Das Thema Datensicherheit auf PCs ist in den letzten Monaten in allen Fachmedien, aber auch in der Wirtschaftspresse und in Nachrichtenmagazinen angesprochen worden. Tatsächlich ist es in Deutschland mit seinem Datenschutzgesetz auch ganz besonders wichtig. Bei vielen Diskussionen wurden Datensicherheitsmaßnahmen indessen auf Verschlüsselung reduziert. Das wird der Bedeutung des Themas nicht gerecht.

Untersuchungen des Fachmagazins KES haben ergeben, daß Datensicherungsprobleme in der Praxis zu rund 70 Prozent durch menschliche oder technische Schwächen verursacht werden. Die kriminellen Delikte wie Datendiebstahl, Spionage und Sabotage spielen nur eine untergeordnete Rolle. Experten vermuten außerdem, daß sie in den meisten Fällen von Insidern verübt werden, die einen geordneten Zugang zu den Daten haben, was der Datensicherheitsbetrachtung eine ganz neue Qualität verleiht.

PCs haben heute in vielen Fällen Doppel- und Dreifachfunktionen. Sie arbeiten "stand-alone", fungieren als Mainframe-Terminal oder Netzwerkstation. Maßnahmen zur Datensicherheit betreffen deshalb nicht nur die auf dem PC gespeicherten Daten, sondern auch den Zugang über den PC zum Hostrechner und Netzwerkserver.

Erste Absicherungsstufe durch Software

Die grundlegende Maßnahme soll, das ergibt sich aus der angesprochenen Statistik, eine Sicherung gegen versehentliches oder fahrlässiges Beeinträchtigen oder Zerstören von Daten sein. Diese Absicherungsstufe können Softwarelösungen vollständig abdecken. Bei dieser Gelegenheit sollte angemerkt werden, daß es eigentlich auf der Hand liegt, Sicherheitsprogrammen eine integrierende Funktion zuzuordnen: Wenn schon Abwehrmaßnahmen gegen verschiedenartige Risiken unter einer einheitlichen Oberfläche aufeinander abgestimmt sind - und alles andere wäre dilettantisch - dann ist es nur logisch, darin auch gleich die Unterstützungsvorkehrungen für die Benutzer unterzubringen, also Dateiverwaltung, Abruf von Routinefunktionen wie Laden, Kopieren, Drucken, Löschen und Überschreiben, Backup, Datenübertragung etc. Diese, auf die Belange des Arbeitsablaufs und der Arbeitserleichterung abgestimmten Funktionen müssen zugleich verhindern und überflüssig machen, daß der Benutzer Zugang zum "DOS-Prompt" hat, denn hauptsächlich von dort aus können die vielen denkbaren Pannen überhaupt passieren. So viel nur zu den 70 Prozent der in der Praxis vorkommenden Schäden. Viel mehr diskutiert wird indessen die kriminelle Minderheit.

Dazu folgende Überlegungen: Die erste Forderung für diese Stufe muß

lauten: Diejenigen Sicherheitsnachteile abzufangen, die der PC als Datenspeicher gegenüber einer konventionellen Ablage hat. Gemeint ist zum Beispiel: Bewaffnet mit Technikerkittel, ein paar Werkzeugen, einem Computerhandbuch und einer großen Portion "Chuzpe", kann sich jemand als angeblicher Techniker leichter an einen PC heranmachen, als an eine herkömmliche Ablage mit Leitz- oder Hängeordnern. Er kann fix alles auf Diskette kopieren, was in Frage kommt, und in Ruhe zu Hause heraussuchen, was ihn wirklich interessiert. Sinngemäß gilt das Gleiche für den Insider, der sich an Dateien zu schaffen macht, zu den er keinen Zugriff haben dürfte. In der herkömmlichen Ablage ist der Dieb darauf angewiesen, genau die richtige Akte in aller Eile zu finden.

Zu dieser Art "Gelegenheit macht Diebe"-Kriminalität passen die einschlägigen Gesetze: Nur wer aus einem in irgendeiner Weise also zum Beispiel durch Paßwort geschützten PC Daten unberechtigt entnimmt, macht sich überhaupt strafbar. Andererseits wird auch der Betreiber mit Strafe sanktioniert, wenn er persönliche Daten einem Gerät anvertraut, das nicht einmal über einen solchen Mindestschutz verfügt.

