Nachdem im ersten Teil dieser Veröffentlichung (siehe CW-Nr. 40) der Themenbereich "Datenschutz" im Vordergrund stand, sollen im folgenden schwerpunktmäßig Einzelergebnisse der Audafest-Datenschutzbefragung zum Komplex "Datensicherung" vorgestellt werden. Wenngleich eine Trennung dieser beiden Bereiche, nicht zuletzt aufgrund der Anlage zu °6 BDSG, kaum möglich ist, wird es doch in der Form versucht, daß die Punkte angesprochen werden, die im Rahmen einer ordnungsgemäßen Datenverarbeitung im Eigeninteresse der datenverarbeitenden Stelle erfüllt sein sollten.
Im Rahmen eines Datensicherungssystems gilt in den meisten Fällen die erste Aufmerksamkeit den EDV-technischen Sicherungen, da davon ausgegangen wird, daß in diesem Bereich die größten Gefahren auftreten (können) und damit aber auch dort die meisten Maßnahmen vorhanden sind. Es soll hier nicht diskutiert werden, ob diese Einschätzung richtig ist, sondern ausschließlich berichtet werden, welche Vorkehrungen auf diesem Gebiet getroffen wurden.
Programmierung und Programmfreigabe
Eine der gestellten Fragen bezog sich auf die Trennung der Funktionen im Rahmen der Programmerstellung. Hierbei zeigte sich, daß zu einem Großteil (55,8 Prozent) die direkte Programmerstellung von weiteren Phasen getrennt ist, in knapp einem Viertel sogar von der Programmcodierung. Daß die Programmpflege sehr häufig in der Hand des Programmautors liegt, ist weitgehend üblich, stellt jedoch eine gewisse Gefahrenquelle dar.
In diesem Zusammenhang ist auch bemerkenswert, daß für den Programmtest 60,6 Prozent der DV-Stellen einen Ausschnitt echter Daten heranzieht, trotz der damit verbundenen Risiken. Andererseits wird unter organisatorischen Problemen von mehr als 40 Prozent eine Abgrenzung von Test- und Routinebetrieb durchgeführt, um damit eine höhere Datensicherheit zu gewährleisten.
Auffallend ist der insgesamt geringe Anteil von nur 13,2 Prozent, der vor der Abnahme eines Programms die Prüfung des Testlaufs durch die Revision vornehmen läßt; weit über diesem Prozentsatz lagen die Versicherungswirtschaft (25 Prozent) und besonders die Kreditinstitute (56 Prozent). Der Sicherheit vor unbefugter Kenntnisnahme sensibler Daten dienen in vielerlei Hinsicht interne Aufrufbezeichnungen der in einer Programmbibliothek gespeicherten Programme, sofern sie nicht sprechend sind: Dieses trifft auf mehr als die Hälfte der DV-Stellen zu.
Als diese Sicherheit einschränkend muß jedoch gewertet werden, daß die Aufrufbezeichnungen in zwei Drittel dieser Fälle allgemein bekannt sind.
In einem Viertel der erfaßten datenverarbeitenden Stellen wird die Berechtigung, Daten zu manipulieren (Einspeichern, Verändern, Löschen), auf Programmebene überprüft. Daraus folgt, daß in knapp drei Viertel der Unternehmungen und Stellen öffentlicher Verwaltung Programme aufgerufen werden und sensible Daten manipulieren können, ohne daß deren Berechtigung dazu überprüft wird.
Dieses mangelhafte Sicherungsergebnis wird zwar in den Fällen gemildert, wo die Dateien mit schutzwürdigen Daten speziell gesichert sind. Da das jedoch auch nicht in allen Fällen ausreichend geschieht, muß diesem Punkt in Zukunft erhöhte Aufmerksamkeit gewidmet werden.
In knapp 75 Prozent der Fälle, wo diese Sicherung auf Programmebene realisiert wurde, trat als weitere organisatorische Maßnahme die Zusammenfassung dieser Anwendungsprogramme in eine gesicherte Programmbibliothek hinzu. Bei Großunternehmungen kann dabei fast von einer Standardlösung gesprochen werden.
Solche Programmpaßworte waren in etwas mehr als einem Drittel der DV-Stellen eingeführt. Diese Sicherung wurde ebenfalls zu knapp 50 Prozent durch eine flankierende Maßnahme ergänzt: Die Lese- und Schreibbefugnisse dieser Programme waren an unterschiedliche Kennsätze gebunden.
