DÜSSELDORF (ee) - Bis zum 1. 1. 79 müssen die technischen und organisatorischen Maßnahmen des Paragraphen 6 BDSG bei den betroffenen Anwendern realisiert sein. Die ESC Software GmbH in Düsseldorf, die sieh mit der Frage auseinandersetzt, was die Datenzerstörung für ein Unternehmen bedeuten kann, empfiehlt, die Zugriffsberechtigung in das Betriebssystem einzubetten, ESC gibt auch ein paar Anhaltspunkte, nach denen ein Daten-Sicherheitssystem eingeführt werden kan.

Obwohl zumeist nur Spektakuläre Verluste durch Diebstahl unter Benutzung des Computers Schlagzeilen machten, kann ein Unternehmen auch folgenschweren Schaden durch absichtliche Zerstörung, unerlaubten Gebrauch oder Verlust von Daten erleiden. Mehr oder weniger vollkommen sind die physischen Sicherheitssysteme, die zugriff und Benutzung der Systeme im Rechenzentrum überwachen - wobei die meisten Verletzungen der Sicherheit auf die Informationen innerhalb der Systeme zielen.

Vollkommene Sicherheit wird meistens als unerreichbar angesehen. Indessen zwingt der Druck von außerhalb der Unternehmen das Management, der Kontrolle von Systemen genausoviel Beachtung zu schenken wie der Implementierung von Systemen. Das Management muß seine Verarbeitungsverfahren laufen dahingehend überprüfen, daß ein gesundes Gleichgewicht zwischen der Leistungskraft eines Systems und der Kontrolle der (..)ermögenswerte besteht.

Ein angemessener Schutz ist nötig, da EDV-Verfahren und Daten beträchtliche Investitionen bedeuten. Weiterhin wird dieser Schutz benötigt, weil diese EDV-Systeme zur erfolgreichen Erlangung der Unternehmensziele erforderlich sind. Darüber hinaus müssen der Verlust von nicht mehr zu ersetzenden Daten und die Folgen für diejenigen die sich auf diese Daten verlassen, bedacht werden.

Mehr als 200 000 Computer dürften heute weltweit in Betrieb sein. Ihre Anzahl soll bis 1985 auf 450 000 steigen. Sollte sich diese Schätzung als richtig erweisen und sollte die Anzahl der Mißbräuche im Verhältnis steigen, bedeutet dies allein in den USA einen jährlichen Verlust von über 100 Millionen Dollar. Während der unmittelbare Dollar-Verlust pro Vorfall nicht sehr hoch zu sein braucht, ist die Auswirkung auf verschiedene Gruppen und Personen wesentlich größer.

Ein Hauptvorteil der heutigen Computer-Verfahren ist der Anstieg von Time-Sharing und anderen Computer-Verbundnetzen, wobei häufig von größeren Entfernungen auf Daten zugegriffen wird. Darüber hinaus können Anwender bestimmte Programme und Daten gemeinschaftlich benutzen. Selbstverständlich wird dadurch auch das Risiko der Unternehmen erhöht.

Um dieses Risiko im Griff zu haben, muß das Management, das sich Systeme und Mittel mit anderen teilt, bestimmen können, wer auf bestimmte Daten zugreifen darf und welche Arbeitsabläufe durchgeführt werden dürfen. Dagegen muß das Sicherheitssystem für die Einhaltung dieser Richtlinien sorgen können, nicht nur unter festgesetzten voraussehbaren Bedingungen, sondern auch auf dynamische Art, wenn ständige Änderungen der Autorisation zu erwarten sind. Auch muß die Möglichkeit bestehen einmal zugestandene Zugriffsbefugnisse wieder zurückzuziehen sowie die Sicherheitsprüfungen innerhalb der neu entwickelten Verarbeitungsverfahren zu spezifizieren. Es wird damit ersichtlich, daß die Handhabung von Zugriffsberechtigungen eine komplizierte Angelegenheit ist, die daher im Betriebssystem eingebettet sein sollte.

Die Gefahr des Mißbrauchs von Computern kann aus verschiedenen Richtungen kommen: erstens können diese Schwachstellen aus ungenügender Kontrolle von Input und Output herrühren. Der zweite Gefahrenpunkt steckt im Zusammenbruch der allgemeinen Betriebsbedingungen von funktionalen und physischen Stellen.

Funktionale Schwachstellen schließen schlechte Kontrolle der Handhabung von Input- und Output-Daten, schwache oder nicht existierende Kontrolle der Zugriffsmöglichkeiten auf Daten, Computer- und Terminal-Verarbeitungsverfahren sowie verwerfliche Integrität mancher Unternehmen ein. Andere wiederum entstammen aus Schwächen in der Kontrolle von Computer-Programmen, aus dem Zu- und Eingriff auf und in das Operating-System, schwache Kontrollen übel Zugriff im Time-Sharing-Betrieb durch Vortäuschung falscher Tatsachen und schlechte Magnetband-Überwachung.

Verletzungen in diesen Gebieten können zum Verlust der Glaubwürdigkeit und auch der Vertraulichkeit der Daten sowie zum Verlust oder Verzug der Benutzung des Gesamtsystems führen.

Zum Thema "Glaubwürdigkeit der Daten" muß vom Management bedacht werden, inwieweit Daten Gefahr laufen, durch Zufall oder unbefugten Eingriff geändert oder zerstört zu werden und ob die Möglichkeit der Speicherung unvollständiger Daten besteht Der Verlust der Vertraulichkeit von Daten könnte sowohl durch die Zugriffe von nur begrenzt autorisierten aber ihre Befugnisse überschreitenden Personen als auch von nicht autorisierten Personen erfolgen.

Durch die heutige und sieh in Zukunft immer mehr erweiternde Abhängigkeit von Computer-Systemen können schlechte Kontrollen zu außerordentlich hohem Verlust führen Unzureichende Kontrollen führen zu unzulänglichem System-Design, ermöglichen Betrug und genauso wie es zu fahrlässig fälschlichen Änderungen oder Nichtbenutzung interner Standards kommen kann.

Mit der sich ständig erhöhenden autorisierten (und unautorisierten) Benutzung von Computer-Systemen muß sich das Management mit der System-Kontrolle auseinandersetzen. Diese Kontrollen sollten mindestens die Ein- und Ausgabe sowie die Verarbeitung der Transaktionen aufzeichnen. Sie sollten die Daten-Handhabung und Verarbeitungsprozedur beeinflussen, um sicherzustellen, daß Batch- sowie TSO-Transaktionen richtig behandelt und Fehler vermiede bzw. rechtzeitig entdeckt und konsequent bereinigt werden.

Sowohl auf Computer basierende Informationssysteme als auch die Seit der Systementwicklung sollten diese internen Kontrollen unterliegen.

Kostenbetrachtung

Wenn sich ein Unternehmen entschieden hat, die interne Kontrolle zu verbessern, müssen die Kosten de Einführung sowie die Einhaltung de Standards eines solchen Systems de Wert der zu schützenden Daten und dem möglichen Verlust gegenüber gestellt werden.

Vor der Auswahl eines Datensicherheitssystems muß das Management folgende Punkte feststellen:

- die Auswirkung des möglichen Verlusts von Daten

- den Wert dieser Daten für d Unternehmen

- inwieweit ist das Unternehme einzelnen Personen gegenüber für de Mißbrauch von Daten verantwortlich?

- wie hoch ist die Wahrscheinlichkeit eines solchen Vorfalls? Sind diese Faktoren ermittelt, muß das Management entscheiden:

- was wird das System im Zusammenhang mit Personalaufwand kosten ?

- wird die Einführung eines solchen Systems die Produktionsleistung verringern und, wenn ja, um wieviel?

- kann es beim Eintritt eines Notfalles leicht umgangen werden, so da keine Verschlechterung eintritt?

- wie leicht überwacht es sich selbst um festzustellen, ob Lücken entstanden sind?