Mit Cloud-, hybriden und virtuellen IT-Infrastrukturen gewinnen Unternehmen an Flexibilität und reduzieren Kosten. Doch mit den neuen Techniken steigt auch das Risiko von Cyberkriminalität und Lizenzrechtsverletzungen. Umso wichtiger ist es, dass die IT alle Systeme im Griff hat und Release- wie Lizenzstände stets aktuell hält. Dies gelingt nur mit einem dynamischen und intelligenten Asset-Management.

Bis ein Cyberangriff bemerkt wird, dauert es im Schnitt 200 Tage. Bis er „behoben“ ist, nochmals 80. Das macht neun Monate, in denen Hacker großen Schaden anrichten können. Zu den „beliebtesten“ Angriffspunkten gehören veraltete Patch- und Release-Stände oder gar abgekündigte Software. Neben der sich verschärfenden Sicherheitslage drohen durch den Einsatz von Cloud-Infrastrukturen zudem Compliance-Risiken. Denn für den Betrieb von Private Clouds bilden virtuelle Systeme die technische Basis – und auf deren korrekte Lizenzierung gilt es zu achten.

Inventarisierung für Schützenswertes

Der einzige Weg, dies in den Griff zu bekommen, führt über eine regelmäßige, automatisierte Inventarisierung. Denn die IT-Abteilung benötigt eine vollständige Übersicht über alle im Unternehmen eingesetzten Assets – sowohl für das Sicherheits- als auch für das Lizenz-Management. Weil man nur schützen kann, was man kennt. Die Inventarisierungsmethoden sollten in den Erkennungsmechanismen der eingesetzten Asset-Management-Lösung selbst liegen. Denn viele Inventarisierungs-Tools nutzen lediglich Skripttechniken. Diese sind zwar sehr flexibel, bergen aber wiederum hohe Risiken, wenn Verschlüsselungen oder die Signierung der Skripte fehlen.

Außerdem ist wichtig zu prüfen, welche Geräte auf Terminal- und Citrix-Server zugreifen beziehungsweise welche Devices von der DHCP-Server-Infrastruktur eine IP-Adresse beziehen. Durch den Abgleich der Inventarisierungsergebnisse gegen den autorisierten Bestand wird so „Schatten-IT“ und BYOD identifiziert. Diese Hardware lässt sich nun unmittelbar prüfen und in die Asset-Management-Datenbank aufnehmen oder umgehend aus dem Netzwerk entfernen. Um sich gegen Cyberattacken zu wappnen, reicht dies jedoch nicht aus. Zusätzlich zu Differenzen in der Hardware sind auch Abweichungen zwischen inventarisiertem und autorisiertem Softwarebestand so schnell wie möglich zu adressieren. Zudem muss die IT tagesaktuell über Patch-/Release-Stände und abgekündigte Versionen informiert sein.

Potenzielle Sicherheitslücken wie veraltete Anwendungen lassen sich in einem Dashboard visualisieren und übersichtlich kennzeichnen. Bild: Deskcenter

Sicherheitslücken visualisieren

Potenzielle Sicherheitslücken wie veraltete Anwendungen sollten deshalb in einem Dashboard visualisiert und übersichtlich gekennzeichnet sein. Dies gelingt durch den Abgleich gegen einen Softwarekatalog, der täglich die neuesten Updates aus der Cloud erhält. Damit lässt sich die Software von mehreren Tausend Herstellern nebst aktueller Patch-Stände zuverlässig erkennen. Abhängig von der eingesetzten Lösung ist es außerdem möglich, fertig paketierte Patches, Updates und Anwendungen im LAN oder via Cloud für mobile Workplaces zur sofortigen Verteilung bereitzustellen – von der Freeware wie PDF-Reader oder Browser bis hin zu branchenspezifischen Applikationen mit Managed-Service-Angeboten.

Workflow-basierende Softwareverteilung

Im Idealfall geschieht die Verteilung dann direkt und automatisiert. Um die Kommunikation zwischen zentralen und dezentralen Verteilungspunkten und Endgeräten in Echtzeit zu ermöglichen, sollte die Bereitstellung von Software über Web Sockets wie HTTP(S), FTP(S), WEBDAV (SSL) und SMB erfolgen. Dann sind auch mobile Endgeräte – ganz im Sinn eines Unified-Endpoint-Managements – komfortabel mit neuen Applikationen und sicherheitsrelevanten Updates versorgt.

