Seite wählen

IBM i Security – Prüfung knapp bestanden!

Warum ein Security Assessment der erste Schritt zu mehr Sicherheit ist?

Die Ergebnisse der Security Risk Assessments haben eindrucksvoll offengelegt, wie stark das Thema IBM i Security nach wie vor vernachlässigt wird – und das trotz der zunehmend komplexen Bedrohungslage und der Verfügbarkeit moderner Sicherheitsstandards. In vielen Unternehmen, unabhängig von Branche oder Größe, zeigt sich, dass grundlegende Sicherheitsmaßnahmen entweder nicht konsequent umgesetzt oder über Jahre hinweg ignoriert wurden. Diese Nachlässigkeit birgt erhebliche Risiken für die IT-Infrastruktur und den langfristigen Geschäftserfolg.

Illustration eines Warnhinweises mit der Aufschrift 'System Hacked' in leuchtendem Orange, umgeben von digitalen Elementen wie Codes und grafischen Linien auf einem dunklen Hintergrund

Warum die Ergebnisse wenig überraschend waren

Kein anderes System in der IT Welt konnte über 30 Jahre so problemlos von einer Generation auf die Andere migriert werden. Selbst ein Wechsel der Prozessor Architektur von CISC nach RISC änderte daran nichts. Die Nachlässigkeiten bei der Sicherheit in den Anfangsjahren der AS400 wurden somit bis heute immer wieder „mit migriert“. Heute kommuniziert die IBM i über offene Protokolle mit der gesamten IT Welt und ist damit genauso gefährdet wie jedes andere System. Die Nachlässigkeiten von damals sind die Fahrlässigkeiten von heute. Die Sensibilität für diese Gefahr nimmt zwar immer mehr zu, doch schlägt sich das noch nicht in den IT-Budgets nieder, die heute von Themen wie Cloud und KI geprägt sind. Doch genau diese Themen setzen immer höhere Anforderungen an die Sicherheit der Systeme voraus, was bei der Budgetplanung berücksichtigt werden muss.

Warum ein Security Risk Assessment die Sicherheit verbessern hilft

Was meinen Sie, wie sicher ist Ihre IBM i?
Die Kunden, die uns beauftragt hatten ein Security Risk Assessment durchzuführen, waren zwar davon ausgegangen, dass ihre Sicherheitseinstellungen nicht in allen Punkten den „IBM Best Practice“ Anforderungen genügen würden, aber mit dem dann vorliegenden, extrem schlechten Ergebnis hatte niemand gerechnet. Dabei war zu erkennen, dass bedingt durch die Geschichte der IBM i fast alle Kundensysteme dieselben Probleme hatten – kein vorhandenes Berechtigungskonzept, unzureichende Authentifikation, mangelnde Autorisierung und unverschlüsselte Kommunikation.

Präsentationsfolie mit dem Titel 'Security Risk Assessment'. Enthält eine Liste von Ergebnissen wie: Auswertungen über verschiedene Branchen, Sicherheitsrisiken bei eigens entwickelter Software und Schnittstellen zu externen Partnern. Ein Notenspiegel in Form eines Halbkreisdiagramms zeigt einen Durchschnittswert von 4,5 auf einer Skala von 1 bis 6 an.
Präsentationsfolie mit dem Titel 'Security Risk Assessment'. Enthält eine Liste von Sicherheitskategorien wie Systemwerte, Benutzerprofile, Objektberechtigungen und Netzwerkzugriffe. Rechts ist ein Balkendiagramm zu sehen, das Sicherheitsrisiken in den verschiedenen Kategorien vergleicht (Hohes Risiko, Mittleres Risiko, Kein Risiko).

Authentifikation ist der „Schlüssel“ zum System

Für jeden Angriff auf das System wird ein IBM i Account benötigt, um Schaden anrichten zu können. Nur durch personalisierte Accounts mit verschlüsselten, komplexen Passwörtern (QPWDLVL=3), die regelmäßig geändert werden müssen, kann eine erste Schicht von Sicherheit hergestellt werden. Die Anzahl der Administrator Accounts (Sonderrechte *ALLOBJ, *SECADM) sollte auf ein Minimum reduziert sein und wo möglich mit einer 2FA Lösung abgesichert werden.

Die Realität sieht jedoch anders aus. Ein Mix aus unverschlüsselten Passwörtern oder Standard Passwörtern, die nie geändert werden müssen und beliebig oft falsch eingegeben werden können, gepaart mit Sonderrechten für nahezu jeden Benutzer und unverschlüsselter Kommunikation kommt einer Einladung zu einem Angriff gleich. Diese Probleme sind so akut, dass sich die Frage nach einem Budget von selbst erledigt.

Über den Autor

 

Thomas Gaertner

 

Seit 1990 bewege ich mich im AS400 / IBM i Universum. Nach Jahren in der RPG Entwicklung hat sich mein Fokus verlagert auf Business Continuity Themen wie Backup, Disaster Recovery, Hochverfügbarkeit und Security. Seit 2020 bin ich Teil des Competence Center IBM i bei der SVA System Vertrieb Alexander GmbH.

Autorisierung bedeutet mehr als nur Recht haben

„Jedermann“ hat nicht nur im Theater dramatische Folgen, sondern auch im Rechte Konzept der IBM i, wo er mit *PUBLIC bezeichnet wird. Jeder Benutzer Account, der nicht explizit berechtigt wird, erhält die *PUBLIC Rechte. Da nur bei einem Assessment ein Berechtigungskonzept vorhanden war, hatten in allen anderen Fällen viele Benutzer auch ohne Sonderrechte alle Rechte an Objekten und Daten sowohl in den Datenbanken (*CHANGE) als auch im Integrierten File System (*RWX). Diese unbewusste Macht eines einfachen Benutzer Accounts erübrigt es, dass Angreifer einen Administrator Account übernehmen müssen, um Daten verschlüsseln zu können. Neben dem technischen Aspekt gibt es aber auch einen juristischen Aspekt, wenn wegen der mangelhaften Autorisierung gesetzliche Vorgaben wie die DSGVO verletzt werden. Auch Compliance Audits wie z.B. DORA/NIS2 für kritische Infrastruktur sind ohne Berechtigungskonzept nicht zu bestehen.

Selbst Verschlüsseln was möglich ist

Eine Ransomware Attacke sollte nicht die erste Erfahrung eines IBM i Systems mit Verschlüsselung sein. Der Aufwand die komplette Kommunikation des Systems zu verschlüsseln ist überschaubar. Die IBM i hat alle Werkzeuge dazu an Bord und unterstützt den aktuellen TLS 1.3 Standard. Kritische Datenbanken können verschlüsselt werden, um sie auch vor Lesezugriffen zu schützen. Datensicherungen von Benutzerdaten können mit BRMS Hardware unabhängig verschlüsselt werden oder man nutzt die Hardware abhängige Verschlüsselung von Tape Libraries, um komplette Datensicherungen zu verschlüsseln.

Warten ist keine Option

Es ist nicht die Frage ob sondern wann man angegriffen wird. Ein Security Risk Assessment ist der schnellste und günstigste Einstieg, um dies zu verhindern. Darüber hinaus unterstützen wir auch bei der Umsetzung der erforderlichen Maßnahmen, die sich aus dem Assessment ergeben, als auch bei der Auswahl geeigneter Security Software, die die IBM i Security sinnvoll ergänzen jedoch nicht ersetzen kann.

Das könnte dich auch interessieren:

Die E-Rechnung ist (fast) da

Die E-Rechnung ist (fast) da

E-Rechnung: Jetzt umstellen und vorbereitet seinSind Ihre Eingangsrechnungsprozesse bereit für den Umbruch?Ab dem 01.01.2025 wird die E-Rechnung in Deutschland Pflicht – doch wie setzen Unternehmen die Anforderungen um? Welche Formate wie ZUGFeRD oder XRechnung sind...

mehr lesen
NIS-2-Richtlinie

NIS-2-Richtlinie

NIS-2-RichtlinieAnforderungen, Pflichten und Strafen für den MittelstandUpdate: 31.01.25: Laut Medienberichten vom 28.01.2025 wurde die Umsetzung der NIS2-Richtlinie vorerst gestoppt. Die Gespräche zwischen SPD, Grünen und FDP über strengere Maßnahmen zum Schutz...

mehr lesen
So meistert K&P den IBMi- Personalmangel

So meistert K&P den IBMi- Personalmangel

Unsere Reise mit IBMi: So meisterten wir den PersonalmangelWie wir durch innovative Trainingsprogramme und gezielte Maßnahmen den Personalengpass erfolgreich gemeistert haben.Mit neuen Wegen und Talenten: So meisterten wir den Personalmangel im IBMi-Bereich.Quelle...

mehr lesen

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert