Computermißbrauch und Programm-Manipulationen werden bislang nicht ausreichend beherrscht. Folge: eine erhöhte "Verletzlichkeit" der Informationsgesellschaft. Wirtschaftlich wichtige Programme reizen nämlich zu immer neuen Formen der "Computerkriminalität". Die eigentlichen Risiken liegen indes bei den PCs: sie müssen verstärkt gegen "Viren ", "Wanzen" und "Würmer" geschützt werden.

Die schnelle Ausbreitung der Informations- und Kommunikationstechniken bringt neben vielen betrieblichen Verbesserungen auch eine erhöhte "Verletzlichkeit" beim Auftreten von Fehlern oder gar bei Ausfällen ganzer Systeme mit sich. Während dabei Probleme der Hardware noch beherrschbar sind, kann man Notfallmaßnahmen bei Fehlern in Programmen sowie bei deren Manipulation zumeist: erheblich schlechter angehen (siehe CW Nr. 15 vom 8. April 1988, Seite 12).

Softwaremißbrauch ist kaum aufzuklären ist kaum aufzuklären

Hinzureichende Ausbildung der Strafverfolger, schwer überschaubare Programme sowie der verständliche Wunsch der betroffenen Unternehmen Betriebsgeheimnisse nicht preiszugeben (Verlust an öffentlicher Glaubwürdigkeit), behindern oft die Aufklärung. Angesichts der vielfältigen Risiken der Software - "Wanzen", "Viren", "Trojanische Pferde", "Würmer", "Zeit- und Logikbomben" - sollten vor allem PC-Benutzer verstärkt funktionssichernde Organisationsformen anwenden.

Mißbrauch von Computern und Programmen wird in unterschiedlichen Spielarten in den USA bereits ..t langem beobachtet und systematisch ausgewertet. So hat Donn Parker am Stanford Research Institute seit den 60er Jahren über 2000 Fälle von "Computermißbrauch" dokumentiert, angefangen mit "Computer-Vandalismus" (Sprengstoffanschläge von außen, Schüsse wütender Mitarbeiter auf Computer und Peripheriegeräte) bis zum Mißbrauch von Software (von gut verschleierten Falschbuchungen bis zu betrügerischen Manipulationen an Programmen).

Es handelt sich längst nicht mehr um Bagatellen

Längst setzt auch die internationale "organisierte Kriminalität" Rechner für ihre Zwecke ein, und man muß heute davon ausgehen, daß bei kriminellen Transaktionen großen Maßstabes (wie dem Finanzbetrug bei VW) stets auch Computer eine wichtige Rolle spielen. Solche Straftaten werden von DV-kundigen Tätern oft derart verschleiert - etwa durch Löschen aller "Fußspuren" - daß eine spätere Aufklärung erheblich erschwert wird.

Gelegentlich gelingt immerhin gut ausgerüsteten und beratenen Strafverfolgungsbehörden ein spektakulärer Coup, weil auch das kriminelle Bewußtsein an Grenzen der Phantasie und Kompetenz stößt. So ist kürzlich in England eine internationale Drogen-Schmuggler-Bande ausgehoben worden, die ihre kompletten Organisationspläne sowie Lieferanten- und Kundendateien in einem portablen Computer hielt.

Während die Gangster nach einem Löschbefehl die Daten vernichtet wähnten, gelang es der Kriminalpolizei, die Dateien wieder lesbar zu machen. Die Täter wußten nämlich nicht, daß der "gemeine" Löschbefehl nur die Verweise im Inhaltsverzeichnis löscht, jedoch die Daten unbeschädigt läßt - was übrigens auch beim angeblichen Löschen personenbezogener Daten immer wieder übersehen wird.

Das Wissen um kriminelle Spielarten und Computermißbrauch wächst hierzulande nur langsam: Bei jedem spektakulären Ereignis lernen die erst noch im Aufbau befindlichen Kommissariate für Computerkriminalität hinzu. Immerhin haben sich einige hauptstädtische Kommissariate inzwischen, nachdem man anfänglich kaum die beschlagnahmten Geräte konfigurieren und die Dateiverzeichnisse lesen konnte, beträchtliche Fachkenntnisse angeeignet. Dagegen haben Journalisten der Tagespresse noch erheblichen Lernbedarf.

Die strafrechtliche Bewertung von Computerdelikten bereitete lange Probleme, weil etwa "Sachbeschädigung" (°303 StGB) die Beschädigung oder Zerstörung "fremder" Sachen" ahndet, wobei Juristen die Begriffe "Daten" und "Programme" offenbar nicht als "Sache" einordnen konnten. Mit dem Zweiten Gesetz zur Bekämpfung der Wirtschaftskriminalität (vom 15. Mai 1985) hat der Deutsche Bundestag im Strafgesetzbuch (StGB) inzwischen spezifische Straftatbestände der Computerkriminalität beschrieben:

°202a StGB stellt das "Ausspähen von Daten", sofern diese "elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden" (Absatz 2), unter Strafe:

"Wer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft" (Absatz 1).

°303a StGB stellt die Datenveränderung" (sowie auch, in Absatz 2, den Versuch dazu) unter Strafe:

"Wer rechtswidrig Daten (°202a Absatz 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft" (Absatz 1).

°303b StGB bestraft die "Computersabotage" (wie auch, in Absatz 2, den Versuch dazu):

"Wer eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, dadurch stört, daß er

1. eine Tat nach °303a Abs. 1 begeht oder

2. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft."

Schließlich wurde der "klassische" Betrug (°263 StGB) um den Tatbestand des "Computerbetruges" erweitert (°263a):

"Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, daß er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflußt, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft."

Bei allem "Fortschritt" sind aber einige Mängel an diesen Vorschriften zu erkennen. Sind die Richter kompetent genug, sich bei der Bewertung einander eventuell widersprechender "Expertisen" ein eigenes Bild von den Softwareproblemen zu bilden? Immerhin war vor einiger Zeit ein (bayerisches) Gericht nicht in der Lage, einen "vorsorglich" in das "Guruss"-Programm eingebauten Löschmechanismus (eine "Zeitbombe") rechtzeitig zu entdecken und die Münchener Bundeswehrhochschule vor der Zerstörung des Programmes zu schützen.

Auch die Anwendbarkeit des °202a, der die Voraussetzung für die °303a und °303b ist, erscheint zweifelhaft, wenn man jüngste Fälle analysiert. Kein Gericht hat bisher interpretiert, ob die Paßwort-Sicherungen der NASA- und ähnlicher technisch-wissenschaftlicher Rechner, die 1987 ein spektakuläres Eindringen bisher unbekannter deutscher Hacker nicht verhindern konnten, eine "besondere Sicherung" darstellt.

Angesichts der relativ einfachen Mechanismen, mit denen die Hacker in die Systeme eindrangen, kommen erhebliche Zweifel daran auf, ob die auf dem °202a fußenden, massiven polizeilichen Aktionen (Hausdurchsuchungen, Beschlagnahmungen) beim Hamburger Computer Chaos Club einer richterlichen Überprüfung standhalten können. Überdies erscheint fraglich, ob deutsche Strafbestimmungen auf das Eindringen in ausländische Rechner anwendbar sind.

Zuordnung der Straftaten ist mühselige Kleinarbeit

Sicherlich muß man den Computer-Kriminalkommissaren wünschen, daß sie ähnlich entschieden Computerkriminelle in Unternehmen und Behörden verfolgen, die Software und Daten verfälschen, Programme stehlen und Daten unbefugt weitergeben. Man kann leicht vorhersagen, daß vor allem die Zuordnung von erkannten Straftaten zu den verursachenden Personen bei komplexen Softwaresystemen oft eine Sisyphusarbeit sein wird. Bei ihrer Arbeit werden Justiz und Strafverfolgungsbehörden jedenfalls noch lange auf fachkundige Unterstützung angewiesen bleiben.

Die Vorbeugung gegen Computerkriminalität sowie insbesondere der Schutz vor Softwarefehlern und "Viren" verlangt angesichts der Schwierigkeiten, wenn die Aufklärung "post mortem" geschieht, erhöhte Aufmerksamkeit. Große Anwender bemühen sich seit langem, die Qualität der Software und die Funktionssicherheit des DV-Betriebes sicherzustellen. Vor allem die Protokollierung aller Aufrufe der für die DV-Produktion wichtigen Programme und Daten ermöglicht das spätere Erkennen mißbräuchlicher Nutzung ebenso wie die Rekonstruktion von Fehlersituationen .

