Mängelschwerpunkte bei der Datensicherung:

Für die Innensicherung wird zuwenig getan

11.03.1983

Seit Mitte 1979 nimmt der Technische Überwachungsverein Bayern auch Aufgaben im Bereich des Datenschutzes wahr. Grundlage seiner Tätigkeit ist Artikel 32 des Bayerischen Datenschutzgesetzes (BayDSG). Darin wurde ihm die Aufgabe übertragen, im Auftrag der bayerischen Aufsichtsbehörden für den Datenschutz die Prüfung der technisch-organisatorischen Maßnahmen (der sogenannt Datensicherungsmaßnahmen) im nicht-öffentlichen Bereich gemäß Paragraph 30 und 40 BDSG durchzuführen.

Bis zum Mai 1982 wurden rund 100 Prüfungen bei Unternehmen abgeschlossen, die dem vierten Abschnitt des BDSG zuzuordnen sind. Der Schwerpunkt der Prüftätigkeit lag bei kleinen und mittelgroßen DV-Anwendern, so daß viele der vorgefundenen Mängel als typisch für diese Größenordnung angesehen werden können.

In Paragraph 39 BDSG werden drei Gruppen von Unternehmen des nichtöffentlichen Bereiches, die personenbezogene Daten geschäftsmäßig für fremde Zwecke verarbeiten, unterscheiden:

1. Auskunfteien, Detekteien, Adreßverlage;

2. Markt- und Meinungsforschungsinstitute

3. DV-Dienstleistungsunternehmen.

Es war daher zweckmäßig, die bei den Prüfungen vorgefundenen Mängel ebenfalls diesen Fallgruppen zuzuordnen. Da die DV-Dienstleistungsunternehmen allein einen Anteil von rund 90 Prozent an den überprüften Unternehmen hatten, bot sich bei diesen eine weitere Untergliederung nach der Größe der Datenverarbeitung an - gemessen an der Zahl der bei der DV beschäftigten Mitarbeiter.

Akzeptable Definition fehlt

Aufgrund der relativ geringen Anzahl von Prüfungen besonders bei Auskunfteien, Markt- und Meinungsforschungs-Instituten und Großrechenzentren kann zwar noch nicht auf eine Allgemeingültigkeit der Aussagen geschlossen werden. Auch eine Klassifikation der Mängel, ähnlich wie bei der Kraftfahrzeugüberwachung, war bisher nicht möglich. Neben statistisch gesicherten Aussagen auf der Basis ausreichender Prüfungsergebnisse wäre dafür auch eine bessere Möglichkeit zur Beurteilung der Angemessenheit von Maßnahmen erforderlich. Dafür fehlt bis jetzt jedoch eine akzeptable Definition. Lediglich zwei Kriterien können - bisher unbefriedigend - für eine Beurteilung herangezogen werden: die Art der personenbezogenen Daten und die Größe der Datenverarbeitung. Der vorliegende Beitrag kann deshalb nur Tendenzen aufzeigen, die sich bei den bisherigen Prüfungen abgezeichnet haben. Dem betrieblichen Datenschutzbeauftragten oder dem DV-Leiter kann das gleichwohl eine Hilfe sein, vor allem, wenn er die Effektivität "seines" Datensicherungssystems beurteilen möchte.

Mängel erfaßt

Als Grundlage für die Prüfung von Datensicherungsmaßnahmen stehen im wesentlichen die Anforderungen der Anlage zu Paragraph 6 Absatz 1 BDSG zur Verfügung. Die angetroffenen Mängel bei diesen Anforderungen wurden erfaßt und mit ihrer relativen Häufigkeit (in Prozent) tabellarisch dargestellt.

Dabei ist zu berücksichtigen, daß verschiedene Anforderungen nicht bei allen Unternehmen relevant sind. So ist die Anforderung der Speicherkontrolle in der Regel bei Mikroverfilmung ohne Belang, und die Anforderung der Zugriffskontrolle entfällt, wenn keine Online-Anwendungen vorhanden sind, wie bei reiner Batchverarbeitung und in der Regel bei der Datenerfassung. Auch die Übermittlungskontrolle mit ihrer Beschränkung auf Onlineübermittlungen trifft nur in wenigen Fällen zu, in den bei den Prüfungen bisher angetroffenen Fällen war sie im übrigen vollständig realisiert. Anders dagegen die Benutzerkontrolle, die als eigenständige Anforderung kaum eine Berechtigung hat (Abdeckung durch vollständig realisierte Speicher- und Zugriffskontrolle). Deshalb wurden Mängel dazu auch nicht erfaßt und ausgewertet.

Ungeordnete Aufbewahrung von Magnetbändern

Die Maßnahmen zur Zugangskontrolle mußten in 55 Prozent der Fälle beanstandet werden. Der Schwerpunkt der Mängel lag dabei im Bereich der Innensicherung, wo - mit Ausnahme von Datenerfassung und Kleinstrechenzentren (infolge ihres leicht überschaubaren Geschäftscharakters begünstigt) - dem Zugang eigener, aber unberechtigter Mitarbeiter häufig zu wenig Aufmerksamkeit gewidmet wurde. Erstaunlich auch die unzureichenden Sicherungsmaßnahmen gegenüber Fremden bei 22 Prozent der Großrechenzentren. Hierzu ein besonders gravierendes Beispiel:

Ein Service-Rechenzentrum und eine angrenzende Firma A verfügten über einen gemeinsamen Innenhof. Der Ausgang des RZ zu diesem Innenhof war nicht besonders abgesichert und wurde deshalb regelmäßig von den Mitarbeitern der Firma A benutzt, wenn sie auf die Straße gelangen wollten, da der Weg durch die Räume des - im übrigen auch innen nur mangelhaft abgesicherten - RZ wesentlich kürzer war.

Bei der Überprüfung der Maßnahmen zur Abgangskontrolle schnitten Datenerfasser und Kleinst-Rechenzentren am besten ab, da bei ihnen kaum Datenträger aufbewahrt werden. Insgesamt waren jedoch nur 32 Prozent der überprüften Unternehmen ohne Mängel. Zu beanstanden waren vor allem eine unzureichende oder unvollständige Datenträgerverwaltung und eine fehlende Auslagerung von Sicherungskopien, insbesondere bei Service-Rechenzentren, sowie vielfach eine ungeordnete Aufbewahrung von Magnetbändern in der Programmierabteilung. Weiter fielen eine unzureichende Katastrophenvorsorge sowie mangelnde Sorgfalt bei der Entsorgung auf (Listen im Papierkorb, defekte Bänder im Hausmüll etc.).

Besondere Mängelschwerpunkte waren bei der Speicherkontrolle nicht festzustellen: Nur 41 Prozent der überprüften Unternehmen waren bei dieser Anforderung zu beanstanden. Die Mängel lagen vielfach in der Organisation des DV-Bereiches (unzureichende Nutzung vorhandener Systemeigenschaften), teilweise auch bedingt durch Schwächen der Betriebssysteme, wie bei der Zugriffssicherung bei Stapelverarbeitung .

Die Maßnahmen zur Zugriffskontrolle - soweit relevant - waren in der Regel gut durchgeführt, sie mußten nur bei einem Drittel der Fälle beanstandet werden. Die Mängel wurden auch hier vorwiegend bei der Organisation des DV-Betriebes festgestellt. Schwerpunkte waren fehlende Zugriffsregelungen, Geheimhaltung von Paßwörtern (Listen auf dem Schreibtisch des Systemverwalters frei zugänglich) oder unvollständige Nutzung von Systemeigenschaften (Zuordnungen Benutzerterminal, Benutzertransaktion und Terminaltransaktion), soweit vorhanden. Auch die Abmeldung vom System nach Arbeitsende zur Verhinderung eines unbefugten Benutzerwechsels, etwa in Pausen, wird durchaus nicht immer durchgeführt.

Die Anforderung der Eingabekontrolle erfordert eine Protokollierung aller Eingaben. Soweit dies voll in den Verantwortungsbereich der DV-Anwender fällt, waren - selbst bei Kleinst-Rechenzentren - kaum Mängel festzustellen, da die Protokolle häufig auch als Abrechnungsgrundlage dienen. Beanstandungen heim Batchbetrieb waren in der Regel auf die unzureichenden Protokolliereigenschaften der Betriebssysteme zurückzuführen, die nach wie vor manuelle Aufzeichnungen erforderlich machen. Insgesamt war die Anforderung jedoch sehr gut realisiert, da nur in 19 Prozent der Fälle Mängel festgestellt wurden.

Unzureichende Kontrolle bei Taxi und Minicar

Ganz anders dagegen die Situation bei der Auftragskontrolle: Dabei mußte rund die Hälfte der überprüften Unternehmen beanstandet werden. Ein Mängelschwerpunkt zeigte sich bei der Gestaltung der Verträge. Häufig waren überhaupt keine Verträge vorhanden (insbesondere bei der Datenerfassung), oder hinsichtlich der Verarbeitung entsprechend den Weisungen des Auftraggebers und der Verteilung der Pflichten bei der Datensicherung waren keine oder nur unzureichende Festlegungen getroffen worden. Dieser Mangel war auch festzustellen, wenn Rechenzentren selbst Aufträge vergeben, zum Beispiel bei der Entsorgung.

Die Maßnahmen zur Transportkontrolle konnten in 62 Prozent der Fälle als ausreichend angesehen werden. Mängelschwerpunkte waren fehlende Regelungen, insbesondere auch bei der Einschaltung Dritter (Taxi, Minicar), unzureichende Kontrollen des Datenmaterials (Vollständigkeitsprüfungen) und Protokollierung von Transporten, etwa anhand von Lieferscheinen. Auch fremden, teilweise unbekannten Boten wurde häufig ein zu großes Vertrauen entgegengebracht: eine Legitimation durch Ausweise oder telefonische Rückfrage beim Auftraggeber sind nicht immer üblich.

Als Mängelschwerpunkte bei der Organisationskontrolle - die im übrigen nur in einem Drittel der Fälle zu beanstanden war - fielen vor allem unzureichende Regeln und Richtlinien, unvollständige Programm- und Datendokumentationen, das Freigabeverfahren im Rahmen der Programmentwicklung, sowie eine mangelhafte Katastrophenvorsorge auf. Typisch ist, daß Regelungen häufig nur mündlich getroffen werden, daß die Dokumentationen oft nur aus den letzten Umwandlungslisten bestehen und daß Anwender weder in den Prozeß der SW-Entwicklung einbezogen noch die Freigabe der Programme dokumentiert wird. Bei der Katastrophenplanung konnten zwar die Ergebnisse der Butler-Cox-Studie (1982 im Auftrag von Amdahl durchgeführt) nicht bestätigt werden, insgesamt wird diesem wichtigen Punkt aber auch bei vielen der überprüften Unternehmen noch nicht der notwendige Stellenwert zugestanden.

Zehn Gebote der Datensicherung

Zusammenfassend läßt sich feststellen, daß die festgestellten Mängelschwerpunkte bei den Anforderungen der "Zehn Gebote der Datensicherung" hauptsächlich den Bereichen "Organisatorisches Umfeld" und "Betrieb der Datenverarbeitung", beispielsweise im Hinblick auf die Nutzung vorhandener Systemeigenschaften, zuzuordnen ist, also ganz oder überwiegend in den Verantwortungsbereich der Anwender fällt. Hieraus läßt sich eine Verpflichtung vor allem der Hersteller ableiten, die Anwender über den Aufbau einer DV-Organisation und die Implementierung geeigneter Datensicherungsmaßnahmen besser als bisher zu beraten. Auch die Aufsichtsbehörden tragen dazu gerne ihre Scherflein bei.

Wie die Prüfungen gezeigt haben, ist ein Teil der Mängel aber auch in unzureichenden Systemeigenschaften begründet. Daraus ergibt sich an die Hersteller die Forderung nach dem Bau von sicheren Systemen, denn der Anwender muß darauf vertrauen können, daß die Systeme sich so verhalten, wie er das von ihnen erwartet. Er hat schließlich einen Anspruch darauf, daß er auch bei der Verarbeitung personenbezogener Daten in DV-Systemen den gesetzlichen Anforderungen in ausreichendem Maße nachkommen kann.

*Frank Heymann ist Leiter der Zentralabteilung Angewandte Mathematik - Technische Datenverarbeitung - Datensicherung beim TÜV Bayern e.V., München.

Dieser Beitrag wurde dem "1. Erfahrungsbericht zur Typprüfung von technischen Einrichtungen zur Datensicherung und von DV-Systemen unter dem Gesichtspunkt der Datensicherheit des TÜV Bayern e. V., München, entnommen.