KÖLN - Auf zwei thematische Schienen konzentrierte sich die 9. Datenschutzfachtagung der Gesellschaft für Datenschutz und Datensicherung e.V. (GDD): Zum einen auf die geplanten weitreichenden Änderungen am BDSG, zum anderen auf neue Erkenntnisse und Erfahrungen bei Sicherungsverfahren.
Die Informationen zu den beabsichtigten Änderungen im BDSG, die in Bonn beraten werden, fielen eher dürftig aus: Die Koalitionsabgeordneten Laufs (CDU) und Hirsch (F.D.P.) listeten zwar die Stichworte auf, die aus früheren Novellierungsdiskussionen bekannt waren, konnten aber keine Details nennen, weil die entscheidende Beratung in der Unionsfraktion erst in der ersten Dezemberwoche stattfindet.
Schwerpunkt beim Thema "Datensicherung" war in diesem Jahr die Sicherung von Arbeitsplatzsystemen, Personal Computern und Netzen. Das Interesse der Zuhörer bewies daß die Veranstalter damit den Trend richtig eingeschätzt hatten: Die Workshops waren jedesmal bis zum letzten Platz gefüllt.
Public-Key-Systeme und digitale Signaturen lauteten die Stichworte des Tages, und das in allen möglichen Zusammenhängen: Terminalkontrolle, Benutzerkennung, Authentifikation von Teilnehmern und Systemen, rechtliche Verbindlichkeit "elektronischer Nachrichten" im Zusammenhang mit Geschäftsvorgängen aller Art, Sicherheit von POS-Anwendungen, Electronic Banking.
Nach den Analysen und Entwürfen der Referenten wie Anderla (Universität Linz), Kauffels (Universität Bonn) oder Heider (GEI, Aachen) werden Public-Key-Systeme in Zukunft eine (oder sogar die) entscheidende Rolle bei der Datensicherung von PCs und Netzen spielen. Für viele Datenschutzbeauftragte war das vielleicht ein Novum: Public-Key-Systeme nicht nur als bestes Verfahren für die Verschlüsselung von Nachrichten bei allen Arten von Kommunikation, sondern auch hervorragend geeignet für Identifikation und Authentifikation und damit für die Benutzer- und Zugriffskontrolle.
Geräte, die die recht umfangreichen Berechnungen für Public-Key-Verfahren (zum Beispiel RSA) hinreichend schnell bewältigen, sind zur Zeit noch zu groß (Abmessungen eines größeren PC) und zu aufwendig, als daß sie überall und für jeden Zweck eingesetzt werden könnten. Aber die Entwicklung geht rasch voran. In England, so war zu hören, sei der erste kommerzielle Chip für das RSA-Verfahren kurz vor der Auslieferung, und in der Bundesrepublik "ist man drauf und dran" damit. Für 1986 ist das "Linzer Verfahren" für die Datensicherung in Mikrocomputern als marktreif angekündigt.
Um Datensicherung ging es auch in der Plenums- und Podiumsdiskussion über die Novellierung des BDSG, hier im Zusammenhang mit dem Paragraph 6 und seiner bekannten Anlage mit den "10 Geboten". Ein Arbeitskreis hatte zuvor eine kurze Stellungnahme mit zwei einfachen Vorschlägen vorbereitet:
1. Die bisherige "Leerformel" des Paragraph 6, Absatz 1 (Laicher, SEL Stuttgart), muß ausgefüllt werden. Im novellierten Text soll deshalb ausdrücklich auf die "Sicherheit und Ordnungsmäßigkeit der Datenverarbeitung" Bezug genommen werden.
2. Die Anlage mit den "10 Geboten" kann als praktische Hilfestellung für die Anwender beibehalten werden. Alle Beteiligten - Anwender, Hersteller und Gesetzgeber - sollten sich aber Gedanken darüber machen, wie die Anlage künftig besser gestaltet werden kann: weniger abhängig vom Stand der Technik, durchsichtiger für den Anwender weniger Überschneidungen im Text.
Als Beispiel für einen neuen Rahmen trug Dierstein (DFVLR) unter der Überschrift "Basisfunktionen sicherer Systeme" ein Konzept vor, das mit einfachen und klaren Vorgaben die Anforderungen beschreibt, die an sichere Systeme, also auch an jede Datensicherung, zu stellen sind.
Erstaunlich die anschließende Diskussion! Der Vorschlag sei so grundlegend und umfassend, daß er als Konzept für jedes Sicherungssystem verwendet werden könne, nicht jedoch für die Datensicherung nach dem BDSG, so der Diskussionsbeitrag eines Herstellervertreters. Das Konzept könne künftig als Maßstab für Hard- und Softwarebeschaffung eingesetzt werden, sei somit eine höchst praktische Sache. Kurz darauf war zu hören, der Vorschlag komme offenbar von einem Theoretiker und sei deshalb nichts für die Praxis. Der Beifall eines Teils der Zuhörer an dieser Stelle machte stutzig. Der Vertreter des BfD, Schmidt, meinte, die "10 Gebote" hätten sich bewährt und seien unabhängig von Stand und Entwicklung der Technik, wenn man sie "entsprechend auslege". Die Frage eines Teilnehmers, wie man beispielsweise Speicherkontrolle auf PCs einrichte, blieb unbeantwortet.
Für den Schluß der DAFTA hatte sich die GDD zwei Besonderheiten ausgespart: Hans-Werner Richte von der IBM Deutschland wies nach, welche Konsequenzen es hat, wenn Datensicherung zum Führungs- und Managementprinzip erhoben wird: Nicht einige Spezialisten, sondern jeder, der für einen Teilbereich Verantwortung trägt, hat auch die Sicherheit der ihm anvertrauten Informationen zu verantworten. Verwirklicht werden kann dieser überzeugende Ansatz allerdings nur dort, wo Unternehmenspolitik schriftlich fixiert ist, ihren Niederschlag in Anweisungen und Prüfhandlungen findet und bis ins Topmanagement akzeptiert und praktiziert wird.
Neues über Computerviren
Über das heikle Thema "Computerviren" berichtete Dierstein von der DFVLR: Er gab keine pseudodramatische Hackerstory, sondern eine nüchterne Darstellung des bisher Bekannten und einen Ausblick auf das, was man möglicherweise von dieser neuen Art "Softwaretool" an Überraschungen erwarten kann. Unter den Teilnehmern war Beklemmung erkennbar, wobei sich dieser Eindruck auch in Gesprächen bestätigte.
Erstaunlich die Anmerkungen von seiten der Hersteller in der anschließenden Plenumsdiskussion: Glaubt man ihren Worten, ist die Virengeschichte halb so wild, in den Labors längst untersucht und für die marktgängigen Systeme großer Anbieter nicht relevant. Da aber Cohen, auf dessen Arbeiten sich Dierstein bezog, seine Untersuchungen auf einem sehr weit verbreiteten System, nämlich Unix, erfolgreich durchgeführt hat, überzeugten diese Beruhigungspillen wenig, ebenso wie die Aussage, das Ganze sei das altbekannte Insiderproblem des frustrierten Systemprogrammierers, der seinem Arbeitgeber eins auswischen will. Von außen, von der Anwenderschnittstelle aus, seien Viren ohnehin nicht in ordnungsgemäß betriebene Systeme einschleusbar, so die Ansicht einiger Diskussionsteilnehmer. Diersteins eher vorsichtige Einlassung: "Die Versuche dazu laufen zur Zeit noch!"
Theo Royer ist freier DV-Journalist.