Angriffsziel Mainframe

Schon seit Jahrzehnten werden Großrechner eingesetzt, um höchst sensible Daten zu verarbeiten. Experten sehen potenzielle Sicherheitsprobleme.

Der IT-Security-Forscher Phil Young hat rund 400 Mainframes im Internet entdeckt, die jedem, der sie aufruft, einen Login-Bildschirm anbieten. Darunter waren das US-Agrarministerium, die amerikanischen Nationalinstitute für Gesundheit, die Fahrerdienstedatenbank des US-Bundesstaates New Mexico, das Sozialministerium von South Carolina, die Airline EgyptAir und viele universitäre Verwaltungssysteme. In seinem Blog sammelt er Screenshots.

Young fand die Großrechner beim Entwickeln eines Werkzeugs, mit dem sich das Internet auf Software-Schwachstellen und angreifbare Geräte scannen lässt. Der Experte hält es für problematisch, dass Mainframes einfach am Netz hängen, fehle es diesen doch an modernen Sicherheitsmerkmalen.

Die Großrechner verwalten sensible Daten von Banktransaktionen bis hin zu Personaldatenbanken. Sie sind eine kleine, spezielle Nische, um die sich die Computersicherheitsindustrie bislang nur wenig kümmert, so Young.

Das heißt, dass die Wahrscheinlichkeit nicht klein sei, dass Sicherheitslücken ausgenutzt werden könnten, um auf diese Mainframes zuzugreifen, glaubt er. "Es gibt da ein falsches Sicherheitsgefühl, weil man den Leuten stets gesagt hat, Mainframes sind sicher." Doch das entspreche nicht unbedingt der Wahrheit. "Es ist nur so, dass sich niemand um sie schert."

Im IT-Security-Geschäft gilt seit langem als gute Praxis, dass Firmen neu entdeckte Sicherheitslücken in ihren Produkten veröffentlichen und diese gleichzeitig schließen. Microsoft macht das für Windows, Apple für Mac OS X. Das erlaubt IT-Abteilungen, ihre Systeme sicher zu halten und entsprechende Maßnahmen einzuleiten.

IBM nutze dieses Modell bei seiner Mainframe-Software, die den Markt dominiert, aber nicht, sagt Young. Stattdessen würden die Sicherheitslücken geheim gehalten und Kunden direkt benachrichtigt, damit diese gegebenenfalls ein Update einspielten. Was genau das Problem ist, werde nicht exakt kommuniziert.

"Die Sicherheit auf dieser Plattform wird nicht gut gemanagt und Firmen und Regierungen nutzen sie für Dinge, die uns alle betreffen", sagt Young. "Das könnte uns eines Tages schwer auf die Füße fallen."

Auf Nachfrage von Technology Review sagte eine IBM-Sprecherin, die Mainframe-Technik des Unternehmens "sei das sicherste Computersystem der Welt". Es setze "einzigartige Kryptographietechnologien" ein.

Es gab in jüngster Vergangenheit einige Beispiele für Angriffe auf Mainframes und die kritischen Daten, die sie enthalten. So soll 2013 ein Mitbegründer der Pirate Bay auf das System eines IT-Vertragspartners einer nordeuropäischen Regierung zugegriffen haben, auf denen unter anderem die persönlichen Identifikationsnummern der Bürger und ihre Polizeiakten lagerten.

Ein Angriff auf das U.S. Office of Personal Management, bei dem sensible Daten von Millionen Beamten entwendet wurden, dürfte auch deshalb erfolgreich gewesen sein, weil der auf den Systemen verwendete Code jahrzehntealt war. Er wurde in COBOL geschrieben – und COBOL wird heute hauptsächlich nur noch auf Mainframes verwendet.

Young und ein Kollege haben ein Open-Source-Werkzeug entwickelt, das Sicherheitsforscher helfen soll, Mainframe-Systeme auf Sicherheitslücken abzuklopfen. Er hofft, dass sich ein höheres Sicherheitsbewusstsein einstellt. Ihn erinnert das Thema an den Fall Stuxnet. Der gegen den Iran eingesetzte Datenschädling zeigte vor wenigen Jahren, wie unsicher industrielle Steueranlagen sein können. Auch dieses Thema war zuvor lange ignoriert worden. (bsc)