Die meisten warten immer noch, bis es kracht

DV-Sicherheit - den wenigsten Anwendern ist klar, wie sehr sie von ihrer Datenverarbeitung abhängig sind

08.06.1990

Innerhalb weniger Jahre hat bei Unternehmen, Behörden, Instituten und sogar Privatpersonen die Abhängigkeit von der Datenverarbeitung rapide zugenommen. Schleichend, oft nicht einmal von den Betroffenen selbst richtig erkannt, entstand damit ein Gefahrenpotential, dem in der Regel keine annähernd ebenbürtigen Sicherheitsvorkehrungen gegenüberstehen. Katastrophen, wie das kalifornische Erdbeben im vergangenen Herbst, spektakuläre Verbrechen wie der "KGB-Hack" und eine unheimliche Virenepidemie rückten die Sicherheitsfrage im letzten Jahr ins Zentrum der Aufmerksamkeit.

In der Nacht vom zweiten auf den dritten März 1989 schliefen einige DV-Verantwortliche vermutlich ziemlich schlecht. Beamte des Bundeskriminalamtes hatten in einer Großaktion den bislang größten und spektakulärsten Hackerfall aufgedeckt. Bohrende Fragen des Chefs zur Sicherheit der eigenen Anlage waren gewiß.

Mehrere Jahre lang hatten deutsche Hacker im Auftrag des KGB in Europa, Asien und den Vereinigten Staaten Rechner "zerlegt". Aus Forschungsinstituten, Universitäten und Unternehmen abgezogene Daten, Programme, Kennungen und Paßworte wanderten gegen Bargeld nach Osten. Die größte Hilfe der Hacker bei ihren Raubzügen waren Fehler in den Betriebssystemen und sträflicher Leichtsinn der Benutzer.

Exakt vier Monate zuvor hatte ein Wurmprogramm des 23jährigen Studenten Robert T. Morris für Schlagzeilen gesorgt. Mit rasender Geschwindigkeit hatte es sich im amerikanischen Internet verbreitet und einige tausend Computer regelrecht erstickt. Eine der Voraussetzungen für die Ausbreitung des Wurms war eine geheime Hintertür in einem Unix-Dienstprogramm, die der Entwickler "vergessen" hatte, zu schließen.

Weder Hersteller noch Anwender hatten bis dahin viele Gedanken an die Sicherheit ihrer Systeme verschwendet. Der Morris-Wurm und der KGB-Hack rissen sie jäh aus ihrer Unbekümmertheit. "Das hatte schon etwas gutes", stellte ein Besucher der 1. Deutschen Konferenz über Computersicherheit in Bad Godesberg fest: "Danach waren die hohen Herren plötzlich viel ansprechbarer, wenn es um Ausgaben für die Sicherheit ging."

Mittlerweile ist die Aufregung abgeklungen und viele Köpfe stecken schon wieder tief im Sand. Der Münchner Sicherheitsberater und Computerdetektiv Franz-Josef Lang: "Es hat sich nichts geändert. Sie warten noch immer, bis es kracht".

Nach wie vor ist das Thema Sicherheit ein Tabu: Man spricht nicht gerne darüber schon gar nicht öffentlich und nicht mal dann, wenn man sich eigentlich keine Versäumnisse vorzuwerfen hat. Jeder weiß, daß es 100prozentige Sicherheit nicht gibt - und eben das macht unsicher. Denn jeder weiß auch, daß es ihn den Kopf kosten kann, wenn etwas gravierend schiefgeht.

Dazu kommt die Angst der Unternehmen vor dem Imageverlust, wenn etwas rauskommt. Übereinstimmend schätzen Sicherheitspraktiker, daß nicht mehr als fünf bis sieben Prozent aller Computerdelikte gemeldet werden.

"Die RZ-Leiter", beschreibt der Kölner Sicherheitsberater Rainer von zur Mühlen die Situation, "haben die undankbare Aufgabe, täglich dafür zu sorgen, daß das Provisorium, das es eigentlich gar nicht geben dürfte, doch funktioniert. Und wenn es funktioniert, hören sie: Was wollt ihr denn, es geht doch." Es geht, und vor dem, was passiert wenn es nicht mehr geht, verschließt man die Augen.

Die Folgen, die für ein Unternehmen heute der Totalverlust seines Rechenzentrums oder seiner Datenbestände haben kann, schilderte Dieter Weber, Leitender Direktor für die DV beim Gerling-Konzern, auf dem diesjährigen Secunet-Kongreß in Köln. Demnach überleben Versicherungen einen Totalausfall ihrer DV 5,5 Tage, Produktionsunternehmen halten 5 Tage durch, Handelsunternehmen 2,5 und Banken nur noch ganze zwei Tage.

Amerikanischen Studien zufolge, so Weber weiter, hätten etwa 25 Prozent der Firmen, deren Rechenzentrum zerstört wurde, Konkurs anmelden müssen. Und der Haftpflichtverband der deutschen Industrie habe nachgewiesen, daß sogar 40 Prozent aller Betriebe, die einen Totalverlust ihrer DV ohne Notfallplan durchstehen mußten, innerhalb von zwei Jahren zusammenbrachen.

Schon relativ geringfügige Beschädigungen zentraler Daten oder auch nur Störungen des normalen Ablaufs können gewaltige Kosten verursachen. Eine IDC-Studie zur Datensiherheit schätzt, daß die Rekonstruktion eines Datenbestandes von 20 MB, je nach Unternehmensbereich, zwischen 17 000 und 98 000 Dollar kostet und zwischen 19 und 42 Tage dauert.

Dabei sind die unmittelbaren Schäden an den Daten oder an Hard- und Software noch das geringste Problem. Die schwersten Folgen haben die resultierenden Störungen im Betriebsablauf. Hier können Kosten auflaufen, die ein Vielfaches des materiellen Schadens ausmachen.

Nur wenige Organisationen machen sich den Grad der Abhängigkeit von ihrer DV wirklich bewußt. Immer häufiger entscheiden Systeme über Gedeih und Verderb, die kaum mehr überblicken und in Notfall nicht mehr beherrschen.

Für Walter Boltz, Sicherheitsexperte bei der Wiener Diebold-Niederlassung, ist das ein schleichender Prozeß: "Anfangs war das ein kleines System, mit dem vielleicht zehn Leute in einer Abteilung gearbeitet haben. Das war kein problem, wenn das ausfiel. Heute wird es flächendeckend eingesetzt, alle Papierunterlagen sind vernichtet oder nicht auffindbar, kein Mensch weiß, wie man ohne EDV die Transaktionen durchführt. Da ist unbemerkt eine enorme Abhängigkeit entstanden".

Angesichts dieser Verhältnisse legen viele Unternehmen eine erschreckende Sorglosigkeit an den Tag. Eine von Dieter Weber zitierte Untersuchung von Lampertz & Co ergab, daß nur 19 Prozent der Abteilungen eine Bewertung ihrer DV-Abhängigkeit und des Ausfallrisikos durchgefürt haben; nicht mehr als elf Prozent der Datenträger waren korrekt archiviert; nur 27 Prozent der Datenträger in der Fertigung waren gegen schädliche Umwelteinflüsse geschützt.

Der Leichtsinn und der ungenügende Sicherheitsstandard der Systeme haben Gründe: Sicherheit kostet Geld - und sie ist lästig. Die Anwender fühlen sich behindert und dem Management ist sie zu teuer oder zu uninteressant.

Um 30 bis 40 Prozent, schätzt Franz-Josef Lang, können die erforderlichen Sicherheitsmaßnahmen den Arbeitsablauf bremsen. Und absolute Sicherheit ist, wie Gerhard Weck, Sicherheitsexperte der Kölner Infodas klarstellt, überhaupt "nur bei Stillstand des Systems zu erreichen." Die Schwierigkeit besteht darin, einen tragfähigen Kompromiß zu finden zwischen Sicherheit und Behinderung des täglichen Geschäfts.

Sicherheit sollte einfach erreichbar sein. "Wenn man dem Benutzer zu umständliche Prozeduren zumutet, arrangiert er sich auf seine Weise", warnt Werner Schmidt, Mitarbeiter des Bundesbeauftragten für den Datenschutz - er umgeht sie. "Es hat keinen Sinn, wenn ein Produkt wie RACF nur gekauft und anschließend nicht oder nur zu einem minimalen Teil seiner Fähigkeiten eingesetzt wird." Ein Secunet-Besucher, früher selbst Entwickler: "Oft wird die Funktionalität eines Produktes vom Funktionswahn der Entwickler und Vertriebsleute erdrückt. Am Ende kann es dann theoretisch fast alles, aber praktisch kann es gar nichts, weil es keiner mehr genügend durchschaut."

Innovationsdruck und Konkurrenzdruck zwingen die Hersteller, ihre Produkte so schnell und so billig wie möglich auf den Markt zu bringen. Zusätzliche Sicherheitsüberprüfungen und Sicherheitsvorkehrungen aber kosten Zeit und Geld und damit Marktanteile. Daß dem so ist, daran sind für Walter Boltz vor allem die Kunden selber schuld: "Wenn Sicherheit nachgefragt wird, wird sie früher oder später auch angeboten."

Von sich aus, glaubt Boltz, würden die Hersteller das jedenfalls kaum tun. Sie fürchten, "daß durch die Nennung der Sicherheitsprobleme die EDV einen negativen Anstrich bekommt". Gemeinsam ausgeübter Druck der Anwender könnte die Computerbauer eines besseren belehren. Denkbar wären auch gesetzliche Vorgaben, die einen sicherheitstechnischen Mindeststandard erzwingen, vergleichbar etwa der Gurtpflicht oder der periodischen TÜV-Untersuchung beim Auto.

Doch die Verantwortung für die Sicherheit ihres Systems kann den Betreibern kein noch so perfektes technisches Instrumentarium abnehmen. Denn das größte Sicherheitsrisiko in der EDV, darin sind sich die Fachleute einig, ist der Mensch, vor allem der berechtigte Benutzer. An die neunzig Prozent aller Schäden werden von Insidern verursacht. Die grundlegenden und zugleich billigsten Sicherheitsvorkehrungen sind deshalb organisatorische und menschliche Maßnahmen.

Gerhard Weck unterstellt, daß nicht mehr als zehn Prozent der Bevölkerung absolut ehrlich sind, zehn Prozent sind absolut unehrlich und 80 Prozent "grundsätzlich" ehrlich. Dem nach besteht bei immerhin 90 Prozent der Mitarbeiter die Möglichkeit, daß sie eines Tages kriminell werden - sei es, weil sich eine günstige Gelegenheit bietet, sei es, weil eine Notlage sie zwingt, sei es aufgrund eines psychischen Defekts. Die Hemmschwelle ist um so niedriger, je geringer die Gefahr einer Entdeckung und Bestrafung ist.

Das Risiko, das ein Computer-Krimineller eingeht, veranschlagt Weck minimal: Etwa ein Prozent der Fälle wird entdeckt, sieben Prozent davon werden gemeldet, in drei Prozent der gemeldeten Fälle kommt es zu einer Verurteilung und nur in den allerseltensten Fällen muß der Täter ins Gefängnis.

Der Grund: Nicht nur die Anwender, sondern genauso Gesetzgeber, Exekutive und Rechtsprechung sind von der Technik, die über sie hereinbricht, überfordert. Vor allem fehlt es an qualifiziertem Personal. Und die wenigen Spezialisten, die es bei der Polizei gibt, werden immer wieder von der Industrie abgeworben, wie der EDV-Pionier der deutschen Polizei, Werner Paul vom bayerischen Landeskriminalamt, klagt. "Die Unternehmen", so Franz-Josef Lang, "sollten sich darauf einstellen, daß sie ihre Fälle selbst vor den Richter bringen müssen".

Geeignete organisatorische Maßnahmen könnten häufig verhindern, daß es überhaupt so weit kommt. Walter Boltz empfiehlt, wenigstens bei Neueinstellungen für kritische Positionen, die Referenzen und Zeugnisse der Bewerber zu überprüfen, am besten telefonisch, denn beim persönlichen Gespräch erfahre man mehr.

Dazu sollte das Management einen Überblick haben, wie es den Leuten geht. Boltz: "Wenn jemand Schwierigkeiten hat, sollte man sich um ihn kümmern und zu verhindern suchen, daß er sich in seiner Zwangslage gegen das Unternehmen wendet."

Der gefährlichste Mitarbeiter ist übrigens - statistisch - nicht unbedingt der blasse, hohlwangige Computerfreak: Gerhard Weck zeichnet das Bild des "typischen Computerkriminellen" als das eines ehrbaren Bürgers, der seit fünf Jahren bei der Firma ist, mit Frau und zwei Kindern in respektablen Verhältnissen lebt, 35 Jahre alt ist und ein Gehalt aus dem oberen Drittel der Verteilung bezieht.

Was die Unternehmen angeht, so müßte die Scheu der Betroffenen, über ihre Erfahrungen zu sprechen, schnellstens überwunden werden. Denn ihr Schweigen hilft, wie Boltz glaubt, letztlich nur ihren Gegnern: "Das Problem dabei ist, daß wir damit eine Gruppe von Kriminellen bekommen, die mit guten Zeugnissen ausgestattet von einer Firma zur andern ziehen und abkassieren."

