Rechtssicherheit statt Schatten-IT: 5 Wege, die IT vollständig zu inventarisieren

Bis zu 20 Prozent der IT-Systeme in Unternehmen gehören zur Schatten-IT – Hard- und Software, von deren Existenz die IT-Abteilung keine Kenntnis hat. Eine Gefahr für die Sicherheit und ein Risikofaktor bei einem Lizenz-Audit. [...]

Nicht selten erhalten IT- und Geschäftsleitung erst dann Kenntnis von Anwendungen und Geräten, wenn ein Hersteller-Audit diese aufdeckt oder eine Sicherheitslücke zutage tritt. Die Gründe dafür sind vielfältig. So gibt es Geräte, die selten im Netzwerk angemeldet und deshalb schwer zu inventarisieren sind. Ausgemusterte Systeme, die von der Fachabteilung dennoch weiter genutzt werden, oder Anwendungen, die sich User selbst installiert haben. Abhilfe schafft hier nur die lückenlose und regelmäßige Erfassung der gesamten IT-Infrastruktur.
Für jeden Anwendungsfall gibt es geeignete Verfahren, die es individuell auszuwählen und umzusetzen gilt. Wichtigstes Kriterium für jedes Unternehmen ist, dass es die Wahl zwischen einer Inventarisierung mit oder ohne Agent hat. Darüber hinaus kann eine Erfassung sowohl automatisiert zeitgesteuert als auch manuell ad hoc gestartet werden. Auch Gerätetyp (mobile Device, fester Arbeitsplatzrechner, Peripheriegerät) und Einsatzgebiet (Außendienst, Home Office, Büro) spielen bei der Wahl der Methode eine wichtige Rolle. Mit dem passenden Methoden-Mix steigern Unternehmen ihre IT-Sicherheit deutlich und garantieren Compliance.
Assets in virtuellen Welten: Inventarisierung via API
Eine große Herausforderung für jedes Unternehmen ist die Lizenzierung virtueller Umgebungen. Denn die Lizenzierungsmodelle sind heterogen, technisch schwierig zu erfassen oder teils für virtuelle Maschinen ungeeignet. Damit kann die Inventarisierung virtueller Assets zum Risiko im Audit führen. Denn hier müssen Unternehmen nachweisen, auf welchem physikalischen Host ein virtueller Client oder Service läuft. Dies kann problematisch werden, wenn Hardware-Komponenten durch Virtualisierungstechnologien wie XenServer, Hyper-V oder vSphere nicht mehr erkannt werden.
Deshalb werden die Hosts remote über die Hersteller-API gescannt. Die Inventarisierung der virtuellen Clients und Services kann sowohl agentenbasiert als auch agentenlos erfolgen. Dabei werden die Zusammenhänge von Virtualisierungssystem und Host detailliert und lückenlos dokumentiert und so die Verbindung der virtuellen Assets zu den physikalischen Hosts nachgewiesen.
Bei zentralem Rechtemanagement: Inventarisierung über Dienste und Remote-Zugriff
Für kleine und mittelständische Unternehmen eignet sich die Inventarisierung über Fernzugriff und Dienste. Sie ist auch geeignet für große Konzerne, die ihre IT dezentral betreiben. Dabei kann die Infrastruktur virtuell oder hybrid betrieben werden. Wichtig ist, dass Zugriffsrechte zentral – beispielsweise über ein Active Directory – vergeben werden. Zusätzlich sollte der Großteil der Hardware fest an das Netzwerk angebunden und dadurch gut erreichbar sein.
Basierend auf dem Aufbau der Netzwerkinfrastruktur verteilt die Inventarisierungslösung mehrere Dienste im Netzwerk. Diese greifen mit administrativen Rechten nach festgelegten Zeitplänen remote auf die jeweiligen Devices zu: bei Windows-Geräten über WMI und auf Mac-Geräte über System Profiler. Anschließend geben sie die ermittelten Daten über das Hardware Asset selbst und die darauf installierten Anwendungen an die Asset-Management-Datenbank zur Speicherung weiter. Dort stehen sie dann für Analysen zur Verfügung.
Ein Vorteil der agentenlosen Methode ist, dass die Installation von Fremdsoftware im Netzwerk entfällt. Allerdings erfasst diese Methode nur Systeme, die zum Zeitpunkt der Inventarisierung für den Dienst erreichbar, das heißt im Netzwerk angemeldet, sind. Sie ist nicht ideal für Infrastrukturen mit einem hohen Anteil an mobilen Geräten, welche sich nur unregelmäßig mit dem Firmennetz verbinden. In diesem Fall sollten sich Unternehmen über einen automatisierten IP-Scan alle unbekannten Geräte auflisten lassen. So können diese manuell geprüft und in die Datenbank aufgenommen werden. Alternativ bietet sich eine Kombination aus agentenloser und agentenbasierter Inventarisierung an. Mit beiden Varianten werden potentielle Sicherheitsrisiken vermieden, die durch eine Schatten-IT entstehen.
Für unterwegs: Inventarisierung agentenbasiert oder per Script
Systeme von Mitarbeitern im Home Office, Vertrieb oder Kundenservice im Außendienst sind nicht permanent im Unternehmensnetzwerk angemeldet. Sie fallen bei einer agentenlosen Inventarisierung häufig durch das Raster. Deshalb sind Unternehmen gut beraten, diese Geräte mit einer agentenbasierten Inventarisierung zu kontrollieren. Auch für Terminalserver, die für das Lizenzmanagement per Application Metering überwacht werden, ist die agentenbasierte Methode besser geeignet.
Ein Agent wird dazu lokal auf dem Gerät installiert und sendet dessen Inventarisierungsdaten über die Dienste an die Datenbank, sobald das Gerät im Netzwerk angemeldet ist. Inventarisierung und Datenübertragung können manuell durch den Benutzer gestartet oder automatisiert nach Zeitplan ausgeführt werden. Die zeitgesteuerte Inventarisierung bietet ein höheres Maß an Sicherheit, da der Zeitpunkt der nächsten periodischen Erfassung dynamisch berechnet und automatisch angestoßen wird. Für Geräte, die nie oder selten im Firmennetzwerk angemeldet sind, ist zudem eine regelmäßige Übertragung der Daten über eine mit Zertifikat gesicherte SSL-Verbindung via Internet empfehlenswert.
Eine andere Möglichkeit, schlecht erreichbare Systeme zu inventarisieren, ist die Verwendung eines Scripts. Dieses wird entweder auf den Geräten oder zentral über eine Freigabe in der Hardware-Verwaltung bereitgestellt. Das Inventarisierungsprogramm liegt auf einem gesicherten Server und wird per Script-Aufruf oder über definierte Gruppenrichtlinien gestartet. Damit lässt sich die Inventarisierung aller in einer Gruppe befindlichen Geräte anstoßen. Ein Anwendungsbeispiel wären Laptops im Vertrieb, die alle dann inventarisiert werden sollen, wenn sie sich das nächste Mal im Netzwerk anmelden.
In sensiblen Bereichen: Inventarisierung offline
In sicherheitssensiblen Branchen wie Banken gibt es Geräte, die niemals ins Netzwerk gehen. Auch Laptops, die beispielsweise in Krankenwägen verwendet werden, verbinden sich nur selten mit den Unternehmensservern. Für solche Fälle bietet sich eine Offline-Inventarisierung an. Dabei wird das Inventarisierungstool auf einem USB-Stick installiert und direkt auf dem jeweiligen Rechner gestartet. Die erhobenen Daten werden in einer mobilen Datenbank auf dem Stick zwischengespeichert. Bei der späteren Übertragung in die Assetmanagement-Datenbank werden die Daten bestehender Geräte aktualisiert, bei Bedarf legt die Inventarisierungslösung neue Geräte auch automatisch an.
Drucker & Co.: Inventarisierung über SNMP
Zur vollständigen Erfassung der IT-Infrastruktur gehören neben PCs, Laptops und mobilen Endgeräten auch Peripheriegeräte wie Telefonanlagen oder Drucker. Diese aktiven Komponenten sollte eine Inventarisierungslösung über das Simple Network Management Protocol (SNMP) automatisiert erfassen. Passive Komponenten wie Monitore oder Docking Stations sollten sich für ein vollständiges Bild aller Assets manuell ergänzen lassen.
Sicherheitsplus: Vollständig erfasste IT-Infrastruktur
Viele Unternehmen sind von der lückenlosen Inventarisierung ihrer gesamten IT-Infrastruktur heute noch ein Stück weit entfernt. Dabei ist sie die Grundlage erfolgreichen IT-Managements, um größtmögliche Sicherheit für Systeme und Compliance sowie ein optimales Kosten-Nutzen-Verhältnis zu erzielen.
Mit einer vollständig inventarisierten IT-Infrastruktur begegnen Unternehmen Sicherheitsrisiken erfolgreich. Sie ist die Basis für automatische Analysen von Versions- und Patch-Ständen. Eine Lösung für das Software Asset Management (SAM) sollte in der Lage sein, alle installierten Anwendungen tagesaktuell mit einer Sicherheitsdatenbank abzugleichen und potentielle Sicherheitsrisiken aufzulisten. Direkt aus dieser Übersicht heraus, sollte anschließend die Softwareverteilung oder Deinstallation möglich sein. Das erlaubt es, veraltete Patch-Stände zu aktualisieren oder unerlaubte Software direkt zu entfernen und so potentielle Sicherheitslücken umgehend zu schließen.
Eine SAM-Lösung stellt zudem neben technischen Parametern auch kaufmännisch relevante Informationen wie etwa Abschreibungen oder Servicepartner zur Verfügung. Diese sind notwendig für die Planung und kostenstellengenaue Weiterberechnung von Serviceleistungen. In Kombination mit einem ganzheitlich integrierten Lizenzmanagement oder Application Metering erkennen Unternehmen, welche Software- und Hardware-Assets tatsächlich und wie häufig genutzt werden. So können nicht oder selten verwendete Geräte und Lizenzen im Unternehmen umverteilt oder gekündigt werden. Damit lassen sich Kosten reduzieren und Firmen sind vor unliebsamen Überraschungen im Audit sicher.

* Christoph A. Harvey ist Vorstand bei der DeskCenter Solutions AG, einem Anbieter von Lösungen für das IT Life Cycle Management.

Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*