Welche gravierenden Folgen der gezielte Mißbrauch des Computers haben kann, hat die Herstatt-Pleite eindrucksvoll bewiesen. Die anschließenden Ermittlungen wirkten in der Branche wie ein Schock: Schlagartig war klargeworden, daß die enorme Leistungsfähigkeit einer EDV-Anlage nicht beschränkt ist auf die Abwicklung ordnungsgemäßer Vorgänge. Bei Herstatt hatten Manipulationen an der Bedienung bewirkt, daß auch fehlgeleitete Vorfälle "zuverlässig" abgearbeitet wurden. Unauffällig gestaltete Rahmenbedingungen sorgten dafür, daß die "illegalen" Benutzer unentdeckt blieben.

Zwar entstand ein ordnungsgemäßer Belegsatz, mit dem die Geschäfte den Bankkontrahenten gegenüber bestätigt wurden - die Buchungssätze, die in die zentrale Rechenanlage übermittelt werden sollten, konnten aber durch eine bestimmte Bedienungsform unterdrückt werden. Die Folge: Die tägliche Berichterstattung an die Bankleitung - Ansatzpunkt für die Bankenaufsicht - wurde gezielt verfälscht. Der Umgang der Spekulationsgeschäfte blieb verschleiert.

Der Herstatt-Fall deckt gleich mehrere Todsünden der DV-Organisation auf:

- Belege erhielten zwar eine laufende Nummer, diese wurde aber weder innerhalb noch außerhalb des maschinellen Systems auf Vollständigkeit oder Doppelvergabe überprüft.

- Abgebrochene Vorfälle führten zwar zu einem Belegsatz, aber nicht zu einem Datensatz. Der Rechner, der in der Zentrale das gesamte Buchungsgeschehen zu erfassen hatte, bekam daher keinerlei Hinweise über abgebrochene Dateneingaben. Gerade solche Dinge sind aber hochinteressant weil sie Fehlverhalten des Systems wie auch bewußte Manipulationen oder entsprechende Versuche nachzuweisen vermögen (wenn die Protokolle ausgewertet werden!

- Die von der internen Revision der Bank aufgezeigten grundsätzlichen Ordnungsmäßigkeitsmängel führten zu keinerlei Konsequenzen. Mit anderen Worten: Obwohl eine interne Revision existierte, wurde sie von der Geschäftsführung nicht als Kontrollinstrument gezielt eingesetzt.

- Es bestand keine Dokumentation der möglichen Routinen, so daß die Revision keine konkreten Ansätze hatte. Lediglich dem Erfassungspersonal war die Routine der Spekulationsgeschäfte verbindlich vorgegeben worden.

Es wäre leichtfertig, den Herstatt-Fall als bankentypisch abzutun, der für Industrie und Handel keine Bedeutung hat. Der Informationshaushalt großer Unternehmen hängt unmittelbar von einer funktionierenden Datenverarbeitung ab; in mittleren und kleineren Unternehmen ist dieser Zustand inzwischen dank preiswerter Bürocomputer auch schon oder aber bald erreicht. Hier müssen sich die Verantwortlichen folgende Fragen stellen:

- Wie kann die Verfügbarkeit der EDV sichergestellt werden? (Verlustsicherung) .

- Wie kann verhindert werden daß unbefugte Aktionen mit Hilfe der EDV oder gegen die EDV durchgeführt werden? (Zugriffssicherung).

- Wie wird sichergestellt, daß die Anforderungen an, die EDV optimal und korrekt in Verfahren umgesetzt werden (Ordnungsmäßigkeit)?

Diese Fragen schließen alle Risiken ein, die hinsichtlich der EDV denkbar sind: Von der Feuersbrunst über Betriebsspionage und Sabotage bis zur Schlamperei. Die Frage ist nur: Wie sichert man sich gegen diese Risiken?

Es empfiehlt sich zunächst die Benennung eines Verantwortlichen, der sich um die Sicherheit zu kümmern hat. Man kann den EDV-Leiter im Rahmen seiner Aufgabenstellung hierzu benennen und den betrieblichen Datenschutzbeauftragten auffordern mitzuwirken. Umgekehrt geht's auch - entscheidend ist, daß sich jemand wirklich verantwortlich fühlt und die Aufgabe ernst nimmt.

Der zweite Schritt: besteht in einer Erhebung über den Sicherheitsstatus im Unternehmen. Dabei sind die jeweiligen Stellen (Fachabteilung, Rechnerbetrieb, Programmierung) zu befragen, inwieweit sie in ihrem Bereich oder im Gesamtablauf Sicherheitsrisiken erkennen und welche Maßnahmen sie vorschlagen.

Es kann passieren, daß ein Bereich sich als "in Ordnung" meldet, während ein anderer gerade in dem als "in Ordnung" gemeldeten Bereich - gravierende Schwachstellen entdeckt. Aber das ist gewollt. Es geht nicht darum, einzelne anzuklagen. Vielmehr soll objektiv festgestellt werden, wo Risiken erkennbar sind.

Eine solche Bestandsaufnahme ist aber nicht mehr als nur ein sinnvoller Ansatz. Wichtig ist, wie es weitergeht. Folgt man der von der Gesellschaft für Datenschutz und Datensicherung e. V., Köln (Näheres über Redaktions-Info), herausgegebenen Systematik, so ist zunächst das einzelne Objekt - also die DV-Anwendung mit ihren Datenbeständen - zu untersuchen. Die einzelnen Umstände der Verarbeitung werden erhoben und dokumentiert. Der Wert der Daten ist anschließend zu überdenken. Denn: Es gibt zahlreiche DV-Anwendungen im Unternehmen, aber nicht alle haben das gleich hohe Schutzbedürfnis.

Weiß man nun die einzelnen Anwendungen nach ihrem Schutzwert zu gruppieren, so ist eine Überlegung zu den Gefahren einerseits und den Schwachstellen andererseits erforderlich, denn nur beide zusammen ergeben ein Risiko. Beide Aspekte können systematisch verglichen werden. Der Vergleich muß folgende Aspekte einbeziehen:

- Wirkung der Sicherheitsmaßnahmen (Erreichen des Sicherheitszieles);

- Umstände der Implementierung (technische Probleme wie auch Fragen der Akzeptanz)

- Kosten jeder Alternative (Einmal-/laufende Kosten) und Einsparungen.

Erst wenn eine derartige Analyse angefertigt wurde, kann eine Entscheidung für die zu treffende Sicherheitsmaßnahme verantwortet werden. Jedes unsystematische Vorgehen birgt dagegen neue Risiken - verursacht aber mit Sicherheit Kosten: vielleicht ohne Sicherheit zu erreichen.

Sicherheitsanalyse permanenter Prozeß

Sicherheit ist ein dynamisches Problem, weil sich Schwachstellen in ihrer Realität oder ihrer Bewertung ändern. die Einführung der Bildschirmprogrammierung zum Beispiel schafft völlig neue Ordnungsmäßigkeitsprobleme bei solchen Systemen, die die durchgeführten Arbeiten nicht hinreichend dokumentieren.

Die permanente Behandlung dieses schwierigen Themas ist also unerläßlich. Eine regelmäßige Kontrolle der Aktivitäten ist seitens der Unternehmensführung zu realisieren. Nur so kann sichergestellt werden, daß die nach menschlichem Ermessen realistischen Gefahren mit wirtschaftlich gebotenen und vertretbaren Mitteln abgewendet werden und die EDV nicht zu einem permanenten kaum greifbaren Risikofaktor wird.

Quelle: Orgadata, Fachsupplen für Betriebsorganisation, Bürorationalisierung, Datentechnik, Verlag W. Girardet, Essen; Nr. 3/81.