Der zukunftssichere Mainframe

Berechtigungsmanagement
im digitalen Zeitalter

BERECHTIGUNGSMANAGEMENT MIT RACF:
HERAUSFORDERUNGEN & RISIKEN

Laden Sie hier unser kostenloses White Paper herunter.

RACF im Alltag

In rund 80 Prozent aller globalen z/OS-Installationen kommt RACF (Ressource Access Control Facility) zum Einsatz. Dabei handelt es sich um ein Sicherheitssystem von IBM für die Verwaltung der Berechtigungen im Mainframe-Umfeld. RACF sorgt dafür, dass nur diejenigen Nutzer Zugriff auf eine angefragte Ressource erhalten, die dazu autorisiert sind. Versucht ein nicht autorisierter Benutzer auf eine geschützte Ressource – das können Daten, Applikationen oder Hardware sein – zuzugreifen, so erfasst und meldet das System diesen Zugriffsversuch.

RACF erfüllt damit folgende Grundfunktionen:

Identifikation und Verifikation von Benutzern mittels Benutzerschlüssel und Passwortprüfung (Authentifizierung)
Schutz von Ressourcen durch Verwaltung von Zugriffsrechten (Autorisierung)
Logging der Zugriffe auf geschützte Ressourcen (Auditing).

Aus diesen Funktionen leiten sich für die IT-Abteilung verschiedene Tätigkeiten ab.

Pflege der Berechtigungsstrukturen

Pflege der Berechtigungsstrukturen Zentrale Aufgabe der IT-Abteilung ist es, dafür zu sorgen, dass jeder Nutzer genau die Berechtigungen erhält, die er benötigt. Dafür muss sie unter anderem neue Benutzer anlegen, Kennworte zurücksetzen oder Benutzern weitere Rechte zuordnen – relativ einfache Administrationsaufgaben, die sich allerdings mit RACF oft als sehr aufwändig gestalten. Dafür gibt es zwei Gründe: Zum einen sind die Berechtigungsstrukturen bei Unternehmen mit vielen Mitarbeitern und einer hohe Zahl an eingesetzten Anwendungen meist sehr komplex. Zum anderen ist die Bedienung von RACF nicht gerade userfreundlich: Das IBM-System bietet von Haus aus keine grafische Benutzeroberfläche.

Vor besonders großen Herausforderungen stehen IT-Administratoren immer dann, wenn umfangreiche Änderungen nötig sind. Das ist zum Beispiel dann der Fall, wenn Rechensysteme zusammengelegt werden oder das Rechenzentrum an einen Dienstleister ausgelagert wird und in diesem Zusammenhang die Berechtigungsstrukturen migriert werden müssen.

Die Sicherheitsbedrohungen wachsen!

Neben der Pflege der Berechtigungsstrukturen gehört auch das Monitoring zu den Kernaufgaben der RACF-Administratoren. Sie müssen die Nutzerzugriffe auf die Ressourcen kontinuierlich und idealerweise in Echtzeit überwachen, damit auf Sicherheitsverstöße umgehend reagiert werden kann. Denn die Bedrohungen durch Datenmissbrauch und -diebstahl wachsen kontinuierlich: Mehr als die Hälfte aller Unternehmen in Deutschland (53 Prozent) ist in den vergangenen zwei Jahren Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. Dadurch ist ein Schaden von rund 55 Milliarden Euro entstanden (Quelle: Bitkom Research: Wirtschaftsschutz in der digitalen Welt, Juli, 2017). Im Finanzsektor waren in einem Zeitraum von 12 Monaten sogar 93 Prozent aller Institute betroffen.

Täter sind in den meisten Fällen häufig aktuelle oder ehemalige Mitarbeiter des Unternehmens (62 Prozent, Quelle: siehe oben). Diese Angriffe verursachen zudem wesentlich größere Schäden als externe Attacken. Ein zuverlässiges Monitoring, das sicherheitsrelevante Events erfasst und eskaliert, ist daher für alle Unternehmen unverzichtbar. RACF allein bietet diese Möglichkeit nicht.

53 % aller Unternehmen sind in den letzten 2 Jahren Opfer von Spionage oder Datendiebstahl geworden.
Bis zu 60 % aller Cyberattacken gehen auf Identitätsmissbrauch zurück.
Attacken durch Mitarbeiter verursachen größere Schäden (fast 200 % je Schadensfall) als externe Angriffe.
80 % der Datendiebstähle erfolgten innerhalb eines Tages, aber nur 12 % wurden am gleichen Tag entdeckt.

Abb.: Bei Datendiebstahl, Spionage oder Sabotage sind meist die eigenen Mitarbeiter involviert. Für Unternehmen ist daher ein Echtzeit-Monitoring der Zugriffe unverzichtbar, um solche Fälle schnell zu erkennen.

Compliance im RACF

Eine immer größere Rolle im Alltag der RACF-Administratoren nimmt das Reporting ein. Denn Unternehmen müssen regelmäßig Sicherheits-Audits durchführen, um die Compliance mit gesetzlichen Vorschriften nachzuweisen. Besonders für Banken und Versicherungsdienstleister gelten hohe Anforderungen. Viele Unternehmen führen bereits im Vorfeld der verpflichtenden Zertifizierungen interne Audits durch, um eventuelle Schwachstellen aufzudecken und rechtzeitig Maßnahmen zur Erhöhung der Sicherheit ergreifen zu können.

Unabhängig davon, ob es sich um ein vorbereitendes Audit oder eine externe Prüfung handelt: Das erforderliche Reporting gestaltet sich im z/OS-Umfeld aufgrund des hohen Datenvolumens und der meist komplizierten RACF-, SMF- und Betriebssystemeinstellungen als sehr aufwändig. Durch den Einsatz plattformübergreifender Reporting-Tools kann der Aufwand nach Erfahrungen von Beta Systems um 50-80 Prozent reduziert werden.

Laden Sie unser White Paper herunter!

Dieses White Paper wendet sich an Leiter von Rechenzentren, in denen RACF-Systeme im Einsatz sind. Sie erfahren hier, welche Herausforderungen bei der RACF-Administration im Alltag zu bewältigen sind und wo mögliche Sicherheitsrisiken liegen.

Das White Paper zeigt ihnen, wo sie anssetzen können, um das Berechtigungsmanagement zu optimieren und die Sicherheit im Unternehmen zu erhöhen.

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-advertisement	1 year	This cookie is set by GDPR Cookie Consent plugin. The purpose of this cookie is to check whether or not the user has given their consent to the usage of cookies under the category 'Advertisement'.
cookielawinfo-checkbox-analytics	1 year	This cookie is set by GDPR Cookie Consent plugin. The purpose of this cookie is to check whether or not the user has given the consent to the usage of cookies under the category 'Analytics'.
cookielawinfo-checkbox-necessary	1 year	This cookie is set by GDPR Cookie Consent plugin. The purpose of this cookie is to check whether or not the user has given the consent to the usage of cookies under the category 'Necessary'.
cookielawinfo-checkbox-non-necessary-en	1 year
viewed_cookie_policy	1 hour	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Typ	Dauer	Beschreibung
IDE	1	2 years	Wird von Google DoubleClick verwendet und speichert Informationen darüber, wie der Nutzer die Website und andere Werbung verwendet, bevor er die Website besucht. Dies wird verwendet, um Nutzern Anzeigen zu präsentieren, die für sie entsprechend dem Nutzerprofil relevant sind.
mautic_device_id	0	1 year
mautic_referer_id	0	30 minutes
mautic_session_id	0	1 year
mtc_id	0
mtc_sid	0
VISITOR_INFO1_LIVE	1	5 months	Dieser Cookie wird von Youtube gesetzt. Wird verwendet, um die Informationen der eingebetteten YouTube-Videos auf einer Website zu verfolgen.
YSC	1		Diese Cookies werden von Youtube gesetzt und dienen zum Verfolgen der Anzahl der Views eingebetteter Videos.
YTC	0	10 minutes

Cookie	Dauer	Beschreibung
_ga	2 years	Dieses Cookie wird von Google Analytics gesetzt. Das Cookie wird verwendet, um Besucher-, Sitzungs- und Kampagnendaten zu berechnen und die Nutzung der Website für den Analysebericht der Website zu verfolgen. Die Cookies speichern Informationen anonym und weisen eine zufällig generierte Nummer zu, um eindeutige Besucher zu identifizieren.
_gat	1 minute	Diese Cookies werden von Google Universal Analytics installiert, um die Anforderungsrate zu drosseln und die Datenerfassung auf Websites mit hohem Datenverkehr zu begrenzen.
_gat_gtag_UA_48984882_3	1 minute	Google verwendet dieses Cookie zur Unterscheidung der Nutzer.
_gid	1 day	Dieses Cookie wird von Google Analytics installiert. Das Cookie wird verwendet, um Informationen darüber zu speichern, wie Besucher eine Website nutzen, und hilft bei der Erstellung eines Analyseberichts über die Funktionsweise der Website. Die gesammelten Daten, einschließlich der Anzahl der Besucher, der Quelle, aus der sie stammen, und der Seiten, die in anonymer Form angezeigt werden.
GPS	30 minutes	Dieses Cookie wird von Youtube gesetzt und registriert eine eindeutige ID zum Verfolgen von Benutzern basierend auf ihrem geografischen Standort.

IHR ANSPRECHPARTNER

+49 (0) 30 726 118-640