Titelinterview mit Robert Engel aus DV-Dialog 10/2016

DV-Dialog interviewt Robert Engel, Geschäftsführer Razlee Security, zu den entscheidenden Fragen der Sicherheit auf IBM i

Nicht nur Banken oder Behörden werden gehackt. Dass Cyberangriffe eine reale Gefahr für die Industrie sind, zeigt eine aktuelle Umfrage des IT-Verbandes Bitkom. Demnach sind in Deutschland in den vergangenen zwei Jahren 69 Prozent der Industriefirmen Opfer von Datendiebstahl, Wirtschaftsspionage oder Sabotage geworden. Zum Vergleich: Im Durchschnitt der Gesamtwirtschaft sind „nur“ 51 Prozent der Firmen betroffen.
Publik werden nur wenige dieser Angriffe. Manche Angriffe werden gar nicht bemerkt, andere erst Jahre später wie jetzt bei Yahoo. Und auch AS/400-Anwender sind unter den Opfern; ein prominentes Beispiel ist der Büroartikel-Anbieter Staples.
Die Server-Plattform IBM i ist zwar technisch bestens gewappnet gegen Angriffe, Spionage und Manipulationen, doch müssen diese Sicherheitsmechanismen auch adäquat genutzt werden. „Denn wir sprechen nicht mehr von der AS/400 der 80er Jahre, bei der die Datenverarbeitung praktisch noch isoliert auf einer Insel stattfand“, weiß Robert Engel, Geschäftsführer der Raz-Lee Security GmbH. „IBM i ist heute längst geöffnet für die plattformübergreifende Informationsverarbeitung – sowohl mit Clients unterschiedlichster Ausprägung als auch mit den Systemen von Kunden und Lieferanten.“
Diese Öffnung bringt natürlich viele Vorteile, birgt aber auch Sicherheitsrisiken. Derlei Risiken muss der IT-Chef in seinem Sicherheitskonzept bedenken, denn sie sind in der Systemarchitektur von IBM i so nicht berücksichtigt.
Power-i-Systeme sind laut Engel durch die integrierte Sicherheit zwar sehr gut, aber immer noch nicht ausreichend geschützt. So gibt es zwar die Exit-Point-Architektur, doch ohne entsprechende Programme dahinter – seien es eigen entwickelte Lösungen oder Produkte wie etwa iSecurity Firewall – fehlen die notwendigen Mechanismen, um die Sicherheitsmaßnahmen auch effizient umzusetzen. Anderes Beispiel: Die Informationen aus dem Journal QAUDJRN können ohne eine darauf aufbauende Lösung sowohl aussagekräftig als auch sehr esoterisch sein.
„Wird nicht aufgepasst, ist IBM i wie eine Festung mit heruntergelassener Zugbrücke und sperrangelweit geöffneten Toren“, beobachtet Engel immer wieder bedenkliche Szenarien im Unternehmensalltag. Im Interview mit DV-Dialog erläutert der Sicherheitsexperte, wie sich diesen Risiken durch ein konsequentes Sicherheits- und Applikations-Monitoring ein Riegel vorschieben lässt. Dann ist auch im Internetund Cloud-Zeitalter die von der AS/400 gewohnte Sicherheit gewährleistet.

Herr Engel, das Power-System i gilt bekanntermaßen als „Fort Knox“ der Serverwelt – und quasi von Natur aus als sicher. Warum muss der ITChef hier trotzdem auf Datenschutz und Datensicherheit achten?
Robert Engel: Natürlich hat IBM sich sehr gründlich Gedanken um die Sicherheit gemacht, bis sie die AS/400 im Jahr 1988 auf den Markt brachte. Auch wenn diese Sicherheitsmaßnahmen heute noch wirklich sehr gut sind, muss der IT-Chef einige Aspekte beachten, denn die IT-Welt hat sich seit 1988 weiterentwickelt. Zum Beispiel war 1988 das Internet noch nicht einmal erfunden.

Was heißt das für die Sicherheit?
Robert Engel: Wer an AS/400-Daten ran wollte, musste sie vom Bildschirm auslesen. Denn damals gab es einzig und allein die Möglichkeit, die Daten am Bildschirm anzuzeigen, weil das Terminal weder über Intelligenz noch über Speicher verfügte. Heute gibt es eine bunte Vielfalt intelligenter Endgeräte mit viel Speicher und noch mehr Schnittstellen, über die sich AS/400-Daten nicht nur anzeigen, sondern auch verarbeiten, speichern oder weiterleiten lassen.

Konnte man nicht auch die Leitung „anzapfen“?
Robert Engel: Das verhinderte das SNA-Protokoll. Die Probleme begannen damit, dass IBM die AS/400 „geöffnet“ hat und in das Client/Server-Zeitalter eingestiegen ist. Mit den Clients kam das Internet- Protokoll TCP/IP – und damit verschiedene Möglichkeiten, anders als mit dem Terminal über SNA auf die AS/400 zuzugreifen.

Klassisch ist eine dieser Möglichkeiten ein PC mit Terminalemulation. Darüber kann der Benutzer nicht nur wie bisher mit den zentralen Anwendungen arbeiten, sondern auch ganze Dateien oder Bibliotheken per Filetransfer auf seinen PC kopieren. Anfangs funktionierte das nur für Textdateien, später auch mit Excel- Tabellen. Das Filetransfer-Feature wird gern genutzt, um Daten von der AS/400 auf dem PC mit dessen Tools flexibel weiterzuverarbeiten.

Wo ist das Problem?
Robert Engel: Da rächt sich das Berechtigungskonzept, das der Sicherheitsarchitektur das AS/400 zugrunde liegt. Eigentlich ist diese Idee sehr vernünftig, denn danach braucht der Benutzer zwingend eine Berechtigung, um überhaupt auf ein Objekt wie zum Beispiel einen Datensatz zugreifen zu können. Dabei gibt es unterschiedliche Berechtigungen – für das Lesen, Schreiben oder auch Verändern von Objekten.

Der Buchhalter darf beispielsweise auf Konten oder auf Kundenstammdaten zugreifen, weil er ja damit arbeiten muss. Manche Datenbestände darf er erstellen oder verändern, andere „nur“ lesen. Aber schon die Leseerlaubnis reicht heute aus, um einen Datenbestand per Filetransfer auf den PC zu kopieren – denn nichts anderes macht die Terminalemulation in diesem Moment mit den Daten. Da wird nichts verändert, nur gelesen. Und wenn die Daten auf dem PC sind, greift das Sicherheitskonzept der AS/400 nicht mehr. Dann sind die Daten im Prinzip schon weg – so einfach sehen wir das.

Warum?
Robert Engel: Weil so tolle Anwendungen wie Skype, Whatsapp oder Facebook genutzt werden. Sie arbeiten zwar mit dem Standardprotokoll HTTP, tricksen aber Sicherheitsvorkehrungen wie die Firewall aus. Startet ein User Skype am Desktop, sucht der alle Wege, auf denen er mit dem Skype- Server Verbindung aufnehmen kann. Auch das Programm Teamviewer ist solch ein Kandidat.

Wie kann das zu einem Sicherheitsproblem werden?
Robert Engel: Die Firmen, die solche Apps entwickeln, wissen sehr genau, dass der User-PC hinter einer Firewall stehen kann – und wollen diesen PC über ausgeklügelte Mechanismen auf jeden Fall trotzdem mit dem Internet verbinden. Ist das erst einmal gelungen, ist es für den PC-User einfach, Daten aus dem Firmennetz herauszuschaffen.

Dann ist aber doch der Mitarbeiter das Sicherheitsproblem?
Robert Engel: Ja, auch wenn die allermeisten Mitarbeiter überhaupt nicht böswillig sind. Aber es gibt natürlich auch unter den Mitarbeitern Kriminelle, Enttäuschte oder Rachsüchtige, die zum Sicherheitsrisiko werden können. Das ist einfach allzu menschlich.

