Sicherheit der Informationsverarbeitung

Fehlendes Gesamtkonzept wird zur Existenzbedrohung

08.03.1991

Je mehr DV-Systeme und Lösungen ein Unternehmen einsetzt, desto dringlicher wird ein umfassendes Sicherheitskonzept. Versäumnisse geraten hier schnell zur Existenzbedrohung. Dieser Gefahr zu begegnen und für ein ausreichendes Sicherheitsniveau zu sorgen fällt in den unmittelbaren Verantwortungsbereich des Top-Managements.

Die Sicherheit von Informationen, ihre Verfügbarkeit, die Wahrung der Vertraulichkeit und ihre Integrität - all dies sind Probleme, die nicht erst mit der elektronischen Verarbeitung der Informationen entstanden. Der Buchhalter, der eine fiktive Arbeiterkolonne entlohnt und dadurch Millionen veruntreut, der Mitarbeiter, der Teile der Kundenkartei an den Mitbewerber verkauft, der Einkäufer, der Eingangsrechnungen manipuliert, der Entwickler, der vertrauliche Informationen aus Forschungs- und Versuchsreihen weitergibt, das Ausspähen von Informationen oder auch deren Vernichtung durch Feuer und Wasser - all dies gab es in ähnlicher Weise auch schon vor Einführung der EDV.

Neue Risiken für das Unternehmen

Mit der elektronischen Informationsverarbeitung nehmen jedoch die Möglichkeiten unerlaubten, die Unternehmen schädigenden Verhaltens zu und was noch gravierender ist - es steigt die Chance, nicht entdeckt zu werden (Der oben genannte Buchhalter, der eine fiktive Arbeiterkolonne "beschäftigte und damit 2,5 Millionen Mark auf sein Konto "umleitete", fiel beispielsweise nur deshalb auf, weil die Revision feststellte, daß diesen Phantomarbeitern kein Weihnachtsgeld gezahlt worden war).

Mit der Einführung der elektronischen Informationsverarbeitung sind Risiken hinzugekommen, die zu einer steigenden Gefährdung der Unternehmen führen können:

- Die Massenverarbeitung läßt eine systematische Kontrolle von Einzelvorgängen nicht zu oder erschwert sie zumindest in einer Weise, die wirtschaftlich nicht mehr vertretbar ist.

- Die zumeist zentrale Speicherung der Informationen an einer Stelle im Unternehmen (Rechenzentrum) birgt die Gefahr in sich, daß ein Schadensereignis, welches früher nur einen Bereich im Unternehmen traf und nur die dort vorhandenen Unterlagen vernichtete, nunmehr die gesamte Informatisbasis eines Unternehmens zerstören kann, wenn nämlich das Schadensereignis das Rechenzentrum trifft. Ein abgebranntes Rechenzentrum, bei dem keine entsprechende Vorsorge getroffen wurde, kann den Ruin eines Unternehmens bedeuten.

- Über Netze lassen sich Informationen auch fernab vom "Tatort" ausspähen. Der physische Zutritt zu Räumen, in denen Informationen abgelegt sind, ist nicht mehr erforderlich. Die bereits erwähnte "Bündelung" von Informationen erleichtert die gezielte Suche nach ihnen. Ein Unbefugter muß sich nicht mehr der Mühe unterwerfen, die im Unternehmen verstreuten Informationen zu sammeln.

Das Kopieren von Datenbeständen ist relativ einfach. Schließlich erlaubt die hohe Packungsdichte der Datenträger eine komfortable Speicherung.

Wo früher Aktenberge transportiert werden mußten, um die

gewünschte Informationsmenge zu bewegen, genügt heute ein Medium von der Größe eines Handtellers. Hinzu kommt, daß bei einem Diebstahl keine Information verschwindet, die Originalinformation vielmehr erhalten bleibt. Ein Verlust, anhand dessen man normalerweise erst den Diebstahl erkennt, tritt nicht ein.

- Personen, die unberechtigte Eingriffe in ein DV-System oder unbefugten Zugriff auf Daten und Informationsbestände vorgenommen haben, sind schwierig zu identifizieren: Sie hinterlassen schließlich in den Systemen keine Fingerabdrücke.

- Technische Fehler in den Informationssystemen (Hardware oder Software) können zur Verfälschung von Daten oder zu deren Verlust führen.

- Die in letzter Zeit vieldiskutierten Computerviren sind teilweise in der Lage, Daten zu löschen, zu verfälschen oder das gesamte System lahmzulegen.

- Schließlich führt der gewachsene Stellenwert der Informationsverarbeitung zu einer steigenden Abhängigkeit der Unternehmen von einem gut und zuverlässig funktionierenden Informationssystem. Der Ausfall des Systems kann Umsatzeinbußen und Imageverlust, Terminüberschreitungen, Produktions- und Lieferausfall und - wegen der heute üblichen Unterstützung der Arbeitsabläufe durch Informationstechnik - Störungen des gesamten Arbeitsablaufs nach sich ziehen. Auf jeden Fall kostet der Ausfall der Informationssysteme eine Menge Geld.

Sicherheit ist Managementaufgabe

Die mit der Informationsverarbeitung verbundenen Risiken zu erkennen Maßnahmen zur Risikobegrenzung einzuleiten, deren Durchführung zu überwachen, im Zeitablauf zu kontrollieren und Anpassungen an veränderte Umfeldbedingungen zu veranlassen sind daher Probleme, denen sich die Unternehmensführung stellen muß: Die Sicherheit der Informationsverarbeitung ist eine Managementaufgabe.

Daß diese Aufgaben in dem erforderlichen Umfang vom Unternehmens-Management wahrgenommen werden, ist in vielen Fällen zu bezweifeln. Es ist erstaunlich in welchem Umfang heute in so manchem Unternehmen leichtfertig mit den elektronisch gespeicherten Daten und Informationen, von denen häufig die Existenz abhängt, umgegangen wird - Informationen, die vor Einführung der EDV vor allzu Neugierigen, vor Wirtschaftsspionen oder allgemein vor Verlust sicher in einem Panzerschrank verwahrt wurden.

Es sei hier nicht verkannt, daß wohl in allen Unternehmen Sicherheitsvorkehrungen zumindest in Ansätzen vorhanden sind. Warum aber werden erforderliche Sicherheitsmaßnahmen nicht im notwendigen Umfang getroffen? Im wesentlichen lassen sich folgende Gründe anführen:

- Die Problematik wird nicht in vollem Umfang erkannt.

- Das Problem wurde erkannt, aber

- es fehlt an personellen Voraussetzungen, um eine Problemlösung zu erarbeiten oder

- die Arbeiten mußten aus wirtschaftlichen Gründen zurückgestellt werden.

- Vielfach wird hier versucht, durch Einzelmaßnahmen wenigstens die vermeintlich größten Risiken zu begrenzen.

Zukunftssichere Lösungen können aber nicht durch Einzelmaßnahmen erwartet werden. Gefordert ist vielmehr ein Gesamtkonzept, in dem Geschäftsaktivitäten, Gefährdungen und Risiken sowie die Frage einer erfolgversprechenden Absicherung integriert betrachtet werden.

Eine absolute Sicherheit in der Informationsverarbeitung kann nicht erreicht werden. Es gilt aber, möglichst hohe Hürden zu errichten oder Folgeschäden soweit wie möglich zu reduzieren. Trotz aller Sicherheitsmaßnahmen bleibt stets ein Restrisiko, welches zu identifizieren ist. Dieses Restrisiko muß von allen Verantwortlichen, und damit auch von der Unternehmensleitung, akzeptiert und getragen werden.

Und noch etwas ist an dieser Stelle zu bemerken: In vielen Sicherheitsbetrachtungen steht ausschließlich das Rechenzentrum im Mittelpunkt. Dabei wird übersehen, daß nicht unwesentliche Risiken mit der Einführung neuer Technologien entstehen.

Die zunehmende Vernetzung, der verstärkte Einsatz dezentraler Systeme, insbesondere der Personal Computer mit ihrer Vernetzung und dem Anschluß an den Zentralrechner, die Möglichkeiten der externen Kommunikation etc. erweitern die Schutzbereiche und bringen zusätzliche Schwachstellen mit sich.

Es gibt heute eine Vielzahl von Möglichkeiten, "dezentrale Intelligenz" zu nutzen. In vielen Unternehmen wird von dieser Form der Informationsverarbeitung auch reger Gebrauch gemacht. Die Gründe sind schnell aufgezählt:

- Informationssysteme wie Personal Computer haben eine Preisgrenze erreicht, für die umfassende Investitionsanträge, Kosten-Nutzen-Rechnungen oder besondere Genehmigungen nicht mehr notwendig sind.

- Die heutigen zentralen Systeme sind sehr komplex und machen umfassende Regeln für die Nutzung erforderlich. Diese Regeln sind für Fachbereiche oft nicht zu durchschauen und gelten als inflexibel

- Zentrale Anwendungen haben oft lange Realisierungszeiten. Starker unternehmerischer Druck zwingt zum Handeln. Daher bieten dezentrale Systeme für den Fachbereich interessante Alternativen.

- Neben rationalen Überlegungen fördert auch eine emotionale Haltung den Weg in die Dezentralisierung.

Als Folge ist in vielen Unternehmen ein "Wildwuchs" im PC-Einsatz entstanden. Die Fachbereiche beschafften sich Hardware und Software oft ohne Rücksicht und Wissen der Datenverarbeiter, die erst dann wieder Kenntnis von der PC-Landschaft erhalten, wenn folgende typische Phasen durchlaufen worden sind:

1. Phase:

Es entsteht eine mehr oder weniger große Vielfalt von autonomen Inseln, auch innerhalb desselben Fachbereichs.

2. Phase:

Die dezentralen Inseln geraten schnell an ihre Verarbeitungsgrenzen, die Lösung wird in der Vernetzung dieser Einzelsysteme gesucht.

3. Phase:

Die Nutzung der zentralen Datenbasis erweist sich plötzlich doch als unumgänglich: Eine Verbindung mit dem zentralen Rechner muß hergestellt werden.

Damit wird klar, wo hier die Risikopotentiale liegen:

- beim zusätzlichen, oft unkontrollierten Zugang zum Zentralrechner (Host),

- in den Netzen,

- im unkontrollierten Zugang zu den dezentralen Systemen, der bei der PC-Host-Verbindung gleichzeitig den Durchgriff auf zentrale Datenbestände bedeutet.

Wurden in der Vergangenheit in zahlreichen Unternehmen - angefangen von der Vergabe von Zugriffsberechtigungen bis hin zur physischen Zugangskontrolle zum Rechenzentrum - Vorkehrungen vor Datenverlust und Datenmißbrauch getroffen, so kommen nun Risiken hinzu, an die in der Regel vor der Beschaffung der dezentralen Systeme keiner gedacht hat:

- Daten, die für das Unternehmen von hoher wirtschaftlicher und/oder strategischer Bedeutung sein können, werden nun dezentral erfaßt, gespeichert und verarbeitet.

- Durch die PC-Host-Verbindung geraten die Daten außerhalb der Sicherheitskontrollen der zentralen Informatik.

- Durch den verstärkten Einsatz des PCs in den oberen Führungsebenen nehmen die Risiken eines Zugriffs auf hochsensible Daten drastisch zu.

- Eine veränderte Organisationsstruktur der Unternehmen mit einer integrierten Bearbeitung einer Funktionsfolge bringt einen größeren, umfangreicheren Informationsfluß an die abwickelnde Organisationseinheit.

- Eine weitere Verbreitung von tragbaren PC läßt aufgrund der hinzukommenden Mobilität die Risiken weiter anwachsen (Daten geraten außer Haus, die physische Gefährdung nimmt zu).

Dem stehen - aus Sicht der Sicherheitsanforderungen folgende Mängele gegenüber:

- die wenigsten PC sind mit Datensicherungseinrichtungen versehen (Sicherung auf Diskette ist mühsam und zeitraubend),

- die Kenntnisse über das Betriebssystem sind weit verbreitet, so daß zur Bedienung der meisten PCs keine besonderen Fähigkeiten erforderlich sind,

- der Zugang zu den Daten ist weder durch Paßwort noch durch Benutzerkennung geschützt,

- Daten, die der Benutzer gelöscht glaubt, können durch heute am Markt für wenig Geld angebotene "DV-Werkzeuge" (PC-Tools, Norton Utilities) wieder sichtbar gemacht werden

- der Einsatz von PCs zu privaten Zwecken - heute durchaus gang und gäbe - bringt zusätzliche Risiken im Hinblick auf das Einbringen von Störprogrammen mit sich.

Gerade die Störprogramme sind es, die den Anwendern bereits heute gewaltig zu schaffen machen. Davon betroffen sind im allgmeinen nicht die zentralen Rechner, die Problematik erstreckt sich vielmehr hauptsächlich auf die PC-Welt. Wahrscheinlich steht man jedoch hier erst am Anfang einer Entwicklung, die in zahlreichen Unternehmen bereits zu einem Umdenken im Hinblick auf die PC-Beschaffung, die Verarbeitung und den PC-Einsatz führt: Den Fachbereichen wurden vielfach die Beschaffungsmöglichkeiten für PCs wieder entzogen. Zudem erließ man zwingende Vorschriften über den Einsatz von (Standard-)Software oder verbot schlichtweg den Gebrauch von Diskettenlaufwerken.

Ein Sicherheitskonzept, das nur die zentrale Informationsverarbeitung berücksichtigt, verliert damit in gleichem Maße an Wert, wie die Informationsverarbeitung außerhalb des Rechenzentrums stattfindet.

Logisch besteht ein Sicherheitskonzept aus drei Hauptteilen:

- der Risikoanalyse,

- dem Sicherheitsplan,

- dem Realisierungsplan.

Eine Risikoanalyse ist eine Katalogisierung der möglichen Bedrohungen unter Berücksichtigung

- der gesamten informationstechnischen Struktur (Rechenzentrum, dezentrale Systeme einschließlich PC, Netze und externer Kommunikation),

- der Risiko-Ursachen (höhere Gewalt, technisches und organisatorisches Versagen, Vorsatz und Fahrlässigkeit),

- der einzelnen Schutzbereiche (bauliche Infrastruktur, Hardware, Software, Daten, Dokumentation, Personal).

Den Zusammenhang von Risikoursachen, Schutzbereichen und technischer Infrastruktur zeigt Abbildung 1. Folgende Einzelschritte sind bei der Risikoanalyse zu durchlaufen:

- Identifikation aller Risikofaktoren.

- Bewertung der Einzelrisiken

- Ermittlung der Gesamtbedrohung für das Unternehmen.

- Portfolio der Risikofaktoren und

- Anforderungen im Katastrophenfall.

Insbesondere die Identifikation aller Risikofaktoren stellt sich in der Praxis häufig als eine umfangreiche Sammlung möglicher Bedrohungen der Sicherheit von Gebäuden, Geräten, Software, der Dokumentation sowie anderer Komponenten des Systems dar. Damit ist noch nichts über die mögliche Relevanz der Ereignisse ausgesagt. Zahlreiche Risiken können unter Umständen ausgeschlossen werden. Hierzu dient die Analyse der Bewertung der Einzelrisiken im Hinblick auf ihre Eintrittswahrscheinlichkeit sowie eine Analyse der Auswirkungen auf die Schutzbereiche und ihre Beeinflußbarkeit aufgrund technischer oder organisatorischer Maßnahmen.

In der Praxis zeigt es sich zumeist, daß

- die Risiko-Ursachen "höhere Gewalt" und "Vorsatz" am geringsten zu beeinflussen sind,

- Daten und Software die besonders; gefährdeten Bereiche darstellen,

- Fahrlässigkeit mit Abstand das höchste Sicherheitsrisiko aufweist.

Aus dem Risikoportfolio, in welchem die Risikofaktoren nach ihren Eintrittswahrscheinlichkeiten und Auswirkungen eingetragen werden, ergeben sich die kritischen Risikofaktoren. Sodann sind die identifizierten Risiken den eventuell bereits getroffenen Schutzmaßnahmen gegenüberzustellen und die Anforderungen an den Sicherheitsplan abzuleiten.

Der Sicherheitsplan stellt die Beschreibung der technischen und organisatorischen Maßnahmen zur Risikominimierung dar. Der hier zu erarbeitende Maßnahmenkatalog kann - abhängig von den individuellen Unternehmensgegebenheiten - eine Vielzahl von Einzelmaßnahmen enthalten. Folgende Vorgehensweise hat sich hier in der Praxis bewährt:

- Ableitung der vordringlichen Maßnahmen zur Begrenzung der Risiken aus der Bewertung der Einzelrisiken und dem Portfolio der Risikofaktoren.

- flankierende Maßnahmen zur Risikominderung,

- Alternativen für den DV-Betrieb inklusive Backup (zum Beispiel Katastrophenfall des Rechenzentrums),

- Bewertung der Alternativen

- Entscheidungen für Lösungen

Diese Maßnahmen werden entweder vorbeugend oder zur Schadensbegrenzung/Schadensminimierung getroffen. Hierbei spielen die Überlegungen zur Vorsorge im Katastrophenfall des Rechenzentrums eine zentrale Rolle.

Die Vorsorgemaßnahmen für das Rechenzentrum bestehen im wesentlichen aus Maßnahmen gegen Brand und Wassereinbruch, Zugangskontrollen, Vergabe von Zugriffsberechtigungen, Datensicherungs- und Backup-Konzepten.

Bei den Backup-Konzepten hat der Katastrophenplan eine überragende Bedeutung. Dieser legt nämlich fest, welches Vorgehen im Katastrophenfall zu einer raschen Wiederaufnahme eines Notbetriebes führen muß. Er reicht von organisatorischen Vorsorgemaßnahmen (wie Festlegung eines Ausweichrechenzentrums, Sicherung von Daten, Programmen und der Dokumentation, Wiederbeschaffung von Hardware und Zubehör) bis hin zu personellen Planungen, wie Bildung von Teams, die im Ernstfall bestimmte Aufgaben zu übernehmen haben.

Grundlage für die Erarbeitung des Katastrophenplanes ist die Einschätzung der Auswirkungen ausgefallener Anwendungen durch die Anwender. Hieraus ergeben sich die Zeiträume in denen der Betrieb teilweise oder vollständig wieder aufgenommen sein muß. Aus den vorgegebenen Zeiträumen ist abzuleiten, welche Notfallmaßnahmen dann konkret getroffen werden müssen.

Die Umsetzung der als notwendig erachteten Maßnahmen in die Praxis ist der dritte Teil eines Sicherheitskonzeptes. Dieser Realisierungsplan besteht aus der Beschreibung von Vorgehensweise und Einführung der zu treffenden Maßnahmen. Hierzu zählen aber auch

- ein Zeitplan,

- ein Kostenplan,

- eine detaillierte Aufgabenverteilung und

- das Aufzeigen von Konsequenzen, falls erforderliche Maßnahmen nicht ergriffen werden (können).

Es empfiehlt sich, hier entsprechende Projektteams zu bilden, die Teilaufgaben übernehmen und abwickeln. Bei der Realisierung sollte auch ein möglicherweise erst noch zu bestellender - Sicherheitsbeauftragter mitwirken, der nicht in der zentralen DV angesiedelt ist. Allerdings wird eine Person alleine als Sicherheitsbeauftragter in vielen Fällen überfordert sein. Ferner bedarf es eines "Informatik-Sicherheitsgremiums", dem

- Anwender,

- Informatik-Mitarbeiter,

- Sicherheitsbeauftragte,

- Datenschutzbeauftragter und

- Revision

angehören sollten. Auch müssen Kennzahlen erarbeitet und ein Berichtswesen über alle sicherheitsrelevanten Tatbestände und Ereignisse erstellt werden. Darüber hinaus muß sichergestellt sein, daß sämtliche Maßnahmen, die zur Sicherheit der Informationsverarbeitung getroffen werden, permanent fortgeschrieben und den sich ändernde Gegebenheiten angepaßt werden.

Ein wesentlicher Bestandteil des Realisierungsplanes ist die Vorbereitung und Durchführung von Tests. Das beste Konzept nützt nichts, wenn nicht der Ernstfall geprobt wird. Hier ist insbesondere der Test des Katastrophenplans angesprochen, da die Bewältigung der Schwierigkeiten, die beim Ausfall des Rechenzentrums und den Arbeiten zur Aufnahme eines Note-Betriebes entstehen, nicht im "Trockenkursus erreicht werden kann. Erst im Test stellt sich heraus, wo Lücken im Plan bestehen, welche Maßnahmen (oft kleine Handgriffe, die in der täglichen Rechenzentrums-Praxis nicht notwendig sind) übersehen wurden und was generell anders ist als im normalen Betrieb.

Voraussetzung aller Maßnahmen zur Erreichung des notwendigen Sicherheitsniveaus ist jedoch ein erhöhtes Sicherheitsbewußtsein aller Mitarbeiter, sowohl der Mitarbeiter der zentralen Informatik als auch der Mitarbeiter in den Fachbereichen. Spektakulär sind die Fälle, in denen Externe ein Sicherheitssystem überwinden. Still und unter der Decke gehalten werden in der Regel die Fälle, und das dürfte der überragende Anteil sein, in denen die eigenen Mitarbeiter - sei es aus Fahrlässigkeit, sei es aus Vorsatz - die Sicherheit der Informationsverarbeitung mit ihrem Insider-Wissen gefährden.

Das Bemühen zur Erreichung einer sicheren Informationsverarbeitung wird vom Gesetzgeber nach Meinung vieler Experten derzeit noch unzureichend unterstützt. Zur Bekämpfung der Computerkriminalität wurden zwar neue Strafvorschriften erlassen und bereits bestehende fachspezifisch ergänzt. Oft hapert es jedoch an der Verfolgung von Straftätern. Zum einen, weil den Strafverfolgungsbehörden häufig der erforderliche Sachverstand fehlt, zum anderen, weil sich die Geschädigten oft "bedeckt" halten.

Das Strafrecht kennt die Tatbestände

- Ausspähen von Daten (Computerspionage),

- Datenveränderung (Verfälschen von Daten),

- Computerbetrug und

- Computersabotage.

Hierbei werden Computerspionage und Verfälschung von Daten nur auf Antrag der Betroffenen (sprich: Geschädigten) verfolgt, wenn nicht die Strafverfolgungsbehörden "wegen des besonderen öffentlichen Interesses an der Strafverfolgung" ein Einschreiten von Amts wegen für geboten halten. Das Einschreiten von Amts wegen hält sich nach der bisherigen Praxis jedoch in engen Grenzen, und auch die unmittelbar Geschädigten scheuen sich, Strafanzeige zu stellen. Zwar ist die Verfolgung durch Polizei und Staatsanwaltschaft vertraulich, spätestens jedoch, wenn es zum Prozeß kommt, wird die Angelegenheit öffentlich, und die Angst vor Imageverlust sitzt tief.

Vor diesem Hintergrund kann dem verantwortlichen Top-Management nur dringend der Rat ans Herz gelegt werden, alles Erdenkliche zu tun, um ein Sicherheitsniveau zu garantieren, das der individuellen Risikosituation des Unternehmens Rechnung trägt.

Grundvoraussetzung hierzu ist, daß alle Führungskräfte (und nicht nur die Spezialisten in der zentralen Datenverarbeitung) die Bedeutung der skizzierten Sicherheitsproblematik in vollem Umfang erkennen und ein entsprechendes Sicherheitsgesamtkonzept auf den Weg gebracht wird.

Bislang scheint die Sensibilität für das Thema "DV-Sicherheit auf oberster Unternehmensebene allerdings noch wenig ausgeprägt zu sein. Einer jüngst durchgeführten Umfrage unter DV-Sicherheitsbeauftragten zufolge nimmt nur etwa jedes dritte Unternehmen diese Problematik ernst, während knapp ein Drittel der Befragten angab, ihr Top-Management betrachte die Computersicherheit lediglich als notwendiges Übel.

Künftig wird es indes immer weniger ausreichen, in "Sonntagsreden" den Mitarbeitern das Thema "DV-Sicherheit" nahe bringen zu wollen, dann aber die Budgetmittel für ein die Risiken weitgehend eindämmendes Sicherheitsgesamtkonzept zu verweigern.

Die Gewährleistung eines ausreichenden DV-Sicherheitsniveaus fällt in den unmittelbaren Verantwortungsbereich des Top-Managements - auch wenn dies vielfach noch nicht so gesehen wird.

Ob man es nun wahrhaben will oder nicht: je mehr DV-Systeme und -Lösungen in den Unternehmen eingesetzt werden, um so mehr wird das Fehlen eines Sicherheitsgesamtkonzeptes zu einer Bedrohung für die Existenz eines Unternehmens. Um so mehr ist aber auch das Top-Management selbst gefordert, für eine Abschwächung dieser Existenzbedrohung zu sorgen.