Die aktuelle Bedrohungslage und die sinnvollen Abwehrmaßnahmen diskutiert Uwe Hofmann, Senior Account Executive bei Precisely, mit dem Midrange Magazin (MM).
MM: Welche organisatorischen Vorkehrungen sollten Unternehmen treffen, damit ihre IT-Umgebung gegen Cyber-Attacken gerüstet ist?
Hofmann: Aktuell sind die meisten Unternehmen gegen direkte Attacken aus dem Internet durch Firewalls, etc. recht gut geschützt. Aus diesem Grund nutzen Angreifer heute andere Zugangswege, wie Phishing, social Hacking, etc. um sich Zugriff zu den Unternehmensdaten zu verschaffen. Ganz speziell die Datenbanken, die häufig auf IBM i-Systemen laufen stehen natürlich im Fokus der Angreifer. Unternehmen sollten daher ihr Augenmerk auf die frühzeitige Erkennung und Verhinderung von Angriffsversuchen und deren effiziente Nachverfolgung legen.
MM: Welche technischen Maßnahmen sind vor diesem Hintergrund sinnvoll?
Hofmann: Neben der permanenten Schulung und dadurch Sensibilisierung der Mitarbeiter gibt es eine Reihe von Möglichkeiten, um sich gegen solche Bedrohungen zu schützen. Zunächst empfehlen wir immer eine Bestandsaufnahme des Status der aktuellen Security Maßnahmen, die diese wichtigen Systeme schützen sollen. Aus den Ergebnissen eines solchen Security Risk Assessments werden dann die notwendigen Maßnahmen und ggf. die erforderlichen technischen Lösungen wie Multifaktor-Authentifizierung, Encryption, System Access Management und Monitoring abgeleitet.
MM: Wie sieht so ein Security Risk Assessment aus?
Hofmann: Es gibt zwei wesentliche Ausprägungen: Zum einen stellen wir dem Kunden ein kleines Tool zur Verfügung, das er auf den Systemen installiert und das sämtliche Security relevanten Vorgänge, wie fehlerhafte Logins, Security Level, User-Rechte, Systemeinstellungen, etc. auswertet und in einem übersichtlichen Report zusammenfasst. Es werden auch erste Handlungsempfehlungen gegeben. Diesen Report kann der Kunde, in Zusammenarbeit mit unseren Technikern, nutzen, um seine Security auf einen ganz neuen Level zu bringen. Zum anderen bieten wir ein umfangreiches Security Risk Assessment durch unsere Security Spezialisten an, das natürlich weit intensivere und detailliertere Informationen und die daraus zu treffenden Handlungsempfehlungen für den Kunden erbringt.
MM: Welche Rolle spielen Vorgaben wie die DSGVO bei derartigen Herausforderungen?
Hofmann: Die DSGVO ist für die Sicherheit der Daten, die ein Unternehmen speichert und/oder verarbeitet bei uns das Maß der Dinge. Die DSGVO regelt auch was passieren muss, wenn es einmal zu einer Datenpanne durch z.B. einen Hacker-Angriff kommt. Deshalb ist neben der Absicherung der Systeme und Umgebungen auch deren Überwachung und das zugehörige Reporting essenziell wichtig, um schnell und zielgerichtet die entsprechenden Maßnahmen ergreifen zu können und damit DSGVO-konform zu bleiben.
MM: Warum ist aus dem Blickwinkel einer sicheren IT ein Security-Monitoring der IT-Umgebung unumgänglich?
Hofmann: Neben diesen gesetzlichen Vorgaben gibt es jedoch auch andere sehr praktische Gründe für ein gutes Security-Monitoring. Es geht dabei z.B. um eine schnelle Identifizierung der Zugangspunkte und des Wegs, den der Angreifer innerhalb der Systeme genommen hat. Dadurch kann man sehr schnell und effizient Sicherheitslücken identifizieren und schließen. Hier dürfen die Legacy Systeme auf keinen Fall außen vor bleiben, sonst entstehen schwarze Löcher im Gesamtbild der Unternehmens Security.
MM: Wie sollte dieses Monitoring umgesetzt werden, damit es allen regulatorischen Anforderungen entspricht?
Hofmann: Zum Beispiel durch eine Lösung wie Assure Security, die ein integriertes Monitoring für die IBMi-Systeme bietet, das sämtliche sicherheitsrelevanten Informationen zur Verfügung stellt, automatisierte Reports, Security Events erzeugen und die zuständigen Administratoren bei Bedarf alarmieren kann. Auch Skripte können automatisch gestartet werden. Assure Security bietet Schnittstellen zu SIEM-Lösungen wie z.B. QRadar, LogRhythm und Splunk, um in das unternehmensweite Security-Monitoring integriert werden zu können.
MM: Warum macht aus Ihrer Sicht eine SIEM-Integration der IBM i-Security Sinn?
Hofmann: Es besteht die große Gefahr, dass die Legacy Systeme wie IBM i oder auch der Mainframe zu einer Art schwarzem Loch in der Security werden, da diese meist nicht oder nur rudimentär von den Security-Lösungen gemonitort werden. Dabei liegt der Security-Level gerade dieser Systeme häufig weit unter dem anderer Systeme im Haus. Gelingt es einem Angreifer an die Zugangsdaten eines privilegierten Users eines solchen Systems zu kommen, stehen ihm Tür und Tor zu den wichtigsten Unternehmensschätzen offen: den Daten!
MM: Wie sollte ein Unternehmen vorgehen, das ein Security Audit durchführen muss?
Hofmann: Sofern das Unternehmen Assure Security mit dem Modul Monitoring und Reporting im Einsatz hat: gar nichts. Assure Security stellt in allen wesentlichen Modulen auditfähige Reports zur Verfügung.
Rainer Huttenloher
Weitere interessante Vorträge zu diesem Thema finden Sie auch auf dem „Trust 21“ Precisely Data Integrity Summit am 17. Juni 2021: Einfach kostenfrei registrieren.