MAGAZIN
MAGAZIN
MAGAZIN
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Technik & Integration<br />
Sicherheitsrisiken ausschalten<br />
Die Top Ten der Sicherheit<br />
Ein Hacker muss über keine besonderen<br />
Techniken verfügen, um in ein System<br />
einzudringen – er muss nur die<br />
vorhandenen Schwachstellen ausnutzen.<br />
Systemadministratoren der iSeries und AS/400<br />
sollten sich mit solchen Gefahren auseinander<br />
setzen. Wenn es ihnen gelingt, die häufigsten<br />
Sicherheitsrisiken zu eliminieren, sind<br />
Einbrüche ins System kaum mehr möglich.<br />
Im Folgenden sind Empfehlungen<br />
zusammengestellt, wie sich die Systeme<br />
effizient gegen Angreifer schützen lassen.<br />
1. Security Policy definieren<br />
Viele Unternehmen verfügen über keine<br />
eigene Security Policy, keine klar definierte<br />
Sicherheitsstrategie. Wie für den<br />
Bau eines Gebäudes immer ein Plan notwendig<br />
ist, bedarf es zur Sicherung der<br />
Computersysteme einer sinnvollen Strategie,<br />
die den menschlichen Faktor genügend<br />
berücksichtigt. Mitarbeiter<br />
müssen für Sicherheitsfragen sensibilisiert<br />
werden: Wenn sie beispielsweise<br />
fahrlässig mit ihrem Passwort oder anderen<br />
wichtigen Informationen umgehen,<br />
haben es Hacker leicht.<br />
Die Entwicklung einer Security Policy ist<br />
ein langwieriger, komplexer Prozess.<br />
Weil es aufwändig ist, die Policy ständig<br />
zu aktualisieren und im Unternehmen<br />
bekannt zu machen, wird diese Aufgabe<br />
häufig vernachlässigt. Hier schaffen<br />
Softwarelösungen Abhilfe, die auf vorhandenes<br />
Wissen und Erfahrungen zurückgreifen,<br />
beispielsweise das VigilEnt<br />
Policy Center (VPC) von PentaSafe, das<br />
solche Policies automatisch erstellt und<br />
verwaltet. Es befähigt den Security Officer,<br />
innerhalb von 15 Minuten einen individuell<br />
auf das Unternehmen abgestimmten<br />
Policy-Entwurf zu entwickeln.<br />
Zahlreiche Funktionen gewährleisten,<br />
dass die Policy im Unternehmen beachtet<br />
wird.<br />
2. Durch PCs verursachte<br />
Sicherheitslücken schließen<br />
Immer mehr Fixed-Function-Desktops<br />
werden durch PCs ersetzt. Da der PC-<br />
Benutzer in viel höherem Maß mit dem<br />
System interagieren kann, entstehen neue<br />
Sicherheitslücken. So können sich erfahrene<br />
User beispielsweise Zugang zur<br />
Kommandozeile und zu sensiblen iSeriesund<br />
AS/400-Dateien verschaffen.<br />
Spezielle Exit-Programme überwachen<br />
alle Informationen, die auf die iSeries<br />
und AS/400 übertragen und von ihnen<br />
exportiert werden. Da es jedoch schwierig<br />
ist, solche Programme zu schreiben,<br />
empfiehlt es sich, ein „Remote Request<br />
Management“-Programm zu installieren.<br />
Die Systemadministratoren können<br />
damit festlegen, welche User-Abfragen<br />
zu akzeptieren und welche abzulehnen<br />
sind. Jederzeit besteht die Möglichkeit,<br />
die Kriterien zu ändern.<br />
3. Hacker-resistente Passwörter<br />
Wenn ein neues Benutzerprofil angelegt<br />
wird, ist das Passwort automatisch identisch<br />
mit dem Benutzerprofil. Häufig<br />
bleibt dieses Passwort zunächst gültig,<br />
in manchen Fällen sogar über die Frist<br />
von 60 oder 90 Tagen hinaus. Leichter<br />
kann Hackern das Eindringen in die iSeries<br />
und AS/400 nicht gemacht werden.<br />
Oft sind Passwörter leicht zu knacken.<br />
Deshalb ist es wichtig, dass Unternehmen<br />
Kriterien für Passwörter erstellen:<br />
28 www.midrangemagazin.de Januar 2002<br />
Sie sollten beispielsweise aus sechs oder<br />
mehr Zeichen bestehen, mindestens eine<br />
Zahl enthalten und spätestens alle 60<br />
Tage verfallen. Mit Hilfe automatischer<br />
Security Audits können Unternehmen<br />
die Passwörter ihrer Mitarbeiter nach<br />
den aufgestellten Kriterien überprüfen<br />
und sie auffordern, einen neuen Code zu<br />
wählen. So wird verhindert, dass Hacker<br />
aufgrund von „schwachen“ Passwörtern<br />
in das System eindringen können.<br />
4. Zugangsrechte und<br />
-beschränkungen<br />
für die Kommandozeile<br />
Der Großteil der Benutzer braucht keinen<br />
Zugang zur Kommandozeile. Deshalb<br />
ist es wichtig, Beschränkungen zu<br />
definieren und exakt festzulegen, wer<br />
über besondere Rechte verfügen soll. In<br />
Security Audits werden Reports erstellt,<br />
die alle User mit Zugang zur Kommandozeile<br />
auflisten. Diese Rechte lassen<br />
sich zeitlich eingrenzen. Durch die Reports<br />
behält der Security Officer stets<br />
den Überblick und kann bei Veränderungen<br />
angemessen reagieren.<br />
5. Zugangsbeschränkungen<br />
für den Operations Navigator<br />
Der Operations Navigator ist die von<br />
IBM bereitgestellte Benutzeroberfläche<br />
für OS/400-Funktionen. Wenn der Benutzer<br />
Zugang zum Operations Navigator<br />
bekommt, wird er in die Lage versetzt,<br />
sensible Produktionsdaten weiterzugeben<br />
oder zu löschen. Häufig wird<br />
der Operations Navigator nicht ausreichend<br />
geschützt. Ein erfahrener User<br />
kann sich Zugang verschaffen, zumal<br />
sich die integrierten Kontrollen des<br />
OS/400 leicht umgehen lassen. Mit dem<br />
Applications Administration Control<br />
von IBM verfügt der Security Officer<br />
über ein Werkzeug, um Optionen für