Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

06.03.1987

Berater fordert drastische Maßnahmen gegen Dummheit und Sabotage:Deutscher Datenschutz soll importiert werden

RÜSCHLIKON (CWS) - Radikale Ratschläge zur Verminderung von Sicherheitsrisiken bei der Verwendung von Personal Computern im Betrieb erteilte der Unternehmensberater Thomas Panzer auf der Tagung "Neue Informationstechnologien - Neue Sicherheitskonzepte", die vom Betriebswissenschaftlichen Institut der ETH Zürich veranstaltet wurde.

Datenschutz und Datensicherheit können, so Panzer, kaum gewährleistet werden, da viele Personal Computer keine besonderen Datenschutzvorrichtungen aufwiesen. In den Anfangszeiten des PCs sei dies auch kein Problem gewesen, da solche Rechner vor allem als Schreibund Rechenmaschine mit Speicher eingesetzt worden seien.

Als Bestandteil eines Kommunikationssystems jedoch bringe die Verwendung von solchen Rechnern erhebliche Schwierigkeiten, was die Sicherheit angehe. "Man kann wohl für den Datenschutz bei einer Anlage sorgen, nicht aber bei einhundert Anlagen." Außerdem bestehe ein unzulängliches Angebot an Sicherheits-Software wie beispielsweise Prolog oder das Programmsystem Watchdog. Und je nach Betriebssystem könnten auch gelöschte Disketten noch gelesen werden.

Die Computerkriminalität teilt Panzer in Hardware-Manipulation - Eingabe oder Löschen von Daten, Kreditbetrug - und Software-Mißbrauch - Software-Bomben, Viren und illegales Kopieren von Programmen - ein. Werden Rechner im Stand-alone-Modus eingesetzt, habe man Probleme mit der Sicherheit, wenn nicht feststeht, wer für sie verantwortlich ist, und nicht klar ist wer den Rechner wofür benutzt.

Wird der PC mit einem Hostrechner als Terminal verwendet, würde er wegen der Möglichkeit der Datenausgabe auf leicht transportierbare Datenträger zu einem besonderen Sicherheitsobjekt. Im lokalen Netzwerk eingesetzt, müßten je nach Art der gespeicherten Daten und der eingesetzten Anwendungen entsprechende Sicherheitsanforderungen gestellt werden, die nicht erfüllt werden könnten, wenn:

- der Operator nicht geschult sei,

- das Betriebssystem nicht auf Sicherheit ausgerichtet sei,

- das Sicherheitsbewußtsein des Personals unterentwickelt sei.

Die Sicherheitsmaßnahmen sollten das Host-System, das Personal-Computer-System sowie das Netzwerk umfassen.

Geräte und Disketten abends wegschließen

Die Einführung von PCs sei häufig mit Arbeitszusammenfassung verbunden, wo aus sicherheitstechnischen Gründen Arbeitsteilung angezeigt wäre. Deshalb sollten Sicherheitsnormen erstellt und Kontrollen - insbesondere Personalkontrollen - eingeführt werden. Da man Rechner und Programme stehlen kann - und es auch getan wird -, empfiehlt Panzer als wirksamste Sicherung, die Geräte und Disketten jeden Abend wegzuschließen, die Kabel zu entfernen sowie Schlüsselschalter und Alarmanlagen einzubauen. Als Programmsicherungen schlägt er den Einbau von "undefined lines" in Basic-Programmen, die Verwendung von Sicherungs-Software und die Einführung von Kennsätzen vor.

Der Datenschutzbeauftragte eines Unternehmens sowie alle PC-Benutzer sollten auf das bundesdeutsche Datenschutz-Gesetz verpflichtet und mit schematisierten Kontrollen überwacht werden. Bei Arbeiten mit pfannenfertigen Managementprogrammen wie Symphony oder Open Access sollte ein striktes Programmierverbot erlassen werden. Die Angestellten sollten gruppenweise ins Sicherheitssystem eingeführt werden. "Einen Personal Computer erhält nur, wer mit den Vorschriften vertraut ist."

Das Sicherheitssystem nach Panzer besteht aus der Systemkontrolle und der Systemrevision. Unter Kontrolle versteht er die laufende Überwachung des Systems aufgrund von Checklisten, welche Sicherheitsbereiche wie Zutrittskontrollen, Brand- und Sabotageschutz, Datenträger, Netzwerke abdecken. Ein häufiger Diskussionspunkt sei die Frage, ob Hardware oder Software geschützt werden sollen. Obschon behauptet werde, daß Hardware-Sicherungen leicht zu "knacken" seien, empfiehlt sie Panzer als erste Bremse. Ein Sicherheitsschlüssel, eine Steckkarte, die eingesteckt werden muß, erhöhen die Sicherheit.

Die Systemrevision bestehe vor allem aus einer nachzuvollziehenden Prüfung der Sicherheitsvorschriften und -Maßnahmen, erklärte Panzer. Stehe einmal fest, ob überhaupt Sicherheitsvorschriften vorhanden sind, könnten ihre Wirksamkeit und ihre Einhaltung durch das Personal geprüft werden. Ferner sollten auch die Fragen der Schadensverhütung - Bedienungsvorschriften, Hausordnung, Diebstahlsicherung, Benutzerregelungen - mit einbezogen werden. Schutz vor Manipulationen bieten Kontrollnummern, doppelte Zugriffsberechtigung sowie Benutzer-Protokollierung.

In der Sicherheit beim Einsatz von Personal Computern im Betrieb sei das Thema Schulung oft unterbewertet fuhr Panzer fort. Es werde meist übersehen, daß Benutzer dieser Rechner meist EDV-Laien sind, denen Sinn und Zweck von Sicherungsmaßnahmen eindringlich und verständlich nahegebracht werden müßten, und zwar von der Funktionsweise von Disketten bis zur Darstellung von Grundlagen der Datensicherung. Nicht zu vergessen sei die der Mitarbeiter in ihre Rolle bei einer Katastrophe.

Die Verwendung von PCs bedeute gewiß ein erhöhtes Risiko, das aber mit einem Sicherheitssystem wirksamen Kontrollen und einer effektiven Revision relativ niedrig bleibe, schloß Panzer.