Foto: iStock
Neun Zehntel aller globalen z/OS-Anwenderunternehmen nutzen RACF für Benutzeridentifikation, Zugriffsrechte-Verwaltung und Logging. Steigende kriminelle Angriffe, organisatorische Mängel oder technische Unfälle erfordern es, das IBM-Tool permanent auf IT-Risiken und Schwachstellen zu überprüfen. Im Rahmen eines neuen Beratungsangebotes bietet die Beta Systems DCI Software AG z/OS-Anwenderunternehmen solche Audits an. Mögliche Schwachstellen lassen sich dadurch rechtzeitig aufdecken und beseitigen. Durch das Beta Systems RACF-Audit gestalten sich die Audits bis zu 50 Prozent kostengünstiger als vergleichbare Prüfungen durch internationale Beratungsgesellschaften.
IBM-Mainframe-Systeme werden umso wahrscheinlicher genutzt, desto größer ein Unternehmen ist. So lässt sich ohne Untertreibung behaupten: RACF schützt die Sicherheit der komplexesten IT-Landschaften weltweit. Seit 1976 liefert IBM das Sicherheitstool aus und entwickelt es seitdem ständig weiter. Doch gleicht dies der Fabel vom Hasen und dem Igel, denn die Bedrohungen der IT-Sicherheit scheinen den Schutzvorkehrungen im Unternehmen immer einen Schritt voraus zu sein – durch steigende kriminelle Angriffe, organisatorische Mängel, technische Unfälle oder auch höhere Gewalt. Mit den IT-Risiken und Schwachstellen ändern sich gleichzeitig auch die regulatorischen Anforderungen.
Deshalb ist es nötig, RACF permanent einer Überprüfung zu unterziehen und Schwachstellen aufzudecken. Ist das System noch in der Lage, Risiken im IT-Betrieb rechtzeitig zu erkennen? Dass dies nicht der Fall ist, kann an grundsätzlichen Konstruktions- und Implementierungsfehlern liegen. Oft schleicht sich auch im laufenden Betrieb menschliches Versagen ein. Denn alte RACF-Hasen findet man immer seltener; in den IT-Abteilungen sitzen heute zunehmend junge, Windows- und Mac-gewöhnte User. Für sie hat Beta Systems die Software Beta 88 Discovery entwickelt. Über deren zeitgemäßes User Interface lässt sich RACF deutlich besser administrieren als mit dessen eigenen Bordmitteln.
Das RACF-Tool beim Audit ist nebensächlich
Gerne verfallen CIOs dem Irrglauben, mit der Installation einer solchen Zusatzsoftware beseitigten sich die Schwachstellen von RACF schon wie von selbst. Vielmehr ist es aber so: Die Überprüfung eines RACF-Systems ist zu 60 bis 70 Prozent eine Beratungsleistung, innerhalb derer Menschen beurteilen müssen, wo die neuralgischen Schwachstellen der Software liegen. Mit welcher Technologie das dabei gewonnene Wissen festgehalten und ausgewertet wird, ist im Grunde sekundär und kann über Beta 88 ebenso geregelt wie mit Excel oder Papierlisten – wobei eine passende Technik wie Beta 88 natürlich deutlich schnellere und effizientere Audits ermöglicht.
Warum ist ein RACF-Audit sinnvoll?
Dieser Verhältnismäßigkeit zwischen Beratung und Technologie unterliegt auch das von Beta Systems entwickelte RACF Audit. Mögliche Schwachstellen lassen sich dadurch schon im Vorfeld einer regulären Prüfung aufdecken und beseitigen. Externe Audits sind vor allem in regulatorisch geprägten Branchen wie dem Finanzdienstleistungssektor Pflicht. Zweimal jährlich müssen zum Beispiel Banken ihre IT-Systeme von einem externen BAFIN-Prüfer auf Sicherheit hin durchleuchten lassen, jeweils mit unterschiedlichen Schwerpunkten. Mal ist es das Betriebssystem, mal das Netzwerk, und immer wieder eben auch RACF.
Nicht immer sind Sicherheitsverstoße gleich von krimineller Energie oder Täuschungsabsicht verursacht. Ein eklatanter Fehler im Sicherheitssystem liegt zum Beispiel vor, wenn eine eigentlich geschützte Applikation durch Definieren falscher Berechtigungen von nicht autorisierten Personen(gruppen) editiert werden kann. Oder wenn das Kommando zum Herunterfahren von RACF nicht geschützt ist und jeder das Sicherheitssystem einfach zu deaktivieren vermag. Es ist keineswegs immer kriminelle Energie oder Täuschungsabsicht, die zu solchen Fällen führen kann. Vielmehr liegt es an den Hunderten von Stellungsparametern, die sich unter den RACF-Kommandos aufgliedern. Sie zu beherrschen erfordert ein tiefes und langjähriges Fachwissen.
Ein RACF-IT-Sicherheits-Audit deckt im Rahmen seiner Risiken- oder Schwachstellenanalyse daher alle denkbaren Fehlerquellen ab und ist generell als Beratungsprojekt angelegt. Beta Systems hat dafür in den letzten 15 Jahren ein Standardverfahren, basierend auf einem praxisgehärteten RACF-Prüfleitfaden, entwickelt. Der Leitfaden orientiert sich am IT-Grundschutzkatalog des BSI sowie der ISO 27000. Erster Teil des RACF-Audits ist konfigurativer, statischer Natur und widmet sich den globalen RACF-Sicherheitseinstellungen. Entlang von 131 Prüfpunkten fragt der Auditor alle Funktionen ab, bei denen Daten analysiert, dokumentiert und bewertet werden. Der zweite Teil des Best Pratice Ansatzes von Beta Systems ist das Event-Auditing, hinter dem sich zwölf Prüfpunkte verbergen. Hier werden Ereignisse der Vergangenheit durchgegangen, etwa misslungene Anmeldeversuche am Mainframe, aus denen der Auditor Spuren möglicher Angriffe verfolgen kann.
Schnelle Schwachstellenanalyse mit dem RACF-Audit
Das RACF-Audit verläuft grundsätzlich nach festgelegten Phasen. Nach einem Erstgespräch erstellt der Auditor eine Bedarfsanalyse und legt fest, auf welche Prüfpunkte im Leitfaden besonders Wert gelegt werden soll. Dann wird die Technologie installiert, hier also Beta 88 Discovery. Zu den einzelnen Prüfpunkten gibt es Batchjobs, die in der RACF-Umgebung beim Kunden installiert und ausgeführt werden und die Datensammlung übernehmen. Jeder Job generiert eine »Result«-Datei; sie gibt an, was aus Sicht des Prüfpunktes an Daten zu sammeln ist. Diese Dateien wertet der Auditor Prüfpunkt für Prüfpunkt aus – die Schwachstellenanalyse. Mit Beta 88 kommt man bei dieser Auswertung sehr schnell und damit kostengünstig voran. Der Datenauswertung schließt sich eine Beweissicherung an. Liegt nämlich ein Verstoß gegen einen Prüfpunkt vor, muss dieser nicht nur dokumentiert, sondern auch dezidiert bewiesen werden.
Neben der Beweissicherung gibt es zwei Ausprägungen von Reports: einen Management Summary Report, der Prüfpunkte mittels Ampelsystem übersichtlich darstellt, sowie einen Detail Report mit auf jeden Prüfpunkt abgestimmten Maßnahmen. In einem sich anschließenden zweiten Vor-Ort-Termin beschließt der Auditor gemeinsam mit dem Kunden im Anschluss die Reihenfolge der Schwachstellenbeseitigung.
Ein Muss sind RACF-Audits für alle Mainframe- und RACF-Nutzer, die einen hohen Schutzbedarf und ggf. bereits eine Attacke hinter sich haben. Zum Sicherheitsaspekt gesellt sich der organisatorische: Im Rahmen eines solchen Sicherheits-Audits werden naturgemäß die organisatorischen Prozesse im Unternehmen verifiziert und es klärt sich, ob die Organisationsstruktur sinnvoll aufgebaut ist. In den meisten Fällen ziehen die Ergebnisse des RACF-Audits organisatorische Verbesserungsmaßnahmen nach sich und beeinflussen so langfristig die Unternehmensprozesse.
Audit Kosten um bis zu 50 % reduzieren
Durchgeführt werden Audits dieser Art üblicherweise entweder von originären Wirtschaftsprüfungsgesellschaften oder IT-Unternehmen. Prüfungen sind das Kerngeschäft der ersten Kategorie. Die WP-Gesellschaften arbeiten mit Best-Practice-Ansätzen und decken eine große Bandbreite an Prüfungen ab.
Oft wird dabei jedoch manuell gearbeitet und der Prüfer führt von Abteilung zu Abteilung Interviews durch und hakt Checklisten ab. So gestalten sich Audits nicht selten als recht zeitaufwändig. IT-Anbieter können durch entsprechende Softwareunterstützung hier oft mit kürzeren Projektlaufzeiten und damit niedrigeren Kosten (bis zu 50 Prozent) aufwarten. Sie sind nicht ganz so breit aufgestellt, verfügen aber im Einzelfall über mehr technisches Detailwissen.
Audits werden in Zukunft ansteigen
Die Notwendigkeit regelmäßiger Sicherheitskontrollen (nicht nur) des RACF-Systems wird in der Zukunft weiter steigen. Grund: Durch Firmenfusionen werden auch die IT-Installationen immer größer und damit unübersichtlicher, was das Risiko von Angriffen steigen lässt. Parallel dazu werden die Unternehmen mit immer weiteren regulatorischen Anforderungen konfrontiert, um den bisherigen Schutz zu erhalten. Das Thema IT-Sicherheits-Audits ist damit kein Hype-Thema der Stunde. Relevant sind Audits seit vielen Jahren, ihre Notwendigkeit steigt jedoch an.
Bernhard Prüger
Bernhard Prüger, Product Marketing Manager bei der Beta Systems DCI Software AG
Link: https://blog.betasystems-dci.de/racf-audit-minimiert-risiken-bei-mainframe-kunden/
Beta Systems DCI Software AG
Beta Systems entwickelt seit über 30 Jahren hochwertige Infrastruktur-Softwareprodukte für die sichere und effiziente Verarbeitung großer Datenmengen zur bestmöglichen Erfüllung aller rechtlichen und geschäftlichen Anforderungen. Die Multiplattform-Softwarelösungen für z/OS-, Unix-, Linux- und Windows-Umgebungen automatisieren, dokumentieren und analysieren geschäftstragende IT-Abläufe in Rechenzentren von Großunternehmen, IT-Dienstleistern, öffentlichen Einrichtungen und mittelständischen Betrieben. Das Data-Center-Intelligence-Portfolio von Beta Systems fokussiert auf die Bereiche Output-Management & Archivierung, Log/Security Information Management, Workload Automation und Job-Management.
Die Beta Systems Software Aktiengesellschaft (BSS, ISIN DE000A2BPP88) wurde 1983 gegründet, ist seit 1997 börsennotiert und beschäftigt rund 300 Mitarbeiter. Sitz des Unternehmens ist Berlin. Beta Systems ist national und international mit 18 eigenen Konzerngesellschaften und zahlreichen Partnerunternehmen aktiv. Weltweit optimieren mehr als 1.300 Kunden in über 3.200 laufenden Installationen in über 30 Ländern ihre Prozesse und verbessern ihre Sicherheit mit Produkten und Lösungen von Beta Systems. Das Unternehmen gehört zu den führenden mittelständischen und unabhängigen Softwarelösungsanbietern in Europa und erwirtschaftet die Hälfte seines Umsatzes international.
Weitere Informationen zum Unternehmen und den Produkten sind unter www.betasystems-dci.de zu finden.
Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.
Identity- und Access-Management – Messbare Vorteile durch IAM-Software
Sechs Tipps zur Risikominimierung durch Identity Access Management
Fast ein Drittel der Security-Experten hat bereits bei Audits geschummelt
Der Countdown läuft: Noch ein Jahr bis zur Datenschutz-Grundverordnung
Der Mainframe ist auch im Zeitalter des digitalen Wandels unverzichtbar
Zeit umzudenken: Der Mainframe ist tot, lang lebe der Mainframe!