Michael Nilgens, EDV-Berater, Ehningen
Datensicherheit, darf's etwas mehr sein? Nein danke! Daß nicht jeder Mitarbeiter des Unternehmens und schon gar kein Fremder mehr so ohne weiteres das Rechenzentrum betreten kann, hat sich inzwischen schon herumgesprochen. Auch werden einige Daten für einen eventuellen Katastrophenfall gesichert, damit sind in vielen Rechenzentren die Datensicherheitsmaßnahmen allerdings schon erschöpft.
Datensicherheit ist etwas für "Verwaltungsfritzen", nicht für uns, wir müssen produzieren und verkaufen und forschen - sollen sich doch andere mit diesem Kram herumschlagen. So sieht der Alltag in vielen Rechenzentren aus. Dabei stellen die Daten im Rechenzentrum enorme Unternehmenswerte dar, entscheiden über Marktposition und Absatz, Strategie und Unternehmensgewinn und geben Auskunft über Mitarbeiter, Kunden und Lieferanten.
Und dann passiert's. Da verschwinden hochsensitive Daten von Strafgefangenen, einfach so: Eine kleine Notiz in der Zeitung, das ist alles - morgen spricht schon keiner mehr darüber.
Da werden Berichte von Datenschutzbeauftragten vorgelegt aus denen man entnehmen kann, daß doch wohl nicht alles so gehandhabt wird, wie sich die Väter des Bundes-Datenschutzgesetztes dies vorgestellt haben.
Da berichten Fachzeitschriften über Manipulation von Daten und Programmen mit mehr oder weniger Erfolg. Viren bedrohen Programme, Hacker dringen in Netzwerke ein - eine Welt voller Gefahren sollte man meinen. Und so ist es in der Tat.
Bei der Lebensversicherung ist das etwas anderes. Daß man sterben muß, weiß man, aber, ob mal ein Jumbo auf das Rechenzentrum stürzt oder ein Mitarbeiter wirklich mal eine Programm-Manipulation versucht, ja, das weiß man eben nicht, St. Florian läßt grüßen.
Sollte allerdings etwas schief gehen, gibt es genügend Kollegen, die das immer schon gewußt haben, - was vielleicht sogar stimmt -, aber schlimmer ist, sie haben nichts dagegen getan.
In vielen Fällen sind es gar nicht die Rechenzentrumsleiter, die Datensicherheit nicht wollen, es ist nur so schwer diese zu "verkaufen". Ja, es stimmt, Datensicherheit kostet Geld, aber keine Datensicherheit kann mehr kosten.
Wie soll es denn weitergehen? Datensicherheit ist kein Gewerbe, das ein Rentenanwärter mal so eben nebenbei betreiben kann, was oft angenommen wird. Datensicherheit verlangt einen Fachmann, einen, von dem man glaubt, daß man ihn nicht entbehren kann. Zeit wird ebenfalls benötigt, so "eben mal nebenbei" ist keine optimale Lösung.
Voraussetzung ist natürlich eine klare Position der Unternehmensführung und nicht bloß ein Lippenbekenntnis. Datensicherheit ist eine Unternehmensaufgabe und ist auch als solche einzustufen, mit der entsprechenden Priorität und Unterstützung durch die Unternehmensführung.
Für solche unternehmensweiten Aufgaben ist eine Konzeption erforderlich, damit die Datensicherheit nicht bloß aus unverständlichen, nicht aufeinander abgestimmten, zusammen-gewürfelten Maßnahmen besteht. Genauso schlecht, wie die meisten Programmdokumentationen, sind auch die Maßnahmen zur Datensicherheit.
Türen werden mit Badge-Reader gesichert, eine Kamera hat die Tür genau im Blickfeld, auf dem Monitor kann man sehen, wer den Raum betritt, jeder Zutritt wird mit Uhrzeit geloggt. Aber auf der anderen Seite des Maschinenraums gibt es noch eine Tür, die ohne Badge und ohne Kameraüberwachung benutzt werden kann, mit Schlüssel versteht sich. Ein Schlüsselbuch gibt es allerdings nicht, das sind die "ausreichenden" Maßnahmen.
Die Feuerlöscher hängen an der Wand, und wer ausgebildet ist und vor allen Dingen, wer die Feuerlöscher findet, weil das Hinweisschild nicht (mehr) vorhanden ist, der kann dann im Brandfall ja das Rechenzentrum löschen. Sicherheit? Nein, Leichtsinn und Gedankenlosigkeit!
Zum Glück passieren diese Fälle immer nur in den anderen Rechenzentren, nicht im eigenen - ein merkwürdiges Phänomen. Im eigenen Rechenzentrum arbeiten ja auch wohl die vertrauenswürdigsten Mitarbeiter der DV-Gesellschaft. Die Maßnahmen könnten vielleicht etwas besser sein, alles schon geplant, bloß noch keine Zeit gehabt, aber im großen und ganzen sind sie doch wohl ausreichend, oder? Ja und das wär's schon in den meisten Fällen.
So etwas gibt es nicht? In bundesdeutschen Rechenzentren gibt es noch ganz andere Dinge. Da ist zunächst mal eine gewisse Abneigung gegen Datensicherung, weil man damit ja kein Geld sparen, sondern nur ausgeben kann, für Fälle, die vielleicht nie eintreten werden.
Mit dem Konzept ist das so wie mit dem Strickmuster für einen Pullover, ohne Strickmuster wird's zwar auch einer, aber was für einer. Und noch etwas ist wichtig, Maßnahmen benötigen einen Bezug zur Realität: Die Regeln vom "grünen Tisch" sind alle "für die Katz", kein Mitarbeiter versteht sie. Selbst die Herausgeber geraten häufig ins Stocken, wenn sie sie erklären müssen, und deswegen werden sie auch nicht beachtet.
Machen wir also unseren Mitarbeitern und Führungskräften klar, was sie in Sachen Datensicherheit benötigen nämlich ein Konzept, das von der Unternehmensführung getragen wird, mit Regeln, die verständlich gemacht werden können, mit Maßnahmen, die in einem vernünftigen Verhältnis zum Risiko stehen. Datensicherheit, darf's etwas mehr sein? Ja bitte!