PC-Einsatz setzt neue Akzente für Datenschutz und -sicherheit

02.12.1983

Prof. Dr. Reinhard Vossbein Wuppertal

Das Vordringen der elektronischen Datenverarbeitung mit Computerinstallationszahlen von über 300 000 installierten Anlagen bei Standard-, Mini- und Mikrocomputern setzt in bezug auf die Datensicherungs- und Datenschutzproblematik neue Dimensionen. Obwohl exakte Zahlen über Installation nach Branche und Größenklasse für 1983 noch nicht vorliegen, läßt sich feststellen, daß insbesondere die Mini- und Mikrocomputer mit ihrem Vordringen in Klein- und Mittelunternehmen sowie dezentrale und regional-dezentrale Einheiten von Großunternehmen die Datensicherheitsproblematik (Datenschutz und Datensicherung) aus dem Bereich derjenigen Größenklassen herausträgt, die laut Bundesdatenschutzgesetz (BDSG) zur Ernennung eines Datenschutzbeauftragten (DSB) verpflichtet sind.

Weiterhin finden Veränderungen in der Softwarestruktur statt. Während Standardcomputer und Großanlagen jeder Art die Erstellung individueller Software rechtfertigen und Minicomputer immerhin noch herstellerspezifische Software mit eindeutiger Verantwortung für die Erstellung der Software aufweisen konnten, wird die Software für Mikrocomputer von vielen Herstellern bei verschiedenen Softwarehäusern zusammengekauft, dem Prozeß beziehungsweise der Anlage angepaßt, wobei der Aspekt der Softwarekosten für die Anpassung auf seiten des Herstellers sowie der Beschaffungskosten auf seiten des Users von größter Bedeutung sind. Hierbei werden Datensicherheitsprobleme häufig deswegen vernachlässigt, weil eine einheitliche strukturierte Software im Sinne eines Softwaresystems nicht vorhanden ist. Vielmehr gibt es eine Anzahl von zum Teil nur über das Betriebssystem kompatiblen Programmen und Dateien, für die ein übergreifendes Sicherungssystem nicht erstellt wurde.

Benutzerfreundliche, aber wenig gesicherte Systeme

Aus dem Vordringen der Computerisierung in Klein-und Mittelunternehmen ergibt sich die Konsequenz, daß zunehmend mehr Computerlaien mit hoch benutzerfreundlichen, aber nur wenig gesicherten Systemen arbeiten. Die Bediener sind sehr häufig nicht in der Lage, Softwarestrukturen zu verstehen, noch weniger aber Eingriffe in die Struktur zu nehmen. Hierdurch sind Datensicherheitsverletzungen aufgrund von fehlender fachlicher Kompetenz oder Fahrlässigkeit durchaus möglich. Daß darüber hinaus so beschaffene Systeme mühelos von Fachleuten "geknackt" werden können, ergibt sich von selbst .

Durch die veränderte Userstruktur sind weiterhin einige der im BDSG aufgezählten Sicherheitsmaßnahmen, die geeignet wären, die genannten Verletzungsmöglichkeiten zu kompensieren, nicht praktikabel. So ist in Klein- und Mittelunternehmen eine bauliche Sicherung kaum sinnvoll durchführbar, andere Maßnahmen wie Zugangskontrolle durch Ausweise oder noch kompliziertere Systeme wie Stimmerkennung, Fingerabdrucksysteme oder andere völlig indiskutabel.

Da das BDSG einen "professionellen" Beauftragten in Form des DSB erst ab Vorliegen bestimmter DV-spezifischer Merkmale vorschreibt, werden die Datensicherheitsproblematiken - sofern sie frühzeitig genug erkannt werden -von ungeschulten, wenig vorbereiteten und die Bedeutung dieser Maßnahmen unterschätzenden Mitarbeitern wahrgenommen. Durch mangelnde Spezialisierung und Funktionshäufung wird in Klein- und Mittelunternehmen häufig eine Führungskraft, die hoch ausgelastet ist diese Aufgaben "nebenbei" wahrnehmen und daher Datensicherheitsprüfungen und- systemverbesserungen kaum ernsthaft zu ihren Aufgaben zählen.

Darüber hinaus weist das BSDC einige Ungereimtheiten auf, die insbesondere für Klein- und Mittelunternehmen besonders schwerwiegend sind: So wird es einem Unternehmer kaum einleuchten, daß die gleichen personenbezogenen lnformafionen über zum Beispiel Kunden, die er bisher auf einer Karteikarte "speicherte", durch Übernahme auf ein Textverarbeitungssystem plötzlich Mitteilungspflichten und Schutzmaßnahmen verursachen sollen, die vordem nicht existierten. Wenn der Unternehmer die Datensicherheitsproblematik erkennt wird er deutlich betriebsindividuellen Sicherheitsansprüchen eine höhere Priorität einräumen als den durch das BDSG geschützten Dateien: Ihm wird die Notwendigkeit zur Mitteilungspflicht an Betroffene im Vergleich zur Notwendigkeit der überbetrieblichen Geheimhaltung von Kunden- oder Finanzinformationen vergleichsweise trivial erscheinen. Das betriebliche Schutzbedürfnis wird hier möglicherweise höher eingestuft als das öffentliche.

Diese Problematik hat die GDD (Gesellschaft für Datenschutz und -sicherung) bewogen, in der nachfolgenden Studie die Bedeutungseinschätzung von Datensicherheitsproblemen durch Klein- und Mittelunternehmen untersuchen zu lassen. Im Hinblick auf die Vielschichtigkeit des Problems und den Umfang seiner Teile war es nicht möglich, eine erschöpfende Antwort auf alle hier angeschnittenen Fragen zu geben. Die wesentlichen Ergebnisse können wie folgt zusammenfassend dargestellt werden :

1. Zur Darstellung des gesagten Problems war es notwendig, von zirka neun Dateien auszugehen, von denen nur zwei unmittelbar und direkt in die Kompetenz des BDSC fielen. Das Sicherheitsproblem für die anderen ergibt sich aus betriebsindividuellen sowie handels- und steuerrechtlichen Forderungen (eine Aufzählung erfolgt unter Punkt 3).

2. Im Hinblick auf den Prozeß der Computerisierung und die zunehmende Marktdurchdringung erschien es notwendig, die Datensicherheitsproblematik unter Berücksichtigung der Einflußfaktoren Betriebsgröße, Automatisierungsrad (Anzahl der über Computer abgewickelten Aufgaben) und Einsatzdauer (Zeitraum der Nutzung eines Computers ) zu sehen.

3. Die Dateien Lohn- und (..)halts-, Personal- und Finanzzahlendateien wurden in ihrer Bedeutung im Hinblick auf das (..)enschutzproblem von den Befragten sehr hoch eingeschätzt. Die Lager-, Produktions- und Lieferantendateien wurden im Schutzbedürfnis niedriger eingestuft. Ein mittleres Schutzbedürfnis hatten die Forschungs- und Entwicklungs- sowie Kunden- und Umsatzdateien.

4. Die Bedeutungseinschätzung des Datenschutzes wächst mit dem Automatisierungsgrad. Unternehmensgröße und Einsatzdauer sind tendenziell im Hinblick auf die Bedeutungseinschätzung unwesentlich.

5. Die Datensicherung wurde generell höher als der Datenschutz eingeschätzt. Die einzelnen Dateien wiesen darüber hinaus in der Bedeutungseinschätzung eine geringere Streuung um den jeweiligen Mittelwert aus. Die Finanz-, Lohn- und Gehalts-, Personal und Kundendateien wurden in ihrer Bedeutung gleich auf hohem Niveau eingeschätzt.

6. Die Bedeutungseinschätzung der Datensicherung wächst mit der Einsatzdauer des Computers, deutlich aber mit einer Zunahme des Automatisierungsgrades.

7. Die Hauptsicherungsmaßnahmen mit über 80 Prozent der Nennungen betreffen Sicherheitsläufe, Paßwörter, Sicherheitsschränke sowie Log-Journale. Völlig unbedeutend sind Ausweise und Alarmanlagen.

8. Der Umfang der eingesetzten Maßnahmen wächst mit der Dauer des Computereinsatzes, deutlich aber mit zunehmendem Automatisierungsgrad.

9. Zwölf der 50 untersuchten Unternehmen hatten einen Datenschutzbeauftragten nach dem BDSG.

10.Wenn ein Mitarbeiter im Unternehmen als Datenschutzverantwortlicher genannt wurde, handelte es sich in über 50 Prozent der Fälle um Führungskräfte.

11.Wenn von Unternehmen ein Datensicherungsbeauftragter funktionsmäßig genannt wurde, handelte es sich in über 60 Prozent der Fälle um Führungskräfte.

12.Die Antworten auf die Stellung des formell bestellten Datenschutzbeauftragten lassen vermuten, daß sich eine Anzahl von Unternehmen über die Anforderungen des BDSG nicht im klaren war.

Fazit: Die Datensicherheitsproblematik in Klein- und Mittelunternehmen stellt keine neue Dimension alter Probleme, sondern vielmehr eine neue Problematik dar.