Nützliche Tools in der Informationssicherheit

Unter nützliche Tools werden einzelne Softwareprodukte vorgestellt, die die IT-Sicherheit verbessern bzw. dabei unterstützen.

RACF Security Analyse Tool für IBM z/OS

Veröffentlicht amAutorKarl-Josef Schiffhauer

Professionelle Sicherheitsanalyse für RACF-Umgebungen in IBM z/OS

Die Sicherheit von IBM z/OS-Systemen und dem Security Server RACF stellt insbesondere im Banken-, Versicherungs- und KRITIS-Umfeld einen zentralen Bestandteil der IT-Compliance und Informationssicherheit dar. Fehlkonfigurationen, überhöhte Berechtigungen oder unzureichende Überwachung innerhalb von RACF können erhebliche Sicherheits- und Compliance-Risiken verursachen.

Mit unserem spezialisierten RACF Security Analyse Tool unterstützen wir Unternehmen dabei, ihre RACF-Umgebung effizient, strukturiert und revisionssicher zu analysieren.

Das Tool wurde auf Basis langjähriger Praxiserfahrung im Umfeld von:

  • IT-Audit
  • IT-Revision
  • Informationssicherheit
  • IBM z/OS Security
  • RACF Administration
  • regulatorischen Prüfungen

entwickelt und speziell auf die Anforderungen großer Mainframe-Umgebungen ausgerichtet.

Funktionen des RACF Analyse Tools

Das Tool analysiert RACF-Datenbanken bzw. IRRDBU00-Unloads automatisiert und identifiziert sicherheitsrelevante Schwachstellen, Auffälligkeiten und Compliance-Risiken.

Analysebereiche

  • Analyse privilegierter Benutzerkonten
    • SPECIAL
    • OPERATIONS
    • AUDITOR
    • UID(0)-ähnliche Berechtigungen
  • Identifikation kritischer RACF-Einstellungen
  • Analyse von:
    • UACC-Berechtigungen
    • generischen Profilen
    • Dataset-Profilen
    • Ressourcenschutzklassen
    • Gruppenstrukturen
  • Erkennung von:
    • verwaisten Benutzerkonten
    • inaktiven Accounts
    • ungenutzten Berechtigungen
    • kritischen Berechtigungsvererbungen
  • Sicherheitsbewertung von:
    • RACF-Usern
    • Gruppen
    • Dataset-Profilen
    • General Resource Profiles
  • Unterstützung regulatorischer Anforderungen:
    • ISO 27001
    • DORA
    • BAIT
    • VAIT
    • MaRisk
    • NIS2
    • interne Revision

Vorteile für Unternehmen

Mehr Transparenz in RACF

Das Tool schafft Transparenz über komplexe RACF-Strukturen und reduziert den manuellen Analyseaufwand erheblich. Das Tool beansprucht die RACF Systemadministratoren nur in geringem Umfang, da die Analyse offline durch den Auditor bzw. Revisor durchgeführt werden kann

Unterstützung von Audits und Revisionen

Die erzeugten Auswertungen eignen sich ideal zur Unterstützung von:

  • internen Revisionen sowie 
  • insbesondere externe Prüfungen
  • ISO-27001-Audits
  • regulatorischen Assessments
  • Security Reviews

Schnellere Identifikation kritischer Risiken

Sicherheitskritische Konfigurationen und potenzielle Schwachstellen werden automatisiert erkannt und übersichtlich dargestellt.

Optimierung der Compliance

Die Analyse unterstützt Unternehmen dabei, regulatorische Anforderungen und interne Sicherheitsrichtlinien effizient umzusetzen.

Zielgruppen

Unser RACF Security Analyse Tool richtet sich insbesondere an:

  • Banken
  • Versicherungen
  • Rechenzentren
  • KRITIS-Unternehmen
  • IBM z/OS-Betreiber
  • IT-Revisionsabteilungen
  • Informationssicherheitsbeauftragte
  • RACF-Administratoren
  • Mainframe-Security-Spezialisten

Technologische Basis

Das Tool wurde speziell für große IBM z/OS-Umgebungen entwickelt und unterstützt die Analyse umfangreicher RACF-Datenbestände auf Basis von IRRDBU00-Unloads.

Die Architektur ermöglicht:

  • schnelle Verarbeitung großer Datenmengen
  • flexible SQL-basierte Auswertungen
  • individuelle Sicherheitsanalysen
  • revisionssichere Dokumentation
  • professionelle Reporting-Funktionen

RACF Security Analyse vom Spezialisten

Als langjähriger IT-Auditor und Spezialist für IBM z/OS Security und RACF unterstütze wir Unternehmen bei der Analyse, Bewertung und Optimierung ihrer Mainframe-Sicherheitsarchitektur.

Der Fokus liegt auf:

  • praxisnahen Sicherheitsanalysen
  • regulatorischer Compliance
  • revisionssicheren Auswertungen
  • nachhaltiger Verbesserung der RACF-Sicherheit
  • permanenten Audits

Jetzt Kontakt aufnehmen

Sie möchten Ihre RACF-Umgebung analysieren, Sicherheitsrisiken identifizieren oder Ihre Compliance-Anforderungen effizient unterstützen?

Dann nehmen Sie gerne mit uns Kontakt auf.

BSI Grundschutz++ – Die nächste Generation des IT-Grundschutzes

Veröffentlicht amAutorKarl-Josef Schiffhauer

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt den bisherigen IT-Grundschutz aktuell umfassend weiter. Die bekannten BSI-Standards 100, 200, 300 und 400 sowie das IT-Grundschutz-Kompendium werden schrittweise modernisiert und zu einem neuen, flexibleren Sicherheitsansatz zusammengeführt: dem BSI Grundschutz++.

Im Mittelpunkt des neuen Ansatzes stehen künftig stärker die tatsächlichen Geschäftsprozesse, Informationen und individuellen Anforderungen der jeweiligen Organisation.

Was ist der BSI Grundschutz++?

Der BSI Grundschutz++ ist die moderne Weiterentwicklung des klassischen IT-Grundschutzes. Ziel ist es, Unternehmen und Behörden eine deutlich flexiblere, skalierbare und stärker automatisierbare Umsetzung von Informationssicherheit zu ermöglichen.

Im Gegensatz zum bisherigen Ansatz definiert der Grundschutz++ zunächst verbindliche Mindestanforderungen für ein angemessenes Cybersicherheitsniveau. Aufbauend darauf können Organisationen die Anforderungen abhängig von Größe, Komplexität und Schutzbedarf individuell erweitern.

Dadurch eignet sich der Grundschutz++ sowohl für kleinere Organisationen als auch für komplexe Unternehmensstrukturen mit hohen regulatorischen Anforderungen.

Prozessorientierter und digitaler Sicherheitsansatz

Eine wesentliche Neuerung des Grundschutz++ ist sein prozessorientierter Aufbau. Sicherheitsanforderungen werden künftig als standardisierte und maschinenlesbare Regeln beschrieben.

Dadurch können die Anforderungen:

  • automatisiert verarbeitet,
  • digital modelliert,
  • technisch ausgewertet,
  • sowie in ISMS- und Compliance-Werkzeuge integriert werden.

Die Sicherheitsanforderungen liegen dabei in einem maschinenlesbaren Format vor und können direkt durch Softwarelösungen interpretiert werden. Dies ermöglicht eine deutlich effizientere, nachvollziehbarere und stärker automatisierte Umsetzung von Informationssicherheit.

Anwenderkatalog und technische Anforderungen

Ergänzend zur Methodik stellt das BSI einen Anwenderkatalog Grundschutz++ bereit. Dieser enthält sowohl technische als auch organisatorische Sicherheitsanforderungen.

Die normativen Vorgaben der Methodik wurden dabei in konkrete Anforderungen überführt, die Organisationen direkt für den Aufbau und Betrieb eines Informationssicherheitsmanagementsystems (ISMS) nutzen können.

Besonders interessant ist hierbei die Möglichkeit, Anforderungen automatisiert auszuwerten und in digitale Compliance-Prozesse einzubinden.

Grundschutz++ als Grundlage moderner ISMS-Tools

Mit dem Grundschutz++ stellt das BSI erstmals ein digitales Regelwerk in maschinell verarbeitbarer Form bereit. Dadurch können Sicherheitsanforderungen einfacher in Anwendungen, ISMS-Plattformen und Governance-Werkzeuge integriert werden.

Das Grundschutz++-Tool bietet hierbei unter anderem:

  • verschiedene Filter- und Auswahlmöglichkeiten,
  • strukturierte Modellierungsfunktionen,
  • automatisierte Auswertungen,
  • sowie Reporting- und Dokumentationsfunktionen.

Das vom BSI veröffentlichte GitHub-Repository zum „Stand der Technik“ hat uns dazu veranlasst, einen ersten Entwurf eines eigenen ISMS-Tools für den BSI Grundschutz++ zu erstellen.

Das über GitHub bereitgestellte Repository ließ sich leicht in ein einfach strukturierten ISMS-tool übernehmen, welches die ersten Informationen enhält und testweise bereits bearbeitet werden kann. Hierbei können die Informationen in einer beliebigen Datenbank gespeichert werden und als JSON- bzw. CSV-File exportiert werden. Darüber hinaus kann die Anzeige zwischen hell und dunkel gewechselt werden.

Fazit

Der BSI Grundschutz++ stellt einen bedeutenden Schritt hin zu einem modernen, digitalen und stärker automatisierbaren Informationssicherheitsmanagement dar. Durch die Kombination aus Mindestanforderungen, flexibler Erweiterbarkeit und maschinenlesbaren Sicherheitsregeln entsteht eine praxisnahe Grundlage für moderne Cybersecurity- und Compliance-Prozesse.

Insbesondere Unternehmen mit regulatorischen Anforderungen, ISMS-Verantwortliche sowie IT-Security- und Compliance-Teams profitieren von der höheren Flexibilität und Automatisierbarkeit des neuen Ansatzes.

Jetzt Kontakt aufnehmen

Sie möchten eine erste Präsentation unseres ISMS Compliance Tools für den BSI Grundschutz++?

Dann nehmen Sie gerne mit uns Kontakt auf.

Excel Passwort Generator für komplexe Kennwörter

Veröffentlicht amAutorKarl-Josef Schiffhauer

Jeder kennt das Problem, dass komplexe Passwörter schwer zu merken sind und daher so mancher Passwort Generator diesbezüglich keine Unterstützung ist. Hilfestellungen hierbei bieten häufig die Anfangsbuchstaben der Wörter in einzelnen Sätzen, beispielsweise aus dem Satz: „Heute ist ein sehr schöner Tag in Frankfurt am Main.“. Das sich daraus ergebende Passwort würde lauten: „HiessTiFaM.“

Komplexe Passwörter ohne persönlichen Passwort Generator.

Passworttabelle im Scheckkartenformat

Häufig werden aber noch komplexere Kennwörter, u.a. mit Sonderzeichen, benötigt. Da diese in einem normalen Satz selten vorkommen, bieten sich sogenannte Passwortgeneratoren an. Dafür muss nicht gleich eine Software teuer eingekauft werden. In vielen Fällen reicht die vorhandene Tabellenkalkulation, wie beispielsweise Excel, aus.

Wer schon einmal eine Schufa Auskunft beantragt hat, der kennt vielleicht die von der Schufa mitgelieferten scheckkartengroßen Kärtchen mit Zahlen, Ziffern und Sonderzeichen, aus denen sich leicht ein komplexes Passwort erstellen läßt. Bei diesen Karten reicht es aus, dass man sich nur die Koordinaten und die Richtung des Beginns seines individuellen Kennwortes merkt, z.B. C2 rechts. In diesem Fall würde ein 8-stelliges Passwort lauten: BTVDPRTA.

Passwort Generator mit Hilfe von Excel

Individuell generierte Passwörter mit Hilfe von Microsoft Excel.

Liste mit komplexen Passwörtern zum Ausdrucken mit Excel.

Da nicht jeder zu Hause oder im Büro über ein solches Kärtchen verfügt bietet sich eine eigene Lösung mit Hilfe von Excel an. In der nachfolgenden Excel-Tabelle werden nach jedem neuen Laden automatisch neue Zeichen generiert, so dass gewährleistet ist, dass die abgebildeten Zeichen in dieser Kombination nur einmal vorkommen. Es reicht im Grunde aus, sich die Position des Beginns der Passwortes und die Richtung sowie die Länge zu merken, also beispielsweise G1, 6 x nach unten, so dass das Passwort „Rj%&7PPM6iWe“ lautet.

Man sollte natürlich nicht den Fehler begehen, so wie in diesem Beispiel dargestellt, seine Passwörter in der Tabelle zu markieren. Auf jeden Fall sollte die Tabelle ausgedruckt und sicher aufbewahrt oder permanent mitgeführt werden, z.B. in der Brieftasche oder in der Geldbörse.

Mit der Funktionstaste F9 können jederzeit neue Zeichen in der Tabelle generiert werden. Erzeugt werden die sich in den einzelnen Zellen befindlichen Zeichen mit Hilfe der einfachen Excel-Funktion

=VERKETTEN(INDEX($Z:$Z;AUFRUNDEN(ZUFALLSZAHL()*ANZAHL2($Z:$Z);0));INDEX($Z:$Z;AUFRUNDEN(ZUFALLSZAHL()*ANZAHL2($Z:$Z);0)))

Der in dieser Excel-Tabelle aufgeführte INDEX verweist auf die Spalte Z, in der sich sämtliche Groß- und Kleinbuchstaben, alle Ziffern sowie viele Sonderzeichen befinden.Mit Hilfe der Funktion ZUFALLSZAHL werden aus diesem Bereich zufällig einzelne Zeichen ausgewählt. Dies erfolgt insgesamt zweimal, so dass in jeder Zelle zwei Zeichen dargestellt werden. Dies wird mit Hilfe der Funktion VERKETTEN erreicht.

Wer möchte, kann die Inhalte der Spalte Z so anpassen, dass nur bestimmte Kombinationen von Zeichen möglich sind oder die Spalte um weitere Sonderzeichen ergänzen. Ferner ließen sich in der Tabelle auch drei oder mehr Zeichen nebeneinander darstellen. Dies würde jedoch die Anzahl der möglicher Passwortkombinationen in der Tabelle verringern.

Für diejenigen, die diesen Passwort Generator mit Excel sofort einsetzen möchten, können die Excel-Datei von unserer Webseite gerne downloaden.

Darüber möchten wir Ihnen die Hinweise des BSI zum Umgang mit Passwörtern nahe legen.