Bundesamt für Sicherheit in der Informationstechnik

M 4.213 Absichern des Login-Vorgangs unter z/OS

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Der Zugang zu z/OS-Systemen - insbesondere der Login-Vorgang - muss geschützt werden. Hierzu sind folgende Empfehlungen zu beachten:

  • Alle nicht für den Zugang benötigten Dienste und Ports sollten gesperrt sein. Es sollte überlegt werden, den Zugriff auf die benötigten Dienste und Ports durch RACF-Profile auf die autorisierten Zugriffsmöglichkeiten zu beschränken.
  • Der Umgang mit Passwörtern sollte wie in Maßnahme M 2.11 Regelung des Passwortgebrauchs beschrieben erfolgen. Beim Zugang aus öffentlichen Netzen (Internet) zu z/OS-Systemen muss verhindert werden, dass alle Kennungen durch Falscheingabe von Passwörtern gesperrt werden. Dies kann zur Zeit nur durch den Einsatz von digitalen Zertifikaten gelöst werden. Es ist zu überlegen, ob die Automation des RACF Reply bei Kennungen mit dem Attribut SPECIAL aus Sicherheitsgründen unterbleiben sollte. Dies verhindert, dass alle Kennungen mit SPECIAL Attribut automatisch gesperrt werden können.
  • Die Datei SYS1.UADS dient dazu, dass beim Ausfall des RACF noch eine Möglichkeit zum Systemzugang besteht. In diese Datei darf nur der IBMUSER oder ein (oder mehrere) Notuser eingetragen sein.

Darüber hinaus gelten die in M 4.15 Gesichertes Login beschriebenen Empfehlungen.

Prüffragen:

  • Wird der Zugang zu z/OS -Systemen insbesondere der Login-Vorgang geschützt?

  • Sind alle nicht für den Zugang benötigten Dienste und Ports im z/OS -System gesperrt?

Stand: 13. EL Stand 2013