Nicht der DV-Fachmann, sondern der Anwender, also die Fachabteilung, entscheidet über die Risikobewertung beim PC-Einsatz. Darüber mag gerichtet werden, die Praxis ist heute so - mit wenigen Ausnahmen. Aber, so die Autoren der folgenden Abhandlung, Günter Lessing und Eckart Weese*, die ganzheitliche additive und nicht etwa eine sektoriale Prüfung auf Schwachstellen im System ist dennoch das Mittel der Wahl, wenn die Sicherheitsrisiken, die der PC-Einsatz im Unternehmen bedeutet, minimiert werden sollen.

Was hat PC-Sicherheit mit dem Unternehmensergebnis zu tun? Die Antwort auf diese Frage ist simpel: PCs sind Werkzeuge, die in skrupellosen Händen zu Waffen werden können. Manipulationen, zum Beispiel durch Einschleusen von Viren, können vom PC-Anwender vorgenommen werden und zu Programmzerstörungen führen. Dies kann schwerwiegende Störungen im EDV-Ablauf zur Folge haben (besonders bei "ungefilterter" Upload-Datenspeicherung vom PC zum Host). Und diese Störungen sind der Ausgangspunkt für die folgende Betrachtung.

In Unternehmen, in denen Auftragsabwicklung, Bestandskontrolle, Lagerbewirtschaftung und Versand über EDV gesteuert werden, machen sich selbst kurzfristige DV-Ausfälle stark bemerkbar, sofern nicht hinreichende Ausweichkapazitäten vorhanden sind. Und in sehr vielen Fällen sind diese nicht vorhanden.

Noch gravierender ist die Situation, wenn die Produktionsplanung und die Produktionssteuerung über EDV laufen. Ein Improvisieren im Notfall nach dem Grundsatz "Früher haben wir ja auch manuell gearbeitet" ist meist nicht möglich. Produktionsunsicherheit bedeutet Liefer- und Leistungsunsicherheit. Und dies kann nicht nur zu kurzfristigen Ergebnisbelastungen führen, sondern auch zu langfristigen, wenn nämlich bedeutende Abnehmer abwandern. Hieraus erkennt man, wie eng das Unternehmensergebnis mit der DV-Sicherheits-Konzeption verbunden ist. Ein Zusammenhang, der vielen Managern auf der oberen und obersten Leistungsebene nicht voll bewußt ist.

Notwendig ist eine Analyse der EDV-Abhängigkeiten im Unternehmen. Zwar herrschen gewisse Vorstellungen hierüber. Jedoch gilt es, die Abhängigkeiten so exakt wie möglich zu bestimmen. Denn nur auf dieser Basis lassen sich Investitionsentscheidungen zum Beispiel für Ausweichkapazitäten oder andere sicherheitserhöhende Maßnahmen begründen. Da es keine allgemeingültigen Aussagen über schwerwiegende oder eher unbedeutende Folgewirkungen gibt, muß die Analyse die unternehmensspezifischen Belastungsfaktoren berücksichtigen. Diese sind häufig nicht auf Anhieb zu erkennen, sondern werden erst mit Hilfe einer streng verketteten Abfrageroutine sichtbar.

Von der Methodik her wird so vorgegangen, daß zunächst die bei einer DV-Störung unterbrochenen Tätigkeiten untersucht werden. Dabei wird auf die Kommunikationsverknüpfungen mit anderen Fachbereichen abgestellt. In der Praxis ergibt sich häufig, daß die Frage nach den Tätigkeiten gar nicht so spontan beantwortet wird. Das liegt wohl daran, daß man sich über ständig durchgeführte Abläufe nur auf Befragen Gedanken macht. Das Herumschicken von Checklisten zum Selbstausfüllen hat denn auch allzuoft "schiefe" Ergebnisse erbracht.

Bei der Betrachtung der möglichen negativen Folgewirkungen sind Aspekte wie Vermögenswirksamkeit, Gesetze, Image und anderes zu berücksichtigen. Es ist durchaus möglich, daß eine mit zwei Millionen Mark quantifizierte Folgewirkung für das Management weniger wichtig ist als übergeordnete Imagefragen. In der Analyse müssen also die sicherheitsrelevanten Vorstellungen des Managements einfließen.

In manchen Unternehmen existieren Notfallmaßnahmen in den Fachabteilungen. Allerdings sind diese meist nicht im Rahmen einer ganzheitlichen DV-Sicherheits-Konzeption entwickelt worden, sondern auf Initiative einzelner Fachbereiche. Ein koordiniertes Vorgehen im Notfall wird mit einem solchen Instrumentarium schwer möglich sein. Analysen in der Praxis zeigen hier eine große Lücke.

Folgewirkungswert für das Unternehmen

Sehr wichtig ist die Frage nach alternativen Informationsquellen für den Fall, daß die EDV aussteigt, nach der Möglichkeit des Verarbeitens der Informationen in qualitativer und quantitativer Hinsicht.

Aus der Vielzahl der Abfragepositionen ergibt sich schließlich ein zahlenmäßiges Bild der Folgewirkungen. Wenn man die fachbereichsspezifischen Analyseergebnisse aggregiert, ergibt sich ein Folgewirkungswert für das Unternehmen als Ganzes. Diesem Wert können die Investitionen gegenübergestellt werden die für sicherheitserhöhende Maßnahmen notwendig sind.

Der abgestimmte und geplante Einsatz der EDV-Qualitätssicherung, DV-Revision, des Controllings, der Projektleitung, des Werkschutzes, des Sicherheitsbeauftragten, der Fachabteilungsverantwortlichen und des Datenschutzbeauftragten ist keine Selbstverständlichkeit und erst recht nicht die Aufgabe des DV-Leiters, sondern der Unternehmensleitung, und zwar, wie die aktuellen Berichte über VW zeigen, eine zwingende!

Aufgabe der bei der Erstellung des Sicherheitskonzeptes Tätigen und Verantwortlichen ist allerdings, die Durchgängigkeit ihrer Sicherheitsmaßnahmen zu gewährleisten.

Sicherheitseinbrüche vermeiden

Was nützt es, per se alle zentralen Anwendungen, erstellt in der Entwicklungsabteilung der DV, allen Sicherheits- und Schutzmaßnahmen und Tools (Data Dictionary, Security-System, automatisches Job-Scheduling-System) zu unterwerfen, wenn

durch IDV-Anwendungen Hunderte von Programmen zwar vom zentralen Host verarbeitet werden, aber über die Sicherheitsrelevanz dieser Anwendungen keinerlei Aussagen vorliegen und sie somit sozusagen von fast allen Sicherheitsauflagen befreit über den Risikountiefen schweben. Oder wenn zwar ein vollautomatisches Banbverwaltungsarchiv Tausende von Bändern sorgfältig dokumentiert und verwaltet, aber in geregelten kontrollierten Zyklen keine materielle und inhaltliche Prüfung der Bänder in den Archiven erfolgt (ein weitverbreiteter Schicherheitsbruch!).

Daß unter solchen Bedingungen der "Supergau" durchaus praktizierbar und denkbar ist, hat VW gerade erst bewiesen. Aufsichtsratsvorsitzender Ratjen laut Reuter: Es seien Bänder aus dem Jahre 1984 gelöscht und Computerprogramme verändert worden.

"An den Börsen wird vermutet, daß die wirklichen Ursachen des Debakels nicht in der Devisenabteilung zu suchen sind, sondern in der zentralen Datenverarbeitung. Wenn ganze Datenbestände verschwinden und unautorisiert von Dritten verändert werden könnten, so heißt es, wenn das Computernetz offensichtliche Lücken aufweise, dann sei das Problem wesentlich größer, als man bisher angenommen habe. Wo war der Abschlußprüfer, wo die Innenrevision? fragen Experten heute." (FAZ vom 14. März 1987)

"Der Skandal zeigt, daß auch ganz renommierte Großunternehmen gegen derartige Manipulationen nicht gefeit sind, daß das scheinbar Unmögliche offenbar doch möglich ist.

Daher ist eine Selbstüberprüfung auch der größten Konzerne daraufhin überfällig." ("Handelsblatt" vom 16. März 1987)

Die Praxis bestätigt die Notwendigkeit eines übergreifenden Sicherheitskonzeptes! Auf keinen Fall sollte man als Sicherheitsverantwortlicher widerspruchslos folgender Aussage folgen:

"In diesem Zusammenhang behauptet man in Wolfsburg, daß die Vielzahl von Kontrollen, bis zu regelmäßigen Überprüfungen der inneren Revision, immer nur so lange funktionieren kann, solange diese nicht durch Fälschung und Betrug unterlaufen werden." "Unser Kontrollsystem, in das selbsverständlich mehrere Personen und Abteilungen eingeschaltet werden, basiert natürlich immer auf dem Vertrauensprinzip..." "Einen Betrugsfall, wie den bei Volkswagen, zu entdecken, sei bei einer solchen Stichprobenprüfung (Feststellung der Funktionsfähigkeit des internen Kontrollsystems und Prüfung einzelner Geschäftsvorgänge nur durch Stichproben durch Wirtschaftsprüfer) reiner Zufall, behauptet das Volkwagenwerk." (FAZ vom 18. März 1987) Offenbar war das Unmögliche schon immer möglich.

Diese bisherigen noch sehr unvollständigen Aussagen zum VW-Debakel erinnern fatal an die Herstatt-Pleite. Im "Datenschutz-Berater" vom 10. Oktober 1980 wurde ausführlich geschildert, wie mit Hilfe eines nicht ordnungsgemäßen Datenverbundes sozusagen eine doppelte Buchführung im Devisengeschäft abgewickelt wurde: Die laufende Belegnummer wurde nicht in den Datensatz übernommen; statt der Sende-Taste wurde die Abbruch-Taste bedient, damit die Ausfertigung entstand, derer man sich bediente, wie man es gerade brauchte, graue Ablagen entstanden etc. Die Story liest sich spannender als jeder Krimi - und hat den Vorteil der Wahrhaftigkeit.

Damals wurden folgende Erkenntnisse aus dem Fall Herstatt gezogen:

1. Abstimmungsverfahren müssen sämtliche Eingabewege, bei verteilter DV demnach das gesamte Netz, berücksichtigen.

Z. Belegnummern sind nachzuweisen; maschinelle Folge-, Vollständigkeits- und Doppelvergabekontrollen sind durchzuführen.

3. Sämtliche Datenwege außerhalb der Norm sind anhand eines Einzelnachweises darzustellen und nach dem Vier-Augen-Prinzip zu prüfen.

4. Die Revision darf nicht um das System herumprüfen, sie muß die DV-Verfahren in ihre Prüfung einbeziehen.

5. Kontrollorgane wie DV-Revision und Datenschutzbeauftragte sind bei der Gestaltung den Anwendungssystemen in verteiltem Rechnerverbund vor der Realisierung des Produktes zu hören, damit die Aspekte der Kontrollen wirksam (und nicht als nachträgliches Flickwerk) berücksichtigt werden.

6. Berichte über Systemprüfungen müssen - mindestens mit ihren wesentlichen Erkenntnissen - das Top-Management erreichen. Bei Gefahr im Verzug ist die Geschäftsleitung unmittelbar anzusprechen.

7. Die Verwaltung von Programmbibliotheken muß in verteilten Systemen straffer organisiert, die Zugriffsrechte bei der Pflege von Programmen nach dem

"Need-to-know"-Prinzip eingeschränkt werden.

8. TSO-Programmierung ist dort zu verbieten, wo empfindliche Anwendungen bearbeitet werden, das Betriebssystem jedoch keine hinreichende Dokumentation (automatisch und nicht vom Programmierer zu umgehen!) bietet. Für zahlreiche Anwendungen bietet sich hier ergänzende Fremdsoftware an.

9. Vorgesetzte und qualifizierte Mitarbeiter müssen über Ordnungsmäßigkeitserfordernisse und Haftungskonsequenzen hinreichend informiert werden.

Zwar schreiben wir heute 1987 - aber bei einigen Problemen scheint die Zeit stehengeblieben zu sein.

Wenn in Hinblick auf eine gezielte Manipulation kriminelle Energie in der Fachabteilung sich mit krimineller Energie in der DV (zum Beispiel Systemprogrammierung) zusammentut, ist nicht auszuschließen, daß Sicherheitsbarrieren "übersprungen" werden können.

Letztendlich kann hier die Erarbeitung eines umfassenden Abstimm-, Sicherungs- und Kontrollsystems (ASK) für EDV-bezogene Daten und Programme, das ständig überprüft wird, "optimale" Sicherheit bieten. Dieses ASK muß sich auf alle betroffenen und mit der DV angrenzenden Bereiche erstrecken.

Seine Ziele wie Ordnungsmäßigkeit, Schutzwürdigkeit, Funktionsmäßigkeit und Vermögensmäßigkeit sind mit der DV und den Fachanwendern abzustimmen und damit funktions- und bereichsübergreifende Sicherheitsmaßnahmen festzulegen.

Hierbei spielt der aktuelle Versicherungsschutz eine wesentliche Rolle. Die Praxis zeigt, daß häufig Lücken in diesem Bereich bestehen und daß die Versicherungsbedingungen der analysierten Risikolage angepaßt werden müssen. Dies ist ohne eine schriftlich fixierte Sicherheitskonzeption kaum möglich.

Mit zunehmendem Einsatz von PCs steigt das Risiko von Manipulation und Informationsabfluß erheblich. Hierüber gibt es kaum unterschiedliche Meinungen. Delikte dieser Art bekommen jedoch erst ihren Stellenwert, wenn Klarheit über die Konsequenzen herrscht. In einer Untersuchung hatte sich zum Beispiel ergeben, daß große Möglichkeiten des Informationsabflusses bestanden, daß dieser Tatbestand jedoch für das Unternehmen von geringer Bedeutung war.

Umgekehrt hatte sich ergeben, daß ein EDV-Ausfall - und dies kann ja auch infolge Manipulation via PC geschehen - zu relativ geringen absoluten Folgewirkungen führen würde. Der ermittelte Wert hatte jedoch große Bedeutung, da er in etwa dem Jahresergebnis des betreffenden Bereichs entsprach.

Es ist also festzuhalten: Ohne ein ganzheitliches DV-Sicherheitskonzept unter Berücksichtigung der Folgewirkungen kann PC-Sicherheit nicht sinnvoll gestaltet werden. Die Erarbeitung eines solchen Konzepts bedeutet Investition. Hier ist die Unternehmensleitung angesprochen. Ergebnissicherung ist ihre Verantwortung. Eine neue Denkrichtung ist notwendig.