Die folgende Checkliste mit ihrem Fragenkatalog ist in erster Linie für die Unternehmensführung sowie für die Leiter der EDV- und Personalabteilungen gedacht. Sie ist geeignet, Lücken und Schwachstellen im Sicherungsbereich der elektronischen Datenverarbeitung aufzudecken. Diese Liste kann als Grundlage für eine fruchtbare Zusammenarbeit zwischen der EDV-Abteilung und den übrigen Abteilungen dienen.
Wichtig ist hierbei jedoch, daß sich die Verantwortlichen nicht nur mit einer schlichten Beantwortung der folgenden Fragen zufriedengeben, sondern intensiv den Gründen für negative Antworten nachgehen und auch möglichst umgehend daraus entsprechende Konsequenzen ableiten, mit dem Ziel die aufgedeckte Sicherheitslücke zu schließen.
I) Fragen zur allgemeinen Organisation:
1. Wurden konkrete Ziele festgelegt, die mit den Sicherheitsmaßnahmen erreicht werden sollen?
2. Sind die Verantwortlichen für die Planung, Durchführung und Kontrolle der Sicherheitsmaßnahmen genau bestimmt?
3. Werden Sicherheitsmaßnahmen in der Aufbau- und Ablauforganisation genügend berücksichtigt?
4. Liegt eine räumlich/organisatorische Trennung zwischen der EDV-Abteilung und den anderen Fachabteilungen vor?
5. Ist der Programmierbereich vom eigentlichen Betrieb des Rechenzentrums getrennt und wird diese Trennung auch überwacht?
6. Gilt die Funktionstrennung auch für das Management?
7. Werden Ausweise für die Mitarbeiter ausgestellt (zumindest für die EDV-Abteilung)?
8. Werden die Ausweise mit Unterschrift, Foto, Personalnummer, Bezeichnung der zugelassenen Bereiche versehen und gegen Fälschungen gesichert?
9. Ist gewährleistet, daß die Ausweise nicht von Kollegen an andere Kollegen (zum Beispiel zur Arbeitsfortsetzung) weitergegeben werden?
10. Wird über Ausweise, Vergabe von Schlüsseln, vertrauliche Unterlagen, Austeilung von Sicherheitscodes, Paßwörtern etc. Buch geführt?
11. Ist gevährleistet, daß beim Ausscheiden von Mitarbeitern die Ausweise, Schlüssel, vertraulichen Unterlagen zurückgegeben werden, Paßwörter gelöscht und die zuständigen Abteilungen hiervon informiert werden?
12. Können gekündigte Mitarbeiter das Rechenzentrum betreten?
13. Werden alle Verstöße gegen die Sicherheitsmaßnahmen einer zentralen Stelle gemeldet und geht man dort den Ursachen nach?
II) Fragen zur Mitarbeiterführung:
1) Werden von den neuen Stellenbewerbern alle Zeugnisse innerhalb der letzten drei Jahre verlangt und werden Vorhandene Lücken im Beschäftigungsnachweis aufgeklärt?
2) Wird bei Bewerbern mit ungewöhnlichen Kündigungsterminen beziehungsweise häufigem Stellenwechsel deren Ursachen nachgegangen?
3) Wird mit den Bewerbern bei dem Einstellungsgespräch auch über die Möglichkeit eines Arbeitsplatztausches (sog. Job Rotation) gesprochen?
4) Wird ein Arbeitsplatztausch systematisch durchgeführt und auch überwacht?
5) Wird in diesem Zusammenhang auch die Frage eines Stellvertreters geregelt, um eine Abhängigkeit von Spezialisten zu vermeiden?
6) Werden bei gehobenen Positionen sog. "Konkurrenzklauseln" vereinbart?
7) Werden bei diesen Bewerbern weitergehende Prüfungen ihrer Vergangenheit (zum Beispiel durch Referenzen) vorgenommen?
8) Sind sämtliche Mitarbeiter zur Geheimhaltung der Firmeninterna schriftlich verpflichtet?
9) Wird ungewöhnlichem Verhalten der Mitarbeiter, wie zum Beispiel Verzicht auf regelmäßigen Jahresurlaub, genügend Aufmerksamkeit gewidmet?
10) Spricht das Management mit seinen Mitarbeitern über deren Probleme, wie zum Beispiel das Betriebsklima, Aufstiegschancen, Gründe für nicht vorgenommene Beförderungen, um Zufriedenheit unter den Mitarbeitern zu gewährleisten und damit möglichen Racheakten rechtzeitig vorzubeugen?
11) Wird dafür gesorgt, daß die Verantwortlichen für die Datensicherung die notwendigen organisatorischen , maschinen- und programmtechnischen sowie revisionstechnischen Ausbildungsgrundlagen haben und auch an Kursen zur Weiterbildung teilnehmen?
III) Fragen zur EDV-Organisation und Programmierung
1) Wurden für die Entwicklung und die Wartung der Programme Richtlinien aufgestellt, die allen Sicherheitsrisiken genügend Rechnung tragen?
2) Wird die Programmierung und das Operating von verschiedenen Mitarbeitern durchgeführt?
3) Arbeiten die Programmierer nur bei den Testablaufen mit der EDV-Anlage?
4) Haben alle Programme eine Dokumentation mit Programmbeschreibung, Ablaufplan, letzte Übersetzung, Schlüsselverzeichnis, Satzaufbau, Muster der Eingabe - Ausgabedaten, Namen des Programmierers. Angabe von Grund, Art und Datum jeder Änderung?
5) Wird dafür gesorgt, daß nicht dieselben Mitarbeiter, die das Programm erstellt haben, dieses auch abnehmen?
6) Bestehen genaue schriftliche Anweisungen über die Programmfreigabe (auch für die Programme von fremden Dienstleistungsunternehmen)?
7) Erfolgt die Programmfreigabe durch die Abteilung "Interne Revision", und zwar nach der Überprüfung der Testergebnisse und der Freigabe durch die Fachabteilung?
8) Wird jede Programmveränderung genügend dokumentiert und der Revisionsabteilung mitgeteilt?
9) Bestehen genaue Vorschriften für die Verwaltung und Benutzung von Datenbändern, und wird deren Einhaltung auch regelmäßig überprüft?
10) Sind für die Verwaltung der Datenbestände besondere Sachbearbeiter bestimmt?
11) Wird dafür gesorgt, daß die Datenbestände permanent betreut werden (also nicht nur von Zeit zu Zeit, beziehungsweise aushilfsweise)?
12) Werden alle Datenträger auch sofort und deutlich mit allen erforderlichen Angaben markiert?
13) Gibt es klare Instruktionen darüber, wer zu welchen Datenträgern beziehungsweise Programmen Zutritt hat?
14) Werden alle Daten nach ihrer Schutzwürdigkeit gruppiert und diese einzelnen "Klassen" entsprechenden Sicherheitsmaßnahmen unterworfen?
15) Werden regelmäßig für die Dateien, Systemsoftware, Anwendungsprogrammbibliothek etc. Duplikate erstellt, und werden sie gesondert aufbewahrt?
16) Ist sichergestellt, daß die Datenerfassung und -aufbereitung nicht von Programmierern beziehungsweise Operatoren durchgeführt werden können?
l7) Sind die Fachabteilungen für die sachliche Richtigkeit der Eingabedaten verantwortlich?
l8) Werden die Datenveränderungen nur mit Kenntnisnahme und Genehmigung der zuständigen Fachabteilung vorgenommen?
19) Überprüfen die Fachabteilungen den "output" der Daten, das heißt die Ergebnisse der EDV?
IV) Fragen zur EDV-Anlage
l) Sind für die EDV-Abteilung einzelne Sicherheitszonen abgegrenzt und wurde genau festgelegt, welche Mitarbeiter zu welchen Zonen Zutritt haben?
