Geschäftsprozesse machen heute nicht mehr vor Standort- und Unternehmensgrenzen Halt. Gleiches gilt für die Informationstechnologie, die zunehmend mehr die Aufgabe übernimmt, diese Prozesse zu automatisieren. Dementsprechend wachsen firmeneigene IT-Netzwerke über sich hinaus und binden plattform- und unternehmensübergreifend Anwendungen ein. Mit der etablierten rein punktuellen Absicherung einzelner Anwendungen kann kein adäquates Sicherheitsniveau mehr garantiert werden. Die zunehmende Öffnung der IT-Netzwerke macht es erforderlich, ganzheitliche Sicherheitskonzepte zu entwickeln und zu implementieren. Diese orientieren sich an den Geschäftsprozessen, die beim Aufbau einer zeitgemäßen Sicherheitsinfrastruktur umfassend analysiert werden müssen.

Sicherheitskonzepte entwickeln

Die Ergebnisse dieser Analyse fließen in die IT-Sicherheitskonzeption ein. Im Sinne eines optimalen Schutzes der Datenbestände werden dabei nicht nur die zu verarbeitenden und zu übertragenden Daten berücksichtigt, sondern auch Anwendungen der verschiedenen Plattformen wie z/OS und iSeries. Daraus lässt sich ein erster Überblick über die Kerngeschäftsprozesse, die Abhängigkeiten und über notwendige Sicherheitsimplementierungen ableiten. Zudem bilden sie das Gerüst zur Erstellung der unternehmensweiten, prozessorientierten Security Policy. Für diese werden eine Reihe organisatorischer Regeln, Prüfungsvorschriften und Reaktionsverfahren erarbeitet und festgelegt, auf die sich Mitarbeiter und Unternehmen gleichermaßen verpflichten müssen.

Teilsysteme integrieren

Nach der Entwicklung der Security Policy erfolgt deren Implementierung auf sämtlichen IT-Plattformen und -Anwendungen im Unternehmen. Das erfordert umfangreiches betriebswirtschaftliches, aber auch technisches Spezialwissen. Dabei darf nicht außer Acht gelassen werden, dass unternehmensübergreifende Transaktionen die Verpflichtung auf die Security Policy auch für externe Partner notwendig macht. Denn aufbauend auf der Analyse und sicherheitstechnischen Betrachtung der betrieblichen Abläufe in und zwischen Unternehmen sind Maßnahmen zu definieren, die über Anwendungs- und IT-Plattformgrenzen implementiert werden müssen.

In diesem Zusammenhang gelten für komplexe Teilsysteme wie die z/OS-Plattform mit ihrem zentralen Sicherheitssystem Resource Access Control Facility (RACF) besondere Anforderungen an die Umsetzung eines zeitgemäßen Sicherheitskonzepts. So kann RACF einerseits zwar als sicher gelten: Es ist in der Lage, Tausende von Ressourcen zu schützen und die Berechtigungen zahlreicher Anwender in Unternehmen sowie außerhalb von Unternehmen zu verwalten. Andererseits beinhaltet die hohe Komplexität aber genauso Gefahren: Beispielsweise verfügt RACF über keine relationale Datenbank. Das beeinträchtigt nachhaltig die Transparenz in der Administration. Bereits einfache Abfragen werden mangels mehrfacher Indizierungsmöglichkeit von Datensätzen sehr kompliziert. Abfragen, die mehr als ein Argument verwenden, sind praktisch nicht möglich. Mehr Transparenz über den realisierten Status der Sicherheitsimplementierung bieten IT-Tools, die die RACF-Daten auslesen und in einer relationalen Datenbank bereitstellen. Bei der Auswertung der Daten fallen dann sehr schnell Inkonsistenzen auf wie etwa veraltete Nutzerprofile. Diese würden bei der Öffnung der IT-Netze etwa für externe Anwender ein unmittelbares Sicherheitsrisiko darstellen.

Regelmäßiges Prüfen erforderlich

Entsprechende Tools bieten die Beta Systems Software AG mit der zSecurity-Suite für die z/OS-Plattform und SAM Jupiter für das automatische, plattformübergreifende Identity Management und Provisioning an. Ein derart zeitgemäßes Sicherheitskonzept vermeidet von Anfang an ein lückenhaftes Sicherheitsniveau, indem es sich an den Geschäftsprozessen und den internen IT- und Organisations-Strukturen eines Unternehmens orientiert. Der Erfolg eines solchen Konzeptes steht und fällt mit dem in komplexen Strukturen erforderlichem Maß an Transparenz. Für eine weitere Öffnung der IT-Systeme ist das eine wichtige Voraussetzung.

Autor: David Ferré, Director Business Unit Data Center Management der Beta Systems Software AG

Beta Systems Software AG

D-10559 Berlin

Telefon: (030) 726118-674

www.betasystems.com