Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

24.01.1986 - 

Fachabteilungsleiter können Dateneingabemanipulationen häufig nicht erkennen:

Programme sind ein Sicherheitsrisiko erster Ordnung

Die Wirtschaftskriminalität ist in den letzten Jahren, wie die Statistiken des Bundeskriminalamtes belegen, in erheblichem Umfang gestiegen. Ein neues Gesetz unter besonderer Beachtung der Computerkriminalität entsteht zur Zeit. Angesichts der dynamisch fortschreitenden Verbreitung der DV-Anlagen war vorherzusehen, daß die Kriminalität sich auch leider des Computers bedient.

Die hohe Zuverlässigkeit, die unsere DV-Systeme auszeichnet, kennzeichnet nicht alle Menschen, die sich berechtigter- oder unberechtigterweise ihrer bedienen. Zunehmend mehr Personen nutzen die Anonymität unserer heutigen Arbeitswelt zum eigenen unrechtmäßigen Vermögensvorteil. Die hohen Vermogenswerte, die durch die DV verwaltet werden, haben immer wieder zu unrechtmäßigen Manipulationen an Datenträgern und Programmen durch Intelligenztäter geführt. Unerwartet hohe Vermögensschäden der betroffenen Unternehmen waren die Folge.

Programme sind heute weitgehend als Sicherheitsrisiko erster Ordnung erkannt worden. Viele Unternehmen messen der Sicherheit ihrer Programme höchste Priorität bei und sorgen diesbezüglich vor.

Weniger bekannt ist, daß die Dateneingabemanipulation ein unerfreuliches Problem darstellt. Mit der Verbreitung der Bildschirme und Personal Computer hat sich dieses Risiko aus dem Bereich des Rechenzentrums in die Fachbereiche unserer Unternehmen verlagert und entzieht sich damit weitgehend der Aufsicht und Kontrolle des DV-Leiters. Werden vom Fachbereich aus falsche Daten eingegeben, so ist dieses dem DV-Leiter oft nicht ersichtlich. Den Leitern der Fachabteilungen fehlen jedoch häufig die erforderlichen DV-Kenntnisse, um die Dateneingabemanipulationen zu erkennen.

Nicht der Eingriff durch außenstehende Hacker hat sich hier als das größere Risiko erwiesen. Vielfach gravierender sind die Manipulationen durch eigene Mitarbeiter. Wer die finanziellen Abläufe seines Unternehmens und oft auch die Kontrollen kennt, kann leichter in die eigene Tasche wirtschaften als Externe, denen dieser Überblick fehlt. Hier drei typische Fälle:

- So ließ ein langjähriger und bisher bestens beurteilter Mitarbeiter einer Versicherungsgesellschaft, der die Auszahlung von Versicherungsschäden zu veranlassen hatte, durch Eingabe in die EDV für mehrere erfundene Schäden das Geld auf das eigene Konto fließen. Er beging dabei lediglich die Dummheit, die Brandschäden immer für dasselbe Haus zu erfinden, was der Revision auffiel.

- Bei einem Kreditinstitut gab eine Angestellte für Kreditabrechnungen im Bankenverkehr mit schwankenden Zinssätzen laufend überhöhte Prozentsätze in die DV-Abrechnung ein und ließ die Differenzbeträge, die sich in sechsstelligen Summen ansammelten, auf ihr eigenes Konto fließen.

- Ausgeschiedene Mitarbeiter erhielten in der DV-Bearbeitung die Kontonummer von Gehaltsbuchhaltern, die damit zu Mehrfachverdienern wurden.

Die Reihe dieser Veruntreuungen läßt sich beliebig fortsetzen. Gemeinsam ist ihnen, daß sie häufig nur durch Zufall entdeckt werden, zum Beispiel wenn der Täter plötzlich erkrankt und die Spuren nicht mehr verwischen kann oder wenn er selbst Fehler begeht, die Tat also nicht intelligent genug geplant hat. Wer bisher keinen solchen Schaden im eigenen Haus entdeckt hat, sollte deshalb nicht davon ausgehen, daß alles zum besten steht.

Das Bewußtsein um die DV-Sicherheit außerhalb des Rechenzentrums ist heute noch weitgehend unterentwickelt. Vielen Unternehmen fehlt es an einem unternehmensgerechten Sicherheitskonzept und einem Fachmann, der die Sicherheit des ganzen Unternehmens gegen Mißbräuche von innen und außen, insbesondere an den Terminals und in der Datenfernverarbeitung, unternehmensweit durchsetzt. Was nützt die beste Organisation im Rechenzentrum, wenn draußen in den Fachbereichen die Bildschirme unverschlossen bleiben und Listen mit höchstem Vertraulichkeitsgrad offen herumliegen?

Um Kosten zu sparen, haben viele Unternehmen ihr Kontroll- und Sicherheitssystem immer großzügiger gestaltet und damit manchem Kriminellen zu unverdienten Einnahmen verholfen. Auch bei Verfügungen über Geldwerte und Ware durch die DV darf im Fachbereich das Vier-Augen-Prinzip nicht verletzt werden. Wo derjenige, der verfügt, auch kontrolliert, ist die Kontrolle kein Schutz gegen kriminelles Verhalten.

Häufig ist in der Datenverarbeitung nicht ersichtlich, von wem eine Eingabe veranlaßt worden ist. Die so gegebene Anonymität läßt sich ausnutzen. Wenn dann noch, was tatsächlich immer wieder vorkommt die Paßwörter und Codes von leichtfertigen Mitarbeitern der Einfachheit halber und um sie nicht zu vergessen aufgeschrieben und auf den Schreibtisch oder den Bildschirm geklebt werden, ist dem Mißbrauch Tür und Tor geöffnet.

Man sollte sich deshalb folgende Fragen stellen:

- Bestehen in Ihrem Unternehmen schriftliche Betriebsanweisungen die alle Aspekte der DV-Sicherheit Ihrer gesamten Organisation erfassen und in denen die diesbezüglichen Aufgaben aller Mitarbeiter erfaßt und abgegrenzt sind?

- Werden diese Anweisungen auf dem laufenden gehalten?

- Ist jeder Mitarbeiter mit diesen Anweisungen vertraut gemacht worden und wird er in regelmäßigen Abständen an sie erinnert?

- Haben Sie einen Sicherheitsbeauftragten in Ihrem Unternehmen der unternehmensweit insbesondere für die DV-Sicherheit gegen Mißbräuche zu sorgen hat?

- Identifiziert und dokumentiert das Betriebssystem

- jedes benutzte Terminal,

- denjenigen, der etwas eingibt,

- abgewiesene Eingabe-Versuche,

- denjenigen, der Informationen abfragt,

- abgewiesene Abfrage-Versuche?

- Sind Terminals gegen Mißbrauch Unberechtigter geschützt, zum Beispiel durch Schlösser oder Paßwörter?

- Andern Sie die Paßwörter in überschaubaren Abständen?

- Ist sichergestellt, daß bei Ausscheiden von Mitarbeitern deren Paßwörter gelöscht werden?

- Haben Sie eine DV-kundige Revision?

- Ist das Netz Ihrer Kontrollen und Sicherheitsvorkehrungen ausreichend?

- Haben Sie als Ergänzung Ihrer Sicherheitsmaßnahmen eine Computermißbrauch-Versicherung abgeschlossen?

Vorsorge gegen Eingabemanipulationen sollte in jedem Unternehmen getroffen werden. Insbesondere ist es vielerorts notwendig, das Sicherheitsbewußtsein auf allen Ebenen des Unternehmens zu entwickeln.

Dr. Axel von Heyden ist Abteilungsleiter im Bereich Vertrauensschadenversicherung der Hermes Kreditversicherungs-AG, Hamburg.