Fast alle Unternehmen sind heute bereits vom reibungslosen Funktionieren ihrer Computersysteme abhängig. Wie groß diese Abhängigkeit tatsächlich ist, wird jedoch oft zu spät erkannt: nämlich dann, wenn der Schaden bereits eingetreten ist. Deshalb ist es auch nicht überraschend, daß für viele Unternehmen Schadensfälle im eigenen Rechenzentrum der Anlaß für eine intensivere Beschäftigung mit dem Thema Sicherheit sind. Walter Boltz, Leiter der Diebold Parisini GmbH in Wien, beschreibt, wie sich DV-Verantwortliche vor "Überraschungen" schützen können.
Warum Sicherheitsvorkehrungen in der Vergangenheit häufig mit geringer Priorität behandelt wurden, ist bei näherer Analyse eindeutig. Einerseits ist die zunehmende Abhängigkeit der Unternehmen von ihren DV-Systemen eine Folge vermehrter Online-Anwendungen und Automatisierung vieler Unternehmensbereiche. Dies resultiert aus einer Entwicklung, die vor allem während der letzten zwei bis drei Jahre stark an Bedeutung gewonnen hat.
Risiko gestiegen
Andererseits ist das Risiko in fast allen Bereichen deutlich gestiegen, und zwar nicht aufgrund wachsender Kriminalität, sondern auch durch zunehmende DV-Kenntnisse in breiten Bevölkerungsschichten.
Dazu kommt noch ein gewisses Mißverhältnis in der Risikoeinschätzung zwischen Management und den Spezialisten aus DV und Organisation. Während nämlich das Management wohl zu Recht nur geringes Vertrauen in die Ehrlichkeit der Mitmenschen hat, dafür jedoch überzeugt ist, daß alle DV-Systeme ausreichend abgesichert sind, glauben die Systementwickler aus DV und Organisation primär an die Ehrlichkeit der Mitmenschen. Sie sind sich durchaus der Tatsache bewußt, daß die Mehrzahl der Systeme keineswegs gegen betrügerische Manipulationen gesichert sind.
Die intensive Berichterstattung über Brandanschläge, illegales Eindringen in fremde Computersysteme und andere Fälle von Computerkriminalität in den letzten Monaten hat die DV-Leiter vieler Unternehmen verunsichert. Es stellt sich nun die Frage, wie weit das eigene Rechenzentrum gefährdet ist und welche Vorkehrungen getroffen werden müssen.
Bevor jedoch Fenster zugemauert, teure Sicherheitssoftwarepakete beschafft und die Datenleitungen mit Verschlüsselungsgeräten abgesichert werden, sollte es eine Risikoanalyse geben, um alle Fakten für die Planung der Sicherheitsvorkehrungen zu kennen.
Grundlage dieser Risikoanalyse sind einerseits Erfahrungswerte über die Eintrittswahrscheinlichkeit der einzelnen Bedrohungen, andererseits eine individuelle Analyse der Auswirkungen von Störungen auf das eigene Unternehmen. Dabei ist es erforderlich, alle Formen der Bedrohung von Feuer, Wasser, Erdbeben, über Terrorismus, Computerkriminalität bis zur Fahrlässigkeit und Bedienungsfehlern in die Analyse einzubeziehen.
Keine Wirkung der Maßnahmen durch kleine Planungsfehler
Als Basis für eine Prioritätsreihung der einzelnen Bedrohungen kann das Produkt der Eintrittswahrscheinlichkeit mit der Schadenssumme herangezogen werden. Bei der daran anschließenden Ausarbeitung eines Sicherheitskonzepts und der Planung einzelner Sicherheitsvorkehrungen sollte - wenn möglich - auf externe Hilfe zurückgegriffen werden, da selbst durch kleine Planungsfehler die getroffenen Maßnahmen ohne Wirkung bleiben können. Fälle wie die Montage von bruch- und feuersicherem Glas in normalen Aluminiumrahmen, die auf Druck nachgeben und bei Brand schmelzen, oder die Verlegung des Rechenzentrums in den geschätzten Keller in unmittelbarer Nachbarschaft zum Heizöltank sind leider keine Einzelfälle.
Eine für viele Verantwortliche überraschende Tatsache ist auch, daß moderne Sicherheitstechnik wie beispielsweise Feuerlöschsysteme, Alarmanlagen, Zutrittskontrollsysteme im Gegensatz zur Hardware in den letzten Jahren eher teuer geworden ist. Für all jene, die nicht bis zu drei Prozent ihrer DV-Kosten für Sicherheit ausgeben können oder wollen, bleibt jedoch der Trost, daß "teuer" nicht unbedingt mit "sicher" gleichzusetzen ist. Erfahrungsgemäß können mit geringen Investitionskosten und sorgfältiger Planung sowie Mitarbeiterschulung oft bessere Resultate erzielt werden als mit aufwendiger Sicherheitstechnik und oberflächlicher Planung.