![[GRAFIK]](20-1.jpg)
Die Überwachung von sicherheitsrelevanten Ereignissen in Echtzeit kann über das Auslesen der SMF-Exits IEFU83 erfolgen. Die aktive Meldung von erkannten Ereignissen erfolgt per E-Mail, an zentrale Security-Event-Konsolen etc.
Vielfach ernten IT-Sicherheitsverantwortliche neidische Blicke, wenn sie im Kreise von Kollegen berichten, dass sie in der täglichen Arbeit durch das Resource Access Control Facility (RACF) auf dem Mainframe unterstützt werden. Dieses System steht synonym für ein Höchstmaß an Sicherheit vor unerwünschtem Datenklau oder Manipulationen. Und dies zurecht: IBMs Sicherheitslösung erfasst und beschreibt nahezu alle sicherheitsrelevanten Ereignisse.
Nahezu täglich protokolliert sie, dass unternehmensweit geltende Sicherheitsregeln wie das regelmäßige Ändern von Passwörtern von einigen Anwendern nicht eingehalten werden beziehungsweise Anhäufungen unerlaubter Login-Versuche oder auch Änderungen in der RACF-Datenbank stattgefunden haben. Wie weit die erkannten sicherheitsrelevanten Ereignisse in der Vergangenheit liegen, hängt jedoch vom Umfang der aus RACF heraus generierten Reports sowie von der Schnelligkeit des auswertenden Mitarbeiters ab.
Denn die Sicherheitsprotokolle stehen erst nach einer Batchbearbeitung und dem Ausdruck in Listenform zur Verfügung. Diese Listen müssen – bei hohem Fehlerrisiko – manuell ausgewertet werden, um zu erfahren, was am letzten oder gar vorletzten Tag in punkto Sicherheitsverstößen registriert worden ist. Mit manuellen Auswertungen von Reports kann der hohen Anzahl sicherheitsrelevanter Ereignisse in einem großen Unternehmen – Experten schätzen sie auf mehrere Millionen täglich – nicht wirkungsvoll entgegengetreten werden. Oft werten Sicherheitsverantwortliche heute die Reports gezwungenermaßen nur stichprobenartig aus, was dem Missbrauch Tür und Tor öffnet.
Spätestens durch die zunehmende Bedeutung des Zentralrechners bei E-Business- und Internetanwendungen und dadurch der Öffnung des "Big Blue" für Tausende von Kunden und somit auch für potenzielle Angreifer, steigt für IT-Sicherheitsverantwortliche in Unternehmen die Bedeutung intelligenter Echtzeit-Erkennungsmethoden sicherheitsrelevanter Ereignisse. Auch die Gartner Group berichtet in "The Erosion of Mainframe Security" über eine bisher nicht gekannte Gefährdung der Mainframe-Sicherheit durch die zunehmende Öffnung dieser Systeme gegenüber dem Internet.
Das Ergebnis eines Großrechner-Sicherheits-Checks bei 350 internationalen Großunternehmen ergab unter anderem, dass die Zeitspanne bis zum erfolgreichen unerlaubten Eindringen in ein Host-System zwischen 10 Minuten und zwei Tagen beträgt. Diese kurze Frist bietet praktisch keine Gelegenheit, durch manuelle Auswertungen von Reports Sicherheitsübergriffe zeitgerecht zu erfassen. Hack-Versuche – sei es von außen oder von innen – werden oft nur durch Zufall rechtzeitig erkannt.
Damit der Mainframe auch in Zeiten von E-Commerce- und E-Business-Anwendungen eine Bastion in der Unternehmens-IT bleibt, müssen daher Sicherheitsrichtlinien überprüft und verschärft werden. Dazu bedarf es auch neuer Mechanismen zur Einführung und Überwachung solcher Richtlinien sowie der Sicherheitssysteme selbst. Ein wesentlicher Aspekt ist dabei die nachhaltige Reduzierung des Zeitraums zwischen erstmaligem Auftreten eines sicherheitsrelevanten Ereignisses bis zu seiner Erkennung – im Idealfall also die Implementierung einer zuverlässigen Echtzeit-Sicherheitsüberwachung. Nur wenn Sicherheitsverletzungen umgehend erkannt werden, können mögliche Schäden abgewendet beziehungsweise Auswirkungen möglichst gering gehalten werden.
