Die Technik fuer eine vernuenftige Informationssicherheit im Aussendienst ist vorhanden. Indessen nutzt sie wenig, wenn es an entsprechendem Bewusstsein mangelt und hochkomplexes Sicherheits- Management einer effektiven Handhabung entgegensteht. Einzig genaue Vorgaben, fallweise Kontrollen und natuerlich intelligente Loesungen machen es moeglich den Ueberblick zu wahren. Viele Betriebe stehen damit noch ganz am Anfang.
Manche Informations-Manager trauern den Zeiten nach, zu denen noch klare Verhaeltnisse in der DV herrschten. So gestalteten sich Datenschutz und Datensicherheit auf dem Grossrechner einfach: Benutzer-Zugangsberechtigungen oder rigider Passwortschutz trennten die Spreu vom Weizen. Seit jedoch Laptops, Handhelds oder Portable die Aussendienstabteilungen der Unternehmen erobern, hat sich das Bild gewandelt. Heute ist jeder selbst fuer die Sicherheit seiner Daten verantwortlich, was oft genug mit schmerzlichen Verlusten endet. Kein Wunder, denn mit der individuellen Datensicherung gibt es Probleme.
Ungenutzte
Moeglichkeiten
So werden nach Ansicht von Udo Brockmann, Leiter Abteilung DV- Services der Touristik Union International (TUI), Standards nicht eingehalten, Computer unkontrolliert nachgeruestet und vorhandene Passwortmechanismen oder Sicherungsprozeduren nicht genutzt. Ein uebriges erledigten dann die Viren, die sich ueber eigene, ungepruefte Programme ins System einschleichen koennen. Insider gehen davon aus, dass auf diese Weise jaehrlich Schaeden in Millionenhoehe entstehen, inklusive der Verluste, die sich durch die Portabilitaet der Geraete summieren.
Gegenueber einem Terminalzugriff unterscheidet sich die Datensicherheit auf PCs nach Ansicht des TUI-DV-Serviceleiters nicht nur in der Quantitaet, sondern auch in der Qualitaet, wie etwa durch die Moeglichkeit des Up- und Downloads von zentralen Datenbestaenden und ihrer weitergehenden Verarbeitung: "Theoretisch laesst sich auch in einer dezentralen Umgebung ein Sicherheitsstandard aufbauen, der dem einer Host-Umgebung entspricht", erlaeutert Udo Brockmann. Allerdings muessten hierzu dezidiert
- organisatorische Kontrollmechanismen,
- Sicherheitsverfahren,
- Backup-Routinen,
- Zutritts- und Zugriffssicherungs-Systeme,
- physikalische Netzwerksicherung und
- genuegend Supportmitarbeiter im Unternehmen vorhanden sein.
Knallharte
Standards
In der Praxis sei ein solcher Sicherheitsstandard zur Zeit noch nicht erreichbar, da es noch zu viele Fehlerquellen gibt. Rein organisatorische Loesungen reichten nicht aus. "Hier bedarf es automatischer Verfahren fuer Datensicherung, Scan von Viren oder die Verwaltung von Ressourcen mit knallharten Standards fuer Konfiguration oder Vergabe von Zugriffsrechten", betont der TUI- Mann.
Durch eine weiter zunehmende mobile Techniknutzung - wie sie etwa Notebooks und Penbooks erwarten lassen - und funkbasierte Kommunikationswege wird sich die Situation nach Ansicht von Heiko Lippold, Geschaeftsfuehrer des Betriebswirtschaftlichen Instituts fuer Organisation und Automation (Bifoa) an der Universitaet in Koeln, sogar noch weiter verschaerfen. "Der umfassende Zugriff auf zentrale Informationsbestaende und Anwendungen zur verbesserten Kundenbetreuung ist ein weiterer Trend, der die Anforderungen an die Informationssicherheit steigen laesst", wie Heinz Gartner, am Institut Projektleiter Informationssicherheit, ergaenzt.
Risiken
steigen
Dabei sind die beiden Wissenschaftler davon ueberzeugt, dass die Risiken im Aussendienst staendig steigen. Viel gravierender als der unmittelbare finanzielle Schaden, der durch den Diebstahl von Geraeten entsteht, sei die Moeglichkeit, die Geraete missbraeuchlich zu nutzen, sei es durch Verwendung der darauf gespeicherten Informationen oder den Zugriff auf zentrale Bestaende.
Ein ebenso zentraler Risikobereich im Aussendienst liegt laut Lippold und Gartner in der Kenntnisnahme, Manipulation oder Zerstoerung von dezentral gespeicherten Informationen. So habe ein unbefugter Nutzer prinzipiell die Moeglichkeit, lokal gespeicherte Informationen zur Kenntnis zu nehmen. Je besser der Aussendienstler mit Informationen zur Beratung seiner Kunden ausgestattet ist, desto interessantere Erkenntnisse wird der nicht zugelassene Nutzer gewinnen koennen. Manipulation und Zerstoerung koennen ebenfalls zu erheblichen Problemen fuehren.
Schliesslich sind nach Ansicht von Bifoa-Chef Lippold auch der unbefugte Zugriff auf zentrale Rechner sowie das Abhoeren von Uebertragungen nicht zu unterschaetzende Gefahren. Der Verbindungsaufbau zu zentralen Rechnern kann eine muehsame Prozedur sein. Doch je einfacher der Kontakt herzustellen sei - vielleicht sogar nur durch das Druecken einer Funktionstaste -, desto leichter koenne auch ein Unbefugter Informationen abrufen oder im zentralen System Schaeden anrichten. Bei ungesicherter Uebertragung ueber funkbasierte Netze haengt das Risiko davon ab, welche Informationen uebertragen werden und welchen Nutzen sie einem unbefugten Lauscher bringen koennen.
Aussendienstler
muessen umdenken
Um nun die Informationssicherheit im Aussendienst zu verbessern, sollten die Betriebe zunaechst einmal das Sicherheitsbewusstsein ihrer Mitarbeiter foerdern. Aussendienstler, aber auch Entwickler muessten hier umdenken.
Zudem sei es ratsam, alle Aussendienst-geraete mit hochwertigen Sicherheitsprodukten auszustatten. Solche Erzeugnisse muessten - wie bei jedem PC - die Funktionen Identifikation und Authentisierung sowie Rechtepruefung und -verwaltung umfassen. Zusaetzlich sei bei mobilen Geraeten eine Verschluesselung der lokal gespeicherten Informationen sehr zu empfehlen. Auch bei der Uebermittlung sensitiver Informationen empfiehlt das Bifoa, die uebertragenen Daten zu kodifizieren. Die Verschluesselung koenne zudem helfen, Uebertragungsfehler zu erkennen und zu beheben. Durch geeignete Massnahmen - wie etwa Token oder Rueckrufverfahren - sollte auch ein unbefugter Verbindungsaufbau verhindert oder zumindest erschwert werden. Schliesslich sei auch zu jeder Zeit die Regel Nummer eins zu beachten: das regelmaessige Backup aller lokalen Informationen.
Bei der Deutschen Versicherungs-AG zum Beispiel wurde das selbst erstellte Programm fuer die Vertreter gleich von vornherein so geschuetzt, dass praktisch kein Unbefugter mehr auf Kundeninformationen oder Vertragsdaten zugreifen kann. So haben die Berliner den Besitzern ihrer tausend Notebooks jeweils einen "Dongle" mitgegeben, der als Kopierschutzstecker primaer die Aufgabe hat, Software vor unbefugtem Kopieren zu schuetzen. "Dongle ist der Nickname fuer unseren 'Hardlock', den wir inzwischen mehr als eine Million Mal weltweit verkaufen konnten", erlaeutert Hartmut Volk, Software-Entwicklungsingenieur der Fast Elektronic GmbH in Muenchen (vgl. Abbildung 1). Wichtiger Nebeneffekt dieses Kopierschutzproduktes ist seine Faehigkeit, alle Daten verschluesselt auf der Platte abzuspeichern. Nur wer im Besitz des richtigen, kundenspezifisch kodierten Kopierschutzsteckers ist, hat Zugriff auf gespeicherte Daten. Mit "HL-Crypt", der neuesten Version des Programmes, liessen sich jetzt auch Applikationen mit ihren Daten schuetzen, bei denen kein Quellcode fuer die Programme vorliegt.
Eine handliche
Sicherheitkarte
Als Neuheit praesentierte im Maerz die CE Infosys GmbH aus Bodenheim bei Mainz eine intelligente Sicherheitskarte zum Schutz von Daten auf Notebooks. Dabei wurde die gesamte notwendige Elektronik zum Schutz des Systems und der Verschluesselung seiner Daten bei der "Cryptcard" auf einen schecckartengrossen Einschub miniaturisiert, der in jeden PCMCIA-Slot passt (vgl. Abbildung 2). Diese Karte verfuegt ueber Speicher zur Aufnahme von Bios- Erweiterungen, ein Mikroprozessor-System mit Speicher und Peripherie, eine Einheit zum Datenaustausch zwischen Haupt-CPU des Rechners und dem Prozessor auf der Karte sowie den Chiffrierbaustein Supercrypt, einen schnellen Verschluesselungs- Chip mit ladbarem Algorithmus.
"Durch Miniaturisierung dieser an sich vom Militaer bekannten Technik ist es uns gelungen, den Nutzen tragbarer Rechner verfuegbar und die Risiken beherrschbar zu machen", erlaeutert Geschaeftsfuehrer und Firmengruender Georg Krause. Da ein Zugriff nur nach entsprechendem Authentizitaetstest zwischen Rechner und Karte moeglich sei, koenne der modernen Wirtschaftsspionage, wie sie in den USA mit organisierten Banden schon durchaus ueblich sei, zuverlaessig ein Riegel vorgeschoben werden.
Noch ein weiteres, anders gelagertes Sicherheitsproblem sieht Lambert Kelders von der Schumann Unternehmensberatung in Koeln im Aussendienst. Seinen Erfahrungen nach beginnt der Aerger haeufig mit dem Lesen umstaendlicher Bedienungsanleitungen. Wo eigentlich knapp und leicht verstaendlich etwa das Verfahren zur Anmeldung beim Rechner erlaeutert sein sollte, verwirren Fachbegriffe und umstaendliches Handling die ungeuebten Anwender. Denn weder bei der Anmeldung zum System noch waehrend der Sessions sollten User existierende Datensicherheitsmassnahmen spueren. "In der Regel haben Aussendienstler keine Zeit und wollen sich noch viel weniger mit komplizierten Vorschriften wegen der Datensicherheit herumaergern", bringt der Unternehmensberater das Problem auf den Punkt.
"Der Anwender will von jedem Platz und zu jeder beliebigen Zeit im Rahmen der geltenden Richtlinien in stets gleicher Art und Weise auf die zentralen Datenbestaende zugreifen koennen", fuegt Kelders hinzu. Der typische Benutzer sehe in der Regel die Komplexitaet und Heterogenitaet moderner DV-Systeme nicht - fuer ihn ist alles "die DV". Im Grunde erwartet er einen einzigen Ansprechpartner, der "alles andere automatisch besorgt, einen zentralen Verwalter mit Durchblick und umfassenden Kompetenzen".
Eines der Produkte, die die Sicherungsarbeit im Aussendienstbereich erleichtern, ist "SAM" von der Schumann Unternehmensberatung. SAM ist ein Software-Tool, das unterschiedliche Sicherheitssysteme (Zugriffssysteme, Standard- oder Haussysteme mit eingebauten Sicherheitselementen) auch ueber verschiedene Betriebssystem-Umgebungen hinweg (RACF, TSO, IMS, ACF2, Unix) unter einer Oberflaeche standardisieren kann. Vorteil dieses Verfahrens laut Kelders: Wo sonst im Aussendienst die Bereitschaft zur Datensicherheit eher gering einzustufen sei, mache ein Produkt wie SAM es leichter, bestimmte Richtlinien korrekt einzuhalten. Und hier liege eben der "Knackpunkt": In den weitaus meisten Faellen ist es der User selbst, der aufgrund mangelhaften Sicherheitsbewusstseins ungewollt Schaeden verursacht.
*Nicole Winkler ist freie Journalistin in Muenchen.
Abb.2: Die persoenliche Eintrittskarte fuer den Rechner. Die PCMCIA- Sicherheitskarte Cryptcard fuer Notebooks chiffriert die Daten der Festplatte.
Abb.1: Der Kopierschutzstecker Hardlock schuetzt primaer Programme, gleichzeitig aber auch die Daten auf der Festplatte.
Moderne Wirtschaftsspionage, bei der bezahlte Gangs in Hotelzimmer einbrechen, um Festplatten zu kopieren und an einem sicheren Ort auf Informationen hin zu durchforsten, sind in den USA schon gang und gaebe. Damit es hierzulande erst gar nicht so weit kommt, sollten Aussendienstmitarbeiter ihre Handhelds, Notebooks und portablen PCs vor unberechtigtem Zugriff rechtzeitig schuetzen - etwa durch Dongles oder einfach mit den schecckartengrossen Sicherheitskarten, wie sie es seit neuestem gibt.