Security - QSECOFR

[Heyden]

Hallo Miteinander,

da ich mich mit dem Thema Security noch nie beschäftigt habe, benötige ich Eure Hilfe.

Bei uns in der IT sitze seit Jahren ein externer Mitarbeiter, der u.a. mit dem QSECOFR-Passwort arbeitet. Gegenüber dem IT-Leiter behauptet er dies zu benötigen, da er u.a. für die
Niederlassung in Frankreich arbeitet. Für mich ist dies Blödsinn. Was mich weiter stutzig macht ist die Tatsache, dass er sein Jobprotokoll nicht einsehbar ist. Nun hatte man die Berechtigungen vor zwei Wochen neu vergeben. Doch hat sich dieser Kollege anscheinend ein Türchen geschaffen, denn er arbeitet wieder mit der QSECOFR-Berechtigung.

Was kann man ausser sofort Hinauswerfen noch tun damit dieser Zustand sofort beendet werden kann. Auch andere externe Mitarbeiter finden diesen Zustand nicht gut, denn man weiss nie was passiert.

Ich bedanke mich für Eure Hilfe im Voraus und wünsche ein schönes Wochenende.

Gruss

Stefan Heyden

[Rincewind]

Hi,

Also folgendes würde ich mal machen:

Passwort ändern vom QSECOFR.
Ändern des Benutzerprofiles von dem User auf angepasste Sonderberechtigungen (z.b. User Class = *PGMR und die Special Authorities auf *USRCLS)

Dann dem Kollegen in der Jobbeschreibung hinterlegen dass
LOG Level 4, Severity 00, Text *SECLVL
sowie LOGCLPGM = *YES

Und schon kann man auch im Joblog alles schön sehen.

Natürlich kann der Kollege dies auch wieder ändern per CHGJOB. Aber ich denke als INTERNER kann man einem EXTERNEN diese Dinge auch explizit verbieten.
Schliesslich will er ja für euch arbeiten

Alle diese Aktionen sind natürlich unsinnig wenn nicht die wichtigste Sache überhaupt gemacht wird.

Den Kollegen zu einem Gespräch bitten bei dem offen geredet wird.

Gruß

Rince

[BenderD]

... das hört sich nach Zuständen an, die man nicht so leicht abstellen kann. Sobald jemand Berechtigung an Benutzerprofilen mit Sonderberechtigung hat, oder Programme die unter hohen Berechtigungen laufen direkt oder indirekt modifizieren kann, genügen mittlere Security Kenntnisse, gepaart mit ein wenig weiter Auslegung eigener Kompetenzen dazu sich seine eigenen Berechtigungen temporär oder auch auf Dauer aufzubohren.
Diese Mängel im Berechtigungskonzept zu beseitigen ist nicht ohne Risiko für laufende Anwendungen, die auf Berechtigungsprobleme stoßen könnten, wenn man da was falsch macht.
Vorstufe und Voraussetzung zum Rauswurf sind klare Richtlinien was erlaubt und was verboten ist und Aktivierung des Audit Journals, um Verstöße klar dokumentiert zu bekommen.

D*B

Hallo Miteinander,

da ich mich mit dem Thema Security noch nie beschäftigt habe, benötige ich Eure Hilfe.

Bei uns in der IT sitze seit Jahren ein externer Mitarbeiter, der u.a. mit dem QSECOFR-Passwort arbeitet. Gegenüber dem IT-Leiter behauptet er dies zu benötigen, da er u.a. für die
Niederlassung in Frankreich arbeitet. Für mich ist dies Blödsinn. Was mich weiter stutzig macht ist die Tatsache, dass er sein Jobprotokoll nicht einsehbar ist. Nun hatte man die Berechtigungen vor zwei Wochen neu vergeben. Doch hat sich dieser Kollege anscheinend ein Türchen geschaffen, denn er arbeitet wieder mit der QSECOFR-Berechtigung.

Was kann man ausser sofort Hinauswerfen noch tun damit dieser Zustand sofort beendet werden kann. Auch andere externe Mitarbeiter finden diesen Zustand nicht gut, denn man weiss nie was passiert.

Ich bedanke mich für Eure Hilfe im Voraus und wünsche ein schönes Wochenende.

Gruss

Stefan Heyden

[Khholm]

ich würde ebenfalls ein offenes Gespräch mit dem Mitarbeiter empfehlen.

Denn - wenn er die Berechtigung des QSECOFR hatte und es wirklich will, hat er sich längst ein Hinterfürchen geschaffen, um diese (zumindestens temporär) sich wieder anzueignen. Das geht, wenn man ein wenig Kenntnisse hat, recht schnell und vor allem unbemerkt.

Karl-Heinz

[holgerscherer]

Bei uns in der IT sitze seit Jahren ein externer Mitarbeiter, der u.a. mit dem QSECOFR-Passwort arbeitet. Gegenüber dem IT-Leiter behauptet er dies zu benötigen, da er u.a. für die
Niederlassung in Frankreich arbeitet.

Hallo Stefan,

ich schliesse mich den Vorrednern äh Vorschreibern an. Generell gilt in der Kombination "Sicherheit" und "ext. Berater" die erste Regel: Vertrauen!

Wenn das Vertrauen nicht vorhanden ist (oder beschädigt wurde), wird jeder weitere Prozess schwer. Wenn bei Euch im Haus niemand die Implikationen einer reduzierten Sicherheit beurteilen kann, sollte man sich nie auf denjenigen verlassen, der die erweiterten Rechte fordert. Da man davon ausgehen sollte, dass Ihr wichtige Daten auf dem System habt, solltet Ihr diese auch schützen. Dazu gehört: Rechtebeschneidung bis zum Anschlag.

Gut, der Anschlag kann weh tun, deswegen macht man das auch mit einer gewissen Vorsicht und nicht komplett auf einen Schlag. Und ganz ehrlich - jemand, der behauptet, er braucht *SECOFR, seine Joblogs versteckt und sich (ohne die Kompetenz dazu) erweiterte Rechte wieder holt, ist verdächtig. Das muss jetzt nicht soweit gehen, dass er sich was abgreifen will; vielleicht kennt er sich auch nur nicht aus und will, um Probleme zu vermeiden, einfach alle Rechte haben.
Sowas sehe ich öfters bei Kundschaft, die, um Probleme zu vermeiden, sogar noch mit SECLVL 20 fahren; manchmal sogar auf Anraten des Softwarehauses. Da platzt mir nicht nur die Hutschnur!

Tip: Schau, wer sich im Haus mit Security auskennt. Schau dann, welche Software überhaupt läuft und was die entsprechenden Anbieter empfehlen (meist nichts gutes). Und dann - wenn es wirklich ein Thema ist, hole jemanden, der sich damit auskennt.
Und letztlich: gerade von externen eine Geheimhaltungsvereinbarung unterschreiben lassen!

-h

[Pikachu]

Was mich weiter stutzig macht ist die Tatsache, dass er sein Jobprotokoll nicht einsehbar ist.

Es ist nichts besonders, daß das Jobprotokoll des QSECOFRs besonders geschützt ist und nicht von jedem über WRKACTJOB angezeigt werden kann. Welche Berechtigungen hat denn das Benutzerprofil mit dem du nachsehen willst?

Arbeitet euer Kollege direkt mit dem Benutzerprofil QSECOFR oder mit einem Benutzerprofil mit Gruppenprofil QSECOFR oder *SECOFR-Berechtigung?

[Heyden]

Hallo,

er arbeitet mit dem Gruppenprofil des QSECOFR.

Übrigens, Dank an die Kollegen.

Stefan