Revisionssicheres Testen von Software

Regulatorische Auflagen wie Basel II, Solvency II oder EuroSOX fordern von Unternehmen zunehmend (IT-)Systeme und Verfahren zur Kontrolle von Risiken zu etablieren. Dabei wird meist auch verlangt, alle Veränderungen an diesen Systemen revisionssicher zu protokollieren und zu dokumentieren. Das bringt neue Anforderungen für das Testen solcher Systeme mit sich, da auch Durchführung und Ergebnisse von (funktionalen) Softwaretests durch dazu autorisierte Personen entsprechend zu protokollieren und zu dokumentieren sind.

Testing-Tools sowie Testmanagement werden dadurch compliance-relevant.

Konkret geht es in der Praxis dann meist darum, Echtheit, Integrität und Vertraulichkeit aller im Testverlauf anfallenden Informationen auch über längere Zeiträume hinweg sicherstellen und Prüfern gegenüber nachweisen zu können. Dabei spielen Verfahren zur revisionssicheren Langzeitarchivierung von Daten, Verschlüsselung mit starker Kryptografie, Signierung mit qualifizierten elektronischen Signaturen sowie der Aufbau (oder das Mieten) entsprechender Trust-Center-Architekturen eine Rolle. Ebenso Versionierung und nachvollziehbare Ergebnissicherung jedes Teilschrittes, durch den sich etwas ändert.

Testen entsprechender Softwareprodukte wird dadurch organisatorisch anspruchsvoller und aufwendiger. Dazu werden auch entsprechend weiter reichende Funktionalitäten in den Testwerkzeugen und Frameworks benötigt, worauf Anbieter entsprechender Software bereits mit neuen Produkten reagiert haben.

Desweiteren macht es Sinn, dort wo häufiger getestet werden muss oder das Testen von compliance-relevanten Softwareprodukten ansteht, ein echtes Test-Center als Dienstleistungseinheit im Unternehmen zu etablieren und so die Qualitätssicherung aus dem Entwicklungsprozess herauszulösen. Dies kann auch ein Beitrag zur weiteren Professionalisierung und Systematisierung der Softwarequalitätssicherung sein.

Daher bieten auf Softwaretest und Testmanagement spezialisierte Unternehmen das Test-Center zunehmend aus Outsourcing-Dienstleistung für Dritte an. Denn viele compliance-relevante Branchenanwendungen werden  von kleineren oder mittleren, stark produktbezogenen Firmen entwickelt, die sich den Aufbau einer solchen Infrastruktur nicht leisten können oder wollen.

Trends im Testing 2009

Gestern habe ich an der Halbtagsveranstaltung „Trends im Testing 2009“ teilgenommen, die von der imbus AG in München veranstaltet wurde. Gegenstand der Veranstaltung waren aktuelle Entwicklungen im Bereich Softwaretest und Testmanagement.

Immer komplexer werdende Softwareentwicklungsprozesse und Systemlandschaften, höhere Qualitätsanforderungen und strengere gesetzliche Vorschriften haben heute mehr denn je unmittelbar gravierende Auswirkungen auf den Testprozess. Das führt zu einer zunehmenden Professionalisierung und Ausdifferenzierung der in diesem Bereich tätigen Experten. Softwaretester, Testautomatisierer und Testmanager sind heute Hightech-Jobs von zunehmender Bedeutung in der Software-Entwicklung.

Rex Black, Präsident des International Software Testing Qualifications Board (ISTQB) sieht in den nächsten Jahren vor allem folgendes auf die Gemeinde der Softwaretester und Testmanager zukommen:

