MÜNCHEN (CW)-Je fortschrittlicher die DV-Integration eines Unternehmens, desto größer die Wahrscheinlichkeit krimineller Eingriffe ins System. So lautet das Resultat einer von der Gesellschaft für Mathematik und Datenverarbeitung (GMD), Sankt Augustin, durchgeführten Anwenderbefragung zum Thema Computerkriminalität.

Aufgrund des 1986 in Kraft getretenen zweiten Gesetzes zur Bekämpfung der Wirtschaftskriminalität (2WiKG) fallen unter den Begriff Computerkriminalität folgende Tatbestände: die Ausspähung von geheimen Daten (Paragraph 202 a), das Vermögensdelikt des Computerbetrugs (263 a), die Fälschung beweiserheblicher Daten (269 und 270 sowie Ergänzungen bei 271, 273, 274 und 348) sowie im Bereich Sachbeschädigungsdelikte die Datenveränderung (303 a) und die Computersabotage (303 b).

Konkret macht sich die Computerkriminalität in den Unternehmen als Datenmanipulation, als Spionage und Sabotage sowie als Zeitdiebstahl und Hacking bemerkbar. Wie die wissenschaftliche GMD-Mitarbeiterin Gisela Frerk kürzlich in der Zeitschrift "Datenschutz und Datensicherung" berichtete, mußten die betroffenen Betriebeteilweise Schäden in Höhe von mehreren Millionen Mark hinnehmen.

Der Schaden läßt sich schwer quantifizieren

Ungeachtet spektakulärer Einzelfälle und zahlreicher Veröffentlichungen zu diesem Thema, ist die Zahl der von Computerkriminalität heimgesuchten Unternehmen offensichtlich relativ gering. Die GMD schreibt in ihrer Studie über den "Softwaremarkt in der Bundesrepublik Deutschland-, daß innerhalb der vergangenen zwei Jahre nur etwa ein Prozent aller DV-Anwenderunternehmen von Computermißbrauch betroffen waren.

Pauschal gesagt steigt die Mißbrauchshäufigkeit mit der Größe des eingesetzten DV-Systems und der Anzahl der Beschäftigten. Von den Nutzern großer General-Purpose-Systeme(GPS)-mit einem Kaufpreis von über 200 000 Mark - gehören mehr als fünf Prozent zu den Betroffenen.

Offenbar läßt sich der durch Computerkriminalität verursachte Schaden nicht ohne weiteres quantifizieren. Von den betroffenen GPS Anwendern wollten nur 22 Prozent der GMD gegenüber ihren finanziellen Verlust einschätzen: Elf Prozent nannten Werte unter 50 000 Mark, neun Prozent Beträge zwischen 200 000 und 500 000 Mark; zwei Prozent gaben an, zwischen einer und vier Millionen Mark eingebüßt zu haben.

Neben der Größe des Betriebs und des Hauptrechners weist die GMD Studie weitere Risikofaktoren aus: Dazu gehört beispielsweise die unternehmensübergreifende Integration von DV-Systemen mit Kunden, Lieferanten oder Speditionen. 6,5 Prozent der GPC-Anwender mit externer Vernetzung (gegenüber 4,3 Prozent bei Unternehmen ohne unternehmensübergreifende DV-Integration) geben an, bereits Opfer krimineller Computerdelikte gewesen zu sein.

Begünstigt wird der Computermißbrauch laut GMD auch durch die wachsende Verbreitung von Arbeitsplatzrechnern. Die Häufigkeit krimineller Systemeingriffe, so legt die Studie nahe, steigt mit der Anzahl der eingesetzten PCs. So mußten bereits 8,6 Prozent der GPC-Anwender mit mehr als 20 PC Arbeitsplätzen kriminelle DV-Aktivitäten verzeichnen, während es von den Betrieben mit bis zu 19 PCs bislang nur etwas mehr als zwei Prozent traf.

Ein besonderes Risikopotential, so Frerk, stellt die PC-Vernetzung dar: "Hier zeigt sich die deutliche Tendenz, daß mit wachsender Anzahl von PCs und LANs, PCs mit Hostverbindung und PCs mit externer Verbindung auch der Computermißbrauch ansteigt. " Alles in allem seien die "fortschrittlichsten Anwender mit dem umfassendsten DV-Einsatz" besonders gefährdet.

Als Illusion entlarvt Frerk die Vorstellung, daß bindende Richtlinien für den PC-Einsatz den Computermißbrauch verhindern oder wenigstens vermindern könnten. Aufgrund der Anwenderbefragung lasse sich hier kein Zusammenhang herstellen. Die GMD Mitarbeiterin: "Bindende Richtlinien stellen keine Versicherung gegen Computermißbrauch dar und sind im Bedarfsfall leicht zu um gehen. "

Die Gründe liegen für Frerk auf der Hand: Zum einen haben solche Bestimmungen keinerlei Einfluß auf den Computermißbrauch mittels Datenfernverarbeitung. Zum anderen besteht die Gefahr des Laissez-faire, sofern die Einhaltung der Richtlinien nicht ständig kontrolliert wird.