Der Sicherheitskonzepte nachdenken, bevor es zu spät ist:

Listen im Papierkorb vermiesen perfekte DFÜ- Sicherung

12.10.1984

ESSEN - "Wetten, daß auch Ihre Datenbank geknackt werden kann?" allein mit dieser Wette ließe sich heute eine Menge Geld verdienen. Doch geheimen Datenbanken anzugreifen ist viel lukrativer. Wenn es mal schiefgehen sollte, gibt es immer noch die Hoffnung auf Gesetzeslücken. Selbst bei schwersten Fällen von Datenmißbrauch, Manipulation und Diebstahl mit Schadensbeträgen in Millionenhöhe erwartet den "White-Collar-Täter" in der Regel ist das eine verhältnismäßig geringe Strafe. Dabei wird das Thema "Sicherheit" im Zeichen von Mini- und Arbeitsplatzcomputern, den Netzwerken und Datenfernübertragungssystemen immer bedeutsamer.

Für die betriebliche Leistungserstellung ist der Einsatz von Datenverteilung heute schon fast obligatorisch. In absehbarer Zeit wird auch der letzte Arbeitsplatz damit ausgestattet sein. Selbst für kleine und mittlere Unternehmen bedeutet "EDV" Rationalisierung und damit Kosteneinsparung.

Die Sicherung hat verschiedene Aspekte

Ihre Implementierung, also die hochgerechte organisatorische Ein(...)dung in den Unternehmensablauf bereitet in der Regel schon genügend Probleme. Darüber wird dann zuoft vergessen, daß dem Computer wichtigste Informationen anvertraut werden, die es zu schützen gilt. Die Sicherung eines Computersystems hat verschiedene Aspekte:

1. Schutz vor Verlust von Daten im (...)rungs- beziehungsweise Katastrophenfall mit Sicherstellung einer (...)fristigen Wiederaufnahme des Betriebes.

2. Schutz vor Datenverlust oder Erfälschung durch fehlerhafte Verleitung und intransparente Abläufe.

3. Schutz der personenbezogenen im Sinne des Datenschutzgesetzes.

4. Schutz vor unberechtigtem Datenzugriff und -manipulation beziehungsweise betrügerische Eingabe und Computer-Instruktion durch eigene Mitarbeiter.

5. Schutz vor Ideendiebstahl und Daten- beziehungsweise Unternehmensmanipulation durch Außenstehende (zum Beispiel Konkurrenz).

Diese klassischen Sicherheitsaspekte haben große Unternehmen in ihren Rechenzentren längst realisiert. Der Vormarsch von Minicomputern und Datennetzen mit Zugriff auf zentrale Datenbanken hat allerdings das Sicherheitsrisiko wesentlich erhöht. Viele der heute praktizierten Codes sind so simpel, daß sie jeder Gymnasiast mit seinem Heimcomputer knacken kann.

Kleine und mittlere Betriebe haben - wie eine Umfrage ergab - von vornherein keine oder unzureichende Sicherheitsvorkehrungen getroffen. Obwohl gerade sie einen Wertverlust am wenigsten verkraften können, haben sie sich meist mit der Thematik noch nicht auseinandergesetzt. Oft fehlen ihnen dazu qualifizierte Fachkräfte.

Wie hoch die Verluste durch mangelnde Vorsorge, Fehlverhalten und Kriminalität im einzelnen sind, ist nicht exakt bekannt. Die Statistiken darüber sind widersprüchlich.

Schäden entstehen durch:

- Manipulation von Kontoständen, Rechnungszahlungen und Gutschriften;

- Zugriff auf Warenbestände;

- Fälschung von Gehaltszahlungen oder Vorschüssen;

- Fiktive Vertragsabschlüsse;

- Aufdecken von Geschäftsgeheimnissen;

- Software-Diebstahl und

- Rechenzeit-Diebstahl.

Wertangaben sind hierzu kaum möglich, denn nur 10 bis 20 Prozent der Delikte werden tatsächlich aufgedeckt. Oft schweigen die geschädigten Unternehmen - vielleicht weil außer dem Imageverlust auch noch Regreßansprüche drohen könnten .

Lücke erkannt, doch Gesetze fehlen noch

Die Beute bei der Computerkriminalität kann weitaus höher sein als bei anderen Delikten wie Bankraub beispielsweise. Dagegen sind die Konsequenzen für den Täter nur gering; sie stehen in keiner Relation zum angerichteten Schaden. Wenn auch der Gesetzgeber diese Lücke erkannt hat, so machen es doch eine Vielzahl von Nebengesetzen den Ermittlern und Richtern schwer, für eine adäquate Strafverfolgung und Strafzumessung zu sorgen. Für die nahe Zukunft auf eine stärkere Abschreckung durch andere Gesetze zu hoffen, ist nicht realistisch, wie selbst der Gesetzgeber eingesteht.

Angesichts dieser Lage müssen große wie auch kleine und mittlere Unternehmen den Schutz ihrer Computer- und Datensysteme neu überdenken. Mittel und Methoden, Computer-Sicherheit auch unter Berücksichtigung der gesetzlichen Auflagen zu gewährleisten, gibt es.

Die Problemstellung ist allerdings vielschichtig und erfordert neben dem Fachwissen in den Bereichen EDV, Organisation, Datenfernübertragung und Security-Technik auch eine systematische Vorgehensweise zur Problemlösung. Der erste Schritt ist die Situationsanalyse des EDV-Betriebes. Dabei werden die bereits vorhandenen Sicherheitsvorkehrungen einer kritischen Wertung unterzogen.

Der zweite Schritt ist die Analyse der "wertkritischen" EDV-Abläufe, um Schwachstellen - insbesondere im Geld- und Wertfluß - aufzuzeigen. Nicht selten werden in diesem Zusammenhang organisatorische Schwachstellen aufgedeckt, deren Behebung auch einen Rationalisierungseffekt bedeutet.

Der dritte Schritt ist die zielgerichtete Erarbeitung eines Maßnahmenkatalogs zum Aufbau des Sicherungsfeldes und die Konstruktion von Sicherungsketten. Schließlich muß der Zeitrahmen für die Realisierung der Maßnahmen und anhand einer Wirtschaftlichkeitsbetrachtung das Budget festgelegt werden.

Zwangsläufige Dokumentation vorsehen

Grundsätzlich ist wichtig, daß der Aufwand zur Computersicherung im richtigen Verhältnis zum möglichen Schaden steht. Außerdem sind die Sicherungsfeldmaßnahmen über verschiedene Sachgebiete, Bereiche/Instanzen und Techniken ausgewogen anzulegen. Die perfekte Sicherung der Datenfernübertragung nützt kaum, wenn Computerlisten mit Geheiminformationen im Papierkorb zur freien Verfügung stehen.

Doch selbst die besten Sicherheitssysteme können Verrat beispielsweise nicht ausschalten. Daher sollten gute Konzepte immer auch eine zwangsläufige Vorgangsdokumentation beinhalten, so daß im Schadensfall die Chance einer schnellen Aufklärung besteht.

*Michael Sigesmund ist Geschäftsführer der CSS Computer-Security- Service GmbH, Essen.