Es gibt Mitarbeiter, die arbeiten schon zwanzig Jahre im Unternehmen und wissen genau, was sie dürfen und was nicht. Sie wissen aber auch: Wenn ich mir diese oder jene Information beschaffe, habe ich einen Informationsvorsprung vor den Kollegen, den ich ausspielen kann – um einem Kollegen zu schaden oder um mich zu profilieren. Es gibt auch die Bequemen. Sie wissen genau, dass bestimmte Verhaltensweisen verboten sind, praktizieren diese aber dennoch, um sich die Arbeit zu erleichtern.

Industriespionage oder Sabotage durch Mitarbeiter ist die absolute Ausnahme, aber dennoch eine reale Gefahr. Es kommt vor, dass jemand zur Konkurrenz wechselt und Informationen mitnehmen möchte oder dass jemand sich ungerecht behandelt fühlt, weil er entlassen werden soll oder sich bei einer Beförderung übergangen fühlt.

Und die vielzitierten Hacker?
Robert Engel: Heute ist die IT-Infrastruktur in der Regel so gut geschützt, dass es für Spione schwer wird, hinter die Firewalls zu gelangen und den zentralen Server aufzuspüren. Ist der dann auch noch ein System i, haben sie schlechte Karten, zumal die meisten sich damit überhaupt nicht auskennen. Daher halten wir heute den Mitarbeiter für das größte Sicherheitsrisiko, das vernünftig gemanagt werden muss.

Zu beachten ist auch die Gruppe der Externen, etwa Wartungstechniker, Berater oder Programmierer eines IT-Dienstleisters. Man kann nicht für jeden Externen die Hand ins Feuer legen, besonders weil da ja auch öfter mal die Vertreter kommen. Gerade die Externen sind oft sehr großzügig mit Berechtigungen ausgestattet, um ihre Arbeit erledigen zu können, ohne durch ständige Rückfragen das Tagesgeschäft zu stören. Sie haben oft viel mehr Möglichkeiten an Daten heranzukommen als normale Mitarbeiter.

Um das Bild vom „Fort Knox“ aufzugreifen: Nach der Öffnung ist die AS/400 eine Burg mit offenem Tor und heruntergelassener Zugbrücke?
Robert Engel: Genau. Aber der IT-Chef kann durchaus für die nötige Sicherheit sorgen, indem er am Eingang einen „Burgwächter“ platziert, der – falls nötig – das Tor schließt und die Zugbrücke hochzieht. Ein solcher Wächter für das System i ist unsere Firewall. Sie kontrolliert an jedem Ein- und Ausgang des Servers, wer kommt und welche Daten er mitbringt oder mitnehmen möchte. Der Burgwächter lässt sich sozusagen die Ausweispapiere zeigen und entscheidet, wer rein bzw. raus darf – und womit.

Ist es da ein Vorteil, wenn der Wächter die Burg von innen gut kennt? Eigentlich muss er doch nur das Tor bewachen...
Robert Engel: An dieser Stelle ist das Bild vom Burgwächter etwas schief, denn unsere Firewall arbeitet nicht vor, sondern native auf dem System i – also quasi in der Burg. Das ist wichtig, weil die AS/400 ja sehr viele Ein- und Ausgänge hat, die es zu bewachen gilt. Für diese Zugänge – z.B. Filetransfer, ODBC oder Remote Control – hat IBM auch entsprechende Schnittstellen für die Kontrolle definiert.

Hinter diesen sogenannten „Exit Points“ stehen Programme, die immer angesteuert werden, sobald der entsprechende Zugang benutzt wird. Beim Filetransfer mit FTP sind das beispielsweise immer zwei Exit-Points: Der eine kontrolliert die Zugangsberechtigung des Users zum System, der andere Zugriffsberechtigung auf die Daten. Darf der User diese Daten überhaupt hoch- oder runterladen?

Die Programme zu diesen Exit-Points laufen auf dem System i. Eine Netzwerk-Firewall, die zwischen PC und Server steht, nützt da herzlich wenig, denn sie kennt ja nicht einmal den Benutzer. Der meldet sich ja erst dann am System i an, nachdem er die Netzwerk-Firewall passieren durfte.

Was ist der Vorteil der Exit-Points?
Robert Engel: Es handelt sich nicht um aktive, sondern um passive Vorgänge. Der Burgwächter muss also nicht selbst erkennen, dass jemand rein oder raus möchte. Über die Exit-Points wird er automatisch darüber informiert.

Das heißt: Unser Firewall-Programm wird automatisch aufgerufen und erhält außerdem dabei auch alle Parameter, die für eine Kontrolle wichtig sind. Im Falle des FTP-Zugriffs sind das zum Beispiel der Benutzername und die IP-Adresse, von der aus der Zugriff erfolgt. Das ist dann wie eine Passkontrolle an der Grenze. Man kann zum Beispiel checken, ob User und IP-Adresse zusammenpassen. Ein Buchhalter wird ja kaum aus dem Lager zugreifen wollen.

Zuviel Kontrolle ist aber auch kontraproduktiv. Die eigentliche Datenverarbeitung soll doch einfach bleiben...
Robert Engel: Die Daten produktiv und sicher verarbeiten – diesen Spagat zu schaffen ist die wahre Kunst. Wenn man dem Benutzer zum Beispiel die Berechtigung für den Datenzugriff entzieht, weil er an einem Exit-Point auffällt, kann er mit seinen Anwendungen nicht mehr arbeiten. Geschieht das zu Unrecht, ist das fatal – wenn der Benutzer beispielsweise im Verkauf arbeitet und keine Angebote mehr schreiben oder keine Aufträge mehr entgegen nehmen kann.

Wir verwenden deshalb folgenden Kunstgriff: Jeder User darf unbehelligt mit seinen Anwendungen auf dem System i weiterarbeiten. Aber auch nur mit den Anwendungen, die ohnehin sicher auf dem IBM i-Server laufen. All das, was in die große weite Welt geht, kontrollieren wir mit unseren Tools. Dabei ziehen wir entsprechende Konsequenzen aus allen Erkenntnissen, die wir dabei gewinnen.

Und wenn die Exit-Points nicht bewacht werden?
Robert Engel: Dann weiß man nicht, was passiert. Das ist eine trügerische Sicherheit, in der sich manche IT-Leiter wähnen. Von denen höre ich oft: „Bei uns ist bisher noch nichts vorgefallen!“ Ich frage dann gerne ketzerisch: „Woher wollen Sie das denn wissen? Sie überprüfen die Systemzugänge ja gar nicht. Vielleicht klaut gerade einer Ihrer Buchhalter die Kundenstammdaten, um sie zu verkaufen.“ Glauben heißt nicht wissen – und an dieser Stelle ist Unwissen gefährlich.

Wir haben jetzt viel über Identitäten und Berechtigungen gesprochen. Gibt es Möglichkeiten, dass ich als vertrauenswürdiger User auch ohne explizite Berechtigung mit bestimmten Objekten arbeite? So ließe sich das Sicherheitsmanagement doch vereinfachen...
Robert Engel: Diese Möglichkeiten gibt es. Beispielsweise hat IBM das Prinzip der „Adopted Authority“ entwickelt. Das funktioniert so: Der Buchhaltungs-Master erstellt ein Programm und kompiliert es mit der Funktion „Adopted Authority“. Das heißt: Wenn der normale Buchhalter Meier mit diesem Programm arbeitet, erhält er automatisch die Berechtigung des Masters und kann auch mit dessen Dateien arbeiten, obwohl er sich als Meier angemeldet hat und diese Berechtigung eigentlich gar nicht hätte.

Mit diesem Kunstgriff kann jeder User innerhalb des Programms diese Daten nutzen, ansonsten aber nicht. Er kann also nur genau das mit diesen Daten machen, was das Programm des Buchhaltungs-Masters erlaubt. Außerhalb des Programms hat er auch keine Berechtigung, diese Datei auf den PC zu laden.

Was ist der Hauptvorteil der „Adopted Authority“?
Robert Engel: Auf diese Weise lassen sich viele Ausnahmen vermeiden, die sonst dazu führen, dass die Berechtigungen zu breit gestreut werden. Das heißt aber auch: Derjenige, der das Programm schreibt, muss sich natürlich über die Sicherheit Gedanken machen. In der Regel sind das die Softwarehäuser – und die achten leider allzu oft mehr auf die Performance oder den Ressourcenverbrauch als auf die Sicherheit.

Manche Softwarehäuser kennen sich nicht so gut bei Security für IBM i aus, etwa wenn sie plattformunabhängige Java- oder PHP-Anwendungen entwickeln. Aber wir stellen immer wieder fest: Selbst lupenreine RPG-Programme funktionieren nur dann, wenn der Benutzer die All-Objects-Berechtigung hat, also praktisch die unbeschränkte Berechtigung eines Systemadministrators. Das wird gemacht, damit die Anwendung keine Probleme mit den Sicherheitsmechanismen des System i hat. Nur: Damit wird die Anwendung selbst zum Sicherheitsproblem. Da sehe ich dringenden Handlungsbedarf.

Kann man dieses Problem der Anwendung nachträglich beheben?
Robert Engel: Wenn komplexe Anwendungen wie eine Warenwirtschaft oder eine Buchhaltung von vorneherein so schlecht konzipiert sind, macht das dem Softwarehaus sehr viel Arbeit. Deswegen weigern sich die meisten und sagen: Das geht nicht. Oder sie wollen sich das teuer bezahlen lassen, obwohl man von Anwendungen die notwendige Sicherheit mit Fug und Recht erwarten darf.

Was ist aus Ihrer Sicht gerade im Mittelstand entscheidend dafür, dass die zentralen Daten und Anwendungen gut geschützt sind?
Robert Engel: Es muss nicht nur gut kontrolliert werden, sondern auch entsprechend protokolliert. Und zwar vollautomatisch. Wer hat was wann geändert? Durfte er das auch? Die Journale, etwa bei der Datenbanküberwachung, müssen in Echtzeit analysiert werden. Gibt es einen Alarm, werden automatisch entsprechende Sicherheitsmaßnahmen eingeleitet und die zuständigen Mitarbeiter benachrichtigt.

Das ist wichtig. Denn wenn beispielsweise die Firewall einen unerlaubten Filetransfer blockt, ist es höchstwahrscheinlich, dass andere Versuche gestartet werden, um an die Daten heranzukommen. Dann wird etwa mit ODBC experimentiert. Oder es wird versucht Kopien der Daten anzulegen, die andere Zugriffsrechte haben. Hier gilt es wachsam zu sein und schnell zu reagieren.

Bei all dem muss die Security schlank bleiben. Alle Daten zu verschlüsseln ist keine Lösung, weil dann die Performance leidet; ausgewählte, besonders kritische Daten sollten allerdings durchaus verschlüsselt werden.

Außerdem ist meiner Meinung nach die Anonymisierung bzw. Pseudonymisierung personenbezogener Daten sehr sinnvoll. Auch den Umfang der Log-Dateien und Journale muss man im Blick behalten.

Was heißt schlank?
Robert Engel: Der manuelle Aufwand darf nicht ausufern. Wir haben unter unseren Kunden Mittelständler mit drei Mitarbeitern in der IT-Abteilung, von denen sich einer pro Woche eine Stunde lang um die Sicherheit kümmert. Und dort ist die IT bestens geschützt.

Lassen Sie es mich so sagen: Man braucht einen Sicherheitsmechanismus, bei dem nicht an allen Toren ein Burgwächter sitzt und jeden Passanten manuell prüft, ob er kommen oder gehen darf – und was er mitbringt oder mitnimmt.

Muss der Burgwächter dann auch noch die Zugbrücke herunterlassen und das Tor öffnen, ist nicht nur der Personalaufwand im Bereich Sicherheit viel zu hoch. Das dauert dann einfach viel zu lange und wird zumindest die Bequemen auf dumme Gedanken bringen.

Herr Engel, vielen Dank für das Interview!