Internet-Sicherheit/Nicht mehr Gefangene der eigenen Sicherheitsanforderungen

VM-Mainframes gewinnen ein zweites Leben als Web-Server

10.11.1998
Von Ekkehard Seith* Den auf sichere Transaktionen ausgelegten Mainframes muß das Web nicht fremd bleiben. Die VM/ESA-Rechner mit dem Open-Edition-System lassen sich für Internet- und Intranet-Anwendungen erweitern.

Downsizing, und damit verbunden die Abkehr von Main- frame-Systemen zugunsten dezentraler DV-Architekturen, hatte zu Beginn der 90er Jahre auch Auswirkungen auf das VM-Betriebssystem von IBM: Zwischen 1990 und 1994 sank die Zahl der VM-Systeme nach Angaben des Marktforschungsinstituts IDC weltweit um sechs Prozent auf rund 13000 Installationen.

Seither zeichnet sich aber wieder ein Mainframe-Revival ab: Unternehmen entdecken die Qualitäten ihres VM-Host im Sinne eines Rightsizing wieder neu - als transaktionssicheren Web-Server.

Die Trendwende in Unternehmen, vorhandene Mainframes sinnvoll zu nutzen, liegt zum einen an der offenen VM-Umgebung VM/ESA. Diese rückt gerade mit Blick auf die Web-Kommunikation Mainframe-Stärken wie Zuverlässigkeit, Sicherheit und Skalierbarkeit in den Vordergrund. IDC-Prognosen zufolge werden VM-Systeme deshalb im Zeitraum von 1995 bis 1998 wieder ein leichtes Plus von drei Prozent auf etwa 13 500 Installationen verzeichnen, mit dann weltweit rund neun Millionen Endanwendern.

Hinzu kommt, daß VM-Betriebssysteme in ihrer Architektur Client-Server-typische Eigenschaften bieten: Jeder Anwender verfügt über seine eigene Rechnerumgebung im Sinne des Distributed Computing Environment (DCE), sozusagen über seinen eigenen PC - in der Mehrheit der Applikationen 3270-Terminals. Zudem hat IBM kontinuierlich Verbesserungen eingebracht, um Schwachstellen im direkten Vergleich mit PC-Workstations zu egalisieren.

Diese Modernisierungen spiegeln sich vor allem im aktuellen Open-Edition-System wider, das auf 37 Prozent der VM-Umgebungen installiert ist. Dieses System hat in puncto Benutzeroberfläche, Bedienerfreundlichkeit und Connectivity-Optionen eine wesentliche Aufwertung erfahren.

Darüber hinaus unterstützt es das Betriebssystem TCP/IP und integriert sich so nahtlos in einen Netzwerkverbund. Es bestehen also insgesamt durchaus optimale Voraussetzungen für Intra- und Extranets.

Diese Vorteile sollte ein Unternehmen nicht unberücksichtigt lassen, bevor es seinen VM-Mainframe zum Alteisen gibt.

Das gilt insbesondere vor dem Hintergrund, daß die Portierung der bestehenden Anwendungen auf ein anderes Betriebssystem oder ihr Ersatz durch eine auch noch an spezifische Anforderungen anzupassende Software von der Stange zumindest erhebliche Kosten verursacht. Außerdem wären damit unvorhersehbare Sicherheitsrisiken während der Einführung verbunden.

Ein völlig neuer Wirtschaftlichkeitsbonus erwächst durch den immer bedeutenderen Faktor Web-Kommunikation. In diesem Zusammenhang können die Stärken eines VM-Betriebssystems, wobei vor allem Zuverlässigkeit und Sicherheit bei transaktionsintensiven Anwendungen zu nennen wären, im Internet positiv zum Tragen kommen. Daher überlegen viele Unternehmen, wie sie die vorhandene DV-Infrastruktur weiter einsetzen können, um die getätigten Investitionen zu schützen. Sie streben dabei zugleich das Ziel an, eine kosteneffektive Plattform zu schaffen, auf der auch eigenentwickelte 3270-Anwendungen Web-fähig werden.

