Alldata Service, München Abteilungsleiter Organisation

Je weiter der Computer in Verwaltung und Leitung von Unternehmen vordringt und je komplexer die EDV-Anwendungen werden, um so mehr wird das Rechenzentrum zum Nervenzentrum des Betriebes.

Rechnungswesen, Produktionsplanung, Fertigungssteuerung sind auch bei mittleren und kleinen Unternehmen alltägliche Anwendungen, von deren Funktion das Wohl und Wehe, häufig sogar die Existenz des Unternehmens abhängen.

Der Computer, die Programme und das Datenmaterial, die drei Komponenten der Funktionsfähigkeit eines EDV-Systems sind oft in einem Raum vereint, zu dem - das ist keine Seltenheit - jeder Zutritt hat, der den Pförtner am Werkstor einmal passieren konnte.

Nicht von ungefähr fordert auch das Datenschutzgesetz in der Aufzählung der technischen und organisatorischen Maßnahmen an erster Stelle "Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren" (Anlage zu ° 6, Abs. I, Satz 1).

Dies zum Schutz der Daten anderer. Jedes Unternehmen muß aber auch alle Register ziehen, um seine eigenen Daten vor Mißbrauch zu schützen und die Funktionsfähigkeit seiner EDV-Anlage unter allen Umständen zu erhalten.

Beide Interessen sind, was die organisatorischen und technischen Verfahren der Zugangsbeschränkung und Zugangskontrolle betrifft, mit den gleichen Maßnahmen zu wahren:

Am Anfang stecht auch hier die eindeutige Richtlinie, die im allgemeinen ein Mittel ist, das Sicherheitsbewußtsein bei allen Betroffenen zu wecken und zu pflegen und die im speziellen die Zutrittsberechtigung zu den einzelnen Sicherheitskreisen regelt. Zu diesen Richtlinien kommen organisatorische und bauliche Vorkehrungen, die die Notwendigkeit und die Möglichkeit des Zugangs zu den Sicherheitsbereichen auf ein Minimum begrenzen:

- Beim sogenannten closed-shop-Betrieb haben zum Maschinenraum nur die Personen Zutritt, die zur Bedienung des Computers notwendig sind - die Operatoren.

- Zum Datenarchiv hat nur der Verwalter Zutritt. Er stellt dem Operating die Datenträger zur Verfügung und nimmt sie nach der Verarbeitung wieder entgegen. Sind besonders strenge Sicherheitsvorkehrungen angebracht, so sollte der Zutritt zum Datenarchiv nur jeweils zu zweien möglich sein. Auch sollte bei entsprechendem Umfang der Archive die Verwaltung der aktiven Daten Bestände einer anderen Person zugeordnet werden als die langfristig archivierten Bestände und die Sicherheitskopien.

- Die Operatoren nehmen ihre Aufträge an einem Schalter entgegen und geben dort auch die Ergebnisse nach außen. Das gilt für Arbeitsaufträge ebenso wie für Testaufträge. Programmierer und Organisatoren haben nur dann Zutritt zum Rechenzentrum, wenn dies unbedingt erforderlich ist und dann auch nur mit ausdrücklicher Genehmigung.

- Ist die Anwesenheit anderer Personen unumgänglich, so ist Aufsieht zu führen oder die Betreffenden sind - nachdem ihre Berechtigung geprüft ist - mit deutlich sichtbaren Etiketten zu versehen.

- Durch Datenspeicher mit großem Fassungsvermögen brauchen die Datenträger nicht mehr so häufig gewechselt zu werden. Das zum Operating nötige Personal ist zu verringern.

- Alle Geräte, die bedienungsintensiv sind - und bei denen es verfahrenstechnisch möglich ist wie zum Beispiel Drucker - sollten in einem anderen Raum als der Zentraleinheit untergebracht werden. Dieser Raum braucht dann nicht den gleichen strengen Sicherungsvorschriften zu unterliegen.

Sind diese Maßnahmen getroffen, so entfällt für viele, "Kunden" des Rechenzentrums schon die Notwendigkeit des Zugangs. Die Tür kann abgeschlossen werden - Schlüssel erhalten nur Zutrittsberechtigte.

Es wird eine Reihe von Geräten und Techniken der Zugangskontrolle angeboten.

Sie sind teilweise auch ausbaufähig zur Erfassung der Gleitzeit oder anderen Berechtigungen (wie zum Parken) und Abrechnungen (zu Beispiel des Kantinenessens).

Gemeinsam ist den meisten dieser Systeme dieser elektronisch codierte Ausweiskarte; in Format und Ausehen einer Checkkarte ähnlich. Sie ersetzt den herkömmlichen Schlüssel. (Die elektronische Sicherheit sei sagen die Hersteller der Geräte, die sicherste Sicherheit).

Unter der Schutzhülle eines solchen Ausweises sind nicht veränderbare Codes angebracht, die den Inhaber charakterisieren und seine Berechtigung etwa zum Betreten eines Raumes feststellen lassen, sobald der Ausweis in ein Terminal eingeführt wird.

Die Ausweiskarte ist zwar nicht zu fälschen, kann aber doch in die Hände Unbefugter geraten und mißbraucht werden. Dies berücksichtigt ein anderes System, das imstande ist, zwischen dem Ausweis und der "Handgeometrie" des Inhabers einen Vergleich herzustellen:

Nur wenn die auf dem Ausweis gespeicherten Daten mit der Hand dessen übereinstimmen, der Zutritt zu einem Raum begehrt, wird dieser auch gewährt.

Natürlich hat Sicherheit ihren Preis.

Jeder Verantwortliche sollte sich aber einmal vor Auge führen, wie schwer (oder wie leicht) es wäre, böswillig - mit List oder mit Gewalt - im Rechenzentrum oder im Datenarchiv Schaden zu stiften; wie groß dieser Schaden sein könnte und um wieviel das Risiko zu mindern wäre durch konsequente Maßnahmen der oben angedeuteten Art.

Wir haben hier nur eine Gruppe spezieller Sicherungsmaßnahmen betrachtet. Es gibt deren aber viele zu bedenken, wenn die mühsam aufgebaute, teuere EDV mit angemessenen Mitteln geschätzt werden soll.