Rund drei Millionen installierte Personal Computer kennzeichnen den Fortschritt in bundesdeutschen Büros. Kehrseite der Medaille sind allerdings auch drei Millionen Gefahrenquellen, denn der PC ist die Hauptschwachstelle in jedem Sicherheitskonzept heutiger DV-Systeme.
Während wir Großcomputer hinter Stahl und Beton verriegeln, stehen PCs häufig ungeschützt an Millionen von Arbeitsplätzen. Die Folge sind rasant zunehmende Sicherheitsdelikte, von der Vireneinschleusung bis hin zur gezielten Manipulation. Da lustwandeln Hacker in fremden Datenbeständen oder legen weitverzweigte Rechnernetze lahm. Andere entwenden hochbrisante Dateiauszüge (und lassen sich dafür oft mit einem lächerlichen Handgeld entlohnen) oder betätigen sich als Raubkopierer (meist in dem irrigen Glauben, nur ein harmloses Kavaliersdelikt zu begehen).
Keine Frage, der Kenntnisstand über Computerdelikte sollte die Alarmglocken zum Schrillen bringen. Nach Angaben einschlägiger Behörden sind bereits 1988 mehr als 2700 Fälle von Computerbetrug bekannt geworden - 972 Prozent mehr als zwei Jahre zuvor.
Raubkopierfälle haben im gleichen Zeitraum um das Zehnfache und Computerspionage um das Achtfache zugenommen. Besorgniserregend ist auch die relativ niedrige Aufklärungsquote: Kenner schätzen, daß die bekannt gewordenen Fälle allenfalls zehn Prozent aller Delikte ausmachen.
Häufig scheitert die Aufklärung am befürchteten Prestigeverlust der geschädigten Unternehmen, denn so mancher enthält sich lieber einer Anzeige, anstatt die Blößen seiner DV(Un-)Sicherheit vor der Kundschaft zu enthüllen.
Was über spektakuläre Berichte zum "Rififi am Monitor" allzuoft in Vergessenheit gerät, ist die Risikoquelle Mensch. Die größte Gefahr lauert beim PC-Anwender selbst. Acht von zehn Sicherheitspannen basieren auf hausgemachten Schnitzern. An der Spitze liegen Irrtum und Bedienungsfehler, gepaart mit Nachlässigkeit am PC-Arbeitsplatz.
Immerhin repräsentieren diese 84 Prozent des derzeit bekannten Risiko-Szenarios. Die Anzahl gezielter Attacken liegt dagegen nur nahe der Zehn-Prozent-Marke, die Dunkelziffer der unangezeigten Fälle natürlich nicht mitgerechnet. Zu diesem Ergebnis kommt zumindest eine kürzlich veröffentlichte Studie von KES (siehe CW Nr. 41 vom 12. Oktober 1990, Seite 1), dem Sicherheitsmagazin des früheren ZDF-Fahnders Peter Hohl (Aktenzeichen XY.. ungelöst).
PC-Hersteller liefern nur Alibi-Instrumente
Eigentlich wäre es die Aufgabe der Hersteller von PCs und Betriebssystemen, den Anwender vor schädlichem Mißbrauch ihrer Produkte zu schützen. Vom Hersteller mitgelieferte Sicherheitsvorkehrungen beschränken sich allerdings auf 9 unzureichende Alibi-Instrumente, etwa abschließbare Geräte, deren Schlüssel meist zu jedem beliebigen PC passen. Sicherheitsexperten kritisieren die offene Architektur des PCs des, halb auch als "Irrtum der Konstrukteure": Sie trägt zur leichten Handhabung bei und lädt damit geradezu zum Mißbrauch ein.
Die eigentliche Fehlentwicklung scheint aber die Bündelung von Funktionen auf eine einzige Person - auf den PC-Anwender. Während wir beim Großcomputer Betriebssystemspezialisten, Anwendungsprogrammierer und den eigentlichen Enduser sauber voneinander trennen, lassen wir den PC-Anwender auch an MS-DOS heran. Oder wir erlauben ihm den Gebrauch von nicht selten virenverseuchten Spielprogrammen oder von hochkarätigen Werkzeugen - wie etwa die Norton Utilities -, die in der falschen Hand ein hervorragendes "Brecheisen" abgeben. Wer heute seinen PC abschirmen will, kommt um die Einschränkung von Freiheiten am PC-Arbeitsplatz nicht herum. Bernd Henschel, der Vorstandsvorsitzende der Gesellschaft für Datenschutz und Datensicherheit (GDD) faßt die Minimalanforderungen an einen sicheren PC wie folgt zusammen:
- Eine Benutzeranmeldung ohne Paßwort und eindeutige Authentifizierung ist auszuschließen.
- jeder PC sollte einer lückenlosen Menüsteuerung unterliegen, die nur planmäßige Zugriffe auf Daten und Programme erlaubt. Das auf den Arbeitsplatz zugeschnittene Menü kann auch nicht unerlaubt umgangen werden.
- Der Anwender hat keinen Zugang zur Betriebssystem-Ebene.
- Das Laden eines Betriebssystems über ein Diskettenlaufwerk ist durch entsprechende Sicherheits-Hardware zu verhindern.
- Ein automatisches Logbuch kontrolliert sämtliche Benutzeraktivitäten sämtlicher PCs.
- Sensible Dateien werden mit Hilfe kryptografischer Verfahren grundsätzlich verschlüsselt abgespeichert.
Drei Anbieter teilen sich 80 Prozent vom Markt
Sicherheitssysteme, die diesen Anforderungen gerecht werden, sind nur mit hohem Aufwand zu realisieren. Der einzelne Anwender wird davor zurückschrecken, solche Systeme selbst zu entwickeln. Das muß er auch nicht, denn PC-Sicherheit kann man heute als Standardprodukt kaufen.
Immerhin tummeln sich bereits mehr als 50 Anbieter im Markt für PC-Sicherheitsprodukte. Ihr Angebot reicht von einfachen Schutzinstrumenten, etwa zur Virenidentifizierung, bis hin zu kompletten Sicherheitssystemen.
Bei der Auswahl von Sicherheitsprodukten sollte der Anwender genau wissen, was er will. 100prozentige Sicherheit für den PC gibt es nicht; was heute machbar ist, steht allerdings schon auf recht hohem Niveau. Manche Produkte werden von vornherein ausscheiden, weil sie nur Teilrisiken abdecken oder es ihnen an Bedienerkomfort fehlt. Es ist sicher kein Zufall, daß sich drei Anbieter nahezu 80 Prozent des PC-Sicherheitsmarktes teilen.
Marktführer mit derzeit 41 Prozent der insgesamt ausgelieferten Sicherheitssysteme ist die in Oberursel bei Frankfurt ansässige Uti-maco Software GmbH. Jeweils knapp ein Fünftel des Marktes halten die Münchner PC plus GmbH und die IBD in Frankfurt.
Insgesamt sind derzeit rund 222 000 Sicherheitssysteme installiert, 76 Prozent mehr als vor einem Jahr. Auf sämtliche PCs in bundesdeutschen Büros umgelegt, entspricht das einem Abdeckungsgrad von ungefähr 10 Prozent.
90 Prozent der PC-Anwender wagen also immer noch den hoffentlich schmerzlos verlaufenden "Ritt auf der Bombe".
* Erik Hargesheimer, von 1981 bis 1987 Geschäftsführer der IDC Deutschland GmbH, ist Inhaber der Unternehmensberatung Management Services GmbH in Bad Homburg.