IBM i Solutions

IBM i-Lösungen zur Einhaltung von Sicherheitsvorschriften

Erfüllen Sie IT-Sicherheitsvorschriften und Audit-Anforderungen in Bezug auf Compliance-Überwachung, Zugriffskontrolle und Datenschutz in IBM i-Umgebungen mit den Sicherheitslösungen von Precisely.

Einhaltung von Compliance-Richtlinien

Um Vorschriften zum Datenschutz und zur Wahrung der Privatsphäre einzuhalten – und hohe Geldstrafen zu vermeiden – müssen Unternehmen eine Vielzahl an Sicherheitsstandards erfüllen.

Unternehmen unterliegen branchenspezifischen, staatlichen und länderspezifischen Vorschriften. Oft wird erwartet, dass sie die Anforderungen mehrerer Aufsichtsbehörden erfüllen. IBM i-Sicherheit und -Kontrolle ist ein wichtiges Thema, zumal IBM i-Systeme wichtige Datenquellen darstellen. In der heutigen Geschäftswelt sind das Verständnis und die Einhaltung von Sicherheitsstandards- und -vorschriften von entscheidender Bedeutung. Vollständige Compliance zu erreichen, ist nicht nur ein technisches oder rechtliches Anliegen, sondern auch eine geschäftliche Notwendigkeit.

Mehr als die Hälfte aller IBM i-Power-User glauben, dass die Sicherheitsinvestitionen ihres Unternehmens sich auf die drei Säulen der Sicherheitsregeln konzentrieren: Compliance, Auditing und Reporting. Da jedoch Datenschutz- und Sicherheitsvorschriften immer komplexer werden, wird auch deren Erfüllung immer schwieriger.

Sicherheitsvorschriften

Unabhängig davon, welche spezifischen Sicherheitsvorschriften ein Unternehmen einzuhalten hat: Um vollständige Compliance mit den verschiedenen Richtlinien zu erreichen, kann der Einsatz mehrerer IBM i-Sicherheitslösungen erforderlich sein.

Zugriffskontrolle

Lösungen für die Zugriffskontrolle sorgen dafür, dass nicht autorisierte Personen Ihrer IBM i-Umgebung fernbleiben. Gleichzeitig können Sie damit genau kontrollieren, was autorisierte, angemeldete Personen tun dürfen. Eine Komplettlösung kontrolliert den Zugang über Netzwerke, Kommunikationsports, Open Source-Datenbankprotokolle, Befehlszeilen und mehr und generiert Warnungen, wenn verdächtige Aktivitäten entdeckt werden.

Multi-Faktor-Authentifizierung

Bestimmte Vorschriften erfordern eine Multi-Faktor-Authentifizierung (MFA), um vertrauliche Daten vor fremden Blicken zu schützen. Dabei müssen sich Anwender über zwei oder mehr Faktoren identifizieren, damit ihnen der Zugriff gewährt wird. Zusätzlich zur Kontrolle von Systemanmeldungen können MFA-Lösungen für bestimmte Vorgänge verwendet werden, z. B. um den Zugriff auf bestimmte Datenbanken, einzelne Dateien oder sogar Befehle zu kontrollieren.

Verwaltung erweiterter Rechte

Die Verwaltung erweiterter Rechte ist erforderlich, um die Verwendung von komplexen Profilen mit potenziell gefährlichen Funktionen wie *SECADM-Berechtigung oder *ALLOBJ-Berechtigung zu kontrollieren. Auditoren empfehlen, Anwendern nur die Rechte zu gewähren, die sie für ihre Arbeit benötigen, und erweiterte Rechte nur temporär für bestimmte Aufgaben zu vergeben. Mit den Verwaltungslösungen für erweiterte Rechte lassen sich der Prozess der temporären, bedarfsgerechten Vergabe erweiterter Rechte und die optionale Protokollierung aller Aktionen von privilegierten Anwendern automatisieren.

Datenschutzmaßnahmen

Viele Richtlinien schreiben Maßnahmen zum Schutz von Daten vor, um zu verhindern, dass personenbezogene Daten (PII), persönliche Gesundheitsdaten (PHI) und Kreditkarteninformationen von nicht autorisierten Personen eingesehen werden können. Daten können bei der Übertragung oder im Ruhezustand durch Verschlüsselungs-, Tokenisierungs-, Anonymisierungs- und Managed-File-Transfer-Lösungen geschützt werden.

Compliance-Monitoring und -Reporting

Viele Vorschriften erfordern Audit Trails für Daten- und Systemänderungen, die dann als Compliance-Nachweis verwendet werden können. In bestimmten Fällen müssen Audit Trails über mehrere Jahre aufbewahrt werden. Neben den im IBM i-Betriebssystem integrierten Protokollfunktionen sorgen Lösungen zur Protokollierung von Sicherheitsereignissen wie Dateientschlüsselung, Änderungen an sensiblen Daten innerhalb einer Datei und fehlgeschlagene MFA-Versuche für noch mehr Transparenz bei Sicherheitsvorfällen.