Welche Lösung auch immer die Sicherheitsprotokolle zeitnah auswertet: Es gilt, die aus RACF heraus generierte Datenflut durch Selektion der wesentlichen Daten erheblich zu reduzieren. Um schnell und gezielt die wesentlichen Informationen zu erfassen und damit eine hohe Handlungsfähigkeit zu erzielen, sollte die Software folgende Fragen nach dem 5-W-Prinzip beantworten können:
RACF stellt Antworten auf diese Frage in verschiedenen SMF- und anderen Ereignisformaten bereit (SMF: System Management Facility). Somit ist es sinnvoll, noch vor der Anwendung von unternehmensindividuell definierten Filter- und Melderichtlinien die Auswertung dieser Informationen zu standardisieren. Damit stehen diese nicht nur für die Erfassung von aktuellen Ereignissen in einem einheitlichen Format zur Verfügung, sondern lassen sich auch später zu Revisionszwecken für beliebige Auswertungen nutzen. Administratoren, Revisoren und Auditoren können dann bei der Generierung beliebiger benutzerdefinierter Reports auf ein einheitliches, standardisiertes Datenformat zugreifen. Die Komplexität von RACF lässt sich somit verbergen.
Die Überwachung von sicherheitsrelevanten Ereignissen in
Echtzeit kann über das Auslesen der SMF-Exits IEFU83 erfolgen.
Die aktive Meldung von erkannten Ereignissen erfolgt per E-Mail, an
zentrale Security-Event-Konsolen etc.
Besonders DV-Revisoren sind an einer Möglichkeit interessiert, Merkmale zur Einhaltung der Sicherheitspolitik in einem Unternehmen zeitnah zu überprüfen und die Ergebnisse zu dokumentieren. Dazu können sie neben Standard-Reports auch situationsbezogen individuelle Reports verwenden, die flexibel zu erstellen sind. Hierfür existieren Standard-Software-Produkte, die über das Auslesen und Verarbeiten von SMF-Datensätzen in einer einheitlichen Anwendungsumgebung beliebige Auswertungen und Konsistenzprüfungen der RACF-Meldungen zulassen.
Weiter geht der Ansatz, Sicherheitsverstöße in Echtzeit zu melden. Damit wird das vielfach praktizierte Prinzip der nachträglichen Suche sicherheitsrelevanter Ereignisse umgekehrt: Nicht der DV-Auditor muss nach solchen Ereignissen oder fehlerhaft umgesetzten Sicherheitsregeln fahnden, sondern das System meldet automatisch sicherheitsrelevante Ereignisse oder Regelverstöße. Ein solcher Alarm kann dabei auf verschiedenem Wege erfolgen: Neben E-Mails können Ereignisse auch an zentrale Security-Event-Konsolen oder per SMS verschickt werden.
Eine Automatisierungslösung für die Echtzeitüberwachung von sicherheitsrelevanten Ereignissen in Unternehmen liefert beispielsweise die Beta Systems Software AG. Der Automated Security Auditor for OS/390 BETA 89 überwacht und filtert die aus RACF erzeugten SMF-Datensätze "Typ 80" mit dem Ziel, ihre Anzahl zu reduzieren und auf kritische, sicherheitsrelevante Ereignisse einzugrenzen. Die Nutzung des SMF-Exit IEFU83 ermöglicht dabei, die vorhandene Filterlogik auch während des laufenden Betriebes zu verändern.
BETA 89 meldet Sicherheitsereignisse in Echtzeit per E-Mail beziehungsweise an zentrale Security-Event-Konsolen etwa von Tivoli. Die Software initiiert unter OS/390 eine Aufgabe zur Identifizierung von meldepflichtigen Sicherheitsereignissen sowie zur Durchführung der Meldung. In einer relationalen Datenbank sind dazu Richtlinien für Filterung und Meldung sowie Zielinformationen für die Meldung der Sicherheitsereignisse hinterlegt.
David Ferré ist Director der Business Unit
"Data Center Management" der Beta Systems Software AG (![[externer Link]](../../../../images/link.gif)
www.betasystem.com).
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 5/2001, Seite 20
