Fragen der Kontrollmöglichkeiten im DV-Ablauf, des Datenschutzes und der -sicherung gewinnen mit der Einführung der verteilten Datenverarbeitung immer mehr an Bedeutung. Je besser die Benutzerfreundlichkeit, je stärker die Integration in die Sachbearbeitung, desto größer werden die Gefahren. Denn Datensicherung beschränkt sich nicht nur auf das Rechenzentrum. Das größere Risiko liegt oft in den Fachabteilungen. Da die Realisierung von Datensicherungsmaßnahmen direkt mit Kontrollen verbunden ist, sollte den Betroffenen die Notwendigkeit der Maßnahmen transparent gemacht werden. Zusätzlich können dabei Schulungs- und Motivationsmaßnahmen die Mitarbeiter zu einem entsprechenden Verantwortungsbewußtsein führen. ih

Felicitas Albers

Gruppenleiterin, Betriebswirtschaftliches Institut für Organisation und Automation an der Universität Köln

Die Frage wie sicher die Daten des Unternehmens vor Mißbrauch und Verlust sind, wird von der EDV-Praxis zumeist selbstzufrieden beantwortet, wenn nicht sogar spöttisch heruntergespielt. Die Selbstzufriedenen verweisen auf den erreichten hohen bautechnischen Sicherheitsstandard sowie auf die Tatsache, daß die große Mehrheit der DV-Anwender gemäß den rechtlichen Bestimmungen Datenschutzbeauftragte bestellt hat. Kritisch ist jedoch anzumerken, daß insbesondere hinsichtlich des Schutzes vor Mißbrauch das Bestreben der Anwender dominiert, den Auflagen des Datenschutzgesetzes formal zu genügen, während darüberhinausgehende schutzwürdige Belange der Unternehmungen vernachlässigt werden. Sicherlich ist der Fall eines DV-Großanwenders nicht repräsentativ, dessen Leiter der Werksfeuerwehr in Personalunion Datenschutzbeauftragter war. Er ist aber symptomatisch für das häufig krasse Mißverhältnis zwischen der formal-organisatorischen Position des Datenschutzbeauftragten und seiner faktischen Relevanz im betrieblichen DV-Alltag.

Sind nun Datenschutz- und Datensicherung eine Marktlücke praxisferner Theoretiker oder das Steckenpferd reformhungriger Politiker oder vernachlässigte betriebliche Notwendigkeit?

Manipulationen an Gehaltsprogrammen und Personalstammdaten, die die Auszahlung von Gehältern für fiktive Mitarbeiter ermöglichen, oder die buchhalterische "Bereinigung" von Sortimenten, die das Aufdecken von Warendiebstählen erschwert, sind spektakuläre Einzelfälle der Computerkriminalität, die die EDV-Praxis sensibilisiert haben. Das Mißbrauchspotential wächst mit der Benutzerfreundlichkeit der EDV-Technologie und der Anzahl der EDV-Benutzer, die angesichts des Trends zur dezentralen Datenverarbeitung und der Integration der Technologie in die Sachbearbeitung stark zunimmt. Je mehr die moderne Technologie kleinen Wirtschaftseinheiten - Klein- und Mittelbetrieben oder einzelnen Fachabteilungen in Großbetrieben - ein umfassendes EDV-Instrumentarium an die Hand gibt, desto weniger kann die klassische organisatorische Datenschutz- und Datensicherungsmaßnahme der Funktionstrennung, die zum Beispiel beim Closed-shop-Betrieb realisiert ist, zur Anwendung kommen. Mit der Vielfalt der Technologie und ihrer integrierten Anwendung entstehen darüber hinaus qualitativ neue Gefährdungspotentiale, wie beispielsweise das des Datenaustausches in multifunktionalen, interaktiven Bürosystemen.

