IT-Asset-Management (ITAM) ist der Grundstein für die Cybersecurity jedes Unternehmens. Unbekannte Devices lassen sich damit ebenso schnell entdecken wie potenzielle Softwareschwachstellen schließen. Damit trägt ein ITAM-Werkzeug entscheidend zum Schutz des Firmennetzwerks vor ständig neuen Sicherheitsbedrohungen bei.

Das Für und Wider verschiedener Betriebsmodelle
Für den Betrieb eines IT-Asset-Management-Systems stehen grundsätzlich zwei Optionen offen: zum einen das Deployment einer eigenen Plattform, sei es auf Servern vor Ort oder gehostet in einem Rechenzentrum. Zum anderen können IT-Manager auch mittels Software-as-a-Service (SaaS) die Basis für eine solide Sicherheitsarchitektur legen.

Klassisches On-Premises-ITAM punktet mit maximaler Kontrolle und Anpassungsfähigkeit. Das Unternehmen behält die Oberhoheit über sämtliche Speicherorte seiner Daten, was besonders in stark regulierten Branchen wichtig ist. Auch ein umfassendes Customizing der Software lässt sich mit einer eigenen Installation besser umsetzen. Dies schlägt allerdings mit entsprechendem Aufwand zu Buche und die Updatefähigkeit der Software kann darunter leiden. Zudem erfordert das klassische Betriebsmodell viel Eigenleistung für Installation, Wartung und IT-Sicherheit. Es ist also nicht zuletzt eine Zeit- und Kostenfrage.

Leiden strategische Initiativen bereits unter einer zu hohen Arbeitslast im Tagesgeschäft, so kann SaaS-ITAM entscheidende Vorteile liefern. Da der Provider die nötige Infrastruktur schon bereitstellt, diese wartet und absichert, ist ein SaaS-Ansatz schneller implementiert, mit geringem Betriebsaufwand verbunden und einfacher skalierbar. Zudem punktet SaaS mit planbaren Kosten. Und sollte es zu einer Attacke kommen, liegen alle Assets gut geschützt in der Cloud. Im Ernstfall haben Unternehmen so schnell und direkt Zugriff und müssen die Daten nicht erst mühevoll wiederherstellen.

Mit der Inventarisierung steht und fällt das Konzept
Unstrittig ist: Manuell geführte Bestandslisten können mit modernen IT-Security-Anforderungen nicht mithalten. Aber auch so manche Inventarisierungssoftware schwächelt. Sie bietet keine umfänglichen Scans der IT-Infrastruktur – und damit Angriffsfläche. Einen vollständigen Status quo ermöglicht in den meisten Fällen nur ein Mix mehrerer Methoden:

• Die Inventarisierung per Fernzugriff und Dienste eignet sich besonders für kleine und mittelständische Unternehmen sowie für Konzerne mit dezentraler IT-Struktur. Sie nutzt zentral verwaltete Zugriffsrechte und verteilt Dienste im Netzwerk, die remote auf die Geräte zugreifen. Der Vorteil: Diese agentenlose Methode erfordert keine Softwareinstallation auf den zu inventarisierenden Systemen. Jedoch erfasst sie nur die zum Zeitpunkt der Inventarisierung erreichbaren Assets.
• Für mobile Geräte ohne permanenten Netzwerkzugriff bietet sich ein agentenbasiertes Verfahren an. Ein lokal installierter Agent sendet Inventarisierungsdaten an die Datenbank, wenn das Device im Netzwerk ist – automatisiert nach Zeitplan oder auf Abruf. Alternativ funktioniert dies auch per Script, auf den Geräten oder zentral über eine Freigabe in der Hardwareverwaltung bereitgestellt.
• Eine Inventarisierung via API ist für virtuelle Umgebungen geboten. Dabei werden die Zusammenhänge von Virtualisierungssystem und Host detailliert und lückenlos dokumentiert.
• In sicherheitssensiblen Bereichen, wo Geräte niemals oder selten mit dem Netzwerk verbunden sind, erfolgt die Inventarisierung offline. Das auf einem USB-Stick installierte Inventarisierungstool wird dabei direkt auf dem jeweiligen System gestartet. Die Übertragung der zwischengespeicherten Daten in die zentrale Datenbank geschieht später. So lassen sich höchste Sicherheitsstandards gewährleisten.
• Für Peripheriegeräte wie Drucker oder Telefonanlagen empfiehlt sich die Inventarisierung über SNMP. Passive Komponenten wie Monitore müssen allerdings nach wie vor manuell ergänzt werden.

So entsteht ein vollständiges Bild der IT-Infrastruktur. Die ermittelten Daten weisen dann nicht nur unbekannte Devices aus. Sie ermöglichen auch die Unterscheidung in erlaubte und verbotene Software. Dafür braucht es allerdings einen umfassenden Softwarekatalog, der problematische Programme als solche erkennt und ausweist, wie etwa Spiele oder portable Apps. Darauf aufbauend versorgt eine ITAM-Plattform alle Geräte schnell und effizient mit Patches und Updates.

Schlüsselfragen für eine wirksame Endpoint-Security
Damit ein ITAM-System aus der Cloud seine Aufgabe als Grundstein für die Cybersecurity zuverlässig erfüllt, sollten sich IT-Verantwortliche einige zentrale Fragen stellen. Diese sind ganz ähnlich wie bei einem On-Premises-Ansatz:

Welche Betriebssysteme haben wir?
Ein automatisierter Scan sollte so viele Geräte der eigenen Infrastruktur wie nur möglich erfassen. Eine moderne ITAM-Plattform muss daher sämtliche gängigen Client-Betriebssysteme unterstützen – von Windows über Android bis hin zu iOS und macOS.

Welche Netze wollen wir einbeziehen?
Neben der "klassischen" IT werden zunehmend auch IoT-Systeme und Betriebstechnologie (OT) Zielscheibe von Angriffen. Falls nicht automatisch ansteuerbar, sollten diese Geräte manuell inventarisiert und vor allem zeitnah gepatcht werden. Für eine solide Security-Strategie gilt es, sämtliche Netze auf dem Radar zu haben.

Wie lassen sich Angriffe einhegen?
Schnelle Reaktionsfähigkeit ist zur Gefahrenabwehr das A und O. Über eine Mikrosegmentierung lassen sich nötige Sicherheitsmaßnahmen schneller und gezielter umsetzen. Unbekannte Geräte oder Geräte mit Software, die als unerlaubt oder potenziell schadhaft eingestuft wird, können so erst einmal gesichert und weiter analysiert werden.

Wie greift die Cloudsoftware auf ein Netz zu?
Es gilt zu klären, mit welcher Netzwerktopologie sich Informationen sicher austauschen lassen. Vor allem im SaaS-Betrieb ist dies zentral, da die Daten aus dem eigenen Netzwerk an die Cloudanwendung übermittelt werden. Grundsätzlich ist es möglich, die Daten zu sammeln und dann über eine API hochzuladen. Hier besteht allerdings keine Gewissheit, dass alle benötigten Daten vollständig übertragen wurden. Alternativ ist ein IPsec-Tunnel möglich. Die konstante Übergabe von Daten beansprucht dabei jedoch einiges an Bandbreite. Daher raten Experten zu einem SaaS-Dienst. Dieser erfragt aktiv die benötigten Daten und übergibt sie über eine gut gesicherte Schnittstelle. Es gilt dazu nur die nötigen Credentials im ITAM-Tool zu hinterlegen.

Welche anderen Geschäftsprozesse brauchen Gerätedaten?
Zusätzlich zur Cybersecurity profitieren beispielsweise auch das Lizenzmanagement und die Budgetplanung von den gesammelten Informationen. Zudem kann das IT-Asset-Management helfen, Vertragslaufzeiten für Wartung und Gewährleistung im Blick zu behalten. Die Asset-Datenbank wird so zur Single-Source-of-Truth für alle IT- und Non-IT-Assets. Vorausgesetzt, zusätzliche Informationen lassen sich über benutzerdefinierte Felder einfach importieren oder einpflegen. Tipp: Gruppen von Devices zu logischen Einheiten zusammenfassen, etwa alle Devices in einem Raum, Rack oder Schaltschrank.

Wie gestalten wir den Rollout?
Bewährt hat sich ein phasenweises Vorgehen, etwa nach Gerätegruppen. Gestartet wird dann zuerst mit Clients und Servern, später folgen Drucker, Switches oder IoT-Geräte. Die Einführung lässt sich aber auch nach Organisationseinheiten oder Netzwerken staffeln. Jedoch immer mit dem Ziel, ein komplettes Management aller Assets aufzubauen. Denn: Nur was bekannt ist, lässt sich auch schützen.

Wie gehen wir mit Bestandsdaten um?
War die bisherige Pflege der Daten eher lückenhaft oder gar manuell, bietet der Umstieg eine sehr gute Gelegenheit für einen Neustart, sprich: einen kompletten Scan der gesamten IT-Infrastruktur. Unentdeckte Devices und Softwarekomponenten werden so erkannt, das Inventar vervollständigt und bekannte Geräte mit fehlenden Details angereichert. Anders verhält es sich bei Vertrags- oder Userdaten. Diese sollten in jedem Fall übernommen werden. Rein technisch betrachtet ist die Migration dank moderner APIs heute recht einfach. Mapping-Werkzeuge und Migrations-Tools erleichtern die Zuordnung von Feldern und den Transfer.

Wie wollen wir mit dem neuen System arbeiten?
Ein ITAM-Projekt bietet immer auch die Chance, vorhandene Abläufe und Workflows auf den Prüfstand zu stellen. Es empfiehlt sich, das neue System zunächst gut zu verstehen und die Workflows daran auszurichten. Denn wer erwartet, dass sich ein System bis ins kleinste Detail an die eigene Organisation anpasst, sieht sich schnell mit hohen Consulting-Kosten für ein umfassendes Customizing konfrontiert.

Wann können wir mit ITAM live gehen?
Theoretisch binnen weniger Stunden. Denn so lange dauert das reine Übertragen der Daten. Aber für die vorbereitenden Analysen und ein ausführliches Testen sollten zwei bis drei Monate eingeplant werden. Bei einer On-Premises-Installation sind vorab auch noch die Planung und Anschaffung der nötigen Server und Datenbanken sowie deren Installation zu berücksichtigen. Mit einer SaaS-Konstruktion geht es deutlich schneller voran.

Fazit
Die oben aufgeführten Kriterien zeigen: Der qualitative Erfolg von ITAM hängt nicht am Betriebsmodell, sondern an der genutzten Software. Denn entscheidend ist die Genauigkeit und Detailtiefe der Inventarisierung. In Bezug auf Security punktet jedoch der Cloudansatz durch die schnelle Implementierung und die hohen Sicherheitsstandards der Provider.

ln/Michael Bölk, CTO der mosaic IT Group