Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

22.08.1986

"Man ist heute bestrebt, die Computer zu verstecken"

þVor etwa einem Jahr wurde ein SCS-Rechenzentrum durch einen Bombenanschlag getroffen. Was hat vom damaligen Geschehen einen besonders gravierenden Eindruck bei Ihnen hinterlassen?

Mir wurde mit einem Schlag bewußt, wie verwundbar unsere heutige Technik ist und wie abhängig wir von ihr geworden sind. Ich erinnere mich noch gut an das Bild der Verwüstung. Um zwei Uhr nachts hatte mich der Wachmann aus dem Bett telefoniert, ich bin sofort zum Rechenzentrum gestürzt und dort sah ich dann die Bescherung. Erleichtert waren wir alle, daß kein Mensch zu Schaden gekommen ist.

þWar denn von den empfindlichen EDV-Geräten noch etwas zu gebrauchen. Soweit die damaligen Pressemeldungen zutreffen, war die Bombe ja außerhalb des Gebäudes dicht am Rechenzentrum plaziert worden.

Tatsächlich konnten wir den RZ-Betrieb am Folgetag wieder aufnehmen. Obwohl der Sprengsatz etwa zwei bis drei Kilo betrug, war der Schaden begrenzt geblieben. Äußerlich hatte alles sehr schlimm ausgesehen, aber unsere Sicherheitsvorkehrungen hatten sich bewährt.

þUnd zwar welche?

Als ausgesprochen wirkungsvoll hat sich die Spezialverleimung Glas und Folie an den neuralgischen Fensterfronten erwiesen. Diese Scheiben sind elastisch und fangen die

Druckwellen ab. Zwar werden sie bei starker äußerer Gewalteinwirkung zerstört, doch ist damit bereits ein Teil der zerstörenden Energie verpufft.

þHätte der Anschlag nicht durch weiterreichende Maßnahmen verhindert werden können, etwa durch eine elektronische Außenhautsicherung?

Ich bin mir bewußt, daß ein hundertprozentiger Schutz nicht möglich ist. Wir haben unser gesamtes Gebäude allerdings nach dem Anschlag mit einer erweiterten Videoüberwachung und einer elektronischen Alarmauslösung gesichert.

þDV-Sicherung beschränkt sich aber nicht auf den Gebäudeschutz. Neben kriminellen Delikten spielen sicher andere Fehlerursachen eine bedeutende Rolle. Welche Schwachstellen sind im Rahmen einer Sicherheitsberatung generell zu berücksichtigen?

Tatsächlich stehen bei der Schadensverursachung Irrtum und Nachlässigkeit der Mitarbeiter sowie technische Defekte an erster Stelle. Umfrageergebnisse zum Thema Sicherheit in der EDV bestätigen dies und zeigen zudem, daß die befragten Unternehmen in den letzten Jahren relativ selten durch Manipulation, Diebstahl oder Sabotage betroffen waren.

þDas würde bedeuten, daß die Sicherheit in der EDV weniger unter dem Stichwort kriminelle Delikte als unter dem Begriff Mensch und Technik einzuordnen wäre ...

...wobei die technischen Defekte am leichtesten in den Griff zu bekommen sind. Die Hardware wird zunehmend ausfallsicherer, zum Beispiel diskutiert man bei der CPU heute allenfalls über die restlichen 0,5 Prozent Instabilität. Dann verbleiben noch die menschlichen Schwächen, und zwar Irrtum und Nachlässigkeit. Hier müssen Maßnahmen wie Schulung einerseits und automatisierte Kontrollen sowie Sicherheitssoftware andererseits greifen.

þBei der Planung eines Sicherheitskonzeptes spielt die Organisationsstruktur sicher eine erhebliche Rolle. Welche Aspekte sind hier zu berücksichtigen?

Wenn wir an die physische Sicherheit, sprich Hardwaresicherung denken, richtet sich bei zentralisierter DV das Augenmerk doch zunächst auf den Gebäudeschutz. Von daher stelle ich mir das sichere Rechenzentrum wie eine Glocke aus mehreren Schichten, das heißt Sicherungszonen bestehend, vor. Schließlich ist das RZ das Nervenzentrum des Unternehmens.

þSind sich die Unternehmensverantwortlichen dieser Tatsache bewußt? Vor allem - sind sie bereit, die erforderlichen Investitionen für Sicherheitsmaßnahmen im Budget zu berücksichtigen? Schließlich hängt die Entscheidung von den Kosten ab.

Nach unseren Erfahrungen hat sich in den letzten Jahren hinsichtlich des Sicherheitsdenkens ein genereller Wandel vollzogen. War es zu Beginn der Computerisierung noch üblich, seinen Computerpark aus Imagegründen nach außen hin zu demonstrieren, ist man heute eher bestrebt, die Computer zu verstecken. Zudem wächst die Abhängigkeit von der gesamten EDV von Jahr zu Jahr. Deshalb ist man bereit, Geld in die RZ-Sicherheit zu stecken, denn kein Unternehmen kann es sich leisten, nur auf Glück und Gottvertrauen ein RZ zu betreiben.

þDie Höhe des Bedarfs für EDV-Sicherheit bemißt sich wahrscheinlich an mehreren Kriterien, wie etwa der Unternehmensgröße oder der Branche. Bei einer Bank etwa würde der Ausfall der EDV wohl nach spätestens zwei Tagen zum Chaos führen. So wird die Nachfrage nach DV-Sicherheit je nach Branche schwanken.

Natürlich werden in der Industrie die Manager mit Militärprojekten hochgradiger sensibilisiert sein, als generell Manager in Handelsunternehmen. Auch die Energiewirtschaft unter dem Stichwort Kernkraftwerke beansprucht einen speziellen Status.

þUnd es gibt Unterschiede zwischen Klein- und Großunternehmen?

Wir haben festgestellt, daß die Sicherheitskosten mit steigendem DV Budget überproportional wachsen.

þDas hört sich bedenklich an, vor allem, wenn man berücksichtigt, daß nach allgemeiner Auffassung die Aufwendungen für Sicherheit in Zukunft steigen werden; Sehen Sie Chancen, die Kosten zu begrenzen, ohne auf Sicherheit verzichten zu müssen?

Der kritischste Fall ist in der zentralisierten Informationsverarbeitung denkbar, wenn das Rechenzentrum gänzlich ausfällt. Für so gefährdete Betriebe bietet sich eine Backup-Partnerschaft an.

þDas heißt, zwei Unternehmen mit etwa gleicher DV-Konfiguration gewähren dem Partner im Störfall die notwendige DV-Kapazität und vermeiden so überflüssige Investitionen.

Die freigesetzten Mittel können dazu dienen, das jeweils eigene Rechenzentrum sicherer zu machen.

þSicherheit kann letztlich nur durch Kontrolle erreicht werden. Deshalb scheint es sinnvoll, den Blick nach innen zu richten und zu prüfen, was innerhalb der DV-Abwicklung abzusichern ist.

Wenn man bedenkt, daß 80 Prozent der RZ-Schäden durch Inhouse-Täter bewirkt werden, kann ich Ihnen nur Recht geben. Sie sprechen damit das Thema Zugangsberechtigung an.

þDas Festlegen und Durchsetzen der Zugangsbeschränkung scheint eine heikle Angelegenheit zu sein. In vielen Unternehmen dient der Empfang eher als Visitenkarte denn als Kontrollinstanz, da man ja Besuchern gegenüber nicht abweisend oder abschreckend wirken will ...

... und diese höfliche Zurückhaltung setzt sich in den Rechenzentren fort. Häufig besitzen Mitarbeiter unnötigerweise Zugang zum RZ, zum Beispiel Manager, die nur aus Prestigegründen auf einer Zugangsberechtigung bestehen. Es hängen sogar bei einigen Firmen Schilder "Closed-Shop-Betrieb" aus, und trotzdem werden die Türen zum RZ mit einem Gegenstand festgestellt, um sie nicht dauernd aufschließen zu müssen weil die Personenfrequenz zu hoch ist.

þIm Zuge einer dezentralisierten DV-Leistung, etwa durch vermehrten PC-Einsatz, verliert die Frage der Zugangsberechtigung sicher an Bedeutung. Stattdessen muß man sich in solchen Fällen wohl mehr Gedanken um die Datensicherung im Sinne von Softwaresicherung machen. Wo liegen die Schwachpunkte?

Auch hier ist letztlich der Mensch der mit den Daten umgeht, die Hauptschwachstelle und nicht der Computer. Sämtliche Sicherungsmaßnahmen, sei es die Zugriffssicherung durch Paßwort oder Kryptografie, dienen einem Ziel, nämlich unbefugte und willkürliche Eingriffe von Personen zu verhindern.

þDie Entwicklung von Softwaresicherung ist ja nicht neu. Angefangen von Sicherungen für das Betriebssystem, die der Hersteller bietet und Standardsoftware zur Sicherung der unterschiedlichsten Anwendungsprogramme reicht die Palette bis zur Ablaufsteuerung im RZ. Erfordert die zunehmende Verbreitung des PCs nicht eine spezielle Sicherung, die der veränderten Problematik angepaßt ist. Vor allem bei der Inanspruchnahme der Daten des Hosts wird doch auch eine spezielle Sicherung der Datennetze erforderlich werden.

Hier zeigen sich tatsächlich neue Perspektiven. Überläßt man den PC uneingeschränkt den Anwendern und gestattet ihnen auf alle möglichen Daten - auch des Hosts - zuzugreifen, sind dem Mißbrauch und den Fehlermöglichkeiten Tür und Tor geöffnet. Da in der Vergangenheit die Anwender nicht genügend in Sicherheitsfragen beim Umgang mit PC-Daten geschult waren, traten gerade beim PC-Einsatz die Probleme wieder auf, die man vorher bei der Groß-DV-gelöst zu haben glaubte.

þInzwischen hat der DV-Markt reagiert. Auch für den PC wird neben Passwordschutz zunehmend Sicherheitssoftware angeboten. Und dieses Angebot ist ja wohl eine Folge der Nachfrage. Offensichtlich wächst auch auf dem PC-Sektor das Sicherheitsbewußtsein.

Das trifft zu! Im Rahmen unserer DV-Analysen stellen wir mehr und mehr fest, daß DV-Leiter den PC-Einsatz zu reglementieren beginnen, im Sinne einer Zentralisierung und Standardisierung der Hard- und Software bei gleichzeitig fortschreitender Dezentralisierung der Daten.

þDas ist für den PC-Anwender im Unternehmen aber mit Mehrarbeit verbunden, denn die Organisation der Dateien und Daten und damit auch die Sicherung wird ihm aufgebürdet.

Dem Anwender wird tatsächlich mehr Verantwortung auferlegt, die er aber akzeptiert; schließlich sind es seine Daten - und so wird der PC wirklich persönlich gemacht. Und wie Sie bereits anmerkten: Der Markt bietet eine Reihe sinnvoller Sicherheitskomponenten, angefangen von physischen Schlössern über Standardsoftware für Zugriffsschutz bis hin zu Datenverschlüsselungen.

þAll diese Sicherheitsmaßnahmen können aber die Datensicherung zwischen Host und PC nicht gewährleisten.

Der File-Transfer vom Host zum PC ist in diesem Zusammenhang von der Groß-DV her zu sichern.

þAus der bereits erwähnten Umfrage geht hervor, daß etwa 93 Prozent der Befragten durch Passwords und 85 Prozent durch Benutzeridentifikation geschützt sind. Das sind beruhigend hohe Werte.

Die Vergabe von Passwords und Benutzeridentifikation genügt nicht. Die Geheimhaltung muß auch praktiziert werden. Wenn Passwords immer noch aus Familiennamen und Geburtsdatum aufgebaut sind und zudem noch neben dem Bildschirm auf einem Zettel notiert sind, sind sie unwirksam. Maßnahmen wie Aufforderung zur monatlichen Zwangsänderung sind hier angebracht.

þBei 81 Prozent der Befragten erfolgt nach eigenen Angaben eine Funktionstrennung. Diese Aussage muß nicht unbedingt sicherheitsrelevante Bedeutung haben sondern ist möglicherweise organisationsbedingt.

Das hohe Maß von realisierter Funktionstrennung ist sicher auch ein Spiegelbild der Größe von DV-Abteilungen. Erst ab einer Mitarbeiterzahl von 10 Personen kann eine sinnvolle Trennung in Systemanalyse, Anwendungsprogrammierung, Systemprogrammierung, Arbeitsvorbereitung und Operating vollzogen werden. In kleineren Bereichen ist auch heute noch die Vermischung Programmierung-RZ oder Arbeits- vorbereitung-Operating anzutreffen. Risiken wie Manipulation, Fehlervertuschung oder Datenmißbrauch sind hier größer.

þNach den Untersuchungsergebnissen besitzen 28 Prozent der DV-Anwender Sicherheitscodes, 27 Prozent erstellen die Dokumentation gemäß GOS-Richtlinien und nur 4,5 Prozent führen Penetrationsanalyse durch.

Die geringe Verbreitung von Sicherheitscodes liegt zum einen am noch schwach ausgeprägten Sicherheitsbewußtsein vieler DV-Verantwortlicher, andererseits aber auch

wirklich am Nichtvorhandensein sicherungsbedürftiger Daten über die Personaldaten hinaus.

þHinsichtlich der Einhaltung von GOS-Richtlinien hätte man aber einen höheren Prozentsatz erwartet.

Die geringe Verbreitung der Dokumentation gemäß GOS-Richtlinien verwundert eigentlich. Nachdem die Diskussion darüber vor nunmehr acht Jahren längst verebbt ist und allgemein anerkannt ist, daß DV-Buchhaltungen im Sinne der Speicherbuchführung zu dokumentieren sind, geschieht dies dennoch nicht im erforderlichen Umfang. Bei unseren Prüfungen erleben wir darum immer wieder, daß die mangelnde Dokumentation ein Hauptschwachpunkt ist. Dabei gibt es heute genügend bekannte DV-Tools, die eine projektbegleitende Dokumentation unterstreichen.

þDaß Penetrationsanalysen in so geringem Umfang durchgeführt werden, läßt entweder auf Leichtsinnigkeit oder geringes Gefahrenrisiko schließen. Hacking sollte mittlerweile als Gefahrenfaktor bekannt sein.

Penetrationsanalysen in diesem geringen Umfang sind für mich ein Ausdruck dafür, daß Eindring-Versuche in DV-Systeme in Deutschland bisher nicht zum DV-Alltag gehören und sicherlich auch die einschlägige Presse darüber übertrieben berichtet hat. Natürlich erinnert man sich leicht an spektakuläre Vorkommnisse in dieser Richtung in den USA.

þWelche volkswirtschaftliche Relevanz haben Ihrer Meinung nach kriminelle Delikte im DV-Bereich überhaupt?

Nach Umfrageergebnissen aus den Landeskriminalämtern spielen EDV-Delikte keine bedeutende Rolle innerhalb der gesamten Kriminalstatistik. Der Hauptschaden wird durch Raubkopien von Disketten für DV-Spiele von Jugendlichen verursacht. Großschäden, wie sie im Tele-Bankverkehr vorkommen können, sind hinter einer Dunkelziffer verborgen; Banken treffen hierzu keine Aussagen. Unserer Meinung nach ist der Schaden aus Computerkriminalität in Deutschland insgesamt gering.

þIm Zusammenhang mit Computer-Kriminalität geht in jüngster Zeit der Begriff "kompromittierende Abstrahlung" um. Angepaßte Empfangsgeräte sollen die üblicherweise durch jedes Terminal entstehenden HF-Strahlen bis zu 300 Metern Entfernung außerhalb des Gebäudes aufnehmen können. Wie ernst schätzen Sie die Gefahr von dieser Seite ein?

Ursachen und mögliche Folgen der Abstrahlung sind sehr komplex. Das Risiko wird von den meisten DV-Betreibern und -Anwendern unterschätzt. Zum Beispiel besteht die Möglichkeit, die Abstrahlung aufzuzeichnen und zu einem späteren Zeitpunkt zu analysieren. So könnte es einem potentiellen Anzapfer gelingen, sich Daten mit einem erheblichen Risikopotential, etwa Forschungs- und Entwicklungsdaten oder Konstruktions- und Geschäftsunterlagen zu beschaffen. Ein solcher Schaden wäre versicherungsmäßig schwer abzudecken.

þIm Zuge des steigenden Sicherheitsbewußtseins wurde in jüngster Zeit sicher die Notwendigkeit entsprechender Risikoabdeckung durch spezielle DV-Versicherungen erkannt. Die klassischen Sach- und Feuerversicherungen decken ja nicht alle EDV-Risiken ab.

In Fällen wie Überspannung oder Datenmißbrauch oder bei Nachlässigkeit des Operatings können die EDV-Risiken durch Spezialversicherungen abgedeckt werden. Sie kosten pro Jahr folgende Prämien, anteilig von der Versicherungssumme wobei das Risiko und damit die Höhe je nach Versicherungsgesellschaft unterschiedlich kalkuliert werden. Die Elektronikversicherung kostet bis zu 10 Promillie, die Datenträgerversicherung 2,0 bis 5,0 Promille, die Betriebsunterbrechungsversicherung 1,5 bis 4 Promille, die Mehrkostenversicherung 2,5 bis 5 Promille, die Computermißbrauchversicherung

demgegenüber 1,2 bis 3,0 Prozent. Die Datenschutzversicherung wird individuell kalkuliert.

þMit Abstand am häufigsten, und zwar mit 86 Prozent vertreten ist nach den Ergebnissen der genannten Umfrage die Elektronikversicherung; danach rangiert die Datenträgerversicherung mit zirka 39 Prozent. Wie häufig treten Schadensfälle im Bereich der Elektronikversicherung auf?

Die absolute Zahl ist nicht bekannt, da hier mit einer hohen Dunkelziffer zu rechnen ist. Zum einen sind nicht alle Schäden versichert und gehen daher nicht in die Statistik ein, zum anderen wollen Unternehmen eingetretene Fälle aus Sicherheits- und Imagegründen oft nicht veröffentlichen. Uns sind lediglich die Zahlen des Verbandes der Sachversicherer e.V., Köln, bekannt, wonach 1985 im Bereich Elektronikversicherung 60 Prozent der Bruttoprämien als Schadenszahlungen an die Versicherten zurückflossen.

þWelchen Stellenwert haben EDV-Versicherungen innerhalb eines Sicherheitskonzeptes für den DV-Leiter?

` In erster Linie sollte er organisatorisch-technische Maßnahmen treffen, die präventiv wirken. Jeder DV-Chef muß sich darüber im klaren sein, daß sämtliche DV-Versicherungen nur das Restrisiko abdecken helfen.

*KES-Umfrage, Peter Hohl Verlag, Ingelheim