Zunehmende Rechnervernetzungen und Rechnerverbünde erlauben es, in immer stärkerem Maße externe RZ-Dienstleistungen (Outsourcing) zu nutzen. Dazu müssen fremden Dienstleistungsunternehmen unter Umständen sicherheitskritische Daten anvertraut werden. Administrationstätigkeiten müssen unter der Benutzerkennung TSOS abgewickelt werden. Ein Benutzer unter der Benutzerkennung TSOS hat aber auf Grund seiner Systemprivilegierung das uneingeschränkte Mitverwaltungsrecht für Dateien und Jobvariablen. Dadurch ist er in der Lage, Schutzmechanismen zu verändern und sich damit Zugriff auf die ihm anvertrauten Daten zu ermöglichen.

Beispiel

Ein DV-Benutzer will seine sicherheitskritische Datei NOT-FOR-TSOS vor Zugriffen durch das fremde RZ-Personal seines Dienstleistungszentrums schützen. Zu diesem Zweck verknüpft er die Datei mit dem Guard GUA. Das Guard verbietet dem Benutzer TSOS alle lesenden, schreibenden und ausführenden Datenzugriffe (siehe Abschnitt„Zugriffs- und Zugangsschutz"):

/add-access-conditions $customer.gua,subjects=*user(tsos),admission=*no 
/modify-file-attributes file-name=$customer.not-for-tsos,         -
/                       protection=(guards=(read=$customer.gua,   -
/                                   write=$customer.gua,          -
/                                   exec=$customer.gua))

Auf Grund der systemweiten TSOS-Miteigentümerrechte darf die fremde RZ-Administration unter der Benutzerkennung TSOS die Schutzattribute dieser Datei administrieren und somit auch den Dateischutz entfernen:

/modify-file-attributes file-name=$customer.not-for-tsos, -
/                       protection=*par(guards=*none)

Ohne Guardsschutz sind dem Benutzer TSOS die Daten der Datei $CUSTOMER.NOT-FOR-TSOS uneingeschränkt zugänglich. Zwar kann eine SAT-Protokollierung Datenzugriffe im Nachhinein sichtbar machen, ein möglicher Schaden kann dadurch aber nicht verhindert werden.