NEUSS (CW) - Die Neusser Apollo GmbH hat für die Datensicherung eine Checkliste entwickelt, in der die für die technische Organisation des BDSG notwendigen Maßnahmen zum "Abhaken" aufgelistet sind. Dies erscheint als eine praktikable Methode, um mögliche Zwei- und Mehrgleisigkeiten von Anfang an reduzieren zu können. In Auszügen veröffentlicht CW hier die wichtigsten Stichworte, vor allem zu den technischen und organisatorischen Maßnahmen. Um dem Gesetz zu entsprechen, sind abhängig von Unternehmensgröße und Branche teilweise zeitaufwendige Aktivitäten notwendig. Damit dabei die vom BDSG genannten Termine eingehalten werden, aber keine wesentlichen Kriterien vergessen und keine Doppel-Aktivitäten veranlaßt werden, sollte ein Prioritäten-Katalog aufgestellt werden. Die den nachfolgend aufgeführten Aktivitäten zuzuordnenden Termine können sich selbstverständlich aus organisations- und technisch-bedingten Gründen je Unternehmen unterschiedlich stellen; es sollte jedoch bewußt bei den zu setzenden Terminen davon ausgegangen werden, daß der notwendige Zeitbedarf für Entscheidungen, Beschaffungen oder Entwicklungen und Einführungen realistisch und nicht zu knapp geplant wird.

Ver- und Entschlüsselung

Bei der Auswahl eines kryptographischen Verfahrens ist einerseits die Sicherheit des Verfahrens sehr wichtig, andererseits aber auch der Aufwand zur Ver- und Entschlüsselung zu beachten.

Aus mehreren Arten von Datenverschlüsselungen nach kryptographischen Verfahren sind die vier nachfolgend aufgeführten als Beispiel ausgewählt worden:

- Statische Verschlüsselung; 1:1-Verschlüsselung. Eine Entschlüsselung ist lediglich bei manuellen Versuchen problematisch; während bei einer Entschlüsselung unter Zuhilfenahme von automatisierter Datenverarbeitung keine Schwierigkeiten mehr gegeben sind. Durch die Anwendung statistischer Verfahren sind die benutzten Tabellen leicht zu ermitteln.

- Dynamische Verschlüsselung; über feste Codeworte wird eine dynamisch veränderbare Tabelle gesteuert. Die Verschlüsselung liegt auch hier im 1:1 Verhältnis: jedoch nach einer bestimmten Anzahl von Zeichen wird die Tabelle abhängig vom Codewort verändert.

Eine Entschlüsselung ist in diesem Fall schon schwieriger; aber dennoch bei Einsatz von EDV-Anlagen möglich.

- Dynamische Verschlüsselung; über feste Codeworte erfolgt eine Vertauschung von Daten (Bits) innerhalb eines festen Datenbereiches.

Die Umstrukturierung wird durch Codeworte gesteuert.

Mehr Sicherheit bietet dieses Beispiel, da durch die Umstrukturierung des Datenbereiches Inhalt und auch Feldgrenzen bei einem unberechtigten Entschlüsselungsversuch nicht mehr zugeordnet werden können.

- Dynamische Verschlüsselung; zu verschlüsselnder Datenbereich und Code haben gleiche Länge.

Dieses Beispiel ist absolut die sicherste Methode, um einer unberechtigten Entschlüsselung von Daten entgegenzuwirken. Die Verschlüsselung findet Zeichen für Zeichen statt. Voraussetzungen zur Auswahl des zu verwendenden Codes: Code muß gleiche Länge haben wie der zu verschlüsselnde Datenbereich; der Code muß eine Zufallszahl sein; die Zeichenfolge des Codes darf sich nicht wiederholen.

Diese Methode ist nicht zu entschlüsseln, weil ihr keine feste Regel zugrunde liegt. Bei dem vorliegenden Verschlüsselungsverfahren des Datensicherungs-Systems wurde versucht, die dynamische Verschlüsselung soweit wie möglich anzuwenden.

Aus einem vierstelligen Code, den der Anwender festlegt, wird eine Pseudo-Zufallszahl in der Länge des zu verschlüsselnden Datenbereiches generiert. Der Unterschied zu dem unter beschriebenen Verfahren ist, daß aus Wirtschaftlichkeitsgründen keine echte Zufallszahl, sondern eine Pseudo-Zufallszahl benutzt wird. Hierdurch wird die Sicherheit dieses Verfahrens nur unwesentlich betroffen und stellt einen Kompromiß dar, der bei vertretbarem Aufwand eine sehr hohe Sicherheit vor unberechtigter Entschlüsselung bietet.

Die nun bereits verschlüsselten Daten werden in der zweiten Stufe linear anhand einer Tabelle übersetzt, die ebenfalls vom Anwender bestimmt werden kann. Die Tabelle umfaßt 256 StelIen.

Fred Jaster ist Geschäftsführer der Apollo GmbH EDV- und Unternehmensberatung in Neuss.