Im Zusammenhang mit der Diskussion um den Datenschutz werden "Datenbanken" immer wieder als besondere Gefahrenquelle aufgeführt. Man könnte sogar meinen, daß die Diskussion um den Datenschutz erst mit dem zunehmenden Aufbau von Datenbanken in Gang gekommen ist. Versteht man eine Datenbank als eine zentrale Ansammlung aller Daten eines Unternehmens oder eines Fachgebietes, so ist diese Diskussion, ist die Sorge um Datenschutz und Zugriffsberechtigung durchaus verständlich.

Mit Listengeneratoren oder Dialogauskunftssystemen ist die Datenbankauswertung auch für den Anwender möglich, der nicht über spezielle Datenverarbeitungs- oder gar Programmierkenntnisse verfügt. Jeder, der den Zugang zu einer Datenstation, einem Bildschirmarbeitsplatz hat, kann eine Auswertung des Datenbestandes erhalten. In der Diskussion um den Schutz gespeicherter Daten vor unberechtigter Verarbeitung wird die Mißbrauchsmöglichkeit von Datenbanken oft in schwärzesten Farben dargestellt. Dabei wird übersehen, daß Datenbanksysteme unter vielen anderen Aufgaben das Gebiet "Datenschutz" als eine Hauptaufgabe mit Organisationsmethoden und Softwarefunktionen unterstützen.

Der Beitrag der Datenbanksysteme zum Datenschutz ist daher in zwei Bereichen zu sehen:

- Datenbanksysteme ordnen den Datenbestand eines Unternehmens. - Datenbanksysteme bieten softwaretechnische Vorkehrungen gegen unberechtigten Zugriff.

Datenbanksysteme ordnen die Datenverwaltung und die Datenbereitstellung

Datenbanksysteme automatisieren als zentrale Verfahren die Speicherung, die Verwaltung und die Bereitstellung von Daten. Es bleibt somit immer nachweisbar-, wo die Daten eines Unternehmens stehen, wer mit ihnen aktuell arbeitet, wer sie verändert hat und, nicht zuletzt, wer für ihren Inhalt verantwortlich ist.

Derjenige, der Datenbanksysteme einsetzt, weiß im allgemeinen, wo Daten gespeichert sind und wer mit ihnen arbeitet. Er weiß auch, wie sie organisiert sind; er kennt Zugriffsrechte, Verarbeitungswege und Änderungsstände der Daten. Es steht außer Zweifel, daß Ordnung der beste Schutz vor unkontrollierbaren Aktivitäten ist, das gilt natürlich auch innerhalb der Datenverarbeitung.

Man darf trotzdem nicht verkennen, daß es auch bei größter Ordnung, bei exaktesten Vorschriften und Verfahren, einem trickreichen Eindringling gelingen kann, Daten auszuwerten, die nicht für ihn bestimmt sind. Eine starke Bedeutung kommt deshalb der "Protokollierung" zu. Die Protokollierung jedes Zugriffs zu den Datenbeständen mit Angabe der Zeit, der ausgewerteten Daten und des Programms oder des Terminals, von dem aus zugegriffen wird, kann eine Ahndung des "Mißgriffs" und eine Vorkehrung gegen zukünftigen Mißbrauch ermöglichen.

Software-technische Vorkehrungen gegen unberechtigten Zugriff

Viele Datenbanksysteme unterstützen den Schutz vor unberechtigtem Zugriff mit einer Reihe von Funktionen. Diese lassen sich zwei Gruppen zuordnen:

- Basisfunktionen eines Datenbanksystems, die auch zum Schutz gegen unberechtigten Zugriff dienen können;

- Strukturierung von Datenbeständen:

Schema-Subschema-Konzept

AREA Realm-Konzept

- Temporärer Schutz von Datensätzen und Datenbankbereichen

- Spezialfunktionen, die zum Schutz gegen unberechtigten Zugriff entwickelt wurden.

- Benutzeridentifikation

- Zugriffsrechte

Schema-Subschema-Konzept

Eine der wesentlichen Funktionen des Datenbanksystems ist es, die in der Wirklichkeit vorhandenen Datenbeziehungen darzustellen. Ein Datenbanksystem sollte es gestatten, die organisatorischen, betriebswirtschaftlichen oder technischen Zusammenhänge zwischen Daten in Form von linearen, hierarchischen oder netzartigen Datenstrukturen darzustellen. Eine solche Datenstruktur ist in Bild 1 dargestellt. Entsprechend dem CODASYL-Normvorschlag für Datenbanksysteme wird sie als "Schema" bezeichnet. Mit Hilfe des Schema-Subschema-Konzeptes ist es möglich, den für einen Anwender ansprechbaren Teil einer Datenbank exakt zu begrenzen.

Eine weitere für den Datenschutz wichtige Strukturierungsmöglichkeit von Datenbanken ist mit Hilfe des AREA/REALM-Konzeptes möglich. Unter REALM (= AREA) verstehen wir einen physikalisch und logisch abgegrenzten Teilbereich einer Datenbank. Besteht die Datenbank aus drei REALMS A, B und C und bezieht sich ein Anwendungsprogramm nur auf Daten des REALMS B, so ist es nicht notwendig daß die Speichermedien mit den REALM A und C zugriffsbereit sind. Neben der Einsparungsmöglichkeit von peripheren Geräten hat diese Funktion auch erhebliche Auswirkungen auf das Datenschutzkonzept einer DV-Anwendung. Man kann nämlich bei der Definition einer Datenbank pro Satzart angeben, in welchem REALM der Datenbank die aktuellen Sätze dieser Satzart gespeichert werden sollen. Damit kann man alle besonders schutzwürdigen Informationen eines Unternehmens in eigenen REALMs speicherungstechnisch zusammenfassen und die Plattenspeicher dieser REALMs unter besonderen Schutzvorkehrungen handhaben.

Usage-Mode, KEEP und FREE

Einzelne Datensätze und ganze Datenbankbereiche REALMs können während des Ablaufs eines Programms implizit oder durch explizite Angabe entsprechender Kommandos für vorgegebene oder vom Benutzer wählbare Zeiträume gegen den Zugriff anderer Anwender geschützt werden.

Der Schutz auf der Ebene der Datenbankbereiche wird über die Angabe eines sogenannten Usage-Modes erreicht. Entsprechend der Modi verschiedener, gleichzeitig ablaufender Benutzerprogramme entscheidet das Datenbanksystem, ob ein Datentransfer zu oder von der Datenbank simultan ausgeführt werden kann oder nicht.

Mit den Datenbankkommandos KEEP und FREE kann der Schutz einzelner Datenbanksätze über einen vom Benutzer frei wählbaren Zeitraum er-

Dieser Schutz auf Datensatzebene, ermöglicht somit einen zeitlich steuerbaren, exklusiven Zugriff.

Erlaubte und verbotene Programme

Die eigentliche Kernaufgabe eines Datenbanksystems im Funktionsbereich Datenschutz ist die Überprüfung von Zugriffsrechten der Benutzer. Als Benutzer in diesem Sinne gelten sowohl DV-Programme als auch Endbenutzer an Terminals. Vor der ersten Eröffnung der Datenbank für den Zugriff muß der Benutzer eine Kennung abgeben. Diese besteht aus drei Teilen: Benutzergruppe, Benutzername und Paßwort. Das DB-System vergleicht diese Kennung mit den Einträgen in den Datenschutztabellen und eröffnet den Zugriff zur Datenbank nur dann, wenn die Benutzeridentifikation erfolgreich war.

Hat der Benutzer das grundsätzliche Recht des Zugriffs für einen Teil der Datenbank (Subschema) erhalten, so startet der entscheidende Teil des Datenschutzkonzeptes, die Prüfung der Zugriffsberechtigung. Diese ist eine zur Laufzeit ausgeführte Überprüfung jeder einzelnen Interaktion des Benutzers mit der Datenbank. Sie benützt die beiden Satzarten der Datenschutztabellen: Zugriffsrechte auf Programmebene, Zugriffsrechte auf Satzartebene (siehe Bild 2). Es gibt für jede Benutzergruppe drei verschiedene Arten von Programmen:

- "erlaubte Programme": die betroffene Benutzergruppe darf dieses Programm ohne weitere Überprüfung benutzen;

- "verbotene Programme": die Benutzergruppe darf dieses Programm keinesfalls benützen;

- bei Programmen, die in der Tabelle nicht erwähnt sind, tritt die nächste Stufe des Datenschutzkonzeptes von UDS in Aktion: die Überprüfung der Zugriffsrechte auf Satzartebene.

In der Datenschutztabelle "Zugriffsrechte auf Satzartebene" ist für jeden Aufruf der Datenbanksprache eine Information angelegt. Die Erlaubnis kann gelten für die Ebenen einer Datenbank: Datenbankbereich, Verbindung zwischen Satzarten (Datenstruktur) sowie Satzart.

Durch die Kombination der verschiedenen hier geschilderten Datenschutzmechanismen ist ein Schutze auf nahezu beliebigem Niveau möglich. Das eine Extrem ist gekennzeichnet durch die Erlaubnis, alle Aktionen in der Datenbank ohne Überprüfung auszuführen ("erlaubtes Programm" in der Tabelle Zugriffsrechte auf Programmebene). Das andere Extrem kann in etwa dargestellt werden dadurch, daß ein einzelner Benutzer in einer komplexen Datenbank nur ein einziges primitives Kommando (zum Beispiel Lesen mit Schlüssel) auf eine einzige Satzart innerhalb eines Datenbankbereiches ausführen darf. Zusammen mit den Basisfunktionen der Strukturierung von Datenbeständen über Subschemata und Datenbankbereiche sowie dem temporären Schutz von Datensätzen bietet ein modernes Datenbanksystem Funktionen an, die jede vom Benutzer gewünschte Intensität des Datenschutzes realisieren läßt.

Dienststellenleiter Systemsoftware/Kundendienst bei der Siemens AG, München.