Informationssieherheit darf kein Selbstzweck sein

Als eine der Vorgaben für ein alle interessierten Wirtschaftsindividuen umfassendes geschäftliches Kommunikationssystem ist neben seiner Leistungsfähigkeit seine Sicherheit anzusehen. Dies betrifft sowohl das einzelne Gerät als auch seine Verflechtung mit korrespondierenden Geräten oder Systemen. Und es betrifft sowohl die funktionelle Sicherheit bei der Handhabung der Bürokommunikationsgeräte als auch die Absicherung gegen Preisgabe, Verfälschung oder Zerstörung der be- und verarbeiteten Informationen. Letzterer Teilaspekt wird als Datensicherung bezeichnet.

Schwache Stelle

Das Bedürfnis nach Datensicherung erstreckt sich über personenbezogene Daten weit hinaus auf viele Arten von Geschäftsdaten, auf geheimhaltungsbedürftige Konstruktions-, Produktions-, Labordaten und Daten des Rechnungswesens. Die schwächste Stelle im Informationskreislauf ist, wie bei den meisten technischen Systemen, die Übergabe- beziehungsweise Übernahmestelle zum Benutzer. Diese Schnittstelle kann einmal individuell durch organisatorische und personelle Vorkehrungen gesichert werden. Zum anderen ist es möglich, auch den Geräten selbst Sicherungsfunktionen durch maschinen- und programmtechnische Vorkehrungen zu übertragen.

Auch in der Praxis der Bürokommunikation kann die Informationssicherheit jedoch kein Selbstzweck sein. Damit sind Anwender und Hersteller gemeinsam aufgefordert, für den Einzelfall einer Anwendung zu prüfen, inwieweit Informationssicherheit zu gewährleisten ist, und welche Maßnahmen dafür in Frage kommen. Der zur Informationssicherheit zu betreibende Aufwand steht dabei in einem Zielkonflikt mit dem Zweck der Bürokommunikation und das auf zweifache Weise:

- Einmal stehen die Kosten der technisch möglichen Datensicherung der Preiswürdigkeit der Bürokommunikationssysteme entgegen.

- Zum anderen steht der organisatorische Aufwand einer personellen Datensicherung der leichten und anwenderfreundlichen Nutzung von Möglichkeiten moderner Bürokommunikation entgegen.

Hier ist eine genaue Abwägung nötig, die jedoch deshalb so schwierig ist, weil der potentielle Schaden, der durch einen Verlust, durch Veränderung oder Mißbrauch von Informationen entsteht, im Einzelfall eben nicht zu antizipieren ist. Die aufgrund der Datenschutzgesetze nach Art und Umfang zu treffenden Datensicherungsmaßnahmen gelten gleichermaflen für die Sicherung schutzbedürftiger betrieblicher Informationen.Deshalb sind in der Praxis der Informationsverarbeitung einheitliche, für alle Daten gültige Datensicherungskonzepte vom Anwender zu erarbeiten.

Zur Zeit ist die Novellierung des Bundesdatenschutzgesetzes wieder in der Diskussion. Über das bisherige Konzept der Mißbrauchsverhinderung bei der Speicherung, Übermittlung, Veränderung oder Löschung personenbezogener Daten hinausgehend wird nunmehr auf die gesetzliche Festlegung von Verwendungsart und -umfang dieser Daten abgestellt.

Dies hätte erhebliche Konsequenzen für Hersteller und Anwender der Datenverarbeitung. Als praktische Auswirkungen sind zu befürchten,

- daß der Organisationsspielraum im Unternehmen eingeschränkt wird,

- daß ein zusätzlicher hoher Verwaltungsaufwand entsteht,

- daß viele Einsatzmöglichkeiten der Datenverarbeitung vor Ort und der Datenfernverarbeitung nicht mehr genutzt werden dürfen,

- und daß wegen reduzierter Einsatzmöglichkeiten auch die Nachfrage und damit die Weiterentwicklung in der Datenverarbeitung erlahmt.

Wir sollten nunmehr prüfen, ob die bessere Alternative zu einer weiteren Verrechtlichung des Datenschutzes nicht darin besteht, durch klare organisatorische und technische Vorkehrungen auf der Basis von Normen und Regeln, die von allen unmittelbar Betroffenen gemeinsam geschaffen und anerkannt sind, die bestehenden Unsicherheiten zu beseitigen.

Fernmeldegeheimnis

Ein grundlegendes Merkmal der geschäftlichen Telekommunikation ist ferner - wie wir eingangs gesehen haben - die Benutzung der öffentlichen Fernneldenetze. Auch hier sind Überlegungen notwendig, inwieweit der vom Fernmeldegeheimnis ausgehende Schutz genügt und welche zusätzlichen Vorkehrungen, wie zum Beispiel die Verschlüsselung der zu übermittelnden Daten notwendig sind. Solche individuell zu treffenden Vorkehrungen sind jedoch ganz eindeutig Sache der Anwender und Hersteller und benötiven keinerlei hoheitliche Rege

gen, die in diesem Fall dem -cherungscharakter entgegenwirken würden. Hier wird der Markt dem Hersteller den Bedarf signalisieren und gleichzeitig dem Anwender das unter wirtschaftlichen Aspekten technisch Machbare bereitstellen.

Schlußteil eines Vortrages, der anläßlich der Hannover-Messe '82 auf dem "Forum" Datensicherung gehalten wurde.

*Hermann G Holzapfel ist Mitglied der Geschäftsleitung der IBM, Deutschland, und Leiter des Bereichs Außenkontakte der Ünternehmensleitung. Beim VDMA ist Holzapfel Vorstandsvorsitzender der Fachgemeinschaft Büro- und Informationstechnik.