In  mehr als 80 Prozent aller globalen z/OS-Installationen kommt RACF (Resource Access Control Facility) zum Einsatz, das Tool der IBM für Identifikation und Verifikaton der Benutzer, Zugriffsrechte-Verwaltung und Logging der Zugriffe auf geschützte Ressourcen. Und weil IBM-Mainframe-Systeme umso wahrscheinlicher genutzt werden, desto größer ein Unternehmen ist, lässt sich ohne Untertreibung behaupten: RACF schützt die Sicherheit der komplexesten IT-Landschaften weltweit. 

Seit 1976 liefert IBM das Sicherheitstool aus und entwickelt es seitdem ständig weiter. Doch gleicht dies der Fabel vom Hasen und dem Igel, denn die Bedrohungen der IT-Sicherheit scheinen den Schutzvorkehrungen im Unternehmen immer einen Schritt voraus zu sein – durch steigende kriminelle Angriffe, organisatorische Mängel, technische Unfälle oder auch höhere Gewalt. Mit den IT-Risiken und Schwachstellen ändern sich gleichzeitig auch die regulatorischen Anforderungen.

Deshalb ist es nötig, RACF permanent einer Überprüfung zu unterziehen und Schwachstellen aufzudecken. Ist das System noch in der Lage, Risiken im IT-Betrieb rechtzeitig zu erkennen? Dass dies nicht der Fall ist, kann an grundsätzlichen Konstruktions- und Implementierungsfehlern liegen. Oft schleicht sich auch im laufenden Betrieb menschliches Versagen ein. Denn alte RACF-Hasen findet man immer seltener; in den IT-Abteilungen sitzen heute zunehmend junge, Windows- und Mac-gewöhnte User. Für sie hat Beta Systems die Software Beta 88 Discovery entwickelt. Über deren zeitgemäßes User Interface lässt sich RACF deutlich besser administrieren als mit dessen eigenen Bordmitteln.

Das RACF-Tool beim Audit ist nebensächlich

Gerne verfallen CIOs dem Irrglauben, mit der Installation einer solchen Zusatzsoftware beseitigten sich die Schwachstellen von RACF schon wie von selbst. Vielmehr ist es aber so: Die Überprüfung eines RACF-Systems ist zu 60 bis 70 Prozent eine Beratungsleistung, innerhalb derer Menschen beurteilen müssen, wo die neuralgischen Schwachstellen der Software liegen. Mit welcher Technologie das dabei gewonnene Wissen festgehalten und ausgewertet wird, ist im Grunde sekundär und kann über Beta 88 ebenso geregelt wie mit Excel oder Papierlisten – wobei eine passende Technik wie Beta 88 natürlich deutlich schnellere und effizientere Audits ermöglicht. Dieser Verhältnismäßigkeit zwischen Beratung und Technologie unterliegt auch das von Beta Systems entwickelte RACF Audit.

Warum ist ein RACF-Audit sinnvoll?

Viele RACF-Kunden treten an Beta Systems mit dem Auftrag heran, ein solches Audit durchzuführen. Denn dadurch lassen sich mögliche Schwachstellen schon im Vorfeld einer regulären Prüfung aufdecken und beseitigen. Externe Audits sind vor allem in regulatorisch geprägten Branchen wie dem Finanzdienstleistungssektor Pflicht. Zweimal jährlich müssen zum Beispiel Banken ihre IT-Systeme von einem externen BAFIN-Prüfer auf Sicherheit hin durchleuchten lassen, jeweils mit unterschiedlichen Schwerpunkten. Mal ist es das Betriebssystem, mal das Netzwerk, und immer wieder eben auch RACF.

Nicht immer sind Sicherheitsverstoße gleich von krimineller Energie oder Täuschungsabsicht verursacht

Ein eklatanter Fehler im Sicherheitssystem liegt zum Beispiel vor, wenn eine eigentlich geschützte Applikation durch Definieren falscher Berechtigungen von nicht autorisierten Personen(gruppen) editiert werden kann. Oder wenn das Kommando zum Herunterfahren von RACF nicht geschützt ist und jeder das Sicherheitssystem einfach zu deaktivieren vermag. Es ist keineswegs immer kriminelle Energie oder Täuschungsabsicht, die zu solchen Fällen führen kann. Vielmehr liegt es an den Hunderten von Stellungsparametern, die sich unter den RACF-Kommandos aufgliedern. Sie zu beherrschen erfordert ein tiefes und langjähriges  Fachwissen.

Was beinhaltet ein RACF-Audit von Beta Systems?

Ein RACF-IT-Sicherheits-Audit deckt im Rahmen seiner Risiken- oder Schwachstellenanalyse daher alle denkbaren Fehlerquellen ab und ist generell als Beratungsprojekt angelegt.

