IBM i Security – Prüfung knapp bestanden!
Warum ein Security Assessment der erste Schritt zu mehr Sicherheit ist?
Die Ergebnisse der Security Risk Assessments haben eindrucksvoll offengelegt, wie stark das Thema IBM i Security nach wie vor vernachlässigt wird – und das trotz der zunehmend komplexen Bedrohungslage und der Verfügbarkeit moderner Sicherheitsstandards. In vielen Unternehmen, unabhängig von Branche oder Größe, zeigt sich, dass grundlegende Sicherheitsmaßnahmen entweder nicht konsequent umgesetzt oder über Jahre hinweg ignoriert wurden. Diese Nachlässigkeit birgt erhebliche Risiken für die IT-Infrastruktur und den langfristigen Geschäftserfolg.

Warum die Ergebnisse wenig überraschend waren
Kein anderes System in der IT Welt konnte über 30 Jahre so problemlos von einer Generation auf die Andere migriert werden. Selbst ein Wechsel der Prozessor Architektur von CISC nach RISC änderte daran nichts. Die Nachlässigkeiten bei der Sicherheit in den Anfangsjahren der AS400 wurden somit bis heute immer wieder „mit migriert“. Heute kommuniziert die IBM i über offene Protokolle mit der gesamten IT Welt und ist damit genauso gefährdet wie jedes andere System. Die Nachlässigkeiten von damals sind die Fahrlässigkeiten von heute. Die Sensibilität für diese Gefahr nimmt zwar immer mehr zu, doch schlägt sich das noch nicht in den IT-Budgets nieder, die heute von Themen wie Cloud und KI geprägt sind. Doch genau diese Themen setzen immer höhere Anforderungen an die Sicherheit der Systeme voraus, was bei der Budgetplanung berücksichtigt werden muss.
Warum ein Security Risk Assessment die Sicherheit verbessern hilft
Was meinen Sie, wie sicher ist Ihre IBM i?
Die Kunden, die uns beauftragt hatten ein Security Risk Assessment durchzuführen, waren zwar davon ausgegangen, dass ihre Sicherheitseinstellungen nicht in allen Punkten den „IBM Best Practice“ Anforderungen genügen würden, aber mit dem dann vorliegenden, extrem schlechten Ergebnis hatte niemand gerechnet. Dabei war zu erkennen, dass bedingt durch die Geschichte der IBM i fast alle Kundensysteme dieselben Probleme hatten – kein vorhandenes Berechtigungskonzept, unzureichende Authentifikation, mangelnde Autorisierung und unverschlüsselte Kommunikation.


Authentifikation ist der „Schlüssel“ zum System
Für jeden Angriff auf das System wird ein IBM i Account benötigt, um Schaden anrichten zu können. Nur durch personalisierte Accounts mit verschlüsselten, komplexen Passwörtern (QPWDLVL=3), die regelmäßig geändert werden müssen, kann eine erste Schicht von Sicherheit hergestellt werden. Die Anzahl der Administrator Accounts (Sonderrechte *ALLOBJ, *SECADM) sollte auf ein Minimum reduziert sein und wo möglich mit einer 2FA Lösung abgesichert werden.
Die Realität sieht jedoch anders aus. Ein Mix aus unverschlüsselten Passwörtern oder Standard Passwörtern, die nie geändert werden müssen und beliebig oft falsch eingegeben werden können, gepaart mit Sonderrechten für nahezu jeden Benutzer und unverschlüsselter Kommunikation kommt einer Einladung zu einem Angriff gleich. Diese Probleme sind so akut, dass sich die Frage nach einem Budget von selbst erledigt.

Über den Autor
Thomas Gaertner
Seit 1990 bewege ich mich im AS400 / IBM i Universum. Nach Jahren in der RPG Entwicklung hat sich mein Fokus verlagert auf Business Continuity Themen wie Backup, Disaster Recovery, Hochverfügbarkeit und Security. Seit 2020 bin ich Teil des Competence Center IBM i bei der SVA System Vertrieb Alexander GmbH.
Autorisierung bedeutet mehr als nur Recht haben
„Jedermann“ hat nicht nur im Theater dramatische Folgen, sondern auch im Rechte Konzept der IBM i, wo er mit *PUBLIC bezeichnet wird. Jeder Benutzer Account, der nicht explizit berechtigt wird, erhält die *PUBLIC Rechte. Da nur bei einem Assessment ein Berechtigungskonzept vorhanden war, hatten in allen anderen Fällen viele Benutzer auch ohne Sonderrechte alle Rechte an Objekten und Daten sowohl in den Datenbanken (*CHANGE) als auch im Integrierten File System (*RWX). Diese unbewusste Macht eines einfachen Benutzer Accounts erübrigt es, dass Angreifer einen Administrator Account übernehmen müssen, um Daten verschlüsseln zu können. Neben dem technischen Aspekt gibt es aber auch einen juristischen Aspekt, wenn wegen der mangelhaften Autorisierung gesetzliche Vorgaben wie die DSGVO verletzt werden. Auch Compliance Audits wie z.B. DORA/NIS2 für kritische Infrastruktur sind ohne Berechtigungskonzept nicht zu bestehen.
Selbst Verschlüsseln was möglich ist
Eine Ransomware Attacke sollte nicht die erste Erfahrung eines IBM i Systems mit Verschlüsselung sein. Der Aufwand die komplette Kommunikation des Systems zu verschlüsseln ist überschaubar. Die IBM i hat alle Werkzeuge dazu an Bord und unterstützt den aktuellen TLS 1.3 Standard. Kritische Datenbanken können verschlüsselt werden, um sie auch vor Lesezugriffen zu schützen. Datensicherungen von Benutzerdaten können mit BRMS Hardware unabhängig verschlüsselt werden oder man nutzt die Hardware abhängige Verschlüsselung von Tape Libraries, um komplette Datensicherungen zu verschlüsseln.
Warten ist keine Option
Es ist nicht die Frage ob sondern wann man angegriffen wird. Ein Security Risk Assessment ist der schnellste und günstigste Einstieg, um dies zu verhindern. Darüber hinaus unterstützen wir auch bei der Umsetzung der erforderlichen Maßnahmen, die sich aus dem Assessment ergeben, als auch bei der Auswahl geeigneter Security Software, die die IBM i Security sinnvoll ergänzen jedoch nicht ersetzen kann.
0 Kommentare