Daten zu sichern bedeutet unproduktive Maßnahmen, zumindest auf den ersten Blick. Die Organisation des Nicht-Ereignisses entzieht sich einer Wirtschaftlichkeitsrechnung. Wie läßt sich die Schmerzgrenze präzise bestimmen?

Alle Datensicherungsmaßnahmen engen ein und sind lästig. Diese Auffassung hat sich weitgehend durchgesetzt. Selbst wenn sie richtig wäre - und sie ist es nicht immer, wie noch nachzuweisen sei - so ließe sich daraus keineswegs ableiten, daß Datensicherung überflüssig wäre. Dem wird jeder verständige Mensch zustimmen. Bleibt also zu klären, wie weit gegangen werden muß, welcher Aufwand - einmalig und auf Dauer - zu treiben ist, um offenkundige Risiken auszuschalten.

Und genau das ist das Thema für den DV-Verantwortlichen, nachdem Berichte über Computermanipulationen, Bombenanschläge, Datenunfälle, technische Planungen und andere Häßlichkeiten die nationale und internationale Presse immer häufiger verunzieren. Es wird deutlich: die Gradwanderung zwischen Vernachlässigung und übertriebenem Schutzdenken. Beides gilt es zu vermeiden.

Zunächst einmal kann positiv angemerkt werden, daß es eine Reihe von Geräten und Softwareprodukten gibt, die unter Gesichtspunkten der Wirtschaftlichkeit entstanden sind und die auch so verkauft werden, die aber handfeste Sicherheitsfunktionen aufweisen. Solche Softwarebausteine helfen das sonst düstere Bild der Wirtschaftlichkeit bei der DV-Sicherheit auf. Um einige Beispiele zu nennen: Das von Uccel Software vertriebene, weltweit, so das Unternehmen, über 4000 mal eingesetzte Magnetbandverwaltungssystem UCC-1. Es "verkaufe sich" unter anderem über Einsparungen, die der Einsatz mit sich bringt. Gleichzeitig aber sei ein irrtümliches oder - bei paßwortgeschützten Dateien - ein gezieltes unbefugtes Zugreifen nicht möglich; ein Sicherheitseffekt also, der nicht zu unterschätzen ist, und quasi nichts kostet. Ähnliches gilt für die Bibliotheksverwaltung mit den Softwarepaketen Panexec und Panvalet von Pansophic GmbH: Gespeicherte Programme werden in ihren Versionsnummern so dokumentiert, daß weder ein Türke gebaut werden kann noch Sabotageakte erfolgreich verlaufen können: Ein vom Benutzer nicht ansprechbares Sicherheitsband läuft mit. Die Liste der nützlichen Dienstprogramme mit Nebenwirkungen für die Datensicherheit ließe sich durchaus verlängern.

Aber was tun, wenn erkennbar ist, daß Unsicherheiten abgestellt werden müßten, Risikowahrscheinlichkeit und Kosten aber schwer abzuschätzen sind?

Zwei Ansätze helfen hier weiter:

- Gesetzliche Vorschriften sind zu erfüllen.

- Eine realistische Risikoeinschätzung führt zwar nicht zur klassischen Wirtschaftlichkeitsrechnung, wohl aber zu einer Entscheidungsfindung hinsichtlich akzeptabler und nicht akzeptabler Risiken.

Nicht nur das Datenschutzrecht, sondern auch das Handelsrecht und die Abgabenordnung fordern bestimmte Vorkehrungen von der DV, die geeignet sind, die Sicherheit erheblich zu erhöhen. Als da insgesamt wären:

þBundesdatenschutzgesetz (für Unternehmen und Bundesbehörden anwendbar) sowie Landesdatenschutzgesetzes (anwendbar für behördliche Einrichtungen des jeweiligen Bundeslandes) definieren Anforderungen an die Datensicherung (° 6 BDSG nebst gleichlautenden Vorschriften des jeweiligen Landesdatenschutzgesetzes), die im wesentlichen die Organisation der Datensicherung und den Zugriffsschutz zum Gegenstand haben. Angewendet werden müssen diese Vorschriften auf die Verarbeitung personenbezogener Daten. Daß es sich dabei um Dateien mit Datensätzen über natürliche Personen handelt, ist allgemein bekannt. Was häufig vergessen wird: Auch in anderen Anwendungssystemen mit x-beliebigen Daten können sich durchaus personenbezogene Daten finden, nämlich dann, wenn das System Benutzerkontrollen durchführt und die Benutzerdaten und das Benutzerverhalten protokolliert. Dieser Umstand ist häufig übersehen worden, rückt jetzt aber ins Bewußtsein der DV-Betreiber, weil sich durch die höchstrichterliche Arbeitsrechtsprechung Mitbestimmungsrechte bei solchen Anwendungen ergeben haben, auf die Betriebs- und Personalräte jetzt pochen.

þAnforderungen an die Dokumentation und Prüfbarkeit der DV-Anwendungen, soweit mit ihnen finanzwirksame Daten verarbeitet werden, definiert der Erlaß "Grundsätze ordnungsgemäßer Speicherbuchführung" des Bundesfinanzministeriums vom 5.7. 1978.

Obgleich dieser Erlaß ursprünglich auf beleglose Buchführung abzielte, hat das Finanzministerium doch im Laufe der Beratungen erkannt, daß hinsichtlich der Transparenz des Anwendungssystems und seiner Umgebung kein Unterschied zwischen belegloser und DV-unterstützter Buchführung besteht. Im Vorwort zu diesen Grundsätzen, kurz als GoS bekannt, sagt der Erlaß unmißverständlich, daß Textziffer 6 "Dokumentation und Prüfbarkeit" für alle maschinellen Abrechnungsverfahren Gültigkeit habe. 1979 wurde dies noch bekräftigt: Abschnitt 29 der Einkommensteuerrichtlinien befaßt sich mit der Ordnungsmäßigkeit der Buchführung und verweist im Absatz 5 auf Textziffer 6 der GoS, die damit im Bereich aller DV-Systeme gilt, die nach dem Einkommensteuerrecht relevant sind. Basis für die GoS ist der ° 43 Handelsgesetzbuch, im öffentlichen Bereich ° 146 der Abgabenordnung.

Im Klartext bedeutet das: Die Dokumentation muß für einen sachverständigen Dritten verständlich sein, der gesamte Änderungsdienst ist so zu protokollieren, daß nachvollzogen werden kann, welche Systemversion wann gültig war und unter welchen Umständen geändert wurde (die Verbindung zur Vorgabe muß herstellbar sein). Mit anderen Worten: Es ist sicherzustellen, daß nur in geregelten Bahnen Programme geändert werden können, denn sonst ist die Ordnungsmäßigkeit in Frage gestellt.

Daß hier Ansätze für Finanz- und Wirtschaftsprüfer sind, die Buchführung kritisch zu sehen, liegt auf der Hand. Die erforderlichen Maßnahmen zur Sicherstellung der Ordnungsmäßigkeit dienen aber gleichzeitig der Sicherheit.

Dort, wo gesetzliche Vorschriften keine Ordnungs- und Datensicherungsmaßnahmen vorschreiben, ist der betriebswirtschaftliche Ansatz zu untersuchen. Hier stellt sich die Frage, in welchem Umfang Anwendungen zu rechtfertigen sind, die der Sicherheit dienen. Dies beantwortet sich aus der realistischen Einschätzung der Risiken sowie den vorhandenen Ressourcen, aus denen sich Maßnahmen bezahlen lassen. Der finanzielle Spielraum läßt sich dabei leichter orten als das realistische Risiko.

*Hans Gliss, SCS, Bonn