AUSZUG AUS DV-Dialog | Ausgabe 1-2|2008 Mit Sicherheit nicht auf dem Trockenen sitzen Wie Trinks durch wirksamen Zugriffsschutz bei den wichtigen IT-Systemen für eine reibungslose Getränkelogistik sorgt VON TIM BUSCH A uf dem Trockenen sitzen würden weite Teile Deutschlands, würde es Firmen wie Trinks nicht geben. Das Traditionsunternehmen mit Hauptsitz in Goslar wurde bereits 1735 in Berlin gegründet und blickt auf 270 Jahre Erfahrung im Getränkegeschäft zurück. Fast 1.500 Mitarbeiter sorgen in 15 Niederlassungen in Deutschland dafür, dass der Handel und die Gastronomie zuverlässig, schnell und sicher mit Produkten von höchster Qualität versorgt werden. Daraus resultieren logistische Anforderungen, die mit moderner IT bewältigt werden. „Die IT muss dazu schnell, zuverlässig und – vor allem – sicher geschützt arbeiten“, erklärt Detlef Waschke, Leiter der IT-Softwareentwicklung beim Getränkelogistiker Trinks, der dazu auf ein heterogenes IT-Umfeld setzt. Alle zentralen Anwendungen laufen auf einem i5-Modell 550, das – da das Die Phasen Initialisierung, Implementierung und Test dauerten sechs Wochen Thema Hochverfügbarkeit im Hause groß geschrieben wird – gespiegelt ist. Auch die Systeme der Niederlassungen auf einem iSeries-Modell 825 sind ebenfalls in Goslar stationiert und ebenfalls aus Gründen der Hochverfügbarkeit gespiegelt. Daneben setzt Trinks ein normales Windows-Umfeld unter Einbeziehung von Lotus Notes ein. Diese IT-Infrastruktur soll – möglichst perfekt – gegen unerwünschte Zugriffe, Miss- brauch oder versehentliche Fehlbedienungen geschützt sein, ohne dass der Zugriff auf das zentrale System von den Niederlassungen aus unnötig erschwert wird. Von Anfang an hat man bei Trinks daher der internen Systemsicherheit größtmögliche Priorität eingeräumt. Der Einsatz einer Security-Lösung war unumgänglich, da man etwaige Probleme schnell erkennen und von vornherein im Griff haben wollte, beispielsweise den Zugriff auf firmensensible Daten. Insbesondere sollten unkontrollierte Up- bzw. Downloads von Daten verhindert werden, ebenso aber auch gewollte und ungewollte Datenmanipulationen. Schlussendlich mussten die Systeme natürlich auch vor dem Zugriff von außen durch eine Firewall geschützt werden. Hier sei kurz angeführt, dass national/international oft Konzernvorgaben wie etwa Basel II im Bankenbereich, SOX (Sarbanes-Oxley Act), eben AUSZUG 2 auf Konzernebene, oder auch die Frage der Versicherungshaftung im Worst-Case, ein Handeln erfordern. Der anders nicht kontrollierbare Zugriff auf die OS/400-Datenbanken hat vor diesem Hintergrund letztendlich bei Trinks zur Einführung einer OS/400-basierten Sicherheitssoftware geführt: Die Zutrittkontrollsoftware PCSACC/400 von der Firma Busch & Partner. Das umgangssprachlich oft „BuschTool“ genannte Paket bietet u.a. Kontroll- zwei Wochen intensiv geplant und umgesetzt.“ Betreut wird die Software heute von zwei Mitarbeitern, wobei auch hier das Prinzip des Hot-Backup beibehalten wurde, da insgesamt vier Mitarbeiter im Umgang mit dem Produkt geschult sind. „Nach vernünftiger Planung und Einrichtung zieht der Einsatz von PCSACC/400 keinen großen Mehraufwand im Tagesgeschäft nach sich, da die Pflege der Zugriffe im Produkt durch klare Vorgaben gesteuert ist“, zieht Waschke Bilanz. Dabei habe man nun einen klaren Vorteil durch die Möglichkeit Benutzer- oder Sicherheitsgruppen einzurichten, über die der Zugriff gesteuert wird. „Damit können wir ein großes Feld von Usern einfach und übersichtlich steuern und kontrollieren“, stellt der Leiter der Softwareentwicklung heraus. „Außerdem können wir den Ursprung von Datenmanipulation zurückverfolgen und dabei neben der Journalfunktion bis in die Bereiche der Datei/Teildateiebene sehr stark in die Tiefe gehen, wenn es nötig ist.“ Generell tendiere der Aufwand, den der Einsatz dieser Software nach der Einführung induziert „gegen Null, da sie sehr gut zu bedienen und logisch aufgebaut ist.“ < Über PCSACC/400 Sicherheitsrisiken schnell erkennen und minimieren möglichkeiten für Zugriffe mit IBM iSeries Access für Windows (via SQL, ODBC oder JDBC), Dateiübertragung vom/zum PC, IFSZugriffe, das Ausführen remoter Warteschlangen (RMTCMD, iSeries Navigator). Datenwarteschlangen bzw. Datenbereiche können damit genauso gut und einfach kontrolliert werden wie z.B. Zugriffe über Rumba/400-,Showcase-, DDM-, TCP/IP,TFTP, REXEC oder TCP/IP Telnet (inkl. 5250/Telnet). Die zentrale Steuerung des Systems in einem Programm und die damit verbundene Übersicht aller wichtigen Funktionen auf einen Blick macht laut Waschke das Arbeiten sehr angenehm, ebenso die Aufzeichnung der Datenbankanforderungen im „T“-estbetrieb. Hierbei wird gewährleistet, dass die Produktivumgebung bei der Einführung des Systems keinen Schaden nimmt. Auch die Möglichkeit, die Zugriffskontrolle im Green Screen-Mode zu administrieren (eine graphische Version ist für 2008 geplant), schätzt Waschke sehr. „Die Initialisierung, Implementierung und die Testphase schlugen mit sechs Wochen zu Buche“, erinnert sich Waschke an die Einführung der Sicherheitssoftware. „Anschließend wurde die Berechtigungssteuerung Die Software erlaubt nur Zugriffe, die in einer Sicherheitsdatenbank gespeichert sind. Objektberechtigungen werden nicht verändert, alle bisherigen Programme unter i5/OS (bzw. OS/400) laufen problemlos weiter. Dennoch wird in kürzester Zeit eine absolute Kontrolle über alle Zugriffe auf DB2/400-Daten möglich. Die Installation ist einfach; Zugriffe werden automatisch aufgezeichnet und täglich in Zugriffsrechte umgesetzt. Dadurch lernen die Überwachungsprogramme und protokollieren nur noch neue Zugriffe. Deshalb bleiben die Protokolldateien klein, auch weil gelöschter Plattenplatz wieder verwendet wird. Dabei können die einzelnen Datenrechte zugeordnet werden, und die Kontrolle ist bis zur Teildatei möglich. Neben Datenbankzugriffen werden auch IFS-Zugriffe kontrolliert, ebenso Befehle durch PCs und remote System i5- bzw. AS/400-Server, Datenwarteschlangen, TCP/IP FTP-Datenbankzugriffe und TelnetSitzungen (5250/ TELNET). PCSACC/400 basiert auf OS/400 V4R3 und wurde bis V5R4 getestet. Desweiteren ist die Software komplett mehrsprachig und unterstützt Deutsch 2929, Deutsch International 2939 und US Englisch 2924. www.pcsacc400.de DV-Dialog 1-2/2008 | 16. Januar 2008