Die für den sicheren Betrieb zuständige Administration überwacht auch die Vergabe und Einhaltung der Benutzungsrechte. Da seit langem bekannt ist, daß Paßwörter ein höchst unzureichender Schutz für Daten und Programme sind, müssen besondere Maßnahmen - etwa: regelmäßiger Wechsel der Paßwörter Codierung, zusätzliche Kontrollprogramme (Access Control Facilities) - ergriffen werden.

Produktionsprogramme müssen getrennt ablaufen

Vor allem die Abschottung der Produktionsprogramme von Test- und Entwicklungsaktivitäten bedarf sorgfältiger Planung und Überwachung. Anders als bei Produktionsprogrammen, die nicht verändert werden und damit einen automatisch überprüfbaren Status haben, werden Änderungen im Entwicklungs- und Testbetrieb häufig und von wechselnden Personen durchgeführt: Eine automatische Kontrolle, ob dabei kriminelle Nebenhandlungen eingebaut werden, ist heutzutage kaum möglich.

Eine völlige Abschottung der Produktionsumgebung von den Testumgebungen ist erforderlich, etwa um eine Veränderung der Produktionsprogramme - manuell durch ungetreue Programmierer oder automatisch durch Virenübertragung - von vornherein zu verhindern. Während sich heute nur wenige große Unternehmen abgetrennte Test-/Entwicklungs-Rechner leisten, gewährleisten virtuelle Betriebssysteme (IBM: VM/MVS, Siemens: BS2000) die Abschottung der Test- und Produktionsumgebungen in hinreichendem Maße.

Besondere Vorsorge- und Kontrollmaßnahmen sind noch beim Übergang eines Programmes aus der Testin die Produktionsumgebung zu ergreifen: Eine eigene Mannschaft prüft bei der "EDV-Revision", inwieweit außer den zugesicherten Aufgaben auch die Sicherheitsbestimmungen eingehalten werden.

Bei alledem wird als gegeben vorausgesetzt, daß die von bekannten Herstellern gelieferte Software - Betriebssysteme, Übersetzer, Datenbanken, DFÜ-Software - sicher und fehlerarm funktioniert. Zwar finden sich selbst in weltweit benutzten Systemprogrammen immer wieder Fehler; die Anwender müssen aber annehmen, daß Korrekturen alsbald nach Erkennen solcher Fehler vom Hersteller übermittelt werden.

Wenn auch Fehlerkorrekturen schon früher bisweilen auf sich warten ließen, ist doch das Versagen der DEC-Organisation 1987 bei der Behebung eines gravierenden Systemfehlers auch hinsichtlich der Folgen bisher ohne Beispiel. Das VAX-Betriebssystem VMS, dem (in einem früheren Release) das Department of Defence einen hohen Sicherheitsstandard bescheinigte, enthielt in den Versionen 4.4/4.5 einen gravierenden Fehler bei der Prüfung von Zugangserlaubnissen. Durch einen vergessenen Close-Befehl erhielten Benutzer eine Zugangsberechtigung, die ihnen nicht zustand. Dieser Fehler, der spätestens Anfang 1987 bekannt war, ist von der DEC-Organisation so schleppend behoben worden, daß VAX-Benutzer im Frühjahr per Electronic Mail selbst nach Systemkorrekturen suchten. Vermutlich auf diesem Wege haben Hacker von der "Systemschwäche" erfahren und dann über ein Heidelberger Rechenzentrum den Einstieg in die NASA- und andere Rechner gestartet, den sogenannten "NASA-Coup". Erst ab Mai 1987 hat DEC alle VAX-Benutzer mit zusätzlichen Schutzinformationen versorgt. DEC hat aus seinen Fehlern inzwischen gelernt und verfolgt seit Januar 1988 eine neue Sicherheitsphilosophie. Jüngst ist sogar ein Sicherheits-Update verteilt worden, bevor irgend ein Benutzer überhaupt ein "Security-Hole" bemerkt hatte.

Bei geeigneten organisatorischen Maßnahmen kann man auch Softwarerisiken in größeren Rechnern in den Griff bekommen. Verglichen damit liegen die eigentlichen Risiken heute bei den Personal Computern, die auch in großen Unternehmen sich unaufhaltsam ausbreiten. Wesentliche der heute üblichen Benutzungsweisen bieten geradezu ideale Grundlagen für risikobehaftetes Verhalten:

Wenn Software aus unbekannter Quelle (vulgo: Public Domain) geladen und gestartet wird, können außer den erwarteten Handlungen auch mannigfache Nebenwirkungen, bis zum Löschen von Dateien, verursacht werden. Alle heute bekannten "Viren", harmlos oder bösartig (wie jüngst ein die COM-Files infizierendes PC/DOS-Virus) benutzen diesen "Infektionsweg".

