Wenn heute über Zero Trust, Identity Governance oder digitale Souveränität diskutiert wird, stehen meist Cloud-Plattformen, moderne Security Frameworks oder Multi-Faktor-Authentifizierung im Fokus. Weniger bekannt ist: Zentrale Prinzipien dieser Sicherheitsarchitekturen wurden im Mainframe-Umfeld bereits Jahrzehnte früher technisch umgesetzt.
Ein prägnantes Beispiel dafür ist die Resource Access Control Facility (RACF) von IBM. Das Sicherheitsprodukt wurde im Juni 1976 eingeführt und schützt bis heute geschäftskritische Systeme in Banken, Versicherungen, Behörden und Industrieunternehmen weltweit.
Sicherheit für das digitale Rückgrat
Bereits Mitte der 1970er-Jahre verfolgte RACF einen Ansatz, der heutigen Sicherheitsmodellen erstaunlich nahekommt: Jeder Zugriff auf sensible Ressourcen sollte eindeutig identifiziert, autorisiert und nachvollziehbar protokolliert werden.
Was zunächst mit der Kontrolle von Benutzerkennungen und Dateizugriffen begann, entwickelte sich über Jahrzehnte zu einem zentralen Sicherheitsbaustein für z/OS-Umgebungen. RACF steuert heute den Zugriff auf Datensätze, Anwendungen, Transaktionen, Programme und Systemfunktionen — granular, zentral verwaltet und tief in die Mainframe-Architektur integriert.
Technische Beschreibungen heben dabei insbesondere die zentrale Benutzer- und Gruppenverwaltung, profilbasierte Sicherheitsrichtlinien, Audit- und Logging-Funktionen sowie die Integration mit Anwendungen wie IBM CICS, IBM Db2 oder IBM Information Management System hervor.
IBM positioniert RACF weiterhin als aktives Sicherheitsprodukt
Bemerkenswert ist, dass IBM RACF auch 50 Jahre nach seiner Einführung nicht als historisches Produkt behandelt. Auf der aktuellen Produktseite beschreibt der Konzern RACF weiterhin als zentrale Sicherheitskomponente von z/OS — mit Fokus auf Zugriffskontrolle, Auditierbarkeit, Compliance sowie die Unterstützung moderner Authentifizierungsverfahren.
Was RACF eigentlich absichert
Mit Resource Access Control Facility lassen sich Zugriffsrechte auf Mainframe-Ressourcen fein granular steuern — von NONE (kein Zugriff) bis ALTER (vollständige Kontrolle). Dazwischen liegen abgestufte Rechte wie:
EXECUTE – Programme ausführen
READ – Daten lesen
UPDATE – Daten ändern
CONTROL – erweiterte Steuerung, etwa bei VSAM
Das Grundprinzip dahinter wirkt erstaunlich modern: Jeder Nutzer erhält nur genau die Rechte, die für seine Aufgabe erforderlich sind.
Damit adressiert RACF genau jene Anforderungen, die heute unter Schlagworten wie Zero Trust, Least Privilege oder Identity Governance diskutiert werden — insbesondere in stark regulierten Branchen wie dem Finanzsektor.
Legacy oder strategischer Sicherheitsvorsprung?
Der Blick auf RACF zeigt exemplarisch, warum der Begriff Legacy im Enterprise-Umfeld häufig zu kurz greift. Technologien, die seit Jahrzehnten Milliarden geschäftskritischer Transaktionen absichern, sind nicht automatisch veraltet. In vielen Fällen bilden sie vielmehr die Grundlage moderner Sicherheitsarchitekturen.
Oder anders formuliert: Zero Trust mag ein Begriff der Gegenwart sein — auf dem Mainframe wurden zentrale Prinzipien davon bereits 1976 technisch umgesetzt. (td)
IBM-Announcement zu Resource Access Control Facility Version 1 Release 5 aus dem Jahr 1982 (Quelle: IBM, Announcement Letter Number ZP82-0763, 27. September 1982)