1. Wirtschaftlicher Druck macht es zunehmend erforderlich den finanziellen Nutzen von Testverfahren so herauszuarbeiten, dass er auch von Managern verstanden wird. Er schlägt dazu den Einsatz von aussagekräftigen Kennzahlen (KPIs) vor.
2. Es wird zunehmend unternehmensübergreifend gearbeitet. Outsourcing und Auftragsarbeit spielen eine wichtiger werdende Rolle. Das erfordert mehr Projektmanagement und Koordination im Testbereich. Auch Tools müssen so ausgelegt sein, dass eine unternehmensübergreifende Projektarbeit unterstützt wird. Der Trend geht hin zu Professionalisierung und Systematisierung.
3. Anwendungssysteme werden zunehmend komplexer und ihr Einsatzkontext wichtiger („systems of systems“). Das macht auch Tests aufwendiger. Testmanager benötigen dazu ein breiter werdendes Technologiewissen und Erfahrung im Handling komplexer branchenspezifischer Softwareprojekte. Unternehmensübergreifende IT-Systeme wie Software as a Service, Cloud Computing und Social Software bringen ganz neue Testanforderungen mit sich.
4. Der zunehmende Einsatz von Open Source Software bringt die Fragestellung ihrer Qualität mit sich. Die meisten Open Source Produkte unterliegen zwar einem intensiven peer review durch die beteiligten Entwickler, wurden aber meist nie formal getestet. Ihr tatsächliches Qualitätsniveau kann zum Zeitpunkt ihrer Einführung meist nicht wirklich beurteilt werden. Das bringt Unsicherheitsfaktoren mit sich.
5. Integrationstest im Umfeld von Legacy-Anwendungen erfordert oft spezielles Legacy-Know-How, das im Markt kaum noch vorhanden ist. Auch unüberlegte Personalabbau- und Frühverrentungsprogramme der Vergangenheit rächen sich nun.
6. Softwaretest ist ein Spezialistenthema. Daher wird hier gern und überproportional gekürzt, wenn Sparrunden anstehen.
7. Es gibt im Markt eine hohe Zahl an „Amateur-Testern“, was an Testmanager höhere Anforderungen stellt, Arbeitsprozesse zu systematisieren und zu strukturieren. Die Zahl der Amateur-Testern wird durch Outsourcing-Dienstleister in Schwellenländern künftig weiter zunehmen. Umgekehrt sind echte Testprofis und erfahrene Testmanager und –automatisierer knapp und werden es auch bleiben.Hier macht sich das Fehlen einer einschlägigen Ausbildung zunehmend bemerkbar (Softwaretester wird man i.d.R. durch berufliche Praxis und berufsbegleitende Weiterbildung, nicht durch Ausbildung und anschließende Berufstätigkeit).
8. Teamentwicklung und Personalentwicklung gewinnt für Testmanager an Bedeutung, schon um ihre eingearbeiteten Teams an guten Spezialisten beisammenzuhalten.
9. Zertifizierung ist und bleibt wichtig. Allerdings gilt es genauer hinzuschauen, da vieler Zertifizierungen nicht all zu viel taugen. Als „Goldstandard“ hat sich in Deutschland der „ISTQB certified tester“ etabliert. Insbesondere stark methoden- und technologiezentrierte Zertifizierungen sowie solche ohne formales Prüfverfahren seien kritisch zu bewerten
10. Neue Formen der Arbeitsorganisation in der Software-Entwicklung (agile und iterative Methoden, SCRUM etc.) sowie die Anwendung von Vorgehens- und Reifegradmodellen wirken sich auch auf die Organisation und das Management von Softwaretests aus.
11. Testen wird zunehmend compliance-relevant. Durchführung und Ergebnisse von Softwaretests müssen aufgrund regulatorischerer Auflagen revisionssicher dokumentiert werden, um so Nachweispflichten erfüllen zu können. Das erfordert Anpassungen der Arbeitsabläufe und ggf. neue Tools.

Alles in allem eine sehr interessante und gehaltreiche Veranstaltung, die ich nur weiter empfehlen kann. Zum Teilaspekt der revisionsfesten Testdokumentation werde ich morgen einen weiteren Artikel schreiben.

ICANN-Sicherheitsexperten kritisieren DNS-Manipulationen durch Provider

Wer hat das nicht schon erlebt: Man vertippt sich bei einer Internet-Adresse und bekommt eine DNS-Fehlermeldung „Adresse konnte nicht gefunden werden“ im Browser angezeigt. Daraus lässt sich meist sofort erkennen, dass man Mist eingetippt hat. Es ist aber auch möglich, dass stattdessen eine Werbeseite voller Links vom Provider eingeblendet wird. Diese – bei existierenden, aber noch frei verfügbaren Domains schon übliche – Praxis greift zunehmend auch bei der Beantwortung von DNS-Adressfehlern um sich. Diese Linkseiten werden von manchen Registraren und vermehrt auch von Internetzugangsprovidern wie etwa T-Online zwischengeschaltet. So lassen sich Kunden auf ein eigenes Portal locken und Traffic für Werbezwecke generieren. Diese Unsitte ist auch als „Wildcarding“ bekannt.

Durch solche „Umleitungen“ werden allerdings Kernfunktionen des DNS sowie viele klassische Dienste gestört. So werden beispielsweise nicht zustellbare E-Mails nicht mehr zurückgesandt, so dass ein Mailversender nichts von der Unzustellbarkeit erfährt. Dadurch wird auf Dauer das Vertrauen ins Internet und seine Dienste untergraben. Zudem werden so auch mögliche Schlupflöcher für neue Angriffe auf IT-Infrastrukturen eröffnet.

Ram Mohan, CTO von Afilias, stellte kürzlich bei einer Konferenz der ICANN in Sydney einen Bericht (PDF, 45 KB) des Sicherheitsausschuss der ICANN vor, in dem er diese Praxis der DNS-Manipulation kritisiert.

Darin fordert er auch, dass die ICANN bei der Einführung neuer Internet-Adresszonen (TLDs) dieser Praxis einen Riegel vorschiebt. Auch bei bestehenden TLD-Registries sollten derartige Verbote die Regel werden, so der Bericht.

Die ICANN könne die Einhaltung von Standards nicht erzwingen, das könnten nur lokale Regulierer, sagte Jaap Akkerhuis, Mitglied im Sicherheitsausschuss. Eine Telefongesellschaft könne auch nicht in Eigenregie Rufnummern umleiten, ähnlich hätte es seiner Meinung nach auch bei IP-Adressen zu sein. Allerdings kann die ICANN diesen lokalen Regulierern und Providern durchaus Vorgaben machen. Die Diskussion über das Problem ist jedenfalls in den zuständigen Fachausschüssen der ICANN angekommen.

Das Thema ist heikel, da in den ICANN-Fachremien bereits seit langem kontrovers über die Einführung neuer TLD’s diskutiert wird und zahlreiche Interessensgruppen dabei im Spiel sind.

Bundesverfassungsgericht erklärt Verfassungsbeschwerden gegen Hackerparagraphen für unzulässig

Der § 202c des Strafgesetzbuches, allgemein auch als „Hackerparagraph“ bezeichnet, war einmal mehr Gegenstand einer juristischen Entscheidung. Mehrere in der IT-Sicherheit beruflich Tätige hatten  Verfassungsbeschwerden eingelegt, weil sie sich durch die recht allgemein und weit auslegbar gefasste Rechtsnorm in ihrer Berufsfreiheit bedroht sahen.

Nun befand das Bundesverfassungsgericht diese Ansinnen allesamt für unzulässig und verwarf sie (Az: 2 BvR 2233/07, 1151/08 und 1524/08). Denn nach Ansicht der Richter in Karlsruhe gelten die Vorschriften des § 202c StGBs nur für Programme, die mit illegaler Absicht entwickelt wurden. Die bloße Eignung eines Programms zur Verwendung für einen Hackerangriff mache dessen Einsatz noch nicht strafbar. Die Richter begründeten dies damit, dass der Bundestag mit der Rechtsnorm ausdrücklich nur Software erfassen wollte, die für einen kriminellen Zweck hergestellt worden sind. Sogenannte „Dual Use“-Produkte, die im Dienste der Computersicherheit genutzt werden aber eben auch für Hackerangriffe taugen, sind laut Gericht nicht davon erfasst, weil sie einem legalen Zweck dienten. Zumindest aber fehle jedem Anwender, der solche Programme zu erlaubten Tätigkeiten nutze, der für eine Strafbarkeit notwendige Vorsatz.

Diese Klarstellung des BVerfG schränkt die Auslegungsmöglichkeiten des Paragraphs durch Instanzgerichte deutlich ein und reduziert nun die von Experten kritisierte Möglichkeit für Willkürentscheidungen. Somit war das Beschwerdeverfahren trotz seiner Ablehnung erfolgreich. Trägt es doch zur Klarstellung der Normanwendung in künftigen Rechtskonflikten zum Hackerparagraphen deutlich bei.

Gleichzeitig macht dies einmal mehr deutlich, wie wichtig durchdachte vertragliche Vereinbarungen und Protokolle der Leistungserbringung für kommerziell tätige Sicherheitsexperten sind, die IT-Systeme ihrer Kunden auf Sicherheitsprobleme hin testen. Aber auch festangestellte Administratoren und IT-Koordinatoren, die ihre Systeme mit Hackertools austesten, sollten hierfür auf klare Regelungen achten, da für sie im Falle von selbst verursachten Problemen die Regeln der Arbeitnehmerhaftung greifen. Das bedeutet konkret, dass sie im Falle des unbefugten oder ungeregelten Testens der Systeme ihres Arbeitgebers ohne dessen Zustimmung bei Schäden mit einer vollen Haftung wegen grober Fahrlässigkeit rechnen müssen.

Heise.de: Verfassungsbeschwerden gegen Hackerparagraphen unzulässig

Bundestag billigt Gesetz zur Internetzensur – Piraten rufen zu Demonstrationen auf

Die Piratenpartei ruft zu Demonstrationen gegen das „Zugangserschwerungsgesetz“ auf, das heute vom Bundestag verabschiedet wurde.

Dirk Hillbrecht, Bundesvorsitzender der Piratenpartei, erläutert das vom Gesetz missachtete Demonstrations-Motto „Löschen statt sperren – Stoppt die Internet-Zensur!“: „Wir verlangen wirksame Maßnahmen gegen Kinderpornographie und das heißt: Die Inhalte müssen aus dem Netz verschwinden und nicht hinter Stoppschildern versteckt werden. Außerdem protestieren wir gegen die Einführung einer Zensurinfrastruktur im deutschen Internet. Vielfacher Protest im Vorfeld und die erfolgreichste Petition in der Geschichte der Bundesrepublik haben die Regierung nicht interessiert. Die einzigen Reaktionen von SPD und CDU sind Unverständnis und hämische Kommentare. Es wird Zeit, auf die Straße zu gehen!“

Zusammen mit anderen Parteien und zivilgesellschaftlichen Organisationen hat die Piratenpartei bereits im Vorfeld scharfen Protest geübt.

Dazu Hillbrecht: „Das Gesetz etabliert eine Zensurinfrastruktur, wie es sie im freiheitlich-demokratischen Deutschland noch nie gegeben hat. Kinderpornographie lässt sich damit aber in keiner Weise verhindern oder eindämmen, wie es von den Befürwortern behauptet wird. Stattdessen sind die missbrauchten Kinder nur billiges Vehikel, um den Wünschen von Musikindustrie und politischen Hardlinern nach einer umfassenden Internetzensur populistischen Nachdruck zu verleihen. Mit diesem Internetzensurgesetz werden die Grundfesten der Meinungsfreiheit in Deutschland irreparabel geschädigt.“

In Berlin, Hamburg, München, Düsseldorf, Frankfurt, Hannover und weiteren Städten finden deshalb am Samstag, 20. Juni 2009, um 12:00 Uhr Protestdemonstrationen statt. Genauer Ort sowie das Programm finden sich auf www.LoeschenStattSperren.de. Die Piratenpartei ruft alle demokratischen Kräfte auf, sich an diesen Veranstaltungen zu beteiligen. Die letzte parlamentarische Möglichkeit, diesen Wahnsinn zu stoppen, liegt jetzt beim Bundesrat. Je stärker und zahlreicher unsere Demonstrationen sind, desto schwieriger wird es für die Abgeordneten, die Stimme des Volkes zu ignorieren.

Quelle dieses Textes: Piratenpartei.de

Panopti.com – Die schöne neue Welt der Überwachung

Ein interessantes Fundstück aus dem Netz: Panopti.com

Auf der Webseite gibt es ein Flash-Video, das anhand des Alltags eines Bürgers aufzeigt, wo heute überall bereits Überwachungstechnologie drinsteckt, um Datenspuren zu erzeugen und auszuwerten.

Der Seitentitel ist angelegt an das „Panopticon“, ein Konzept des Philosophen Jeremy Bentham zum Bau von Gefängnissen, in denen von einem zentralen Ort aus alle Insassen leicht überwacht werden können, ohne dass diese ihrerseits bemerken, ob sie gerade überwacht werden oder nicht. Von diesem Konstruktionsprinzip erhoffte sich Bentham, dass sich zu jeder Zeit alle Insassen regelkonform verhalten, da sie jederzeit davon ausgehen müssen, beobachtet zu werden.

Plant der Staat ein Förderprogramm für Kinderpornografie?

In der Krise stehen reihenweise Unternehmen beim Staat an, um sich per Kredit, Bürgschaft oder anderer Förderung unter die Arme greifen zu lassen. Meist läuft das aber aufgrund der formalen Verfahren und den Prüfungen bis rauf auf EU-Ebene zumindest recht öffentlich ab.  Im Wochentakt berichtet die Presse darüber.

Etwas klandestiner verläuft dagegen seit einiger Zeit die Einrichtung eines „Förderprogramms“ der besonderen Art zur finanziellen Stabilisierung der kommerziellen Kinderpornografie auf Kosten des Steuerzahlers.

Dazu gab die Piratenpartei Deutschland kürzlich eine Pressemeldung heraus, die ich hier wiedergebe. Es bleibt jedem selbst überlassen, ob er in den darin kommentierten Plänen unserer Regierung nur Dummheit und Ignoranz sieht. Oder aber eine tiefergehende Absicht …

Internet-Sperren helfen Straftätern

Das von der Bundesregierung geplante Gesetz zur Bekämpfung der Kinderpornografie im Internet schadet nach Ansicht der Piratenpartei dem eigentlichen Zweck. Durch das Sperren werden Listen mit brisanten Seiten generiert, die als eine Art „Einkaufsliste“ von Straftätern missbraucht werden können und zudem als Frühwarnsystem für Betreiber illegaler Inhalte dienen.

Mit frei zugänglichen Netzwerk-Werkzeugen lässt sich mit geringem Aufwand, völlig automatisch die Liste der brisanten, gesperrten Seiten ermitteln, und damit eine Art „Kinderpornografie-Katalog“ erstellen. Auf diese Art wurden bereits Sperrlisten in anderen Ländern trotz strenger Geheimhaltung ermittelt und kursieren seitdem im Internet. Das wird nach unserer Einschätzung auch mit der deutschen Sperrliste der Fall sein. Der Zugang zu kinderpornographischen Angeboten würde so sogar erleichtert statt erschwert.

Andreas Blochberger von der Piratenpartei erklärt: „Für Betreiber illegaler Seiten eröffnen Internetsperren außerdem die Möglichkeit, zu überprüfen, ob ihr Angebot bereits unter Verdacht geraten ist. Damit wird den Betreibern ein Frühwarnsystem an die Hand gegeben, welches die Strafverfolgung massiv erschwert.“

Jens Seipenbusch, stellv. Vorsitzender der Piratenpartei erklärt zu dem Vorhaben: „Am 18. Juni soll im Bundestag die zweite und dritte Lesung zum Gesetz stattfinden, damit es noch vor der Sommerpause abgesegnet werden kann. Die auffällige Eile und die Tatsache, dass die Lesungen an einem Tag zusammengelegt werden, legen die Vermutung nahe, dass hier schnell ein Gesetz unter fadenscheinigen Vorwänden durchgepeitscht werden soll, noch bevor die öffentliche Debatte stattgefunden hat. Die Online-Petition gegen das Gesetz mit knapp 120.000 Unterzeichnern ist einmalig und sollte von der Regierung ernst genommen werden!“

Die Piratenpartei fordert die Regierung auf, Kindermissbrauch und dessen Dokumentation im Internet effektiv aber ausschließlich mit rechtsstaatlichen Mitteln zu bekämpfen: Da kriminelle Angebote gelöscht werden müssen, gibt es keinen Grund, sie bloß zu verstecken. Gegen die Täter muss wirksam strafrechtlich ermittelt werden. Die internationale Zusammenarbeit im Sinne der Kommunikation der Sicherheitsbehörden zum Abschalten der Angebote muss verbessert werden. Grundgesetzwidrige Maßnahmen oder das Umgehen der Gewaltenteilung sind in diesem Zusammenhang absolut nicht hinnehmbar. Die kontraproduktiven Vorschläge der Bundesregierung müssen gestoppt werden.

FoeBud-Seite zum Thema Internetzensur

Arbeitskreis Internetzensur

Illegale Krankenakten bei der Post

Nun hat auch die Deutsche Bundespost ihren Datenschutzskandal. Wie Spiegel Online berichtet, gab es bei dem Logistikkonzern elektronische Krankenakten von Mitarbeitern, in denen selbst intimste Krankheitsdetails gespeichert wurden. Daneben wurden die Informationen häufig mit klaren internen Handlungsempfehlungen zur Behandlung der betroffenen Beschäftigten verbunden. So z.B. mit dem Ziel auf die Mitarbeiter dahingehend einzuwirken, dass sie in Vorruhestandsregelungen einwilligen oder eine Versetzung akzeptieren.

