Der zukunftssichere Mainframe – Berechtigungsmanagement im digitalen Zeitalter

In letzter Zeit häufen sich die Schlagzeilen über die neuesten Sicherheitsverletzungen, von denen große Organisationen, kleinere Unternehmen, Regierungsbehörden und Verbraucher betroffen sind. In vielen Fällen konzentrieren sich die Schlagzeilen auf schändliche externe Bedrohungen wie Hacker, Viren, Ransomware und vieles mehr. Darüber hinaus wird nur selten darüber berichtet, wie diese Bedrohungen den Mainframe betreffen. Stattdessen wird das Hauptaugenmerk auf die aktuellen Mainstream-Themen wie Point of Sale oder Cloud-Systeme gelegt.

Während diese Bedrohungen nach wie vor ein ernstes Problem darstellen und enorme Anstrengungen erfordern, um künftige Angriffe zu verhindern, wird die Bedrohung durch Insider häufig übersehen, obwohl sie ebenso gefährlich ist, insbesondere wenn es um die Mainframe-Sicherheit geht.

Die meisten großen Institutionen aller Branchen verlassen sich weiterhin auf die Geschwindigkeit, Effizienz und die vermeintliche Sicherheit des z/OS-Mainframes, um ihre Kernaufgaben zu bewältigen. Das ist verständlich, vor allem, wenn man bedenkt, dass IBMs Resource Access Control Facility (RACF) für z/OS einen zuverlässigen Sicherheitsrahmen bietet, auf den sich zahlreiche Organisationen seit 1976 verlassen haben.

In vielen Fällen geben dieselben Unternehmen jedoch an, dass sie nur ein geringes Wachstum bei der Nutzung von Mainframe-Anwendungen erwarten. Die übliche Reaktion darauf ist, die Budgets für den Mainframe-Betrieb zu kürzen und zu dem Schluss zu kommen, dass es am besten ist, den Status quo beizubehalten.

Darüber hinaus nähert sich ein Großteil der Mainframe-Belegschaft dem Rentenalter, was zu einer erheblichen Qualifikationslücke führt, insbesondere bei den RACF-Sicherheitsteams. Die Mitarbeiter, die diese Positionen neu besetzen, sind oft nicht mit der aktuellen RACF-Umgebung des Unternehmens vertraut und bevorzugen moderne GUI-Oberflächen gegenüber der traditionellen Green-Screen-Optik. Infolgedessen wird das Potenzial der Realisierung interner und externer Sicherheitsbedrohungen zu einer unabwendbaren Katastrophe.

Nach Abwägung dieser Bedenken mit den langfristigen Interessen eines Unternehmens stellt sich die Frage, welche Schritte Institutionen unternehmen können, um diese Risiken zu mindern und gleichzeitig die Betriebskosten für Mainframes zu senken.

• Was ist mit Organisationen, die bereits über Tools zur Unterstützung der RACF-Verwaltung, der Prüfung und der Erkennung von Sicherheitslücken verfügen?

• Gibt es etwas, das sie noch tun können?

Zahlreiche Institutionen stellen fest, dass ihre z/OS-Zugangskontrollmaßnahmen vor vielen Jahren konfiguriert wurden, und die jüngsten Prüfungsergebnisse geben Anlass zur Sorge über die Einhaltung der Branchenvorschriften. Befolgen sie die neuesten Best-Practice-Sicherheitsstandards?

Die Antwort auf diese Frage ist ein klares Ja. Unternehmen, die nach umfassenden Datensicherheitslösungen suchen, dürfen ihre durch RACF geschützten Mainframe-Daten und -Ressourcen nicht vernachlässigen.

Definition von STIG

Der beste Ausgangspunkt ist die Überprüfung der Systemsicherheitsschwachstellen durch einen Vergleich der aktuellen RACF-Umgebungseinstellungen mit den in den Security Technical Implementation Guides (STIGs) definierten Industriestandards.

In den frühen 2000er Jahren veröffentlichte das US-amerikanische National Institute of Standards and Technology (NIST) von der Industrie empfohlene Sicherheitskonfigurationskontrollen, die weiterhin jährlich aktualisiert werden. Die Liste der Kontrollen enthält STIGs für z/OS und RACF, die zu Best-Practice-Standards für Organisationen des öffentlichen und privaten Sektors wurden, die RACF zum Schutz von Unternehmenssystemressourcen verwenden.

Der Hauptgrund dafür, die aktuellen Sicherheitseinstellungen einer Umgebung an den STIGs zu messen, besteht darin, eine Organisation vor den bereits erwähnten externen und internen Bedrohungen zu schützen, indem die Branchenrichtlinien eingehalten werden.

Es ist wichtig zu wissen, dass die STIGs nach den Schweregraden Hoch, Mittel oder Niedrig klassifiziert sind. Jede Klassifizierung gibt den Grad des Risikos an, das eine Organisation eingeht, wenn die Sicherheitsschwachstelle nicht entschärft wird.

234 STIGs für RACF

Es gibt insgesamt 234 STIGs für RACF, von denen 225 einen Schweregrad von Hoch oder Mittel haben. Obwohl diese Richtlinien seit vielen Jahren zur Verfügung stehen, haben die Institutionen es vernachlässigt, zu beurteilen, ob ihre Mainframe-Umgebung angemessen geschützt ist.

Dieses Problem wird noch verschärft durch:

• die hohe Fluktuation bei den Mainframe-Mitarbeitern,

• knapper werdende Betriebsbudgets,

• die Zunahme der behördlichen Prüfungen und

• positive Annahmen über Mainframe-Sicherheit.

Fehlende Zeit und Erfahrung

Obwohl das Verständnis, was STIGs sind und warum sie wichtig sind, ein entscheidender erster Schritt ist, haben viele Unternehmen möglicherweise nicht die Zeit oder das erfahrene Personal, um über 200 einzelne Sicherheitsrichtlinien für ihre RACF-Umgebungen zu überprüfen und zu implementieren.

Welche Möglichkeiten haben sie in diesem Fall?

Eine Partnerschaft mit einem Unternehmen wie Beta Systems kann helfen, die Werkzeuge und die Erfahrung bereitzustellen, die notwendig sind, um die einzigartigen RACF-Sicherheitsherausforderungen zu unterstützen, mit denen Unternehmen heute konfrontiert sind. Wenn es um Unternehmenssicherheit geht, sollte das zentrale Ziel eines Unternehmens darin bestehen, Lösungen zu implementieren, die es den verantwortlichen Ressourcen ermöglichen, Sicherheitsschwachstellen in ihrer RACF-Umgebung schnell zu identifizieren, zu beheben und auf der Grundlage von Industriestandard-STIGs zu melden.

Unser Ansatz bei Beta Systems ist es, Klarheit und einfache Lösungen zu schaffen, die Unternehmen benötigen, um ihre Sicherheits- und Compliance-Ziele zu erreichen.

Unsere Tools umfassen moderne RACF-Administrations- und Auditing-Lösungen, Sicherheitsüberwachung und einen umfassenden Leitfaden zum Verständnis, zur Implementierung und zum Reporting von RACF STIGs.

Auf den ersten Blick ist es für jedes Unternehmen eine Herausforderung, STIGs zu verstehen und den Wert zu erkennen, den sie bieten, sobald sie in einem Unternehmenssystem implementiert sind. Hier zeichnet sich Beta Systems durch die Vereinfachung des Komplexen aus.

Unsere Lösung beginnt damit, dass wir die gesamte Liste der STIGs in sinnvolle Gruppen unterteilen und gleichzeitig die Möglichkeit bieten, umfassende Berichte auf der Grundlage der einzelnen Kategorien zu erstellen.

Kategorien, die von Beta Systems zugewiesen werden

Jedes RACF STIG-Element kann einer der folgenden Kategorien zugeordnet werden:

• Systemkonfiguration (SETROPTS)

• Zugriffsbeschränkung

• Zugriffskontrolle

• UNIX-Schutz

Von hier aus bieten die Tools von Beta Systems klare Richtlinien und Berichte, die es Administratoren, Auditoren, Sicherheitspersonal und Managern ermöglichen, auf dem Laufenden zu bleiben, wie sicher die Mainframe-Ressourcen ihres Unternehmens wirklich sind.

Das folgende Beispiel veranschaulicht, wie unsere Lösungen die Interpretation der Bedeutung einzelner STIGs vereinfachen, die Umsetzung von Best-Practice-Richtlinien beschreiben und - was am wichtigsten ist - wie sich dies auf das Endergebnis eines Unternehmens auswirkt.

• RACF STIG V-112, wie von NIST definiert: Schreibzugriff auf SYS1.LPALIB oder mehr darf nur Systemprogrammierern gestattet werden.

• Zweck von STIG V-112 und Best Practice-Empfehlung von Beta Systems: Im Kern geht es bei dieser STIG um den angemessenen Schutz sensibler Systemressourcen und -daten. STIG V-112 ist mit einem Schweregrad von „Hoch“ eingestuft und fällt in die Kategorie „Zugriffsbeschränkung“. In einer typischen z/OS-Mainframe-Umgebung gibt es viele Ressourcen und Datensätze, die für den konsistenten und zuverlässigen Betrieb der Plattform entscheidend sind, darunter auch SYS1.LPALIB. Das bedeutet, dass der Schutz dieser Ressourcen, indem nur einige wenige Personen (Systemprogrammierer) darauf zugreifen dürfen, unerlässlich ist, um das Risiko von Manipulationen zu mindern, unabhängig von böswilligen oder unbeabsichtigten Absichten. Durch die Implementierung von STIG V-112 wird sichergestellt, dass nur vertrauenswürdige Benutzer der Betriebsebene auf die betreffenden Mainframe-Ressourcen zugreifen können, wodurch die Gefahr, dass Insider sensible Daten stehlen oder wichtige Betriebsressourcen auf dem Mainframe beschädigen, drastisch verringert wird.

• Validierung mit Beta Systems RACF Tools: Das zentrale RACF-Tool Beta Access von Beta Systems enthält wichtige Funktionen, die es Administratoren und Auditoren ermöglichen, die Einhaltung der STIG V-112 über eine Schnellsuche oder in einem Bericht schnell zu überprüfen. Die Überprüfung der Zugriffsberechtigung auf kritische Systemdateien erfolgt über unsere primäre Schnittstelle, die Suche nach dem Ressourcenprofil SYS1.LPALIB und die anschließende Drilldown-Funktion „Analyze Permits“, die es dem Administrator ermöglicht, eine Liste aller RACF-Berechtigungen anzuzeigen, die den Benutzern den Zugriff auf die Ressource gestatten, sowie die Zugriffsebene jedes Benutzers und die Art und Weise, wie jedem Benutzer der Zugriff gewährt wurde (d.h. welche RACF-Gruppe für den Zugriff eines Benutzers auf eine Ressource verantwortlich ist).

Das obige Szenario ist nur ein Beispiel für die Lösungen von Beta Systems für die STIG-Konformität und die allgemeine RACF-Sicherheit. Ausführlichere Beispiele für STIGs und „How to“-Screenshots finden Sie in unserem technischen White Paper zu STIGs.

Die Befolgung von Industriestandards und Best-Practice-Sicherheitsempfehlungen kann für jedes Unternehmen wie eine überwältigende Aufgabe erscheinen, insbesondere wenn die Risiken hoch sind, wenn sie nicht angemessen umgesetzt werden. Und bei ausgereiften Systemen wie dem Mainframe gehen die meisten Unternehmen davon aus, dass sie

• hinreichend geschützt sind,

• wollen die Kosten nicht erhöhen, oder

• haben bereits Tools im Einsatz und sehen keine Notwendigkeit für eine Änderung.

Beta Systems bietet Lösungen für alle diese Probleme. Wir verfügen über moderne Tools, die es sowohl erfahrenen als auch neuen RACF-Administratoren leicht machen, den angemessenen Schutz von Mainframe-Ressourcen und sensiblen Daten durch die Einhaltung von Industriestandard-STIGs sicherzustellen. Ein zusätzlicher Vorteil ist, dass dieselben Berichte, die für STIGs verwendet werden, die Vorbereitung auf Compliance- oder regulatorische Audits erheblich beschleunigen und somit erhebliche Gemeinkosteneinsparungen ermöglichen.

Für Unternehmen, die bereits über RACF-Tools für die Verwaltung und Berichterstellung verfügen, können unsere Tools nicht nur sehr gut mit den Tools unserer Mitbewerber mithalten, sondern wir bieten unser Lösungspaket mit einem Preisnachlass von 50 % auf Ihre derzeitigen Kosten an, während wir die Forschung und Entwicklung von Best-Practice-Sicherheitslösungen für RACF-Umgebungen fortsetzen.

Beta Systems hat die Software-Suite Beta Access als Antwort auf die wachsenden Anforderungen an die Verwaltung von Zugriffsrechten entwickelt. Sie befähigt auch nicht spezialisiertes Personal, den z/OS RACF Security Server zuverlässig zu verwalten und Audit-Reports zu erstellen. Erreicht wird dies durch eine im Vergleich zu anderen Administrationslösungen sehr einfach zu bedienende Oberfläche.

Standardaufgaben wie das Zurücksetzen von Passwörtern können so an den Helpdesk delegiert werden, was den Umfang der Routinearbeiten, die bisher vom IT-Kernteam erledigt wurden, deutlich reduziert.

Beta Access fungiert auch als Überwachungstool, d.h. es gibt in Echtzeit Warnmeldungen über RACF-Ereignisse aus. Auslöser können der Zugriff auf sensible Daten oder Änderungen an Benutzerattributen sein. Zusammen mit den Optionen für Versionierung und Backups erhöhen diese Funktionen den Sicherheitsstatus Ihrer IT-Landschaft erheblich.

Die Beta Systems Module der z/OS Access Rights Management Suite for RACF, kurz Beta Access, adressieren die verschiedenen Bereiche der RACF-Administration. Die Module können einzeln oder in Kombination miteinander eingesetzt werden.