Sicherheit: Motivierte Anwender sind die besten Datenschützer

22.08.1986

Mangelndes Sicherheitsbewußtsein bei Benutzern hinsichtlich der mit dem DV-Einsatz verbundenen Risiken führt immer wieder dazu, daß elementare Sicherheitsgrundsätze in Unternehmen verletzt werden. Die Datensicherheit darf deshalb nicht nur einzelnen Spezialisten überlassen werden, fordert der Datenschutzbeauftragte der Landesgirokasse in Stuttgart. Jeder Mitarbeiter sollte sich seiner besonderen Verantwortung bewußt sein. Dieses Gefühl läßt sich nach Überzeugung von Benno Pagalies von den Hamburg-Mannheimer Versicherungsgesellschaften besser durch Schulung und Motivation erreichen als durch Sanktionen und Überwachung. Darüber hinaus rät Karl Theodor Weise von der Volkswagen AG, das einmal geweckte Bewußtsein nicht wieder einschlafen zu lassen. Der Mensch sei zwar immer noch das größte Sicherheitsrisiko, der richtig motivierte Mitarbeiter sei aber auch der beste Beitrag zur Sicherheit.

Benno Pagalies

Datenschutzbeauftragter, Hamburg-Mannheimer Versicherunggesellschaften, Hamburg

Kundendaten sind die Geschäftsgrundlage einer Versicherungsgesellschaft. Daher haben Datenschutz und Datensicherung unabhängig von den gesetzlichen Notwendigkeiten in dieser Branche seit jeher einen hohen Stellenwert. Daß beim Einsatz des komplexen DV-Systems der Hamburg-Mannheimer Versicherungsgesellschaft - fast alle Abteilungen des Unternehmens arbeiten DV-unterstützt, es sind über 2300 Terminals angeschlossen - daher eine Vielzahl von technischen, organisatorischen und personellen Sicherungsmaßnahmen getroffen sind, ist selbstverständlich. Ich möchte hier jedoch nicht auf die allgemein üblichen, in der Regie der DV zu treffenden Vorkehrungen gegen Verlust, Verfälschung, Mißbrauch oder Nichtverfügbarkeit eingehen, sondern auf die Notwendigkeit der Einbindung des gesamten Unternehmens in die Fragen der Datensicherheit hinweisen.

Der sorgfältige und ordnungsgemäße Umgang mit Daten muß für jeden Mitarbeiter

selbstverständlich sein. Dieses Bewußtsein zu schaffen, ist eine Hauptaufgabe der für die Datensicherheit Verantwortlichen. Die aktive Unterstützung dieses Ziels durch alle Führungskräfte ist hierfür Voraussetzung.

Die Mitarbeiter müssen sich verantwortlich fühlen. Daher legen wir besonderen Wert auf ein persönliches Berechtigungsverfahren. Jeder Mitarbeiter erhält einen eigenen Berechtigungssatz und wird eingehend mit den Vorschriften vertraut gemacht. Kennworte werden selbst ausgewählt und sind jederzeit änderbar. Die Berechtigungsstruktur wird entsprechend der jeweiligen Aufgabenstellung differenziert vergeben. Für alle Aktivitäten, die unter einer Kennung durchgeführt werden, ist der Inhaber dieser Kennung verantwortlich. Bei jeder Änderungseingabe wird die persönliche Kenn-Nummer mitgespeichert. Besonders dieser Punkt ist wichtig. Den Mitarbeitern muß klar sein, daß sie quasi "elektronisch unterschreiben" und dies einer Unterschrift unter einen Brief oder Buchungsbeleg gleichzusetzen ist.

Die Führungskräfte müssen sich verantwortlich fühlen. Die Zuordnung von Berechtigungen an die Mitarbeiter ist eine Führungsaufgabe in den Fachabteilungen, die individuell wahrgenommen wird. Besonders deutlich ist dies, wenn Limits für maschinelle Auszahlungen vergeben werden. Auch die Überprüfung der Einhaltung der bestehenden Vorschriften ist eine wichtige Aufgabe der Führungskräfte. Hierbei liegt das Schwergewicht eindeutig auf Schulung, Motivation, Überzeugung und nicht auf Überwachung und Sanktion. Es können viele technischen Maßnahmen, wie zum Beispiel die Verhinderung von Trivial- oder Dauerkennworten oder das Abschalten von inaktiven Terminals/ Sessions, getroffen werden. Sie sind jedoch wirkungslos und werden eventuell sogar ins Gegenteil verkehrt, wenn sie von den Mitarbeitern nicht akzeptiert oder gar bewußt umgangen werden. Die Schaffung von Sicherheitsbewußtsein ist der richtige Weg.

Auch allgemeine Fragen des DV-Ablaufes betreffen die Fachabteilungen. Im Rahmen sogenannter "Servicenormen" treffen die Abteilungen mit der DV Vereinbarungen, zum Beispiel über Kapazitätsplanung, Antwortzeiten oder besondere Benutzerwünsche. Die Diskussion über Verfügbarkeiten oder ähnliches wird so deutlich objektiver.

Die Organisatoren müssen sich verantwortlich fühlen. Bei Planung, Entwicklung, Test und Einführung von DV-Anwendungen müssen Fachabteilung, Betriebsorganisation, Revision und DV eng zusammenarbeiten. Hierfür haben wir einen verbindlichen Rahmen in Form von schriftlichen Entwicklungs- und Programmieraufträgen festgelegt. Wenn alle Seiten hier die Belange der Datensicherheit berücksichtigen - und Datensicherheit in diesem Zusammenhang muß weit gesehen werden und umfaßt zum Beispiel auch Strukturierung, Normierung, Test und Freigabe von Programmen oder Notfallvorsorge - so werden bereits hier viele Fehler und Schwachstellen vermieden. Nur wenn Datensicherheitsüberlegungen automatisch in alle Planungen und Arbeitsabläufe einfließen, kann ein geschlossenes System zustandekommen.

Die Unternehmensleitung muß sich verantwortlich fühlen. Datensicherheit beansprucht Kosten und Zeit. Dies kollidiert oft mit den Forderungen des Tagesgeschäftes. Hier werden eindeutige Präferenzen gesetzt und bestimmte Maßnahmen auch gegen bestehende Widerstände angeordnet. Ein umfassendes, allgemeines Sicherheitskonzept erleichtert die Arbeit auf allen Ebenen.

Karl Theodor Weise

Datenschutzbeauftragter, Volkswagen AG, Wolfsburg

Das Bewußtsein für die neuartigen, mit dem DV-Einsatz verbundenen Risiken entsteht bei den Nutzern nicht automatisch. Dies gilt insbesondere da, wo der Anwender selten oder nie Erfahrungen mit den Folgen ungenügender Datensicherung machen kann. Gegen alltägliche oder wenigstens hin und wieder auftretende Pannen hat der Nutzer -soweit er selbst verantwortlich ist - im allgemeinen geeignete Maßnahmen getroffen. Das eigentliche Risiko liegt in den unwahrscheinlichen Vorkommnissen, wie Katastrophenfälle und Computerkriminalität. Hier fehlt der durch praktische Erfahrungen ausgelöste Lernprozeß.

Ein Mangel an Sicherheitsbewußtsein muß - soweit die Mitwirkung des einzelnen Nutzers unverzichtbar ist - durch Information und Motivation behoben werden. Dabei muß man sich klar machen, daß die primäre Motivation der Nutzer auf die Lösung ihrer Fachaufgaben gerichtet ist. Auflagen im Interesse der Datensicherung sind objektiv oft Erschwernisse. Es ist daher ein guter Weg, dem Nutzer die von ihm zu verantwortenden Folgen deutlich zu machen, die für seine Aufgabe entstehen, wenn er notwendige Sicherungsmaßnahmen unterläßt. Bei der Verarbeitung von personenbezogenen Daten ist analog - neben der Verpflichtung auf das Datengeheimnis - die Verdeutlichung der eigenen Betroffenheit ein gutes Mittel, das erforderliche Bewußtsein zu wecken.

Gerade bei der individuellen Datenverarbeitung besteht die Gefahr, daß der einzelne Nutzer sich voll auf die Lösung seiner fachlichen Aufgabe konzentriert und jene Erfordernisse übersieht, die ihm bei einer zentralen Verarbeitung vom Rechenzentrum abgenommen werden: Anfertigung und Auslagerung von Sicherheitskopien, feuersichere Archivierung, Regelung der Stellvertretung, Zugriffssicherung, Backup- und Wiederanlauforganisation. Diese Maßnahmen mögen bei "elektronischen Notizbüchern" nicht alle erforderlich sein - je stärker eine dezentrale Anwendung zum kritischen Teil einer Abteilungsorganisation wird, desto wichtiger sind professionelle Maßnahmen zur Datensicherung.

Kurz, dem Nutzer der dezentralen DV muß deutlich gemacht werden, daß er gewissermaßen, wenn auch in kleinem Maßstab, den vollen Verantwortungsumfang eines Rechenzentrumbetriebs übernimmt. Allerdings ist er - bei entsprechender Beratung und Unterstützung - auch wegen seiner Kenntnisse vor Ort und seiner Zuständigkeit für die Fachaufgabe hervorragend geeignet, angemessene Datensicherungslösungen zu finden.

So wichtig die Bewußtseinsbildung bei einer eigenverantwortlichen, dezentralen Datenverarbeitung ist, so wichtig ist andererseits die Ausschöpfung aller zentralen Möglichkeiten zur Verbesserung des Sicherheitsstandards: Auswahl der Hardware und Standardsoftware, Schulungsmaßnahmen, Regelungen und Kontrollen. Es ist ratsam, durch gelegentlich wiederholte Checks vor Ort sicherzustellen, daß ein einmal gewecktes Bewußtsein im Laufe der Zeit nicht wieder einschläft. Der Mensch ist zwar immer noch das größte Sicherheitsrisiko, der richtig motivierte Mensch ist aber auch der beste Beitrag zur Sicherheit.

Peter Kumm

Leiter DV-Revision und Datenschutzbeauftragter, Metallgesellschaft AG, Frankfurt

Die zunehmende Durchdringung der Unternehmen mit DV-Anwendungen erfordert besondere Maßnahmen zum Schutz von Hard- und Software.

Aufgabe der Datensicherung ist es, den DV-Betrieb und die dort verarbeiteten und aufbewahrten Informationen sowohl gegen Ereignisse höherer Gewalt als auch gegen Gefahren aus menschlicher Handlungsweise zu schützen.

Während sich der Verlust von Hardware durch einen geeigneten Versicherungsschutz und ein entsprechendes Backup-Konzept meistens kompensieren läßt, hat der Verlust der Daten beziehungsweise Informationen für das Unternehmen und auch für die Mitarbeiter weitreichende Konsequenzen, die bis zur Existenzbedrohung führen können.

Aus den genannten Gründen ist deshalb der Datensicherheit und Datensicherung ein hoher Stellenwert einzuräumen. Das Bewußtsein darüber ist je nach Unternehmensgröße, eingesetzter Hardware (Großanlagen bis PC), dem Sensibilitätsgrad der Daten sowie nicht zuletzt aufgrund der Bereitschaft der Mitarbeiter in den verschiedenen Funktionsbereichen (DV-Personal, Anwender) unterschiedlich ausgeprägt. Festzustellen ist aber, daß Datensicherung oft als überflüssige, ja "lästige" Maßnahme angesehen wird, der kein unmittelbar meßbarer Erfolg gegenübersteht. Diese Einstellung zeugt nicht nur von ungenügender Information, sondern auch von mangelhaftem Bewußtsein über die Risiken in der Datenverarbeitung.

Demgegenüber muß sichergestellt sein, daß sich vor allem auch die Anwender mit "ihrem System" und "ihren Daten" im Sinne einer besonderen Verantwortlichkeit identifizieren.

Dieses Gefühl der Mitverantwortung kann erreicht werden, wenn Mitarbeiter in den Konzeptions- und Realisierungsprozeß einbezogen werden und in diesen Phasen zugleich ein Sicherungskonzept erarbeitet wird.

Von grundsätzlicher Bedeutung erscheint uns dabei auch die Mitwirkung der internen Revision als der Stelle im Unternehmen, die von ihrer Aufgabenstellung her unter anderem das Sicherheitsbewußtsein vermitteln soll.

Da dies in der Praxis oft genug nicht so gehandhabt wird, kommt es häufig vor, daß elementare Sicherheitsgrundsätze durch mangelnde Zugangskontrollen, nachlässigen Umgang mit Paßworten, unzureichende Dokumentation der Verfahren, Schlampigkeit bei der Entsorgung und last, but not least durch ungenügende Datensicherung verletzt werden.

Um diesen "Nachlässigkeiten" zu begegnen, versuchen wir, abgestimmt auf die jeweiligen Gegebenheiten, durch Information, Schulungen und Prüfungen das Problembewußtsein bei den Mitarbeitern zu wecken beziehungsweise zu stärken. Besonderes Augenmerk legen wir dabei auf Fragen des Zugriffsschutzes und der Datensicherung (zum Beispiel Einschränkungen der Zugriffsberechtigungen und geeignete Auslagerungsverfahren).

Dieser Schutz nach "innen" muß allerdings ergänzt werden durch den Schutz nach "außen". Hier arbeiten wir mit internen und externen Sicherheitsspezialisten (zum Beispiel Versicherern) zusammen, um auch im Objektbereich (Lage und bauliche Gestaltung, Klima und Stromversorgung, Kommunikationseinrichtungen und Vorsorge für den Katastrophenfall) größtmögliche Sicherheit zu erzielen. Eine wirkungsvolle Datensicherung und -sicherheit ist nur dann zu erreichen, wenn technische und organisatorische Maßnahmen aufeinander abgestimmt werden und sich jeder einzelne Mitarbeiter dabei seiner besonderen Verantwortung bewußt ist.

Albert Urnauer

Leiter DV-Revision und Datenschutzbeauftragter, Landesgirokasse, Stuttgart

Da die automatische Datenverarbeitung einer Bank überwiegend zentral ausgerichtet ist, können die klassischen Wiederanlauf- und Sicherungsmethoden angewandt werden! Hierzu gehören ausreichend gesetzte Checkpoints, die Log-Aufzeichnung, die Führung von Duplikat-/Zweitbeständen und die Aufbewahrung/Auslagerung von Dateigenerationen. Ergänzende Datensicherungen bei der Erfassung oder der Geschäftsvorfallabwicklung sind im Störungsfall ebenfalls hilfreich.

Das Gefahrenpotential ist vielfältig und groß. Es muß sowohl gegen den einfachen Datenverlust als auch für den Katastrophenfall vorgesorgt werden. Das Ausweichrechenzentrum (Back-up) ist häufig noch die Ausnahme. Sein Fehlen bedeutet einen eklatanten Mangel in der Vorsorge. Welcher Status für den Notfall ausreichend ist, hängt davon ab, wie lange ein Betrieb ohne DV auskommt. Während im Alltag einfache Pannen meist überbrückt werden können, droht im sogenannten Katastrophenfall die Ausweglosigkeit. Erfahrungen sind zum Glück selten. Um Erkenntnisse darüber zu gewinnen, muß die Bewältigung von Ausfallsituationen mit Katastrophencharakter regelmäßig geübt werden. Ich sehe hier einen dringenden Nachholbedarf für alle Sicherheitsspezialisten. Ein Katastrophenplan allein genügt jedenfalls nicht.

Zur Planung und Durchführung einer solchen Katastrophenvorsorge gehören allerdings ein ausgeprägtes Sicherheitsbewußtsein und eine gewisse innere Bereitschaft der Ausführenden. Das Problembewußtsein der Mitarbeiter in diesem sensiblen Bereich kann nicht ausschließlich über die Mitarbeiterführung, Schulungsmaßnahmen oder die Innenrevision geweckt werden, sondern auch die Organisation sowie die räumlichen und baulichen Voraussetzungen müssen sicherheitsmäßig ausgerichtet sein. Wichtig sind ausreichende Funktionstrennung, strenge Zutrittsregelung, sicherer Standort von Rechenzentrum und Archivräumen sowie deren Abschottung.

Ferner ist Vorsorge gegen Feuer und Wasser zu treffen. Die technischen Einrichtungen müssen regelmäßig gewartet und organisatorische Vorkehrungen ständig überwacht werden. Weiter ist der Transport von Daten ausreichend zu schützen. Der Gefährung der Daten in den Leitungsnetzen kann heute effizient durch Verschlüsselung entgegengewirkt werden, jedoch sind die Schutzmöglichkeiten gegen die Abstrahlung von Bildschirminhalten noch entwicklungsbedürftig. Die Hersteller sind gefordert, hier die Anwender zu unterstützen. Gleiches gilt für die Abwehr von Computerviren, denen gegenwärtig nur schwach entgegengewirkt werden kann.

An die Datensicherheit sind hohe Anforderungen zu stellen. Sie zu gewährleisten, darf deshalb nicht nur einzelnen Spezialisten überlassen werden. Alle, die für die automatische Datenverarbeitung verantwortlich sind und im Betrieb mit Daten umgehen, sind entsprechend gefordert.