Warum IT-Asset-Management immer noch so schwierig ist

Daten müssen auf dem neuesten Stand und verwertbar bleiben

Von unserem Gastautor Pablo Quiroga, Director Product Management bei Qualys

[datensicherheit.de, 27.05.2019] IT-Asset-Management (ITAM) ist eine wesentliche strukturelle Anforderung für IT-Teams im Hinblick auf Sicherheit, Compliance und IT-Betriebsmanagement. Dabei müssen die Teams konsequent und kontinuierlich dafür sorgen, dass die Daten auf dem neuesten Stand und verwertbar bleiben. Allerdings ist das nicht so einfach, wie es sich anhört.

Konfigurationsmanagement und Asset-Tracking sind ein formaler Bestandteil der ITIL

Konfigurationsmanagement und Asset-Tracking sind ein formaler Bestandteil der IT Infrastructure Library (ITIL), seit sie im Jahr 2000 in ihrer zweiten Version erschien. Datenbanken zu IT-Ressourcen gab es schon eine ganze Weile vorher. Dennoch scheitern laut Gartner-Analyst Hank Marquis 80 Prozent der Unternehmen, die in Configuration Management Data Base (CMDB)-Projekte investieren. Das macht es extrem schwierig, ITAM in der Praxis umzusetzen.

Eine genaue und zeitnahe Liste aller IT-Ressourcen zu führen ist hilfreich

Eine genaue und zeitnahe Liste aller IT-Ressourcen zu führen, hilft unter anderem den Sicherheitsteams, Probleme zu vermeiden. Laut Verizons Data Breach Report 2016 waren die zehn bekanntesten Software-Schwachstellen für 85 Prozent der erfolgreichen Exploits verantwortlich. Wenn Unternehmen nicht über die entsprechenden Informationen verfügen, können Exploits leicht bestehen bleiben. Beispielsweise führten übersehene Fehler in Apache Struts, für die es eigentlich Patches gab, zu erfolgreichen Angriffen auf mehrere große Unternehmen und Geldbußen in Millionenhöhe.

Warum aber ist es immer noch so schwer, ITAM richtig zu nutzen? Was macht es so schwierig, präzise und aktuelle Daten zu IT-Ressourcen zu bekommen, obwohl schon seit mehr als 20 Jahren CMDB-Initiativen im Gang sind?

Genauere IT-Asset-Daten erhalten

Einer der wichtigsten Gründe hierfür ist die enorme Menge an Assets, die diese Systeme heute zu verfolgen haben. Ein einziger PC-Endpunkt verfügt über ein Betriebssystem, Hardware und installierte Anwendungen. All diese Bestandteile werden jeweils ihre eigenen Versionen haben, die verfolgt, und ihre eigenen Patch-Level, die geprüft werden müssen. Multipliziert man dies mit der Anzahl der Mitarbeiter in einem Unternehmen, kann die Zahl der Assets schnell in die Höhe schießen. Zudem könnte jeder Mitarbeiter auch über Telefone oder Tablets verfügen, was die Anzahl der Assets im Netzwerk weiter erhöht.

Neben diesen Endgeräten müssen auch alle IT-Services, Webanwendungen, Cloud-Implementierungen und sonstigen IT-Ressourcen unterstützt, verfolgt und verwaltet werden. Angesichts so vieler beweglicher Teile in der IT eines Unternehmens reicht es nicht, einfach eine CMDB aufzubauen oder regelmäßig Bestandsaufnahmen durchzuführen. Die Herausforderung ist hier die Komplexität.

Die große Vielfalt der IT-Services und -Plattformen, die heute genutzt werden, macht es schwierig, all diese nützlichen Daten zu konsolidieren und dafür zu sorgen, dass sie stets korrekt sind. Diese Schwierigkeit ist zweifacher Natur: Erstens erschwert die wechselnde Zahl von Quellen für IT-Daten die Analyse und Berichterstattung.

Zweitens kann es sein, dass jede Plattform Daten zu denselben Assets sammelt, diese Informationen jedoch mit unterschiedlichen Begriffen und für unterschiedliche Berichtsanforderungen bereitgestellt werden. Ein PC im Netzwerk kann mit verschiedenen Identifikatoren bezeichnet und die installierten Software-Assets unterschiedlich verfolgt werden – etwa für Softwarelizenzierung, Sicherheit und Desktop-Management. All diese Abweichungen in den Daten sind einer der Hauptgründe, warum CMDB-Implementierungen und -Initiativen scheitern. Selbst wenn eine CMDB-Implementierung gut erfolgreich ist, bedeutet der Arbeitsaufwand, den sie verursacht, dass weniger Zeit zur Verfügung steht, um bessere, datengesteuerte Entscheidungen zu treffen.

Informationen an einem Ort zusammen zusammenführen

Um dieses Problem zu lösen, müssen die ITAM-Informationen an einem Ort zusammengeführt werden. Statt verschiedene Asset-Datensätze zu Endpunkten, IT-Netzwerkgeräten und Cloud-Services separat zu überwachen, sollten alle diese Daten konsolidiert und sortiert werden. Wenn statt verschiedener, einander überlappender Dateninseln ein einziger Satz von Informationen vorliegt, der alle erforderlichen Daten repräsentiert, hilft dies sämtlichen Teams, ihre Entscheidungsfindung zu verbessern.

Bild: Qualys

Pablo Quiroga, Director Product Management bei Qualys

Die Automatisierung der Datennormalisierung kann auch Möglichkeiten eröffnen, die Daten anzureichern. Zum Beispiel, indem automatisch Informationen zum End-of-Life-Status und Support einbezogen werden, wodurch zusätzlicher manueller Aufwand entfällt. Dies sollte dazu beitragen, Probleme mit unvollständigen Datensätzen zu verhindern. Bei mobilen, in Außenstellen befindlichen oder standortfernen Geräten sollten die Agenten ebenfalls genaue Informationen zum Gerätestatus liefern können. So lässt sich vermeiden, dass veraltete Assets kurzzeitig ins Netzwerk gelangen.

Alle diese Informationen sollten kontinuierlich aktualisiert werden, um mit allen Änderungen, die durch das Hinzufügen, Aktualisieren, Ändern oder Entfernen von Assets Schritt zu halten. Die Nutzung von Cloud Services kann dazu beitragen, diese Skalierbarkeit über sämtliche Plattformen hinweg zu erreichen.

Daten effektiver nutzen

Der Aufbau einer CMDB oder einer anderen IT-Asset-Bibliothek kann aber nicht nur helfen, die Genauigkeit im Hinblick auf die Assets zu verbessern, die das Unternehmen verwendet. Es gibt auch noch andere Herausforderungen, die sich im Zusammenhang mit dem IT-Asset-Management oft stellen und bei denen Daten die teamübergreifende Zusammenarbeit erleichtern können.

Eine dieser Herausforderungen ist die Priorisierung. Bei der Vielzahl der neuen Updates, die ständig bereitgestellt werden, lässt sich oft schwer feststellen, welche am dringlichsten sind und welche aufgeschoben werden können. Ebenso kann es schwierig sein zu wissen, welche Auswirkungen jede Änderung oder Aktualisierung auf andere Softwarepakete oder IT-Ressourcen haben kann.

Folglich reicht es nicht aus, einfach nur eine Liste von Assets zu haben. Vielmehr ist zu klären, welche Assets für das Unternehmen am wichtigsten und welche nachrangig sind. Dies muss intern festgelegt werden, abhängig von den unternehmensbezogenen Prioritäten und breiteren Geschäftsanforderungen. Wenn ein Dashboard auf der Grundlage von Geschäftsregeln und Risikoakzeptanz aufgebaut wird, kann dies dazu beitragen, eine Warnung zu übermitteln, sobald ein Problem einen bestimmten Schwellenwert überschreitet.

Ebenso sollte diese Liste Anwendungen oder Dienste aufzeigen, die nicht aktualisiert werden oder werden können, aber einen Geschäftswert erbringen. So wissen die Teams im gesamten Unternehmen über diese Geräte Bescheid und können vorausplanen. Ein gutes Beispiel hierfür wäre etwa spezialisierte Hardware im Fertigungs- oder Gesundheitssektor, die nur Betriebssysteme unterstützt, für die kein Support oder keine Patches mehr verfügbar sind. Bei diesen speziellen Assets – die oft hohe Anschaffungskosten haben und jahrzehntelang laufen müssen – sind beispielsweise andere Sicherheitsmaßnahmen zu treffen, damit sie vor Angriffen geschützt sind und Risiken minimiert werden.

Zusammenarbeit der IT-Teams wichtig

Ein weiteres wichtiges Thema ist die die Zusammenarbeit der IT-Teams. ITAM-Daten lassen sich effektiv für das Sicherheits-, Compliance- und Risikomanagement nutzen, doch wenn sie nicht präzise, aktuell und für die entsprechenden Teams sichtbar sind, beeinträchtigt das deren Leistung. Unvollständige Daten können dazu führen, dass sich diese Abteilungen in falscher Sicherheit wiegen oder potenzielle Probleme übersehen.

Darüber hinaus kann es schwierig sein, genaue Informationen über alle Software-Assets und potenziellen Schwachstellen auf den Geräten zu erhalten. Wenn verschiedene Teams jeweils für ihre eigenen IT-Ressourcen verantwortlich sind, werden sie womöglich unterschiedliche Tools nutzen, um Informationen über die verwendeten Assets zu sammeln. Dies kann zu Inkonsistenzen bei erfassten Datenpunkten führen und zu Problemen mit der längerfristigen Genauigkeit dieser Daten.

Die Bereitstellung genauer und kontinuierlich aktualisierter Daten kann auch eine Reihe wichtiger Anforderungen anderer Teams erfüllen. Allerdings müssen diese dann wissen, wie sie diese Daten in der Praxis nutzen können. Daher sollte eine einheitliche Grundlage für die Datenerfassung, Präzision und Aktualität festgelegt sein, an die sich alle Teams auch halten. Um die Sache zu vereinfachen, sollte man anstreben, das Asset-Inventar und den ITAM-Prozess über alle Teams hinweg zu konsolidieren.

Den Wert von ITAM aufzeigen

Oscar Wilde schrieb in seinem Stück Lady Windermeres Fächer, ein Zyniker sei „ein Mann, der von allem den Preis und von nichts den Wert kennt.“ Für IT-Teams besteht ein Problem bei ITAM darin, dass sie keine genauen Informationen über den Preis und Wert ihrer IT-Ressourcen haben.

Diese Daten können jedoch verwendet werden, um den Business Case für besseres Asset-Management nachzuweisen. Beispielsweise können sie dazu beitragen, die IT-Ausgaben für das gesamte Unternehmen genauer zu planen und zu prognostizieren. Mit einer präziseren Bestandsaufnahme, die zeigt, welche Ressourcen tatsächlich genutzt werden und wofür, können die IT-Teams passgenauere Budgets aufstellen. Statt zynisch zu sein, kann die IT-Abteilung stärkere Argumente auf Basis realer Daten vorbringen.

Ohne eine genaue Liste der Assets und ein Verfahren zur Prüfung, ob sie noch benötigt werden, passiert es allzu leicht, dass Hardware einfach weiterläuft oder Assets irgendwo verschwinden. So entstehen unnötige Zusatzkosten, die sich vermeiden ließen, wenn die betreffenden Ressourcen einfach stillgelegt würden. Und wenn immer mehr IT-Services in der Cloud ausgeführt werden, kann es ebenfalls vorkommen, dass die Deaktivierung nicht mehr benötigter Instanzen vergessen wird, was die Betriebskosten erhöht.

ITAM ist ein Grundpfeiler für eine langfristig erfolgreiche IT. Ohne genaue Daten können die IT-Teams unmöglich die Sicherheit, Compliance und operative Unterstützung bieten, die ihr Unternehmen erwartet. ITAM-Ansätze müssen mit den schnellen Veränderungen in der gesamten Unternehmens-IT Schritt halten und Echtzeit-Einblick in die bestehenden Probleme geben.

Durch effizienteres Arbeiten und einen datenbasierten Ansatz können die ITAM-Teams dem eigenen Unternehmen helfen, die Sicherheit und die Budgetausnutzung zu verbessern. Dies kann es erleichtern, auf dem Laufenden zu bleiben und vorhandene Ressourcen da einzusetzen, wo sie am dringendsten gebraucht werden.

Weitere Informationen zum Thema:

datensicherheit.de, 27.03.2019
Schneller sein als die Hacker: IT-Schwachstellen im Unternehmen suchen und finden

datensicherheit.de, 07.09.2016
Risk-Management: Pflichtfach für jedes Unternehmen