Nach wie vor sind die Folgen eines Ausfalls, Mißbrauchs oder auch nur einer Einschränkung der betrieblichen Datenverarbeitung kaum kalkulierbar. In manchen Fällen kann nicht nur der gute Ruf, sondern sogar die Existenz des Unternehmens in Gefahr sein. Kein Betreiber einer DV-Anlage kann deshalb die Frage ignorieren, wie sicher sein System vor böswilligen Manipulationen ist.
Es gibt immer wieder Fälle, die in der Öffentlichkeit Unbehagen und Angst vor kriminellem Computermißbrauch wecken. Der immer mehr um sich greifenden Dezentralisierung von Systemen steht ein immer höher einzuschätzendes Sicherheitsrisiko gegenüber. Die Verletzlichkeit der Systeme steigt und bietet dem Angreifer ein immer größer werdendes Potential an Schwachstellen.
Soweit die Mittel es zulassen, wird im Bereich der technischen Ausfallsicherheit zunehmend Vorsorge getroffen. Das Hauptproblem aber ist und bleibt der sorglose Umgang mit dem Datenmaterial. Seit die EDV existiert, gibt es Versuche, sie für eigene Zwecke zu mißbrauchen. Und allzuoft wird die Nichtüberprüfbarkeit der Ablaufprozesse schon bei der Planung der Tat einberechnet.
Die größte Gefahr: die Schwachstelle Mensch
Tatort: ein modernes Bürogebäude in einer deutschen Finanzmetropole. Ein Fachbereichsleiter hat Zugriff auf Informationen über ein Hochtechnologie-Projekt. Damit wird er fast automatisch zum Angriffsziel für High-tech-Spione. Der Ansatzpunkt ist meist das persönliche Umfeld des Angegriffenen. Wo liegen seine menschlichen Schwachstellen? Welche Vorlieben könnte man ausnutzen, um an die gewünschten Informationen zu kommen?
Aber wer sichert die menschlichen Schwächen ab? Es dürfte klar sein, daß der Computer als solcher keine Tathandlung begehen kann. Nur das mit ihm verbundene Wissen eines Menschen kann kriminelle Energien freisetzen. Genaugenommen gibt es keine Computerkriminalität, sondern nur den DV-Mißbrauch: Der Computer und die in ihm ablaufenden Prozesse sind Opfer. Die größte Gefahr aber ist der berechtigte Benutzer als Täter.
Die Unterteilung der einzelnen Tatbestände im Rahmen der Strafgesetze (Computerbetrug ° 263a StGB, Computersabotage und Datenveränderung ° 303 StGB, Ausspähen von Daten ° 202a StGB, Fälschung beweiserheblicher Daten ° 269 StGB, Verrat von Geschäfts- oder Betriebsgeheimnissen ° 17 UWG) zeigt bereits die Vielfalt der Delikte.
Straftaten mit Hilfe von Computern machen mittlerweile den größten Anteil bei den Wirtschaftsdelikten aus. Die Schäden für die deutsche Wirtschaft werden auf zwei bis drei Milliarden Mark geschätzt. Und trotzdem werden nur die wenigsten Fälle bekannt.
Das Image steht auf dem Spiel
Vieles bleibt undefiniert und im Verborgenen. Dies ist durchaus verständlich: Wem liegt schon daran, sein Image durch Pressemeldungen über mangelnde Datensicherheit (etwa Programm-Manipulationen bei der Firma XY entdeckt" oder "Geschäftsführer verkauft Kundenadressen an die Konkurrenz") ramponieren zu lassen? Deshalb werden solche Fälle in der Regel mit allergrößter Diskretion behandelt.
Vor zwei Jahren wurden 30 Kunden einer Großbank gezielt von einer Abschreibungsgesellschaft angeschrieben. Das unterbreitete Anlageangebot war derart detailliert auf die finanzielle Situation des einzelnen zugeschnitten, daß zu vermuten war, Kundendaten seien weitergegeben worden. Recherchen ergaben, daß tatsächlich ein Mitarbeiter der Bank die Daten an die Abschreibungsgesellschaft verkauft hatte. Die Tat war nur möglich gewesen, weil es keine strikte Funktionstrennung zwischen dem Zugriff auf die speziellen Kundendaten (Kundennummer mit Anlagegeschäften und Finanzsituation) und auf die anonymisierten Personendaten realisiert war. Der Täter wurde übrigens nicht strafrechtlich belangt.
Manipulation ist oft ein Kinderspiel
Insbesondere bei Warentermingeschäften und Spekulationen ist die Zahl der in die Millionen gehenden Schäden gestiegen. Beliebte Vorgehensweisen sind Datenmanipulationen, Veränderung von Ansätzen, Unterdrücken von Prüfroutinen, getarnte Utilities und die Manipulation von Benutzerrechten. In vielen Organisationen ist das ein Kinderspiel: Es fehlt nicht nur die strikte Aufgabenteilung, sondern häufig auch die verantwortliche Kontrollinstanz. Zudem macht die Abhängigkeit von der EDV eine Kontrolle der Vorgänge äußerst schwierig.
Nicht selten sind ungenügende Sicherheitsmaßnahmen der Auslöser: So ist beispielsweise kaum irgendwo vorgeschrieben, daß ein Programmierer, dem gekündigt wurde, seinen Arbeitsplatz nicht mehr betreten darf. Dabei ist es gut möglich, daß er aus Frust noch schnell Routinen verändert, die dann Wochen später zu Programmabstürzen oder Schlimmerem führen.
Hierzu ein weiteres Beispiel: Ein Programmierer einer Bank entwickelte ein Programm, das Währungsumrechnungen für das Management durchführte. Da er einen hohen Anteil an Privatleistung in das Produkt investierte, forderte er eines Tages dafür eine Ausgleichszahlung. Der Arbeitgeber lehnte das ab, und da der Mitarbeiter ohnehin nicht mehr sehr "gefragt" war, sprach er ihm auch gleich die Kündigung aus.
Dies wäre weiter nicht erwähnenswert, wenn gleichzeitig alle seine Benutzer-, Zugriffs- und Zugangsrechte gesperrt worden wären. So aber hatte der Programmierer bis zum letzten Arbeitstag alle Macht. Exakt sechs Wochen nach seinem letzten Arbeitstag stürzte das von ihm entwickelte Tool ab.
Ein Wiederanlauf war nicht möglich. Die Einarbeitung von Fachleuten in Zusammenarbeit mit der Revisionsabteilung brauchte einige Zeit. Unternehmenswichtige Entscheidungen wurden massiv behindert. Weil ein Löschmechanismus sie getilgt hatte, war die von dem Programmierer eingebaute Routine anfangs nicht zu finden. Erst die Untersuchung von Backups brachte die Manipulation an den Tag. Ein Verfahren ist bei der Staatsanwaltschaft anhängig.
Infektionen kosten Zeit und Geld
In letzter Zeit ist das Problem "Computerviren" zunehmend in das Interesse der Öffentlichkeit gerückt. Vor allem große Unternehmen haben immer häufiger damit zu kämpfen. Besonders brisant wird das Thema in dezentralen Systemen. Dort bedeutet eine "Infektion":
- Rekonstruktion beziehungsweise Neueingabe von Stammund Bewegungsdaten;
- Rekonstruktion beziehungsweise Neueingabe der Individualsoftware;
- Neugenerierung des Rechners mit Standard- und Systemsoftware.
Die Kosten (manche Versicherungen sprechen von bis zu 200 000 Mark pro System) sind immens hoch.
Mit den folgenden, im Vorfeld getroffenen Maßnahmen lassen sich unnötige Schäden vermeiden:
Alle dezentralen Systeme werden mit einer Integritätsprüfung ausgestattet und einer Prüfung auf Virenbefall unterzogen. Für alle wird ein zentrales Hard- und Softwarekataster eingesetzt (das auch betriebswirtschaftlichen Zwecken dient). Der Benutzerservice installiert spezielle Anti-Viren-PCs. Ein "Virenschutzbeauftragter" (möglichst eine Stabsstelle) wird als Fachmann und Ansprechpartner ausgebildet. Für den Umgang mit den PCs werden präzise Richtlinien erlassen. Und als, Voraussetzung für den Erfolg all dieser Maßnahmen werden die Mitarbeiter durch Schulungsmaßnahmen für die Sicherheitsprobleme sensibilisiert.
Die Polizei ist häufig überfordert
Auch für die Polizei stellen die "Programmgauner eine neue Herausforderung dar. Viele Fälle sind in ihrer Erscheinungsform vollkommen neu. Programme und Datenbestände werden geklaut und verkauft, Hacker dringen in vermeintlich geschätzte Datennetze ein, Software wird mit Computerviren versandt - wer nicht bezahlt, hat das Virus im System -, ein genervter Operator provoziert einen Systemabsturz oder einen Headcrash, Hochtechnologie wird illegal verschoben. Die meisten Kriminalbeamten stehen diesen neuartigen Delikten hilflos gegenüber.
Mit herkömmlichen Ermittlungsmethoden ist hier nichts mehr zu machen. Woher sollen Schimanskis Kollegen derlei Fälle auch kennen? Programmieren und Systemtechnik gehören nicht zum Ausbildungsprogramm der Polizeibehörden. Ein Fingerabdruck auf der Tastatur oder die Beschlagnahme von Festplatten (wenn dies Oberhaupt geschieht) führen nur in den seltensten Fällen zur Lösung Dafür werden Beweise, wenn es denn tatsächlich welche geben sollte, nicht zur Kenntnis genommen.
Gemessen an der Abhängig keit von Behörden und Unternehmen von ihrer DV, müßte das Risikomanagement einen wesentlich höheren Stellenwert einnehmen, als es bisher der Fall ist. Haftungsrelevante Regelungen zur Informationsverarbeitung wären in die Arbeitsverträge aufzunehmen. Neue und fortschreibbare Sicherheitskonzepte für sensible Informationsbestände wären, zu erarbeiten. Und bei all dem müßte allen Verantwortlichen klar sein: Absolute Sicherheit gibt es nicht. Das Risiko kann nur herabgesetzt werden.