Bis zu 20 Prozent der IT-Systeme in Unternehmen gehören zur Schatten-IT – Hard- und Software, von deren Existenz die IT-Abteilung keine Kenntnis hat. Eine Gefahr für die Sicherheit und ein Risikofaktor bei einem Lizenz-Audit. [...]
Nicht selten erhalten IT- und Geschäftsleitung erst dann Kenntnis von Anwendungen und Geräten, wenn ein Hersteller-Audit diese aufdeckt oder eine Sicherheitslücke zutage tritt. Die Gründe dafür sind vielfältig. So gibt es Geräte, die selten im Netzwerk angemeldet und deshalb schwer zu inventarisieren sind. Ausgemusterte Systeme, die von der Fachabteilung dennoch weiter genutzt werden, oder Anwendungen, die sich User selbst installiert haben. Abhilfe schafft hier nur die lückenlose und regelmäßige Erfassung der gesamten IT-Infrastruktur.
Für jeden Anwendungsfall gibt es geeignete Verfahren, die es individuell auszuwählen und umzusetzen gilt. Wichtigstes Kriterium für jedes Unternehmen ist, dass es die Wahl zwischen einer Inventarisierung mit oder ohne Agent hat. Darüber hinaus kann eine Erfassung sowohl automatisiert zeitgesteuert als auch manuell ad hoc gestartet werden. Auch Gerätetyp (mobile Device, fester Arbeitsplatzrechner, Peripheriegerät) und Einsatzgebiet (Außendienst, Home Office, Büro) spielen bei der Wahl der Methode eine wichtige Rolle. Mit dem passenden Methoden-Mix steigern Unternehmen ihre IT-Sicherheit deutlich und garantieren Compliance.
Assets in virtuellen Welten: Inventarisierung via API
Eine große Herausforderung für jedes Unternehmen ist die Lizenzierung virtueller Umgebungen. Denn die Lizenzierungsmodelle sind heterogen, technisch schwierig zu erfassen oder teils für virtuelle Maschinen ungeeignet. Damit kann die Inventarisierung virtueller Assets zum Risiko im Audit führen. Denn hier müssen Unternehmen nachweisen, auf welchem physikalischen Host ein virtueller Client oder Service läuft. Dies kann problematisch werden, wenn Hardware-Komponenten durch Virtualisierungstechnologien wie XenServer, Hyper-V oder vSphere nicht mehr erkannt werden.
Deshalb werden die Hosts remote über die Hersteller-API gescannt. Die Inventarisierung der virtuellen Clients und Services kann sowohl agentenbasiert als auch agentenlos erfolgen. Dabei werden die Zusammenhänge von Virtualisierungssystem und Host detailliert und lückenlos dokumentiert und so die Verbindung der virtuellen Assets zu den physikalischen Hosts nachgewiesen.
Bei zentralem Rechtemanagement: Inventarisierung über Dienste und Remote-Zugriff
Für kleine und mittelständische Unternehmen eignet sich die Inventarisierung über Fernzugriff und Dienste. Sie ist auch geeignet für große Konzerne, die ihre IT dezentral betreiben. Dabei kann die Infrastruktur virtuell oder hybrid betrieben werden. Wichtig ist, dass Zugriffsrechte zentral – beispielsweise über ein Active Directory – vergeben werden. Zusätzlich sollte der Großteil der Hardware fest an das Netzwerk angebunden und dadurch gut erreichbar sein.
Basierend auf dem Aufbau der Netzwerkinfrastruktur verteilt die Inventarisierungslösung mehrere Dienste im Netzwerk. Diese greifen mit administrativen Rechten nach festgelegten Zeitplänen remote auf die jeweiligen Devices zu: bei Windows-Geräten über WMI und auf Mac-Geräte über System Profiler. Anschließend geben sie die ermittelten Daten über das Hardware Asset selbst und die darauf installierten Anwendungen an die Asset-Management-Datenbank zur Speicherung weiter. Dort stehen sie dann für Analysen zur Verfügung.
Ein Vorteil der agentenlosen Methode ist, dass die Installation von Fremdsoftware im Netzwerk entfällt. Allerdings erfasst diese Methode nur Systeme, die zum Zeitpunkt der Inventarisierung für den Dienst erreichbar, das heißt im Netzwerk angemeldet, sind. Sie ist nicht ideal für Infrastrukturen mit einem hohen Anteil an mobilen Geräten, welche sich nur unregelmäßig mit dem Firmennetz verbinden. In diesem Fall sollten sich Unternehmen über einen automatisierten IP-Scan alle unbekannten Geräte auflisten lassen. So können diese manuell geprüft und in die Datenbank aufgenommen werden. Alternativ bietet sich eine Kombination aus agentenloser und agentenbasierter Inventarisierung an. Mit beiden Varianten werden potentielle Sicherheitsrisiken vermieden, die durch eine Schatten-IT entstehen.
Für unterwegs: Inventarisierung agentenbasiert oder per Script
Systeme von Mitarbeitern im Home Office, Vertrieb oder Kundenservice im Außendienst sind nicht permanent im Unternehmensnetzwerk angemeldet. Sie fallen bei einer agentenlosen Inventarisierung häufig durch das Raster. Deshalb sind Unternehmen gut beraten, diese Geräte mit einer agentenbasierten Inventarisierung zu kontrollieren. Auch für Terminalserver, die für das Lizenzmanagement per Application Metering überwacht werden, ist die agentenbasierte Methode besser geeignet.
Ein Agent wird dazu lokal auf dem Gerät installiert und sendet dessen Inventarisierungsdaten über die Dienste an die Datenbank, sobald das Gerät im Netzwerk angemeldet ist. Inventarisierung und Datenübertragung können manuell durch den Benutzer gestartet oder automatisiert nach Zeitplan ausgeführt werden. Die zeitgesteuerte Inventarisierung bietet ein höheres Maß an Sicherheit, da der Zeitpunkt der nächsten periodischen Erfassung dynamisch berechnet und automatisch angestoßen wird. Für Geräte, die nie oder selten im Firmennetzwerk angemeldet sind, ist zudem eine regelmäßige Übertragung der Daten über eine mit Zertifikat gesicherte SSL-Verbindung via Internet empfehlenswert.
Eine andere Möglichkeit, schlecht erreichbare Systeme zu inventarisieren, ist die Verwendung eines Scripts. Dieses wird entweder auf den Geräten oder zentral über eine Freigabe in der Hardware-Verwaltung bereitgestellt. Das Inventarisierungsprogramm liegt auf einem gesicherten Server und wird per Script-Aufruf oder über definierte Gruppenrichtlinien gestartet. Damit lässt sich die Inventarisierung aller in einer Gruppe befindlichen Geräte anstoßen. Ein Anwendungsbeispiel wären Laptops im Vertrieb, die alle dann inventarisiert werden sollen, wenn sie sich das nächste Mal im Netzwerk anmelden.
In sensiblen Bereichen: Inventarisierung offline
In sicherheitssensiblen Branchen wie Banken gibt es Geräte, die niemals ins Netzwerk gehen. Auch Laptops, die beispielsweise in Krankenwägen verwendet werden, verbinden sich nur selten mit den Unternehmensservern. Für solche Fälle bietet sich eine Offline-Inventarisierung an. Dabei wird das Inventarisierungstool auf einem USB-Stick installiert und direkt auf dem jeweiligen Rechner gestartet. Die erhobenen Daten werden in einer mobilen Datenbank auf dem Stick zwischengespeichert. Bei der späteren Übertragung in die Assetmanagement-Datenbank werden die Daten bestehender Geräte aktualisiert, bei Bedarf legt die Inventarisierungslösung neue Geräte auch automatisch an.
Drucker & Co.: Inventarisierung über SNMP
Zur vollständigen Erfassung der IT-Infrastruktur gehören neben PCs, Laptops und mobilen Endgeräten auch Peripheriegeräte wie Telefonanlagen oder Drucker. Diese aktiven Komponenten sollte eine Inventarisierungslösung über das Simple Network Management Protocol (SNMP) automatisiert erfassen. Passive Komponenten wie Monitore oder Docking Stations sollten sich für ein vollständiges Bild aller Assets manuell ergänzen lassen.
Sicherheitsplus: Vollständig erfasste IT-Infrastruktur
Viele Unternehmen sind von der lückenlosen Inventarisierung ihrer gesamten IT-Infrastruktur heute noch ein Stück weit entfernt. Dabei ist sie die Grundlage erfolgreichen IT-Managements, um größtmögliche Sicherheit für Systeme und Compliance sowie ein optimales Kosten-Nutzen-Verhältnis zu erzielen.
Mit einer vollständig inventarisierten IT-Infrastruktur begegnen Unternehmen Sicherheitsrisiken erfolgreich. Sie ist die Basis für automatische Analysen von Versions- und Patch-Ständen. Eine Lösung für das Software Asset Management (SAM) sollte in der Lage sein, alle installierten Anwendungen tagesaktuell mit einer Sicherheitsdatenbank abzugleichen und potentielle Sicherheitsrisiken aufzulisten. Direkt aus dieser Übersicht heraus, sollte anschließend die Softwareverteilung oder Deinstallation möglich sein. Das erlaubt es, veraltete Patch-Stände zu aktualisieren oder unerlaubte Software direkt zu entfernen und so potentielle Sicherheitslücken umgehend zu schließen.
Eine SAM-Lösung stellt zudem neben technischen Parametern auch kaufmännisch relevante Informationen wie etwa Abschreibungen oder Servicepartner zur Verfügung. Diese sind notwendig für die Planung und kostenstellengenaue Weiterberechnung von Serviceleistungen. In Kombination mit einem ganzheitlich integrierten Lizenzmanagement oder Application Metering erkennen Unternehmen, welche Software- und Hardware-Assets tatsächlich und wie häufig genutzt werden. So können nicht oder selten verwendete Geräte und Lizenzen im Unternehmen umverteilt oder gekündigt werden. Damit lassen sich Kosten reduzieren und Firmen sind vor unliebsamen Überraschungen im Audit sicher.
* Christoph A. Harvey ist Vorstand bei der DeskCenter Solutions AG, einem Anbieter von Lösungen für das IT Life Cycle Management.
Be the first to comment