Lösungen für vorlagenbasiertes Compliance-Monitoring und -Reporting nutzen leistungsstarke Filter-, Abfrage- und Mappingfunktionen, um den Inhalt von IBM i-Protokolldateien zu analysieren und sicherzustellen, dass Ihr System die gesetzlichen Vorschriften erfüllt. Warnungen und Berichte weisen auf Bereiche hin, die ein besonderes Augenmerk erfordern. Die Lösungen können auch zur Überwachung der Compliance mit internen Sicherheitsrichtlinien und zur Markierung von Ereignissen, wie z. B. Dateizugriffe außerhalb der Arbeitszeiten, Anzeige einer sensiblen Spool-Datei, Änderungen an Berechtigungen und mehr eingesetzt werden.

Mit der Übermittlung dieser protokollierten Ereignisse an eine SIEM-Lösung können IBM i-Sicherheitsdaten zusammen mit Daten aus anderen Plattformen korreliert, analysiert und in Berichten festgehalten werden.

Bewertung der Sicherheitsrisiken

Sicherheitsrisikobewertungen sind wichtige Hilfsmittel für die proaktive Suche nach Sicherheitslücken und werden von vielen Cybersicherheitsvorschriften verlangt. Tools und Dienste zur Bewertung von Sicherheitsrisiken sollten Systemwerte, Kennworteinstellungen, Bibliotheksberechtigungen, offene Ports, Exitprogramme und mehr überprüfen, um Berichte zu potenziellen Risiken zu erstellen und Empfehlungen zu deren Behebung zu geben.

Sicherheitsvorschriften überschneiden sich oft mit internationalen oder branchenspezifischen Richtlinien und betreffen Unternehmen, die sowohl im öffentlichen als auch im privaten Sektor und auf verschiedenen Märkten tätig sind. Die wichtigsten Vorschriften für Datenschutz und -sicherheit beziehen sich auf personenbezogene Informationen, Gesundheitsdaten und Finanztransaktionen:

Sarbanes-Oxley Act

Dieses US-Bundesgesetz soll die Transparenz in öffentlichen Unternehmen in den USA im Hinblick auf ihre finanzielle Berichterstattung verbessern.

Im Rahmen von Audits werden Sicherheitsrichtlinien und -standards, Zugriffs- und Autorisierungskontrollen, die Netzwerksicherheit, Funktionen zur System- und Netzwerküberwachung und die Trennung von Rechten und Pflichten überprüft.

Payment Card Industry Data Security Standard (PCI-DSS)

Das Hauptziel von PCI-DSS ist es, Kreditkartenbetrugsfälle zu minimieren und die Zahlungsinformationen von Verbrauchern zu schützen.

Wie Sarbanes-Oxley erfordert PCI-DSS eine jährliche Überprüfung der Einhaltung der Vorschriften und der Sicherheitskontrollen in Bezug auf Firewalls, Zugriffsverwaltung, Schutz der Daten der Karteninhaber, Verschlüsselung, Netzwerk- und Systemüberwachung sowie Protokollierung von Sicherheitsprüfungen.

Health Insurance Portability and Accountability Act (HIPAA)

HIPAA ist ein US-Gesetz zum Schutz persönlicher Gesundheitsdaten.

HIPAA-Richtlinien betreffen Bereiche wie Zugriffskontrolle, Schutz von Daten bei ihrer Übertragung, Systemzugriffsüberwachung, Reaktion auf Vorfälle und Berichterstattung.

Datenschutz-Grundverordnung (DSGVO)

Bei der DSGVO handelt es sich um eine Reihe von Richtlinien, die vorschreiben, wie Daten von EU-Bürgern erfasst, gespeichert und verwaltet werden.

Jedes Unternehmen, das Daten von europäischen Bürgern verarbeitet, muss die Sicherheitsstandards der DSGVO erfüllen, ungeachtet davon, wo sich sein Hauptsitz oder seine Server befinden. Obwohl es bei der DSGVO vor allem um die Einwilligung der Nutzer geht, beinhaltet sie auch detaillierte Regeln zur Protokollierung von Datenschutzverletzungen.

California Consumer Privacy Act (CCPA)

Das kalifornische Datenschutzgesetz CCPA soll den Datenschutz für Verbraucher stärken. Es enthält eine weit gefasste Definition des Begriffs „personenbezogene Daten“.

Ähnlich wie bei der DSGVO gilt das CCPA-Gesetz für alle Unternehmen, die Daten über Bewohner des Bundesstaates Kalifornien erfassen, unabhängig davon, wo das Unternehmen, das die Daten erfasst oder speichert, seinen Sitz hat.

