Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

14.03.1980

Datenschutzproblematik in Methoden- und Modellbanksystemen

Rainer Hüber, Mitglied des Lenkungsgremiums der GI-Fachgruppe: Methoden und Modellbanksysteme; Mitherausgeber der "Mitteilungen" der Fachgruppe

Die Notwendigkeit, Daten gegen unrechtmäßige Einsichtnahme oder gar gegen - möglicherweise auch unbeabsichtigtes - Ändern und Löschen zu schützen, ist immer dann gegeben, wenn Daten für ihren Besitzer oder für die Öffentlichkeit ein in irgend einer Weise wertvolles Gut darstellen. Die Kriterien für den Wert von Daten und damit für die Schutzwürdigkeit reichen von der wirtschaftlichen Existenz eines Unternehmens bis zum Schutz der Privatsphäre eines Staatsbürgers.

Das Inkrafttreten des Bundesdatenschutzgesetzes (BDSG) zum 1. Januar 1979 ist für viele Betreiber von Rechenanlagen eine weitere massive (verordnete) Motivation, wenngleich im BDSG vorwiegend juristische Probleme hinsichtlich Umgang mit personenbezogenen Daten (Begriffsdefinition siehe ° 2 des BDSG) geregelt sind. Doch auch für den Informatiker enthält das BDSG einen Katalog von Richtlinien für technische und organisatorische Maßnahmen.

Ein zuverlässiger Schutz ist sicherlich erst dann garantiert, wenn neben organisatorischen Maßnahmen, die wegen ihrer menschlichen Komponente stets unsicher bleiben werden, auch wirkungsvolle technische Schutzmaßnahmen realisiert sind. An dieser Stelle muß der Informatiker die Frage beantworten, inwieweit welche Schutzmaßnahmen möglich und unter hinreichend wirtschaftlichen Bedingungen (siehe Einschränkungen des ° 6: "... angemessenem Verhältnis zu dem angestrebten Schutzzweck ...") realisierbar sind.

Wenngleich diese Frage derzeit in vielen Teilbereichen der Informatik, von der Betriebssystem- bis hin zur Anwendungssytementwicklung, aufgegriffen wurde, so ist sie bislang keineswegs zufriedenstellend beantwortet worden. Und sicherlich muß sie für neue Teilbereiche wie gerade den hier zugrudeliegenden Teilbereich "Methoden- und Modellbanksysteme" neu aufgegriffen werden.

"Das Problem rührt von der Tatsache her, daß Daten nicht gleich Informationen sind . . ."

Um mit dem Wortlauf aus dem BDSG, ° 15 und ° 29 zu sprechen, haben die Entwickler beziehungsweise Betreiber von Methoden- und Modellbanksystemen die Aufgabe, die "ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen". Wie anfangs erwähnt, sollten sich entsprechende Maßnahmen nicht nur als personenbezogene sondern allgemein auf schutzwürdige Daten beziehen.

Das Problem der rechtmäßigen Weitergabe der richtigen Information an den richtigen Benutzer rührt in Methoden- und Modellbanksystemen von der Tatsache her, daß Daten nicht gleich Informationen sind, sondern nur Träger von Informationen. Die Bedeutung der Daten, also die Information, die ihnen zukommt oder ihnen zugemessen wird, hängt davon ab, in welcher Umgebung sie gesehen werden, zu welchem Zweck sie erfaßt, gespeichert oder verarbeitet werden. Maßnahmen zum Schutz gegen unzulässigen oder unvorhergesehenen Gebrauch von Daten dürfen sich also nicht darauf beschränken, die Einsichtnahme in die gespeicherten Einzeldaten überwachen, sondern müssen auch deren weitere Verwendung berücksichtigen. Dabei ist zu bedenken, daß die Einzeldaten häufig in einem größeren Zusammenhang gesehen und gemeinsam einer algorithmischen Behandlung unterworfen werden, zum Beispiel durch Auflisten in geeigneter Form oder durch Verdichtung zu einer kleinen Zahl aussagekräftiger Zahlenwerte oder Kurven. In manchen Fällen wird man die Verdichtung von Daten, die einzeln nicht zugänglich sein dürfen, zulassen; umgekehrt kann jedoch auch das Ergebnis einer gemeinsamen Auswertung kritischer sein als die Einzeldaten.

Den geringsten, weil verwendungsunabhängigen Schutz bieten Datenbanksysteme. Verwendungsunabhängig heißt hier: Schutz bestenfalls gegen Lesen, Schreiben, Ändern oder Löschen eines einzelnen Datums oder ganzer DB-Strukturen. Übliche Schutzverfahren sind Paßwortkontrolle und das Sichtbarmachen von Datenbasisteilen mittels Subschemata, Views und dergleichen. Die genannten Operatoren sind jedoch nur primitive Bausteine, die innerhalb von Auswertungsprogrammen angesprochen werden. Sie können deshalb weder beim Lesezugriff Kontrolle über die Weiterverarbeitung der "abgelieferten" Daten haben noch beim Schreibzugriff das Ausmaß der Schreibaktion auf den Datenkontext in der Datenbasis überblicken.

Methodenbanksysteme, die eine Datenbasis mit einer meist flexiblen aber zu jedem Zeitpunkt bekannten und daher kontrollierbaren Bibliothek von Auswertungsprogrammen koppeln, lassen demgegenüber eine differenziertere Überwachung zu: Zugriffsrechte können nun nämlich über die gesamten Methoden formuliert werden ("die Methode M darf auf die Daten D zugreifen"). Die Zugriffsrechtvergabe kann dabei vom Methodeninhalt, also der Verwendung der Daten abhängig gemacht werden. Methodenbanksysteme könnten deshalb in Zukunft nicht nur aus Gründen der Benutzerfreundlichkeit, sondern auch aus Gründen der Informationskontrolle erhebliche Bedeutung erlangen.

Nach diesen noch recht allgemein gehaltenen Überlegungen zur Schutzproblematik möchte ich anschließend zwei für die Methoden- und Modellbankentwicklung wesentlich erscheinende Prämissen formulieren.

I. Zunächst sind zwei "Benutzergruppen" eines jeden Methodenbanksystems deutlich voneinander zu unterschieden:

Die Endbenutzer, in der Regel Anwendungsfachleute mit geringen DV-Kenntnissen. Ihre Kommunikation mit dem System wird über eine spezielle, auf ihre Belange zugeschnittene Benutzerschnittstelle abgewickelt, von der aus vorhandene Methoden, mit aktuellen Daten versehen, aufgerufen und ausgeführt werden können.

Die DV-Spezialisten, dies sind zunächst die Systementwickler selbst, aber auch hinreichend DV-erfahrene Anwendungsprogrammierer, die für die Programmierung von Methoden oder für deren Beschaffung von dritter Seite und Einbettung in das System verantwortlich sind sowie ferner die Kopplung mit gespeicherten Daten realisieren. Diese "Benutzergruppe" schafft demzufolge die softwaretechnischen Voraussetzungen für den eigentlichen Systembetrieb durch den Endbenutzer.

Systembenutzer im eigentlichen Sinn, das heißt Benutzer, deren Eingabe über eine definierte Systemschnittstelle entgegengenommen und bearbeitet werden, sind nur die zuerst genannten Endbenutzer. Hingegen bedienen sich letztere zur Implementierung der softwaretechnischen Lösungen der üblichen Programmierhilfsmittel, die das Betriebssystem zur Verfügung stellt. Hinsichtlich Schutz sind sie zunächst ebenso wie gewöhnliche Betriebssystembenutzer zu behandeln. Zusätzlich ist jedoch auch die Korrektheit (insbesondere keine Nebeneffekte wie zum Beispiel Lesen sensibler Information und Schreiben auf eine "geheime Datei") der von ihnen erstellten oder betreuten Programme zu gewährleisten, wozu wieder einige organisatorische Maßnahmen notwendig sind.

II. Benutzereingaben werden nur über eine dem Benutzer zugeordnete Benutzerschnittstelle entgegengenommen. Jede Eingabe ist hinsichtlich Zulässigkeit zu überwachen, es ist also zu verifizieren, ob ein Benutzer B mittels einem Kommando (Operator) K auf Daten D zugreifen darf.

Die Zulässigkeit ist hierbei offensichtlich eine Funktion der Sensibilität der Daten D und des "Vergröberungsgrades" des (datenverdichtenden) Kommandos K, wobei hinter jedem Kommando in der Regel eine oder mehrere Methoden stehen. Besonders wenig verdichtende Kommandos sind beispielsweise Auflistungs- und Kopierfunktionen.

Die Bestimmung des Vergröberungsfaktors ist freilich eine subjektive Entscheidung einer für den Informationsschutz verantwortlichen menschlichen Instanz. Mit formalen Mitteln dürften Kriterien hierzu wohl nur äußerst schwierig und vermutlich unvollständig formulierbar sein. Da außerdem die genaue Kenntnis über die Wirkungsweise einer Methode (Kommandos) die Basis für eine diesbezügliche Entscheidung liefert, ist mit der Bestimmung des Vergröberungsgrades das Problem der Programmverifikation eng verbunden.

Einschränkend bleibt allerdings hinzuzufügen, daß auch unter der Annahme der Realisierbarkeit obiger Forderungen der Schutz immer noch unsicher ist.

Dieser Gastkommentar wurde dem erst kürzlich herausgekommenen ersten Heft der "Mitteilungen" der Fachgruppe "Methoden- und Modellbanksysteme" der Gesellschaft für Informatik e. V. entnommen. Herausgeber sind: S. Dickhoven, GMD Bonn; K. H. Heuer, CTM Konstanz; H. D. Heike, TU Berlin und Rainer Hüber, Uni Karlsruhe.