Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

13.09.1991 - 

Restrukturierung der Datenbank führt nicht mehr zu Fehlern

Entwarnung: Die Mängel im RACF-Release 1.9 sind beseitigt

MÜNCHEN (qua) - Hatte die IBM ihren Kunden Anfang des Jahres noch vom Einsatz des RACF-Release 1.9 abgeraten, so gab der Anbieter jetzt Entwarnung: Ab sofort sollen die bei der Datenbank-Restrutkturierung aufgetretenen Mängel beseitigt sein.

Einige Anwender der "Resource Access Control Facility" erlebten ihr blaues Wunder: Wollten sie die neue Datenbank-Struktur des seit Ende vergangenen Jahres verfügbaren RACF-Release 1.9 nutzen, so paßten die Pointer plötzlich nicht mehr zu den Profilen - die Sicherheitssoftware wurde inoperativ.

Das Ergebnis war im günstigsten Fall eine generelle Zugriffssperre auf alle mit RACF geschützten Dateien. Weitaus bedenklicher wäre es einzustufen, wenn jemand auf die User-Records zugreifen könnte, ohne das jeweilige Paßwort zu kennen.

Unter den befragten Anwendern war allerdings niemand, der von solchen Sicherheitsproblemen berichtet hätte.

Einige dieser Kunden, deren Namen hier aus verständlichen Gründen nicht genannt werden, hatten ohnehin auf die im RACF-Release 1.9 vorgesehene Restrukturierung der Datenbank - und die damit verbundene Reduzierungen der I/O-Operationen - verzichtet. Andere kehrten zum Release 1.8 zurück, sobald die ersten Probleme mit der neuen Produktversion sichtbar wurden.

Für sicherheitskritische Branchen "strategisch"

Die Information, daß mit dem aktuellen RACF-Release etwas nicht stimme, hatte in Windeseile die Runde gemacht: jedenfalls wußten die Sicherheitsexperten in den betroffenen Anwenderunternehmen fast ausnahmslos sehr gut über die bei der Datenbank-Restrukturierung auftretenden Schwierigkeiten Bescheid. Das ist auch nicht weiter erstaunlich - schließlich zählt das IBM-Produkt für Unternehmen aus sicherheitskritischen Branchen wie Finanzdienstleistungen oder Rüstungsproduktion sowie für Behörden, die mit streng geheimen Informationen operieren, zu den "strategischen" Softwaresystemen.

Während verschiedene Anwender eigenen Angaben zufolge direkt von den System-Ingenieuren (SE) der IBM informiert worden waren, hatten andere lediglich aus inoffiziellen Quellen den Ratschlag erhalten, von der 1.9-Installation vorerst Abstand zu nehmen.

Offenbar gehört es zur Geschäftspolitik der IBM, RACF-Mängel erst dann zu publizieren, wenn bei den Kunden Fehler aufgetreten sind. Auf diese Weise soll vermieden werden, so erläuterte ein Kunde, daß potentielle Hacker zu früh von den Sicherheitsschwächen Wind bekommen. Zwar könne man über diese Strategie diskutieren, doch habe er sich letztendlich den Argumenten des Herstellers beugen müssen.

Die Presseabteilung der IBM GmbH in Stuttgart bestritt denn auch, daß in Deutschland eine wie auch immer geartete Empfehlung gegen den Einsatz von RACF 1.9 ausgesprochen worden sei. Lediglich in den USA habe es einige "Umstellungsschwierigkeiten" gegeben.

Etwa anders liest sich jedoch, was Stefan Glückert, Vorsitzender der IBM-Anwender-Vereinigung "Share Europe", der CW gegenüber äußerte: "Es hat eine Empfehlung der IBM gegeben, RACF 1.9 nicht einzusetzen", so der Share-Sprecher. Diese Empfehlung sei jedoch mittlerweile aufgehoben worden; "das heißt, RACF 1.9 ist inzwischen ohne Vorbehalte einsetzbar."