Verantwortliche für den Betrieb der Unternehmens-IT stehen zunehmend unter Druck, trotz einer wachsenden Vielfalt mobiler Endgeräte im Rahmen von «Bring your own device»-Strategien und ausgelagerter oder über Cloud-Dienste bezogener Leistungen dennoch einen sicheren, leistungsfähigen und zweckmässigen IT-Gesamtdienst anzubieten und im Sinne der IT-Governance und des Managements operationeller Risiken zu verantworten. Ein systematisches Asset Management ist der Schlüssel für die Anwendung fortgeschrittener Methoden zur Aufrechterhaltung der eigenen Informationssicherheit. Device Profiling und Transparenz im Netzwerk bilden die Grundlage dafür.
Entsprechende Sicherheitsdispositive basieren in der Regel auf einer mehrschichtigen Architektur, deren technische Grundlage ein ausreichend aktuelles und flächendeckendes Inventar der physischen und virtuellen IT-„Assets“ bildet.1 Ein solches Inventar bietet mehrere Vorteile. Zum einen erlaubt es eine effiziente und planbare Bewirtschaftung der vorhandenen IT-Mittel, z.B. bezüglich Wartung, Austausch und Einsatzzweck. Zum anderen erlaubt ein entsprechend in einer Datenbank-Architektur abgebildetes Inventar sicherheitsrelevante Abfragen und Auswertungen, von der Erkennung nicht bekannter Geräte oder Software-Installationen und der gezielten Suche nach fehlenden sicherheitsrelevanten Patches über die Auswertung der aktuellen Lizensierungssituation bis hin zur Korrelation mit anderen sicherheitsrelevanten Datenbeständen (Netzwerkverkehr, Benutzeraktivitäten usw.) und der systematischen Suche nach operationellen Risiken. Darüber hinaus erlaubt ein ausreichend aktuelles Inventar den Nachweis der Einhaltung der nötigen und gesetzlich geforderten Sorgfaltspflicht bei der Überwachung und Bewirtschaftung der IT-Infrastruktur gegenüber der internen oder externen Revision.
Der erste Schritt für die Anlage und Auswertung entsprechender Inventardaten ist die Beschaffung der nötigen Rohdaten, die dann in Folgeschritten verifiziert, verdichtet und zu bewertbarer Information weiterverarbeitet werden müssen. Die Beschaffung muss aufgrund des zu erwartenden Mengengerüsts in der Regel so weit wie möglich automatisiert werden. Dabei kommen in der Regel sowohl auf den Endgeräten lokal installierte Software-Agenten zum Einsatz, die die lokal über Services des Betriebssystems vorhandenen Inventar- und Leistungsdaten an das zentrale IT-Inventar melden, als auch netzwerk-basierte Sensoren, welche die Existenz und das Verhalten von identifizierbaren Endgeräten im Netzwerk und an den Übergängen zum Internet oder anderen Fremdnetzen auswerten und dem Inventar zuführen (z.B. Erkennung neuer Geräte, Verschiebung von Geräten zwischen Netzwerksegmenten, Verkehrsmengen, verwendete Kommunikations-Ports usw.). Diese netzwerk-basierten Sensoren kommen auch dann zum Einsatz, wenn durch technische oder regulatorische Restriktionen die Installation eines Sensors oder einer Agenten-Software direkt auf einem Endgerät nicht möglich ist.
Bereits nach diesem ersten Schritt sind wichtige sicherheitsrelevante Auswertungen möglich, so z.B. auf welchen Geräten als sicherheitsrelevant eingestufte Patches nicht installiert sind, auf welchen Geräten als nicht erwünscht eingestufte Software installiert ist, ob bezüglich der zugelassenen Software eine Über- oder Unterlizenzierung besteht, aber auch welche Geräte möglicherweise durch nicht lokal erkannte Malware verseucht wurden, da sie z.B. versuchen, eine im Internet installierte Steuerkonsole eines Botnets zu kontaktieren.