Dieser kurze Problemaufriß zeigt die Notwendigkeit der Entwicklung individueller Datenschutz- und Datensicherungskonzeptionen, die weit über die formalen Erfordernisse des Schutzes personenbezogener Daten hinausgehen. Der EDV-Anwender muß, aufbauend auf einer sorgfältigen Schwachstellenanalyse, ein Pflichtenheft des Datenschutzes und der Datensicherung erstellen, das die erforderlichen Standards definiert. Auf der Grundlage dieser Anforderungen ist ein Datenschutz- und Datensicherungskonzept zu entwickeln und zu implementieren, das organisatorische, hard- und softwaremäßige, bautechnische, juristische und versicherungsschutzbezogene Maßnahmen umfaßt. Die Lösung der Problematik stellt aber nicht nur eine Herausforderung der EDV-Anwender dar, sondern betrifft gleichermaßen Hard- und Softwarehersteller, die derzeit nur vereinzelt Datenschutz- und Datensicherungskonzepte für ihre Systeme anbieten. Die Anwender sind aufgefordert, die Leistungen ihrer DV-Partner auf diesem Gebiet als ein Auswahlkriterium ihren DV-Entscheidungen zugrunde zu legen.

Eberhard Laicher

Datenschutzbeauftragter, Standard Elektrik Lorenz AG, Stuttgart

Die Sicherstellung der Integrität und Verfügbarkeit der Daten ist ein technisches Problem, das weitgehend als gelöst betrachtet werden kann: Ohne entsprechende Vorkehrungen in der Hard- und Software sowie durch Sicherungsdateien würde Datenverarbeitung im heutigen Ausmaß und Umfang überhaupt nicht sinnvoll sein. Dies ist kein Datenschutzthema. Woran es allerdings oft hapert, sind die Planungen und Vorsorgen für einen Katastrophenfall (Ausfall des gesamten Rechenzentrums), bei denen auch für diesen Ausnahmefall ein Mindestmaß an Datenschutz gewährleistet sein müßte.

Datensicherung zum Schutz der betroffenen Personen im Sinne des Datenschutzes ist die Sicherstellung der Nichtverfügbarkeit von Daten für Unbefugte (Mißbrauchssicherung). Dies ist jedoch weniger ein technisches als vielmehr ein organisatorisches und menschliches Problem: Panzerschränke gibt es zu kaufen, Schlüsselaufbewahrungsverfahren nicht; Paßwortschutz kann technisch realisiert werden, die Geheimhaltung der Paßworte durch die Benutzer nicht; Programme für Online-Verarbeitung mit unterschiedlichen Berechtigungsprofilen und -kontrollen sowie Zugriffsprotokollierungen werden von Mainframern und Softwarehäusern angeboten, für die Durchführung dieses Schutzes für jeweils festzulegende Verfahren (beziehungsweise Dateien oder gar Einzeldaten) muß der Anwender dagegen selbst sorgen, einschließlich der organisatorischen Festlegungen, wer unter welchen Bedingungen was darf (Änderungsdienst). Sicherungssysteme sind also zur Genüge verfügbar, das Problem liegt in der Organisation der Anwendung.

Mißbrauchssicherung und -kontrolle ist ihrem Wesen nach auch Mitarbeiterkontrolle. Hier gibt es ein Konfliktfeld zwischen dem Anspruch des Betroffenen auf Schutz vor Mißbrauch seiner Daten und dem Anspruch des Mitarbeiters auf Schutz vor unangemessener Verhaltens- und unzulässiger Leistungskontrolle. Der Interessenausgleich ist schwierig und kann nur in Zusammenarbeit mit der Arbeitnehmervertretung gefunden werden.

Mißbrauchssicherung kann und braucht nicht danach unterscheiden, worauf sich die Daten beziehen; personenbezogene und firmenvertrauliche Daten erfordern dieselben Schutzmaßnahmen, abhängig von der jeweiligen Vertraulichkeitsstufe. Der Datenschutz bringt hier in den seltensten Fällen neue Anforderungen (und Kosten) mit sich, in der Regel decken entsprechende Prüfungen nur vorhandene Schwachstellen auf, die oft durchaus schon bekannt waren ("alte Sünden"). Mancher RZ-Leiter war dem Datenschutzbeauftragten schon dankbar, daß er ihn in seinen Bemühungen um mehr Sicherheit und finanzielle Mittel unterstützt.

Man kann davon ausgehen, daß das Sicherheitsniveau mit der Größe des Rechenzentrums im allgemeinen zunimmt, dies ist auch eine Frage der Wirtschaftlichkeit. Entgegen weitverbreiteten Befürchtungen wird der Persönlichkeitsschutz nicht durch Großrechner gefährdet, jedenfalls nicht, was die Datensicherung angeht.

Mißbrauchssicherung beschränkt sich aber nicht auf das Rechenzentrum. In den Fachabteilungen sind die Daten, weil aufbereitet und auch für DV-Laien lesbar, einem eher größeren Mißbrauchsrisiko ausgesetzt, ganz zu schweigen von den Transport- und Entsorgungsvorgängen, soweit nicht ausschließlich mit Bildschirmen gearbeitet wird. Haben Sie einmal ermittelt, wie viele Tonnen eng bedrucktes Papier Ihr Rechenzentrum jährlich erzeugt und wo das alles bleibt? Die Mikrofiches entschärfen dieses Problem nicht, im Gegenteil.

Das Problem der Sicherung der Datenträger gegen Mißbrauch außerhalb des Rechenzentrums (Vervielfältigungen, Versand, Bearbeitung, Ablage, Archivierung und Vernichtung) ist nicht schon gelöst, wenn man entsprechende Regelungen und Anweisungen erlassen hat. Da diese Vorschriften zumeist sehr perfektionistisch sind (sein müssen?), können sie im alltäglichen Umfang nicht vollständig eingehalten und nur schwer kontrolliert werden. Gerade der ständige Umgang mit sensitiven Daten kann zu einer Abstumpfung des Risikobewußtseins führen. In diesen Punkten sehe ich die Hauptgefahren für die Sicherheit personenbezogener und firmenvertraulicher Daten. Ihnen muß vor allem durch Schulungs-, Kontroll-, Disziplinar- und anspornende Maßnahmen begegnet werden, die zu einem entsprechenden Verantwortungsbewußtsein der Mitarbeiter führen.

Lothar Schauer

Leiter Innenrevision und Betriebsorganisation, Rechenzentrale Bayerischer Genossenschaften EG, München

Dezentralisierungstendenzen, die zur Installation autonomer DV-Systeme in Fachabteilungen führen, bringen für die Erstellung unternehmensübergreifender Datensicherungskonzepte neue zusätzliche Anforderungen bezüglich Datenträgerverwaltung, Zugangskontrolle, Funktionstrennung etc. Aber auch bei zentraler Datenverarbeitung im Unternehmen kann sich durch die Neueinführung oder Änderung von DV-Anwendungen (Zielrichtung, Speicherbuchführung) die Bedeutung der gesamten DV-Einrichtungen einschließlich Dateien für das Unternehmen wesentlich verändern.

Neben regelmäßigen Kontrollen über die Einhaltung bestehender Richtlinien zur Datensicherung ist es daher wichtig, generell einmal jährlich die Ziele zu prüfen, die zur Festlegung von technischen und organisatorischen Maßnahmen führten. Vielleicht ist die DV im Laufe eines oder mehrerer Jahre vom Hilfsmittel zum Herzstück des Unternehmens geworden. Bei Ausfall oder Zerstörung der DV ist dann das ganze Unternehmen gefährdet.

Die Überprüfung der Ziele sollte auch regelmäßig Anlaß und Grundlage für bewußtseinsbildende Maßnahmen sein. Da die Realisierung von Datensicherungsmaßnahmen direkt mit Kontrollen verbunden ist, sollte dabei den Betroffenen die Notwendigkeit von Kontrollen soweit wie möglich transparent gemacht werden. Eine Kontrollmaßnahme sollte keine Angst verbreiten (Motivation) und ihre Auswirkung eindeutig und bekannt sein.

Obwohl relativ aufwendig, ist der Weg der Schulung beziehungsweise praktischer Übungen insgesamt der aussichtsreichste. Insbesondere dann, wenn man den Begriff der Datensicherung extensiv auslegt und damit eine Reihe von Berührungspunkten mit Aufgaben aus der Arbeitssicherheit (zum Beispiel Brandschutz, Gebäudereinigung) oder des Werkschutzes (zum Beispiel Zutrittskontrolle, Bombenalarm) erhält, ergeben sich gemeinsame Interessen mit anderen Stellen des Unternehmens, die mit Sicherheits- und Schutzaufgaben befaßt sind und damit sicher auch eine Aufgabenteilung.

Hermann Josef Hoss

Direktor Betriebsorganisation und DV, Gerling-Konzern, Köln

In dem gleichen Maße, wie die Abwicklung von Funktionen im DV-Bereich zunimmt, gewinnen Fragen der Kontrollmöglichkeiten im DV-Ablauf, des Datenschutzes und der -sicherung an Bedeutung. Die Planung und Verwirklichung eines Sicherungssystems im Bereich der DV hat sich an die gesetzlichen Forderungen, insbesondere am Bundesdatenschutzgesetz, Handels- und Steuerrechte, an der Arbeitsstättenverordnung und an anderen Rechtsvorschriften zu orientieren. Die Anforderungen, die sich aus dem Eigeninteresse unseres Unternehmens an einer ordnungsgemäßen und sicheren Datenverarbeitung (immer unter wirtschaftlichem Aspekt) ergeben, resultieren im wesentlichen aus drei Bedingungen, welche das DV-System zu erfüllen hat:

- Verfügbarkeit, das heißt, das DV-System soll dann betriebsbereit sein, wenn es benötigt wird.

- Integrität, das heißt, das DV-System soll die Daten richtig speichern, richtig verarbeiten und richtige Ergebnisse liefern.

- Vertraulichkeit, das heißt, das DV-System soll unbefugten Zugriff zu Daten und Programmen sowie deren unbefugte Benutzung verhindern.

Aus den gesetzlichen und betrieblichen Sicherungsanforderungen lassen sich unter anderem folgende kombinierbare Funktionsmerkmale des Sicherungssystems für den Betrieb von DV-Systemen ableiten:

- Personenbezogener Programmschutz, das heißt, bestimmte Programme (Programmfunktionen) können nur von eindeutig bestimmten Personen benutzt werden.

- Terminalbezogener Programmschutz, das heißt, bestimmte Programme können nur auf bestimmten Terminals (Bildschirmen) benutzt werden.

- Schutz von Datenbereichen, das heißt, in bestimmten Dialoganwendungen kann nur auf bestimmte Datenbereiche (Dateien, Datensätze, Datenfelder) zugegriffen werden.

- Prüffähigkeit, das heißt, im nachhinein sollte festgestellt werden können, wer wann und von wo aus welche Arbeiten durchgeführt hat.

Eine Sicherungsmaßnahme, die von uns neben einer Vielzahl von Regeln und Vorkehrungen baulicher, technischer und -organisatorischer Art durchgeführt wird, stellt die Trennung der Softwareentwicklung von der Produktion dar. Dies wird technisch durch die Bereitstellung einer separaten Entwicklungs- und Testanlage realisiert. Derzeit sind Maßnahmen, die auf die Sicherheit der DV abzielen, oft zu einseitig nur auf die Betriebs- und nicht so sehr auf die Entwicklungsphase ausgerichtet. In unserem Hause dagegen ist schon die Entwicklungs- und Testphase durch die automatische Verwaltung aller eingesetzten Softwarekomponenten, Testbeispiele, Steueranweisungen und Bildschirmmasken abgesichert.

Das zu diesem Zweck eingesetzte dialogorientierte Produktverwaltungssystem stellt den legitimierten Benutzern auf Anforderung die entsprechenden Elemente zur Bearbeitung oder zu Auskunftszwecken zur Verfügung. Eine lückenlose revisionsfähige Dokumentation erlaubt es jederzeit, Änderungen nach zuvor ziehen.

Das System dokumentiert unter anderem den Namen des Sachbearbeiters, das Übergabedatum, den Bearbeitungsgrund, die durchgeführten Korrekturen und Neuaufnahmen.

Eine Überlappung von Änderungsaktivitäten mehrerer Personen zum gleichen Element wird automatisch ausgeschlossen. Außerdem erstellt das Verwaltungsystem Querverweislisten .

Aus diesen Listen kann beispielsweise entnommen werden, ob ein Modul in mehrere Phasen beziehungsweise Programmsysteme eingebunden ist, so daß die möglichen Auswirkungen - bedingt durch Programmänderungen - in verschiedenen Anwendungen rechtzeitig berücksichtigt werden können.

Die Übergabe von geänderten oder neu erstellten Softwareprodukten von der Entwicklungsabteilung an die Produktion wird auch im Rahmen dieses Verwaltungssystems abgewickelt. Hierbei nimmt das genannte System durch Prüfungen Funktionen einer Kontrollinstanz wahr und gewährleistet, daß eine Umgebung des Systems unmöglich ist.