MÜNCHEN (CW) - Die Verschlüsselung sensitiver Daten bleibt letztlich die wohl einzig wirksame und wirtschaftliche Art, lebenswichtige Unternehmensdaten und -informationen vor unberechtigem Zugriff und Mißbrauch zuschützen. Je mehr die elektronischen Informationsströme auch über Mikro- und Personal Computer fließen, desto notwendiger sind präventive Sicherungsmaßnahmen - zumal durch das breitere "Computerwissen" automatisch das Potential für kriminelle "Eingriffe" in den Computer beziehungsweise in ganze Rechner-Systeme steigt.

Das US-Magazin "Scientific American" veröffentlichte im September 1982 folgende Prognose über die Anzahl der voraussichtlich 1990 installierter "Terminals":

- 38 Millionen Professional Work-Stations,

- 34 Millionen Home-Terminals und

- 7 Millionen portable Terminals

Wie immer man diese Zahlen auch interpretieren mag: Der künftige "Informations-Verarbeiter" wird schon bald einen höchst komfortablen Zugang zur Informationstechnologie haben, wo immer er sich auch befindet.

In dem Maße, wie sich der Zugriff auf ein Computersystem genauso leicht darstellt wie etwa die Bestellung aus einem Versandhaus, wächst aber - auch in der Bevölkerung die "Kompetenz" für Fragen der Informationstechnologie - und zwar auf allen soziologischen Ebenen und Altersstufen.

Faßt man diese beiden Punkte zusammen, Verfügbarkeit von preiswerter Computertechnologie und zunehmende Sachkenntnisse in der Bevölkerung, so mag dies für die Gesellschaft als Ganzes durchaus von Nutzen sein. Man sollte aber nicht die damit in unmittelbarem Zusammenhang stehenden Probleme verdrängen: "Computer-Kriminalität" könnte die Wachstumsbranche der späten 80er Jahre werden.

Verantwortlich und Zugang

Um das Konzept des "Informationsschutzes ein wenig zu verdeutlichen, sei zunächst einmal auf zwei andere Begriffe, nämlich "Verantwortlichkeit" und "Zugang", hingewiesen. Außerdem erscheint es notwendig, die Bedeutung der "Programmiertätigkeit" und der Datenbank-Administration neu zu definieren.

Es wird unterschieden zwischen:

A) Dem "Information User", der gelegentlich Zugang zu den Informations-Ressourcen des Unternehmens haben muß, um bestimmte Aufgaben erledigen zu können. Dieser User handelt dann auf der Grundlage der ihm zur Verfügung gestellten Informationen.

B) Dem "Information Worker", der in seinem Aufgaben-Bereich fulltime auf das Sammeln, Ablegen Warten, Zurückgreifen etc. von Informationen angewiesen ist.

C) Dem "Information Professional", dessen Fulltime-Aufgabe es ist, die Unternehmens-lnformationen so bereitzustellen, daß die andere beiden Gruppen bestmöglich unterstütz werden.

Dieser "Professional" trägt die Verantwortung für die ordnungsgemäße Organisation und Wartung der wertvollsten Unternehmens-Ressource - der Datenbank, auf der all die anderen Unternehmensaktivitäten basieren.

Wie Bild 1 nun zeigt, ist die Verantwortung für die Informationen beim "Professional" am größten, während sie zum Beispiel beim gelegentlichen User minimal ist. Beim Zugang zu aktuellen Informationen, die für das Tagesgeschäft benötigt werden, ist es hingegen genau umgekehrt (Bild 2). Hier ist die Notwendigkeit des Zugriffs auf aktuelle Unternehmensdaten für den Professional minimal. Beispielsweise ist für seine Tätigkeit das Investment Portfolio des Finanzdirektors von genauso geringer Bedeutung wie die aktuellen Verkaufsergebnisse des Distrikt-Verkaufsleiters B. Die Notwendigkeit, auf diese Informationen zuzugreifen, ist andererseits beim "User" am größten. Mehr noch: dieser Zugriff muß schnell erfolgen, online.

Elektronisches Equipment nutzen

Für den "Information Worker" stellt sich in beiden Fällen die Situation in etwa gleich dar. Er wird in beiden Bereichen tätig. Zum Beispiel wird ein solcher Mitarbeiter in der Regel verantwortlich sein für die akurate Sammlung der benötigten Daten. Zunehmend wird er aber auch bei seiner Tätigkeit auf Informationen der Unternehmens-Datenbank zurückgreifen. Die eingangs erwähnte Prognose des "Scientific American" geht zum Beispiel davon aus, daß "um 1990 etwa 40 bis 50 Prozent der Beschäftigten in den USA in irgendeiner Form elektronisches Equipment zur Aufgabenbewältigung nutzen werden."

Ohne Zweifel: Das "Informations-Zeitalter" ist da - und es bringt nicht nur Nutzen. Computer sind nicht mehr nur Spezialisten vorbehalten. Sie sind zum Konsumgut geworden Personal-Computer-Systeme sind in den USA zum Beispiel für weniger als 100, - Dollar zu haben. Zugleich hat sich auch die Technologie zur Vernetzung immens weiterentwickelt "Low-Speed-Modems" sind in den USA ebenfalls bereits zum Preis von etwa 100, - Dollar erhältlich.

"Anzapf-Tools"

Dies heißt aber mit anderen Worten nichts anderes, als daß auch die "Tools" für "Computer-Kriminalität" äußerst preiswert geworden sind: die Verwundbarkeit des betriebsindividuellen Informations-Systems durch unberechtigten Zugriff nimmt mehr und mehr zu. Equipment zum "Anzapfen" von Telefonleitungen kann heute beim nächstbesten Computer-Shop gekauft werden. In vielen Fällen genügen außerdem geringfügige Modifikationen, um aus normalen "Konsum-Computern" professionelle "Anzapf-Tools" zu machen. Und PCs mit Verbindung zur zentralen Datenbank gibt' s ja inzwischen auch genug. Um nun die Verwundbarkeit des betrieblichen Informations-Systems zu analysieren, müssen zunächst die verschiedenen Möglichkeiten des "Daten-Mißbrauchs" unter die Lupe genommen werden. (Siehe Bild 3).

1. Blättern/Durchatöbern

Das ungezielte "Durchstöbern" einer Datenbank ist vielfach nicht zu verhindern, ja es wird bisweilen sogar gefördert (zum Beispiel "Literatursuche" im Rahmen eines Forschungsprojekts). Dennoch sollte man sich darüber im klaren sein, daß das "Blättern" sozusagen "in" ist und entsprechende Sicherurngsmaßnahmen durchgeführt werden müssen. Zum Beispiel nur begrenzte Anzahl von Zugriffen ohne erneute Zugriffsberechtigungs-Abfrage, Warnungen an den DB-User, daß der Zugriff auf sensitive Informationen exakt protokolliert wird (Password, Terminal-Nummer, etc.)

2. Daten-Verlust

Hierunter ist das unberechtigte Gewinnen von Information einem Teil der Datenbank

durch unberechtigten Zugriff aus einem anderen Teil zu verstehen.

3. Schlußfolgerungen

Dieser Mißbrauch ist äußerst schwierig zu kontrollieren. Gemeint ist hier die Fähigkeit des "Computer Criminals" aus scheinbar nicht zueinander in Beziehung stehenden Daten Schlußfolgerungen zu ziehen. Wenn zum Beispiel in einem Unternehmen der Verkauf durch ein Bonus- oder Incentive-System gesteuert wird, so genügt einem Konkurrenten beispielsweise der Einblick Lohn- und Gehaltsabrechnung verschiedenen Verkäufer, um zu erkennen, in welchem Segment der größte Umsatz erzielt wird.

4. Zerstörung

Das größte Kopfzerbrechen, bindung mit "krimineller Energie" in der Informationsverarbeitung bereitet wohl die gewollte oder zufällige Zerstörung sensitiver Unternehmensdaten. Ist einmal der Zugang in das System geglückt, besteht für einen Interessierten durchaus die Möglichkeit, "globale" Suchläufe der Datenbank in Gang zu setzen.

Von besonderer Relevanz sind derlei Zerstörungen bei Mini- und Mikrocomputersystemen. Dort werden häufig Programme von Laien gestartet, ohne zu wissen, wie diese Programme arbeiten oder welche Ergebnisse sie hervorbringen werden.

5. Hemmnisse

Ein ganz wichtiges Problem, das sich den Informations-Managern heute stellt und durch Mißbrauchsversuche unterlaufen werden kann ist, eine alle User zufriedenstellende Systemverfügbarkeit zu gewährleisten. Diese "Service-Vereinbarung" kann ein "Criminal schon dadurch nachhaltig beeinträchtigen, daß er das System zwingt, permanent eine gewünschte Verbindung als "invalid" zurückzuweisen.

Andererseits ist hier aber auch festzuhalten, daß Schutzmaßnahmen gegen Datenmißbrauch oder zumindest zur Minimierung der damit verbundenen Risiken inzwischen ebenfalls preiswert angeboten werden, Das wichtigste Hilfsmittel ist ohne Zweifel die Nutzung von Datenverschlüsselungstechniken. Und zwar sowohl im Computersystem selbst (etwa bei geheimen Files) als auch bei der Datenübertragung. Die Systemperformance wird durch solche Verschlüsselungsmaßnahmen kaum beeinträchtigt. Andererseits garantiert die Verschlüsselung in einem Netzwerk aber

- die Aufrechterhaltung der Sicherheit in bezug auf die Authentizität des Users sowie

- Schutz vor ungewollten "Lauschangriffen".

Dr. William J. Caelli, President von Eracom Electronics Research Australia Pty. Ltd., Queensland, Australia, gilt weltweit als einer der profiliertesten Datenverschlüsselungsexperten. Erstr kürzlich erhielt das von ihm und seinen Mitarbeitern entwickelte Datenverschlüsselungs- und DFÜ-System von der IBM den Zuschlag, in einem IBM-Environment Die Sicherung des Informationsverkehrs der australischen Bundespolizei (600 Terminals in 125 Stationen) zu übernehmen.

Am 27. Februar 1084 wird Caelli auf dem Internationalen Workshop "Data Encryption/Data Security" im Europäischen Patentamt in München über aktuelle Probleme des Datenmißbrauchs und über effiziente Gegenmaßnahmen - vor allem Aber moderne Verschlüsselungstechniken - referieren. Veranstalter ist CW-CSE. die Seminargruppe aus dem Verlag der Computerwoche.

Auskünfte und Anmeldungen: CW-CSE. Friedrichstr. 31, 8000 München 40.

Tel.: 080/3 81 721 66/169, Telex 5 215 350 comw d.