Auf dem Weg zu automatischen Reaktionen : Der SOCste Sinn : Gefahrenindikator „Objektivität“ am Beispiel BaFin-relevanter IT
Security-Operation-Center (SOC) gehören mittlerweile zum strategischen Standard großer Unternehmen. Mitunter sind sie allerdings selbst ein potenzielles Risiko für die Cybersicherheit, besonders wenn automatische Reaktionen implementiert sind. Unser Autor identifiziert SOC-Risiken und schlägt „Objektivität“ als wichtige Qualitätsgröße vor.
Im Fall sehr großer oder gar systemischer Infrastrukturen ist ein SOC heute schlichtweg Pflicht, um IT-Sicherheitsvorfälle schnell und qualifiziert an das Computer- Emergency-Response-Team (CERT) zu melden. Ziel eines SOC ist die Vereinigung von Know-how und Technik in einer geeigneten Organisation, um negative Sachverhalte über alle Plattformen hinweg schnell sichtbar zu machen. Wesentlich sind IT-Sensorik, Analysefähigkeiten und der Leitstand mit seinen Spezialisten und dem SOC-Handbuch. Das SOC beobachtet und meldet aber nicht nur, es reagiert auch und greift bei Sicherheitsvorfällen entsprechend ein. Durch diese aktive Rolle ergeben sich SOC-eigene Risikoebenen. Im schlimmsten Fall können Angreifer beispielsweise das SOC selbst umgehen oder auch gezielt beschäftigen.
Aufbau und Betrieb eines SOC stellen für die Unternehmen einen erheblichen finanziellen Aufwand dar: geeignete Räumlichkeiten, Beschaffung und Implementierung notwendiger Monitoring-, Analyse und Visualisierungslösungen und schließlich das Personal für einen 24/7-Betrieb – und das alles eventuell mehrfach für verschiedene Zeitzonen. Abgerundet werden die Aufwände durch Zertifizierungen und regelmäßige Audits. Entsprechend anspruchsvoll ist die Erwartungshaltung – auch an die jeweiligen Verantwortlichen.
Für eine hohe Sicherheit ist ein SOC mit schneller Reaktionsgeschwindigkeit und zugleich personal schonender 24/7-Handlungsfähigkeit das Ziel. Verständlicherweise liegen deshalb große Hoffnungen auf hochgradig automatisierten Detektionen und am Ende auch auf automatischen Reaktionen. Die SOC-eigenen Risiken wachsen jedoch mit jeder weiteren Automatisierungsstufe seiner Architektur.
Risiko-Ansatzpunkte
Neben der Technik entsteht der „intellektuelle Aufwand“ beim Aufbau eines SOC in Form des umfangreichen SOC-Handbuchs, das einen Katalog aller relevanten Vorkommnisse ausreichend und vor allem auch verständlich beschreiben muss. Es enthält zudem sämtliche wichtigen Handlungsanweisungen und dokumentiert die organisatorische Integration der SOC-Abläufe, zum Beispiel in Form von Eskalationsstufen und -wegen für eine dem Risiko angemessene Reaktion.
Im Kern geht es im SOC-Regelwert um sehr konkrete und weniger um abstrakte Fragen, die gleichzeitig auch Ansatzpunkte für Risiken sind:
- Einstufung: Wie dringlich ist ein Vorfall?
- Eskalation: Welche Eskalationsmöglichkeiten stehen zur Verfügung? Ab „wann“ (Schweregrad, Risikolevel, Uhrzeit etc.) werden die Spezialisten angerufen, um einen Vorfall zu melden und abzuklären?
- Hilfestellung: Wer kann bei Problemen welcher Komplexitätsstufe überhaupt helfen? Wen zu wecken macht Sinn? Ist er intern oder extern? Was passiert, wenn niemand passendes erreicht werden kann?
- Reaktion: Wann und von wem darf eine entsprechende Reaktion im Sinne des Erhalts der produktiven Systeme überhaupt abverlangt und ausgeführt werden? Welche Abwägungen sind vor einer Entscheidung für eine Reaktion vorzunehmen? Wer trägt die Verantwortung?
- Automatische Reaktion: Können Reaktionen zur Entlastung aller und für maximale Reaktivität eventuell auch automatisch erfolgen? Wie riskant sind diese Automatismen?
Inhärent hat die IT stets zum Ziel, auch die auf sich bezogenen Workflows hochgradig zu automatisieren. Im Fall des SOC geht es zugleich um adäquate Reaktionszeiten, die Entlastung der Mitarbeiter und um maximale Komplexitätsreduktion bezüglich der Erfassung und Behandlung eigentlich sehr komplexer Abläufe. Man kann ein SOC daher nicht als bloßes Upgrade einer klassischen Arbeitsvorbereitung betrachten – Letztere beschäftigt sich mit exakt geregelten und geplanten Ereignissen, ein SOC kämpft mit hochgradig Unerwartetem. Die Komplexitätsreduktion ist somit Dreh- und Angelpunkt eines erfolgreichen SOC-Teams.
Deswegen wäre es auch wunderbar, wenn das Security-Information-and-Event-Management (SIEM) beziehungsweise die nachgelagerten Systeme oder lokalen Agenten einen Vorfall einfach selbstständig und ohne manuelle Eingriffe lösen könnten, also präzise nur den ursächlichen Prozess abbrechen, eine potenziell missbrauchte Verbindung stoppen, einen verdächtigen User sperren, einen befallenen Server herunterfahren. Das 24/7-SOC-Team kann so aus bezahlbarem Personal bestehen und am Morgen, gut ausgeschlafen dank ausgebliebener Anrufe, lesen die Spezialisten stressfrei die zur automatischen Reaktion begleitend erstellten E-Mails oder Ticket-Kommentare und studieren nachträglich die Sachlage.
Ein bisschen können die technischen und algorithmischen Herausforderungen automatischer SOC-Abläufe mit denen des autonomen Fahrens verglichen werden: Das Ziel steht fest, der technologische Aufbruch fand auch schon statt, aber der Weg dahin wird Opfer im Sinne des Fortschritts fordern. Analog zur ethischen Grundfrage der künstlichen Intelligenz, wen überfährt das selbstfahrende Auto im Ernstfall oder opfert es sich ehrenhaft selbst, muss auch eine automatische SOC-Reaktion zwischen Verfügbarkeit und Sicherheit eine Entscheidung treffen [1].
Die vollständige Automatisierung des SOC-bezogenen Incident-Managements ist allerdings heute noch unrealistisch, jedenfalls solange man nicht das Risiko „ausgebliebene“ durch „vollkommen überzogene“ Reaktion ersetzen will. Es fällt schwer, einer SOC-/SIEM-Architektur zu erlauben, Applikationen bei kleinsten Anzeichen selbstständig zu stoppen oder Systeme vom Netz zu nehmen, indem auf ein „Hüsteln“ bereits übereifrig reagiert wird oder nur um nachts niemanden wecken zu müssen – die Reaktionen hätten eventuell ein höheres Schadenspotenzial als der Angriff selbst.
Immanente Risiken
Der OF ist skaliert zwischen 0 und 1. Ein hoher OF bringt eine hohe Objektivität zum Ausdruck und damit einen hohen Grad an Unabhängigkeit und Entflechtung.
Aber was sollte den Leiter eines SOC oder einen Auditor veranlassen, über so etwas Abstraktes wie einen möglicherweise zu geringen Objektivierungsfaktor der Komponenten und Mitwirkenden nachzudenken? Es sind das hohe Vertrauen und die durch seine Gesamtkosten hervorgerufenen sehr hohen Erwartungen, denen ein SOC gerecht werden muss – schließlich sind in ihm alle Kräfte und damit Aufwände gebündelt worden. Spätestens mit der Implementierung automatischer Reaktionen steigt die Verantwortung in allen Phasen um ein Vielfaches, und entsprechend die Pflicht zur Suche nach versteckten Risiken – und das geht nur durch strikte Objektivierung.
Ursachen mangelnder Objektivität
Welche Rahmenbedingungen fördern nun das Risiko einer zu geringen Objektivität? In der Praxis lassen sich unter anderem folgende Faktoren identifizieren:
- Oft fehlt es an Offenheit für verschiedene Hersteller im Bereich der Sicherheitslösungen. Eine solche Vielfalt ist sehr wichtig, allerdings ist sie nicht für alle Plattformen durch den sie umgebenden Software-Markt gegeben. Vielfalt bedeutet nämlich Wettbewerb, Unvoreingenommenheit, Unabhängigkeit, Druck zum Fortschritt, kurzum Objektivität dank Meinungsvielfalt. Während „alles integriert und aus einem Hause“ für das operative Zusammenspiel von Software ideal und dienlich ist, muss man im Bereich Sicherheit teilweise einem inversen Denkansatz folgen. Nicht ohne Grund bewertete das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Bereich der Virenscanner [6]: „Je nach vorliegender Systemlandschaft können diese Ziele unter Umständen nicht durch die Auswahl eines einzelnen Viren-Schutzprogramms erreicht werden, sondern es müssen gegebenenfalls mehrere unterschiedliche Produkte beschafft und eingesetzt werden.“
- Man hängt vollständig von externem Personal ab oder auch von einer einzelnen internen Person, die mit ihrem Wissen oder Willen faktisch alle Entscheidungen dominiert.
- Das exzessive Einbinden externer Parteien birgt Objektivitäts- und Sicherheitsrisiken zugleich, wenn strenge Spielregeln und transparente Interessen fehlen.
- Zu hoher Herstellerglaube und im Ansatz „verliebte Kritiklosigkeit“ gegenüber den Lösungen und Services.
- Im Rahmen einer Outsourcing-Vertragsverhandlung sollte der Arbeitsort der später für das System faktisch verantwortlichen Spezialisten aufgesucht werden. Auch hier gilt es, zu objektivieren und zu prüfen, in welchen politisch oder korruptionsbelasteten Regionen die Dienstleister ansässig sind. Fördern eventuell Großraumbüros mit maximaler Packungsdichte potenziell massive Ausfälle durch Grippe, Pandemie, physische Zerstörung? All das kann zu einem hohen Risikopotenzial führen und ist im Fall eines SOC nur noch mit bewusst wenig Objektivierung akzeptabel.
- Viel allgemein zugängliches Wissen über eine Sicherheitslösung und deren interne Funktionsweise macht es Angreifern definitiv leichter, einen optimalen Angriffsvektor zu finden. Ist eine solche Lösung objektiv betrachtet optimal sicher?
Beispiel Mainframe
Für eine Beispielanalyse der Objektivität eignet sich der Mainframe besonders gut, da er wichtig genug ist und gegebenenfalls einen IT-kritischen Charakter aufweist, zum Beispiel im Fall des Finanzsektors. In die Bewertung von Risiken fließen zwei wesentliche Faktoren ein, die Eintrittswahrscheinlichkeit und die Tragweite. In der Finanzindustrie ist die Tragweite meistens hoch und damit auch das Risiko, hier ist also „eigentlich alles riskant“. Glücklicherweise fördert die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) seit Jahren, dank ihrer Neutralität und den regelmäßigen Rundschreiben, nachhaltig den Geist der risikomindernden Objektivierung. Ihre Audits werden nicht unbegründet gefürchtet. Dieses Streben mündete zuletzt in den sogenannten „Bankaufsichtlichen Anforderungen an die IT (BAIT)“ [7].
Der Mainframe gilt als wichtige Plattform – die Erwartungen sind entsprechend hoch, nicht zuletzt wegen der grundsätzlich höheren Betriebskosten. Bei der Absicherung der Mainframe-Plattform ist auch deshalb auf besonders hohe Objektivität zu achten. Von den oben aufgeführten Risikofaktoren treffen in der Praxis einige auf den Mainframe zu. So hat das Bundeskartellamt in seiner im Juni dieses Jahres getroffenen Entscheidung über den Zusammenschluss von IBM und T-Systems auf dem Mainframe-Infrastruktur-Markt sogar offen zum Ausdruck gebracht [8]: „Für die Erbringung der Mainframe-Infrastruktur-Dienstleistungen ist geschultes und erfahrenes Personal von großer Bedeutung, aber auf dem betroffenen Markt wegen fehlenden Nachwuchses für die Legacy-Systeme sowie längerer Ausbildungszeiten knapp und gesucht.“ Das schwächt insgesamt die Chance für ein objektives Hinterfragen.
Als Beispiel für eine Eigenüberwachungstechnik mit potenziell geringerem Objektivierungsfaktor und möglicherweise fehlender Wirksamkeit bei hoher Professionalität im Angriffsvektor kann die Accessor-Environment-Element-(ACEE)-Manipulationsdetektion aufgeführt werden, die mit dem neuen Betriebssystemlevel z/OS 2.4 eingeführt wird [9]. Das ACEE ist ein Security-Kontrollblock, der sämtliche Berechtigungen und Privilegien des Benutzers in Form von Bits und Bytes kodiert beinhaltet. Das ACEE eines Benutzers wird mit dem Login anhand der Security-Datenbank aufgebaut. Mitunter ist es ein einzelnes Bit, das einen Benutzer zum Security-Administrator macht. Folglich ist es das Ziel eines professionellen Angreifers, das ACEE seines Prozesses so zu manipulieren [10], dass er danach mit all umfänglichen Rechten versorgt ist. Um das zu verhindern, liegt das ACEE in einem für normale Prozesse schreibgeschützten und nur lesbaren Speicher, den ausschließlich privilegierte Prozesse ändern können, zum Beispiel das Betriebs- oder Securitysystem selbst. Deswegen benötigt ein Angreifer entweder einen Exploit oder er ist ein Systemprogrammierer.
Die Ursachen für die potenziell geringe Objektivität dieser neuen Eigenüberwachung zur ACEE-Manipulationsdetektion sind in der hohen Verquickung von Programmcode beziehungsweise Steuerung und überwachtem Sicherheitssystem begründet:
- Die Manipulationsüberwachung wird über das Securitysystem selbst ein- und ausgeschaltet, nämlich über die Aktivierung einer Ressourcen-Klasse.
- Whitelists werden mithilfe ganz normaler Profile im Securitysystem selbst definiert, wie für gewöhnliche Ressourcen.
- Wenn Angreifer eine Administrator-User-ID gekapert haben, können sie die notwendigen Whitelist-Definitionen im Sicherheitssystem sogar selbst hinzufügen.
- Die Protokollierung erfolgt in einer so allgemeinen Form, dass Angreifer das Format imitieren und so falsche Events erzeugen können. Im Fall etablierter automatischer Reaktionen können diese gezielt ausgelöst werden.
- Generell bestehen wesentliche Teile eines Angriffsvektors in der Ausnutzung von Schwachstellen. Lässt sich durch einen Exploit das Sicherheitssystem zielgerichtet außer Kraft setzen, schwächelt durch die enge Verflechtung, also der geringen Objektivität, mit hoher Wahrscheinlichkeit auch seine Eigenüberwachung. Denn hat der Angreifer erst einmal ein bestimmtes Privilegien-Niveau erreicht, kann er durch Ändern von ein paar Bits gleich noch die Eigenüberwachung des Sicherheitssystems deaktivieren. Ein in der Zielsetzung grundsätzlich positiv zu bewertendes Sicherheitsfeature verliert somit durch fehlende Objektivität seine Schutzfunktion.