Die Deutsche Post AG räumt ein, dass solche Akten geführt wurden und dass damit in gravierender Form gegen Datenschutzbestimmungen verstoßen wurde. Allerdings, so Personalvorstand Walter Scheuerle, sei dies nach Kenntnis des Unternehmens nur in zwei der Post-Briefzentren der Fall gewesen. Die für die Post zuständige Gewerkschaft Ver.di fordert jedenfalls eine „rigorose Aufklärung“, kann aber auch erst mal nur warten, was dabei noch ans Tageslicht kommt.

Damit wären eigentlich alle größeren Unternehmen beisammen, die das „Deutsche“ im Namen tragen. Deutsche Telekom, Deutsche Bahn, Deutsche Lufthansa, Deutsche Bank, Deutsche Post …

Ob sich Datenschutzignorierer bald mit „Deutschem Gruß“ begrüßen, wenn sie sich auf der Straße oder im Gerichtssaal begegnen?

Es fällt auf, dass solche Datenskandale immer größere Unternehmen zu betreffen scheinen, die ihre internen Abläufe eigentlich hinreichend professionalisiert und revisionssicher angelegt haben sollten. Oder gibt es für jeden Konzern in den Negativschlagzeilen etwa tausend Klein- und Mittelunternehmen, die datenschutztechnisch „unter dem Radar“ durchfliegen?
Spiegel.de: Post speicherte Krankendaten von Mitarbeitern

Im Netz der Späher und Schnüffler

Deutsche Bahn, Deutsche Telekom und nun auch die Deutsche Bank – was haben diese Firmen mit Lidl gemeinsam? Spitzelaffären und eine von Laxheit und krimineller Energie geprägte Grundhaltung zu Fragen des Datenschutzes. Darüber berichtet der Spiegel in seiner aktuellen Ausgabe 24/2009 ab Seite 70. Nicht nur das Beschäftigte, Führungskräfte und zum Teil sogar Aufsichtsräte datentechnisch ausgespäht wurden. Es gibt inzwischen sogar Hinweise darauf, dass die „Sicherheitsabteilungen“ mehrerer Konzerne Informationen untereinander ausgetauscht haben. Der Verfolgungswahn der Unternehmen treibt immer neue Blüten.

So wurden mehrmals auch externe Detekteien oder Kanzleien beauftragt, um Material auf illegalen Wegen zu beschaffen, ohne dass sich interne Mitarbeiter in Straftaten verwickeln mussten und um sicher zu stellen, dass eventuelle Spuren verwischt wurden. Inzwischen zweifeln Datenschützer und polizeiliche Ermittler an, dass solche Methoden nur bei der Bahn oder der gängige Telekom Praxis waren. In einem bei Ermittlungen beschlagnahmten Dokument der Telekom fand man Hinweise auf einen „Security-Kreis“, dem neben dem Ex-Sicherheitschef der Telekom auch sein Kollege von der Bahn sowie fünf weitere Mitglieder aus anderen Konzernen (darunter der Deutschen Bank) angehörten. Und dem früheren Leiter der Telekom-Sicherheit Klaus Trzeschan wird nach Zeugenaussagen vorgeworfen, bereits im Jahr 2000 im Rahmen kollegialer Hilfe Verbindungsdaten an die Deutsche Lufthansa weitergegeben zu haben, um eine „undichte Stelle“ im Aufsichtsrat der Lufthanseaten aufzudecken. Es scheint demnach informelle Netzwerke zwischen den Angehörigen der Sicherheitsabteilungen verschiedener Konzerne zu geben. Man kennt sich und hilft sich. Wirtschaftsspionage der ganz anderen Art.

Was ist es eigentlich, wovor sich die Vorstände dieser Konzerne als Letztverantwortliche so derart fürchten, dass sie Kopf und Kragen bei illegalen Spitzelaktionen riskieren?

Gerhard Baum, Sonderermittler der Datenschutzaffären bei Bahn und Telekom, kommt in einem Spiegel-Interview zum Ergebnis, dass es in den Unternehmen zum Teil eine generelle Spitzelmentalität in führenden Kreisen zu geben scheint. Hinzu kommt eine den heutigen Verhältnissen absolut unangemessene „Herr-im-Haus-Mentalität“, die davon ausgeht, dass nur den Entscheidern im Unternehmen Rechte zukommen. Und das Unternehmen exterritoriale Gebiete seien, in denen Bürgerrechte und Grundgesetz keine Gültigkeit haben.

Dies sind klare Symptome für ein auf Misstrauen, Hierarchien sowie Befehl und Gehorsam aufgebautes Führungssystem, dass beim Umgang mit Komplexität zunehmend an seine Grenzen kommt. Dem gegenüber steht eine zunehmende Sensibilität der Arbeitnehmer und Verbraucher gegenüber Datenmissbrauchsfällen in Unternehmen.

Viele Manager scheinen nach Baums Ansicht Wirtschaft als Krieg, als „Information Warfare“ aufzufassen. Und im Krieg ist bekanntlich alles erlaubt, da am Ende der Sieger die Geschichte umschreiben und dem Verlierer die Rechnung schicken kann. Besonders ausgeprägt sei der Kontrollwahn demnach in Konzernen, die aus früheren Staatsbetrieben hervorgingen – also den “Deutsche X“-Firmen. Dort, wo Datenmissbrauch aufgedeckt wurde, fehlt den ertappten Führungskräften oftmals jedes Unrechtsbewusstsein. Als ob sie in den USA wären, wo es Datenschutz und informationelle Selbstbestimmung kaum gibt.

Diese zahlreichen Skandale zeigen, dass es grundsätzliche Änderungen im Gefüge der internen und auch der externen Kontrolle von Konzernen bedarf. Das beginnt bei der Diskussion um ein Arbeitnehmerdatenschutzgesetz, setzt sich fort über zielgenauere Compliance-Regeln für Unternehmen und endet noch lange nicht bei der Unabhängigkeit und Durchgängigkeit der Überwachung solcher Vorgaben.

Auch IT-Sicherheitsverantwortliche stehen vor einem Problem – was tun, wenn der eigene Vorstand kommt und etwas offensichtlich Illegales will? Welcher CISO hat dann das Rückgrat, das Ansinnen abzulehnen oder sich über die Rechtsabtteilung und den Datenschutzbeauftragten abzusichern? Wer will da im Zweifelsfall als Blockierer scheinbar dynamischer Veränderungen dastehen und seiner Karriere ein abruptes Ende bereiten?

Wobei strenge Gesetze allein nutzlos sind. Es muss auch dafür gesorgt werden, dass die Instanzen, welche sie durchzusetzen haben (Datenschutz, Betriebsrat,  interne Revision, Wirtschaftsprüfer, Aufsichtsbehörden) personell und materiell ausreichend ausgestattet sind.

Sind Ihre Daten wirklich sicher?

Mängel bei der Datensicherheit können teuer werden. So bestätigte der Bundesgerichtshof als Revisionsinstanz im Dezember 2008 ein Urteil wonach ein selbständiger IT-Dienstleister 70% eines Schadens in Höhe von etwa 600.000 € bezahlen muss (Az. VI ZR 173/07). Er hatte seinen Sohn mit zu einem Firmenkunden genommen. Während der Verurteilte seiner Arbeit nachging, machte sich sein Sohn an einem Kundenrechner zu schaffen und löschte dabei beim Versuch ein Computerspiel zu installieren, versehentlich wichtige Datenbestände. Für diese Daten existierte keine Sicherheitskopie, so dass die Mitarbeiter der Firma relativ lange brauchten, um sie wiederherzustellen und währenddessen kostspielige Auftragseinbußen und Störungen ihres Betriebablaufs hinnehmen mussten. Dass der Beklagte nicht zum Ersatz des vollen Schadens verurteilt wurde, lag daran, dass sein Auftraggeber keine Sicherheitskopie hatte anlegen lassen (was die Wiederherstellung drastisch verkürzt hätte).

Der Verlust von wichtigen Daten auf dem Privat-PC ist schon mehr als ärgerlich. Im beruflichen Umfeld kann er aber auch noch sehr teuer werden. Gerade freiberuflich Tätige sollten daher über sinnvolle Haftungsbegrenzungsklauseln in ihren Verträgen und eine Berufshaftpflichtversicherung nachdenken. Und dass der eigene Nachwuchs nichts auf dem Firmengelände der Kunden zu suchen hat, versteht sich fast von selbst.

Wie aber lassen sich Daten sinnvoll sichern? Grundsätzlich werden bei jeder Datensicherung (Backup) die zu sichernden Daten auf ein alternatives Speichermedium abgelegt (z.B. auf eine DVD oder eine Festplatte). Dabei können Teilbereiche wie z.B. Dateiverzeichnisse oder Datenbanken gesichert werden. Im Falle eines Datenverlusts wird dieser Teilbereich dann vom Backup-Medium zurückgespielt (Restore), so dass nur der Arbeitsaufwand des Zeitraums ab der letzten Datensicherung verloren gegangen ist. Oder es werden Komplettsicherungen (Images) des Festplatteninhaltes eines ganzen Rechners, einschließlich Betriebssystem, Anwendungen und Datenbeständen vorgenommen, die im Bedarfsfall nicht nur Daten zurückspielen, sondern auch die zu ihrer Nutzung erforderlichen Programme.

In Firmen werden Programme und Datenbestände häufig administrativ getrennt. Programme werden entweder lokal auf dem Rechner installiert oder zentral von Applikationsservern oder über ein Intranet bezogen. Daten werden statt auf den einzelnen Rechnern auf Netzlaufwerken gespeichert. Das vereinfacht die Datensicherung im Unternehmen beträchtlich. Die Netzlaufwerke liegen meist allesamt auf einem Datenserver, der zentral und automatisch in kurzen Zeiträumen (meist stündlich oder täglich) gesichert wird. Streikt dagegen ein Programm, wird es eben neu installiert, ein Vorgang der ebenfalls automatisiert werden kann.

Privatnutzer und „kleine Selbstständige“ wie Trainer oder Coaches, deren EDV oft nur aus einem einzelnen Rechner besteht, müssen dagegen selbst entscheiden, was sie in Sachen Datensicherung tun wollen. Maßstab ist dabei der Wert der zu sichernden Daten. Er kann leicht dadurch geschätzt werden, indem man sich fragt:

•    Was tue ich, wenn diese Daten weg sind?
•    Wie lange würde es dauern, sie wiederzubeschaffen?
•    Welcher sonstige Ärger und Mehraufwand käme dann auf mich zu?

Die Schätzformel Zeitaufwand x Stundensatz zzgl. eines Aufschlags für verärgerte Kunden, verlorene oder verzögerte Aufträge etc. liefert eine grobe Erstschätzung.

Eine erste Sicherheitsmaßnahme wäre z.B. die Anschaffung einer externen Festplatte, auf die man die zu sichernde Daten oder Images speichert. Bei täglichen oder zumindest wöchentlichem Sichern der Daten sollte man als Benutzer von Windows auch an etwas entlegenere Datenbestände wie z.B. E-Mail-Daten denken, die weit verbreitete Mailprogramme wie Outlook oder Thunderbird in Unterverzeichnissen von „Dokumente und Einstellungen“ ablegen. Auch hat fast jede Windows-Version gewisse Eigenheiten, was die Ablage von System- und Anwendungsinformationen angeht.

Windows bietet ab XP zudem die Funktion „Wiederherstellungspunkt setzen“ an (Start Programme → Zubehör → Systemprogramme → Systemwiederherstellung). Will man ein neues Programm installieren, sollte man vorher einen solchen Wiederherstellungspunkt anlegen. Geht im Verlauf der Installation der neuen Software etwas schief, lassen sich die meisten negativen Auswirkungen auf wichtige Systemkomponenten zurücknehmen, indem man anschließend diesen Wiederherstellungspunkt wieder einspielt.

In kleineren Firmen mit mehreren Rechnern kann aus der externen Festplatte auch ein kleiner Datenserver (network attached storage, NAS) werden, der über das Netzwerk angesteuert wird und über redundant ausgelegte Plattensysteme und spezielle Protokolle deutlich ausfallsicherer ist als eine einzelne Festplatte.

Die darauf folgende Frage ist oft die nach der räumlichen Trennung von Datensicherungseinrichtungen. Ein Backup nutzt wenig, wenn es bei einem Feuerschaden oder einem Wasserrohrbruch zusammen mit dem Rest der Unternehmens-EDV vernichtet wird. Fachleute raten daher zu einer doppelten, räumlich getrennten Datensicherung, um diesem Risiko vorzubeugen.

Praxisbeispiel: 2001 wurden im Zuge des Anschlags auf das World Trade Center in New York die dort eingemieteten Firmen vollständig zerstört. Aber viele betroffene Unternehmen nahmen bereits wenige Tage später wieder den Betrieb auf. Sie zogen Personal von anderen Standorten ab und hatten ihre Daten in einem Rechenzentrum gesichert, das in einem anderen Stadtviertel lag.

Grundsätzlich gilt: Je größer und komplexer die IT-Umgebung ist und je wertvoller die genutzten Programme und Daten sind, desto sorgfältiger und gründlicher sollte über das Thema der Datensicherheit nachgedacht werden.