Auch die Risikoabwehr auf dieser Stufe ist mit Software sehr gut und sehr preiswert zu erreichen - wenige hundert Mark pro Arbeitsplatz genügen. Wenn diese Software auch noch als Nebennutzen alle PC-Arbeitsplätze mit einer einheitlichen Benutzeroberfläche versorgt, dann ist kaum einzusehen, weshalb überhaupt noch ein Rechner in einer größeren Organisation ungeschützt bleiben soll.

Die nächste Stufe betrifft den PC, in dem entweder Daten stehen, die Industrie- oder sonstige Spionage herausfordern könnten, oder deren Verlust beziehungsweise unberechtigte Kenntnisnahme besonders schwerwiegende Folgen für den Betrieb haben könnte. Auch hier gibt es natürlich wieder Abstufungen: Ganz große und für andere wertvolle Geheimnisse gehören entweder nicht auf den PC oder sie müssen für die Nacht per Filetransfer beziehungsweise Datenträgeraustausch in die Sicherheitszone eines Rechenzentrums übertragen und natürlich jedesmal auf dem PC überschrieben werden. Alternative: Den Arbeitsraum konventionell absichern, sprich verbunkern.

Erst auf dieser Stufe kommt unter praktischen Gesichtspunkten Verkodung ins Spiel. Auf dem PC selbst kann man kritische Dateien zunächst einmal per Software verkoden. Gute Sicherheitsprogramme ermöglichen das als Standard, und zwar heute nicht mehr nur nach den simplen XOR etc.-Verfahren. Nachteil: Es ist ein kompletter Arbeitsgang für den Benutzer, vergleichbar dem ungeliebten Backup. Dazu kommt selbstverständlich Löschen und Überschreiben (wir wissen inzwischen alle, daß "Delete" nur heißt "gilt als gelöscht, steht nicht mehr im offiziellen Verzeichnis, kann vom System überschrieben werden"). Damit das recht konsequente Organisation und Sicherheitsmotivation der Mitarbeiter notwendig.

Es gibt aber auch die "Online"-Kodierung: Alles wird automatisch und mit solcher Geschwindigkeit kodiert oder dekodiert, daß der Benutzer davon nicht mehr als von automatischer Abspeicherung behelligt wird. Dazu sind Boards notwendig, die ihr Geld kosten: Von wenigen hundert bis zu mehr als tausend Mark. Dabei bieten die extrem teuren nicht unbedingt mehr Schutz als die extrem preiswerten. Gegen die Manipulation durch gewiefte Elektroniker schützt man die Platinen heute durch Einschweißen in Kunststoff.

Aber auch auf dieser Stufe ist Kodierung keineswegs die einzige und endgültige Maßnahme. Ist schon so viel kriminelle Energie am Werk, daß jemand einen Einbruchdiebstahl mit der dafür hohen Strafandrohung riskiert, dann muß auch für den Fall Vorsorge getroffen werden, daß "daheim", mit der Ausrüstung eines kompletten Elektroniklabors, der Kode in aller Ruhe bearbeitet wird.

Dafür gibt es außer Kodierung noch andere Software und Hardware, die eine Festplatte dann unbrauchbar machen, wenn sie ausgebaut wird. Zudem ist nicht allein der Datendieb eine Gefahr, sondern auch der Saboteur, der nur zerstören oder verändern will. Genau hier liegt die schwache Seite der Nur-Verkodung, denn gegen Sabotage hilft sie zunächst einmal gar nicht. Erst diejenigen Maßnahmen, die den Zugriff und das Überschreiben verhindern, bremsen den Saboteur - falls er nicht überhaupt zur Axt greift. Man sieht: Die Beispiele für Situationen und für Gegenmaßnahmen lassen sich beinahe unendlich fortführen. Ein typisches Problem von Rüstung und Gegenrüstung, die sich bekanntlich gegenseitig endlos aufschaukeln. Niemand kann garantieren, daß nicht irgendwann irgendjemand eine klug eingefädelte Sicherheitsmaßnahme auf noch klügere Weise umgeht - oder auf eine einfach ganz brutale.

Wichtig ist die eine Frage, die derzeit kaum einmal gestellt wird: In welchem Verhältnis stehen am jeweiligen PC-Arbeitsplatz der Wert der Daten, die Wahrscheinlichkeit eines unberechtigten Zugriffs, ob kriminell oder fahrlässig, und der finanzielle wie organisatorische Aufwand für die Abhilfe.