14.12.2011 Robin Tatam, Power Tech

„Legacy-Anwendungen können die Sicherheit von IBM i gefährden!“

Von: Berthold Wesseler|Fotos: Christopher Kirsh

Interview mit Robin Tatam, Direktor für Sicherheitstechnologien bei Power Tech

  • Robin Tatam, Power Tech

    Robin Tatam, Power Tech

  • Robin Tatam, Power Tech

  • Robin Tatam, Power Tech

  • Robin Tatam, Power Tech

  • Robin Tatam, Power Tech

Herr Tatam, IBM i ist als solide und sicher bekannt. Warum sollte ein IT-Leiter sich um die Sicherheit seiner ­Daten und Applikationen auf dieser IT-Plattform sorgen?
Robin Tatam:
Sie haben absolut recht: Dieser Server und sein Betriebssystem haben sich aufgrund des hochintegrierten Designs – inklusive Sicherheit – schon immer eines guten Rufes erfreut. Das Infrastrukturdesign der AS/400 und ihrer Nachfolger hat sich als bemerkenswert wenig anfällig gegenüber vielen der üblichen Angriffsmethoden erwiesen.

Dennoch sehen wir ein Problem: Die meisten IBM-i-Rechenzentren nutzen nicht sehr viele der eingebauten Sicherheitsmechanismen. Der Grund ist die „Legacy“-Problematik, also das reichhaltige Erbe bewährter Anwendungen aus den Tagen der Systeme /38 und /36. Denn obwohl IBM i selbst eine hochentwickelte Serverplattform ist, gilt das längst nicht für alle Anwendungen darauf. Das liegt auch daran, dass vor 20 oder 30 Jahren für die AS/400 oder ihren Vorgänger /38 entwickelte Anwendungen darauf problemlos weiter fu­n­k­tionieren – und zwar ohne Recompile oder irgendwelche Änderungen am Programm.

Das ist aus wirtschaft­licher Sicht fantastisch, birgt aber inhärente Sicherheitsprobleme in sich. Denn manche Anwendungen stammen noch aus Zeiten, als der „Green Screen“ des Terminals der einzige Weg zu den Daten war. Aufgrund der mit solchen Anwendungen geerbten Sicherheitskon­figuration kann ein simples Excel-Spreadsheet die Menüsicherheit der Anwendung aushebeln und sensible ­Daten kompromittieren. Darüber sollten sich ­IT-Leiter durchaus Gedanken machen.

Wie kann der IT-Leiter denn feststellen, dass er Probleme mit der IT-Sicherheit hat?
Tatam:
Am besten über eine Schwachstellenanalyse. Die meisten Unternehmen engagieren dazu externe Spezialisten für Penetrations­tests und konzentrieren sich auf die Abwehr der Gefahren von außen. Das reicht nur ­leider nicht; Angriffe erfolgen viel häufiger von innen, über erlaubte Zugänge, oft sogar durch die eigenen Leute. Das IT-Management sollte daher auf jeden Fall auch sicherstellen, dass Sonderberechtigungen und Datenbankzugriff auf Kundendaten oder kritische firmeninterne Daten nicht pauschal vergeben werden, sondern je nach Notwendigkeit.

Eine der Herausforderungen sehe ich darin, dass die mit dem Audit beauftragten Wirtschaftsprüfer zumeist wenig oder gar nichts über das System i wissen. Deshalb wird es in Bezug auf Sicherheit oft nur unzureichend untersucht oder manchmal sogar ganz beiseite­gelassen. Der Trick besteht darin, für die Schwachstellenanalyse Sicherheits­experten mit dem richtigen Know-how zu engagieren. Das kann auch bedeuten, mit mehreren Partnern zusammenzuarbeiten, wenn die IT-Infrastruktur des Unternehmens sehr heterogen ist.

Manche Sicherheitsverantwortlichen werden diese Idee nicht gut finden. Die jeweils geeigneten Fachleute oder Technologien einzusetzen kann sich aber schnell bezahlt machen, sofern die Daten im Unternehmen bleiben sollen. Man würde ja auch nicht zum Hausarzt gehen, wenn man einen Chirurgen braucht.

Was sind Ihrer Erfahrung nach die größten Sicherheitsrisiken im Ökosystem „IBM i“?
Tatam:
Wir publizieren ein Whitepaper mit dem Titel „The State of IBM i Security“, das jedes Jahr mit den gesammelten Auditdaten der vergangenen zwölf Monate aktualisiert wird. Dieses Whitepaper haben wir 2011 bereits zum achten Mal erstellt, so dass wir sicher sind, den Sicherheitsmarkt für IBM-i-Anwender ziemlich gut zu kennen.

Teilnehmer der Studie sind die Nutzer unseres kostenlosen Assessment-Tools. Man könnte vermuten, dass die Studienteilnehmer sicherheitsbewusster sind als der durchschnittliche Anwender. Anderseits bekommen wir aber auch zu hören, dass die Teilnehmer an der Studie weniger sicherheits­bewusst seien als der Durchschnitt, weil sie sich auf ein hochgradig automatisiertes Assessment verlassen. Unabhängig davon lässt sich aber nicht wegdiskutieren, dass jedes Jahr wieder bereits bekannte Befunde erneut zutage treten.
Die Sicherheitslücke mit den wohl schwerwiegendsten Folgen für die Sicherheit des System i ist demnach der unkontrollierte und ungeprüfte Zugriff über das Netzwerk.

Oftmals ist der Zugriff auf die Daten mit gebräuchlichen PC-Tools überraschend einfach – und ohne dass diese Aktivitäten irgendwo protokolliert würden. Selbstverständlich sind solche Datenlecks eine schwerwiegende Verletzung praktisch aller Datenschutzgesetze und -vorschriften. Andere weitverbreitete Schwächen sind die inflationäre Vergabe von Administratorprivilegien, die laxe Vergabe von Zugriffsrechten für Applikationsdaten und -bibliotheken sowie die kärgliche Nutzung der in IBM i eingebauten Auditingfunktionen.

Wie lassen sich diese Lücken schließen?
Tatam:
Einige der Sanierungsarbeiten sind unkompliziert, denn viele „Lücken“ sind lediglich die Folge schlampiger Konfiguration, wie etwa das Beibehalten dokumentierter und bekannter User­profil-/Passwort-Kombinationen. Dennoch empfehle ich immer ein systematisches Vorgehen, beginnend mit der erwähnten Schwachstellenanalyse, die ganz nebenbei ja auch die Ausgangssituation dokumentiert. Außerdem sollte es als Vergleichsmaßstab eine schriftlich festgelegte Sicherheitspolitik des Unternehmens geben.

Die eigentliche Sanierung sollte dann nach dem ROSI-Prinzip erfolgen, also durch die Beseitigung derjenigen Risiken mit dem höchsten „Return on Security Investment“. Hierbei können vor allem die Sicherheitsprinzipien von IBM i konsequent angewendet werden. Das kann auch einiges Entgegenkommen mancher Softwarelieferanten erfordern, denn diese müssen gegebenenfalls ihre Applikationen überarbeiten, um die IBM-i-Sicherheit nicht auszuhebeln und die Lauf­fähigkeit der Software zu erhalten. Es gibt aber keinen Grund, dass sie sich nicht an diese Sicherheitsprinzipien halten.

Ich glaube außerdem fest an eine Abwehr der IT-Gefahren in Schichten, um nach dem „Best of Breed“-Prinzip jeweils dort zusätz­liche Schutzmechanismen einzubauen, wo vorhandene Kontrollmechanismen nicht vollständig überzeugen. Beispiele sind etwa das Reporting, die Datenbanküberwachung oder die Aufgabentrennung (Separation of Duty) für privilegierte Nutzer. Um solche Mechanismen auf der Plattform IBM i einfach zu implementieren, liefern wir Tools wie Data Thread oder den Authority Broker.

Welche Schwachstellen sollten besser auf der Plattform selbst geschlossen werden, welche besser außerhalb von IBM i, z.B. von einer dedizierten Appliance?
Tatam:
Das Problem liegt primär bei der ­Sicherheit des Host. Viele Menschen, mit denen ich spreche, tun das Gefahrenpotential durch interne Angriffe mit dem Verweis darauf ab, dass die Mitarbeiter weder das Wissen noch ein Motiv hätten, große Schäden anzurichten. Ich frage dann immer, ob diese Menschen gerne um hohe Einsätze pokern, weil das gesamte Unternehmen auf dem Spiel steht, falls sie „verlieren“. Dies vor dem Hintergrund teilweise spektakulärer Fälle von ­Datendiebstahl in jüngerer Vergangenheit.
Tatsächlich haben genau solche Vorfälle viele der heutigen Datenschutzgesetze hervorgebracht. Andererseits ist der Schutz gegen Angriffe von außen ziemlich ausgereift. Kann aber doch jemand die Firewall überwinden, dann heißt das in der Regel, dass es im Unternehmen Versäumnisse beim Einsatz der dazugehörigen Tools gibt.

Die größte Gefahrenquelle bilden folglich User innerhalb der Firewall, die notwendigerweise Zugang zum nach außen bestens abgeschotteten System haben. Gerade bei IBM i liegt hier manches im Argen, da teilweise erschreckend viele Mitarbeiter mit dem eigenen Use­r­profil auf Daten zugreifen können, die sie für ihre Rolle im Unternehmen gar nicht brauchen und die sie auch nicht sehen dürften.

IBM und Symantec haben sich in früheren Betriebssystemversionen an nativen Firewalllösungen versucht. Power Tech investiert weiterhin in Tools zur Netzwerksicherheit auf Basis einer integrierten Firewall für IBM i, die alle Userzugriffe über das Netzwerk kontrolliert und dokumentiert – und zwar unabhängig von Art und Umfang der Nutzerberechtigungen und der Sicherheitsmechanismen beim Zugriff auf die Objekte. Außerdem lassen sich viele der nicht IBM-i-spezifischen Gefahren und Schwachstellen mit Hilfe des Intrusion-Detection-Systems (IDS) aufdecken, das in die aktuellen Versionen des Betriebssystems eingebaut ist.

Wie bewerten Sie die Fortschritte von IBM i in puncto Sicherheit seit V5R4?
Tatam:
IBM hat schon mit i 6.1 dieses IDS funktional deutlich erweitert und auch die Bedienerfreundlichkeit verbessert. Das ist gut, denn Übersichtlichkeit führt dazu, dass vorhandene Sicherheitsfunktionen auch tatsächlich genutzt werden. Trotzdem würde ich wetten, dass viele IT-Leiter auch heute noch nicht wissen, dass IBM i über ein wirkungsvolles IDS verfügt.

Eine wichtige Verbesserung brachte V6R1 mit einer Schnittstelle für die selektive Verschlüsselung wichtiger Daten. Und zwar unabhängig von den Anwendungssystemen, die mit diesen Daten arbeiten. Verbesserungen am Management der Chiffrierschlüssel sowie einige zweckmäßige Änderungen im Verhalten diverser Systemvariablen sind weitere Beispiele.

Was empfehlen Sie Kunden, die über die Verschlüsselung der Daten­banken nachdenken?
Tatam:
Verschlüsselung und Token-Nutzung stecken noch in den Anfängen, zumindest was ihren Nutzungsgrad in der IBM-i-Welt angeht. Dabei gibt es etliche Vorteile der Verschlüsselung auf Datenbankebene: die Einhaltung gesetzlicher Vorschriften, abgedichtete Sicherheitslücken und zusätzlicher Schutz für alle Daten, die den Host verlassen.

Wenn wir auf Datenverschlüsselung angesprochen werden, dann meistens von Unternehmen, die PCI-DSS-kompatible Produkte zur Abwicklung ihrer Kreditkartentransaktionen suchen. PCI DSS ist der Payment Card Industry Data Security Standard, also eine Richtlinie zur Datensicherheit in Unter­nehmen, die mit Kreditkarteninformationen arbeiten.

Ich glaube, dass man Verschlüsselung künftig auch für viele andere Anwendungen einsetzen wird, weil Behörden und Unternehmen aller Branchen auf die dauernden Pannen mit wichtigen oder privaten Daten reagieren müssen. Was die Verschlüsselung der Datenbanken angeht, sollte man auf kommerziell verfügbare Produkte und nicht auf selbst entwickelte Tools setzen, um den Aufwand für Entwicklung, Tests und Anpassungen zu beschränken und immer auf dem neuesten Stand zu sein.

An dieser Stelle möchte ich aber auch auf die relativ neuen Möglichkeiten zur Verschlüsselung von ASPs hinweisen, weil deren Nutzen für die Datensicherheit nach meiner Meinung überschätzt wird. Das Problem liegt ­darin, das Ver- und Entschlüsselung immer dann erfolgen, wenn die Daten auf die Platte geschrieben bzw. von ihr gelesen werden. Das heißt aber auch: Der User erhält immer die unverschlüsselten Daten angezeigt – und das unabhängig von der Anwendung oder dem Tool, mit dem er arbeitet. Geschützt sind die Daten also nur für den seltenen Fall, dass die Platte vom System entfernt wird, nicht aber gegen unberechtigte Zugriffe.

Was empfehlen Sie, um das System i ­sicherer zu machen?
Tatam:
Der erste und wichtigste Schritt: Man muss wissen, dass die Plattform absolut offen aus der IBM-Fabrik kommt und daraus die Konsequenzen ziehen. Zwar wird das ­Betriebssystem immer wieder als sehr sicher bezeichnet, doch treffender wäre es, von „höchst-sicher-bar“ zu sprechen. Im nächsten Schritt sollte man verstehen, dass Sicherheit und Compliance zwei paar Dinge sind. Compliance bedeutet zwar die Einhaltung definierter Standards, mögen es behördliche Vorschriften, Gesetze oder firmeneigene Richtlinien sein, jedoch sollte man vorsichtig sein, allein über vordergründige Compliance-Maßnahmen die Sicherheitsproblematik anzugehen.

Trotzdem steht bei vielen IT-Leitern die Compliance im Fokus. Dabei geht es leider nicht immer um die Sicherheit der Daten und Server, sondern vielmehr darum, die Kontrollen der Wirtschaftsprüfer schadlos zu überstehen. Einmal jährlich notdürftige Sicherheitsmaßnahmen umzusetzen, um den Test des Prüfers zu bestehen – also „compliant“ zu sein –, könnte sich aber als trügerische Sicherheit ­herausstellen. Wirkliche Sicherheit muss sys­tematisch angegangen werden. Die Einhaltung muss regelmäßig geprüft werden, und man muss am Thema dranbleiben – das ganze Jahr. Sicherheit ist teuer. Aber darauf zu verzichten kann das ganze Unternehmen gefährden.

Wenn man an Handys und Tablet-PCs denkt, reicht die Absicherung des RZ nicht aus. Worin sehen Sie die neuen Risiken ­mobiler Anwendungen?
Tatam:
Die wachsende Popularität mobiler Endgeräte beim Zugriff auf Unternehmensdaten tangiert die Plattform IBM i nicht so sehr wie Windows- oder Linux-Server. Das liegt vor allem daran, dass die meisten ­Anwendungen datenbankbasierte Kernauf­gaben der Geschäftsprozesse sind. Der Server ist deswegen durch Firewalls besonders geschützt, kann also frühestens dann von einem mobilen Gerät angesprochen werden, nachdem eine sichere Verbindung zum Unternehmensnetz aufgebaut ist.

Werden die Daten auf dem System i über Webservices angesprochen, sollte der Schutz durch eine Kombination von Exit-Programmen und Sicherheitsmechanismen auf Objektebene realisiert werden, zum Beispiel durch den Einsatz von Power Tech Network Security. Außerdem sollten natürlich die Zugriffe auf Systemfunktionen und Daten aktiv überwacht werden; jede Anomalie sollte unverzüglich einen Sicherheitsbeauftragten alarmieren.

Ich persönlich nutze ein Blackberry für den Zugriff auf unsere Server bei Power Tech. Für die Sicherheit der Verbindung sorgt unser Blackberry Enterprise Server (BES), der auch intern die Verbindung zu IBM i aufbaut. So kann ich unsere 5250-Anwendungen absolut sicher benutzen.

Abschließend ein Blick in die Zukunft: Worin sehen Sie die Herausforderungen des Cloud Computing?
Tatam:
Für die Systemsicherheit ergeben sich hierdurch keine großen Veränderungen, weil sich nur die Infrastruktur wandelt. Wir können uns weiter auf das Betriebssystem IBM i verlassen, dass schon immer mit sauber getrennten IT-Umgebungen gearbeitet hat – angefangen von geschützten Bibliotheken auf der ersten AS/400 bis hin zur logischen Partitionierung.

Für die IT-Leiter ist es entscheidend sicherzustellen, dass ihre Power Systems und die gesamte IT-Infrastruktur den Wachstums- und Skalierbarkeitsanforderungen des Unternehmens genügt. Dabei können sie sich auf das Sicherheitskonzept von IBM i verlassen – und zwar sowohl in verteilten als auch in konsolidierten Umgebungen.

Wann und wo wird „Security as a Service“ im Umfeld von IBM i sinnvoll?
Tatam:
Im aktuellen wirtschaftlichen und technologischen Klima ergibt das schon heute sehr viel Sinn. Wer das Auditing von IBM i aktiviert hat, kann beispielsweise das Event-Monitoring an einen spezialisierten Dienstleister übertragen.
Diese Dienstleistung erlaubt dann auch die konsequente Überwachung des Systems ­außerhalb der normalen Arbeitszeiten. Das heißt: Die Systeme werden auch nachts und am Wochenende überwacht. Die lückenlose Über­wachung in Echtzeit kann bei Angriffsversuchen entscheidend sein, da dann unter Umständen jede Sekunde zählt.

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH