Betriebssysteme müssen sicherer werden!

10.12.1976

Im Interview dieser Woche "In Online-Systemen bleibt immer ein Sicherheits-Risiko" (Seite 8) warnt IABG-Spezialist Carlfried Schmitz die Anwender davor, sich in falscher Sicherheit zu wiegen, was das Abschirmen der Systeme gegen unberechtigte Zugriffe betrifft und die Gefahren der Daten- und Programm-Manipulation und des Zeitdiebstahls. Alle derzeitigen Betriebssysteme - gleich welchen Herstellers - gewährleisten nicht, daß qualifizierte Systemprogrammierer die heute möglichen Sicherheitsvorkehrungen durchbrechen können.

Das Problem ist nicht nur für die Militärs interessant. Auch Daten der Management-Informationssysteme können Ziel von Wirtschaftsspionage sein, ebenso wie die Berechnungen in den Entwicklungslabors oder in den Planungsabteilungen. Gehaltsdaten waren immer schon sehr sensitiv. Hinzu kommt, daß das neue Bundes-Datenschutzgesetz den EDV-Chef verpflichtet, sicherzustellen, daß personenbezogene Daten nicht mißbraucht werden können. Zwar werden nur die Maßnahmen gefordert, die "angemessen" sind - was aber ist das? Unbehagen bleibt.

Das schwächste Glied der Kette

Gewiß, die Sicherungs-Möglichkeit der Betriebssysteme ist nur ein Aspekt der Datensicherheit. Für die Praxis relevanter sind wohl noch physische Vorkehrungen im Rechenzentrum und bei den Terminals, sorgfältige Personalauswahl, Schutzvorkehrungen für die Datenübertragung und vor allem strikte Funktionentrennung bei den Betriebsabläufen. Da läßt sich sehr vieles verbessern - und daran führt künftig kein Weg vorbei.

Die Gesamtsicherheit indes ist nur so gut wie das schwächste Glied der Kette. Die Betriebssystem-Problematik läßt sich nicht hinwegdiskutieren, auch wenn die Hersteller den Anwendern vorgaukeln, mit Paßwörtern und Zugriffsberechtigungstabellen sei jeder Mißbrauch ausgeschlossen. Mag ja sein, daß der "normale Zugriff " auf das Chef-Gehalt abgeblockt werden kann. Man setze sich aber ans Terminal und haue - nach erfolgreichem "log on" - blindlings auf die Tasten - irgend etwas wird sich schon tun. Und der Fehlermeldungs-Status ist ein vorzüglicher Einstieg in die unteren Ebenen des Betriebssystems, von woher sich alle Tabellen und Match-Code-Prüfungen deaktivieren lassen. Das ist oft genug bewiesen worden.

Wo tut sich was?

In den USA wird mit einem Aufwand von jährlich 180 Mann-Jahren an Universitäten, militärischen Dienststellen und Denkfabriken am Problem "Sicherheit von Daten in Rechnernetzen und systembezogene Vorkehrungen gegen Computerkriminalität" gearbeitet. Das ergab jüngst eine Statistik zur Koordination dieser Studien. Hinzu kommen die Aufwendungen der Hersteller. Man schätzt, daß FBM in den USA etwa drei bis vier Prozent der Investitionen für Forschung und Entwicklung dem Problemkreis Sicherheit widmet. Hierzulande tut sich offenbar nichts. Wenn Siemens oder die GMD oder sonstwer anderer Meinung ist, veröffentlicht die COMPUTERWOCHE gern entsprechende Leserbriefe.

Auch wird offenbar von seiten der Anwender in dieser Frage - wie überhaupt - zu wenig Druck auf die Hersteller ausgeübt. Man bespreche die Problematik mit den Vertriebsbeauftragten. Die werden den Zentralen ihre Meldungen machen und die könnten sich häufen. Wann endlich liest man etwas zu diesem Problem in den Hochglanz-Hauszeitschriften der Hersteller? Wie lange noch, bis das Thema im Guide, beim Scout oder bei den anderen User Groups behandelt werden?