In komplexen Netzwerken gilt es neben der lokalen Software-Installation, die virtuelle Bereitstellung von Software über Application Streaming, Desktop-Virtualisierung, Application-Virtualisierung oder Private-Cloud-Lösungen zu bedienen. Dazu ist ein Software-Management gefordert, das die flexible Konfiguration von Softwareverteilern ermöglicht. Dies umfasst die Festlegung bestimmter Funktionen wie die Vergabe von Up- und Download-Rechten, die Zuweisung von Bandbreiten oder die Information, wann und von welcher Quelle Daten geholt werden sollen.

Die Verteilung erfolgt idealerweise Workflow- und regelbasierend. Dabei greift sie am besten auf Organisationseinheiten und Sicherheitsgruppen aus dem Active Directory sowie auf Attribute und technische wie organisatorische Informationen aus der Asset-Management-Datenbank zurück. Auch Überprüfungen auf vorhandene Lizenzen dürfen nicht fehlen.

Ein Cloud-basierender Softwarekatalog ermöglicht die sofortige Verteilung fertig paketierter Patches, Updates und Anwendungen. Bild: Deskcenter

Diese Flexibilität kommt auch dem Deployment des Betriebssystems zugute. Damit ist beispielsweise die Verteilung von Softwarepaketen direkt in den Rollout des OS integrierbar.

Auch Sicherheitsfunktionen wie das Aktivieren von Bitlocker zur Verschlüsselung einer Festplatte oder eine Installation über UEFI Secure Boot gehören dazu. Denn mit UEFI werden Devices deutlich besser gegen Rootkit-Angriffe geschützt als über das BIOS, da hier bereits beim Start eine Überprüfung daraufhin stattfindet, ob die installierten Treiber überhaupt auf dem Gerät laufen dürfen und ob sie über ein gültiges Zertifikat verfügen.

Der Betrieb einer Private Cloud macht neben der Cybersecurity eine zweite Flanke auf – das Risiko fehlerhafter Lizenzierung. Denn um alle Vorteile der Private Cloud zu nutzen, setzen Unternehmen auf Virtualisierungstechnik. Doch unbedachtes Deployment virtueller Maschinen und zugehöriger Server-Applikationen kann zum Risiko im Lizenzaudit werden, da diese Systeme in virtuellen Umgebungen anderen Metriken und Regeln unterliegen.

Eine intelligente Asset-Management-Lösung bildet deshalb alle gebräuchlichen Server-Lizenzmetriken diverser Hersteller ab, darunter CPU und Zugriffslizenzen für virtuelle Umgebungen und Hosts. Sie inventarisiert die Virtualisierungstechnik wie VMware ESX, Citrix Hypervisor oder Microsoft Hyper-V sowie die darauf installierten Betriebssysteme und Applikationen. Zusätzlich liest sie den darunterliegenden Hardwareknoten inklusive aller Details wie dessen RAM oder CPU aus. Auf dieser Basis lässt sich der Lizenzbedarf für die virtualisierte Software dann automatisch berechnen und somit die Lizenz-Compliance wahren.

Lizenz-Compliance und Security als Resultat

Mit automatisierter Inventarisierung und Softwareverteilung sind Unternehmen auf einem guten Weg hin zu einem Sicherheits- und lizenzrechtlich optimierten IT-Betrieb. Denn nicht-autorisierte Hard- und Software deckt die Inventarisierung zuverlässig auf. Prüfroutinen bei der Softwareverteilung verhindern außerdem eine unbewusste Unterlizenzierung. Idealerweise bildet dies einen ganzheitlichen Ansatz, der Discovery und Automation unter Gewährleistung von Security und Compliance zum Ziel hat. Der Aufwand lohnt sich tatsächlich, denn dann gelingt es, Cloud-, hybride und virtuelle IT-Infrastrukturen effizient, sicher sowie kostenoptimiert zu betreiben.

Benedikt Gasch ist Direktor Produkt-Management bei Deskcenter Solutions, www.deskcenter.de.