IBM DOORS ist eine etablierte Software für das Management von Spezifikationen und Lastenheften, die zentrale Funktionsbeschreibungen komplexer Systeme und somit wertvolle Geschäftsgeheimnisse verwaltet. Zahlreiche Großunternehmen, darunter Mercedes-Benz, Volkswagen, BOSCH, Siemens, Continental, Airbus, ThyssenKrupp, Rheinmetall, Diehl, die Deutsche Bahn und die Bundeswehr, setzen seit vielen Jahren auf IBM DOORS, das seit zwei Jahrzehnten Marktführer in diesem Bereich ist.
Doch das in die Jahre gekommene IBM DOORS 9 bietet keinen ausreichenden Schutz für die sensiblen Daten. Der Server selbst verfügt über keine Authentifizierung – die gesamte Zugriffslogik erfolgt ausschließlich auf Client-Seite.
Manipuliert ein Angreifer einen DOORS-Client oder schreibt dieser auf Basis einer Analyse des textbasierten Kommunikationsprotokolls einen eigenen Client, sind sämtliche Daten des Servers zugänglich, wodurch Informationen abgegriffen, manipuliert oder zerstört werden können. Zwar existiert eine optionale Verschlüsselungsschicht, deren Schlüssel jedoch lokal auf dem Client gespeichert ist und so nur minimalen zusätzlichen Schutz bietet.
requisis_DSP wirkt wie ein Reverse-Proxy und überprüft jede Zugriffsanfrage, bevor diese an den Server weitergeleitet wird. Dadurch wird unbefugter Zugriff effektiv verhindert. Zusätzlich ermöglicht requisis_DSP eine Nachrüstung von IBM DOORS mit einer Zwei-Faktor-Authentifizierung – und das ohne Performance-Verluste.
Viele Unternehmen nutzen bereits requisis_DSP, um ihre Daten zu schützen, während andere die Implementierung noch in Betracht ziehen.
Ausschnitt aus einem Interview mit dem Geschäftsführer Nikolai Stein:
„Viele IT-Mitarbeiter neigen dazu, die Risiken zu ignorieren“, berichtet Nikolai Stein, Gründer und Geschäftsführer von REQUISIS. „In privaten Kunden-Demonstrationen habe ich gezeigt, wie einfach Daten von einem IBM DOORS Server mit Standard-Konfiguration abgegriffen und verändert werden können, was zunächst zu Schock-Reaktionen bei den Teilnehmern führte. Trotzdem verlassen sich einige noch auf die Annahme, dass ihre Systeme nicht exponiert sind, oder scheuen davor zurück, das Problem in Richtung der Führungsebene zu kommunizieren. Aber natürlich gibt es auch positive Beispiele, wo die Kunden sich entscheiden, gemeinsam mit dem CISO und unserer Expertise, passgenaue Maßnahmen zu ergreifen. In der Zukunft erwarten wir durch NIS-2 einen deutlichen Boost an Awareness für IT-Security-Themen und damit auch eine steigende Nachfrage nach unserer Expertise und unseren Lösungen - auch aus Branchen, mit denen wir vielleicht bisher noch nicht so viel zu tun hatten.“
Doch das in die Jahre gekommene IBM DOORS 9 bietet keinen ausreichenden Schutz für die sensiblen Daten. Der Server selbst verfügt über keine Authentifizierung – die gesamte Zugriffslogik erfolgt ausschließlich auf Client-Seite.
Manipuliert ein Angreifer einen DOORS-Client oder schreibt dieser auf Basis einer Analyse des textbasierten Kommunikationsprotokolls einen eigenen Client, sind sämtliche Daten des Servers zugänglich, wodurch Informationen abgegriffen, manipuliert oder zerstört werden können. Zwar existiert eine optionale Verschlüsselungsschicht, deren Schlüssel jedoch lokal auf dem Client gespeichert ist und so nur minimalen zusätzlichen Schutz bietet.
requisis_DSP wirkt wie ein Reverse-Proxy und überprüft jede Zugriffsanfrage, bevor diese an den Server weitergeleitet wird. Dadurch wird unbefugter Zugriff effektiv verhindert. Zusätzlich ermöglicht requisis_DSP eine Nachrüstung von IBM DOORS mit einer Zwei-Faktor-Authentifizierung – und das ohne Performance-Verluste.
Viele Unternehmen nutzen bereits requisis_DSP, um ihre Daten zu schützen, während andere die Implementierung noch in Betracht ziehen.
Ausschnitt aus einem Interview mit dem Geschäftsführer Nikolai Stein:
„Viele IT-Mitarbeiter neigen dazu, die Risiken zu ignorieren“, berichtet Nikolai Stein, Gründer und Geschäftsführer von REQUISIS. „In privaten Kunden-Demonstrationen habe ich gezeigt, wie einfach Daten von einem IBM DOORS Server mit Standard-Konfiguration abgegriffen und verändert werden können, was zunächst zu Schock-Reaktionen bei den Teilnehmern führte. Trotzdem verlassen sich einige noch auf die Annahme, dass ihre Systeme nicht exponiert sind, oder scheuen davor zurück, das Problem in Richtung der Führungsebene zu kommunizieren. Aber natürlich gibt es auch positive Beispiele, wo die Kunden sich entscheiden, gemeinsam mit dem CISO und unserer Expertise, passgenaue Maßnahmen zu ergreifen. In der Zukunft erwarten wir durch NIS-2 einen deutlichen Boost an Awareness für IT-Security-Themen und damit auch eine steigende Nachfrage nach unserer Expertise und unseren Lösungen - auch aus Branchen, mit denen wir vielleicht bisher noch nicht so viel zu tun hatten.“