Kundenbericht – Corpbanca

Angesichts der Herausforderung, Sicherheitsvorschriften der chilenischen Regierung und PCI-Richtlinien zügig zu erfüllen, implementierte Corpbanca die Lösungen Assure Monitoring and Reporting sowie Assure System Access Manager, um das Transaktions-Auditing und die Zugriffskontrolle zu verbessern. Corpbanca benötigte Lösungen zur Einhaltung gesetzlicher Vorschriften in Bezug auf Überwachung und Berichterstattung, Schutz sensibler Dateien und Überwachung des Verhaltens von Power Usern.

Die Bank entschied sich für Assure Monitoring and Reporting, um Änderungen an sensiblen Geschäftsdateien nachzuverfolgen und zu überprüfen. Damit können Administratoren mühelos verwertbare Berichte erstellen, entweder ad hoc oder nach Zeitplan, und diese automatisch an den zuständigen Mitarbeiter weiterleiten. Das Unternehmen konnte damit viele Arbeitsstunden einsparen, die normalerweise für das manuelle Suchen, Organisieren, Formatieren und Verteilen von Auditdaten nötig wären.

Lesen Sie die Fallstudie, um mehr zu erfahren.

Kundenbericht – Westpac Pacific Banking Corporation

Als Teil der Global Westpac Banking Corporation muss Westpac Pacific Banking verschiedene gesetzliche Richtlinien erfüllen. Dazu benötigt die Bank Einblicke in sämtliche Abläufe innerhalb ihrer gesamten IBM i-Umgebung.

Seit der Einführung der System-Auditfunktionen von Assure Monitoring and Reporting profitieren Auditoren und interne Sicherheitsbeauftragte von einer präzisen und detaillierten Berichterstellung. Ein weiter Vorteil ist, dass der Audit- und Compliance-Prozess heute wesentlich stärker automatisiert ist. Das erspart dem IT-Personal viele Arbeitsstunden für die Erfassung von Systemdaten, Verwaltung von Benutzerzugriffen und Formatierung der Daten für Berichte, die von Auditoren ausgewertet werden können.

Lesen Sie die Fallstudie, um mehr zu erfahren.

Worauf bei einer Compliance-Bewertung zu achten ist

Eine gründliche Compliance-Bewertung auf einem IBM i-Server und die umfassende Prüfung der Systemsicherheit hinsichtlich der gesetzlichen Anforderungen setzt ein beträchtliches Fachwissen voraus. Unternehmen fehlt es oft an solch fundierten IBM i-Fachkenntnissen. Deshalb müssen sie die Bewertung von einem externen Berater oder Anbieter ausführen lassen. In der Regel gilt die Beauftragung eines unabhängigen Auditors als beste Vorgehensweise.

Jeder IBM i-Compliance-Auditor sollte über umfassende Kenntnisse des IBM i-Betriebssystems verfügen. Unternehmen können sich aber auch selbst helfen, indem sie ihre Kennwort- und Authentifizierungsrichtlinien, Power-User-Profile, Objekteinstellungen, Exitpunkte und andere Problembereiche überprüfen.

Nach Abschluss sollte Ihre Compliance-Bewertung klare Handlungsanweisungen für die zur Erfüllung der verschiedenen Vorschriften erforderlichen Änderungen angeben.

Lesen Sie unser E-Book: Gut gewappnet fürs nächste Audit: Herausforderungen im Hinblick auf die Sicherheit Ihres IBM i-Systems und die Aufrechterhaltung der Compliance. 

Alleingänge vermeiden

Angesichts knapper Ressourcen und fehlender interner Fachkenntnisse ist es für Unternehmen am sinnvollsten, sich bei ihren Bemühungen um die Einhaltung der Cybersicherheitsvorschriften durch einen externen Dienstleister oder Berater unterstützen zu lassen.

Ein erfahrener Cybersicherheitsexperte kann Unternehmen helfen, gesetzliche Vorschriften einzuhalten und gleichzeitig IT-Fachkräfte für andere, ebenso wichtige Aufgaben freizustellen. Dringend empfohlen wird auch ein fortlaufendes Auditing, um die Sicherheitshygiene kontinuierlich zu bewerten und zu überprüfen, ob Datenmanagementverfahren up to date sind und den neuesten Best Practices entsprechen.

Das Aufkommen detaillierter und komplexer Sicherheitsvorschriften wie DSGVO und CCPA ist Ausdruck unserer Zeit und des anhaltenden Umdenkens in Bezug auf Datenschutzkontrollen und Sicherheitsstandards. Es handelt sich nicht um den Höhepunkt eskalierender Vorschriften, sondern vielmehr um den Beginn einer neue Ära des Risiko- und Compliance-Managements.

Laden Sie unsere Produktinformation über Professionelle Sicherheitsdienste herunter, um mehr zu erfahren.