Würde man diese Punkte in die obigen Formeln „einsetzen“, käme durch die hohe Verflechtung ein sehr geringer Objektivitätsfaktor (OF) heraus. Die Verantwortlichen hätten so die Möglichkeit, das im Rahmen eines SOC-Audits oder -Neuaufbaus zu thematisieren. Die hier angestellten Überlegungen zur Messung von Objektivität lassen sich auch analog auf andere Plattformen, Lösungen oder Verarbeitungsphasen übertragen.
Angriffsbeispiele
Wichtig für ein sicheres SOC ist, dass die Verantwortlichen die Qualität ständig hinterfragen: Wie unabhängig arbeitet das SOC? Wie eng sind Techniken, Mitarbeiter, Outsourcing-Dienstleister miteinander verzahnt? Das folgende Beispiel eines Angriffs auf eine IT-Infrastruktur zeigt, wie breit ausgelegt solche Risikoüberlegungen aussehen können.
Ziel
Kriminelle wollen einen Angriff auf die kritische IT-Infrastruktur eines größeren Unternehmens unbemerkt ausüben, indem sie das „Radar des SOC unterfliegen“.
Kernherausforderungen
Von wem und wie können notwendige interne Security- und SOC-Details in Erfahrung gebracht werden? Wer kann sogar direkt im privilegierten Bereich Aktivitäten ausführen?
Ausgangslage
Eine negative Intention in Bezug auf das Unternehmen geht von einer oder mehreren IT-Fachleuten aus, nachfolgend „Angreifer“ genannt, von denen einer entweder a) im internen systemnahen IT-Betriebsumfeld (System-Technik) oder b) im Support eines der Software-Hersteller arbeitet.
Beispiel-Szenario 1: Outsourcing
Der Angreifer ist ein direkt am System arbeitender privilegierter Mitarbeiter des Outsourcing-Dienstleisters, zum Beispiel mit Sitz in politisch zu 99 Prozent stabilen Verhältnissen. Das Unternehmen hat viel nach außen vergeben und lebt das Motto „endlich alles weg“ (inkl. Know-how). Aufgrund des allgemeinen Spezialistenmangels befindet sich das betreuende Personal mit sehr hoher Wahrscheinlichkeit im osteuropäischen Ausland. Durch die per Job vorhandenen Privilegien ist es für den Angreifer einfach, die notwendigen Informationen zu erhalten oder entsprechende Konfigurationen vorzunehmen.
Beispiel-Szenario 2: Support
Der Angreifer ist ein im Software-Support-Umfeld tätiger Mitarbeiter, weltweit irgendwo lokalisiert. Bedingt durch einen Software-Fehler wird ein System-Dump von einem Produktionssystem des Unternehmens „gezogen“ und routinemäßig an das Service- und Support-Umfeld des zuständigen Herstellers übertragen. Grundsätzlich wurde vom Hersteller eine zur Datenschutzgrundverordnung (DSGVO) konforme Speicherung der Diagnosedaten in Europa garantiert. Das Risiko besteht nun darin, dass eine weltweit verteilte größere Anzahl Mitarbeiter auf diese in Europa gespeicherten Diagnosedaten zugreift, um aufgetretene Probleme zeitnah und kostenoptimal zu lösen. Werden diese Dokumente vor dem Versand nicht anonymisiert, kann der Angreifer die essenziellen Security-Konfigurationen und mögliche Systemschwachstellen ermitteln [11]. Faktisch mutieren Software-Hersteller und ihre Subunternehmer im Fall nicht anonymisierter Diagnosedokumente oder direktem Systemzugriff zu Insidern. Im Fall der Nutzung von Lösungen mit hoher allgemeiner Transparenz ihrer Interna steht dank des nicht anonymisierten Dumps eventuell auch Wissen über die Detektions- und Korrelationsregeln bereit.
Welche Rückschlüsse lassen sich nun aus den Beispielen ableiten? Für eine Absicherung des SOC gegen das Risiko verdeckter Informationspreisgabe und faktischer Insider sind folgende Schritte wichtig: strenge Grundregeln zur Geheimhaltung, strikte Anonymisierung von Logs und Dumps vor der Weiterreichung an Dritte und ergänzende Nutzung einer technisch unabhängigen und damit „OF-hohen“ Überwachungslösung.
Fazit und Kernempfehlungen
In der Praxis haben noch nicht alle Security-Operation-Center die höchste Reifestufe erreicht. Um ein sicheres SOC betreiben zu können, ist eine Risikoanalyse unumgänglich, denn SOC-eigene Risiken wachsen mit jeder weiteren Architekturstufe. Im Beitrag wurden besonders mit Blick auf automatische Reaktionen mögliche Risiken aufgezeigt und Beispiele präsentiert, wie sich diese reduzieren lassen. Dazu wurde der „Objektivitätsfaktor“ als Qualitätsgröße vorgestellt – und zwar als Idee für eine faktisch-sachliche Betrachtung von Technologie, Organisationen und Mitentscheidern. Der Faktor Objektivität ist besonders wichtig bei Vorhandensein großer fachlicher Abhängigkeiten und Herstellergläubigkeit, wie sie in der IT dank Spezialistenmangel und Outsourcing zunehmend vorkommt.
Insgesamt lassen sich folgende Kernempfehlungen zur Absicherung eines SOC zusammenfassen:
Detektion
- Für Tests auch mal besonders lange und komplexe Meldungsinhalte erzeugen, um den möglichen Impakt zu ermitteln, zum Beispiel durch Zeilenumbrüche oder Textverluste.
- Überwachte Systeme gezielt stressen, um die Auswirkungen von schlechter Performance, Plattenplatzmangel oder ähnlichen Beeinträchtigungen auf das Monitoring zu prüfen.
- Filter und Korrelationen von objektiven Spezialisten testen lassen – also von solchen Personen, die aus praktischer Erfahrung und operativer Verantwortung wissen, was alles passieren kann, aber die Detektionen nicht konzipiert haben.
- Prüfen, ob und in welchen gutartigen Fällen ähnliche oder dieselben Sachverhalte auftreten, um eine Meldung, Alarmierung oder gar automatische Reaktion zu unterbinden.
- Meldungsbasierte Detektionen gegen gefälschte Events absichern. Prüfen, wie sich solche Events erkennen lassen, zum Beispiel setzen manche Betriebssysteme spezielle Kontrollzeichen vor eine Meldung, wenn diese nicht vom privilegierten Systemkern ausgegeben wurden. Die Meldungsfilter sollten das beachten und einen „Match“ umgehen, unter Abgabe eines „possible fake event“-Alerts.
Reaktionen
- Einen Test- oder Warn-Modus vorsehen, in dem Reaktionen noch nicht faktisch erfolgen, sondern – wie ein Alert – nur gemeldet werden.
- Im Test-System beginnen, dann Entwicklung und schließlich Produktion; bei jedem Übergang ist wieder neu im Test-Modus zu beginnen. Auftakt mit semi-automatischen Reaktionen, das heißt die finale Entscheidung liegt noch beim SOC-Team.
- Im Fall vollautomatischer Reaktionen ist Perfektion Voraussetzung. Somit sollten die Filter auch erkennen, dass ihre Entscheidungsgrundlage suboptimal war und nur melden statt zu reagieren.
- Generell sind vollautomatische Reaktionen auf ihr „Fukushima-Potenzial“ hin zu überprüfen und entsprechende Limitierungen einzubauen, zum Beispiel eine maximale Anzahl stoppbarer Systeme oder Benutzer, um rekursive (Endlos-)Loops zu verhindern.
Planung, Auswahl und Organisation
- Das SOC-Handbuch ist Dreh- und Angelpunkt für ein erfolgreiches SOC und damit ein wichtiges Investment. Es erlöst insbesondere die Spezialisten vor unnötigen Nachteinsätzen.
- Wissen über SOC-Details sind streng geheim zu halten, auch vor einem Plattform-Dienstleister.
- Vertraulichkeitsvereinbarungen mit allen involvierten externen Parteien sind obligatorisch und immer mit Vertragsstrafen zu kombinieren.
- Stets nachhaltig objektivieren und zu hohe externe Abhängigkeiten vermeiden.
- Gedankengut analog des Service-Level-Agreements eines Dienstleisters auch auf das SOC anwenden.
Dr. Stephen Fedtke ist Spezialist für die Risikoanalyse und Absicherung kritischer und systemischer IT-Infrastrukturen. Kontakt: stfedtke@enterprise-it-security.com
Einige der dargestellten Szenarien wurden erfolgreich durchgeführt. Für weitere Details können sich Leser direkt an den Autor wenden.
Literatur
[1] Jürgen Schreier, KI allein schafft noch keine perfekte Cybersicherheit, Industry of Things, August 2018, www.industry-of-things.de/ki-allein-schafft-noch-keine-perfekte-cybersicherheit-a-745105/ [2] Oliver Rochford, Security Automation is About Trust, Not Technology, Security Week, Juli 2017, www.securityweek.com/security-automation-about-trust-nottechnology [3] Stephen Fedtke, Epische Macht, „Extremely Privileged IT Staff“ (EPIS) erfordert spezielle Zuverlässigkeits- oder Sicherheitsüberprüfungen, <kes> 2010#6, S. 6 (Zugriff nur für Abonnenten) [4] Wirtschaftspsychologische Gesellschaft, Objektivität als Gütekriterium, In: Forschungsergebnisse interpretieren, https://wpgs.de/fachtexte/ergebnisinterpretation/objektivitaet-als-guetekriterium/ [5] Dr. P. K. Suri, Neeraj Garg, Software Reuse Metrics: Measuring Component Independence and its applicability in Software Reuse, Mai 2009, https://pdfs.semanticscholar.org/3d44/60e875e3abbd88fe6468f406c4b8b4a97b1c.pdf [6] BSI, IT-Grundschutz-Kataloge, 15. Ergänzungslieferung, 2016, https://download.gsb.bund.de/BSI/ITGSK/IT-Grundschutz-Kataloge_2016_EL15_DE.pdf [7] PricewaterhouseCoopers GmbH, Internationale Bedrohung durch Cyberangriffe nimmt zu, Neue Hackermethoden erfordern flexibel agierende Security Operation Center (SOC), Oktober 2018, www.pwc.de/de/finanzdienstleistungen/digital/regelmaessige-soc-sicherheitschecks-gegen-cyberattacken.html [8] Bundeskartellamt, Fallbericht: Bundeskartellamt prüft Auswirkungen eines geplanten Vermögenserwerbs der IBM an T-Systems auf den Mainframe-Infrastruktur-Outsourcing-Markt, Juni 2019, www.bundeskartellamt.de/SharedDocs/Meldung/DE/AktuelleMeldungen/2019/19_06_2019_IBM_T_Systems.html [9] IBM, Mark Nelson, RACF for z/OS V2.4 Update, Mai 2019, https://cutt.ly/AwWuaXb [10] Stuart Henderson, How To Break Into z/OS Systems, Oktober 2013, www.stuhenderson.com/XBRKZTXT.PDF [11] Stephen Fedtke, Datenleck Dumps – Speicherauszüge und Protokolldateien als Geheimnisverräter, <kes> 2014#3, S. 26 (Zugriff nur für Abonennten)