man die Gefahr ein, daß ein Hersteller sich Kenntnis davon beschafft, wie die Tagerhaltung beim Kunden aussieht.

Guter Rat teuer

Wer sich in seinem Unternehmen mit diesen Fragen beschäftigt, sollte nicht knausrig sein oder gar sagen: "Warten wir doch erst mal ab, ob überhaupt etwas passiert." Es gibt eine Lösungen, die für "ein Ei und ein Butterbrot" zu haben sind. In jedem Falle entstehen Personalkosten. Man braucht für diesen Zweck zudem Fachleute, die nicht gerade unter den schwächsten EDV-Spezialisten ausgewählt sein dürfen. Jene Mitarbeiter, denen schließlich auch beträchtliche Werte anvertraut werden müssen, sind fast wertlos, wenn sie nicht mindestens soviel wissen wie jene, die dem System die Architektur gegeben haben.

Es ist auch leichtfertig, von der Vorstellung auszugehen, der eigene Computer sei ja nicht mit dem Telefonystem verbunden. Wer weiß, ob sich nicht doch jemand eine Verbindung besorgen (lassen) kann? Und mit der Durchsetzung der Büros mit Personal Computern reicht es eben nicht aus, die Zentraleinheit abzuschirmen.

Unternehmen, die ein Sicherheitssystem haben, wie die großen Ölgesellschaften beispielsweise, sagen: Entscheidend ist es, Sicherheitsexperten zu haben, die schon bei der (Weiter-)Entwicklung des Systems mitwirken. Sie müßten damit beauftragt werden, die Schlüssel zu konstruieren, mit denen Unbefugte ferngehalten werden. Schlüssel nicht nur in den Türen.

Aus den Erfahrungen klug geworden, haben Sicherheitsexperten ein paar Faustregeln aufgestellt, die als Mindestanforderungen verstanden werden sollten:

1) Ohne Kennwort geht es nicht. Lassen Sie das Kennwort häufig (unregelmäßig) wechseln. Machen Sie das Kennwort zur Kategorie höchsten Geschäftsgeheimnisses!

2) Verbinden Sie das Kennwort mit zusätzlichen Daten des Berechtigten (Geburtsdatum zum Beispiel). Das macht das Knacken des Codes schwieriger.

3) Legen Sie genau fest, wer, was, wie oft darf?

4) Führen Sie eine "Nutzerkladde". Das macht es leichter, von der Norm abweichende Nutzung zu entdecken. Schalten Sie aber auch ihren Datenbeauftragten ein!

5) Machen Sie die Frage, wie Ihr System gesichert wird, zu einer Entscheidung der Unternehmensleitung. Und nehmen Sie auch (vorübergehend) schlechte PR in Kauf, weil Sie jeden Fall des Geheimnisbruchs, ob intern oder von außen, verfolgen lassen.

Schließlich ein letzter Rat: Enttäuschung über den (Miß-)Erfolg von Vorkehrungen darf niemals dazu führen, daß man Bemühungen um besseres schließlich läßt.