Gesetz

Bei der Durchsicht des Selected User Attribute Report im RACF wurden einige Kennungen gefunden, die historisch bedingt mit besonderen Rechten ausgestattet waren und für die nicht erklärt werden konnte, warum sie noch damit versehen oder wieso sie nicht gelöscht waren. Beispielsweise gab es allein auf Gruppenebene sechs Kennungen mit SPECIAL-Rechten zusätzlich zu einer Notfallkennung. Auch waren eine große Anzahl Benutzerkennungen auf REVOKE (d.h. gesperrt) gesetzt, von denen einige gelöscht werden konnten.

Im RACF gibt es Attribute für Benutzerkennungen, die mit besonderen Rechten verbunden sind: SPECIAL

Unter einer Benutzerkennung mit diesem Attribut können alle RACF-Kommandos abgesetzt werden. Es ist damit die volle Kontrolle über alle RACF-Profile verbunden. Ein sog. GROUPSPECIAL kann nur die zu seinem Zuständigkeitsbereich, also auf Ebene seiner Gruppe, gehörenden Profile ändern.

AUDITOR

Mit diesem Attribut können alle RACF-Profile und alle Protokolldateien gelesen und ausgewertet werden.

OPERATIONS

Mit diesem Attribut ist der umfassende Zugriff auf alle Dateien möglich, es sei denn, der Benutzerkennung ist explizit in dem jeweiligen RACF-Profil ein anderes Zugriffsrecht gegeben.

Bemerkenswert waren ferner die zwei Personen zugeordneten Kennungen, denen sowohl die Attribute SPECIAL, OPERATIONS als auch AUDITOR zugeordnet waren. In einer Person sollten diese Zugriffsrechte nicht gebündelt sein. Zumindest das AUDITOR Attribut sollte auf die Revisoren beschränkt sein.

Insgesamt habe ich gefordert, dass die ARGE und die AOK prüfen, welche Benutzerkennungen gelöscht werden und bei welchen die Attribute geändert und herabgesetzt werden können.

7.3.3.3

RACF 7.3.3.3.1

Anmeldung am Rechner

Im Konzept war vorgesehen, dass RACF jede Anmeldung am Rechner kontrollieren soll. Dazu müssen Schnittstellen zu den anderen Verfahren vorhanden sein.

CICS / IDVS II

Die Schnittstelle zwischen CICS, IDVS II und RACF war aktiviert, wodurch die Anmeldeprozedur unter der Kontrolle von RACF ablief.

Sessionmanager

Die Schnittstelle zwischen dem Sessionmanager und RACF war nicht aktiviert. Das Manager- und das RACF-Paßwort sowie die Benutzerkennungen waren nicht synchronisiert, d.h. sie konnten auseinanderfallen. Während die Übereinstimmung der Kennungen durch die Einträge der ARGE erzwungen werden konnte, waren beim Paßwort die Benutzerin und der Benutzer gefordert. Folglich mußten sich die Beschäftigten eventuell zwei Paßwörter merken.

Protokolle über Systemanomalien fielen sowohl beim Sessionmanager als auch in RACF an, weshalb in zwei Systemen die Protokolle kontrolliert werden mußten.

Ich habe daher gefordert, die Schnittstelle zwischen dem Sessionmanager und RACF zu aktivieren.

7.3.3.3.2

Zugriffskontrolle Zugriffsrechte für CICS

Die Vorgabe der Startparameter inclusive der von dem jeweiligen CICS zur Verarbeitung herangezogenen Dateien erfolgt über eine Verkettung von Einträgen in verschiedenen Systemdateien. Zum Zeitpunkt des Starts eines CICS steht dadurch fest, welche Dateien mit welchen Zugriffsrechten dem CICS und damit den Nutzern des CICS zur Verfügung stehen. Wenn, wie bei der ARGE der Fall, sich die Daten der AOK Hessen, der AOK Rheinland-Pfalz und der AOK Saarland in unterschiedlichen Dateien befanden, wurde durch diese Definitionen festgelegt, dass nur Daten einer AOK im Zugriff eines CICS waren.

Jedem CICS wurde zusätzlich beim Start eine Kennung zugeordnet, deren Zugriffsrechte stellvertretend für das CICS durch RACF geprüft wurden. RACF erlaubte dann entsprechend den in den Dateiprofilen hinterlegten Zugriffsrechten der CICS-Kennung Zugriffe auf die beim Start vorgegebenen Dateien.

Die Schnittstelle zwischen RACF und CICS war aktiv. RACF prüfte nach Eingabe der Benutzerkennung im CICS Startbildschirm, ob die Kennung zu einer Gruppe gehörte.