Der funktionierende Zugriff auf die Daten gehört zu den essenziellen Aufgaben in der IT. Das gereicht immer weniger zur trivialen Angelegenheit, denn längst sind die Monostrukturen früherer Jahre aufgebrochen und es sind in den zentralen Host heterogene Clients für die unterschiedlichsten Jobs einzubinden. Neben den Integrations-, Verfügbarkeits- und Kosten/Nutzen-Aspekten ist hier insbesondere an die Sicherheit zu denken. Der wohlbehütete AS/400-Host: über das 5250-Termminal grün auf schwarz angezapft, sauber isoliert vom Rest der Welt und bar jeglicher Portabilitätsprobleme. Schön war die Zeit, mag manch einer mit Freddy Quinn verklärten Blicks die Vergangenheit hochleben lassen, zumindest was die Administration der Systeme anbelangt. Aber wer will sich heute noch ernsthaft mit diesem Inseldasein begnügen? Nein, die Welt hat sich weiter gedreht: Heute sind völlig andere Systeme in die Netzwerken integriert. Intel-Maschinen müssen auf Daten und Applikationen zugreifen können, mobile Clients sind einzubinden, Web-Services und viele andere Dinge mehr gehören dazu. Connectivity-Ansätze gibt es so viele wie Brücken über den Bach, hier wie da gibt es Solides, aber natürlich auch Instabiles und schlichtweg Gefährliches.

Via ODBC ins Fensterland?

Wer seine Host-Daten mit Microsoft Excel & Co. bearbeiten und auf diesem Wege wieder zurückschieben will, kann natürlich sein Glück mit ODBC versuchen: Ob er es da jedoch auf lange Sicht auch findet, ist wiederum eine andere Frage, zumal je nach Volumen mit einer teilweise schon quälenden Langsamkeit umzugehen ist. Ferner ist bei Open Database Connectivity – da kommt die Bezeichnung her – an die Treibervielfalt zu denken, und da die Spezifikationen weitestgehend von Microsoft kontrolliert werden und sich auch recht oft ändern, kommt noch eine gewisse Abhängigkeit dazu, der sich natürlich niemand so richtig gern unterwirft. Zum Glück gibt es hierfür Alternativen, beispielsweise in Form von ausgetüftelten Werkzeugen der verschiedensten Anbieter, die stabile Datenbrücken zur Windows-Welt bauen.

Gerade die Controller haben über lange Jahre hinweg weitreichende Erfahrung darin gesammelt, wie wichtig solche Brücken sind, aber natürlich auch, wo deren Probleme liegen. Sie gehören sozusagen zu den Pionieren, die schon früh aus DB2 die erforderlichen operativen Daten gezogen, sie dann für eigene Zwecke verwertbar verdichtet und mit den entsprechenden Werkzeugen mundgerecht aufbereitet haben.

Host-Session mit Terminal-Emulation(en)

Für die Darstellung in vernetzten Systemen spielen nach wie vor Emulationen eine wichtige Rolle, und zwar neben der bereits erwähnten 5250 zur Anbindung des Green Screens vor allem die 3270 für den Mainframe-Bereich und VT100 als Zugang in die Unix-Welt. Um den Host auf diesem Weg zugänglich und auf der Oberfläche lesbar zu machen, müssen die Clients auf Protokollen aufbauen können, die vom Betriebssystem bestimmt werden. Für Vereinfachung sorgen jene Clients, die mithilfe einer Client Connectivity Software auf verschiedene Welten gleichzeitig zugreifen können. Mit solchen Multi-Host-Verbindungen lässt sich von einer Plattform aus der Zugriff auf unternehmensweite Daten aus beispielsweise OS/400, MVS-, BS2000- und UNIX-Rechnerszenarien darstellen.

Dünn und doch mächtig

Als besonders praktisch ist anzusehen, wenn diese Vielseitigkeit von den Thin Client-Herstellern bereits im System integriert und gleich mit ausgeliefert wird. Mit voller Terminal-Fähigkeit ausgestattet eignen sich die schlanken Arbeitsplatzsysteme so bei weitem nicht nur zur Ablösung vergleichbar wenig herausfordernder Green-Screen-Applikationen, sondern beispielsweise auch für den Umgang mit komplexeren Linux- und Windows-Anwendungen. Damit sind wir schon auf bestem Wege zum Königsthema im Host Access, dem Server Based Computing (SBC) und damit verbunden dem Konzept, nur jeweils die Ausgabedaten auf den Browser des Thin Clients zu ziehen.

Wo immer auf der schönen weiten Welt irgendwelche Applikationen auf dem Host laufen und an den Arbeitsplätzen lediglich die Oberfläche vorgehalten wird – welche auch immer –, steht das Protokoll für den Client bereits fest: TCP/IP. Völlig gleichgültig ist dabei, ob ein Citrix Mainframe oder ein Windows Terminal-Server zum Einsatz kommt oder ob eine Enterprise Resource Planning- (ERP-) Lösung auf der i5 bzw. iSeries mit Client Access gefahren wird.

Sign-on: einmalig… und sicher

Sich „seinen“ Zugang zum System zu verschaffen, bedeutet dabei nicht zwangsläufig, für jede Plattform oder jede Anwendung eine eigene Hürde nehmen zu müssen: Einmal einloggen – das muss im Zeitalter von Single-Sign-on vollkommen genügen. Wer Zeit für mehr hat, darf selbstverständlich auch weiterhin Password-Poker spielen. Hier ist die so genannte Kerberos-Fähigkeit ein sehr interessanter Aspekt; mit Kerberos lassen sich Clients beim Aufbau einer Verbindung zum Server sicher und eindeutig identifizieren. Ein Ausspähen ist somit faktisch unmöglich.

Auf keinen Fall sollte man die gleichen Passwörter für verschiedene Zugänge wählen oder ältere wieder aufleben lassen, und am besten dem Anwender gar nicht selbst die Wahl lassen, irgendeinen leicht zu knackenden Code zu wählen. Bei dessen Auswahl sollten es schon mindestens sechs Zeichen sein, darunter möglichst ein oder mehrere Sonderzeichen und gemischte Groß-/Kleinbuchstaben. Ferner ist darauf zu achten, dass die Passwörter nicht länger als vier Wochen bis drei Monate gültig sind und der User sie nicht speichern kann. Darüber hinaus sollten die Zugangsdaten nicht telefonisch, sondern am besten online verteilt werden. So lässt es sich beispielsweise einrichten, mit dem alten Kennwort einen Link frei zu schalten, der zu einem neuen Passwort führt und danach „stirbt“.

Postkarten lieber nur im Urlaub

Es bleibt die Frage, wie die Datenströme auf ihrem Weg vor unberechtigtem Zugriff zu schützen sind. Hier heißt das Zauberwort Virtual Privat Network (VPN). Bei VPN geht es im Grunde nicht mehr und nicht weniger darum, öffentliche Netze zu nutzen und dafür uneinsehbare Tunnels zu bauen. Wer immer sich mit unternehmenskritischen Daten in öffentlichen Netzen bewegt und diese nicht absichert, handelt mehr als fahrlässig. Er schreibt Postkarten, die durch viele Hände gehen können und von jedermann einsehbar sind, ohne etwa ein Siegel brechen oder wenigstens ein Kuvert öffnen zu müssen. Nichts gegen Postkarten, aber sie eignen sich nun einmal viel eher zum Versenden von Urlaubsgrüßen und weniger als Medium für sensible Daten.

Finger weg von meinen Netzen

Ein weiterer wichtiger Aspekt von Host Access liegt in dem Schutz des eigenen Firmennetzes vor unerwünschten Eindringlingen. Alle organisatorischen und technischen Konzepte für Internet und Intranet, die in diesem Kontext nach heutigen Standards entstanden sind, subsumiert der Firewall-Begriff. Die Administratoren können hierfür auf die unterschiedlichsten Lösungen zurückgreifen, von der Zusatz-Software bis hin zu speziellen Geräten, die ausschließlich für diese Aufgabe ausgelegt sind. Ports gewährleisten die Netzwerkzugänge in beide Richtungen, und wer größtmöglichen Schutz gegenüber Attacken aus dem Internet erzielen möchte, reduziert die „offenen“ Ports auf ein Mindestmaß. Besonderen Schutz bieten zweistufige Systeme, bei denen eine zusätzliche, vorgeschaltete Firewall bereits die Filterung der eingehenden Verbindungen übernimmt und festlegt, welche öffentlichen Systeme überhaupt erreichbar sein sollen. Die zweite Firewall regelt dann den Zugriff aus dem internen Netzwerk. Ein Tipp am Rande: Wer Kosten und Nutzen optimal miteinander in Einklang bringen will, sollte einen Blick auf Linux-basierte Systeme werfen.

Den im Zusammenhang mit Host Acess angeschnittenen Themen Single-Sign-on, VPN und Firewall ist wie allen anderen Security-relevanten gemein, dass immer das schwächste Glied über die Stabilität und Sicherheit entscheidet. Mit anderen Worten: Was nutzt die dickste Stahltür vor dem Tresorraum, wenn auf der anderen Seite das Fenster sperrangelweit offen steht? Und welche „Folter“ sieht der Sanktionskatalog Ihres Unternehmens für Mitarbeiter vor, die ihre Passwörter auf einem Post-It am Screen „gesichert“ haben? In diesem Sinne: Viel Vergnügen bei der Lektüre Ihres Midrange Magazins!

M.W.