Um Angestellten und Kunden eine 3270-Applikation via Intranet oder Extranet zur Verfügung zu stellen, ohne die gegebene Systemverwaltung zu ändern, können Unternehmen auf dem Betriebssystem VM/ESA einen entsprechenden WWW-Server implementieren. Damit erhalten zugriffsberechtigte Nutzer von allen Standorten aus Zugang zu VM-Daten und speziellen 3270-Anwendungen. Aufgrund seiner bekannten Multitasking-Fähigkeiten eignet sich ein solcher Web-Server besonders für umfangreiche Transaktionen in großen Benutzergruppen.

Für die Web-Fähigkeit von Anwendungen auf dem VM-Rechner oder beliebigen anderen Main- frame-Plattformen werden lediglich ein zusätzliches Gateway sowie auf der Anwenderseite ein marktgängiger Web-Browser benötigt. Letzterer stellt hierbei das Enduser-Interface dar.

Ein Web-Server gleicht Mainframe-Defizite aus

Da der Browser HTTP zur Kommunikation benutzt und HTML als gängigstes Format verarbeitet, muß eine passende Schnittstelle zwischen Browser und Anwendungs-Server geschaltet werden. Diese läßt sich durch Common Gateway Interface Scripts (CGI-Scripts) realisieren. Basierend auf Browser-Eingaben verschiedener Clients übernimmt der Anwendungs-Server die Kommandos der CGI-Scripts, führt sie aus und sendet die Ergebnisse an die jeweiligen CGI-Scripts zurück. Dort werden sie in HTML übersetzt und via Browser angezeigt.

Viele Mainframe-Anwendungen besitzen aber bestimmte Zugangsvoraussetzungen, die ohne entsprechende Gateway-Funktionen eine Entwicklung von CGI-Scripts erschweren oder gar unmöglich machen. Das wäre zum Beispiel der Fall, wenn ein zeilenorientiertes Interface fehlt und so CGI-Scripts zwischen Clients und Anwendungs-Server ausschließlich über Full-Screen-Datenströme kommunizieren. Ein anderes Beispiel wäre die Situation, daß Clients bestimmte Ressourcen verwenden, die ausschließlich über die Mainframe-User-ID des Anwenders zugänglich sind. Genau dies sollte ein im Web-Server enthaltenes Internet-Gateway für Mainframe-Applikationen sicherstellen.

Mit Hilfe der Gateway-Funktionen werden auch nichtstandardisierte und eigenentwickelte Anwendungen mit CGI-Scripts ins Web gebracht. Ein integrierter Session-Manager gestaltet dabei die Entwicklung Web-fähiger Full-Screen-Anwendungen ebenso einfach wie die zeilenorientierter Anwendungen. Diese Gleichstellung gegenüber der Web-Technologie erstreckt sich auch auf die Belange des Datenschutzes und der Zugriffskontrolle. Die CGI-Scripts erhalten über den Web-Server eine umfassende, aber kontrollierte Zugangsberechtigung auf alle Mainframe-Ressourcen, ohne die Datensicherheit zu gefährden.

Weitere Anforderungen an einen Web-Server für VM ist die Modernisierung der Benutzeroberfläche in Anlehnung an den Windows-orientierten Aufbau des Browsers. Die Bedienerfreundlichkeit von 3270-Anwendungen läßt sich erheblich verbessern, wenn beispielsweise mehrere Menüs einer Anwendung in einer einzigen Oberfläche zusammengefaßt, numerische Auswahlfunktionen durch benutzerfreundliche Icons ersetzt und einzelne Menüpunkte durch Pull-down-Boxes ausgetauscht werden können.

Außerdem sollten CGI-Scripts die zumeist textorientierten Mainframe-Anwendungen in HTML konvertieren. Dann lassen sich zahlreiche Multimedia-Komponenten wie Bilder, Grafiken und sogar Audio- und Videoelemente einbinden.

