Rechtssicherheit statt Schatten-IT

5 Wege, die IT vollständig zu inventarisieren

Christoph A. Harvey schreibt als Experte für IT-Infrastrukturen über die Themen Asset-, Lizenzmanagement und Softwareverteilung in Anwenderunternehmen sowie bei Cloud Service Providern/Hostern. Er beschäftigt sich seit 25 Jahren mit dem Einsatz von IT-Lösungen in Unternehmen. Herr Harvey ist Vorstand bei der DeskCenter Solutions AG, einem Anbieter von Lösungen für das IT Life Cycle Management. Dort verantwortet er maßgeblich die Strategien für die Weiterentwicklung des gesamten Lösungsportfolios.
Bis zu 20 Prozent der IT-Systeme in Unternehmen gehören zur Schatten-IT – Hard- und Software, von deren Existenz die IT-Abteilung keine Kenntnis hat. Eine Gefahr für die Sicherheit und ein Risikofaktor bei einem Lizenz-Audit.

Nicht selten erhalten IT- und Geschäftsleitung erst dann Kenntnis von Anwendungen und Geräten, wenn ein Hersteller-Audit diese aufdeckt oder eine Sicherheitslücke zutage tritt. Die Gründe dafür sind vielfältig. So gibt es Geräte, die selten im Netzwerk angemeldet und deshalb schwer zu inventarisieren sind. Ausgemusterte Systeme, die von der Fachabteilung dennoch weiter genutzt werden, oder Anwendungen, die sich User selbst installiert haben. Abhilfe schafft hier nur die lückenlose und regelmäßige Erfassung der gesamten IT-Infrastruktur.

Für jeden Anwendungsfall gibt es geeignete Verfahren, die es individuell auszuwählen und umzusetzen gilt. Wichtigstes Kriterium für jedes Unternehmen ist, dass es die Wahl zwischen einer Inventarisierung mit oder ohne Agent hat. Darüber hinaus kann eine Erfassung sowohl automatisiert zeitgesteuert als auch manuell ad hoc gestartet werden. Auch Gerätetyp (mobile Device, fester Arbeitsplatzrechner, Peripheriegerät) und Einsatzgebiet (Außendienst, Home Office, Büro) spielen bei der Wahl der Methode eine wichtige Rolle. Mit dem passenden Methoden-Mix steigern Unternehmen ihre IT-Sicherheit deutlich und garantieren Compliance.

Bis zu 20 Prozent der IT-Systeme eines Unternehmens gehören zur Schatten-IT.
Bis zu 20 Prozent der IT-Systeme eines Unternehmens gehören zur Schatten-IT.
Foto: hamburg_berlin - shutterstock.com

Assets in virtuellen Welten: Inventarisierung via API

Eine große Herausforderung für jedes Unternehmen ist die Lizenzierung virtueller Umgebungen. Denn die Lizenzierungsmodelle sind heterogen, technisch schwierig zu erfassen oder teils für virtuelle Maschinen ungeeignet. Damit kann die Inventarisierung virtueller Assets zum Risiko im Audit führen. Denn hier müssen Unternehmen nachweisen, auf welchem physikalischen Host ein virtueller Client oder Service läuft. Dies kann problematisch werden, wenn Hardware-Komponenten durch Virtualisierungstechnologien wie XenServer, Hyper-V oder vSphere nicht mehr erkannt werden.

Deshalb werden die Hosts remote über die Hersteller-API gescannt. Die Inventarisierung der virtuellen Clients und Services kann sowohl agentenbasiert als auch agentenlos erfolgen. Dabei werden die Zusammenhänge von Virtualisierungssystem und Host detailliert und lückenlos dokumentiert und so die Verbindung der virtuellen Assets zu den physikalischen Hosts nachgewiesen.

Bei zentralem Rechtemanagement: Inventarisierung über Dienste und Remote-Zugriff

Für kleine und mittelständische Unternehmen eignet sich die Inventarisierung über Fernzugriff und Dienste. Sie ist auch geeignet für große Konzerne, die ihre IT dezentral betreiben. Dabei kann die Infrastruktur virtuell oder hybrid betrieben werden. Wichtig ist, dass Zugriffsrechte zentral – beispielsweise über ein Active Directory - vergeben werden. Zusätzlich sollte der Großteil der Hardware fest an das Netzwerk angebunden und dadurch gut erreichbar sein.

Basierend auf dem Aufbau der Netzwerkinfrastruktur verteilt die Inventarisierungslösung mehrere Dienste im Netzwerk. Diese greifen mit administrativen Rechten nach festgelegten Zeitplänen remote auf die jeweiligen Devices zu: bei Windows-Geräten über WMI und auf Mac-Geräte über System Profiler. Anschließend geben sie die ermittelten Daten über das Hardware Asset selbst und die darauf installierten Anwendungen an die Asset-Management-Datenbank zur Speicherung weiter. Dort stehen sie dann für Analysen zur Verfügung.

Ein Vorteil der agentenlosen Methode ist, dass die Installation von Fremdsoftware im Netzwerk entfällt. Allerdings erfasst diese Methode nur Systeme, die zum Zeitpunkt der Inventarisierung für den Dienst erreichbar, das heißt im Netzwerk angemeldet, sind. Sie ist nicht ideal für Infrastrukturen mit einem hohen Anteil an mobilen Geräten, welche sich nur unregelmäßig mit dem Firmennetz verbinden. In diesem Fall sollten sich Unternehmen über einen automatisierten IP-Scan alle unbekannten Geräte auflisten lassen. So können diese manuell geprüft und in die Datenbank aufgenommen werden. Alternativ bietet sich eine Kombination aus agentenloser und agentenbasierter Inventarisierung an. Mit beiden Varianten werden potentielle Sicherheitsrisiken vermieden, die durch eine „Schatten-IT“ entstehen.

Inhalt dieses Artikels