BONN - Seit die EDV in Betrieben und Verwaltungen Einzug gehalten hat, gibt es eine neue Variante der Wirtschaftskriminalität, die sogenannte Computer-Kriminalität. Zwar ist der Begriff falsch - denn nicht der Computer wird kriminell, sondern er ist Objekt und Mittel für gesetzeswidrige Handlungen - doch er wurde gängig. Und die "automatisierten Straftaten", die zwar selten vorkommen, stoßen in der Öffentlichkeit schon deshalb auf großes Interesse, weil der "allmächtige Computer" im Mittelpunkt steht.

Mit Problemen der Computer-Kriminalität setzte sich Rainer A. H. von zur Mühlen, Vorstandsmitglied der Gesellschaft für Datenschutz und Datensicherung, in einem Vortrag auf einer IBM-Veiranstaltung (Institut 77 im September in Mannheim) auseinander.

"Der Begriff Computer-Kriminalität ist im kriminologischen Sinn zu verstehen und umfaßt alle Handlungen, bei denen der Computer Werkzeug oder Ziel ist", erklärt er. "Leider sind die wenigen bekanntgewordenen Fälle sehr aufgebauscht worden." Darüber wird - so der Datenschutz-Experte - ganz vergessen, daß sie nur einen geringen Teil der möglichen Risiken eines Organisationsgefüges ausmachen: Aus Irrtum und Nachlässigkeit resultierende Schäden seien im Stellenwert weit höher zu veranschlagen als bewußt herbeigeführte strafbare Handlungen. Von zur Mühlen beschreibt die vier typischen Fälle der Computer-Kriminalität:

- Manipulation von Eingabe- oder Ausgabedaten sowie von Programmen

Die häufigsten Schäden im EDV-Bereich, die bewußt herbeigeführt werden, sind Manipulationen von Eingabe- und Ausgabedaten. In verschiedenen Betrieben wurden beispielsweise Lohn- und Gehaltsdaten im Vorfeld der EDV, bei der Datenerfassung, verfälscht, um die Bereicherung einzelner Personen zu ermöglichen. Programm-Manipulationen sind in jüngster Zeit verstärkt registriert woden. Um unternehmerische Fehlentscheidungen zu verschleiern und so die eigene Karriere zu retten, wurde in fünf verschiedenen Betrieben nach der gleichen Methode "gearbeitet": Die Kosten-Tabellen in den Betriebsabrechnungsprogrammen wurden so manipuliert, daß einzelne Produkte be- und andere entlastet wurden. Die Programm-Manipulation ist das bisher einmalige Phänomen der automatisierten Delikthandlung: Ist sie einmal im Programm verankert, wirkt sie so lange fort, wie das Programm im Einsatz ist. Dem Erfindungsgeist mancher EDV-Profis sind keine Grenzen gesetzt, grundsätzlich kann jeder Code gebrochen werden, wenn genügend Beispiele des codierten Textes vorhanden sind.

- Spionage per Computer online/offline

Die Spionage per Computer kommt nicht so oft vor, denn es ist wesentlich schwieriger, von außen in ein System einzudringen, als beispielsweise Datenträger zu manipulieren. Trotzdem drangen Unbefugte über das öffentliche, Leitungsnetz in Datenverbundsysteme ein, um sich über Betriebsgeheimnisse zu "informieren".

- Diebstahl von Maschinenzeit

Bei Unternehmen, in denen die Arbeitsvorbereitung in der Datenverarbeitung nicht funktioniert, sind manche Mitarbeiter versucht, Maschinenzeit für eigene Zwecke zu verwenden und diese Leistungen zu verkaufen.

- Sabotage gegen Daten, Programme, Abläufe und Anlagen

Die Sabotage gegen Daten und Programme kann Unternehmen ruinieren: Zerstörte Dateien, die die Fakturierung blockieren, oder die Sabotage EDV-organisierter Abläufe sind denkbar und vorgekommen. So wurden Prozeßrechner mit falschen Steuerdaten gefuttert und Produktionsläufe sabotiert. Die Folge war in allen Fällen erheblicher Sachschaden. Darüber hinaus werden immer öfter Anschläge gegen DV-Anlagen registriert: Meistens handelt es sich dabei um Brandstiftungen.

Die Verhinderung der Computer-Kriminalität ist die wichtigste Aufgabe der Datensicherung: Straftaten im EDV-Bereich können durch entsprechende Sicherungsmaßnahmen vermieden werden. "Der Computer ist wohl das Aggregat, welches die meisten und komfortabelsten Sicherungsmöglichkeiten bietet", ist von zur Mühlen überzeugt. "Bei der Entwicklung von Sicherheitskonzepten muß jedoch beachtet werden, daß sie nicht von heute auf morgen erarbeitet und eingesetzt werden können. Sie müßten

schon bei der Systementwicklung beginnen." So konnten bei einem Rechenzentrums-Neubau etwa 800 000 Mark eingespart werden, indem die ersten Architektenentwürfe geändert und Sicherungseinrichtungen eingeplant wurden. Das gleiche - so der Datenschutz-Experte - gilt auch für die Entwicklung softwaremäßiger und organisatorischer Sicherheitskonzeptionen. Auch hier sei ein nachträgliches Eingreifen nur ein partiell wirkendes Flickwerk.

"Die Risiken eines Unternehmens ergeben sich aus Mensch, Anlage und Zustand", resümiert von zur Mühlen. "Um sie zu verhindern, gibt es personelle, technische und Organisatorische Sicherheitsmaßnahmen. Sicherheit könne aber nur dann erreicht werden, wenn die Maßnahmen aufeinander abgestimmt sind", schlußfolgert er.