CHICAGO (CWN) - Im Rahmen ihres SAA-Konzepts wird die IBM voraussichtlich auch Sicherheitslücken und Design-Fehler ihres relationalen Datenbank-Management-Systems DB2 ausmerzen. Allerdings müssen sich die Kunden noch in Geduld üben: Rund zwei Jahre dürften nach Ansicht amerikanischer Branchenkenner ins Land gehen, bis die User von den geplanten Verbesserungen profitieren werden.
Für die US-Analysten steht fest, daß Big Blue mit diesem Schachzug versucht, die Absatzchancen ihres als "strategisches Produkt" titulierten Systems bei den Anwenderbetrieben zu verbessern. So hätten beispielsweise kürzlich Mitglieder der Benutzergruppen "Share" und "Guide" die sicherheitstechnische Qualität von DB2 moniert.
Einige der IBM-Kunden seien über die Sicherheitsmängel des Systems inzwischen so erbost, daß sie in Eigeninitiative Security-Extensions erstellt hätten. Kommentiert Richard Finkelstein, Vice-President Midwest Region der Codd and Date Consulting Group: "Big Blue weiß über diese Lücken im System Bescheid. Denn solche Probleme mit einem Produkt machen die Kunden sehr vorsichtig und bremsen die Kaufbereitschaft."
Als eine der hauptsächlichen Schwachstellen von DB2 wertet Finkelstein die Tatsache, daß es äußerst schwierig sei, einen Audit-Trail zu erstellen. Schon dieses Argument bewege viele Anwender dazu, sich gegen das IBM-Produkt zu entscheiden. Hinzu komme die Schwierigkeit, den Online-Zugriff auf DB2-Tabellen restriktiv zu behandeln und das Problem, Benutzerkennungen wirkungsvoll zu schützen. Ein übriges tue dann die Möglichkeit, sich relativ einfach einen Überblick über die Zugriffsmuster einzelner Mitarbeiter oder Abteilungen zu verschaffen.
"DB2 ist solange nützlich, wie nur eine einzige Abteilung oder Arbeitsgruppe ihre Abfragen startet", kommentiert Steven Campbell, DB-Analytiker bei der Public Service Electric & Gas Co., Newark/New Jersey. "Sobald jedoch verschiedene Stellen auf das DBMS-Produkt zugreifen, besteht ein echtes Sichetheitsrisiko."
Dieses Manko ist nach Meinung amerikanischer DV-Spezialisten in der Konzeption des Datenbank-Management-Systems begründet: DB2 sei darauf ausgelegt, individuelle Abfragen relativ problemlos zu unterstützen; in Produktionsumgebungen mit sicherheitskritischen Anwendungen könne indes genau diese leichte Zugriffsmöglichkeit zu Security-Lücken führen.
Manche DB2-Anwender hätten erst mehrere Monate nach der Installation des IBM-Produkts festgestellt, daß sie mit einer sicherheitstechnischen Zeitbombe lebten, heißt es in US-Fachkreisen weiter. Oberstes Gebot für die User müsse es deshalb sein, sich ihre Sicherheitsvorgaben selbst zu definieren und Maßnahmen festzulegen, die unternehmensweit greifen. Nur so lasse sich die Zeit überbrücken, bis IBM selbst das Problem aus der Welt schaffe.
Für Tom Sawyer, Senior Consultant bei Codd and Date Consulting lautet die wichtigste Regel, bei der Vergabe von Update-Berechtigungen sehr restriktiv vorzugehen.
IBM plant dem Vernehmen nach, im Rahmen ihrer Systems Application Architecture (SAA) eine zusätzliche Sicherungsschicht für DB2 einzuziehen. Dieser Schritt werde Bestandteil einer umfassenden Strategie sein die darauf ziele, alle SAA-Produkte mit umfassenden Security-Facilities auszurüsten.