Unsere Security Analyst*innen im usd HeroLab decken während ihrer Penetrationstests (Pentests) immer wieder Einfallstore auf, die erhebliche Risiken für die Unternehmenssicherheit darstellen. Dabei begegnen ihnen vermehrt die gleichen Schwachstellen. Unsere Blogserie „Top 3 Schwachstellen“ stellt diese dar und gibt Ihnen Tipps für die Vermeidung – für #moresecurity über alle IT-Assets.
Heute betrachten wir die drei häufigsten sicherheitskritischen Schwachstellen, die unsere Analyst*innen bei Penetrationstests von Mainframes in den vergangenen Jahren identifizieren konnten.
Warum Mainframe Pentests?
Mainframes übersteigen als komplexe und ausgesprochen leistungsstarke Systeme die Kapazitäten eines typischen PCs oder Servers deutlich. Besonders in Branchen, in denen regelmäßig sehr große Datenmengen in kurzer Zeit verarbeitet werden müssen, werden sie trotz wachsender Beliebtheit alternativer Client-Server-Technologien noch immer intensiv genutzt. Gleichzeitig ist es durch die weite Verbreitung neuerer Technologien heutzutage eine echte Herausforderung, noch Sicherheitsexpert*innen für Mainframes zu finden. Infolgedessen werden sie bei Sicherheitsüberprüfungen aus Mangel an geeignetem Personal in vielen Fällen schlicht übergangen.
Auch wenn Mainframes einen Ruf als besonders sichere IT-Infrastruktur genießen, können sie sowohl auf der Betriebssystem- als auch der Applikationsebene von sicherheitsrelevanten Schwachstellen betroffen sein. Häufig entstehen diese aus einer nachlässigen oder fehlerhaften Konfiguration des Systems oder durch Fehler bei der Softwareentwicklung von Individualanwendungen. Daraus resultiert ein enormes Risiko für die kritischsten IT-Infrastrukturen eines Unternehmens.
In unseren Mainframe Pentests kombinieren wir Expertenwissen in Mainframe-Konfiguration mit jahrelanger Erfahrung in Security Analysen und Penetrationstests. Damit helfen wir unseren Kunden regelmäßig dabei, Sicherheitsprobleme aufzudecken und geeignete Gegenmaßnahmen zu implementieren. Wir haben die drei Schwachstellen, die wir in den letzten Jahren am häufigsten identifiziert haben, in diesem Artikel für Sie zusammengetragen.
Top 1: Falsch konfigurierte RACF-Berechtigungen
RACF ist die Abkürzung für Resource Access Control Facility und bezeichnet das zentrale, auf IBM z/OS verwendete Berechtigungssystem. Nahezu sämtliche Daten, Programme und andere Ressourcen werden auf dem Mainframe durch RACF-Strukturen geschützt. Daher kann eine Fehlkonfiguration in RACF eine kritische Schwachstelle darstellen. Ein Beispiel hierfür wäre ein Standardbenutzer für eine Warenwirtschafts-Anwendung, der in kritische Systemkonfigurationen ausbrechen und so Zugriff auf weitere Daten erlangen kann.
Sicherheitstipp: Etablieren Sie ein Rollen- und Rechtekonzept mit einfachen, profilbasierten Berechtigungsstrukturen in RACF.
Top 2: Programmierfehler in transaktionsbasierten Anwendungen
Auf Mainframes werden klassisch viele Aufgaben im Hintergrund abgearbeitet – man spricht von so genannten Batch Jobs. Allerdings gibt es auch so genannte transaktionsbasierte Programme, die interaktiv von Benutzern bedient werden können. Beispiele hierfür wären Programme zum Kreditwesen oder zur Kunden-Stammdatenverwaltung. Ähnlich wie moderne Webanwendungen können jedoch auch diese typischen Schwachstellen wie Fehler im Berechtigungsmanagement, Logik- oder sogar Injection-Schwachstellen enthalten. Ein dedizierter Applikationspentest kann hier helfen, solche Angriffspunkte aufzudecken.
Sicherheitstipp: Behandeln Sie auch in Mainframe-Anwendungen Benutzereingaben stets sorgfältig und prüfen Sie Eingaben, bevor diese weiterverarbeitet werden.
Top 3: Schwache Sicherheitskonfiguration
Wenngleich auf Mainframes andere Begrifflichkeiten zum Tragen kommen und man von Parametrisierung spricht, so ändert dies nichts daran, dass auch die auf Großrechnern implementierten Konfigurationen Schwachstellen aufweisen können. Klassiker sind hier eine zu laxe Passwortverwaltung, Schwachpunkte in der Verschlüsselung oder beim Dateiaustausch mit anderen Systemen. Im Rahmen eines Security Audits können solche falsch gesetzten Einstellungen aufgefunden werden.
Sicherheitstipp: Auch für z/OS und IBM iSeries gibt es einschlägige Härtungsrichtlinien wie vom Center for Internet Security (CIS) – beachtet man diese, lassen sich viele Schwachstellen von Anfang an vermeiden.
Fassen wir noch einmal zusammen
Schwachstellen innerhalb der Mainframe-Architektur ermöglichen es Angreifern, unautorisiert Zugriff auf Systemressourcen und vertrauliche Unternehmensdaten im großen Stil zu erhalten. Durch die zentralisierte Datenverarbeitung eines Mainframes entsteht für Hacker dabei ein besonders großes Beute- und für das betroffene Unternehmen ein entsprechend hohes Schadenspotenzial. Gleichzeitig herrscht ein großer Mangel an Fachpersonal oder spezialisierten Sicherheitsdienstleistern, die helfen könnten, solche Schwachstellen aufzudecken.
Unsere Mainframe Penetrationstests sind speziell darauf ausgerichtet, die in diesem Artikel aufgeführten und andere Schwachstellen aufzudecken und zu entschärfen. Sie bieten das nötige Fachwissen und die proaktiven Maßnahmen, um die Sicherheit und Widerstandsfähigkeit gegenüber sich entwickelnden Cyber-Bedrohungen zu verbessern. Kontaktieren Sie uns, wir helfen Ihnen gern.
Um das breite Spektrum an notwendigen Sicherheitsanalysen für Mainframes auf höchstem Niveau anbieten zu können, kombinieren wir Expertenwissen in Mainframe-Konfiguration mit unserer umfangreichen Erfahrung in Security Analysen und Penetrationstests. Dazu arbeiten wir bereits seit Jahren erfolgreich mit unserem Partner Holger Ahrend, Spezialist für Mainframe Security, zusammen.
Auch ein gut geplantes Design der Infrastruktur verhindert nicht, dass die technische Implementierung Schwachstellen enthält. Diese Schwachstellen können nur durch Penetrationstests und Sicherheitsaudits zuverlässig aufgedeckt werden, bei denen mit viel Wissen und Erfahrung nach fehlerhaften Konfigurationen und Schwachstellen im Systembetrieb und der Programmierung gesucht wird.
