System i-bezogene Security reduziert sich bei vielen auf native Objektsicherheit und Firewall-Funktionen. Zugegeben: Die sind wichtig. Mindestens ebenso wichtig (doch oft ignoriert) sind (System-) Auditierung und Journalisierung. Einerseits erfordern sie Zusatz-Know-how, andererseits – ein besonders blinder Fleck in vielen Firmen – beobachten sie interne Vorgänge.

IBM hat mit der Objektsicherheit eines der besten Sicherheitskonzepte realisiert, die es gibt. Doch die iSeries wird zum Selbstbedienungsladen, wenn dieses Konzept nicht vollständig umgesetzt wird. Beispiel: Objekte mit *PUBLIC *ALL Berechtigung (weil es einfacher ist), bedeuten freien Objekt-Zugriff für jeden. Leichtsinn ist noch steigerbar. Anwender mit *ALLOBJ-Berechtigung greifen uneingeschränkt auf alle Betriebssystem- und Anwendungs-Objekte zu. Zu viele Systeme sind noch so gesichert.

Firewall: Genügt Schutz von außen?

Eine Firewall ist für die iSeries dann relevant, wenn sie mit PCs bzw. dem Internet vernetzt ist. Sie schützt die iSeries effektiv, wenn sie die 53 möglichen Exit Points für Zugriffe von außen überwacht. Das bieten heute einige Security-Tools.

Eine Firewall kann allerdings unerlaubte interne Zugriffe nicht verhindern. Eigene Mitarbeiter, so ungern man an ihrer Loyalität zweifelt, nehmen gerne Unternehmensdaten mit. Folge: Ca. 86 Prozent der Sicherheitsprobleme auf System i werden laut Untersuchungen von eigenen Mitarbeitern verursacht. Eine Firewall ist da blind.

Auditierung – wissen, was intern passiert

IBM hat eine hervorragende Möglichkeit implementiert, die dem IT-Fachmann Überblick über systeminterne Vorgänge verschafft: die Auditierung. Wenn irgendwer schon wieder einen Systemwert verstellt, eine Datei gelöscht oder ein deaktiviertes Benutzerprofil reaktiviert hat, weiß sie, wer es war. Sofern über die Systemwerte QAUDCTL, QAUDLVL und QAUDLVL2 eingestellt ist, was sie aufzeichnen soll.

Was sind Native Zugriffe und Firewall-Zugriffe?

Native Zugriffe erfolgen, wenn aus der Betriebssystemebene auf Objekte des System i zugegriffen wird, z. B. beim Kopieren, Löschen, Umbenennen von Objekten, Arbeiten mit Abfragewerkzeugen (z. B. Query/400 oder SQL) und Einsatz von Anwendungsprogrammen z. B. Buchhaltung, Vertriebsanwendungen, WWS, ERP, etc. – sofern diese nicht über einen grafischen Client bedient werden.

Firewall Zugriffe kommen vor, wenn z. B. in der 5250-Emulation von IBMs System i Access der Download-Button angeklickt wird. Hinter diesen Funktionen steckt ein SQL Filetransfer. Beim Installieren von Anwendungen via FTP vom PC aus auf das System i wird die Schnittstelle der FTP-Serverfunktionen angesprochen.

Welche Vorgänge im Audit-Journal dokumentiert werden, entscheidet der Fachmann mit Bedacht. Die Audit-Funktion ist sehr mächtig in der Leistung, und protokolliert werden kann vieles: Erstellen und Löschen von Objekten, Eingriffe ins Sicherheitssystem, Jobaktivitäten, Sicherungsaktionen etc. Ebenso mächtig kann sie im Speicherverbrauch sein. Gut überlegen, was wirklich gebraucht wird, bevor das System nur noch flach unter der erhöhten Last atmet.

Nach dem Aktivieren der Auditierung geht es darum, die gesammelten Daten transparent zu machen – mit Bordmitteln mühsam. Query oder SQL richten hier nichts aus, das Audit-Journal bietet kaum Auswertungsmöglichkeiten. Am Markt gibt es effektive Tools für diese Aufgabe, z. B. von Toolmaker (iSecurity). Dieses Tool zeigt einfache, nach Wunsch filterbare/sortierbare Sichten auf die Informationen aus dem Audit-Journal. Die Echtzeitfunktion ermöglicht nicht nur ein umgehendes Entdecken, sondern auch die proaktive Reaktion auf eine Sicherheitsverletzung.

Journalisierung – wer ändert was

Die Systemauditierung stellt fest, wer etwas ändert, die Journalisierung dokumentiert ergänzend, was verändert wird. Also: Welcher Anwender hat welche Information im Kundenstamm, in der Auftragsdatei oder beim Ansprechpartner geändert?

Die iSeries-Journalisierung ist ebenso leicht zu starten wie die Auditierung. Sie dokumentiert alle Änderungen von Datenbank-Dateien in Journalen. Auch hier gilt: Für die komplexe Auswertung (die nur umständlich über APIs zu realisieren wäre) empfehlen sich Produkte unabhängiger Anbieter. So protokolliert beispielsweise iSecurity von Toolmaker alle Änderungen in Echtzeit. Neben einer sofortigen Reaktion auf unerwünschte Veränderungen lassen sich auch Aktionen auf der Basis von Regeln ausführen: Der Verkaufsleiter weiß also, wenn ein Mitarbeiter mehr als 20 Prozent Rabatt auf einen Kundenauftrag gibt, ohne dass die Anwendungssoftware dafür geändert werden müsste.

Fazit

Ein realistisches, fachlich gesundes Sicherheits-Szenario schließt interne Bedrohungen mit ein. Sie darf sich nicht auf Objektsicherheit und Firewall beschränken. Der Fachmann richtet seine Augen auch auf interne Vorgänge. Die entscheidenden Stellglieder dabei sind System-Auditierung und -Journalisierung und ihre effektive Auswertung.

ZUM UNTERNEHMEN

Seit über 20 Jahren bietet Toolmaker hochwertige Tools für die moderne Kommunikation über E-Mail, Fax, CTI (Verbindung der Telefonanlage mit iSeries-Anwendungen) und SMS (Abruf und Versand von Geschäftsdaten auf das Handy). Weitere Produkte ermöglichen die Integration von iSeries-Daten in MS Excel und MS Word sowie die Einbindung von Multimedia in die iSeries-Welt. Natürlich bietet Toolmaker auch die Absicherung der iSeries gegen unbefugten Einblick und Datenklau sowie die 24-Stunden-Überwachung aller Prozesse und Programme und die sofortige Meldung auf ein Handy.

www.toolmaker.de