Dateiensicherung
Die Auswertung, ob Dateien mit vertraulichen (sensiblen) Daten gegen unbefugten Zugriff speziell geschützt sind, ergab in nur knapp mehr als 55 Prozent der Fälle ein positives Ergebnis. Der sehr hohe Anteil, wo keine spezielle Zugriffssicherung vorlag, muß jedoch differenziert untersucht werden. So bedeutet das Fehlen einer solchen speziellen Sicherungsmaßnahme nicht in jedem Fall, daß keinerlei Zugriffssicherung vorhanden war. Eine in Abhängigkeit von Kontrollfragen vorgenommene Sonderauswertung zeigte, daß der auf die gesamte, hier zugrunde liegenden Stichprobe bezogene Anteil unter 27 Prozent liegt.
Dieses Ergebnis kann dennoch nicht voll befriedigen. Ein wirkungsvoller Schutz vor dem unbefugten Zugriff eines nicht autorisierten Anwendungsprogramms und/oder eines nicht berechtigten Benutzers stellt in vielen Fällen die einzige ohne mit anderweitigen psychologischen oder aufwandsmäßigen Nachteilen verbundene Datenschutz- und Datensicherungsmaßnahme dar.
Datenrestbestände
Bei der Diskussion um speziell mit der automatisierten Datenverarbeitung verbundenen Gefahren wird immer wieder darauf verwiesen, daß nach dem Lauf eines sensiblen datenverarbeitenden Anwendungsprogramms noch erhebliche Datenmengen in den benutzten Speichereinheiten verbleiben: So wurde formuliert daß ein Personalsachbearbeiter gar nicht so viele Akten herumliegen lassen kann, um auch nur annähernd einen gleichen Grad der Gefährdung zu "erreichen".
40,5 Prozent nehmen Restbestände sensibler Daten in Haupt- und Arbeitsspeichern in Kauf, da ihnen das Risiko gering erscheint, knapp ein Viertel unterläßt entsprechende Maßnahmen, da der technische Aufwand zur Verhinderung ihnen zu hoch ist. Damit verbleibt nur gut ein Drittel, denen dieses Risiko Grund für spezielle Maßnahmen ist.
In 57 Prozent dieser Fälle werden sensible Datenrestbestände durch automatisch wirkende Routinen des Betriebssystems verhindert. Deutlich positiv über diesem Schnitt liegen Kredit- und Versicherungswirtschaft sowie das beratende/dienstleistende Gewerbe.
Daneben oder ausschließlich werden in 73,3 Prozent der Datenreste verhindernden DV-Stellen dazu Lösch- beziehungsweise Überschreibroutinen eingesetzt. Dabei wird etwa zu gleichen Teilen gelöscht, beziehungsweise das Anwendungsprogramm enthält eine Routine, die ein erstmaliges Ansprechen von Daten erst nach erfolgtem Einlesen von Daten durch dieses Programm in den Speicherbereich zuläßt.
Die letzte Frage zu diesem Themenbereich bezog sich auf Wechselspeicher (Platten, Magnetband, Floppy-Disks etc). beziehungsweise wie mit diesen nach einem Einsatz im Rahmen der Verarbeitung sensibler Daten verfahren wurde.
Obwohl bei dieser Frage Mehrfachantworten zulässig waren, zeigt doch das erhebliche Übergewicht der Einzelnennungen, daß sich die datenverarbeitenden Stellen in der großen Mehrzahl auf eine eindeutige Maßnahme verlassen.
In diesem Fall ist es der Verzicht auf eine spezielle Löschung des eingesetzten Wechselspeichers, jedoch seiner gesicherten Archivierung (35,6 Prozent). Dann folgt jedoch bereits die mit erheblichem Risiko behaftete direkte Freigabe (16,3 Prozent) vor der speziellen Löschung (14,1 Prozent) und der ausschließlichen Verfügung für ein Programm (13,3 Prozent).
Werden die Angaben für die Programmverfügung und die direkte Freigabe kumuliert, so ergibt sich, daß insgesamt in etwa einem Drittel der untersuchten Fälle in diesem Punkt keine ausreichende Sicherung besteht.
Datenträger-Kopien
Eine Möglichkeit, vertrauliche Daten nahezu unbemerkt anderweitig zu nutzen, besteht dann, wenn Kopien maschinenlesbarer Datenträger unbefugt angefertigt werden können.
