Bundesamt für Sicherheit in der Informationstechnik

G 4.10 Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen

Im Gegensatz zu Stand-alone-Systemen, bei denen im Wesentlichen der Login-Prozess für die Zugangskontrolle verantwortlich ist und die somit nur durch schlechte oder fehlende Passwörter korrumpiert werden können, gibt es auf Netzrechnern sehr viele komplexe Prozesse, die die verschiedensten Arten von Zugängen erlauben. So ermöglicht zum Beispiel unter Unix der sendmail-Daemon das Einbringen von Texten (E-Mails) in den Netzrechner, der FTP-Daemon einen, wenn auch etwas eingeschränkten Login, der unter Umständen (anonymous FTP) nicht einmal durch ein Passwort geschützt ist, der TELNET-Daemon einen kompletten Login.

Moderne Server-Systeme vermeiden aus Sicherheitsgründen die Übertragung von Klartext-Passwörtern. Dieser Schutzmechanismus wird jedoch durch den Einsatz von Diensten wie FTP oder Telnet unterlaufen, da hier wieder Klartext-Passwörter Verwendung finden.

Abgesehen davon, dass alle diese Prozesse durch eine falsche oder fehlerhafte Konfiguration eine Sicherheitslücke darstellen können, ist aufgrund ihres Umfangs natürlich auch die Wahrscheinlichkeit, dass in einem dieser Prozesse ein sicherheitsrelevanter Programmierfehler ist, wesentlich größer.

Es gibt zahlreiche verschiedene Möglichkeiten, ein z/OS -System an interne und öffentliche Netze anzubinden. Es sind Zugriffe über SNA und TCP / IP ,
zum Beispiel FTP , Telnet oder Browser, möglich. Viele der von Unix-Installationen bekannten Netzfunktionen können unter den Unix System Services von z/OS verwendet werden. Diese Vielfalt der Anschlussmöglichkeiten macht eine sichere Netzkonfiguration der z/OS -Systeme sehr komplex.

Auch Cloud Services bieten häufig eine Vielzahl unterschiedlicher Zugriffswege (beispielsweise Zugriff über einen Browser oder über dedizierte Tools) und unterschiedlicher Authentisierungsmöglichkeiten (zum Beispiel Single Login oder Federation Services). Die Zugriffswege und Funktionen sind für den Anwender häufig nicht transparent und bergen die Gefahr, unentdeckte Schwachstellen zu enthalten.

Beispiel:

  • Einem externen Angreifer gelang es, die Benutzerkennung und das Passwort für eine hoch autorisierte Anwendung unter z/OS zu ermitteln. Obwohl die Kennung über kein TSO-Segment verfügte, konnte der Angreifer einen Batch-Job über FTP direkt in das JES2 einbringen und ausführen lassen. Da der Job-Output ebenfalls über FTP ausgelesen werden konnte, war dadurch der Zugriff auf vertrauliche Daten möglich.
  • Der Client, der für die Nutzung eines Cloud Services benötigt wird, verwendet ein Authentisierungstoken, das vom Cloud Service für unterschiedliche Clients bereitgestellt wird. Eine neue Anwendung erhält aufgrund eines Fehlers in der Konfiguration die Berechtigung, dieses Token ebenfalls zu nutzen. Somit kann mithilfe der Anwendung unberechtigt auf den Cloud Service zugegriffen werden.

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK