Rainer Zirn, Referatsleiter EDV-Revision der Dresdner Bank AG Frankfurt, und Arbeitskreisleiter am Deutschen Institut für Interne Revision e. V.

"Tatort DV" wird hierzulande oft nur hochgespielt

11.05.1984

In den letzten Monaten tauchte in den Zeitungen und Zeitschriften vielfach das Schlagwort "Computer-Kriminalität" auf - sogar ein

Kinofilm behandelt dieses Thema. Man könnte daher den Eindruck gewinnen, daß der "Tatort DV" auch in Deutschland

überdurchschnittliche Zuwachsraten in der Kriminalitätsstatistik (Computer-Sabotage, -Spionage, -Manipulationen) aufweisen würde. Mit dem wachsenden Einsatz von Mikro- und Homecomputern wird zwangsläufig das Phänomen der jugendlichen "Hacker" genannt, die sich unerlaubt via Datenfernübertragung auf fremden Rechnern tummeln. Ein Bild, das uns an den bisherigen Sicherheitsmaßnahmen und somit der Sachkompetenz der Verantwortlichen in Unternehmen und Behörden zweifeln läßt. Sind wir der heutigen Systemwelt (unter anderem RJE- beziehungsweise TSO-Betrieb, Mikro-Anwendungen, einfache Auswertungssprachen für Nutzer offene DFÜ-Netze) sicherheitsmäßig nicht mehr gewachsen?

So ernst, wie manche Artikel vermuten lassen, steht es um die Sicherheit in der deutschen DV-Landschaft nicht. Wie die

bekanntgewordenen Fälle zweigen und wie von Experten bestätigt wird, haben wir es hierzulande bisher nur mit wenigen DV-Deliktfällen zu tun, die sich auch hinsichtlich der Schadenshöhe in kleinem Rahmen halten. Sicherlich besteht daneben eine Dunkelziffer. Auch das Hacker-Phänomen zeigt hier noch keine amerikanischen Ausmaße. Es handelt sich bei der Datenfernverarbeitung vielfach um geschlossene Netze (zum Beispiel HfD-Verbindungen), so daß es für Externe nicht ganz einfach ist, mit fremden Computern zu kommunizieren. Kann man also die genannten Presseveröffentlichungen unbeachtet weglegen, oder sollten sie neue Überlegungen auslösen?

Auf jeden Fall ist es richtig, bei sich ändernder Systemwelt neue Sicherheitsüberlegungen anzustellen. So steht zum Beispiel die Philosophie des Mikrocomputers konträr zu bisherigen Grundsätzen von Funktionstrennung. Insofern sollte durch Rahmenrichtlinien geregelt werden, welche Arbeiten für den Mikro-Einsatz vorgesehen sind und ob solche Arbeitsplatzcomputer mit Großrechnern verbunden werden.

Datensicherheit erhöhen

Sicherheitsanstrengungen dienen nach unserem Sprachgebrauch keineswegs nur zur Abwehr und Aufdeckung von

Delikthandlungen, sondern in einem viel weiteren Sinne der Herbeiführung oder Erhaltung der Datensicherheit (gemäß Entwurf DIN 44300). Zielsetzung ist vorrangig die Vermeidung und Minimierung von Schäden aus Fehlern oder höherer Gewalt. Zum Stand der DV-Sicherheit in den Einzelbetrieben lassen sich kaum generelle Aussagen treffen - er differiert stark, teilweise bedingt durch Branche und Größenordnung. Zweifellos haben die Unternehmen in den letzten Jahren mit wachsender DV-Durchdringung auch den Sicherheitsbereich durch Hard- und Software durch bauliche und organisatorische Maßnahmen erheblich verbessert. Hier darf das konsequente Wirken von DV-Organisatoren, DV Revisoren wie auch Datenschutzbeauftragten nicht unerwähnt bleiben, wobei Stellenwert und Einfluß solcher interner Instanzen im Einzelfall sehr unterschiedlich sind. Teilweise werden diese Mitarbeiter durch überbetriebliche Institutionen unterstützt.

Am Deutschen Institut für Interne Revision wirken seit über 15 Jahren zwei Arbeitskreise zur praxisorientierten Fortbildung und zum Erfahrungsaustausch von DV-Revisoren. Sicherheitsfragen stellen selbstverständlich nur einen Teilbereich ihres Aufgabengebietes dar. Auch mit den Datenschutzbeauftragten bestehen in generellen Sicherheitsaspekten keine Zielkonflikte (vergleiche Organisationskontrollen nach § 6 BDSG Anlage). Fachdiskussionen wie auch das organisatorische Umsetzen durch die Datenschutzbeauftragten haben daher zur Verbesserung der Datensicherheit beigetragen.

Schwachstellen aufdecken

Was müßte nun im Einzelunternehmen zur Verbesserung der DV-Sicherheit noch getan werden? Diese Frage kann nur vor dem Hintergrund einer umfassenden Risikoanalyse beantwortet werden. In regelmäßigen Intervallen sollte der DV-Sektor unter Sicherheitskriterien überprüft werden, um Schwachstellen aufzudecken oder von vornherein auszuschalten. Teilweise werden auch externe Berater mit derartigen Untersuchungen betraut. Die Analysen zeigen vielfach, daß Sicherheitsinvestitionen punktuell sehr hoch sein können, während auf anderen Gebieten ein nicht zu vertretendes Risiko besteht. Oft sind dem Management solche Schwachstellen und die damit verbundenen potentiellen Risiken nicht bekannt. Es kann nicht Aufgabe dieses Kommentars sein, auf Einzelpunkte solcher Sicherheitsprüfungen einzugehen. Hierzu liegen Leitfäden und Checklisten sowie Literatur aus Theorie und Praxis vor.

Neben der Feststellung von Sicherheitsschwachstellen kommt der Risikobewertung ausschlaggebende Bedeutung zu. Hierbei muß immer vom jeweiligen Sachgebiet ausgegangen und die Folgen für die Nicht-DV-Welt mitberücksichtigt werden. Mit der gewollten DV-Durchdringung des betrieblichen Geschehens ist die Abhängigkeit von einer funktionsfähigen DV überproportional gewachsen. Für jede Anwendung sollte es die Möglichkeit des befristeten Ausfalls oder die Auswirkungen eines starken beziehungsweise schwachen Kontrollgefüges erörtert werden. Die Verfahren lassen sich dann abhängig von der Sensibilität der Daten und der Dringlichkeit der Informationen in Risikoklassen eingruppieren. In der DV neigt man dazu, alle Geschäftsvorgänge gleichrangig abzuwickeln. Dies muß nicht für durchdachte Kontrollsysteme gelten. Sollten die Kontrollmechanismen eines Millionen-Vorganges nicht intensiver gestaltet werden als die eines Minimalfalles? Genauso ist die Frage nach der Notwendigkeit der Chiffrierung von Daten - insbesondere zur Datenfernübertragung - flexibel zu beantworten.

Keine hundertprozentige Sicherheit

Der Einbau differenzierter Kontroll- oder Abstimmsysteme ist einer der Beweggründe für die Einschaltung von DV-Revisoren bereits bei der Verfahrensentwicklung. Zweifellos lassen sich Sicherheitsanforderungen im Entstehungsprozeß kostengünstiger umsetzen als bei eingesetzten DV-Verfahren. Die notwendige Sicherheitsinvestition läßt sich exakter dem gewollten Rationalisierungsschritt gegenüberstellen. Es geht dabei nicht darum, einem problemlosen Ablauf bei Übernahme auf die DV mehr Kontrollen zukommen zu lassen als vorher, sondern um ein angemessenes Kontrollgefüge. 100prozentige Sicherheit gibt es ohnehin nicht.

Wichtigster Faktor beim Thema Sicherheit ist der Mensch. Die Wirksamkeit aller technischen Sicherheitseinrichtungen wird beeinträchtigt, wenn bei den Betreibern und Nutzern nicht das Bewußtsein um deren Notwendigkeit vorhanden ist und die Einrichtungen wie zum Beispiel Zugriffsschutzsysteme oder Zugangskontrollsysteme nicht richtig gehandhabt werden. Daher kommt der Motivation für DV-Mitarbeiter und Nutzer eine hohe Priorität zu.