• Beta Systems hat dafür in den letzten 15 Jahren ein Standardverfahren, basierend auf einem praxisgehärteten RACF-Prüfleitfaden, entwickelt.
• Der Leitfaden orientiert sich am IT-Grundschutzkatalog des BSI sowie der ISO 27000.
• Erster Teil des RACF-Audits ist konfigurativer, statischer Natur und widmet sich den globalen RACF-Sicherheitseinstellungen. Entlang von 131 Prüfpunkten fragt der Auditor alle Funktionen ab, bei denen Daten analysiert, dokumentiert und bewertet werden.
• Der zweite Teil des Best Pratice Ansatzes von Beta Systems ist das Event-Auditing, hinter dem sich zwölf Prüfpunkte verbergen. Hier werden Ereignisse der Vergangenheit durchgegangen, z.B. misslungene Anmeldeversuche am Mainframe, aus denen der Auditor Spuren möglicher Angriffe verfolgen kann.

Schnelle Schwachstellenanalyse mit dem RACF-Audit 

Das RACF-Audit verläuft grundsätzlich nach festgelegten Phasen. Nach einem Erstgespräch erstellt der Auditor eine Bedarfsanalyse und legt fest, auf welche Prüfpunkte im Leitfaden besonders Wert gelegt werden soll. Dann wird die Technologie installiert, hier also Beta 88 Discovery. Zu den einzelnen Prüfpunkten gibt es Batchjobs, die in der RACF-Umgebung beim Kunden installiert und ausgeführt werden und die Datensammlung übernehmen. Jeder Job generiert eine „Result“-Datei; sie gibt an, was aus Sicht des Prüfpunktes an Daten zu sammeln ist. Diese Dateien wertet der Auditor Prüfpunkt für Prüfpunkt aus – die Schwachstellenanalyse. Mit Beta 88 kommt man bei dieser Auswertung sehr schnell und damit kostengünstig voran. Der Datenauswertung schließt sich eine Beweissicherung an. Liegt nämlich ein Verstoß gegen einen Prüfpunkt vor, muss dieser nicht nur dokumentiert, sondern auch dezidiert bewiesen werden.

Neben der Beweissicherung gibt es zwei Ausprägungen von Reports:

• einen Management Summary Report, der Prüfpunkte mittels Ampelsystem übersichtlich darstellt, sowie
• einen Detail Report mit auf jeden Prüfpunkt abgestimmten Maßnahmen. In einem sich anschließenden zweiten Vor-Ort-Termin beschließt der Auditor gemeinsam mit dem Kunden im Anschluss die Reihenfolge der Schwachstellenbeseitigung.

Ein Muss sind RACF-Audits für alle Mainframe- und RACF-Nutzer, die einen hohen Schutzbedarf und ggf. bereits eine Attacke hinter sich haben.

Zum Sicherheitsaspekt gesellt sich der organisatorische: Im Rahmen eines solchen Sicherheits-Audits werden naturgemäß die organisatorischen Prozesse im Unternehmen verifiziert und es klärt sich, ob die Organisationsstruktur sinnvoll aufgebaut ist. In den meisten Fällen ziehen die Ergebnisse des RACF-Audits organisatorische Verbesserungsmaßnahmen nach sich und beeinflussen so langfristig die Unternehmensprozesse.

Audit Kosten um bis zu 50% reduzieren

Durchgeführt werden Audits dieser Art üblicherweise entweder von originären Wirtschaftsprüfungsgesellschaften oder IT-Unternehmen. Prüfungen sind das Kerngeschäft der ersten Kategorie. Die WP-Gesellschaften arbeiten mit Best-Practice-Ansätzen und decken eine große Bandbreite an Prüfungen ab.

Oft wird dabei jedoch manuell gearbeitet und der Prüfer führt von Abteilung zu Abteilung Interviews durch und hakt Checklisten ab. So gestalten sich Audits nicht selten als recht zeitaufwändig. IT-Anbieter können durch entsprechende Softwareunterstützung hier oft mit kürzeren Projektlaufzeiten und damit niedrigeren Kosten (bis zum 50 Prozent) aufwarten. Sie sind nicht ganz so breit aufgestellt, verfügen aber im Einzelfall über mehr technisches Detailwissen.

Audits werden in Zukunft ansteigen

Die Notwendigkeit regelmäßiger Sicherheitskontrollen (nicht nur) des RACF-Systems wird in der Zukunft weiter steigen. Grund: Durch Firmenfusionen werden auch die IT-Installationen immer größer und damit unübersichtlicher, was das Risiko von Angriffen steigen lässt. Parallel dazu werden die Unternehmen mit immer weiteren regulatorischen Anforderungen konfrontiert, um den bisherigen Schutz zu erhalten. Das Thema IT Sicherheits-Audits ist damit kein Hype-Thema der Stunde. Relevant sind Audits seit vielen Jahren, ihre Notwendigkeit steigt jedoch an.