Dipl.-Kfm. Rainer A. H. v. zur Mühlen, Bonn, ist Herausgeber des Informationsdienstes SICHERHEITS-BERATER (HANDELSBLATT-VERLAG) und Unternehmensberater für Sicherheits- und Revisionsfragen.

Der Widerspruch war verblüffend. Bei einer Umfrage zur Sicherheitseinschätzung im EDV-Bereich, die der Verfasser durchgeführt hatte, gingen die Meinungen der EDV-Leute und der Revisoren kraß auseinander:

- 90% der befragten Computer-Spezialisten: "Unser Unternehmen ist gegen Datenmanipulationen, Sabotage, Spionage und Zeitdiebstahl im EDV-Bereich ausreichend gesichert!"

- 75% der Revisoren vertraten dagegen die Meinung: "Im EDV-Bereich unseres Unternehmens wird bei weitem nicht genug für die Sicherheit getan!"

Ähnlich gespalten ist auch die Diskussion über Computer-Kriminalität in der Presse.

Es ist aber kaum anzunehmen, daß

- die IBM eine 40 Mill.-Dollar-Studie zur Erforschung der Probleme der Computer-Kriminalität und Datensicherung in die Welt leitet,

- die Bundesregierung Etat-Mittel für ähnliche Projekte in Deutschland locker machte,

- im Bundestag und in den Länderparlamenten kleine Anfragen gestartet werden,

- große Versicherer Spezial-Versicherungen gegen Computer-Mißbrauch anbieten,

- Hearings in Bonn veranstaltet werden und

- hunderte von Millionen DM in den Betrieben für die Sicherheit, beginnend beim Brandschutz über die organisatorischen Sicherheitsmaßnahmen bis hin zu Sabotagevorkehrungen, aufgewendet werden nur, um einer von der Presse aufgebauschten "Bagatelle" willen.

Tatsache ist: EDV-Manipulationen kommen vor. Fälle wie die Manipulationen beim Arbeitsamt in Hof oder bei der Gerresheimer Glashütte mit Schäden von 258 G00 und ca. 300 000 DM machen dies deutlich.

EDV-Sicherheit wird vielfach als ein teures Hobby angesehen. Sicherheitsmaßnahmen können aber auch Aufwendungen reduzieren: Eine systematische Programmdokumentation ist nicht nur unabdingbare Voraussetzung für die Revidierbarkeit von Programmen, sie hilft auch erheblich, Wartungskosten zu senken. Man schätzt den Wartungsmehraufwand für einen eingearbeiteten Programmierer bei unzureichender Dokumentation auf ca. 30%, für einen nicht eingearbeiteten Programmierer sogar auf 60-80% .

Auch andere Billigstmaßnahmen vermögen die Sicherheit zu erhöhen. So ist zum Beispiel nicht einzusehen warum der Schlüssel zum Rechenzentrum, zumeist auch noch als Passepartout, aus Status- und Prestigeklüngel an leitende Mitarbeiter geradezu verliehen wird und das für einen Bereich, in. dem Millionenwerte so massiert vorkommen und so wenig gegen unbefugte Einflüsse gesichert werden.

Die Funktionstrennung ist ein weiteres Gebiet, auf dem ohne zwingenden Grund gesündigt wird. Zumindest die Funktionen Datenerfassung, Programmierung, Operating und Sachbearbeitung (Fachabteilung) sind voneinander zu trennen. Beispiel: Ein Programmierer, der schnell an Testergebnisse kommen will, - sicher kein Einzelfall, locht sein Programm selbst ab, zwei Tage lang. Ganz abgesehen davon, daß durch ungehinderte Datenerfassung der Programmierung Tor und Tür für Manipulationen geöffnet sind, ist ein Programmierer für diese Tätigkeit schlichtweg zu teuer.

Einen weiteren Bereich für mögliche Sicherheitsvorkehrungen - neben vielen anderen, die hier nicht erwähnt werden können - stellen die Programme selbst dar. Kein anderes Aggregat bietet im gleichen Maße die Möglichkeit, zum Zwecke der Selbstkontrolle herangezogen zu werden, wie der Computer. Nur haben das viele noch nicht erkannt.

Einzelne Sicherheitsmaßnahmen kann man in vielen Fällen umgehen. Kombinierte Maßnahmen - in Organisation, Personalwesen Revision, Hardware und baulicher Ausgestaltung - vermögen eine Vielzahl von Risiken abzudecken, und vor allem: sie schrecken ab!