Beim Zugriff auf geschäftskritische Systeme gilt das eherne Prinzip, dass IT-Personal so viele administrative Rechte wie nötig, und nur so wenige wie möglich eingeräumt werden sollten. So weit zur Theorie, in der Praxis lassen jedoch native Windows-Server-Umgebungen nur eine wenig granulare Verwaltung der Administrationsrechte zu. "Änderungen werden mit viel zu viel Berechtigungen vorgenommen", erklärt Götz Walecki, Senior Systems Engineer von NetIQ. "Oft erlaubt ein Universalschlüssel den unlimitierten Zugriff auf alle Systeme und das nicht nur für einen bestimmten Zeithorizont, sondern 365 Tage lang 24 Stunden."
Delegation der Zugriffsrechte
Dieser Ansatz sei nicht nur in kritischen Umgebungen wie sie bei Finanzdienstleistern oder Gesundheitsorganisationen zu finden sind, nicht mehr zeitgemäß, so Walecki. Er kollidiere sowohl mit Compliance-Regeln wie dem Sarbanes-Oxley-Act als auch mit Best-Practices-Verfahren wie Cobit oder Itil. Abhilfe soll das Tool "NetIQ Change Adminis- trator" (NCA) schaffen. Das Produkt schlägt laut Walecki eine Brücke zwischen Administration und Security. Die Software ermöglicht es, den Zugriff auf einen Server nur für eine begrenzte Zeit und einen begrenzten Umfang zuzulassen, hinab bis auf einzelne Applikationen und Services. Die vollen Admin-Rechte werden lediglich im Notfall erteilt - etwa, um sicher- zustellen, dass der Zugriffsschutz die IT-Organisation nicht behindert.
Anbindung an Helpdesk
Ein weiteres Feature ist die Möglichkeit, den NCA an Helpdesk-Systeme wie Peregrine oder Remedy anzukoppeln. Momentan geschieht dies noch händisch via Command Line Interface (CLA). Administratoren sind damit in der Lage, bei der Erteilung eines Trouble-Tickets einen speziellen, auftragsbezogenen Proxy-Account einrichten. Dieser erlaubt es dem zuständigen IT-Mitarbeiter, nur in einem festgelegten Zeitfenster auf einen bestimmten Bereich, etwa einen DNS-Server, zuzugreifen. Sollte der Zeitraum überschritten werden, informiert das System den Vorgesetzten und zeichnet jeden Schritt detailliert auf.
Um strengen Compliance-Vorschriften Genüge zu tun, dokumentiert die Software kontinuierlich, wer zu welchem Zeitpunkt Zugriff auf welchen Server hat. Die gesammelten Informationen laufen in eine Web-basierende Management- und Reporting-Konsole. Anhand der jeweiligen Activity-Reports können Administratoren sofort Veränderungen an einzelnen Servern erkennen und diese auch Auditoren vorführen.
Erweitertes Reporting
Mit dieser Eigenschaft sei NCA auch für IT-Dienstleister ein ideales Tool, um Kunden da- rüber Auskunft und Nachweis zu geben, wer Zugriff auf ihre Da- ten hat, erklärt Martin Räder, Deutschlandchef und General Director Central Europe bei NetIQ. Grundsätzlich bestehe die Kernzielgruppe aus Unternehmen ab dem Mittelstand aufwärts, wobei NCA mit bis zu 300 skalierbaren Verbindungen zu einem System vor allem große Konzerne ins Auge fasst.
Die agentenfreie Software basiert auf Microsofts Terminal-Services und nutzt den SQL Server 2005. In der aktuellen Version werden nur Windows-Umgebungen und das Active Directory unterstützt. Eine Variante mit Support für Unix- und Linux-Server ist geplant. Der NetIQ Change Administrator ist ab sofort verfügbar, der Preis beginnt bei 2000 Dollar je verwaltetem Server. (mb)