Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

Bundesrechnungshof analysiert RZ-Sicherheit


07.09.1990 - 

Die EDV-Zentralen des Bundes sind nur mangelhaft geschützt

FRANKFURT (CW) - Eine Untersuchung des Bundesrechnungshofs im Auftrag des Deutschen Bundestages ergab, daß die Rechenzentren des Bundes nur "äußerst lückenhaft" gegen Sabotage, Datenmanipulation, Spionage oder Katastrophen geschützt sind.

"Bei der Querschnittsuntersuchung hat der Bundesrechnungshof in allen geprüften Rechenzentren des Bundes schwerwiegende Mängel, Versäumnisse und Nachlässigkeiten festgestellt", erklärte der Präsident der Behörde, Heinz Günter Zavelberg. So hätten sich nirgends verfahrensbezogene Risiko-AnaIysen und umfassende Sicherheitskonzepte gefunden, die unverzichtbare Grundlage jeder Datenverarbeitung seien.

Als lückenhaft stuften die Prüfer die Maßnahmen zum Schutz bei Katastrophen ein,

Übungen für den Wiederanlauf der Rechenzentren nach einer Störung würden beispielsweise überhaupt nicht stattfinden. Außerdem bemängelt die Behörde den unzureichenden Schutz sensibler Daten vor unberechtigtem Zugriff.

Die Beispiele, die Zavelberg aus der Untersuchung herausgriff, künden von mangelndem Sicherheitsbewußtsein und belegen, daß in den DV-Zentralen des Bundes jede Form von Datenmißbrauch betrieben werden kann und viele Schreckens-Szenarien, die zu Datenverlusten führen, förmlich herausgefordert werden: In einem Rechenzentrum, das Statistiken als Grundlage für verkehrs- und wirtschaftspolitische Entscheidungen erstellt, seien personenbezogene Daten offen gelagert worden und auch noch nach Dienstschluß frei zugänglich gewesen. Außerdem wurden nach Ausführungen des Präsidenten weder die Vollständigkeit der Belege noch die Richtigkeit der erfaßten Daten regelmäßig überprüft.

Organisatorische Sicherheitsmängel traten in einem anderen Rechenzentrum zutage. Hier sei die Entwicklung der Programme nicht von der Verarbeitung der Daten getrennt worden, was zur Folge gehabt hätte, daß die Programme auch dann noch geändert werden konnten, wenn sie bereits im Einsatz waren. Weitere Mißbrauchsmöglichkeiten hätten sich ergeben, weil der Archivverwalter, der "für die Sicherheit bedeutsame Aufgaben übernimmt", zur gleichen Zeit für die Bedienung des Rechners verantwortlich gewesen sei.

In einem direkt an der Straße gelegenen Rechenzentrum der Bundeswehr seien Datenbestände ohne besondere Schutzmaßnahmen im Archiv gelagert gewesen, aus denen als "geheim" ein gestufte Listen erstellt werden sollten. In diesem RZ war Zavelberg zufolge das Risiko der Spionage auch deshalb besonders groß, weil nicht abstrahlsichere Hardware eingesetzt worden sei.

RZ der Post besonders gefährdet

Als durch Viren besonders gefährdet klassifizierten die Prüfer ein Rechenzentrum der Post, bei dem per DFÜ Daten in Bereiche gelangen konnten, in denen auch Produktionsprogramme gespeichert wurden. Viren hätten in diese Programme eindringen und sie unbrauchbar machen oder verfälschen können.

Für dieses RZ, in dem täglich 300 000 Fernmelderechnungen gedruckt, separiert, kuvertiert und versendet werden, bestünde darüber hinaus keine Ausweichmöglichkeit im Falle einer Störung.

Anfällig für Sabotage sei ein Rechenzentrum, das den zentralen Knoten für ein bundesweites Datenfernübertragungs-Netz bildet. Dort würden alle Kabelzuführungen in einem einzigen, nicht abgesicherten, öffentlich zugänglichen Kabelschacht zusammenlaufen.

Was nach einer förmlichen Einladung für Saboteure klingt, wurde vom Verhalten der Mitarbeiter noch übertroffen: Die Schließmechanismen der Türen zu den verschiedenen Sicherheitsbereichen seien ausgeschaltet worden und die Maschinensäle tagsüber durch einen nichtgesicherten Personenaufzug auch für Unbefugte zugänglich. Außerdem wären Zugangsberechtigungen in großer Zahl auch an nicht ständig im Gebäude Beschäftigte ausgegeben worden.

Zavelberg faßte das Ergebnis der Studie folgendermaßen zusammen: "Die Sicherheit von kassenwirksamen, personenbezogenen und anderen sensiblen Daten, die in Rechenzentren der Bundesverwaltung verarbeitet werden, ist nicht gewährleistet. Die Katastrophenvorsorge weist schwere Mängel auf."

Er forderte die betroffenen Behörden zu Sofortmaßnahmen auf und warnte davor, an der falschen Stelle zu sparen: "Sicherheit kostet zwar Geld, aber nicht ausreichende Sicherheit kann zu Schäden führen, deren Ausmaß den Aufwand für Sicherheitsmaßnahmen bei weitem übersteigt."