Sensationsmeldungen wie "Die Hacker waren wieder am Werk" können heutzutage kaum mehr die DV-Branche erschüttern. Das heißt nicht, daß dem Thema Datensicherheit in den Unternehmen zuwenig Bedeutung zukommt. Im Gegenteil - Fachleute sind permanent bestrebt, eventuelle Sicherheitsmängel zu beseitigen. Aber zufällig auf ein Softwareloch in der Betriebssystemebene zu stoßen - darüber sind sich die DV-Verantwortlichen einig - sei kaum möglich. Hier muß schon ein Insider seine Finger im Spiel gehabt haben. Gegen unkoschere Systemmanager sei allerdings kein Kraut gewachsen meint Prof. Dr. Ebert, Leiter des Produktionszentrums der AEG AG in Ulm. Deshalb sollte auch der Kreis jener Mitarbeiter, die über die totale Systemberechtigung verfügen, so klein wie möglich gehalten werden. Ein weiteres Problem sieht Ebert im laschen Umgang mit den Paßwörtern. "Hier kann nur Disziplin helfen", so der DV-Fachmann.

Wolfgang Ludwig, Leiter des Rechenzentrums, Rohde und Schwarz GmbH & Co. KG, München

Der Anwender braucht ab und zu solche Nachrichten, die aufzeigen, daß

trotz hoher Schutzmaßnahmen sich Hacker in ein Netz einschleichen können. Mit der

Zeit wiegen sich nämlich viele Systementwickler in einer vermeintlichen Sicherheit und

erst durch solch einen Vorfall werden sie wieder wachgerüttelt und überprüfen gegebenenfalls nocheinmal alle Sicherheitsmechanismen. Ein Problem ist ja, daß Benutzer ihre meist kurzen und einfachen, leicht zu merkenden Paßwörter nie mehr ändern. Um unsere sensiblen Daten, zum Beispiel Personaldaten, besser zu schützen, sind Mehrfachpaßwörter installiert. Ferner ist der Leitungsweg bis zum Endgerät der - Stationsnummer - definiert. Somit ist sichergestellt, daß nur die Mitarbeiter in der Personalabteilung mit den dort installierten Bildschirmen auf diese Daten zugreifen können. Es ist also nicht möglich, daß sich eine andere Stationsnummer in den Verbund einschmuggelt.

Zudem führen wir intern alle zwei Jahre eine Revision durch, die aufzeigen soll, ob die bisher getroffenen Schutzvorkehrungen noch ausreichen. Dies geschieht in Form einer ein- bis zweitägigen Klausurtagung. In Kürze ist es wieder so weit, die letzte Klausur fand 1985 statt. Teilnehmer sind jene Mitarbeiter, die hier im Hause für Netze, Rechner und Systeme zuständig sind. Die Tagung soll ihnen die Gelegenheit geben, das Thema Sicherung der Informationsquellen gegen Verlust und Diebstahl in Ruhe zu diskutieren. Durch die zunehmende Integration der verschiedenen Datennetzen wachsen die Gefahrenquellen für einen sicheren Rechnerbetrieb. Es wird überprüft, ob wir dafür genügend Schutzmaßnahmen eingebaut haben. Ein Tagungspunkt ist zum Beispiel auch, daß Teilnehmer Gefahrenquellen, die in den Arbeitsumfelden entstehen, aufzeigen. Anhand dieser Gespräche erarbeitet das Plenum neue Abwehrmaßnahmen und stellt dann die Prioritätenliste zusammen. Die Ergebnisse werden an den Datenschutzbeauftragten weitergeleitet.

Aufgrund all dieser Maßnahmen zum Schutz vor Schwarzfahrern bin ich der Meinung daß wir relativ dicht sind. Die Möglichkeit des Hackens ist nicht vollkommen auszuschließen, doch versuchen wir durch ständige Verbesserungen an den Sicherheitssystemen, das Risiko so gering wie möglich zu halten. Gegen Systemfehler, wie sie kürzlich vorgekommen sind, die noch dazu längere Zeit unerkannt blieben, ist kein Kraut gewachsen. Dagegen können wir als Anwender fast nichts unternehmen.

Prof. Dr. Heinz Ebert, Leiter des Produktionszentrums in der Informationsverarbeitung, AEG AG, Ulm

Es ist heutzutage üblich, um Personalkosten zu sparen, daß im Rahmen der Wartung Ferndiagnosen durchgeführt werden. Dies betrifft auch unsere DEC-Systeme. Hier ist ein Zugang für Hacker leicht möglich, wenn mit den entsprechenden Paßwörtern leichtfertig gehandhabt wird. Das geschah auch in früheren Zeiten bei einigen Rechenzentren. Voraussetzung war lediglich, das richtige Paßwort zu kennen. Wir begegnen diesem Problem, indem wir - wie auch mittlerweile die meisten Rechenzentren - den Zugang zu den Wählverbindungen nur temporär ausgeben und zum anderen von der Rechnerseite her dichtmachen. So kann sich der Techniker nur dann einklinken, wenn wirklich ein Diagnosefall vorliegt.

Natürlich schützt nichts gegen einen unkoscheren Systemmanager - davor muß ein Unternehmen auch die meiste Angst haben. Dieses Risiko kann nur mit einer Methode im Zaum gehalten werden: Der Kreis derjenigen Mitarbeiter, die über die totale Systemberechtigung verfügen, muß so klein wie möglich gehalten werden. Ein Unternehmen ist ja darauf angewiesen, daß sich diese Mitarbeiter loyal verhalten. Aus reinem Zufall passiert nichts. Softwarelöcher und Schwächen des System sind den Insidern bekannt. Sie sind oder waren schließlich jahrelang in diesem Metier beschäftigt und verfügen so über die detaillierten Kenntnisse eines Betriebssystems. Nur mit Disziplin seitens der Benutzer, was die Paßwörter betrifft und mit Fleißarbeit der Systemmanager, kann ein Unternehmen sich erfolgreich gegen Hacker wehren.

Dr. Ulrich Nielsen, Leiter des Bereichs Datenverarbeitung und Elektronik, Hahn Meitner Institut, Berlin

Solange es Software gibt, existieren auch Softwarelöcher, die irgendwann einmal aufgedeckt werden. Ein Unternehmen, in dem sehr viele Mitarbeiter über detaillierte Computerkenntnisse verfügen, kann sich letztendlich nicht gegen Schwarzfahrer schützen. Wir versuchen daher durch Paßwörter - auch auf Dateiebene - und durch andere Schutzvorrichtungen, die Verleitung zum Kameradendiebstahl so gering wie möglich zu halten. Schutz gegen externen unbefugten Zugriff sollen die mehrstufigen Paßwortvorrichtungen geben. Wenn allerdings dieses Detailwissen nach außen weitergeleitet wird, ist es durchaus möglich, in das System einzubrechen.

Auch erhielt das Hahn Meitner Institut vor kurzem einen Hinweis, daß von außen jemand versuchte, sich in dem Netz breitzumachen. Daraufhin wurden noch einmal alle Sicherheitsmaßnahmen überprüft und die Paßwörter sowie Zugangsberechtigungen ausgewechselt. Von dem vermeintlichen Hacker haben wir seitdem nichts mehr gehört.

Aber angenommen, es hätte jemand geschafft, sich in das Netz einzuschleichen, dann muß er schon über ein sehr großes Detailwissen verfügen, um an die Daten, die vielleicht für ihn interessant wären, heranzukommen und sie dann noch richtig interpretieren und manipulieren zu können. Hinzu kommt, daß in der Regel ohne die dazugehörigen Programme sowieso keine Möglichkeit besteht, die Daten zu interpretieren. Durch all diese Schutzvorkehrungen ist eine Manipulation so gut wie ausgeschlossen, außer ein Insider versucht bewußt, sich Zugriff zu bestimmten Daten zu verschaffen. Dieser müßte entweder aus den eigenen Reihen kommen oder ein ehemaliger Mitarbeiter sein.

Hans-Werner Hesse, Leiter der Systemprogrammierung, Nukem GmbH, Hanau

Ich möchte nicht ausschließen, daß sich bei uns wie bei allen Unternehmen, sich jemand unbefugt in das hauseigene Netz einschleicht. In dem Moment, wo mehrere Bildschirme miteinander verbunden sind, ist alles offen. Natürlich versuchen wir, durch Paßwortkontrollen die Möglichkeit des Hackens zu minimieren. In den neueren Systemen wird auch des öfteren eine automatische Usercodeänderung von den jeweiligen Anwendern verlangt. Buchstaben allein sind hier nicht mehr genehmigt, es müssen auch Zahlen eingefügt werden. Ferner können besonders sensible Daten nur von einem bestimmten Terminal aus abgerufen werden und ein Sicherheitssystem prüft schon auf Userebene, welcher Teilnehmer auf bestimmte Files zugreifen darf.

Es ist natürlich generell ein ganz großes Problem, wenn sich ein Gastuser aufgrund eines Softwarelochs die Zugriffsrechte des Systemmanagers erwerben kann. Davon sind aber nicht nur DEC-Anwender betroffen, denn kein Betriebssystem kann absolute Sicherheit garantieren. Wie soll sich also der Anwender gegen Insider schützen, deren Hobby es ist, auf der Betriebssystemebene nach Softwarelöchern zu suchen und so die verschiedensten Systeme zu knacken? Hacker gehen in der Regel unorthodoxe Wege, an die wir, die Anwender, nicht einmal im Traum denken. Ein weiteres Problem sehe ich darin, herauszufinden, ob sich jemand eingeschlichen hat und ferner, welche Daten bis zum Entdecken des Schwarzfahrers schon verändert, wenn nicht sogar zerstört worden sind.