DV-Sicherheit: Strategische Aufgabe des Top-Managements

23.12.1988

Dr. Hartmut Pohl, DV-Sicherheitsberater, Köln

Wirtschaftsspionage, Computer-Kriminalität, Computer-Mißbrauch, Hacker, Viren und Würmer sind für viele von uns Schlagworte ohne Bezug zu unserer Unternehmensrealität. Die Welt der DV-Kriminalität sieht allerdings anders aus - auch wenn wir es nur widerstrebend zur Kenntnis nehmen, auch wenn wir das Thema lieber totschweigen wollen. Die Zahl der Fälle ist nicht nur ausgesprochen hoch; auch der im jeweiligen Fall entstandene direkte Schaden ist erheblich.

Wir sprechen hier nicht über den unzufriedenen Mitarbeiter, der überzuckerten Kaffee in die Tastatur schüttet - obwohl wir auch solchen "Fällen" nachgehen sollten. Wir sprechen hier über organisiertes Verbrechen, über potente Auftraggeber, die gezielt Daten ausspionieren, Daten manipulieren und zerstören lassen und damit Forschung, Entwicklung, Produktion und Vertrieb von Unternehmen stören, unmöglich machen und (häufiger) mit den ausspionierten Daten in eigenen Unternehmen - ohne größeren Forschungs- und Entwicklungsaufwand - wesentlich kostengünstiger eine eigene Produktion aufbauen. Dazu brauchen wir nicht erst über den großen Teich zu gucken. Groß ist der Teich angesichts der internationalen und weltweiten Vernetzung der Computer sowieso nicht mehr, und der Blick nach Westen würde den Blickwinkel auch nur unangemessen einschränken.

Die Fälle in Deutschland sind vielzählig, und eine ganze Reihe von Unternehmen jeder Branche war schon betroffen. Der entstandene Schaden geht zum Teil über zweistellige Millionenbeträge hinaus. Dies gilt für Dienstleistungsunternehmen genauso wie für Produktions- und Handelsbetriebe sowie für Forschungsinstitutionen. Sicherlich betreibt jeder von uns zuverlässige Systeme, Backup-Prozeduren zur Datensicherung ermöglichen den Wiederanlauf, gewiß gibt es Backup-Rechenzentren und Versicherungen, sicherlich wird der Zugang Unbefugter kontrolliert oder verhindert, sicherlich hat jeder ausschließlich vertrauenswürdige Mitarbeiter.

Allerdings reicht ein einziges schwarzes Schaf im Unternehmen aus, das Zugriff auf wichtige Daten eines Rechners erhält.

Meist sind die Rechner (Personal Computer, Bürokommunikation, Workstations, Abteilungsrechner bis hin zu Größtrechnern) intern vernetzt, so daß ein Täter in der Lage ist, auf andere Systeme zuzugreifen. An öffentliche Netze angeschlossene Systeme, die unternehmensintern mit anderen Computern verknüpft sind, werden von außen angegriffen. Wir sollten hier nicht so sehr an die vielen Hacker denken, die "nur mal spielen" und Rechneradressen sammeln wie andere Briefmarken. Aber die Methoden der Hacker werden von Kriminellen sehr effizient und offensichtlich mit Erfolg genutzt.

Neben Maßnahmen aus dem Bereich der personellen Sicherheit (vertrauenswürdige Mitarbeiter) und den klassischmateriellen Maßnahmen insbesondere zur Betriebssicherheit (Ausfälle durch höhere Gewalt, physische Gewalt und Datenträger-Diebstahl) gehören zu den taktischen Sicherheitsmaßnahmen die Maßnahmen zur logischen Sicherheit mit organisatorischen Maßnahmen und programmtechnischen Maßnahmen, wie Verschlüsselung der Daten und Programme bei Datenübertragung und bei der Speicherung und die Kontrolle der Zugriffe auf Daten und die Benutzungskontrolle der Programme.

Insbesondere die letztgenannte Zugriffskontrolle ist von eminenter Bedeutung zur Erkennung oder sogar zur Verhinderung unbefugter Zugriffe durch Dritte (Hacker, Spionage). Eine ganze Reihe von Fällen wurde - wegen mangelhafter Protokollierung - erst durch das Geständnis der Täter bekannt, vielfach auch allein vom DV-Bereich zur Kenntnis genommen, der die Tragweite "nur" unter DV-technischen Gesichtspunkten bewertete. Zugriffskontrolle heißt aber auch intensive Auswertung der Protokolle unter Sicherheitsaspekten. Hier reicht die klassische Protokollierung unter abrechnungstechnischen Gesichtspunkten allein nicht aus; gerade die Auswertung ermöglicht erst die Erkennung und den Nachweis von sicherheitsrelevanten Mißbrauchshandlungen.

Diese taktische Maßnahmen müssen eingebunden werden in eine Sicherheitsstrategie. Nicht zuletzt wegen der vorhandenen Vernetzung der Computer im Unternehmen - die ist oftmals stärker als der Unternehmensleitung bekannt - kann nur ein unternehmensübergreifender Ansatz zum Erfolg führen. Dabei steht an erster Stelle die Risikoanalyse mit einer Bewertung der verarbeiteten Daten. Diese Informationswertanalyse gibt der Unternehmensleitung einen Überblick, wo und wie im Unternehmen wertvolle Daten verarbeitet werden. Welchen Wert haben diese Daten für das Unternehmen? Hier existieren ausgefeilte Verfahren, die unmittelbar in konkrete DV-technische Maßnahmen umgesetzt werden können. Die zu realisierenden Maßnahmen sind dann abgestuft entsprechend diesem Wert der Daten zu entwickeln.

Die zweite Frage ist, wer sich für diese Daten interessieren könnte und mit welchem Ziel ("nur" Sabotage - zum Beispiel der Produktionssteuerung - oder Spionage und mit welchen Auswirkungen für das Unternehmen); von welcher Seite könnte Gefahr drohen?

Der dritte Schritt ist eine Schwachstellenanalyse der eingesetzten Hard- und Software. Inzwischen gehen Unternehmen dazu über, Betriebssysteme hinsichtlich ihres Widerstandswerts gegen Eindringversuche ungetreuer Mitarbeiter oder sogar gegen Eindringen von außen über öffentliche Netze mit Hilfe eigener Tiger-Teams zu überprüfen. Auf der Grundlage der Risikoanalyse wird eine unternehmensweit gültige Sicherheitsstrategie formuliert und von der Unternehmensleitung - gegebenenfalls mit Hilfe eines DV-Sicherheitsbeauftragten - durchgesetzt, und es werden die sich daraus ergebenden notwendigen Maßnahmen realisiert. Da hundert Prozent Sicherheit auch in der Datenverarbeitung nicht erreichbar sind, muß der Unternehmensleitung das gleichwohl verbleibende Restrisiko beziffert werden, damit diese entscheiden kann, ob sie es tragen will oder ob nicht doch weitergehende Maßnahmen realisiert werden sollten; auch eine Versicherung dieses Restrisikos kommt in Betracht. Ein fixiertes Sicherheitskonzept sollte spätestens alle zwei bis drei Jahre hinsichtlich seiner Aktualität überprüft werden.

Vielfach wird die Einbindung externer Sicherheitsberater kontrovers diskutiert. Zu Recht: Wegen der umfangreichen und tiefgehenden - das heißt sicherheitsrelevanten - Kenntnisse, die der beauftragte Berater im Verlauf seiner Aktivitäten erlangt, muß hier eine noch stärkere Überprüfung hinsichtlich seiner Integrität stattfinden, als es bei einem angestellten Mitarbeiter des Unternehmens der Fall ist: Der Mitarbeiter kennt meist nur einen Teil der sicherheitsrelevanten Informationen, während der externe Berater sich aufgabengemäß einen umfassenden Einblick und Überblick verschafft.

Ein Wort zur Abwicklung eines sicherheitsrelevanten Computermißbrauch-Falls: Die Unternehmensleitung sollte vorbeugend Überlegungen anstellen, wie in einem Fall verfahren werden soll. Hier ist sehr stark zu differenzieren zwischen unternehmensintern abzuwickelnden Fällen und solchen, bei denen Hersteller, Berater, Detektive und/oder einschlägige Behörden eingeschaltet werden.

Grundsätzlich gilt, daß ein Fall vertraulich geregelt werden sollte, um insbesondere einen Vertrauensschaden in der Öffentlichkeit und bei Kunden zu vermeiden. Ohne Zweifel ist ein Vertrauensschaden nur langfristig und nur sehr kostenaufwendig zu beheben.

Sicherheit in der Datenverarbeitung ist ein undankbares Thema. Das Produkt Sicherheit verkauft sich schwer oder deutlicher formuliert, gar nicht - auch nicht unternehmensintern. Betrachten wir aber die Kosten für die hier nur kurz skizzierten Maßnahmen zur Absicherung der Datenverarbeitung, so sind sie überraschend klein und unvergleichlich gering im Vergleich zum möglichen Schaden: Umsatzeinbußen, Rückschlag in den F&E-Bemühungen, Vertrauensschäden insbesondere der Dienstleistungsunternehmen bei den Kunden mit der jeweils unmittelbaren Folge des drohenden Verlusts von Arbeitsplätzen.

Da es nicht nur um die richtige Einstellung der Paßwort-Länge, die Einstellung einiger Sicherheitsparameter geht, sondern um die Einstellung aller Mitarbeiter zur DV-Sicherheit (Sensibilisierung) und auch der Mitarbeitervertretung. Da es nicht nur darum geht, einige offensichtlich wesentliche Computer zum Beispiel in der Vorstandsetage abzusichern, sondern darum, eine sorgfältige Analyse des Werts der Daten vorzunehmen und die Verarbeitung dieser Daten entsprechend angemessen abzusichern, ist das Thema Sicherheit in der Informationstechnik eine strategische Aufgabe der Unternehmensberatung.

Warten wir nicht ab, bis es uns - eventuell sogar zum wiederholten Mal - "erwischt" hat.