Unternehmen und Administratoren unterschätzen die Ge-fahr, die ihren Netzwerken und den darin transportierten Daten durch den Feind im eigenen Unternehmen droht.
Alzey, 20. November, 2002: - Die SAGA D.C., ein unabhängi-ges Beratungs- und Entwicklungsunternehmen mit Schwer-punkt auf Systemintegration für IBM AS/400 iSeries und Mainframe, warnt Unternehmen, die ihre auf dem SNA-Protokoll basierenden IBM-Rechner im Intranet für den Zu-griff aus dem TCP/IP-basierenden Internet öffnen, vor gra-vierenden Sicherheitsrisiken. Solche Intranets werden heute von vielen Organisationen aller Größenordnungen genutzt. "Die Sicherheitsbeauftragten wissen nicht, dass sie auf ei-nem Pulverfass sitzen. Bei den meisten der heute statt der früheren SNA-Terminals genutzten Emulatoren ist die Strek-ke zwischen TN3270-Server und dem Client gänzlich unver-schlüsselt", mahnt Jochen Grotepaß, Geschäftsführer der SAGA D.C. Einen wirksamen Schutz verspreche einzig eine SSL-Verschlüsselung, die in den meisten Fällen nicht vor-handen ist. Als größten Gefahrenpunkt sieht er die soge-nannte "Man-in-the-Middle"-Attacke, die gewöhnlich vom eigenen Mitarbeiter ausgeht. Zu dieser Einschätzung gelangt SAGA aufgrund eigener Marktbe-obachtung und Erfahrung als Systemintegrator im Bereich der IBM-Rechnerwelt. Diese Beobachtung und die - anders als im Internet-Umfeld - bislang fehlende Sensibilität für das Thema "Si-cherheit im Intranet" hält SAGA-Chef Grotepaß für um so be-denklicher, als bei Sabotage und Spionage in 70% aller Fälle Täter aus dem Unternehmen beteiligt seien und auf dem Hostrechner nach wie vor 60-70% aller unternehmenskritischen Daten vorge-halten würden. Eine besondere, wenn auch nicht alleinige, Gefährdung sieht SA-GA. D.C. hier im Bereich der Hostintegration, bei der über die SNA-zu-TCP/IP-Verbindung per Browser der Zugriff auf SNA-Anwendungen möglich wird. "Der Angriff auf einen Webserver dient letzten Endes eigentlich nur dem Versuch, über die Firewall ins interne Netz zu kommen. Wenn der Eindringling dann erst mal dort ist, ist es nur eine Frage von Tagen, bis er die Passwörter her-ausgefunden hat, die er für den Zugang zum Mainframe braucht. Und dann fangen für jeden CIO und jede Revisionsabteilung die Probleme erst richtig an", gibt Grotepaß zu bedenken. Das Sicherheitsproblem im Kurzüberblick Die Integration von Legacy-Anwendungen in moderne IP-Netze bringt Unternehmen zahlreiche Vorteile wie z.B. ein enormes Ko-steneinsparpotential gegenüber alternativen und historischen Ver-fahren. Sie stellen unter dem Sicherheitsgesichtspunkt für die Ver-antwortlichen aber auch eine Herausforderung dar. Bei der alten SNA-Architektur erfolgte der Zugriff auf ein physi-kalisches Terminal oder Drucker. Bei Nichtverfügbarkeit des Ter-minals wurde die Anwendung per SNA-Sense-Code informiert, dass die Verbindung nicht mehr bestand. Zudem ließen sich in der herkömmlichen SNA-Umgebung ohne physikalische Vorkehrun-gen (z.B. mit Hardware-Sniffern) keine Daten tracen und analysie-ren. Das hat sich mit dem Aufkommen und der zunehmenden Nut-zung von Emulatoren geändert. Bei den meisten derzeit einge-setzten Emulatoren ist die Strecke zwischen dem TN3270-Server bzw. Gateway und dem Client unverschlüsselt. Da TCP/IP kaum Schutz bietet und nahezu alle Unternehmen ihre Intranets nach wie vor unverschlüsselt betreiben, werden hierdurch besagte "Man-in-the-Middle"-Attacken möglich. Hierbei gibt sich ein Ser-ver, der zwischen Client und Zielserver eingeschaltet wird, als Zielserver aus und fängt so Passwörter ab bzw. manipuliert Daten, die in Richtung Mainframe gehen. Nach Einschätzung von SAGA D.C. bietet nur SSL, das heute in den Versionen 3.0 und 3.1 implementiert ist, mit seiner Authentifi-zierung per Zertifikat und seiner starken Verschlüsselung einen ausreichenden Schutz von Attacken. "Mit SSL-Verschlüsselung gibt es beim browserbasierten Zugriff eine deutlich höhere Sicher-heit, als sie mit dem TN3270-basierten Zugang oder einer 'Asyn-chron-zu-3270-Konversion' möglich ist", weiß Grotepaß. Ist das Schreckgespenst der "Man-in-the-Middle"-Attacke beim Ausspähen via Bildschirm schon beängstigend genug, so wird es beim Drucken noch bedrohlicher. "Während das, was man auf einem Terminal sieht, ja vielleicht noch geschützt ist, interessiert keinen Menschen mehr, was auf einem Terminaldrucker ausge-druckt wird, der ebenfalls über TN3270- oder TN3270e-Protokoll angebunden ist. Das können aber auch beispielsweise Verdienstab-rechnungen sein, die sich dort ein Unbefugter in Form einer Hardcopy aneignet", weiß Grotepaß.
Unternehmensprofil.
Die 1988 gegründete SAGA D.C. GmbH (www.sagadc.de) mit Sitz in Alzey ist ein unabhängiges Beratungs- und Entwicklungsunternehmen mit Schwerpunkt auf Systemintegration für IBM AS/400 iSeries und Mainframe. Dabei liegt der Ge-schäftsfokus auf Business-Anwendungen einschließlich Personal- und Finanzanwen-dungen sowie E-Business und E-Government. Kernbereiche der Integrationskompe-tenz sind dabei u.a. Web-to-host-Implementierung, Single-Sign-On sowie Software- und Outputmanagement.
Weitere Informationen:
SAGA D.C. Management
Consulting & Software
Development GmbH
Jochen Grotepaß
Mainzer Straße 5
55232 Alzey
Tel. 0 67 31- 94 28 0
Fax. 0 67 31 - 94 28 26
www.sagadc.de
Alzey, 20. November, 2002: - Die SAGA D.C., ein unabhängi-ges Beratungs- und Entwicklungsunternehmen mit Schwer-punkt auf Systemintegration für IBM AS/400 iSeries und Mainframe, warnt Unternehmen, die ihre auf dem SNA-Protokoll basierenden IBM-Rechner im Intranet für den Zu-griff aus dem TCP/IP-basierenden Internet öffnen, vor gra-vierenden Sicherheitsrisiken. Solche Intranets werden heute von vielen Organisationen aller Größenordnungen genutzt. "Die Sicherheitsbeauftragten wissen nicht, dass sie auf ei-nem Pulverfass sitzen. Bei den meisten der heute statt der früheren SNA-Terminals genutzten Emulatoren ist die Strek-ke zwischen TN3270-Server und dem Client gänzlich unver-schlüsselt", mahnt Jochen Grotepaß, Geschäftsführer der SAGA D.C. Einen wirksamen Schutz verspreche einzig eine SSL-Verschlüsselung, die in den meisten Fällen nicht vor-handen ist. Als größten Gefahrenpunkt sieht er die soge-nannte "Man-in-the-Middle"-Attacke, die gewöhnlich vom eigenen Mitarbeiter ausgeht. Zu dieser Einschätzung gelangt SAGA aufgrund eigener Marktbe-obachtung und Erfahrung als Systemintegrator im Bereich der IBM-Rechnerwelt. Diese Beobachtung und die - anders als im Internet-Umfeld - bislang fehlende Sensibilität für das Thema "Si-cherheit im Intranet" hält SAGA-Chef Grotepaß für um so be-denklicher, als bei Sabotage und Spionage in 70% aller Fälle Täter aus dem Unternehmen beteiligt seien und auf dem Hostrechner nach wie vor 60-70% aller unternehmenskritischen Daten vorge-halten würden. Eine besondere, wenn auch nicht alleinige, Gefährdung sieht SA-GA. D.C. hier im Bereich der Hostintegration, bei der über die SNA-zu-TCP/IP-Verbindung per Browser der Zugriff auf SNA-Anwendungen möglich wird. "Der Angriff auf einen Webserver dient letzten Endes eigentlich nur dem Versuch, über die Firewall ins interne Netz zu kommen. Wenn der Eindringling dann erst mal dort ist, ist es nur eine Frage von Tagen, bis er die Passwörter her-ausgefunden hat, die er für den Zugang zum Mainframe braucht. Und dann fangen für jeden CIO und jede Revisionsabteilung die Probleme erst richtig an", gibt Grotepaß zu bedenken. Das Sicherheitsproblem im Kurzüberblick Die Integration von Legacy-Anwendungen in moderne IP-Netze bringt Unternehmen zahlreiche Vorteile wie z.B. ein enormes Ko-steneinsparpotential gegenüber alternativen und historischen Ver-fahren. Sie stellen unter dem Sicherheitsgesichtspunkt für die Ver-antwortlichen aber auch eine Herausforderung dar. Bei der alten SNA-Architektur erfolgte der Zugriff auf ein physi-kalisches Terminal oder Drucker. Bei Nichtverfügbarkeit des Ter-minals wurde die Anwendung per SNA-Sense-Code informiert, dass die Verbindung nicht mehr bestand. Zudem ließen sich in der herkömmlichen SNA-Umgebung ohne physikalische Vorkehrun-gen (z.B. mit Hardware-Sniffern) keine Daten tracen und analysie-ren. Das hat sich mit dem Aufkommen und der zunehmenden Nut-zung von Emulatoren geändert. Bei den meisten derzeit einge-setzten Emulatoren ist die Strecke zwischen dem TN3270-Server bzw. Gateway und dem Client unverschlüsselt. Da TCP/IP kaum Schutz bietet und nahezu alle Unternehmen ihre Intranets nach wie vor unverschlüsselt betreiben, werden hierdurch besagte "Man-in-the-Middle"-Attacken möglich. Hierbei gibt sich ein Ser-ver, der zwischen Client und Zielserver eingeschaltet wird, als Zielserver aus und fängt so Passwörter ab bzw. manipuliert Daten, die in Richtung Mainframe gehen. Nach Einschätzung von SAGA D.C. bietet nur SSL, das heute in den Versionen 3.0 und 3.1 implementiert ist, mit seiner Authentifi-zierung per Zertifikat und seiner starken Verschlüsselung einen ausreichenden Schutz von Attacken. "Mit SSL-Verschlüsselung gibt es beim browserbasierten Zugriff eine deutlich höhere Sicher-heit, als sie mit dem TN3270-basierten Zugang oder einer 'Asyn-chron-zu-3270-Konversion' möglich ist", weiß Grotepaß. Ist das Schreckgespenst der "Man-in-the-Middle"-Attacke beim Ausspähen via Bildschirm schon beängstigend genug, so wird es beim Drucken noch bedrohlicher. "Während das, was man auf einem Terminal sieht, ja vielleicht noch geschützt ist, interessiert keinen Menschen mehr, was auf einem Terminaldrucker ausge-druckt wird, der ebenfalls über TN3270- oder TN3270e-Protokoll angebunden ist. Das können aber auch beispielsweise Verdienstab-rechnungen sein, die sich dort ein Unbefugter in Form einer Hardcopy aneignet", weiß Grotepaß.
Unternehmensprofil.
Die 1988 gegründete SAGA D.C. GmbH (www.sagadc.de) mit Sitz in Alzey ist ein unabhängiges Beratungs- und Entwicklungsunternehmen mit Schwerpunkt auf Systemintegration für IBM AS/400 iSeries und Mainframe. Dabei liegt der Ge-schäftsfokus auf Business-Anwendungen einschließlich Personal- und Finanzanwen-dungen sowie E-Business und E-Government. Kernbereiche der Integrationskompe-tenz sind dabei u.a. Web-to-host-Implementierung, Single-Sign-On sowie Software- und Outputmanagement.
Weitere Informationen:
SAGA D.C. Management
Consulting & Software
Development GmbH
Jochen Grotepaß
Mainzer Straße 5
55232 Alzey
Tel. 0 67 31- 94 28 0
Fax. 0 67 31 - 94 28 26
www.sagadc.de