2) Werden diese Sicherheitszonen in regelmäßigen Zeitabständen überprüft?
3) Werden die Zugänge zum Maschinenraum und den Archivräumen rund um die Uhr kontrolliert (durch Wachpersonal beziehungsweise Kontrollelektronik)?
4) Wird darauf geachtet, daß niemals ein EDV-Mitarbeiter alleine im Maschinenraum arbeitet?
5) Gibt es Regelungen für nicht autorisierte Mitarbeiter (zum Beispiel das Reinigungspersonal), die im Maschinenraum arbeiten müssen?
6) Sind geeignete Maßnahmen getroffen worden, um das Einschleusen von schweren Metallgegenständen und Magneten in den EDV-Raum zu verhindern?
7) Werden unbefugte Magnetbandaufnahmen signalisiert und verhindert?
8) Wird der Arbeitszeitaufwand an der EDV-Anlage erfaßt und ausgewertet und bei wesentlichen Abweichungen untersucht?
9) Indentifiziert das Betriebssystem jedes benutzte Terminal?
10) Dokumentiert das Betriebssystem jedes benutzte Terminal?
11) Werden die Terminals gegen möglichen Mißbrauch von Dritten geschützt (zum Beispiel durch Schlösser, Paßwörter)?
12) Ist es notwendig, daß bei jeder Ein-/Ausgabe über Terminals die Datenklassifizierung angegeben wird?
13) Ist auch gewährleistet, daß alle Paßwörter in bestimmten Abständen geändert werden?
14) Werden von allen Programmabläufen, Zugriffen auf die Zentraleinheit und die Bibliotheken/Datenbestände, Protokolle geführt und ausgewertet?
V) Fragen zur technischen Sicherheit
1) Wurden beim Bau und Ausbau des Rechenzentrums die behördlichen Vorschriften und die Brandschutzrichtlinien der Sachversicherer für die EDV-Anlage genügend beachtet?
2) Ist das Rechenzentrum gegen negative Umwelteinflüsse wie zum Beispiel Magnetfelder, Erschütterungen , Hochspannungen, Radaranlagen, Überschwemmungsgefahren und Sabotageanschläge ausreichend geschützt?
3) Wird die EDV-Anlage in regelmäßigen Zeitabständen technisch gewartet, um Defekten entsprechend vorzubeugen?
4) Wird gewährleistet, daß bei Stromausfällen eine rasche Umschaltung (falls notwendig) auf Notstromaggregate erfolgt?
5) Werden bei technischen Pannen sofort die erforderlichen Maßnahmen eingeleitet und das Management unverzüglich informiert?
6) Werden Systemausfälle/Störungen nach ihren Ursachen überprüft und genau analysiert?
7) Existiert ein detaillierter Katastrophenplan mit Maßnahmen, Vorschriften, Verhaltensregeln, Telefonverzeichnis?
8) Hängt dieser Katastrophenplan gut sichtbar an verschiedenen Stellen im Rechenzentrum aus?
9) Werden sämtliche Mitarbeiter regelmäßig über alle Änderungen des Katastrophenplans informiert?
l0) Ist weiterhin sichergestellt, daß im Ernstfall die Rettung von Menschenleben Vorrang hat vor dem Schutze von Vermögenswerten?
11) Bestehen für einen Katastrophenfall Vereinbarungen (auch schriftliche?) mit einem anderen "befreundeten" Rechenzentrum, um die Ausfallzeiten möglichst zu überbrücken?
l2) Werden auf der Ausweichanlage alle Programme einmal testweise gefahren?
l3) Stehen Ersatzräume zur Verfügung?
l4) Kann ein Notbetrieb auch ohne den Einsatz der EDV-Anlage aufrecht erhalten werden?
l5) Sind die Leitungen inner- und außerhalb des Rechenzentrums bei Datenfernübertragung gegen einen möglichen Mißbrauch (Abhören, Verfälschen) gesichert?
*Willi Strunz ist Steuerberater in Siegelsdorf