Pentest: Mainframe

Schützen Sie Ihre Systeme und Anwendungen

In Branchen wie dem Finanz- und Versicherungswesen, bei Airlines oder im Handel müssen regelmäßig große Mengen von sensiblen Daten verarbeitet werden. Da Mainframe-Lösungen besonders leistungsstark sind, werden sie gerade in diesen Branchen  weiterhin bevorzugt eingesetzt. Darüber hinaus gelten Mainframes und ihre Betriebssysteme, wie z/OS oder AS/400 (System i), gemeinhin als besonders robust und sicher. Doch auch hier können Fehler in der Entwicklung sowie der Konfiguration und dem Betrieb zu Schwachstellen mit existenzbedrohenden Folgen für Unternehmen führen. Deshalb sollten auch Mainframe-Lösungen unbedingt regelmäßigen technischen Sicherheitsüberprüfungen unterzogen werden.

icon symbol orange 007 2

Wussten Sie schon?

Standards wie PCI und ISO sowie die aufsichtsrechtlichen Anforderungen der Bundesanstalt für Finanzdienstleistung (BAIT, KAIT, ZAIT) fordern regelmäßige Penetrationstests auf den Mainframe. Zudem legt IBM in ihren Standardbedingungen zur Garantie die Erkennung von Schwachstellen in die Verantwortung des Kunden.

Wie können wir helfen?

Wir kombinieren Expertenwissen in der Konfiguration und dem Betrieb von Mainframes mit jahrelanger Erfahrung in Security Analysen und Penetrationstests (Pentest).

Über eine Kombination aus Greybox-Pentest, Code Review und Security Audit ermitteln wir kritische Schwachstellen auf dem Mainframe und in darauf betriebenen Applikationen, die beispielsweise für einen unautorisierten Zugang oder eine Erweiterung von Berechtigungen ausgenutzt werden können.

icon schwachstelle orange 003

Häufige Schwachstellen sind beispielsweise:

  • Fehlerhaftes Identitäts- und Access-Management
  • Verwendung von Standard-Passwörtern und schwaches Passwort-Management
  • Fehlkonfigurationen von Datenbanken

Wie gehen wir vor?

Die Überprüfung erfolgt in 3 Phasen:

Nicht bearbeiten!

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Phase 1: Vorbereitung und Scoping

Im Vorfeld des Pentests stimmen sich unsere Security Analyst*innen mit den verantwortlichen Ansprechpartner*innen aus Ihrem Unternehmen zu dem konkreten Scope, den Prüfinhalten, dem Zeitplan und Ihren Mitwirkungspflichten ab.

Phase 2: Mainframe Pentests auf Ebene der Konfiguration und Härtung

Informationsbeschaffung über unter anderem:

  • die PL Parameter für aktuelle IPL, die APF Autorisierung, die Linklisted and LPA Datensätze, die JES Spool & Checkpoint Datensätze, die Page & SMF Datensätze und die IPLPARM & Parmlib Datensätze,
  • die Hardware Konfiguration, inkl. der IODF Datensätze und der ISPF Datensätze (CLIST, REXX, etc.),
  • die Security Systeme bzw. ESMs (bspw. RACF, ACF2 & TSS) für alle zuvor genannten Datensätze.

Review der Konfiguration und Härtung

Unsere Analyst*innen führen eine umfassende Analyse Ihrer Mainframe-Umgebung durch. Folgende Prüfungen sind unter anderem Bestandteil:

  • Review privilegierter Nutzer (bspw. SPECIAL, NON-CNCL, UID(0)) sowie kritischer Datasets (bspw. LINKLIB, PARMLIB, LPA, APF, JES2 / JES3 Spool)
  • Überprüfung auf die Ausweitung von Benutzerrechten bspw. durch das Ausnutzen von Authorized Program Facility (APF) Bibliotheken oder via Network Job Entry (NJE)
  • Überprüfung der Public Resources, der User SVCs, MVS & JES2 / JES3 Command Authority, des RACF/TSS/ACF2 Exits, der MVS Subsysteme (IMS, Db2, CICS, NETView, etc.), der MVS UNIX Umgebung
  • Untersuchung der Zugriffsrechte für bspw. RACF Datenbanken sowie die RACF PassTicket Funktionalität
Phase 3: Pentest von Applikationen am Mainframe
Applikationen werden durch unsere Analyst*innen auf sicherheitskritische Fehlfunktionen in der Applikationslogik, bei Zugriffen auf das (Betriebs-) System, sowie der Interpretation und Bereitstellung von Daten geprüft. Während des Pentests greifen sie abhängig von der zu prüfenden Anwendung auf verschiedene Testverfahren zurück. Folgende Prüfungen sind unter anderem Bestandteil:  
  • Analyse des Anwendungsverhaltens bei modifizierten Eingabewerten (manuell und durch Fuzzing) zur Identifikation von Schwächen der Systemintegration
  • Analyse der Übertragung von sensiblen Informationen zwischen Frontend und Backend
  • Betrachtung von Schnittstellen auf sichere Interpretation von verarbeiteten Informationen, sowie sichere Serialisierung von bereitgestellten Informationen
  • Identifikation und Ausnutzung von ungesicherten Administrationsschnittstellen (Ausnutzung erfolgt nur nach Absprache bzw. Freigabe)
  • Untersuchung von applikationsspezifischen Berechtigungen in RACF
usd pentest webseite IV 1

Sind Ihre Systeme gegen Angreifer geschützt?

Gerne beraten wir Sie zu Ihren Möglichkeiten, Ihre Systeme und Anwendungen von unseren Security Analysten überprüfen zu lassen. Sprechen Sie uns einfach an.

Kontakt

 

Sie haben Fragen oder Interesse? Sprechen Sie uns gerne an.

Telefon: +49 6102 8631-190
E-Mail: vertrieb@usd.de
PGP Key
S/MIME
Kontaktformular

 

Daniel Heyne
usd Team Lead Sales,
Security Consultant Pentest, OSCP, OSCE