Über Security reden heute alle. Die meisten Firmen haben die Virenproblematik ganz ordentlich im Griff. SPAM ist kontrollierbarer, aber beim Thema Spyware steckt das Know-how noch in den Kinderschuhen. Aus vielen Studien ist bekannt, dass die meisten sicherheitsrelevanten Attacken intern ausgelöst werden. Fragen Sie sich mal, wie es um die Sicherheit Ihrer iSeries und dem Netzwerk bestellt ist?

Definition des Problems

Mit der Lösung folgender Probleme sollten Sie sich dringend befassen:

  1. Es ist nicht möglich, User-Berechtigungen für spezifische Server-Funktionen und Objekte zu vergeben.
  2. Operations, die auf der Kommandozeile eingeschränkt wurden, können von remote über das Netzwerk ausgeführt werden (z. B. per Dateitransfer oder FTP etc.).
  3. Das System Log (der iSeries) hat massive Schwächen im Bereich Netzwerk, es gibt kein sinnvolles Log der Netzwerk-Aktivitäten.
  4. Es gibt keinerlei Intrusion Detection-System innerhalb des OS/400 – i5/OS.
  5. OS/400 – i5/OS Security Management ist sehr aufwendig.

Sehen bei Ihnen die falschen Leute sensible Informationen – die autorisierten ebenso wie die nicht autorisierten sowie die Hacker? Im IBM Umfeld gab es mit dem SNA-Protokoll das richtige Instrument für eine ausgefeilte Security. Heute mit TCP/IP haben wir uns gleichzeitig mit einer wesentlich leistungsfähigeren Connectivity leider auch Security-Löcher in das Unternehmen geholt. Trotz einer bekanntermaßen überzeugenden Security innerhalb des OS/400 – i5/OS ist es kein großes Problem, die Schwachstellen der iSeries schnell zu finden. Wenn noch eine entsprechend schwach programmierte Anwendung oder ein nicht bzw. nur wenig ausgebildeter Security-Spezialist als Netzwerkadministrator hinzukommen, steht einem nicht autorisiertem Zugriff auf die Ressourcen – auch DB2-Informationen – im Netzwerk nichts mehr im Wege.

Maßnahmen

  1. Es muss möglich sein, einzelnen Benutzern dediziert Zugriff auf Ressourcen zu geben, für alle anderen ist der Zugriff automatisch eingeschränkt oder gesperrt.
  2. Es müssen einfache Werkzeuge und Tools für den Security-Administrator (z. B. das mit „IBM Server Proven“ ausgezeichnete Bsafe/Global Security for iSeries) implementiert werden, um die weltweiten Security-Standards zu erfüllen.

„Meine iSeries ist nicht mit dem Internet verbunden!“, ist kein Argument, um die Security zu vernachlässigen.

Bedeutung der ISO 17799…

Die wohl weltweit bedeutendste ISO für Sicherheits-Standards ist die ISO 17799 (siehe www.iso17799software.com). In dieser ISO ist wie in einem Handbuch für Security geregelt, wie und mit welchen Hilfsmitteln ein Unternehmen einen zertifizierten Sicherheitsstatus erreicht. Viele Produkte decken bereits heute die meisten darin abgesprochenen Punkte umfassend ab. Ein Beispiel: Die im Produkt Bsafe Global Security for iSeries enthaltenen Module wie Role Manager, IP Address Manager, Bsafe Log, Secure Gateway, Intrusion Detection, Dataflow Database Integrity, PC GUI Client sowie der enthaltene grafische Analyzer decken nahezu perfekt die ISO Paragrafen ab, welche die Anforderungen beschreiben.

… und des Sarbanes-Oxley Act von 2002

Als Folge einer Serie von massiven Missbräuchen im Börsenbereich wurde in den USA der Sarbanes-Oxley Act (SOX) definiert und verabschiedet (siehe www.sarbanes-oxley.com). Elf Punkte definieren eindeutig die Vorgehensweise eines Unternehmens zur Erzeugung einer besseren Kontrolle. Einige Punkte stehen im direkten Zusammenhang zur Unternehmens-IT. Für einen iSeries IT-Manager lässt sich sehr einfach zusammenfassen, dass Daten umfassend gegen ungesetzliche Veränderungen oder Löschungen geschützt werden müssen und das Datenänderungen protokolliert und jederzeit für Audits vorhanden sein müssen.

Fachautor: Wolfgang Greulich