Angesichts der vielen Artikel, die man in verschiedenen Zeitschriften zum Komplex der Sicherheit in EDV-Bereichen liest, wundert man sich immer wieder, wenn man dann mit der Realität konfrontiert wird. In vielen Fällen kann man die einzelnen EDV-Leiter schon als Hasardeure bezeichnen. Es ist notwendig, daß alle Sicherheitsaspekte in eine umfassende Konzeption der internen Rationalisierung einmünden.

Datensicherung

Einer der wichtigsten Komplexe der Sicherheit im EDV-Bereich ist die Datensicherung. Hierunter zählen alle Maßnahmen, welche einen Schutz gegen Zerstörung der Daten bieten sollen. Bestandteil der Datensicherung ist das regelmäßige Duplizieren, des Be-Online-Platten mit mehreren Dateien auf einem Stapel, der Bestandsdateien auf Platten und Bändern und der Bewegungsdaten, welche täglich in das System eingesteuert werden. Dabei ist der Komplex der Datensicherung gerade wegen seiner Vielfalt sehr schwierig zu überblicken. Bei einer Konzeption zur Datensicherung sollte man sich generell vom Maximalprinzip der täglichen Sicherung leiten lassen, da dieses Prinzip vom Handling her die beste Lösung bietet.

Aus der Sicht der Sicherheit ist es nicht zu überbieten. Allerdings erfordert es auch die größte Systembelastung, welche jedoch durch ein leistungsfähiges DUMP/Restore-Programm entsprechend gemildert werden kann.

Datenschutz und Zutrittskontrollen

Der Problemkreis des Datenschutzes und der Zutrittskontrollen berührt sehr stark die Probleme, welche den Zugriff zu lnformationen vertraulicher oder schutzwürdiger Daten betreffen. Beste Dienste in dieser Beziehung leistet ein strenger Closed-shop-Betrieb. Zutrittssicherungen und -kontrollen sollten diesen Closed-shop-Betrieb ergänzen. Regelungen für die Anforderung und Ausgabe von Auswertungen in Form einer Berechtigungs-Matrix bezogen auf Dateien und Programme leisten einen wir die aufgestellten Regelungen konsequent eingehalten werden. Bei Terminals müssen solche Zugriffsberechtigungen zwangsläufig in das TP- oder Datenbanksystem eingebaut sein, um einen brauchbaren Schutz 'bieten zu können. Auf jeden Fall sollte man aber alle Anfragen in irgendeiner Art und Weise lückenlos protokollieren, um Mißbräuche entdecken zu können.

Manipulationen, dolose Handlungen

Gegen Programmanipulationen beziehungsweise dolose Handlungen kann man sich heute nur schlecht absichern. Die beste Gewähr liegt in einer guten Führung und Überwachung des EDV-Personals. Programmabnahmen, die mitunter auch auf eine logische Kontrolle der Programmroutinen abzielen, können mitunter dolose Handlungen aufdecken helfen. Die EDV-Revision ist häufig überfordert, weil sie das notwendige Spezialwissen nicht hat und die Kontrolle von Programmabläufen nur für einen excellenten Programmierer möglich ist und auch dann noch ein Zeitproblem darstellt. Sporadische Tests der EDV-Revision mit entsprechenden Testpaketen können bei besonders wichtigen Anwendungssystemen manches Risiko vermeiden, einen vollständigen Schutz bietet aber auch diese Methode, nicht ...

ist das Risiko derartiger doloser Handlungen. Wo etwa eine lückenlose Zeitkontrolle, aller Computer-Aktivitäten praktiziert wird, ist der Zeitdiebstahl nahezu ausgeschlossen.

Technische Sicherungen

Erfreulicherweise zeigt sich immer mehr, daß auf die Probleme der technischen Sicherheit verstärkt geachtet wird. Schutz gegen Feuer, Einbruch, Wasser, Sabotage etc. wird heute mehr und mehr praktiziert. Vielfach bieten jedoch die bisherigen Räume keinen wesentlichen Schutz, Umbaumaßnahmen erweisen sich als zu teuer. Bei Neubauten sollte man diese Aspekte durch Einbau von Ionisationsmeldern etc. frühzeitig berücksichtigen. Ein absolutes Rauchverbot im Computerraum ist dabei eine Sofortmaßnahme, die von allen ohne Änderung der Räumlichkeiten vorgenommen werden kann. Vielfach gelingt es aber auch bei bestehenden Rechenzentren mit wenig Geld die größten Gefahrenquellen zu beseitigen.

Katastrophenplan

Auch gegen einen Katastrophenfall kann man sich durch eine wirkungsvolle Auslagerungskonzeption aller wichtigen Daten und Unterlagen schützen. Wenn man eine derartige Konzeption aufbauen will, sollte die gesamte Verarbeitung mit den ausgelagerten Daten und Programmen eine gewisse Zeit aufrecht erhalten kann. Ein Auslagerungssystem ist daher nur dann sinnvoll, wenn alle wichtigen Unterlagen ausgelagert werden und dies zudem regelmäßig - am besten täglich - geschieht. Nur dann ist ein wirkungsvoller Schutz gegen Katastrophenfälle möglich.

Versicherungen

Versicherungen können nur als Ergänzung zu allen beschriebenen Punkten gesehen werden. Das Risiko höher Schäden läßt sich durch eine Versicherung in Geld abdecken, den Ärger hat der Anwender aber auf jeden Fall, falls er nicht durch andere Maßnahmen rechtzeitig vorgesorgt hat. Je höher das Risiko ist, um so höher werden im allgemeinen auch die Versicherungsprämien sein, so daß es in den meisten Fällen empfehlenswert ist zunächst einmal selbst einige Vorsorgen zu treffen, ehe man eine Versicherung zu hohen Prämiensätzen abschließt.

Sicherheit im EDV-Bereich kostet zwangsläufig Geld. Eine 100-Prozent-Sicherheit wird es nicht geben. Zudem wäre es viel zu teuer, eine derartige Zielsetzung erreichen zu wollen. Man muß daher versuchen, den Punkt zu finden, wo man mit der Einführung weiterer Sicher...