Diese umfassende Kombination aus CGI-Scripts, grafischer Browser-Technologie sowie Gateway- und Multimedia-Funktionen ermöglicht es Unternehmen, innerhalb kürzester Zeit alle bestehenden 3270-Anwendungen zu modernisieren, mit einer Windows-orientierten Benutzeroberfläche auszustatten und letztendlich Web-fähig zu machen. All dies ohne Einführungsaufwand, Systemunterbrechungen und nicht zuletzt hohe Sicherheitsrisiken.

Gerade in der Web-Kommunikation stehen den großen Chancen, die sich durch diese Technologie eröffnen, entsprechende Gefahren gegenüber. Denn offene Kommunikation entspricht im allgemeinen nicht den Sicherheitsbedürfnissen, wie sie bei Transaktionen wichtiger Geschäftsvorfälle oder Datentransfers unternehmenskritischer Informationen Voraussetzung sind.

Neben integrierten Gateway-Zugriffskontrollen oder verschiedenen Firewall-Mechanismen, die ausschließlich den Schutz der Firmen-DV vor Angriffen aus dem Internet betreffen, sollte im Hinblick auf die Web-Fähigkeit von Mainframe-Anwendungen besonders der sichere Datenfluß durch das Web gewährleistet sein. Das berüchtigte "Spoofing", also das Anhängen an Datentransfers, um IP und User-IDs herauszufinden, sowie die daraus resultierende unbefugte Veränderung, Vernichtung oder Offenlegung sensibler Daten während der Übertragung, muß ausgeschlossen sein.

Ein großes Paket an Sicherheitsdiensten

Um den sicheren Schritt in und den Informationsfluß durch das Web zu gewährleisten, ist ein umfangreiches Paket an Sicherheitsdiensten erforderlich. Verschiedene kryptografische Verfahren müssen die Integrität und die Vertraulichkeit sicherstellen.

Ein Vertraulichkeitsdienst sollte durch Verschlüsselung dafür sorgen, daß sich aus der Datencharakteristik keine Rückschlüsse auf den Absender ziehen lassen. Sicherheitsmechanismen wie Authentifizierung und Integritätskontrolle müssen Absender (Client) und Empfänger (Web-Server) zweifelsfrei identifizieren und alle Informationen kryptografisch auf ihre Integrität hin überprüfen.

Risiko ohne Aufwand senken

Zusätzliche Zugangskontrollen durch Sicherheitsprotokolle und erweiterte HTTP-Protokolle wie Secure Socket Layer (SSL) unterstützen die Datensicherheit. Ein Berichtsdienst rundet ein umfassendes Schutzpaket ab. Datenangriffe lassen sich so analysieren und daraus können Informationen gewonnen werden, um den sicheren Informationsfluß durch das Web nachhaltig zu verbessern.

Mit diesen umfangreichen Sicherheitsfunktionen und der Browser-Technologie können Unternehmen bestehende 3270-Applikationen einfach modernisieren. Dabei lassen sich sowohl der Aufwand als auch die Risiken vermeiden, die üblicherweise entstehen, wenn man 3270-Anwendungen mit einer grafischen Benutzer-Schnittstelle versieht. Der Einstieg in das Intra- und Extranet über den VM-Host erfüllt zugleich höchste Ansprüche an Zuverlässigkeit, Systemverfügbarkeit, Benutzerfreundlichkeit sowie Sicherheit und eröffnet wichtige Wettbewerbsvorteile für Unternehmen.

Angeklickt

Totgesagte leben länger. Rund 13 000 VM-Systeme gibt es noch weltweit, und ihre Zahl ist stabil. Das dürfte auch an IBMs Open-Edition des VM/ESA-Systems liegen, dessen Verbesserungen in den letzten Jahren viele Anwender bewogen haben, doch bei den vertrauten betriebssicheren Systemen und funktionierenden Anwendungen zu bleiben. Allerdings gibt es den Wunsch, das System durch Web-Techniken für Internet- und Intranet-Anwendungen nutzbar zu machen. In der Tat lassen sich Browser realisieren, die zugleich grafische Benutzeroberflächen mit sich bringen. Darunter muß nicht einmal die Sicherheit des Systems leiden.

*Ekkehard Seith ist Geschäftsführer der Systems Management Group bei der Sterling Software GmbH in Düsseldorf.