computerwoche.de

Archiv

Grundsätzliche Anforderungen an die Kontrolle der Informationsverarbeitung (Teil 3):

Mikrocomputer im Fachbereich erfordern neues Sicherheitsdenken

29.03.1985

Mikrocomputer tauchen in den Fachbereichen immer häufiger auf. Die Sammlung wichtiger Unternehmensdaten an den Arbeitsplätzen stellt Revision und Controlling beispielsweise hinsichtlich Datenschutz und Datensicherheit vor neue Anforderungen. Dr. Harald Wiedmann* versucht, Antworten auf die zahlreichen offenen Fragen zu finden.

Eingabekontrollen

Kontrolle der Vollständigkeit der Dateneingabe

-Besondere Risiken

- Dezentrale Datenerfassung durch EDV-technisch ungenügend geschultes Personal (unvollständige oder mehrfache Erfassung).

- Keine oder ungenügende Eingabeberechtigung.

- Unzureichende Protokollierung der erfaßten Eingaben (sich überschneidende eventuell widersprüchliche Eingaben unterschiedlicher Anwender werden nicht erkannt}.

- Begrenztes Verständnis der Anwender über die Datenverarbeitungsabläufe (Jobablaufsteuerung durch die Anwender).

- Mangelnde Funktionstrennung erzwingt keine Abstimmungskontrolle .

- Konsequenzen für das Kontroll verfahren

- Eingabeberechtigungskontrolle durch

- Schlösser

- Magnetstreifen oder -karten

- Benutzercode - Kennworte

- Beschränkung auf bestimmte Systeme oder Menüs.

- Unabhängige Kontrollstelle zur Überprüfung der Systemkontrolle auf

- Person

- Terminal - Uhrzeit

- Fehlernachrichten

- Zugriffskontroll-Logs

- Maschinelle Protokollierung aller versuchten unzulässigen Zugriffe.

- Organisation und Kontrolle der Benutzercodes und Kennworte etc.

- Manuelle Eingabesummenkontrolle (Stapelkontrolle, Journalkontrollen etc.).

Prüfung der Richtigkeit der Eingabedaten

- Besondere Risiken

- Unzureichende Prüfroutinen wegen

- des EDV-technisch ungeschulten Personals

- zu einfach strukturierter Anwendungssoftware

- mangelhaften oder fehlerhaften Prüfungen gegen Stammdaten

- fehlender Plausibilitätsprüfungen.

- Ungenügend strukturierte Eingabemasken erschweren die Erkennung beziehungsweise Korrektur von Eingabefehlern.

- Möglichkeiten der Software, angezeigte Fehler nicht korrigieren zu müssen und fehlerhafte Daten zu akzeptieren.

- Mangelnde Absicherung gegen

- unberechtigte Zugriffe

- falsche Datei-/Programmversionen

- Systemausfälle.

- Konsequenzen für das Kontrollverfahren

- Aufstellung von Minimum-Standards für die Eingabedatenprüfung.

- Prüfung aller Softwarepakete gegen diese Standardregelung.

- Automatischer Ausdruck aller akzeptierten, aber fehlerhafen Eingabedaten (Fehlerlisten).

- Kontrolle aller Fehlerlisten gegen die Korrektureingabe.

Kontrolle über die Korrektur von Eingabefehlern

- Besondere-Risiken

- Als fehlerhaft angezeigte Daten werden nicht oder falsch korrigiert und durch Benutzereingriff als richtig akzeptiert.

- Abgewiesene fehlerhafte Eingaben werden nicht protokolliert.

- Automatische Fehlerdateien und Korrekturroutinen fehlen in der Software.

- Fehlerlisten werden nicht kontrolliert, ob und wann die fehlerhaften Transaktionen korrigiert werden.

- Konsequenzen für das Kontroll verfahren

- Aufstellung einer organisatorischen Regelung über die Korrekturkontrolle von Eingabefehlern.

- Programmierung und Einführung von automatischen Korrekturroutinen

- Fehlerdateien

- Abstimmprotokolle der fehlerhaften Daten.

- Manuelle Kontrolle der Korrektur von Eingabefehlern (Kontroll-Logs) .

Verarbeitungskontrollen

- Besondere-Risiken

- Bei Systemausfällen gehen Transaktionen verloren oder werden nicht vollständig rekonstruiert.

- Fehlende Satzzählungen und Abstimmung der verarbeiteten Transaktionen.

- Verwendung falscher Programmverfahren oder falscher Dateien.

- Veränderung der Stammdaten während der Verarbeitung.

- Konsequenzen für das Kontroll-verfahren

- Einrichtung technisch wirkungsvoller Wiederanlaufverfahren nach Systemausfällen.

- Einrichtung von Satzzählungs- und Abstimmungsroutinen innerhalb eines Anwendungssystems.

- Genaue Beschriftung und Kontrolle aller Dateien (Platten, Disketten etc.).

- Automatisch prüfbare Kennsätze.

- Einrichtung und laufende Kontrolle von Verarbeitungsprotokollen.

Ausgabekontrollen und Kontrolle des Zugriffs zu Dateien

- Besondere Risiken

- Unberechtigte Informationsauswertung.

- Mangelnde Abstimmung/ Überprüfung der Übereinstimmung von Eingabe- und Ausgabedaten.

- Unzureichende Nachprüfbarkeit der Kontenfortschreibung (Buchungen) durch Rückverfolgung über Buchungsjournale, Eingabeprotokolle bis hin zum Ursprungsbeleg.

- Dies kann eine Einschränkung der formellen GOB bedeuten.

- Unzureichende Überprüfbarkeit der Richtigkeit und Vollständigkeit von per Programm (beleglos) erzeugten Buchungen.

- Nicht nachvollziehbare Änderung mit Hilfe von Hilfsprogrammen (DFÜ etc.).

- Verwendung von Disketten als Speichermedien erleichtert physischen Zugriff und Auswertung der Daten.

- Verarbeitungsfehler können durch die Verwendung falscher Dateien beziehungsweise Dateiversion entstehen (bis hin zum Verlust von Datenbeständen).

- Veränderungen können unbemerkt (ungenehmigt) realisiert werden (inklusive eventueller Löschung gültiger Datensätze).

- Konsequenzen für das Kontrollverfahren

- Regelmäßige Überprüfung/ Auswertung der Verarbeitungs-/Zugriffs-Logs.

- Kontrolle der Übereinstimmung von Ausgabe- und Eingabedaten durch eine unabhängige Stelle (Revision).

- Die Gestaltung der Ordnungsbegriffe in den Listen muß zwingend dergestalt organisiert sein, daß von jeder Verdichtungsstufe eine Rückverfolgung auf den Einzelfall möglich ist.

- Auch per Programm erzeugte Buchungen müssen in entsprechenden Journalen dokumentiert werden.

- Buchungsprotokolle sollten Summen über Kontrollfelder sowie die Ergebnisse einer maschinell durchgeführten Abstimmung (Run-to-run-Fortschreibung) enthalten.

- Organisatorische Absicherung möglich durch

- Kontrolle des physischen Zugriffs (Zugriffsberechtigung)

- Eindeutige Marketierung durch externe Labels

- Manuelle Führung einer Disketten-Bibliothek.

- Hilfs-(DFÜ-)Routinen zur Dateiverwaltung sollten nicht ständig am System verfügbar sein oder nur für bestimmte Anwender (Password kontrolliert).

Andere Mikro-Einsatzarten

a) Einseitige Mikro-Mainframe-Verbindung

Bei dieser auch als "Downloading" bezeichneten Einsatzart findet ein Transfer von Daten, Dateien oder Programmen immer nur in einer Richtung vom Host-Rechner zum Mikrocomputer hin statt. Organisatorisch könnte dies sowohl über eine direkte Leistungsverbindung als auch über einen Austausch von Datenträgern geschehen.

In bestimmen Abständen erfolgt ein File-Transfer, zum Beispiel in Form von Spiegel-Dateien, um der Fachabteilung zentrale Datenbestände zum Beispiel für Abfragen oder aber spezielle abteilungsspezifische Sonderauswertungen zur Verfügung zu stellen. Die anzuwendenden Kontrollmaßnahmen beschränken sich hier in erster Linie auf die Gewährleistung der Einhaltung von Datenschutzvorschriften sowie auf Maßnahmen des Daten-Zugriffsschutzes. Insbesondere sollte darauf geachtet werden, daß Kopien von transferierten Daten nur kontrolliert vorgenommen werden können.

b) Zweiseitige Mikro-Mainframe-Verbindung

Diese auch als "Uploading" bezeichnete Einsatzform läßt einen Transfer von Daten, Dateien und Programmen in beide Richtungen zu. Unabhänig von meistens erheblichen Kompatibilitätsproblemen aufgrund systemtechnischer und softwaretechnischer Unverträglichkeiten verlangt diese Verarbeitungsform ein hohes Niveau an Kontrollmaßnahmen.

Dabei basieren die meisten Verfahren darauf, daß entweder der kommunizierende Arbeitsplatzrechner oder betreffende Benutzer sich identifizieren muß. In Abhängigkeit vom Schutzbedürfnis der Daten kann es erforderlich sein, daß durch weitere flankierende Maßnahmen der Kontrollgrad noch weiter verbessert wird. Zu denken ist dabei unter anderem an Installationen in gesicherten, abschließbaren Räumen, wobei der Host Abrufe sensitiver Informationen nur von Mikrocomputern aus gesicherten Bereichen zuläßt.

c) Mikro-lnhouse-Netzwerke

Hiermit werden mehrere Installationen in den Fachabteilungen zum Beispiel innerhalb eines Bürokommunikationssystems untereinander vernetzt. Diese Einsatzform setzt ein umfassendes Informationskonzept voraus, das die unterschiedlichen Insellösungen zu einem einheitlichen Mikro-Anwendungssystem verbindet.

Aspekte der Wirtschaftlichkeit und Verhältnismäßigkeit von Kontrollrichtlinien für den Mikro-Einsatz

Während man die Mainframes heute als allgemein gut abgesichert einstufen kann, stellen die Arbeitsplatzrechner derzeit wohl noch das schwächste Glied innerhalb der Kontrollkette dar. Mit der Ausdehnung von EDV-Funktionen in die Fachabteilungen hinein sowie der bereichsübergreifenden Vernetzung von Mikrocomputer-Arbeitsplätzen untereinander und Zugriffsmöglichkeiten auf zentrale Datenbanken entstehen sowohl neue als auch zusätzliche Schnittstellen, die zu kontrollieren sind. Das Kontrollfeld für die EDV-Prüfung wird damit ausgedehnt. Der zu erwartende höhere Aufwand für Kontroll- und Sicherungsmaßnahmen sollte sowohl mit den abzudeckenden Risikoereignissen als auch den erzielbaren Resultaten abgestimmt werden. Kontroll- und Sicherungssysteme für den Mikro-Einsatz werden damit gleichzeitig zu einem Optimierungsproblem von Aufwand und Wirksamkeit der Kontrollrichtlinien.

Es gibt eine Vielzahl von Kontroll- und Sicherungsmaßnahmen, über die Ordnungsmäßigkeit und Sicherheit der Mikro-Anwendungen abgedeckt werden können. Um eine geeignete Auswahl und Dosierung vornehmen zu können, müssen zuvor die einzelnen Risikobereiche definiert und hierfür zu erwartende Fehlerwahrscheinlichkeiten geschätzt werden. Das Ergebnis sollte zusätzlich mit dem Wert des zu schützenden/kontrollierenden Tatbestandes gewichtet werden.

Die derzeit auf dem Markt befindlichen Arbeitsplatzsysteme werden für die nächste Zukunft noch entscheidend leistungsfähiger, kompakter, ergonomischer, arbeitsplatzfreundlicher und nicht zuletzt auch noch kostengünstiger werden. Den Mikros steht ein Einsatzfeld von mehreren Millionen Arbeitsplätzen offen. Das "Büro der Zukunft" steht erst ganz am Anfang.

Während ein Großteil der Arbeitsplatzrechner heute noch unabhängig vom Zentralrechner oder mit sehr eingeschränkter Verbindung arbeiten, werden diese zukünftig mehr und mehr interaktiven Zugriff auf die Bestände der zentralen Datenbanken erhalten. Klassische EDV-Anwendungsgebiete, wie zum Beispiel Finanzbuchhaltung oder Lohn/ Gehalt werden in der nächsten Zeit zumindest in den größeren Firmen eine Domäne des Zentralrechners bleiben.

Die zentralen Großrechner dürften sich mehr und mehr auf die reine Verwaltung der zentralen Datenbestände sowie die Abwicklung der reinen Batch-Anwendungen beschränken. Die eigentliche Verarbeitung dieser Daten dürfte mehr und mehr auf die direkt an die Host gekoppelten dezentralen Systeme übergehen.

Solange sich der Mikro-Einsatz ausschließlich auf abteilungsspezifische Aufgabenstellungen beschränkt und keine Datenschutzvorschriften oder zentralen Unternehmensdaten berührt werden, sollte man unter dem Gesichtspunkt der Kontrolle den Fachabteilungen kein zu enges Korsett aufzwängen, damit nicht wieder neue Abhängigkeiten aufgebaut und produktive Ansätze zur Eigeninitiative nicht unnötig abgeblockt werden. Jedoch gelten für den Einsatz von Arbeitsplatzsystemen gleiche Kontrollrichtlinien wie für die übrige DV-Welt immer dann, wenn dadurch zentrale Unternehmensdaten verarbeitet werden. Auch sollte nicht vergessen werden, daß mit dem Vordringen der Mikrocomputer gleichzeitig auch eine erhebliche Anhebung und Streuung des EDV-Sachverstandes in den Fachabteilungen verbunden ist.

AU: