24.06.2013 Studie und Interview 'State of IBM i Security'

Leider keine Fortschritte!

Von: Berthold Wesseler

Powertech, eine Tochter der Softwareschmiede Help/Systems, hat jetzt zum 10. Mal die alljährliche Studie „State of IBM i Security“ veröffentlicht. Dazu wurden mehr als 100 Unternehmen befragt, die Server mit dem Betriebssystem IBM i im Einsatz haben – nach den größten Sicherheitslücken, nach den gefährlichsten Konfigurationsfehlern und nach den häufigsten Mängeln bei der Compliance.

Robin Tatam, Direktor Sicherheitstechnologien bei Powertech und Autor der Studie

Robin Tatam, Direktor Sicherheitstechnologien bei Powertech und Autor der Studie

Eine große Schwachstelle ist und bleibt demnach die Zugangsberechtigung der User. Viele arbeiten mit Default-Passwörtern der Software-Produkte, 31 Server verlangten keine regelmäßige Änderung des Passworts und immerhin neun Server erlaubten eine unbegrenzte Anzahl von Log-in-Versuchen. Und bei nur drei der untersuchten Server hatten weniger als zehn User die *ALLOBJ-Berechtigung für einen unbeschränkten Datenzugriff.
„Jedes Jahr erwarte ich bessere Resultate“, erklärt Robin Tatam, Direktor Sicherheitstechnologien bei Powertech und Autor der Studie. „Aber auch zehn Jahre nach der ersten Studie finden wir immer noch Lücken, die durch mangelhaftes Management der User-Profile und viel zu wenig Netzwerksicherheit entstehen.“ Kein Wunder, wenn 79 Prozent der Server die Netzwerkzugriffe überhaupt nicht überwachen. Denn das heißt auch: Jeder kann mit einer gültigen User-Berechtigung über Interfaces wie FTP oder ODBC direkt auf wichtige AS/400-Daten zugreifen.

Herr Tatam, was sind die wichtigsten Erkenntnisse Ihrer neuen Studie zur IBM i Security?
Robin Tatam:
Viele der Schwächen, die wir schon vor zehn Jahren in der ersten Studie gefunden haben, sind heute immer noch nicht beseitigt. Trotz der verdienstvollen Arbeit vieler Sicherheitsexperten mangelt es in den Unternehmen immer noch an „Best Practices“. Auch wenn die Compliance-Thematik die Sicherheitslandschaft in den letzten Jahren definitiv verändert hat – Umfang und Kosten für die Minimierung der Risiken überfordern die erfahrenen Fachleute ebenso wie den Rahmen der Budgets.

Gibt es signifikante Veränderungen zu früheren Studien?
Tatam:
Es gibt keine direkte Korrelation zwischen den verschiedenen Studien, da sich die Teilnehmer und die untersuchten Server jedes Jahr ändern. Auffällig ist nur, dass die Auditing-Fähigkeiten der Plattform IBM i offenbar intensiver genutzt werden – wenn auch sicherlich nicht nur für Sicherheitszwecke; beispielsweise erfordern auch Hochverfügbarkeitslösungen ein aktiviertes Auditing.

Gibt es Unterschiede zu Usern anderer Serverplattformen?
Tatam:
Definitiv! Die tiefe Integration der Security-Infrastruktur in Serverhardware und Betriebssystem des Power System i ist ein großer Vorteil gegenüber anderen Plattformen. Auch wenn weitgehend unsichtbar für den technischen Laien, gab es mit dem Betriebssystemrelease IBM i 6.1 vor einigen Jahren deutliche Verbesserungen beim Schutz der Datenintegrität auf dem Server, mit denen IBM die immer noch führenden Integritätsmechanismen verbessert, die seit 25 Jahren eine der klassischen AS/400-Stärken sind.
Unglücklicherweise ist für diese Integration aber auch ein Preis zu zahlen: Viele IT-Chefs werden von dem Irrglauben eingelullt, dass ihre Server und Anwendungen ohne eigenes Zutun automatisch sicher seien. Denn die allermeisten Softwareprodukte wurden unter der Annahme entwickelt, dass die Sicherheit auf Objektebene konfiguriert ist – doch niemand kümmert sich darum.

Welche Maßnahmen empfehlen Sie, um die Sicherheitsrisiken in einer AS/400-Umgebung zu minimieren?
Tatam:
Der Erfolg steht und fällt mit der Aufmerksamkeit des Managements; ohne die kann es hier keinen wirklichen Fortschritt geben. Ich habe beispielsweise persönlich einen der Server in der Studie begutachtet, der so konfiguriert war, dass die minimale Länge des Passworts ein Buchstabe war. Das heißt mit anderen Worten: Nach nur 26 Versuchen ist das Passwort geknackt. Als ich nachfragte, wie das Unternehmen mit dem Risiko leben kann, hieß es nur: Der IT-Chef mag sich nicht mit Passwörtern beschäftigen. Es ist traurig, aber wenn das Management solch eine Einstellung hat, können wir nicht helfen.

www.helpsystems.com

Bildquelle: Powertech

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH