G 4.10 Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen

Im Gegensatz zu Stand-alone-Systemen, bei denen im Wesentlichen der Login-Prozess für die Zugangskontrolle verantwortlich ist und die somit nur durch schlechte oder fehlende Passwörter korrumpiert werden können, gibt es auf Netzrechnern sehr viele komplexe Prozesse, die die verschiedensten Arten von Zugängen erlauben. So ermöglicht zum Beispiel unter Unix der sendmail-Daemon das Einbringen von Texten (E-Mails) in den Netzrechner, der FTP-Daemon einen, wenn auch etwas eingeschränkten Login, der unter Umständen (anonymous FTP) nicht einmal durch ein Passwort geschützt ist, der TELNET-Daemon einen kompletten Login.

Server-Systeme wie Windows NT oder Novell NetWare vermeiden aus Sicherheitsgründen die Übertragung von Klartext-Passwörtern. Dieser Schutzmechanismus wird jedoch durch den Einsatz von Diensten wie FTP oder Telnet unterlaufen, da hier wieder Klartext-Passwörter Verwendung finden.

Abgesehen davon, dass alle diese Prozesse durch eine falsche oder fehlerhafte Konfiguration eine Sicherheitslücke darstellen können, ist aufgrund ihres Umfangs natürlich auch die Wahrscheinlichkeit, dass in einem dieser Prozesse ein sicherheitsrelevanter Programmierfehler ist, wesentlich größer.

Es gibt zahlreiche verschiedene Möglichkeiten, ein z/OS-System an interne und öffentliche Netze anzubinden. Es sind Zugriffe über SNA und TCP/IP,
zum Beispiel FTP, Telnet oder Browser, möglich. Viele der von Unix-Installationen bekannten Netzfunktionen können unter den Unix System Services von z/OS verwendet werden. Diese Vielfalt der Anschlussmöglichkeiten macht eine sichere Netzkonfiguration der z/OS-Systeme sehr komplex.

Auch Cloud Services bieten häufig eine Vielzahl unterschiedlicher Zugriffswege (beispielsweise Zugriff über einen Browser oder über dedizierte Tools) und unterschiedlicher Authentisierungsmöglichkeiten (zum Beispiel Single Login oder Federation Services). Die Zugriffswege und Funktionen sind für den Anwender häufig nicht transparent und bergen die Gefahr, unentdeckte Schwachstellen zu enthalten.

Beispiel: