Wie kann man sicherstellen daß nur autorisierte Benutzer auf das Computer-Netzwerk zugreifen? Und wie kann man den leichten Zugriff für diejenigen sicherstellen, deren Zugriff gewünscht ist. Ernst Hofmann* skizziert die Möglichkeiten, die eine Netzwerk-Management-Software in diesem Fall bietet.

Die sich scheinbar widersprechenden Zielsetzungen - leichter Datenzugriff bei gleichzeitiger Aufrechterhaltung der Sicherheit - werden durch zwei sich parallel entwickelnde Trends in der Industrie noch komplizierter.

Der erste Trend geht dahin, daß mehr und mehr Netzwerke Anwendern außerhalb des Unternehmens zugänglich gemacht werden. Die Banken bieten ihren Kunden die Möglichkeit, Rechnungen via Telefon zu bezahlen. Hersteller und Verteiler stellen ihr Online-Bestellsystem dem Kunden zur Verfügung, um die Lieferung von Gütern und Dienstleistungen zu beschleunigen. Im Versicherungswesen werden beispielsweise Online-Datenbanken "Außenstehenden" - etwa unabhängigen Agenten, die Informationen über Policen benötigen - zur Verfügung gestellt. Für die Benutzer steht die Möglichkeit des leichten Datenzugriffs an erster Stelle. Ist die Nutzung des Computernetzwerks zu schwierig oder zu aufwendig, finden diese Dienste keine Akzeptanz.

Der andere Trend ist die wachsende Zahl von Personen mit Computerwissen, die sich unerlaubten Zugang zu diesen Systemen zu verschaffen suchen. Computerkriminalität in Form von Geld- oder Informationsdiebstahl steigt in erschreckendem Maße. Des weiteren sind da noch die "Hacker", denen es anscheinend Vergnügen bereitet, Files zu ändern oder "Zeitbomben" zu legen - mit Programmen, die organisatorische Netzwerke und Datenbanken beschädigen oder gar zerstören können.

Sicherheit: Die "Falschen" fernhalten

Wenn die meisten Organisationen von Sicherheit reden, sprechen sie selten davon, wie unberechtigte Benutzer vom Netzwerk fernzuhalten sind. Sie beziehen sich zumeist nur auf die Zugriffsbeschränkung in bezug auf VTAM-Anwendungen oder Subsysteme wie CICS, IMS, TSO etc. Nichts davon verhindert den Zugriff auf das Netzwerk selbst.

Diese Art von Sicherheit läßt sich mit dem Verschließen aller inneren Türen eines Hauses vergleichen während die Haustür offen bleibt. Eine besondere Sicherheitszone auf Netzwerk-Ebene kann diese Außentür verschließen, so daß unautorisierte Anwender noch nicht einmal ins Netzwerk eindringen können, geschweige denn in CICS, TSO etc.

Umfassende Kontrolle der Anwendungen

Durch Installierung einer angemessenen Netzwerk-Management-Software kann ein Unternehmen den Zugriff der Benutzer des Netzwerks bestimmen und kontrollieren, noch bevor diese überhaupt eine Chance haben, den Zugang zu VTAM-Anwendungen zu erreichen. Ebenso kann das Unternehmen die für Endbenutzer, Programmierer oder Operatoren autorisierten Benutzer-IDs Paßwörter und VTAM-Anwendungen festlegen und kontrollieren.

In das System können Timer eingebaut sein, die das Terminal offline setzen, wenn in einer bestimmten Zeiteinheit die korrekten IDs oder Paßwörter nicht eingegeben werden, womit jegliche Möglichkeit des Datenzugriffs entfällt. Eine derartige Einrichtung wird jeden nicht autorisierten Benutzer (ob innerhalb oder außerhalb des Unternehmens) davon abhalten, zufällige IDs oder Paßwörter auszuprobieren.

Diese Art der Sicherung hält die Netzwerktür den nicht autorisierten Benutzern im wesentlichen verschlossen, so daß auf der VTAM-Netzwerkebene eine gesonderte Sicherheitszone neben der entsprechenden Anwendungsebene etabliert ist.

Zugriff: Die "Richtigen" einlassen

Das Fernhalten zunehmend erfahrener und (computer-)gebildeter Personen vom Zugriff auf ein Computernetzwerk ist eine fortwährende Herausforderung. Wie kann man unerfahrenden Computerneulingen leichter Zugang verschaffen, die ja einen berechtigten Anspruch auf die Nutzung des Netzwerks erheben?

Man sehe sich nur folgendes frustrierende Szenario an: Ein Endanwender schafft es, sich einen Weg - über einen kniffligen Prozeß von Sign-ons - durch VTAM, dann CICS und schließlich zur eigentlichen Anwendung zu bahnen. Nun muß der User, da der Anwendungsbereich mehrfache VTAM-Subsysteme umfaßt, auch noch mehrere CICS-Sign-on-Prozeduren kennen und auch solche für den Zugang zu TSO, CMS etc.

Darüber hinaus muß er den "Codenamen" wissen, über den der Computer die Anwendung identifiziert. Und - vielleicht das Frustrierendste von allem - er muß sich für eine Anwendung anmelden, von der er noch nicht einmal weiß, ob sie überhaupt verfügbar ist. Die einzige Möglichkeit ist das Trial-and-Error-Verfahren, wenn VTAM und/oder CICS mit unergründlichen Meldungen aufwarten. Des Endanwenders einzige Zuflucht angesichts eines derartigen Szenarios sind die Instanzen "Help Desk" oder "Operations". Ärgerlich und frustriert mag er zu dem Schluß kommen, daß Computer unergründliche Mysterien darstellen oder gar, daß die DV-Abteilung des Unternehmens seinen Anforderungen gegenüber unfreundlich gesinnt ist.

Wiederum kann eine Lösung die richtige Software am Front-end des Netzwerks sein. Wenn der Benutzer nach der korrekten ID- oder Paßworteingabe unmittelbar eine Bildschirmmaske erhält, welche ihm diejenigen Anwendungen anbietet, für die er autorisiert ist, kann der Frustrationslevel entscheidend reduziert, wenn nicht gar eliminiert werden.

Ist die Benutzerfreundlichkeit oberstes Ziel, kann die Netzwerk-Management-Software die Sign-on-Komplexität noch weiter verringern. Das Anwendungsmenü des Benutzers könnte durch vorprogrammierte PF-Tasten, Lichtstift oder durch Cursorsteuerung zugänglich gemacht werden. Auf dieser Ebene ist das Ziel die Leichtigkeit des Zugriffs und das Vermindern von Frustrationen des Endbenutzers, wo immer das möglich ist. Ausführliche "Help"-Einrichtungen und Lehrbeispiele, elektronische Memo-Systeme und "News"-Anwendungen können für das System entworfen werden, die denen, die sie benötigen, bei der Einarbeitung zur Seite stehen. Ist zum Beispiel eine Anwendung nicht verfügbar, wird der Benutzer auf dem Bildschirm darauf hingewiesen.

Auswahlkriterien

Netzwerkzugang und Netzwerksicherheit müssen sich nicht gegenseitig ausschließen. Mit der richtigen Netzwerk-Management-Software sind beide Ziele erreichbar. Bei der Auswahl der Netzwerk-Management-Software sollte man unbedingt auf folgende Kriterien achten:

- die Möglichkeit, jenseits der VTAM-Ebene zu bestimmen, wer Zugang zum Netzwerk haben darf;

- die Möglichkeit, genau festzulegen, welchen Benutzern welche Anwendungen erlaubt sind und wann;

- die Möglichkeit, die Prozeduren des Netzwerk-Zugriffs auf die spezifischen "Anforderungen" des Benutzers zurechtzuschneiden;

- Bildschirm-Designwerkzeuge, mit denen man Inhalt und Erscheinungsweise für jede Benutzermaske entwerfen kann;

- Möglichkeiten zum Nachrichtenaustausch, um Anwendungsstrategie oder -meldungen an spezifizierte Benutzer oder Benutzergruppen abzusetzen, und

- das automatische Protokollieren aller Aktivitäten, um Buchführung und die Zugriffspfade aller Benutzer-Aktivitäten im Auge behalten zu können, die innerhalb des Netzwerks beschritten werden.

Das Protokollieren der Aktivitäten ("Activity logging") ist ein besonders wirksames Mittel, um festzustellen, wer Zugriff auf das Netzwerk hat (oder es versucht). Auf einen Blick kann man feststellen, wie erfolgreich man beim Einlassen der "Richtigen" und Fernhalten der "Falschen" ist und ob zusätzliche Maßnahmen erforderlich sind, um den Zugang und die Sicherheit zu verbessern.

Mit der richtigen Netzwerk-Management-Software läßt sich mehr als Netzwerkzugang und -sicherheit erreichen: Die Benutzer werden von Netzwerkveränderungen ferngehalten, sind besser informiert über die Möglichkeiten des Netzwerks und haben gezielten Zugriff entsprechend ihrer speziellen Anforderungen.