Werden nun im zweiten Schritt diese Daten durch leider oft nicht automatisch erhebbare Verwaltungsdaten wie Beschaffungstermin, Restdauer der Gewährleistungsfrist durch den Hersteller, Beschaffungspreis und jährliche Abschreibung sowie durch Betriebsdaten wie die Anzahl durch das Gerät verursachte Störungen und „Trouble Tickets“, physischer Aufstellungsort usw. ergänzt, ergeben sich weitere Möglichkeiten zur systematischen oder fallweisen Auswertung nach operationellen Risiken und zur entsprechenden Planung von Ersatzbeschaffungen, Ausbaubedarf usw.
Werden dann im dritten Schritt auch Verkehrsranddaten (Kommunikation zu anderen Geräten im eigenen Netz oder nach aussen, Datenmengen, verwendete Ports usw.) aus den vorhandenen Firewalls, Intrusion Detection/Prevention Systemen usw. in die Korrelation einbezogen, können auch weitergehende Auswertungen sowohl bezüglich Betriebsstabilität und Leistungsfähigkeit als auch zur raschen Erkennung und Behebung sicherheitsrelevanter Probleme vorgenommen werden. Hierzu muss dann allerdings in der Regel eine spezifisch für „advanced analytics“ geeignete Software-Lösung lizenziert oder im Sinne eines „managed service“ bezogen werden.
Alle diese fortgeschrittenen Methoden zur Aufrechterhaltung der eigenen Informationssicherheit gemäss den immer weiter wachsenden rechtlichen und regulatorischen Anforderungen an die eigene Sorgfaltspflicht basieren aber auf dem Fundament eines ausreichend aktuellen und flächendeckenden IT-Asset Managements und der möglichst vollständigen Inventarisierung in einer entsprechend gepflegten Datenhaltung über die Basisfunktionalität einer klassischen, oft herstellerspezifischen CMDB (Configuration Management Database) hinaus. Die Grundlage für dieses systematische Asset Management bildet wiederum das „Device Profiling“ durch lokal installierte Agenten-Software sowie die Erkennung und Bewertung des Verhaltens des Geräts in der Netzwerk-Infrastruktur in Kooperation mit anderen, bereits vorhandener Sicherheits-Lösungen.
Abschliessend muss jedoch darauf hingewiesen werden, dass der Aufbau und der Betrieb einer entsprechenden Lösung in einem bereits komplexen IT-Umfeld dessen Komplexität weiter erhöht. Es muss daher rechtzeitig bedacht werden, ob eine solche Lösung selbst betrieben werden muss, oder ob zumindest eine partielle Auslagerung (Betriebsüberwachung durch ein Security Operations Center, Bezug der Korrelationserstellung und -auswertung als fremdverwalteter Dienst usw.) möglich und sinnvoll ist, auch um das Risiko des rechtzeitigen Einbezugs neuer Endgerätetypen und -versionen nicht selbst tragen zu müssen. Entsprechende Angebote mit gutem Funktionsumfang und ausreichender Sicherheit und Stabilität existieren im Markt und können in einer Gesamtrechnung durchaus auch aus finanzieller Sicht attraktiv sein.
[1] Natürlich ist es in der heutigen agilen IT-Landschaft trotz weitgehender Automatisierung kaum möglich, ein jederzeit zu 100% vollständiges und korrektes IT-Asset Inventar zu führen. In diesem Sinne unterliegen IT-Asset-Inventare dem IT-Pendent der Heisenbergschen Unschärferelation.
Prof. Dr. Hannes Lubich war bis im Jahr 2020 im Verwaltungsrat von United Security Providers. Als Forscher und Dozent an der ETH Zürich war er mitverantwortlich für den Aufbau des Internets und des CERT in der Schweiz. Von 2009 bis 2019 war er Professor für ICT System & Service Management an der Fachhochschule Nordwestschweiz (FHNW), zudem dozierte er bis 2014 an der ETH Zürich. Zwischenzeitlich arbeitete er auch als CISO der Bank Julius Bär sowie als Strategieberater bei Computer Associates und der British Telecom.