Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

03.12.1993 - 

Gastkommentar

Vorsicht: Immer mehr frustrierte und qualifizierte DV-Mitarbeiter

Ueber mangelnde DV-Sicherheit wird zwar viel geredet, doch ist es schwer, die These mit objektiven Zahlen zu untermauern. Einige Sicherheitsfachzeitschriften versuchen zwar, mit Leserbefragungen Licht in das Dunkel zu bringen, doch koennen sie zwangslaeufig nur ein schmales Spektrum abdecken. Die Kriminalstatistik dagegen enthaelt unter verschiedenen Schluesselzahlen alle Faelle von DV- Sicherheitsverletzungen, die zu einem strafrechtlichen Ermittlungsverfahren fuehrten, denn in den meisten Faellen ist die Voraussetzung kriminellen Handelns eine Verletzung der Grundsaetze ordnungsgemaesser Datenverarbeitung.

Wenn man die Computerkriminalitaet in der Kriminalstatistik 1992 genau betrachtet, findet man keinen Anlass zur Besorgnis. Zwar weist sie von 1991 auf 1992 eine Steigerung von 42 Prozent auf, doch bei mindestens 75 Prozent aller Computerdelikte handelt es sich um Betrug mittels rechtswidrig erlangter Karten fuer Geldausgabe- beziehungsweise Kassenautomaten (vgl. CW Nr. 40 vom 1. Oktober 1993: "Die Computerkriminalitaet ist 1992 um 42 Prozent gestiegen").

Der durchschnittliche Computerbetrugsfall sieht so aus, dass jemandem die Eurocheque-Karte samt der aufgeschriebenen PIN-Nummer gestohlen wird und der Taeter damit am Geldausgabeautomaten Geld abhebt.

Auch wenn diese Straftaten tatbestandsmaessig unter Computerbetrug fallen, sind sie doch nicht jene Delikte, an die allgemein bei diesem Begriff gedacht wird. Faelle, in denen Firmen zum Beispiel durch Manipulation an DV-gefuehrten Lagern hoher Schaden entstanden ist, findet man eher selten.

Die Ermittlungsverfahren wegen "Hacking" (n 202a StGB) haben sich seit 1987 trotz erheblich gewachsener Computerdichte und hoher Verkaufszahlen von Modems kaum veraendert, und die Computersabotage (nn 303a, 303b StGB) ging 1992 sogar um knapp 30 Prozent zurueck.

Nun ist zwar bekannt, dass bei vielen Missbrauchsfaellen von einer Strafanzeige abgesehen wird, doch bleibt trotzdem die Zahl der bekanntgewordenen Ermittlungsverfahren ein Indikator fuer die DV- Sicherheit. Ein vor Jahren noch haeufig genanntes Hindernis fuer die Erstellung einer Strafanzeige wegen eines Computerkriminalitaetsdeliktes ist zudem weggefallen: Mittlerweile gibt es bei jedem Landeskriminalamt im Bundesgebiet, auch in den neuen Bundeslaendern, eine sachverstaendige Dienststelle fuer Computerkriminalitaet. Meine jahrelangen Bemuehungen um dieses Ziel sind damit erfolgreich abgeschlossen.

Man kann jedoch aus der verhaeltnismaessig niedrigen Zahl an polizeilichen Ermittlungsverfahren keineswegs schliessen, dass die Diskussion ueber steigende Probleme der DV-Sicherheit ueberzogen ist. Die Ursache fuer das statistische Resultat liegt vor allem in der mangelnden Anzeigenbereitschaft. Darueber hinaus fehlt es an Kenntnissen der speziellen Strafbestimmungen und nicht zuletzt an mangelndem Problembewusstsein, nicht nur bei den Firmenverantwortlichen, sondern auch beim DV-Fachpersonal.

Die Hauptgefahr fuer die DV-Sicherheit ist nach Feuer und Wasser der Mensch. Dabei ist das Risiko infolge schlecht ausgebildeten und unmotivierten Personals sicher groesser als das durch kriminelle Mitarbeiter. Doch da zu erwarten ist, dass in den naechsten Jahren wegen der schwierigen Wirtschaftslage auch DV-Personal in grossem Umfang abgebaut werden muss, wird die Zahl der frustrierten Mitarbeiter mit qualifizierten DV-Kenntnissen steigen. Dann muss zwangslaeufig auch mit einer erhoehten Wahrscheinlichkeit von Sabotage und Betriebsspionage in der DV gerechnet werden.

Einen weiteren Gefaehrdungspunkt sehe ich in der Industriespionage mit Computerunterstuetzung. Sie ist kein Computerkriminalitaetsdelikt im engeren Sinne, da die DV nicht in den Tatbestandsmerkmalen enthalten ist. Bekanntlich werden bei den meisten Firmen fast alle wichtigen Daten konzentriert im Computer gespeichert. Mangelnde DV-Sicherheit fuehrt damit dazu, dass sich die Konkurrenz wie in einem Selbstbedienungsladen mit Betriebsgeheimnissen versorgen kann. Gerade in wirtschaftlich schwierigen Zeiten ist die Begriffskette der Industriespionage: "Stehlen - Verbessern - Vermarkten" von grosser Aktualitaet.

Jedem Mitarbeiter sollte klar werden, dass mangelnde DV-Sicherheit seinen Arbeitsplatz gefaehrdet. Die bekanntgewordenen Delikte sind nur die Spitze des Eisbergs. Die offizielle Kriminalstatistik laesst keine Aussagen ueber die Entwicklung dieser Delikte zu, da sie unter dem Sammelschluessel 7150 mit anderen Delikten (Warenzeichengesetz, Urheberrechtsgesetz) gezaehlt werden.

Man muss immer wieder bedenken, dass erst 1986 die Strafgesetze zur Computerkriminalitaet in Kraft traten. Erst seit diesem Zeitpunkt ist Computerbetrug, Hacking und Computersabotage strafbar. So fehlt es oft am Unrechtsbewusstsein und an Kenntnissen dieser speziellen Gesetze. Wie wenig ist doch bekannt, dass Hacking und Computersabotage Antragsdelikte sind, das heisst, Polizei und Staatsanwaltschaft werden nur taetig, wenn Strafanzeige und Strafantrag gestellt und die Strafantragsfristen eingehalten werden.

Manchmal habe ich den Eindruck, dass kriminelle Kreise, im Gegensatz zur legalen Wirtschaft, in der DV-Sicherheit viel problembewusster sind. Das ist leicht zu erklaeren. Nehmen wir den Fall an, durch mangelnde DV-Sicherheit gelangt ein Konkurrenzunternehmen in den Besitz von Betriebsgeheimnissen. Auch wenn es dem DV-Verantwortlichen nicht gelingt, den Vorfall zu vertuschen, wird er selten mit juristischen Folgen rechnen muessen.

Ein Krimineller jedoch, der die Daten seiner strafbaren Handlungen nicht vor dem "unberechtigten Zugriff" der Polizei schuetzt, wird hinter schwedischen Gardinen Zeit haben, ueber die Moeglichkeiten der Datensicherheit nachzudenken.

Aus meiner mehr als 30jaehrigen Erfahrung als DV-Mann und Kriminalist und aus ueber 800 Gutachten, die wir beim Sachgebiet Computerkriminalitaet in den letzten zehn Jahren erstellt haben, kann ich nur einen alten Grundsatz der DV bestaetigen. Dieser lautet: Das einzig Sichere an der DV-Sicherheit ist, dass sie unsicher ist.

Paul: Jedem Mitarbeiter sollte klar werden, dass mangelnde DV- Sicherheit seinen Arbeitsplatz gefaehrdet.