Verschiedenen Untersuchungen kann entnommen werden, daß die Mehrzahl bundesdeutscher EDV-Betreiber sich nicht oder ungenügend mit dem Problem der DV-Sicherheit beschäftigt. Aufgrund der Bestimmungen des Bundesdatenschutzgesetzes (BDSG) und motiviert durch Anschläge auf Rechenzentren im In- und Ausland messen viele EDV-Betreiber zurecht der Zugangskontrolle einen besonders hoben Stellenwert bei. Leider geraten dadurch viele andere Sicherheitsmaßnahmen etwas in den Hintergrund.

Waren die EDV-Betreiber vor Jahren noch überwiegend auf die Beratung durch höchstdotierte Sicherheitsfachleute angewiesen, steht den Unternehmen und Behörden heute vermehrt Material zur Verfügung, um die Grundlagen der Sicherheitsplanung im eigenen Haus zu legen. So hat der Verband der Sachversicherer (VdS) in seinen "Richtlinien für automatische Brandmeldeanlagen", welche jüngst in überarbeiteter und erweiterter Form vorgelegt wurden, der Überwachung elektronischer Datenverarbeitungsanlagen breiten Raum gegeben.

Der RZ-Leiter, der in der Vergangenheit einen großen Bogen um das Thema Sicherheit gemacht hat, in der dunklen Vorahnung, es kämen horrende Kosten für ein geringes Maß an Schutz auf ihn zu, sollte sich die Sicherheitsfrage dennoch stellen. Nicht alle Vorkehrungen sind kostspielig. Eine Vielzahl organisatorischer Maßnahmen kann mit einem geringen Arbeitsaufwand verwirklicht werden. Oft sind gerade solche Schritte sehr wirkungsvoll. Ebenso verhält es sich mit den mechanischen Sicherungen, die im Verhältnis zur elektronischen Meldetechnik in deutschen Rechenzentren leider immer noch zu kurz kommen.

Zweifellos ist derjenige EDV-Betreiber, der einen RZ-Neubau plant, im Vorteil. Er kann im Rahmen des wirtschaftlich Gebotenen alle Präventionen realisieren. Paradoxerweise entstehen aber auch heute immer wieder Rechenzentren, die den Mindestanforderungen in puncto Sicherheit nicht genügen. EDV-Betreiber, die mit einem "gewachsenen" Rechenzentrum vorliebnehmen müssen, sollten sich einen langfristigen Stufenplan aufstellen, um die Sicherheitssituation bei jeder sich bietenden Gelegenheit zu verbessern.

EDV-Katastrophe hat viele Gesichter

Betrachtet man die EDV-Großschäden, die sich in letzter Zeit ereignet haben, stellt man fest, daß die "EDV-Katastrophe" viele Gesichter hat. Nicht nur die klassischen Unterlassungssünden der EDV-Betreiber, wie zum Beispiel mangelhafte Kabelschottungen, technologisch bedingte Ursachen, wie der für die Praxis ungenügende Überspannungsschutz elektronischer Systeme und das "kalkulierte Risiko" (bekannte Schwachstellen werden toleriert, zum Beispiel Klimaschränke im EDV-Raum); wirken sich im Schadenfall aus. Die meisten Fälle stellen ein zufälliges Zusammenwirken von Schwachstellen im Rechenzentrum, schädigenden Einflüssen und der Verkettung unglücklicher Umstände dar. Die betroffenen EDV-Betreiber, die Installationsberater und die Mitarbeiter des Technischen Kundendienstes bestätigen denn auch häufig, daß sie sich einen solchen Schadenfall überhaupt nicht hätten vorstellen können. Dazu nur drei Beispiele:

- Ein heftiges Gewitter mit starken Regenfällen sorgte in der Nacht vom 7. August 1981 auf 8. August 1981 im Bergischen Land dafür, daß die Kanalisation die Wassermassen nicht mehr fassen konnte. Straßen und Plätze wurden überflutet. Bemerkenswert dabei war, daß nicht hochwasserführende Gewässer alleine die Überschwemmung verursachten, sondern die große Regenmenge an sich, die in kurzer Zeit fiel. Besonders stark betroffen war das Rechenzentrum eines bekannten Industriebetriebes. Der im Tiefparterre gelegene Maschinensaal war durch eindringendes Wasser so sehr überschwemmt worden, daß die EDV-Anlage größtenteils unter Wasser stand. Abwehrmaßnahmen konnten in der kurzen Zeit nicht mehr getroffen werden. Nicht nur die Feuchtigkeit hatte der Anlage einen schweren Schaden zugefügt. Der von den Wassermassen mitgerissene Schmutz und sogar der Wasserdruck hatten die EDV-Geräte so stark beschädigt, daß die gesamte Anlage verschrottet werden mußte.

