Bundesamt für Sicherheit in der Informationstechnik

G 5.119 Benutzung fremder Kennungen unter z/OS-Systemen

Die Surrogat-Berechtigung des z/OS-Sicherheitssystems RACF ermöglicht es einem Benutzer A, einen Batch-Job unter der Kennung eines anderen Benutzers B laufen zu lassen, ohne dass Benutzer A das Passwort von Benutzer B kennt. Alle Sicherheitsprüfungen erfolgen für die Kennung von Anwender B und die Protokoll- und SMF-Daten notieren Anwender B als Ausführenden der Befehle.

Es besteht die Gefahr, dass die Berechtigung Surrogat missbräuchlich verwendet wird, wenn nicht die notwendigen Sicherheitsvorkehrungen bei der Vergabe und bei der Überwachung eingehalten werden:

  • Benutzer können u. U. unbefugt Aktionen ausführen, zu denen sie mit ihrer eigenen Kennung nicht berechtigt sind.
  • Benutzer können u. U. vortäuschen, dass ein anderer Benutzer für eigene (unerlaubte) Aktionen verantwortlich sei.

Stand: Stand 2005