Wie schaffe ich eine effektive IT-Inventarisierung meiner Assets?

Inhalt

Historisch gewachsene IT-Landschaften stellen IT-Abteilungen vor große Herausforderungen. Welche IT-Assets überhaupt vorhanden sind, wofür sie genutzt werden und in welchem Sicherheitszustand sie sich befinden – diese Fragen sind oft nicht leicht zu beantworten. Nicht zuletzt, weil durch das Fortschreiten der Digitalisierung Größe und Komplexität der IT-Infrastruktur stetig zunehmen. Abhilfe verspricht ein IT-Inventar, in dem alle Assets versammelt und beschrieben sind. Doch wie lässt sich eine Inventarisierung effektiv umsetzen?

Was ist ein IT-Inventar?

Als Inventar (von lateinisch inventarium „Gesamtheit des Gefundenen“) bezeichnet man allgemein ein Verzeichnis aller Einheiten oder Gegenstände. Ein IT-Inventar ist folglich die systematische Zusammenstellung aller IT-Einheiten bzw. IT-Assets in einer Datenbank.

Welche Vorteile bringt IT-Inventarisierung?

Die Inventarisierung der unternehmenseigenen IT bringt viele Vorteile mit sich und erleichtert den Administrationsalltag. Sie hilft, um…

  • das IT-Asset-Management zu verbessern.
    Die Inventarisierung der IT stellt den ersten Schritt eines IT-Assetmanagements (ITAM) dar. Ziel des ITAMs ist die Reduktion von Kosten und Risiken bei gleichzeitiger Steigerung der Produktivität.
  • Schatten-IT zu bekämpfen.
    Neben der offiziellen, von der IT-Abteilung eingeführten IT-Infrastruktur kommen in Unternehmen häufig IT-Systeme zum Einsatz, die unter dem Radar laufen. Sie werden ohne das Wissen der IT von Mitarbeitern oder Abteilungen eingeführt. Schatten-IT nimmt zu und zieht einen Rattenschwanz an Problemen nach sich. Ein gut implementiertes IT-Inventar verhindert die Entstehung von Schatten-IT.
  • IT-Sicherheit zu steigern.
    Was nicht systematisch erfasst wurde, lässt sich nur schwer kontrollieren. Ein Überblick über die vorhandenen IT-Systeme hilft daher auch, die Sicherheit der IT-Landschaft zu erhöhen.
  • einen IT-Audit vorzubereiten.
    Ein Inventar der gesamten IT-Infrastruktur ist die perfekte Voraussetzung für ein umfassendes Sicherheits-Audit. Im Audit werden alle informationstechnischen Systeme einer Risiko- und Schwachstellenanalyse unterzogen.
  • Zertifizierungen zu ermöglichen.
    Ein IT-Inventar ist eine Bedingung vieler Zertifizierungen (bspw. ISO 27001). Zertifizierungen steigern die Vertrauenswürdigkeit von Unternehmen und sind nicht selten eine Anforderung für das Zustandekommen von Geschäftsbeziehungen.

Wie wird inventarisiert?

Theoretisch lässt sich ein Inventar manuell in einer Excel-Tabelle pflegen. Das bindet aber nicht nur viel wertvolle Arbeitszeit der IT-Abteilung, sondern führt schnell zu veralteten und invaliden Daten. Um ein stets aktuelles Live-Inventar zu pflegen, braucht es daher Automatisierungslösungen. Dabei können agentbasierte, agentlose oder hybride Verfahren zum Einsatz kommen.

Agentlose Netzwerk-Inventarisierung

Alle Assets, die sich im Firmennetzwerk befinden und über eine IP-Adresse verfügen, lassen sich automatisch erfassen. Es muss keine Installation oder Konfiguration auf den Geräten selbst vorgenommen werden. Es reicht, einen oder mehrere Sensoren im Netzwerk zu platzieren, die das Netzwerk dauerhaft nach dessen Teilnehmern durchsuchen. Dazu scannt der Sensor den Netzwerkverkehr oder startet aktiv Ping- und Port-Scans.

Vorteile

Eine agentlose Überwachung ist schnell installiert und konfiguriert. Alle Assets im Netzwerk werden erfasst, unabhängig davon, ob es sich um offizielle Geräte oder Schatten-IT handelt. Das agentlose Verfahren ist zudem unabhängig von der Kategorie der Assets (Server, Clients, Drucker, Switches, Produktionsanlagen etc.) als auch den verwendeten Betriebssystemen (Windows, Linux, Android, iOS etc.).

Nachteile

Nicht alle Assets befinden sich im Firmennetzwerk: Server können beispielsweise in externe Rechenzentren ausgelagert sein oder Mitarbeiter-Laptops nur im Homeoffice zum Einsatz kommen. Solche Assets fallen bei einem netzwerkbasierten, agentlosen Scanning durch das Raster.

Begrenzt ist zudem der Informationsumfang, der sich von außen über die bloße Existenz und Verfügbarkeit des Assets hinaus ermitteln lässt. Technologien wie SNMP ermöglichen es zwar auch von außen Informationen über Netzwerkkomponenten zu erhalten. Die Implementierung der Hardware-Hersteller von SNMP ist jedoch oft nur mäßig umgesetzt, die Performance mangelhaft und das Erstellen gerätespezifischer Templates aufwendig.

Agentbasierte Inventarisierung

Alternativ zur Inventarisierung über das Netzwerk lassen sich IT-Assets auch in einem gemeinsamen Verzeichnis sammeln, indem auf den Geräten jeweils ein kleines Programm, ein Agent, ausgerollt wird. Dies ist selbstverständlich nur auf Assets möglich, über deren Existenz die IT-Abteilung bereits im Bilde ist.

Vorteile

So lange der Agent auf dem Asset mit der Inventar-Software kommunizieren kann (z.B. über das Internet), funktioniert die Inventarisierung. Daher können auch Systeme außerhalb des Firmennetzwerkes in das Inventar aufgenommen werden.

Da mit dem Agent der Sensor direkt auf dem IT-System sitzt, lassen sich außerdem tief greifende Informationen zum Asset ermitteln, etwa jegliche installierte Software.

Nachteile

Nicht auf allen Assets lässt sich Software installieren. Einfache Switches, Standard-Drucker oder IoT-Geräte wie Überwachungskameras verfügen in der Regel nur über ein limitiertes, proprietäres Betriebssystem.

Darüber hinaus ist das Ausrollen der Agents im Vergleich zur Installation einiger weniger Sensoren im Netzwerk aufwendiger. Nicht zuletzt besteht die Gefahr, Assets zu vergessen, sodass wieder Schatten-IT entsteht.

Hybride Verfahren zur Inventarisierung

Um die Vorteile agentloser und agentbasierter Verfahren zu nutzen und Nachteile auszugleichen, empfehlen sich hybride Verfahren. Dabei wird die netzwerkbasierte Inventarisierung durch die Agent-Installation auf wichtigen oder außerhalb des Netzwerks befindlichen Assets ergänzt.

Auf der einen Seite stellt die netzwerkbasierte IP-Inventarisierung sicher, dass keine Assets unentdeckt bleiben und liefert eine Verfügbarkeits-Überwachung. Auf der anderen Seite ermöglichen auf Assets installierte Agents, mehr Informationen automatisch zu erfassen und außerhalb des Netzwerks befindliche Assets einzubinden.

Welche Informationen sind im Inventar festgehalten?

Welche Daten zu jedem Asset im Inventar erfasst werden, hängt von den individuellen Anforderungen ebenso wie der technischen Umsetzung ab. In jedem Fall dokumentiert werden sollte:

  • Verantwortlichkeit
    Wer ist der technische Verantwortliche für das Asset? Wer ist der fachliche Verantwortliche, der das Asset einsetzt?
  • Kategorie
    Um welche Typ Asset handelt es sich? Server, Client, Router…?
  • Beschreibung
    Wozu wird das Asset genutzt? Was ist sein Zweck?
  • Standort
    Wo befindet sich das Asset physisch?
  • Letzte Erreichbarkeit
    Wann hat der Sensor das Asset das letzte Mal erreicht?

Je mehr Informationen im Inventar gespeichert sind, desto vielseitiger sind die Einsatzmöglichkeiten. Durch die Integration von Live-Daten lässt sich das Inventar zur zentralen IT-Monitoring-Einheit ausbauen.

Wie lauten die Schritte zum hybriden IT-Inventar?

Um einen ersten Überblick der IT-Landschaft zu erlangen, empfiehlt es sich zunächst mit der agentlosen Inventarisierung zu starten und entsprechende Sensoren im Netzwerk zu platzieren. Dafür haben wir bei Enginsight die Softwarekomponente Watchdog entwickelt. Mit ihr lassen sich sämtliche Geräte mit IP-Adresse im Netzwerk auch über Subnetze hinweg automatisch aufspüren. Die Installation dauert nur wenige Augenblicke und ist auf jedem Linux-Gerät möglich. Der Watchdog bietet mit Ping- und Port-Checks sowie SNMP gleich auch ein Basis-Monitoring.

In einem zweiten Schritt wird auf besonders schützenswerten Assets oder Geräten außerhalb des Firmennetzwerkes der Agent ausgerollt. Unseren Agent von Enginsight nennen wir Pulsar-Agent. Er lässt sich plattformunabhängig auf Servern und Clients mit Linux oder Windows installieren und bietet ohne Konfigurationen ein umfangreiches Security-Monitoring. Dabei werden unter anderem in einem CVE-Scan die installierte Software auf bekannte Sicherheitslücken überprüft und der Netzwerkverkehr in einer Deep Packet Inspection auf Cyberattacken untersucht.

Mit der kostenlosen 14-tägigen Testversion von Enginsight können Sie sofort mit Ihrer IT-Inventarisierung starten – registrieren Sie sich einfach. Wenn Sie möchten, präsentieren wir Ihnen in einer persönlichen Webdemo gerne auch den gesamten Funktionsumfang von Enginsight.

Share on linkedin
Share on twitter
Share on facebook
Der IT-Security Newsletter

News rund um Enginsight und IT-Sicherheit für clevere Admins, CISOs und alle Sicherheits-Verantwortlichen

Weitere interessante Security-Beiträge

Neuigkeiten über Enginsight, IT-Sicherheit, IT-Monitoring, Asset-Management, Risikomanagement und vieles mehr aus der Security-Branche, erfahren Sie in unserem Blog.

Enginsight Logo