- Am 18. Mai 1983 wurde ein Großunternehmen in Köln von einem Blitzschlagschaden betroffen, der einen Sachschaden an der EDV-Anlage in Höhe von rund zwei Millionen Mark verursachte. Trotz vorbildlicher Blitzschutzanlage schlug der Blitz wahrscheinlich unmittelbar neben einem Hochhaus ins Erdreich ein und traf dort vermutlich eine Datenleitung. Dadurch wurden im Hochhaus ein Teil der Bildschirminstallation und im freistehenden Großrechenzentrum Einrichtungen der Datenübertragung und ein Unterrechner zerstört. Die großen Zentraleinheiten blieben glücklicherweise weitgehend vom Schaden verschont. Durch den Ausfall des Online-Verkehrs entstand außerdem ein spürbarer Verlust an EDV-Produktion.

- Am 18. September 1982 drückten orkanartige Windböen im Verlaufe eines Gewitters Regenwasser unter das Flachdach eines EDV-Gebäudes in Bad Homburg. Über die Zwischendecke gelangte das Wasser in den EDV-Raum und ergoß sich unmittelbar über die EDV-Anlage. Auf den ersten Blick schien es sich um einen Totalschaden zu handeln, da der Rechner unbemannt in Betrieb war und deshalb nicht rechtzeitig abgeschaltet werden konnte. Dann stellte sich jedoch heraus, daß ein Blitzschlag die Hauptstromversorgung außer Betrieb gesetzt hatte und demzufolge die EDV-Anlage während der Wassereinwirkung nicht unter Strom stand. Durch den Stromausfall wurde das Schlimmste vermieden.

Restrisiko auf mehrere Schultern

Die gegenwärtige Wirtschaftslage zwingt die EDV-Betreiber einerseits dazu, auch im Sicherheitsbereich streng nach Wirtschaftlichkeitsgrundsätzen vorzugehen. Andererseits verkraftet das EDV-Budget einen größeren Schadenfall oder längeren Ausfall der Datenverarbeitung heute weniger als je zuvor. Unter Umständen kann der Fortbestand eines Unternehmens ernstlich in Frage gestellt sein. Auch optimale Sicherheitsvorkehrungen, seien sie sogar finanzierbar, bieten keinen absoluten Schutz vor Schadenfällen. Das immer verbleibende Risiko sollte deshalb auf mehrere Schultern verteilt werden. Dazu steht das Instrument der Versicherung zur Verfügung. Der Versicherungsschutz darf allerdings nicht beliebig gewählt werden. Beispielsweise sind EDV-Anlage in der Leitungswasserversicherung überhaupt nicht versicherbar. Die versicherten Gefahren sollen möglichst universell sein, da bei der Vielfalt möglicher Katastrophenfälle eine Beschränkung auf wenige Schadenursachen (so Brand, direkter Blitzschlag und Explosion) nicht angebracht ist. Folgendes Deckungskonzept hat sich bewährt und in der Praxis durchgesetzt:

EDV-Sachversicherung (Schwachstromanlagen-Versicherung):

Der Versicherer leistet Ersatz für die Wiederbeschaffung oder Reparatur der Hardware (ausgenommen Datenträger) nach einer Beschädigung Zerstörung oder Entwendung, und zwar grundsätzlich bis zur Höhe des Neuwertes der Anlage. Insbesondere erstreckt sich der Versicherungsschutz auf Schäden durch Fahrlässigkeit, unsachgemäße Handhabung Vorsatz Dritter; Kurzschluß, Überspannung, Induktion; Brand, Blitzschlag, Explosion oder Implosion oder durch Löschen, Niederreißen, Ausräumen oder Abhandenkommen bei diesen Ereignissen; Wasser, Feuchtigkeit, Überschwemmung, Einbruchdiebstahl, Diebstahl, Beraubung, Plünderung, Sabotage; höhere Gewalt; Konstruktions-, Material- und Ausführungsfehler.

Datenträgerversicherung:

Der Versicherer leistet Ersatz für die Wiederbeschaffungskosten des Datenträgermaterials (zum Beispiel Magnetplatten, -bänder) sowie für erforderliche Wiederherstellungskosten (Rekonstruktionskosten) darauf gespeicherter Daten, wenn der Verlust oder die Veränderung der Daten durch einen Sachschaden (wie EDV-Sachversicherung) am Datenträger durch Diebstahl des Datenträgers oder durch Blitzeinwirkung entstand.

Mehrkostenversicherung:

Fällt die EDV-Anlage infolge eines Sachschadens (wie EDV-Sachversicherung) aus, ersetzt der Versicherer die Kosten für die Überbrückung des EDV-Ausfalls. Dies können zeitabhängige Mehrkosten sein, zum Beispiel die Kosten für die Benutzung einer fremden Anlage, die Anwendung anderer Verfahren, die Inanspruchnahme von Dienstleistungsunternehmen oder den Bezug von Halb- und Fertigfabrikaten oder auch zeitunabhängige Mehrkosten, wie einmalige Umprogrammierungs- und Umrüstkosten (zum Beispiel für die Installation eines Ausweichsystems auf einer Emptyshelf-Fläche). Der Ausfall der Klima- und/oder Stromversorgungsanlage kann in den Versicherungsschutz einbezogen werden.

Betriebsunterbrechungsversicherung (BU-Versicherung):

Reicht in bestimmten Fällen der Versicherungsschutz der Mehrkostenversicherung nicht aus, empfiehlt es sich, eine Betriebsunterbrechungsversicherung abzuschließen. Gewöhnlich werden die Gefahren Brand, Blitzschlag und Explosion im Rahmen der Feuer-Betriebsunterbrechungsversicherung gedeckt. Für die verbleibenden versicherbaren Gefahren bieten die Schwachstromanlagen-Versicherer die SBU-Versicherung an. Die Versicherer ersetzen den entgangenen Gewinn und die fortlaufenden Kosten.

Sinnvoll ergänzt wird dieses Versicherungspaket durch die Computermißbrauch-Versicherung, die einen Vermögensschaden, verursacht durch eine Vertrauensperson (Computerkriminalität) deckt, durch die Datenhaftpflicht-Versicherung, welche Schadensersatzansprüche aus einer Verletzung des Bundesdatenschutzgesetzes befriedigt und durch die Datenrechtsschutzversicherung, die sich mit den Prozeßkosten befaßt, die dem EDV-Betreiber aus den Bestimmungen des BDSG erwachsen können.

Im Rahmen dieses Aufsatzes können nicht alle Aspekte des Versicherungsschutzes behandelt werden. Eine Haftungsfreistellung des EDV-Betreibers in Miet- und Leasingverträgen muß in der Versicherungskonzeption ebenso berücksichtigt werden wie die Mitbenutzung des Rechenzentrums durch einen Kooperationspartner oder andere Konzernunternehmen. Ein eventuell bestehendes Monopolversicherungsrecht, beziehungsweise die Versicherungspflicht bei einer regional tätigen staatlichen Gebäudebrandversicherungsanstalt sind zu beachten. Die Versicherer erarbeiten dem EDV-Betreiber gerne einen individuellen Deckungsschutz.

* Roland Breuer ist Handlungsbevollmachtigter für die Technischen Versicherungen bei der Württembergischen Feuerversicherung AG in Stuttgart.

In Kürze erscheint sein Buch "Computer-Schutz durch Sicherung und Versicherung" im Karamanolis-Verlag, Nibelungenstraße 14, 8014 Neubiberg

Der Beitrag erschien in der Zeitschrift Wirtschaftsrecht und Sicherheitstechnik 11/83. Nachdruck mit freundlicher Genehmigung des Kriminalistik-Verlages Heidelberg.