Michael Wirt im Gespräch mit Hubert Göhler, Geschäftsführer von PentaSafe Security Technologies
Michael Wirt:
Alle Welt spricht von Security. Wie viel davon ist Panikmache und wie viele Löcher gibt es tatsächlich im System?
Hubert Göhler:
Es ist sicherlich nicht viel Panikmache. Immer größere Schäden entstehen durch Attacken. Und auch die werden immer mehr – egal, ob durch Viren oder Hacker. Nicht nur Privatpersonen mit krimineller Energie bedrohen heute die Netzwerke, sondern auch Industriespionage. Es kann sein, dass die Gefahren manchmal etwas überzeichnet werden, aber nur so kann man Aufmerksamkeit auf die existierenden Löcher im System lenken. Und davon gibt es noch einige: Das fängt bei Mitarbeitern an, die aus Unwissenheit oder auch aus bösem Willen Daten herausgeben oder einen Zugriff darauf ermöglichen. Generell aber stellt jede Öffnung nach außen – das Internet oder die Anbindung an andere Unternehmen oder mobile Mitarbeiter – schon eine Gefahr dar. Entsprechend hoch ist der Bedarf an IT-Sicherheit.
Michael Wirt:
Für welches Unternehmen lohnt es sich, in Security zu investieren?
Hubert Göhler:
Jedes Unternehmen hat einen anderen Bedarf an Sicherheit. Erst, wenn man wirklich weiß, wie schutzbedürftig unterschiedliche Unternehmensdaten sind und wie hoch ein potenzieller Schaden sein könnte, kann man das richtige Maß festlegen und die geeigneten Maßnahmen definieren. Kosten und Nutzen müssen natürlich auch bei IT-Sicherheit in einem vernünftigen Verhältnis stehen. Leider hat sich das Thema Sicherheit noch nicht in allen Unternehmen als Priorität durchgesetzt. Der Geschäftsfokus und damit auch die Ressourcen zielen auf Produktivität und ROI, der für Sicherheitsprojekte nur schwer definierbar scheint.
Michael Wirt:
Welche Plattformen sind denn besonders gefährdet?
Hubert Göhler:
Eine vollkommen sichere Plattform gibt es nicht. Je offener das System, desto gefährdeter ist es auch. Aber bei jeder Plattform ist der Administrator immer wieder mit denselben Fragestellungen konfrontiert. Er muss Logs überprüfen, Anwenderprofile und Systemwerte aktualisieren sowie auf dieser Basis Empfehlungen aussprechen. Er muss Schwachstellen identifizieren und Lücken schließen – und dies meist in heterogenen Netzen mit Zugriff mobiler Mitarbeiter und einer Anbindung an das WAN.
Michael Wirt:
Ist die AS/400 also doch nicht so sicher, wie immer behauptet wird? Wo hakt es denn dort?
Hubert Göhler:
Die AS/400 hat umfangreiche, aber komplexe Sicherheits-Features, die nicht einfach implementierbar sind. Darüber hinaus wird die AS/400 verstärkt in heterogene Umgebungen eingebunden, die es den Unternehmen erlaubt, die vorhandenen Informationen best möglich zu verwerten. Diese heterogene Mischung ist nicht unproblematisch. Knackpunkt sind im Besonderen die Remote-TCP/IP-Zugriffe. Diese Zugriffe können durch Exit-Point-Programme kontrolliert werden. Exit Points sind die Punkte, an denen die AS/400 die Kontrolle über den Prozess an eine externe Funktion oder an ein Programm übergibt. Dies ist beispielsweise der Fall, wenn auf AS/400-Daten von einer Windows NT Domain oder einem Unix-System zugegriffen wird. Werden die Exit Points nicht ausreichend kontrolliert, so kann ein Anwender unter Umständen direkt von einem PC im Netz auf die iSeries-Daten zugreifen und sie mit einer Utility wie FTP manipulieren. AS/400 wurde entwickelt, noch bevor die Local Area Networks (LAN) sehr verbreitet waren. Sicherheitskontrollen für Remote Client Access sind deshalb nicht grundlegender Bestandteil der iSeries Security-Methodik.
Michael Wirt:
Kann man diese Schwachstellen denn schließen?
Hubert Göhler:
Die Standardkontrollen in AS/400 an sich verhindern diesen Zugriff auf Objekte nicht notwendigerweise. Man muss Exit-Programme entwickeln und implementieren, was auch für die erfahrensten Praktiker und Programmierer schwierig ist. Die Zugangskontrolle für individuelle Anwender ist eine mühsame Aufgabe. Hunderte von Anwender im System greifen potenziell über mehr als 35 Exit Points auf die Daten zu. Jeder davon nutzt mehrere Funktionen – das ist eine riesige Aufgabe für jeden Programmierer!
Aber dennoch, man kann diese Schwachstellen schließen. Das setzt voraus, dass sich jeder System-Administrator und Programmierer nach den Vorgaben des Managements mit Sicherheit auf der iSeries und AS/400 befasst. Ziel muss es sein, die sensiblen Geschäftsinformationen vor beabsichtigten oder zufälligen Sicherheitsverstößen oder Bedrohungen zu schützen.
Michael Wirt:
Und dabei hilft PentaSafe? Wie sieht Ihr Angebot konkret aus?
Hubert Göhler:
Die Produkte von PentaSafe helfen den AS/400-Managern, weitere effektive Sicherheitsmaßnahmen in ihre AS/400 einzubauen. Das beginnt bei Security Auditing. Der VigilEnt Security Agent für AS/400 automatisiert die Überprüfung und erstellt präzise, leicht verständliche Berichte. Über Rollendefinitionen verwaltet die Lösung auch Anwender, Gruppen, Netze, Objekte und Exit Points. Für das Auditing gibt es einige wichtige Werkzeuge, wie etwa Delta-Reports, die den Zustand der Objekte zu zwei verschiedenen Zeitpunkten vergleichen und Veränderungen ausweisen. Auch können Datenzugriffe und die Zugriffsarten – Lesen, Schreiben, Ändern, Löschen – bis auf Feldebene überprüft werden.
Und wenn gegen eine Regel verstoßen wird, dann hat der PentaSafe VigilEnt Security Agent für AS/400 eine Alarmfunktion – unter anderem via e-Mail, SNMP, Pager oder SMS. Auch der Agent kann sofort eine korrektive Maßnahme auslösen.
Michael Wirt:
Bleibt bei all diesen Maßnahmen dennoch ein Restrisiko, das man nicht vermeiden kann?
Hubert Göhler:
Eine hundertprozentige Sicherheit kann es nie geben – vor allem, da ja die Security-Budgets auch in einem sinnvollen Rahmen bleiben müssen. Die Tools der Spezialisten wie PentaSafe helfen dabei, den Sicherheitslevel auf das individuell notwendige Sicherheitsniveau kostenbewusst anzupassen. Aber ein bestimmtes Restrisiko kann man nicht ausschließen. Schließlich haben wir es mit Menschen zu tun und auch die bestausgebildetsten Mitarbeiter machen Fehler. Aber ich bin sicher, man kann mit geeigneten Maßnahmen sehr, sehr viel erreichen.
PentaSafe
D–63263 Neu-Isenburg
Telefon: (+49) 06102/247600
www.pentasafe.com