Daß es gültige Statistiken zum Thema Computermißbrauch gebe, ist für Don Parker, Sicherheitsberater am Stanford Research Institute, einer der Mythen, von denen die Computerkriminalität umgeben ist. Die Probleme beginnen bei der Definition - für die einen ist es jedes Verbrechen, das gegen einen Computer gerichtet ist oder in ihm begangen wird, für die andern ist es jedes Verbrechen, das mit dem Werkzeug Computer begangen wird - und enden bei der Dunkelziffer - den weitaus meisten Fällen, die die Opfer schamhaft verschweigen.

Deshalb sind nicht einmal die offiziellen Zahlen der Polizei sonderlich aussagekräftig. 3255 Computerdelikte weist die Polizeiliche Kriminalstatistik für 1989 aus - der größte Teil davon Scheckkarten-Betrug an Geldautomaten. Softwarepiraterie, Verrat von Betriebsgeheimnissen oder illegaler Technologietransfer dagegen sind in der Statistik überhaupt nicht enthalten. Behördenoffiziell handelt es sich dabei nicht um Computerdelikte.

Wo nichts Genaues bekannt ist, läßt sich beliebiges behaupten: So wurden laut Computerworld 1989 in der Bundesrepublik 24 terroristische Bombenanschläge auf Rechenzentren verübt. Tatsächlich gab es keinen einzigen und Szenenkenner Lang kann derzeit auch keinerlei Hinweise auf terroristische Aktivitäten in diesem Bereich erkennen. Nicht einmal Viren mit politischem Hintergrund seien bislang aufgetaucht. "Es gibt zwar Viren, die erkennbar aus dem rechtsradikalen Umfeld kommen, aber es nicht so, daß man sagen könnte, die setzten gezielt Viren in die Welt, als politische Aktion. Generell sind die Täter derzeit wohl eher apolitisch." Wie die meisten Experten rechnet allerdings auch Lang nicht damit, daß diese Ruhe noch lange anhält.

Fatale Folge falscher wie fehlender Informationen: Eine realistische Risikoabschätzung - Wie groß ist die Wahrscheinlichkeit eines bestimmten Ereignisses, und wie hoch ist der Schaden, falls es eintritt? - ist kaum möglich. "In den seltensten Fällen", so der Sicherheitsexperte Rainer von zur Mühlen, "werden die Risiken richtig eingeschätzt". Computerkriminalität sei nachrangig, erklärt er, die Wirklichen Gefahren drohten woanders: "Die größten Schäden verursachen nach wie vor Feuer, Wasser und Blitzschlag."

Als im Oktober 1986 das Verwaltungsgebäude der kanadischen Handelskette Steinberg in Flammen aufging, gab es einen, der sich ganz offen darüber freute. Was dem Feuer entkommen war, hatte das Löschwasser ruiniert. In dieser Situation floh das Unternehmen in die USA - mit nichts als den Sicherungbändern seiner Daten- und Programmbestände. Dort stand, vertraglich zugesichert, in einem Notfall-Rechenzentrum der Comdisco Disaster Recovery Services (CDRS) ein Rechner samt Platten- und Bandlaufwerken für den Händler bereit. Steinberg machte zu der Zeit 4,5 Milliarden Dollar Umsatz im Jahr. Das Geschäft lief nahezu störungsfrei weiter.

Der Steinberg-Brand ging in die Annalen ein als der erste große Fall einer Rettung durch ein Notfall-Rechenzentrum. Jim Mannion, der Marketingdirektor von CDRS, freute sich: "Seht ihr, sie überlebten eine echte Katastrophe, und sie überlebten, weil sie eine Ausweichmöglichkeit und eine erprobte Notfall-Planung hatten".

Durchschnittlich 80 000 Dollar pro Jahr lassen sich die Kunden der US-Notdienste allein die Asylgarantie kosten bei einem "warmen" Backup-Rechenzentrum, das fertig installierte Anlagen bereithält - ein kaltes", das nur die Räumlichkeiten zur Verfügung stellt, kommt billiger). Notfall-Übungen, die oft mit Dutzenden von Mitarbeitern über mehrere Tage gehen, werden gesondert berechnet. Alles in allem, schätzten die Marktforscher von der Gartner Group, kommt den durchschnittlichen IBM 30xx-Anwender ein Ausweich-RZ übers Jahr auf 180 000 Dollar.

Bundesdeutsche Backup-Anbieter kalkulieren mit 200 000 bis 250 000 Mark jährlich, inklusive ein bis zwei Übungen. Vielen Unternehmen ist das zu teuer. "Gemessen an den zu schützenden Werten" Jedoch, gibt Uwe Klein, Sicherheitsexperte der Computer Radar GmbH, zu bedenken, "sind die Investitionen für maßgeschneiderte Sicherheitsmaßnahmen stets angemessen."