Jahr-2000-Projekte – Lehren für die IT-Sicherheit

Von K. Klinner, BSI

Das Ausbleiben spektakulärer Ereignisse im Zusammenhang mit dem Jahrtausendwechsel scheint jenen optimistischen Einstellungen Recht zu geben, die sich im Vorfeld an der Aussage "Was soll die Aufregung, es passiert ja doch nichts" orientiert haben. Nach dem mit Spannung erwarteten Jahreswechsel konnte in den meisten Organisationen das regelmäßige Tagesgeschäft weitgehend fehlerfrei fortgesetzt werden und vielfach wurde die Frage gestellt, ob der in der Organisation betriebene Aufwand gerechtfertigt sei.

Es scheint also mit wenigen Ausnahmen – zumindest offiziell – keine Probleme gegeben zu haben. Von vereinzelten Kommunikationsfehlern in der Neujahrsnacht wurde berichtet oder davon, dass die Datumsübermittlung bei E-mail-Programmen in den ersten Tagen des Jahres fehlerhaft gewesen sei. Es traten lediglich einige Probleme in Atommeilern, beim Pentagon, bei Kunden von Online-Banken sowie mit amerikanischen Spionagesatelliten auf, wie in der ersten Woche des neuen Jahres zu lesen war. Jedenfalls scheinen alle diese Fehler nur geringfügige Auswirkungen gehabt zu haben, denn in offiziellen Verlautbarungen war lediglich von kleineren aber beherrschbaren Unregelmäßigkeiten die Rede.

Während an der Grenze des Übergangs ins neue Jahrtausend eher hardwarenahe technische Systeme für die oben beschriebenen Probleme sorgten, werden im weiteren Zeitverlauf aus Datenbeständen, beschränkt gültigen Zeitfenstern oder fehlerhaften IT-Anwendungen weitere Probleme entstehen. Es wird sich erst im Laufe dieser Monate nach dem Datumswechsel zeigen, ob tatsächlich alle IT-Systeme oder IT-Anwendungen Jahr-2000-fähig sind, wenn nämlich aufgrund von Datumsfehlern unrichtige Auswertungen oder falsche Sortierfolgen von Anwendungen produziert und weiterverarbeitet werden. Im Zusammenhang mit dem Schalttag am 29.02.2000 sind bereits kleinere Unregelmäßigkeiten aufgetreten, als beispielsweise Fahrkartenautomaten den Dienst verweigerten oder Lohnabrechnungsprogramme eine Eingabe für diesen Tag abwiesen, da dieses Datum die Hürde der programminternen Plausibilitätsprüfung nicht nehmen konnte. Solche und ähnliche noch offene Problemstellungen belegen, dass im Vorfeld die Zeit nicht ausreichte, eine Anpassung vorzunehmen oder vorgenommene Änderungen ausreichend zu testen. Ein weiteres Restrisiko besteht bei jenen Anwendungen mit Da-tumsbezug, die bei der Problemerhebung übersehen wurden. Eine Zunahme von Problemen mit nicht Jahr-2000-fähigen IT-Anwendungen bis zum Jahresende ist damit absehbar. Sie werden allesamt nicht zu gravierenden Beeinträchtigungen führen. Man kann sicher sein, dass diese Probleme sich als kleinere Unregelmäßigkeiten mit geringfügigen Auswirkungen darstellen oder als solche von den Verantwortlichen in der Öffentlichkeit dargestellt werden.

[Illustratiion]

Nutzen

Für jene Organisationen, bei denen tatsächlich keine oder nur geringfügige Probleme auftraten bzw. auftreten werden, kann man vermuten, dass dort im Vorfeld Datenbestände und Informationstechnik gut auf den Jahrtausendwechsel vorbereitet werden konnten. Der in diesen Organisationen betriebene Aufwand wird vielfach – angesichts der ausgebliebenen Probleme – leicht in Frage gestellt. Wenn Wirtschaftlichkeitskriterien in der Nachbetrachtung des Aufwandes herangezogen werden, so kann dieser nur in Relation zum erreichten Nutzen begründet werden.

In Unternehmen ist mit der Aufrechterhaltung der zielgerichteten wirtschaftlichen Betätigung und der Gewährleistung des zeitgerechten Cash-flows der Nutzen einsehbar. Der Nutzen ist hier aus der Sicht der Folgen zu bewerten, wenn die präventive Anpassung unterblieben wäre.

Unabhängig vom quantifizierbaren Nutzen war das Tätigwerden zur Abwendung der mit dem Jahrtausendwechsel verbundenen Risiken für die Unternehmensleitung eine gesetzliche Pflicht zur Gewährleistung des Gläubigerschutzes. Von der Leitung von Organisationen, die der handelsrechtlichen Kontrolle unterliegen, ist mit der Einführung des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (Kon TraG) rechtzeitig die präventive Risikoabwehr abverlangt worden.

Bei der Betrachtung des Nutzens für das Arbeiten von Behörden steht eher die Gewährleistung der Qualität staatlicher Dienstleistungen im Vordergrund. Während im wirtschaftlichen Bereich der Nutzen besser zu quantifizieren sein wird, steht für die Nutzenbetrachtung bei Behörden der Qualitätsaspekt im Vordergrund. Für Millionen von Autofahrern wird es zwar nicht unmittelbar einsichtig sein, dass die Sicherung der Bestände auf den Punktekonten der Verkehrssünder-Kartei ein Beitrag zur Gewährleistung der Rechtssicherheit darstellt. Hier mag der eine oder andere den Aufwand zur Gewährleistung der Jahr-2000-Festigkeit dieser IT-Anwendung verärgert in Frage stellen – aber spätestens bei der rechtzeitigen und richtigen Zahlung von Renten, Beihilfen oder Gehältern wird der Aufwand gemeinhin als gerechtfertigt angesehen. Obwohl eine dem KonTraG vergleichbare gesetzliche Regelung für das Handeln von Behördenleitern nicht existiert, gebietet Recht- und Gesetzmäßigkeit des Verwaltungshandelns vorausschauende Prävention zur Abwendung von Schäden von Bürgern oder der Behörde selbst. Niemand wird ernsthaft den Nutzen in Frage stellen wollen, der beispielsweise mit der Sicherstellung des Flugverkehrs in der Neujahrsnacht und selbstverständlich in der Zeit nach dem Jahreswechsel verbunden ist.

Aufwand

Die Gartner Group schätzt den für die Sicherstellung der Jahr-2000-Fähigkeit von IT-Systemen und IT-Anwendungen weltweit betriebenen Aufwand mit 300 bis 600 Milliarden Dollar. In bundesdeutschen Behörden gab es für die Erneuerung nicht Jahr-2000-fähiger Informationstechnik keine erhöhten oder besonderen Haushaltsansätze. Erforderliche Investitionen wurden aus den laufenden Haushaltsansätzen finanziert. Selbst eine Erhöhung der IT-Titel in den öffentlichen Haushalten war im Vorfeld des Jahrtausendwechsels nicht signifikant.

Die Anpassung von IT-Anwendungen und Datenbeständen erfolgte als Eigenlösung mit den regelmäßig verfügbaren Ressourcen. Auch hier wird von keinen oder allenfalls geringfügigen Auswirkungen auf die regelmäßigen Dienstleitungen der Behörden berichtet. Die mit der Sicherstellung der Jahr-2000-Fähigkeit der IT-Systeme verbundenen Aufwendungen wurden in den Bundesbehörden aus den regelmäßigen Plafonds finanziert.

Sofern nicht Jahr-2000-fähige IT-Systeme zu ersetzen waren, können die Aufwendungen vielfach als vorgezogene Investitionen angesehen werden. Im betriebswirtschaftlichen Sinne gelten diese Aufwendungen als außerordentlicher technischer Aufwand, da die technische Alterung der IT-Systeme eine außerplanmäßige Abschreibung erfordert, der über die kalkulatorischen Abschreibungen hinausgeht.

In einigen Behörden wurden andere Projekte mit nachrangiger Priorität behandelt, um Ressourcen für die Jahr-2000-Projekte zu gewinnen. In wie fern hier ein ersparter Aufwand aus vergangenen Jahren im Vorfeld des Jahrtausendwechsels nachzuholen war, wird sich nur schwer ermitteln lassen. Denn die Einsparungen an einem ordnungsgemäßen und regelmäßigen Software-(re)engineering sowie die vielfach eingesparten Aufwendungen für eine umfassende begleitende Dokumentation der IT-Systeme führten im Rahmen der Jahr-2000-Projekte zu einem erhöhten Erhebungs-, Dokumentations- und Analyseaufwand. Diese periodendifferenten Verlagerungen werden unrichtigerweise in voller Höhe dem J2K-bedingten Umstellungsaufwand zugerechnet.

Nebeneffekte für die Organisationsarbeit

In einigen Organisationen hat die allgemeine Verunsicherung zu an sich zielgerichteten Aktivitäten im Vorfeld des Millenniums geführt. Mit zunehmender Nähe zum Datumswechsel war teilweise heftiger Aktionismus zu beobachten. Der schadlose Übergang bestätigte dann allerdings die optimistische Grundhaltung. In der Nachbereitung der Ereignisse wurden dort Zweifel an der Berechtigung des betriebenen Aufwandes laut und ernsthafte Warnungen im Vorfeld als "Panik-Mache" eingeordnet Insgesamt ist dort ein Motivationsverlust für IT-Sicherheitserfordernisse eingetreten und das IT-Sicherheitsbewusstsein in der Organisation eher zurückgegangen.

In den vielen Organisationen ist jedoch eine substantielle Veränderung im Umgang mit Sicherheitserfordernissen entstanden, denn der bevorstehende Jahrtausendwechsel hat dort einem verbreiteten Sicherheitsbewusstsein den Weg bereitet, und IT-Sicherheitsmanagement ist als permanente Aufgabe erkannt und etabliert worden. Wie auch immer sich die Stellung der IT-Sicherheit in den Organisationen verändert oder verbessert haben mag, von einigen Nebeneffekten der Jahr-2000-Projekte können alle Organisationen in Wirtschaft und Verwaltung profitieren.

Sensibilisierung

Es sind in vielen Organisationen unter realistischen Bedingungen die Abhängigkeiten der Aufgabenerfüllung vom IT-Einsatz reflektiert und die existenziell wichtigen IT-Anwendungen und IT-Systeme identifiziert worden. Folgerichtig ist die vorausschauende Prävention als permanente Aufgabe erkannt worden.

Übergreifende Notfallübung

Ungezählte IT-Experten in Behörden und Unternehmen überwachten den Jahreswechsel auf ihren IT-Systemen. In Lagezentren wurden Informationen über Ereignisse gesammelt und ausgewertet und die Möglichkeiten der Kommunikation und Reaktion getestet. Besonders im Behördenbereich war der Jahrtausendwechsel eine historisch einmalige Gelegenheit zum Test der Zusammenarbeit zwischen nationalen und internationalen Lagezentren und des Zusammenwirkens von verschiedenen Ressortstäben zu einem übergreifenden Krisenmanagement. Die Erhebungen im Vorfeld sowie die Übung unter realen Bedingungen führten zu einer Aktualisierung vorhandener Notfallpläne, zu einem verbesserten Systemmanagement und einer Verifikation der Datensicherungsverfahren durch ein erfolgreiches Recovery.

Revision von Bestandsverzeichnissen und Systemdokumentationen

Im Rahmen der Jahr-2000-Projekte wurde eine Bestandsaufnahme von IT-Anwendungen und IT-Systemen durchgeführt. Im Rahmen der Bestandsaufnahmen konnten Bestandsverzeichnisse verifiziert und aktualisiert werden. Im Rahmen der Prüfung der Jahr-2000-Festigkeit von IT-Systemen konnten Systemdokumentationen geprüft und vervollständigt werden.

Standardisierung

Die erforderlichen Anpassungen von IT-Systemen und IT-Anwendungen wurden vielfach dazu genutzt, die organisationsweite Vereinheitlichung auf J2K-fähige Systemversionen voranzutreiben.

Motivation

Das Ausbleiben gravierender Probleme bestätigt die in den Organisationen beschrittenen Lösungswege, der in Behörden häufig Eigen-Lösung bedeutete. Die erfolgreiche Arbeit der IT-Experten im Jahr-2000-Projekt wurde in vielen Organisationen durch die Leitung besonders honoriert und das Ausbleiben von Problemen als Indiz für Effizienz der Bemühungen in der Organisation gewürdigt.

Aus dem bundesbehördlichen Bereich kann in diesem Zusammenhang von dem Dankesschreiben des Bundeskanzlers Gerhard Schröder berichtet werden, der beispielhaft den Mitarbeitern des Jahr-2000-Stabes für die erfolgreiche Bewältigung des Jahr-2000-Problemes dankt.

Fazit

Abschließend bleibt die persönliche Feststellung, dass eine allgemeine Verunsicherung Menschen wohl eher zu Handlungen antreibt als die Einsicht in IT-Sicherheitserfordernisse. Wenn denn in der Nachschau von Jahr-2000-Projekten einzelne Skeptiker von Ressourcen-Verschwendung sprechen, so kündet diese Auffassung von einem "unterentwickelten" IT-Sicherheitsbewusstsein. Nicht zuletzt belegen Studien mit regelmäßiger Beharrlichkeit, dass ein breites IT-Sicherheitsbewusstsein auf allen Mitarbeiterebenen immer noch zu wenig ausgeprägt ist. Eine Verschwendung kann erst dann eintreten, wenn dem betriebenen Aufwand

Der Aufwand für die Anpassung von Datenbeständen, IT-Anwendungen und IT-Systemen wird damit in aller Regel gerechtfertigt sein.

Insbesondere für mögliche Ereignisse, deren Folgen die Funktionalität der Organisation erheblich beeinträchtigen können, ist mit Blick in die Zukunft über das verbleibende Restrisiko die Entscheidung zu treffen, ob die Folgen für die Organisation tragbar sind oder nicht.

© BSI, D-53133 Bonn,
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 3/2000, Seite 55