Paßwörter alleine reichen nicht aus

Grundsätzlich sollten wichtige Programme so auf schreibgeschützten Datenträgern gesichert sein, daß auch einer festgestellten Veränderung die "Ur-Versionen" wieder geladen werden können. Dazu sollten mindestens zwei Backup-Kopien, jeweils an verschiedenen Orten, gelagert werden.

Die Zugangskontrolle mittels Paßworten schützt die gespeicherten Programme und Daten auf PCs keineswegs; zusätzliche Kontrollprogramme, selbst möglichst gegen Veränderung (im ROM) "gehärtet", erhöhen den Schutz signifikant. Die Speicherung wichtiger Programme in Read-Only-Speichern (Worm, CD-ROM) bietet hier künftig ebenfalls verbesserte Sicherheit.

Automatische Protokollierung aller Handlungen findet man heute nur auf wenigen PCs. Während Benutzer jede Überprüfbarkeit ihrer "persönlichen" PC-Arbeit als Mißtrauen interpretieren, könnten PCs, in denen wichtige Unternehmensdaten gespeichert und verarbeitet werden, ideale Instrumente krimineller Handlungen gegen das Unternehmen und dessen Kunden sein. Einige Konzerne koppeln daher die PCs an größere Maschinen, die die benötigten Daten und Programme in die Arbeitsplatzrechner laden beziehungsweise aus diesen abrufen. Floppy-Disk-Laufwerke sind in solchen PCs nicht vorhanden, damit Datenklau und Risiken durch "mitgebrachte" Spielprogramme vermieden werden.

Künftig könnten auch namhafte Softwarehersteller unfreiwillig Überträger von Risiken werden, wenn die folgende, noch harmlose, Geschichte Schule macht: Ende Februar 1988 hatte ein kanadisches MacIntosh-Magazin zu Demonstrationszwecken ein Spielprogramm ("Mr. Potatoe Head") mit einem Virus "geimpft", das am 2. März, dem "Geburtstag" des MacIntosh, einen Glückwunsch auf dem Bildschirm ausstrahlte.

Über den Präsidenten eines Trainingsprogramm-Verlags, der seine gesamte Software bei einem einmaligen Probestart infizierte, gelangte dieser Virus in die Freehand-Programme des kanadischen Softwarehauses Aldus, wo die Kopiermaschinen drei Tage lang die infizierte Software reproduzierten. Aldus ist Softwarelieferant von Ashton-Tate, Lotus und Microsoft, die nach anfänglichem Zögern versicherten, ihre Programme seien nicht infiziert. Es liegt auf der Hand, daß große Hersteller zusätzliche Maßnahmen ergreifen müssen, um eine Veränderung ihrer Software - auch durch ungetreue Mitarbeiter - von vornherein zu verhindern.

So abschreckend die Diskussion um Risiken und sichere Informationsverarbeitung auch sein mag: Anwender haben einen Anspruch darauf, daß Programme die versprochenen Dienstleistungen fehlerfrei und ohne Nebenwirkungen erbringen. Wenn die heute oft unbefriedigende Qualität der Software nicht erheblich verbessert wird und die mannigfachen Risiken nicht beherrscht werden, könnte die wachsende Verbreitung der Informations- und Kommunikationstechniken zu einer. "Verletzlichkeit der Informationsgesellschaft" führen: Solche Risiken müssen Systemtechniker und Anwender vorbeugend vermeiden helfen.

Hersteller und Softwarehäuser sollten ihre Software zu einem Markenprodukt entwickeln, mit einer vertragsrechtlichen Gewährleistung der verläßlich, fehlerarm und sicher erbrachten Dienstleistungen. Bei garantierter Qualität werden viele Anwender die eingebauten flexiblen Mechanismen gegen kriminelles Handeln - auch Raubkopieren - verstehen und mittragen. Bis dahin bleibt noch viel zu tun . . .

*Prof. Dr. Klaus Brunnstein ist Professor für Anwendungen und Informatik an der Universität Hamburg.