@Alf
Vielen Dank für Dein Beispiel

@Baldur
Ich werde es mit den submitteten Jobs so machen, wie vorgeschlagen, überprüfen auf Übergabeparameter und gegebenfalls welche hinzufügen bzw. LDA-Übergabe überprüfen.

Bei dem Konzept sollte es für einen berechtigten User, auch vom PC aus, keine Möglichkeit geben, ausserhalb der Möglichkeiten, die ihm das Startprogramm bietet, tätig zu werden.
Dabei muss natürlich noch geprüft werden, dass wirklich nur ganz bestimmte Nutzer *ALLOBJ haben.

Für gewollte Zugriffe per FTP (zum Beispiel um Daten abzuholen), werde ich eine eigene Bibliothek einrichten nur mit den benötigten Dateien, die mit *EXCLUDE geschützt sind und nur entspr, Berechtigungen erlauben für einen bestimmten Personenkreis.

Ich denke, viel mehr kann man nicht tun, ausser natürlich eine Möglichkeit einzusetzen, den Datenstrom vom PC zu verschlüsseln, um ein Auslesen der Kennwörter zu verhindern.

mfg. Ludger