SYDNEY (CWN) - Alarmstufe Eins bei einer großen australischen Bank: Wie sich kürzlich herausstellte, hatten alle Online-User auf jeden Job der Input- und Print-Queue des bei dem Geldinstitut Installierten Facom-Rechners uneingeschränkte Zugriffsmöglichkeiten. Schuld an dieser prekären Situation war offensichtlich ein über Drittanbieter erworbenes Softwaresystem.

Die Bank setzt auf ihrem Mainframe MSP als Betriebssystem ein, doch ist das fehlerhafte Third-Pary-Produkt dem Vernehmen nach auch unter MVS lauffähig. Ein bei dem Geldinstitut beschäftigter Programmierer fand jetzt heraus, daß auch unautorisierte Benutzer auf Dateien zugreifen und sie sogar kopieren können, ohne daß sich dieser Vorgang später nachvollziehen ließe. Auch Produkte wie die Ressource Access Control Facility (RACF) und ADF2 bieten offenbar keinen sicheren Schutz gegen diesen Mißbrauch.

Seine "Entdeckung" rekonstruierte der Programmierer folgendermaßen: Nach Eingabe eines falschen Kommandos sah sich der Softwerker plötzlich mit einem ihm bisher unbekannten Bildschirminhalt konfrontiert. Ein paar einfache Eingaben verschafften ihm Zugriff auf die Print-Queue. Zusammen mit Vertretern der Geschäftsleitung wurde daraufhin das "Experiment" nochmals gestartet - mit demselben Ergebnis. Sogar die Password-Liste, so hieß es danach, könne sehr wahrscheinlich auf eine ähnliche Weise geknackt werden.

Um ähnliche Kalamitäten künftig zu verhindern, soll das Third-Party-Produkt jetzt komplett aus dem Markt gezogen werden.