Rita Pleus über Sicherheitsvorkehrungen auf der IBM Mainframe

[Videochat] Rita Pleus (IBM) zu Sicherheitskonzepten auf Mainframe-Maschinen

Während der IBM Z-Roadshow habe ich dieses Interview mit Rita Pleus von IBM geführt. Darin spricht sie über die aktuelle Sicherheitslage, über die Sicherheitsebenen der Pervasive Encryption und über zuverlässige Sicherheitskonzepte.

„Wie schätzen Sie die aktuelle IT-Sicherheitslage ein?“

Laut Rita Pleus ist dieses Thema ein äußerst komplexes, und je nachdem, wen man fragt, wird es unterschiedlich bewertet. So zeigt beispielsweise das BSI (Bundesamt für Sicherheit in der Informationstechnik) in seinem Bericht zur Lage der IT-Sicherheit in Deutschland, dass aufgrund der „zunehmenden Digitalisierung und Vernetzung durch Entwicklungen wie dem Internet der Dinge, Industrie 4.0 oder Smart Everything Cyber-Angreifern fast täglich neue Angriffsflächen“ geboten werden. Hinzu kommen zahlreiche regulatorische Vorschriften wie die DSGVO und der PSIDSS, die natürlich auch von IBM-Kunden eingehalten werden müssen.

Doch sollte das Thema Sicherheit im eigenen Unternehmen laut Frau Pleus nicht ausschließlich von diesen und anderen Vorschriften bestimmt werden, sondern auch aus der Erkenntnis heraus entstehen, dass IT-Security ein allumfassendes Thema sein sollte, zu dem unter anderem das Thema Datenverschlüsselung zählt.

„Auf welchen Ebenen findet Pervasive Encryption statt?“

Das mit der IBM z14 eingeführte Sicherheitskonzept Pervasive Encryption ist ja kein Produkt, wie Rita Pleus im Interview klarstellt. Es handelt sich vielmehr um eine fundierte Strategie, die auf allen Ebenen der Mainframe seinen jeweiligen Beitrag zur Sicherheit beiträgt. Das beginnt ganz unten auf der Hardware-Schicht, wo dedizierte Hardware-Module mit z/OS-Features wie CP Assist for Cryptographic Functions (CPACF) für explizite Sicherheit sorgen, aber auch Kryptokarten kommen hierfür zum Einsatz. Beides stellt laut Rita eine solide Grundlage für Pervasive Encryption dar, da die Hardware die Sicherheitsmaßnahmen erheblich beschleunigt.

httpss://twitter.com/mhuelskoetter/status/986989333377888256

Wichtig sind aber auch die gespeicherte Daten in diesem Kontext. Hierfür kommt eine mehrstufige Datenverschlüsselung zum Tragen, was bei IBM unter dem Begriff Data Set Encryption läuft. Damit lassen sich vor allem Daten anhand der Anwendungen oder logischen Datenhaltung trennen, je nachdem, welche Schlüssel für das Encryption-Verfahren eingesetzt werden. Hinzu kommen weitere Möglichkeiten der Verschlüsselung, zum Beispiel auf Cluster- und Netzwerkebene, mit der sich sehr transparent zeigen lässt, welche Daten gerade verschlüsselt werden – und welche nicht.

Wichtig ist aber auch das Thema Secure Service Container, mit dem das Verschlüsseln virtueller Umgebungen möglich ist. Hierfür bietet die IBM z14 ZR1 insgesamt 40 LPARs, mit denen virtuelle Bereiche geschaffen werden können, in denen sich verschlüsselte Container mit all ihren Daten und Anwendungen sehr sicher befinden.

Schließlich weist Rita Pleus noch auf das äußerst wichtige Schlüsselmanagement hin, das eine profunde Grundlage für das Verschlüsseln der Daten darstellt. Denn nur wenn das zugehörige Managementtool sicherstellt, dass Schlüssel über einen längeren Zeitraum valide und verfügbar sind, kann Pervasive Encryption zuverlässig funktionieren.

httpss://twitter.com/mhuelskoetter/status/986992404166258688

„Was gehört denn noch zu einem guten Sicherheitskonzept?“

Neben den aufgezeigten Features, die allesamt unter dem Begriff Pervasive Encryption zusammengefasst werden, hält Rita Pleus obendrein das Thema Identity Management für unabdingbar, wenn es um sichere Mainframe-Umgebungen geht. Denn nur wenn sichergestellt werden kann, dass ausschließlich bestimmte Anwender oder Anwendergruppen auf klar definierte IT- und Datenbereiche zugreifen dürfen, funktioniert das IT-Sicherheitskonzept vollumfänglich. Dies kann beispielsweise mithilfe einer Mehrfaktor-Authentifizierung erreicht werden, so wie sie IBM versteht und ihren Kunden zur Verfügung stellt.

Das Interview mit Rita Pleus in voller Länge

Disclaimer: Für diesen Video-Blogpost hat mich IBM Deutschland als Blogger engagiert.

CAST Software - Dashboard-Ansicht

Was die US-Firma CAST mit der IT-SA 2017 zu tun hat

CAST logoGestern ging die IT-SA 2017 in Nürnberg zu Ende, und eines scheint wohl vielen Besuchern klar geworden zu sein: Das Thema Sicherheit geht jeden etwas an, und mit einer Strategie, die auf dem Vogel-Strauß-Prinzip basiert, werden die allermeisten Firmen keinen Erfolg haben. Im Gegenteil.

Denn spätestens mit Einführung der neuen EU-Datenschutz-Grundverordnung (EU-DSGVO) werden sich CEOs, CIOs, CTOs und alle anderen Verantwortlichen von Unternehmen mit dieser Abkürzung intensiv beschäftigen müssen. Besser noch: davor.

Denn im Grunde sollten alle Systeme, ob Hard- oder Software, den strengen Regelungen des EU-DSGVO gewachsen sein. Sind sie es nicht, sehen die Datenschutzhüter aus Brüssel für Vergehen – egal, ob gewollte und ungewollte – empfindliche Strafen vor.

CAST hilft, Verstöße gegen die EU-DSGVO zu vermeiden

Und genau an dieser Stelle kommt die US-Firma CAST ins Spiel. Denn mit ihren erprobten und zuverlässig arbeitenden Software-Methoden und -Werkzeugen hilft CAST Firmen und IT-Organisationen bei der Einhaltung der strengen Datenschutzverordnungen, die ab Mai 2018 auf sie zukommen.

Hierfür hat CAST diverse Tools und Produkte im Portfolio, mit denen sich jedwede Anwendungssoftware exakt analysieren lässt. Damit lassen sich mit relativ geringem Aufwand all diejenigen Schwachstellen aufspüren und eliminieren, die vor allem hinsichtlich der bevorstehenden EU-DSGVO kritisch werden können. Damit lassen sich unter anderem folgende Fragen beantworten:

Wo genau werden schützenswerte Daten gespeichert?

Welche Transaktionen und Anwendungen greifen auf Daten zu?

Welche Verfahren müssen verbessert werden, um ein angemessenes Datenschutzniveau zu erreichen?

Um all diese Schwachstellen innerhalb einer Anwendungssoftware identifizieren zu können, greift die Firma CAST auf drei wesentliche Grundprinzipen zurück:

1. Eine 25-jährige Erfahrung, die in jede Analyse und jede Bewertung von Software einfließt UND

2. eine holistische Anwendungsanalyse, die über alle Ebeneren funktioniert UND

3. eine Analysesoftware, die höchsten Qualitätsansprüchen genügt.

Die 25-jährige Erfahrung spiegelt sich vor allem in einer permanenten Weiterentwicklung der CAST’schen Softwaretools wider, was sich wiederum darin niederschlägt, dass hunderte international operierende Konzerne wie Airbus, Allianz, UniCredit, etc. den CAST-Softwarelösungen vertrauen. Zudem setzen Firmen wie IBM, Atos, Capgemini und andere bekannten Unternehmen CAST-Tools zu internen Zwecken ein.

Der holistische Ansatz macht den Unterschied

Tools wie SonarQube sind im Vergleich zu CAST-Werkzeugen und ihren Analysen recht eindimensional, da sie nur die einzelnen Bausteine einer kompletten Anwendungen betrachten, aber nicht das große Ganze. Und genau das ist gemeint mit dem holistischen Ansatz von CAST.

Hier werden sämtliche Anwendungen einer globalen Applikation auf mögliche Fehler hin untersucht, also von der Eingabequelle wie beispielsweise einer iPhone-App bis zu hin zur Transaktionsanwendung, die auf einem Mainframe-Rechner ihren Dienst verrichtet. Denn nur mit dieser vollumfänglichen Analyse über alle Ebenen hinweg können auch die sogenannten Sollbruchstellen überprüft werden, an denen es in 90 Prozent aller Fälle zu den größten Sicherheits- und Stabilitätsproblemen kommt.

Der holistische Analyseansatz der CAST Softwaretools macht den Unterschied

CAST-Software folgt den höchsten Softwarestandards

Für die Zuverlässigkeit einer Software, die mithilfe von CAST-Tools analysiert und bewertet werden soll, ist es unumgänglich, dass Standards zum Einsatz kommen. Aus diesem Grund setzt CAST seit Anfang an auf die Konformität, die sich aus dem Regelwerk anerkannter Institutionen ergibt. Dazu gehört das Software Engineering Institute (SEI), die Integration Standards Organization (ISO), das  und das Institute of Electrical and Eletronics Engineers (IEEE). Damit ist jederzeit eine bestmögliche Einhaltung bekannter Software-Standards gewährleistet.

CAST adressiert CIOs, IT-Admins und mehr

Die Analysetools von CAST folgen einem schlichten Credo: Es sollen immer genau die Daten zur Verfügung gestellt werden, die für die jeweilige Anwendergruppe relevant sind. So stellt beispielsweise das Management-Dashboard Metriken wie Ausfallrisiko einer Anwendungssoftware anschaulich dar. Damit lassen sich applikationsgenau Ressourcen festlegen und priorisieren, um bestehende Schwachstellen zu eliminieren.

Darüber hinaus können Produktmanager und Architekten mithilfe des Trend-Dashboards sehr genau die Entwicklung einer Anwendung analysieren und bewerten. Damit können sie feststellen, wie gut eine Software performt und wo mögliche Potentiale schlummern. Und zu guter Letzt bieten detaillierte Ansichten all die Informationen, die für Software-Entwickler bei der Behebung von Schwachstellen und schadhaftem Code wichtig sind.

CAST Software - Dashboard-Ansicht

CAST Software - Dashboard-Ansicht für Entwickler

Und was die Software-Tools von CAST sonst noch alles leisten, das erfahrt ihr zu einem späteren Zeitpunkt im nächsten CAST-Blogpost.

Disclaimer: Dieser Blogbeitrag ist im Auftrag der Firma CAST entstanden, die mir bei der Ausgestaltung und Formulierung nahezu freie Hand lässt.

IBM Havyn - interalktiver Security-Assistent inspired by IBM Watson

Die IT-SA 2017 wirft ihre Schatten voraus: IBM mit am Start

Zugegeben, bis zum Start der Sicherheitskonferenz und -messe IT-SA ist es noch eine ganze Weile hin, doch die ersten Presseinformationen machen schon die Runde. So meldet IBM heute, in Nürnberg vom 10. bis 12. Oktober 2017 wieder dabei zu sein. So will „Big Blue“ in Halle 10 am Stand 529 zahlreiche Lösungsangebote rund um das Thema IT-Sicherheit demonstrieren.

SAP-Umgebungen schützen, Daten überwachen/analysieren und mehr

Zu diesen IT-Security-Lösungen gehören unter anderem QRadar (SIEM), IBM BigFix Detect und MaaS360 (Endpoint-Security), IBM Resilient Incident Response Platform Enterprise, IBM InfoSphere Guardium und IBM i2 Analyze. Damit will IBM ein möglichst breites Spektrum an erprobten Sicherheitsanwendungen bereitstellen, und das hinsichtlich Schutz von SAP-Umgebungen, Endpoint-Security, der zügigen Behebung von Störfällen, echtzeitnaher Datenüberwachung im Rechenzentrum sowie der ausführlichen Analyse von großen Datenmengen.

Denn in Zeiten von WannaCry und EU-Datenschutzgrundverordnung kommt es für Firmen immer mehr darauf an, sich den drängendsten Fragen der IT-Sicherheit zu stellen – und diese mithilfe von Experten wie IBM zu beantworten.

Dieter Riexinger über SOC und IBM Watson

Wem das nicht reicht, der kann auch zwei Vorträge besuchen, die IBM auf der IT-SA mitgestaltet. Namentlich sind das die Techsessions von und mit Dieter Riexinger, der am 10. Oktober um 14 Uhr und am 11. Oktober um 11.15 Uhr darüber sprechen wird, wie das Security Operations Center (SOC) der Zukunft aussehen wird – und welche Rolle dabei IBM Watson und dessen kognitive Fähigkeiten spielen wird.

Mit „Havyn“ interaktiv Sicherheitsbedenken ausräumen

Dazu wird es auf dem IBM-Stand auch eine Virtual Reality-Demo zu sehen geben. Damit können Besucher in virtueller 3D-Anmutung hautnah in das Thema SOC eintauchen und die Möglichkeiten kennenlernen, die der digitale Security-Assistent „Havyn“ bietet.

Mit Havyn können Anwender interaktiv kommunizieren, und das mithilfe der Watson-Technik. Der Clou dahinter: Es lassen sich jegliche Fragen an Havyn richten, die mit dem Thema Sicherheit zu tun haben. In der Hoffnung, die richtigen Antworten präsentiert zu bekommen.

Nachfolgendes Video lässt erahnen, in welche Richtung das geht und was uns am IBM-Stand anlässlich der IT-SA 2017 erwartet.

httpss://www.youtube.com/watch?v=nVyqGKhLBcY

Falls Sie mehr wissen wollen zu aktuellen IBM Security-Lösungen, sollten Sie dem zugehörigen Link per Mausklick folgen.