Trotz aller Schutzvorkehrungen, die scheinbar Sicherheit geben, bleibt die IT Security eine Mammutaufgabe für die Verantwortlichen im Unternehmen. Thomas Gärtner, System Engineer bei der SVA System Vertrieb Alexander GmbH, erläutert im Interview mit Midrange Mail (MM), wie sicher IBM i-basierende Umgebungen sein können.
MM: Was sind denn die grundlegenden Muster von Angriffen auf die IT-Umgebung von Organisationen?
Gärtner: Es gelingt den Cyber-Kriminellen immer wieder in die IT von Unternehmen einzudringen, Daten zu stehlen oder zu verschlüsseln und damit einen immensen Schaden anzurichten. Dahinter stecken in den meisten Fällen keine kleinkriminellen Einzeltäter, sondern hochprofessionelle Gruppen. Die Vorgehensweise deckt sich aber mit der von Kunsträubern – wie etwa beim Raub der Mona Lisa in Paris, als sich der Kunsträuber getarnt als Mitarbeiter im Louvre einschließen ließ und am Schließtag den Louvre mit dem Gemälde unbehelligt verlassen konnte.
MM: Wie sieht der Ablauf eines solchen Angriffs meist aus?
Gärtner: In der ersten Phase analysieren sie unbemerkt, akribisch und über lange Zeit die Schwachstellen des Sicherheitskonzeptes. Sind diese gefunden, sucht man nach dem geeignetsten Weg, an die Daten zu kommen, ohne entdeckt zu werden. In diesem Moment ist es für viele Unternehmen oft schon zu spät.
MM: Was soll man dagegen tun und wie umfassend kann der Schutz vor Attacken dann sein?
Gärtner: Eine hundertprozentige Sicherheit wird es nie geben, aber man kann es den Kriminellen so schwer machen, dass sie entdeckt werden, bevor sie Schaden anrichten können. Wer glaubt ein Haus allein mit der besten Alarmanalage sicher zu machen, während alle Schränke und Schubladen im Haus ungesichert sind, unterliegt dem größten und gängigsten Fehler. Jede „äußere“ Maßnahme erhöht den Schutz nur dann, wenn man vorher in die „innere“ Sicherheit investiert hat.
MM: Was bedeutet das konkret für die IBM i?
Gärtner: Die AS/400 erhielt bereits im Jahr 1993 die C2 Security-Zertifizierung der NSA. Das Sicherheitskonzept war seinerzeit einzigartig, auch wenn es damals noch auf proprietären Technologien wie SNA basierte. Mit der Öffnung des Systems zu anderen Plattformen waren offene Technologien wie TCP/IP und Java erforderlich, die allerdings höheren Sicherheitsrisiken unterliegen. Dennoch ist das Security-Grundkonzept auch nach 35 Jahren erhalten geblieben. Damit ergeben sich auf der heutigen IBM i mehrere Sicherheitsschichten, wobei die Ersten immer noch denen des C2-zertifizierten Konzeptes entsprechen.
MM: Was sind bei der IBM i die grundlegenden Sicherheitspfeiler?
Gärtner: Ein Anwendungssystem, dass per Definition nur berechtigte Zugriffe auf Daten erlaubt, verwendet für alle Objekte des Systems die *PUBLIC Objektberechtigung *EXCLUDE. Damit ist der unberechtigte Zugang zu den Daten egal über welchen Weg und auch bei Umgehung von äußeren Sicherheitsmaßnahmen, zu 100 Prozent ausgeschlossen.
MM: Das hört sich prinzipiell doch sehr gut an…
Gärtner: … ja, aber die Praxis zeigt, dass viele Anwendungen dies noch nicht konsequent umsetzen und damit die ersten Lücken im Sicherheitskonzept erzeugen. Selbst IBM hat im aktuellen Release V7R5 noch bisher offene Lücken geschlossen. Das Objektberechtigungs-Konzept gilt neben der klassischen Bibliotheksstruktur in verstärktem Maße auch für das integrierte File-System – das IFS – , das heute aufgrund von modernen, web-basierenden Applikationen immer mehr in den Vordergrund rückt. Hier gibt es in den meisten Umgebungen die größten Sicherheitslücken und die häufigsten Angriffe.
MM: Wo liegen weitere Problemfelder?
Gärtner: Wenn das Konzept des generellen Ausschlusses auf Objektebene konsequent angewendet worden ist, dann sind die berechtigten Benutzer der Schwachpunkt des Systems. Haben Benutzer sehr hohe Rechte an unternehmenskritischen oder sensiblen Daten und greifen auf diese über verschiedene Services zu, dann kommen die nächsten Sicherheitsschichten der IBM i ins Spiel: TCP Services und Netzwerk-Zugriffe.
MM: Wie sollen die abgesichert werden?
Gärtner: Für die Services hat IBM die Technologie der Exit Points entwickelt. Jeder externe Zugriff über Services wie FTP, ODBC/JDBC oder SMB muss diese Exit Points passieren. Dies ermöglicht es, Sicherheitsprogramme zu hinterlegen, um die externen Zugriffe zu überwachen und ggf. abzuweisen, bevor sie überhaupt ins System gelangen. Viele Security-Software-Hersteller nutzen diese Technologie, um die äußere Sicherheit der IBM i zu erhöhen, vergleichbar mit der Alarmanlage im Haus.
MM: Aber wie kann man sicher sein, dass der berechtigte Benutzer, der alle Sicherheitsschleusen passiert hat, auch der ist, für den er sich ausgibt?
Gärtner: Zuallererst muss man sicherstellen, dass jegliche Kommunikation verschlüsselt ist. Alle TCP-Services auf der IBM i lassen sich sehr einfach auf den aktuellsten TLS 1.3 Standard verschlüsseln. Im zweiten Schritt sollten die Passwort Regeln sehr hohen Standards folgen. Während das seit Jahren empfohlene Passwort-Level 2 mit SHA128 verschlüsselt, erlaubt das neue Passwort-Level 4 unter V7R5 eine Verschlüsselung mit SHA512.
MM: Reicht das aus?
Gärtner: Nein, ein nächster Schritt kann die Verwendung von Kerberos sein, auch bekannt unter dem Begriff „Single Sign-On“. Das entlastet die IBM i-Anwender davon, regelmäßig neue, hochkomplexe Passwörter eingeben zu müssen. Die sichere Anmeldung in der Windows Domain des Unternehmens genügt, um sich auch gegenüber der IBM i ohne Passwort sicher zu authentifizieren. Erfolgt die Domain-Anmeldung aus einem externen Netz, kann eine Multi-Faktor-Authentifizierung – MFA – mit Hilfe von Token oder biometrischen Merkmalen die Person eindeutig identifizieren. Übrigens gibt es auch Lösungen, IBM i Services unabhängig von einer Domain-Anmeldung direkt mit MFA zu sichern. Leider ist diese Funktion noch kein Standard im Betriebssystem, aber ein „Must Have“ für eines der nächsten Betriebssystem-Releases.
MM: Wie sehen Sie die Möglichkeiten, dass IT-Verantwortliche im Umfeld der IBM i proaktiv tätig werden sollen?
Gärtner: Sie sollten die externen Zugriffe auch forensisch betrachten, denn wie eingangs erwähnt, investieren Angreifer im Vorfeld viel Zeit in die Analyse und dies ist von einem Administrator im täglichen Arbeitsablauf nicht erkennbar. Auch im Louvre hatte niemand etwas Ungewöhnliches bemerkt. Security-Spezialisten wie im SVA Security-Operations-Center (SOC), die den Datenverkehr rund um die Uhr analysieren, erkennen die Muster und können so rechtzeitig warnen und eingreifen. Die Anbindung der IBM i-Kundensysteme an das auf IBM QRadar basierende SOC übernimmt das IBM i Competence Center der SVA. Darüber hinaus unterstützt das IBM i Competence Center die Kunden auch dabei, ihre Systeme auf Basis eines Security-Assessments zu analysieren, zu bewerten und bei Bedarf Verbesserungen der Systemsicherheit umzusetzen. Interessenten sollten auf uns zukommen, etwa über ihren Vertriebsbeauftragten oder über unser IBM i Team.
Rainer Huttenloher