Das kann bei 62,3 Prozent automatisierte Datenverarbeitung Betreibender nach deren eigener Einschätzung (zumindest theoretisch) erfolgen. Kaum zwei Drittel der befragten DV-Stellen hatten verschiedene Maßnahmen eingeführt, um diese Möglichkeiten zu verhindern. Dabei wurden überwiegend (31,5 Prozent) Softwaretechnische Lösungen genutzt, die in der Mehrzahl der Fälle durch organisatorische Regelungen flankiert wurden. Beträchtlich ist jedoch der Anteil, der sich ausschließlich auf organisatorische Maßnahmen stützt.
Ein kaum zu erklärendes Ergebnis ist, daß in 58,3 Prozent der erfaßten DV-Stellen die Duplizierung sensibler Dateien NICHT (!) in besonderen Protokollen festgehalten wird.
Bei der Auswertung der Protokolle über die Duplizierung sensibler Dateien zeigt sich, daß zu etwa jeweils einem Drittel regelmäßige Auswertungen, solche aus Anlaß eines Verdachts beziehungsweise eingetretenem Datenmißbrauch und letztlich gar nicht erfolgen.
Ausgabe der Verarbeitungsergebnisse
Sehr häufig wird darauf verwiesen, daß zahlreiche ADVA-interne Sicherungsmaßnahmen in vielen Fällen spätestens bei der Ausgabe optisch lesbarer Datenträger (Listen, Belege etc.) weitgehend aufgehoben werden. Dadurch werde der Operator zum bestinformierten Mitarbeiter, ebenso die zwischen Ausgabe und verantwortlichem Fachbereichsmitarbeiter gelegenen Stationen der Output-Weiterverarbeitung.
Diese Befürchtung kann durch die Audafest-Ergebnisse nicht in allen Punkten gestützt werden, wenngleich einige Sicherungslücken nicht zu übersehen sind.
So ist der Anteil von etwas mehr als einem Drittel, bei dem die Ausgabe eines Verarbeitungsergebnisses (Output-Liste mit sensiblen Daten) am Ende eines Programmlaufs automatisch erfolgt, das heißt ohne besondere Aufforderung, überraschend gering. Wesentlich häufiger (39,4 Prozent) wurde die Ausgabe sensiblen Outputs erst auf Abruf vorgenommen, so daß die kritische Zeit zwischen Druck und Empfang durch den berechtigten Mitarbeiter erheblich verkürzt wird.
Mit Ausnahme weniger Fälle, wo durch den zu verwendenden Formularsatz die Anzahl der Kopien vorgegeben ist, ist die Einhaltung der Kopienzahl jedoch kaum kontrolliert beziehungsweise zu kontrollieren.
Zu nur knapp 16 Prozent machen die DV-Stellen von einer organisatorischen Maßnahme Gebrauch, die eine entsprechende Kontrolle zumindest vereinfacht. So ist es zum Teil ohne Mehraufwand möglich, für das in der Regel verwendete Output-Papier in Abhängigkeit von der im Formularsatz zusammengefaßten Kopienzahl unterschiedlichen Farbdruck zu wählen. Eine solche Regelung könnte vorsehen, daß eine ohne Kopie zu erstellende Liste auf weißem Papier auszugeben ist, während ein grüner Aufdruck die Erstellung einer zusätzlichen Kopie anzeigt und grauer die von zwei.
Bei einer solchen einfachen Regelung muß schon sehr auffällig manipuliert werden, wenn eine unbefugte zusätzliche Kopie erstellt werden soll, ohne einen im Maschinenprotokoll erkennbaren Wiederholungslauf durchzuführen.
Häufiger Formularwechsel kann außer wenn nur ein Drucker zur Ausgabe zur Verfügung steht - durch entsprechende Organisation der Output-Steuerung ohne Probleme vermieden werden.
Organisatorische Sicherungen
Selbst in den Fällen, wo das EDV-technische Sicherungssystem nur geringe Lücken aufweist, können Unbefugte nahezu problemlos diese Maßnahmen umgangen werden, da die flankierenden organisatorischen Sicherungen zu wünschen übrig lassen. Leider wird das durch einige Audafest-Ergebnisse bestätigt.
Zugangskontrolle
Eine spezielle Zugangskontrolle wird von 60 Prozent der erfaßten datenverarbeitenden Stellen durchgeführt. Dabei zeigt sich, daß mit Ausnahme der Zentrale automatisierter Datenverarbeitung spezielle Bereichs-Kontrollen weit hinter einer Gesamtkontrolle zurückstehen. Daher kann unterstellt werden, daß sich die Zugangskontrollen nahezu ausnahmslos gegen Unternehmungsfremde richten, unberechtigten Zugang durch Mitarbeiter der DV-Stellen somit kaum verhindern.
In 54,6 Prozent direkter Zugangskontrollen erfolgt diese durch einen Pförtner. Während er in der Hälfte der entsprechenden DV-Stellen keine weiteren Aufgaben oder nur Telefondienst (knapp 19 Prozent) zu übernehmen hat, muß der Schutzzweck eines Pförtners in Frage gestellt werden, wenn er Aufgaben wie Wareneingangskontrolle, Hausmeister oder gar Botendienste zu erfüllen hat.
Die Auswertung über die Art der zur Zugangskontrolle verwendeten Schlüssel weist aus, daß überwiegend Unternehmungen mittlerer Größenordnung diese Zugangsbeschränkung praktizieren. Auf die Frage nach der Art des Schlüsselsystems kreuzten nahezu 50 Prozent an, daß hierbei "patentamtlich geschützte Sonderprofile" verwendet würden. Dieser große Anteil erscheint nur auf den ersten Blick sehr positiv: Er weist vielmehr auf eine Überschätzung in bezug auf die Sicherheit der Schlüsselsysteme hin.
So ergaben 15 stichprobenartige Nachfragen, daß es sich bei keinem der Systeme um patentamtlich geschützte Profile handelte. Der von den Herstellern geprägte Begriff "Sicherheitsschlüssel" war für die entsprechende Antwort ausreichend, obwohl für diese Systeme jeder Schlüsseldienst Rohlinge zur Verfügung hat. Nicht zuletzt deshalb stimmt der hohe Anteil von 37 Prozent bedenklich, der sich nur auf Schlüssel zur Zugangsbeschränkung verläßt.
Die 20,3 Prozent der datenverarbeitenden Stellen, die sich für codierte Ausweise zur Zugangskontrolle entschieden, sind als positiv zu werten.
In den meisten Fällen scheint das Sicherheitsbedürfnis der DV-Stellen ausreichend befriedigt zu sein, wenn ein irgendwie geartetes Zugangskontrollsystem mit ID-Mitteln eingeführt wurde. Anders ist die Tatsache nicht zu erklären, daß knapp 73 Prozent weder periodische noch fallweise Kontrollen der ID-Mittel auf Unverfälschtheit durchführen. Mit derselben Sorglosigkeit wird nach den Ergebnissen der Auswertung im Falle des Verlustes eines ID-Mittels gehandelt. In knapp 43 Prozent sind dafür keine besonderen Maßnahmen geplant. Deutlich positiv verhalten sich in dieser Frage die Service-Rechenzentren.
Datenträgertransport innerhalb der DV-Stelle
Der Transport von Datenträgern vertraulichen Inhaltes stellt eine potentielle Schwachstelle der Datensicherung beziehungsweise des Datenschutzes dar.
Die Ergebnisse auf diese Frage können über alle zugrunde gelegten Größenordnungen als befriedigend bis gut bezeichnet werden. Auch branchen- und DV-verfahrensbezogene Auswertungen geben keine Hinweise auf wesentliche Schwachstellen. Dabei muß jedoch berücksichtigt werden, daß hier nach der Form des internen Formulartransports, nicht aber nach der Art und Weise der Ausführung gefragt wurde.
Dieses gute Ergebnis wird auch dadurch bestätigt, daß im überwiegenden Teil (65,8 Prozent) der Empfang vertraulicher Formulare nur einem bestimmten Empfänger oder seinem Vertreter gestattet ist, wenngleich nur sehr selten (8,6 Prozent) der Empfang vertraulicher Formulare schriftlich bestätigt wird.
Datenträgerverschluß am Arbeitsplatz
Ist der stelleninterne Transport sicher und keine unbefugte Weitergabe des Datenträgers durch den bearbeitenden Mitarbeiter zu vermuten, so besteht in vielen Fällen die Möglichkeit, unbefugte Kenntnis zu erlangen, wenn die Belege und Formulare nicht am Arbeitsplatz eingeschlossen werden können.
Insofern ist es erstaunlich, daß 30,5 Prozent keinen Verschluß sensibler Datenträger für erforderlich halten und nur in sehr wenigen Fällen (5,6 Prozent) diesen stichprobenartig überprüfen.
Datenträger-Vernichtung
Obwohl diese potentielle Sicherungslücke durch entsprechende Veröffentlichungen in den verschiedensten Medien hinlänglich bekannt ist erfolgte zu nur etwas mehr als 50 Prozent eine kontrollierte Datenträgervernichtung. Hier zeigen sich jedoch signifikante Unterschiede sowohl bezogen auf DV-Verfahren als auch größen- und branchenmäßig.
Daß die Objekte der Vernichtung die maschinell lesbaren Datenträger beziehungsweise jeder papierene Output (Formular, Liste etc.) sind, ist naheliegend. Auffällig dagegen ist, daß zu nicht einmal einem Drittel Durchschlagpapier in diese Prozedur einbezogen wird. Hier kann zwar darauf hingewiesen werden, daß durch die Mehrfachnutzung bei manueller DV in den meisten Fällen keine Daten lesbar bleiben. Dieser Hinweis gilt jedoch nicht für bei automatisiertem DV-Verfahren benutztes Durchschlagpapier.
Als mögliches Sicherheitsrisiko erweist sich der Transport der Datenträger zur zentralen Vernichtung, der in 66,2 Prozent in ungesicherten Behältern erfolgt.
Jede Erklärung für den Satz von nur 17,6 Prozent, die die zu vernichtenden/vernichteten Datenträger protokollieren, bleibt oberflächlich.
Daß nur 11,8 Prozent der automatisierte DV betreibenden Stellen die DT-Vernichtung protokollieren, könnte mit der enormen Output-Menge und dem damit verbundenen Protokollierungsaufwand begründet werden. Zweifellos ist das nicht von der Hand zu weisen, aber damit wird eine potentielle Lücke von immensem Ausmaß offenbar.
Beträchtlich über diesem kaum für möglich gehaltenen Schnitt liegen nur die Kreditwirtschaft (52,6 Prozent) und die öffentliche Verwaltung (60 Prozent), während bei der größenmäßigen Auswertung die Großunternehmungen bereits mit nur 36,5 Prozent die Spitzenposition einnehmen.
Auslagerung von Sicherungskopien und Datenarchiv
Hochentwickelte Datensicherungssysteme werden weitgehend aufgehoben und die größte Sorgfalt beim Transport ADVA-orientierter Datenträger wird überflüssig, wenn das Datenträger-Archiv sich als Sicherungslücke erweist.
Eine Auslagerung der Datenträger zur dezentralen Archivierung nehmen durchschnittlich 51 Prozent vor, dabei steigt der Anteil von 28,6 Prozent bei Kleinunternehmungen auf 89 Prozent bei großen DV-Stellen, Insgesamt nehmen davon 46,8 Prozent für sensible Datenträger eine spezielle Auslagerung vor.
Werden die Einzelangaben zugrunde gelegt, so kann davon ausgegangen werden, daß in mehr als der Hälfte aller erfaßten automatisierte Datenverarbeitung betreibenden Stellen ein gesichertes Archiv vorlag.
Aber selbst in den anderen Fällen wurden noch befriedigende ("für den Schutzzweck ausreichende") Sicherungen durch die Nutzung spezieller Datenträger-Schränke oder geeigneter Tresore erreicht.
Im Hinblick auf die organisatorischen Maßnahmen im Zusammenhang mit der Datenträger-Archivierung sind die Ergebnisse dagegen nicht in allen Punkten befriedigend:
- Statistiken über Häufigkeiten und Dauer der Entnahmen sind mit maximal 10 Prozent sehr (zu) selten. Zu diesem Punkt wurde bemerkt, daß die Datenträger "in der Regel nur zu den jeweiligen Programmläufen herausgeholt" werden. Darüber besteht sicher kein Zweifel, solche Statistiken haben auch nicht die Aufgabe, die "in der Regel", sondern die davon abweichend auftretenden Fälle zu erfassen.
- In der Mehrzahl der Fälle ist eine Identifizierung der maschinellen Datenträger anhand eines angebrachten Etiketts möglich. Während jedoch die Angaben über den Zeitpunkt der Freigabe und/oder des letzten Bearbeitungsvorganges dieses Datenträgers noch relativ unproblematisch erscheinen, geben die über den Programmlauf oder die entsprechende Fachabteilung "hilfreiche" Hinweise. Eine erkennbare Angabe der Dateienbezeichnung (49 Prozent) sollte unterm Sicherungsaspekt in jedem Fall unterbleiben.
- Knapp 24 Prozent nehmen regelmäßig oder aperiodisch Datenträger-Kontrollen vor, während 19,4 Prozent nur aus vermutetem oder gegebenem Anlaß den Datenträger-Bestand überprüfen und gar 56,7 Prozent hierzu keinerlei Veranlassung sehen.
- Im Rahmen dieser bereits nicht sehr häufigen Kontrollen beschränken sich darüber hinaus sogar 42,3 Prozent nur auf die Feststellung der körperlichen Anwesenheit eines maschinellen Datenträgers.
Wird fortgesetzt