Hundertprozentige Sicherheit ist aus Gründen der Ökonomie nicht zu erreichen:

Nur gesicherte Daten lassen sich schützen

11.03.1983

KREFELD (pi) - Inhaber von "Datenzentren" sehen sich zunehmender Kritik, aber auch steigenden Gefahren ausgesetzt. Der Krefelder Fachjournalist Volker Heiner belegt diese These mit dem Hinweis darauf, daß die Durchdringung von Wirtschaft und Verwaltung durch die EDV - zumal bei Einsatz von Datenbanksystemen - darauf hinauslaufe, daß immer mehr und immer gewichtigere Informationen an einem einzigen Ort gespeichert und verarbeitet würden. und diese den Datenzentreninhabern erwachsende Informationsvormachtstellung diverse Probleme mit sich bringe.

In der laufenden Diskussion um Vorbeugemaßnahmen gesetzlicher und organisatorischer Art mit dem Ziel der Sicherheit in, um und mit der Datenverarbeitung läßt Heiner im folgenden Albert P. Steiner, den Geschäftsführer der auf diesem Gebiet aktiven Adia Data AG im schweizerischen Bülach, zu Wort kommen.

Um zu der notwendigen Sicherheit zu gelangen, ist ein umfassendes Systemkonzept erforderlich. Es gilt vor allem, die Gefahrenbereiche zu erkennen und zu bewerten sowie die Schwachstellen zu analysieren, um auf diese Weise zu einer sicheren Risikobeurteilung zu kommen. Sobald die Risiken erkannt und eingeschätzt sind, lassen sich die notwendigen Sicherungsmaßnahmen einleiten. Ein Sicherheitssystem muß sehr flexibel gestaltet sein, damit es ständig an neue Situationen angepaßt werden kann. Daneben ist eine permanente Überwachung und Kontrolle erforderlich .

Aufkommende Computerkriminalität

Im Laufe der letzten Jahre haben sich immer wieder neue, raffinierte und sich am Rande der Legalität bewegende Methoden zur Umgehung von Datensicherungsmaßnahmen entwickelt. Die Wirtschaftskriminalität ist zu einer ernstzunehmenden Bedrohung herangewachsen. Als eine neue Art darin, hat sich die Computerkriminalität herausgeschält; die EDV erweist sich in zunehmendem Maße als lohnendes Ziel und Werkzeug für kriminelle Handlungen. Schäden, die durch bewußte Manipulationen an Datenbeständen oder Softwareprodukten, durch Sabotageakte oder Industriespionage entstehen, bilden keinesfalls die einzigen Gefahrenquellen. Auch Irrtum und Nachlässigkeit, technische Defekte oder höhere Gewalt können zu Gefahren für die EDV werden.

Um die vielfältigen Gefahrenmomente in den Griff zu bekommen, muß ein Datensicherungssystem individuell, flexibel und zuverlässig sein; das heißt: Aus einer Risikobeurteilung und einer Kombination geeigneter Abwehrmaßnahmen entsteht eine betriebsspezifische Problemlösung. Dabei ist stets einzukalkulieren, das 100prozentige Sicherheit aus wirtschaftlicher Sicht kaum zu realisieren ist. Man muß vielmehr versuchen, mit vertretbaren Mitteln und Kosten so nahe wie möglich an die optimale Sicherheit heranzukommen.

Hierunter ist die Verhinderung jeden Mißbrauches von Daten und Datenverarbeitungsmitteln durch Gesetze und Normen mit dem Ziel der ordnungsgemäßen Datenverarbeitung (Datenschutz) und die Kombination aller Sicherungsvorkehrungen und -maßnahmen zu verstehen, um die Daten vor Verfälschung, Zerstörung und unzulässiger Bekanntgabe zu schützen sowie einen funktionellen, wirtschaftlichen und sicheren Ablauf zu garantieren (Datensicherung).

Jedes Datensicherungssystem hat zwei wichtige Voraussetzungen:

- Sicherungsbewußtsein;

- Eingliederung und direkte Unterstellung unter den Unternehmensplan und unter das Unternehmensziel.

Eine wesentliche Kontrollaufgabe ist es, die betrieblichen Funktionen auf die Erfüllung und Erreichung der Unternehmensziele zu prüfen. Diese Tätigkeit kann aber nur ausüben, wer über die notwendigen Erfahrungen und Kenntnisse und die Unterstützung seitens der Unternehmensleitung verfügt.

Betrachtet man die stetig expandierenden Einsatzgebiete der EDV, so wird schnell deutlich, daß die Zukunft der internen Revision entscheidend von der EDV-Revision beeinflußt werden wird. Mithin muß es darum gehen, die EDV-Revision aus ihrem Sonderstatus herauszuholen und in die Gesamtrevision einzugliedern. Es wird dann eine allgemeine Aufgabe der Revision sein, die EDV und EDV-gestützte Funktionen mit der persönlichen und EDV-maschinellen Abwicklung sowie deren Ergebnisse auf Wirtschaftlichkeit, Funktionalität, Ordnungsmäßigkeit und Sicherheit zu prüfen. Konkret bedeutet das, daß sich die Revision mit den Abläufen in der EDV, den eingesetzten Hard- und Softwaremitteln und allen damit zusammenhängenden Detailproblemen wie Datenspeicherung, Datensicherung, Datenmanipulation, etc. befassen muß.

Darüber hinaus sind individuelle Prüfprogramme und -verfahren zu entwickeln, welche die vorhandenen Daten nach revisionsrelevanten Kriterien auswerten. Diese Aufgabe muß von Fachleuten der EDV-Revision in Zusammenarbeit mit der herkömmlichen Revision übernommen werden. Wo liegen nun die eigentlichen Gefahren, Schwachstellen und Risiken in der Datenverarbeitung?

Wirtschaftsunternehmen wie auch Behörden müssen sich am Wirtschaftsleben und an der Öffentlichkeit orientieren, von dort Informationen empfangen und wieder abgeben. Durch die Verarbeitung von Daten entstehen neue Kombinationen und Aspekte, und damit wird die Datenverarbeitung selber zum Produzenten und Lieferanten von Informationen.

Die Aufgaben der Datenverarbeitung können nur durch eine fundierte Organisation, durch funktionelle Abläufe und durch geeignete Mittel (Hard- und Software) wahrgenommen werden. Die Daten- oder besser Informationsverarbeitung ist nicht neu. Neu sind die Möglichkeiten der Zentralisierung von Daten, der fast unbegrenzten Kombinierbarkeit der Datenfernverarbeitung, der enormen Verarbeitungsgeschwindigkeit und der Speicherung riesiger Datenmengen.

Deliktische Handlungen

Hier sind primär die Gefahren zu suchen: in der Möglichkeit der einseitigen Nutzung und Bevorzugung von Datensammlern und -verarbeitern (Datenschutz), in der Abhängigkeit von den EDV-unterstützten Funktionen und Abläufen (Datensicherung) und in dem Wert von Daten, gemessen am entsprechenden "Interesse" Dritter (Computerkriminalität).

Demgegenüber steht das Bedürfnis an einer funktionierenden Datenverarbeitung, an Aktualität und Vollständigkeit der Daten. Denn auch nicht entstandene oder entgangene Daten können zu einer Gefahr werden. Schwache Stellen in und um die EDV sind Angriffspunkte für "deliktische Handlungen" und besonders gefahrenträchtig bei betrieblichen Pannen oder Störungen. Solche Möglichkeiten entstehen oder bieten sich an

a) auf dem Informationsweg: die Erfassung, die Aufbereitung, die Speicherung, die Verarbeitung, die Aus- und Weitergabe;

b) durch die technische Entwicklung;

c) durch die zunehmende Integration in alle betrieblichen und öffentlichen Bereiche bei gleichzeitiger zentraler Konzentration der Daten an einem Ort;

d) durch die enormen Aufwendungen und Investitionen für die Entwicklung und Pflege von EDV-Verfahren sowie für Hardware und Systemsoftware.

e) durch das Fehlen einer kurz-, mittel- und langfristigen EDV-Planung, einer schrittweisen Projektentwicklung und einer konstanten Projektcontrolle;

f) durch die Einführung komplexer Systeme unter starkem Zeitdruck;

g) durch Mängel in der Organisation.

Zusammenfassend lassen sich die Risiken in drei Ebenen ansiedeln: in der Datenverarbeitung; in der Zusammenarbeit der verschiedenen betrieblichen oder verwaltungsinternen Fachbereiche; im Verkehr mit den Wirtschaftsbereichen.

Blindes Vertrauen

Das Vertrauen, das die Informationsempfänger (vielfach identisch mit den Auftraggebern in die Datenverarbeitung setzen (müssen), ist groß, wenn nicht gar blindlings. In der kurzen Spanne der Entscheidungsfindung läßt sich nämlich der Wahrheitsgehalt von (meist verdichteten) Daten nicht mehr nachvollziehen. Für die Anwender stellt sich an dieser Stelle die Frage, welche Aufwendungen und welche Anstrengungen sie speziell in ihrer Datenverarbeitung unternehmen. In jedem Fall müssen alle Beteiligten vereint mitwirken; ohne kombinierten Einsatz von Datensicherungsmaßnahmen kann keine Datensicherheit entstehen, und ohne Datensicherheit kann auch der Datenschutz nicht gewährleistet werden.

Mit anderen Worten: der Datenschutz braucht zu seiner Erfüllung die Datensicherheit als unabdingbare Voraussetzung. Die Angriffspunkte in der Datenverarbeitung sind, wie bereits beschrieben, sehr vielfältig. Im Nachhinein lassen sich Manipulationen an Datenbeständen oder Programmen nur sehr schwer ermitteln und Schadensursachen nur schwer erkennen. Besser ist es in jedem Fall, sie erst gar nicht entstehen zu lassen oder ihre Auswirkungen so klein wie möglich zu halten.

Die Erfüllung der Datensicherheit kann nur in der Prophylaxe bestehen. Auf diese Maxime baut der Gedanke der EDV-Revision. Es gilt, die Funktionen, Abläufe, Verfahren, Programme, Daten und EDV-Organisationen zu durchleuchten und auf ihre Funktionalität, Wirtschaftlichkeit, Ordnungsmäßigkeit und Sicherstellung zu überprüfen. Die getroffenen Maßnahmen sind permanent auf ihre Anwendbarkeit, Zuverlässigkeit, Aktualität und Effizienz zu kontrollieren.

Revisionsumfang und einzelne Komponenten

Kontrollen vor der Installation

Kontrollziele

- Bestellung einer Datenverarbeitungsanlage nur, wenn sie anderen Verarbeitungsformen wahrscheinlich überlegen ist.

- Auswahl geeigneter Maschinen und Dienstleistungen.

- Erstellen eines Plans für die Zeit bis zur Installation.

Organisatorische Kontrollen

Kontrollziele

- Wirksame organisatorische Kontrolle der Konzentration von Funktionen in der Abteilung Datenverarbeitung.

- Wirksame Überwachung des Ausbaus der Datenverarbeitung durch die Unternehmensführung.

Kontrollen bei der Systementwicklung

Kontrollziele

- Umstellung von Anwendungsgebieten auf automatisierte Datenverarbeitung nur, wenn daraus größere Vorteile erwachsen als aus anderen Alternativen.

- Entwicklung leistungsfähiger Systeme und Programme.

- Sicherung wirkungsvoller System- und Programmpflege.

Arbeitsablaufkontrollen

Kontrollziele

- Verbindung oder Aufdeckung unabsichtlicher Verarbeitungsfehler.

- Vorbeugung oder Aufdeckung betrügerischer Manipulation von Daten bei der Verarbeitung und Verhütung des Mißbrauchs vertraulicher Informationen .

- Schutz gegen versehentliche Zerstörung von Datenbeständen und Sicherung kontinuierlicher Verarbeitung.

Verarbeitungskontrollen

Kontrollziele

- Vollständigkeit der Daten, die von der Datenverarbeitungsanlage verarbeitet werden.

- Richtigkeit der Daten, die von der Datenverarbeitungsanlage verarbeitet werden.

- Gültigkeit aller Daten, die von der Datenverarbeitungsanlage verarbeitet werden.

Kontrollen der Dokumentation

Kontrollziele

- Vorhandensein ausreichender Dokumentation und ihre wirksame Kontrolle.

- Ausreichende Dokumentation aller Systeme.

- Ausreichende Dokumentation aller Programme.

- Ausreichende Dokumentation von Arbeitsanweisung für Maschinenbediener und Fachpersonal.

Kontrollen bei Datenverarbeitung außer Haus

Kontrollziele

- Entscheidung zugunsten von Datenverarbeitung außer Haus nur, wenn dieser Weg größere Vorteile als alle anderen Verarbeitungsalternativen

- Auswahl eines geeigneten Rechen

- Abstimmung der Aufbau- und Ablauforganisation beim Kunden und im Rechenzentrum.

- Vollständigkeit, Richtigkeit und Gültigkeit aller Daten, die verarbeitet werden.

- Sicherung und Schutz von Belegen, Datenträgern und Ausgabelisten des Kunden. Quelle: Adia Data