Die Bürokommunikation und Büroautomation als eine Anwendung der Informations- und Kommunikationstechnologie gewinnt immer mehr an Bedeutung, zumal die Verwaltungen der Wirtschaft und der öffentlichen Hand ein großes Rationalisierungspotential darstellen. Auf der anderen Seite werden die Systeme der Kommunikations- und Informationstechnologie ständig leistungsfähiger und preiswerter. Ihr Einsatz als Rationalisierungsmittel im Bürobereich wird damit auch wirtschaftlich sinnvoll.

Sicherheitsprobleme bringt vorläufig noch der Einsatz insbesondere von Personal Computern mit sich.

Die Verteilung der Kosten in einer Verwaltung (Personalkosten und Arbeitsplatzkosten) nach Tätigkeitsprofilen aufgeschlüsselt zeigt, daß

- etwa 60 Prozent für Sachbearbeitungsaufgaben,

- rund 25 Prozent für Sekretariats- und Schreibaufgaben

- ungefähr 15 Prozent für Managementaufgaben

aufgewendet werden müssen.

Um mit dem Einsatz von Systemen zur Bürokommunikation den größtmöglichen Effekt zu erzielen, werden diese Systeme vordringlich die Tätigkeiten des Sachbearbeiters unterstützen. Solche Tätigkeiten sind - Kommunikation mit Rechneranwendungen (zum Beispiel Buchungen, Rechenvorgänge oder Auslösen weiterer Verarbeitungen wie Schreiben von Bestellungen und Rechnungen),

- Abfragen und Verändern von Datenbeständen,

- Erstellen von Berichten, Dokumenten, Briefen (Textverarbeitung) sowie

- Empfangen und Versenden von Informationen (zum Beispiel interne Nachrichten oder Terminalabsprachen) und Texten (Berichte, Dokumente, Briefe).

Sicherheitsprobleme

Bürokommunikation und Rechnerunterstützung des Sachbearbeiters mit Hilfe von "dummen" Terminals und zentralen Großrechnersystemen kann bei großer Terminalanzahl zu erheblichen Performance-Schwierigkeiten und damit zu einem nicht zu unterschätzenden Akzeptanzverlust auf seiten der Benutzer führen. Personal Computer für die Unterstützung des Sachbearbeiters einzusetzen bedeutet andererseits, daß

- mit dem Personal Computer auf zentrale Datenbestände zugegriffen werden kann,

- der Personal Computer Datenverarbeitungsfunktionen und Textverarbeitungsfunktionen wahrnimmt und

- der Personal Computer ein Zugangsmedium für interne und externe Übertragungsmedien (internal mail, Teletex) ist.

Der Zugriff auf zentrale Datenbestände und die Möglichkeit, Daten in begrenztem Umfang auf peripheren Speichern (Disketten, Winchester-Festplatten, Wechselplatten) abzulegen, bringt die Gefahr mit sich, daß dezentral kleine Datenbestände entstehen, die Teil der zentral verwalteten Daten sind und nicht mehr den zentral durchgeführten Update-Routinen unterliegen. Diese Daten sind nicht unbedingt aktuell und richtig und können theoretisch aus dem Gesamtsystem entfernt werden.

Rechenzeitdiebstahl: Das neue alte Problem

Die Möglichkeit, mittels eines Personal Computers auf zentrale Datenbestände zuzugreifen, birgt zusätzlich die Gefahr in sich, daß geschützte Daten unberechtigt gelesen oder sogar verändert werden können.

Ein Personal Computer am Arbeitsplatz des Sachbearbeiters, der über einen eigenen Prozessor, Hauptspeicher, Peripheriespeicher, über eine Programmbibliothek und Textverarbeitungsfunktionen sowie gegebenenfalls einen eigenen Drucker verfügt, verleitet sehr schnell zum Mißbrauch für nichtbetriebliche Anwendungen. Das alte Problem des "Rechenzeitdiebstahls" taucht in neuer Form wieder auf, lediglich mit dem Unterschied, daß der Mißbrauch eines Rechners jetzt auch von Nicht-EDV-Personal durchgeführt werden kann. Die Anzahl der möglichen Mißbräuche steigt direkt proportional mit der Anzahl der eingesetzten Personal Computer.

Um die sinnvolle Forderung nach einem integrierten Arbeitsplatz für alle Bürotätigkeiten und Bürodienste zu erfüllen, ist es zwingend, den Personal Computer auch als Zugangsmedium für interne und externe Postdienste zu nutzen. Damit besteht aber gleichzeitig die Gefahr, daß bewußt oder unbewußt falsche Nachrichten versandt werden, Nachrichten unbefugt "mitgehört" werden oder verlorengehen.

Weiterhin ist zu beachten, daß die Anwender weitgehend EDV-Laien sind, die die neuen Bürotechnologien als Werkzeug zur Unterstützung ihrer Arbeiten einsetzen. Das setzt einerseits die Beherrschung dieses Werkzeuges durch jeden Benutzer voraus und verlangt andererseits, daß Fehlbedienungen nicht zu weiteren Fehlern führen dürfen. Es muß garantiert werden, daß beim falschen Handling eines Bürokommunikationssystems

- keine Störungen eines Programmlaufs oder Systemlaufs im zentralen Rechner hervorgerufen werden,

- es nicht zu Programm- oder Systemabstürzen kommt,

- Daten auf Hintergrundspeicher nicht unbeabsichtigt verändert oder vernichtet werden,

- Daten bei der Übertragung zwischen Arbeitsplatz und zentralem Rechner nicht verlorengehen oder zerstört beziehungsweise verfälscht werden und

- Leitungen zur Fernübertragung nicht zusammenbrechen.

Schutzmöglichkeiten

Um einerseits die Leistungsfähigkeit von computerunterstützten Arbeitsplätzen von zu nutzen und andererseits Datenbestände, Programme und Verarbeitungen vor mißbräuchlichen und fehlerhaften Eingriffen zu schützen, sind folgende Forderungen zu stellen:

- das System darf keine herausnehmbaren Datenträger (Disketten, Wechselplatten) haben. Daten, Programme, Texte et cetera sollten auf Winchester-Festplatten gespeichert werden;

- der Zugang sollte über eine Logon-Prozedur, bei privilegierten Benutzern zusätzlich mit Paßwort, Identitätskarte oder Schlüssel abgesichert sein;

- Daten sollten nur in Form von Scratch-Dateien gehalten werden können; bei Systemstart können Daten aus zentralen Datenbeständen kopiert werden und sind für die Dauer des. Systemlaufs verfügbar; mit Systemauslauf werden die Daten im dezentralen System wieder gelöscht;

- der Kopiervorgang für Dateien, die tagtäglich benötigt werden, kann durch Prozeduren unterstützt werden;

- Veränderungen von Daten dürfen nur von privilegierten und besonders geschätzten Arbeitsplätzen durchgeführt werden;

- die Zugriffsberechtigung auf zentrale Datenbestände sollte durch festgelegte Berechtigungsklassen geregelt sein;

- dezentrale Programmbibliotheken sollten nur Moduln in Objektcode enthalten; der Update der Bibliotheken darf nur von einem zentralen Rechner aus durchgeführt werden;

- die Übergabe von Daten an einen zentralen Rechner zur Weiterverarbeitung sollte analog zu den heutigen TP-Anwendungen geschehen;

- der Zugriff auf zentrale Textarchive und die Texthaltung in dezentralen Systemen sollte analog zum Zugriff auf zentrale Datenbestände und Datenhaltung abgewickelt werden;

- interne Post sollte nur mit Absenderangabe, mit Empfangsmeldung und unter Festlegung von Schutzebenen abgewickelt werden;

- die Nutzung des Teletex-Dienstes ist analog der Unterschriftsberechtigung für externen Postverkehr privilegierten Benutzern zugänglich zu machen.

Die Notwendigkeit, in Bürokommunikationssystemen verstärkt auf Datensicherheit und Datenschutz zu achten, wird allein durch die im allgemeinen hohe Zahl der Benutzer eines solchen Systems verdeutlicht. Genaue Kosten-/Nutzen-Analysen für bestimmte Schutzmaßnahmen lassen sich jedoch nur sehr schwer durchführen, da es in der Regel nicht möglich ist, den Schaden zu quantifizieren, der durch Mißbrauch, Verfälschung oder Zerstörung von Daten und Informationen einem Unternehmen entsteht.

Rainer Heiligenstadt ist Diplom-Mathematiker bei der SCS Unternehmensberatung, Essen.