Rechtssicherheit statt Schatten-IT

5 Wege, die IT vollständig zu inventarisieren

15.09.2017
Von 
Christoph A. Harvey schreibt als Experte für IT-Infrastrukturen über die Themen Asset-, Lizenzmanagement und Softwareverteilung in Anwenderunternehmen sowie bei Cloud Service Providern/Hostern. Er beschäftigt sich seit 25 Jahren mit dem Einsatz von IT-Lösungen in Unternehmen. Herr Harvey ist Geschäftsführer der mosaic IT-GmbH. Dort verantwortet er maßgeblich die Strategien für die Weiterentwicklung des gesamten Lösungsportfolios.

Für unterwegs: Inventarisierung agentenbasiert oder per Script

Systeme von Mitarbeitern im Home Office, Vertrieb oder Kundenservice im Außendienst sind nicht permanent im Unternehmensnetzwerk angemeldet. Sie fallen bei einer agentenlosen Inventarisierung häufig durch das Raster. Deshalb sind Unternehmen gut beraten, diese Geräte mit einer agentenbasierten Inventarisierung zu kontrollieren. Auch für Terminalserver, die für das Lizenzmanagement per Application Metering überwacht werden, ist die agentenbasierte Methode besser geeignet.

Ein Agent wird dazu lokal auf dem Gerät installiert und sendet dessen Inventarisierungsdaten über die Dienste an die Datenbank, sobald das Gerät im Netzwerk angemeldet ist. Inventarisierung und Datenübertragung können manuell durch den Benutzer gestartet oder automatisiert nach Zeitplan ausgeführt werden. Die zeitgesteuerte Inventarisierung bietet ein höheres Maß an Sicherheit, da der Zeitpunkt der nächsten periodischen Erfassung dynamisch berechnet und automatisch angestoßen wird. Für Geräte, die nie oder selten im Firmennetzwerk angemeldet sind, ist zudem eine regelmäßige Übertragung der Daten über eine mit Zertifikat gesicherte SSL-Verbindung via Internet empfehlenswert.

Eine andere Möglichkeit, schlecht erreichbare Systeme zu inventarisieren, ist die Verwendung eines Scripts. Dieses wird entweder auf den Geräten oder zentral über eine Freigabe in der Hardware-Verwaltung bereitgestellt. Das Inventarisierungsprogramm liegt auf einem gesicherten Server und wird per Script-Aufruf oder über definierte Gruppenrichtlinien gestartet. Damit lässt sich die Inventarisierung aller in einer Gruppe befindlichen Geräte anstoßen. Ein Anwendungsbeispiel wären Laptops im Vertrieb, die alle dann inventarisiert werden sollen, wenn sie sich das nächste Mal im Netzwerk anmelden.

In sensiblen Bereichen: Inventarisierung offline

In sicherheitssensiblen Branchen wie Banken gibt es Geräte, die niemals ins Netzwerk gehen. Auch Laptops, die beispielsweise in Krankenwägen verwendet werden, verbinden sich nur selten mit den Unternehmensservern. Für solche Fälle bietet sich eine „offline“-Inventarisierung an. Dabei wird das Inventarisierungstool auf einem USB-Stick installiert und direkt auf dem jeweiligen Rechner gestartet. Die erhobenen Daten werden in einer mobilen Datenbank auf dem Stick zwischengespeichert. Bei der späteren Übertragung in die Assetmanagement-Datenbank werden die Daten bestehender Geräte aktualisiert, bei Bedarf legt die Inventarisierungslösung neue Geräte auch automatisch an.

Drucker & Co.: Inventarisierung über SNMP

Zur vollständigen Erfassung der IT-Infrastruktur gehören neben PCs, Laptops und mobilen Endgeräten auch Peripheriegeräte wie Telefonanlagen oder Drucker. Diese aktiven Komponenten sollte eine Inventarisierungslösung über das Simple Network Management Protocol (SNMP) automatisiert erfassen. Passive Komponenten wie Monitore oder Docking Stations sollten sich für ein vollständiges Bild aller Assets manuell ergänzen lassen.

Sicherheitsplus: Vollständig erfasste IT-Infrastruktur

Viele Unternehmen sind von der lückenlosen Inventarisierung ihrer gesamten IT-Infrastruktur heute noch ein Stück weit entfernt. Dabei ist sie die Grundlage erfolgreichen IT-Managements, um größtmögliche Sicherheit für Systeme und Compliance sowie ein optimales Kosten-Nutzen-Verhältnis zu erzielen.

Mit einer vollständig inventarisierten IT-Infrastruktur begegnen Unternehmen Sicherheitsrisiken erfolgreich. Sie ist die Basis für automatische Analysen von Versions- und Patch-Ständen. Eine Lösung für das Software Asset Management (SAM) sollte in der Lage sein, alle installierten Anwendungen tagesaktuell mit einer Sicherheitsdatenbank abzugleichen und potentielle Sicherheitsrisiken aufzulisten. Direkt aus dieser Übersicht heraus, sollte anschließend die Softwareverteilung oder Deinstallation möglich sein. Das erlaubt es, veraltete Patch-Stände zu aktualisieren oder unerlaubte Software direkt zu entfernen und so potentielle Sicherheitslücken umgehend zu schließen.

Eine SAM-Lösung stellt zudem neben technischen Parametern auch kaufmännisch relevante Informationen wie etwa Abschreibungen oder Servicepartner zur Verfügung. Diese sind notwendig für die Planung und kostenstellengenaue Weiterberechnung von Serviceleistungen. In Kombination mit einem ganzheitlich integrierten Lizenzmanagement oder Application Metering erkennen Unternehmen, welche Software- und Hardware-Assets tatsächlich und wie häufig genutzt werden. So können nicht oder selten verwendete Geräte und Lizenzen im Unternehmen umverteilt oder gekündigt werden. Damit lassen sich Kosten reduzieren und Firmen sind vor unliebsamen Überraschungen im Audit sicher. (haf)