Datensicherheit und Sicherheitsmanagement

Russisches Roulette - gängige Fehler in der Datensicherheitspraxis

In vielen Unternehmen existiert das Wort Datensicherheit nicht. Und dabei wird oft unnötigerweise russisches Roulette mit dem ganze Unternehmen gespielt.

Heutzutage wird in jedem Unternehmen eine gewisse Zeit aufgewendet, um Personen den richtigen und sicheren Umgang mit Maschinen zu zeigen. Auch sind Schulungen zum Thema Arbeitssicherheit üblich. Es wird jedem Mitarbeiter gezeigt, welche Auswirkungen es haben kann, wenn er die Arbeitssicherheit vernachlässigt oder Maschinen für Zwecke einsetzt, für die sie nicht konstruiert wurden. Jedem Mitarbeiter ist bewußt, was alles passieren kann, wenn er Sicherheitsaspekte bei der Bedienung von Maschinen außer Acht läßt.

So erscheint es heute doch paradox, daß jeder in einem Unternehmen nach kurzer Einweisung in das Betriebssystem und das Anwenderprogramm Daten weiterverarbeiten darf ohne das er darüber aufgeklärt wurde welche Konsequenzen für das Unternehmen entstehen wenn es zu einem Datenverlust kommt oder welche Sicherheitsaspekte im Umgang mit Daten und Computern zu beachten sind. Daten sind heute der Blutkreislauf eines modernen Unternehmens und die Personen, die mit diesem Datenkreislauf arbeiten, sind schlechter über Sicherheitsaspekte informiert als ein Angestellter an seiner Produktionsmaschine.

Die Ursache hierfür ist meist die Tatsache, daß den Unternehmen überhaupt nicht bewußt ist, welche Gefahren in der Welt der EDV lauern.. Und gerade diese Gefahren können im Ernstfall viel Geld kosten oder das Unternehmen an den Rand des Ruins führen. So verliert die amerikanische Wirtschaft laut einer Studie pro Jahr rund 4 Milliarden Dollar durch Datenverluste. Über 60 Prozent aller Befragten konnten keine Richtlinien zur Datensicherheit oder regelmäßige Sicherungskopien vorweisen. Mehr als 50 Prozent befürchten Datenverlust in absehbarer Zeit und mehr als 25 Prozent haben bereits Datenverlust zu verzeichnen gehabt. Die teilweise riesigen Datenmengen, die dabei verlorengehen verursachen einen Produktionsausfall von mehr als einer Woche und die Rekonstruktion der Daten ist teilweise unmöglich. Zu den größten Gefahren in der EDV gehören:

Unfälle durch unsachgemäße Anwendung oder mangelnde Kenntnisse
Hier kann nur durch die regelmäßige Ausbildung der EDV Anwender eine Minimierung der Schäden erfolgen.

Datenmanipulation durch Mitarbeiter
Die Möglichkeit einer Datenmanipulation durch Mitarbeiter kann nie ganz ausgeschlossen werden. Abhilfe kann hier nur eine Zugangsbeschränkung auf Rechner und Dateien schaffen.

Computerviren
Computerviren stellen eine nicht zu unterschätzende Gefahr für Datenbestände dar und sind darüber hinaus auch ein nicht unerheblicher Kostenfaktor bei der Wartung der EDV Anlage.

Datenverluste durch Materialdefekte und mangelnde Sicherungskopien
Hier ist es hilfreich regelmäßig Sicherungskopien seiner Datenbestände anzufertigen und diese über mehrere Generationen von Sicherungskopien aufzubewahren.

Hacker
Sie stellen heute in größeren Netzwerken weiterhin eine Gefahr dar. Abhilfe schafft hier nur der Passwortschutz bei Netzwerkzugängen und bei Modemzugängen eine Callback-Funktion.

Fremde Personen, die sich Zutritt zur EDV eines Unternehmens verschaffen
Entsprechende Zugangskontrollen zu den Räumlichkeiten wie Schlösser die nur mit Magnetstreifenkarten oder Smart Cards geöffnet werden können oder auch Zahlencodeschlösser.

Äußere Einflüsse wie Feuer, Wasser, Unwetter usw.
Entsprechend geschützte Räumlichkeiten oder Tresore können hier das Risiko einschränken.

Wenn man sich die oben aufgezählten Gefahren vor Augen hält und sich dann überlegt, daß ein Computer heute zur Massenware gehört, die man an fast jeder Ecke kaufen kann, so erscheint einem eine fehlende Datensicherheitspolitik in einem Unternehmen doch sehr fragwürdig.

Doch wie sollte ein Unternehmen vorgehen, wenn es eine höhere Sicherheit für die verarbeiteten Daten wünscht?

Zuerst sollte in dem Unternehmen ermittelt werden, auf welchen Computern welche Arten von Daten vorhanden sind oder verarbeitet werden. Bei den Daten sollte man eine Unterteilung in drei Gruppen vornehmen. Hochsensible Daten, wie z.B. Forschungsdaten oder Geschäftsergebnisse und Jahresabschlüsse sowie personenbezogene Daten und Verträge. Sensible Daten, wie z.B. Schriftverkehr, Fakturierung, Kalkulationsgrundlagen und Betriebsinternas, sowie in der dritten Gruppe die weniger sensible Daten wie z.B. der auf einem DTP- Programm erstellte Katalog des Unternehmens.

Zum Datenschutz gehört in erster Linie ein Datenschutzkonzept, welches auf die individuellen Bedürfnisse des Unternehmens abgestimmt ist und optimalen Schutz bei optimaler Kosteneffektivität gewährleistet. Innerhalb dieses Datenschtuzkonzeptes sind die einzelnen Maßnahmen zur Vorbeugung und für den Ernstfall definiert. Bestandteil des Datenschutzkonzeptes sind folgende Maßnahmen:

Anfertigen von regelmäßigen Sicherungskopien. Im Notfall können Daten von den Sicherungskopien wiederhergestellt werden. Sicherungskopien sollten täglich angefertigt werden und über einen Zeitraum von bis zu drei Monaten aufbewahrt werden. Man erhält so mehrere Generationen von Datensicherungen. Am sinnvollsten ist hier die Verwendung von Bandlaufwerken, sogenannten Streamern. Auf ein Streamerband passen, je nach Ausführung, zwischen 250 Megabyte und mehreren Gigabyte an Daten.

Schutz vor Computerviren. Es sollte mindestens ein Anti-Viren Programm im Unternehmen regelmäßig eingesetzt werden. Weiterhin gilt es zu verhindern, daß Disketten von Mitarbeitern oder Betriebsfremden mitgebracht und benutzt werden. Die häufigste Ursache eine Vireninfizierung sind Computerspiele die von Mitarbeitern auf einem Computer installiert werden. Durch Laufwerkssperren kann dies verhindert werden. In Unternehmen mit Netzwerken benötigen nur wenige Computer noch Diskettenlaufwerke. In der Regel wird in solchen Unternehmen die Software zentral vom Netzwerkserver verwaltet.

Gewährleistung der Datenintegrität. Hierzu werden Programme verwendet, die aus jeder Datei eine Prüfsumme errechnen und abspeichern. Wird eine Datei verändert, ändert sich automatisch auch die Prüfsumme. Es kann auf diese Art und Weise sehr schnell und einfach eine Datenveränderung oder Datenmanipulation nachgewiesen werden. Der geübte Anwender kann mit Prüfsummenprogrammen auch bislang noch unbekannte Computerviren entdecken.

Schutz vor Datenmißbrauch. Hier kann nur eine konsequent durchgeführte Zugangskontrolle die Gefahr verringern. Die Zugangskontrolle beginnt hier bereits beim Zugang von Gebäuden oder Räumen und setzt sich in der zweiten Stufe mit dem Zugang zum Rechnersystem fort. Die dritte Stufe wäre der Zugriff auf bestimmte Daten. Entsprechend der oben genannten Unterteilung von Daten müssen hier entsprechend die Personengruppen definiert werden, die auf die entsprechende Datengruppe Zugriffsrechte erhalten. Es wird ebenfalls empfohlen, bei hochsensiblen Daten Chiffrierprogramme oder Online-Chiffrierer einzusetzen.

Schulung der Anwender. Datenschutzsysteme sind oftmals nur so gut wie der Computeranwender, der die Systeme anwenden soll. Ein Anwender, der zum Thema Datensicherheit und die dazu verwendeten Systeme nicht ausgebildet wurde, wird die Systeme nicht oder gar falsch einsetzen und die Resultate falsch interpretieren. Mit schlecht ausgebildeten Anwendern ist kein vernünftiger und wirksamer Datenschutz zu betreiben. Es sollte dem Anwender ebenfalls klar gemacht werden, daß es auch in seinem Interesse ist, wenn Daten optimal geschützt sind.

Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.