Im dritten Teil der LANline-Serie über Diagramm-Tools für IT- und IT-Security-Teams geht es um Programme, mit denen sich die immer häufiger benötigten Datenflussdiagramme anfertigen lassen. Teilweise handelt es sich um dieselbe Software wie in der letzten Folge, die primären Qualitätskriterien für die Programme sind jedoch nun andere.

Datenflussdiagramme zeichnen, wie schon in der ersten Folge dieser Serie kurz angerissen, den Weg bestimmter Informations- oder Datentypen durch eine IT-Infrastruktur nach. Der Blickwinkel ist anders als beim klassischen Netzwerkdiagramm: Während dort das Netz und seine Systeme sowie die statischen Verbindungen dazwischen die Hauptrolle spielen und Angaben über die jeweils verarbeiteten oder transferierten Informationen lediglich ergänzt werden, stellt ein Datenflussdiagramm einen bestimmten Informations- oder Datentyp in den Mittelpunkt. Es verdeutlicht, woher die entsprechenden Informationen kommen, wo und womit sie verarbeitet und gespeichert und wohin sie innerhalb und außerhalb des Unternehmens anschließend geliefert werden. Data-Flow-Diagramme dienen meist dazu, Security-Auditoren einen Überblick zu verschaffen, die sich mit Compliance-Anforderungen befassen, die für einen exakt definierten Datentyp gelten – etwa für Kreditkarteninformationen (nach PCI-DSS-Vorgaben) oder für personenbezogene Daten.

Die Folge ist, dass logische Informationsverarbeitungseinheiten in diesem Fall stärker im Vordergrund stehen als die typischen Infrastrukturelemente, die in einem Netzwerkdiagramm auftauchen. Kreditkartendaten etwa kommen möglicherweise von Endkunden-Terminals oder aus den Verarbeitungssystemen eines Kunden oder Partners, werden in einer manchmal höchst individuellen Datenbank verarbeitet und dann an Banken oder weitere Finanzdienstleister weitergegeben. Den Auditor, der diesen Weg verfolgt, interessiert primär nicht sofort, über welche Switches, Kabel und Firewalls die Kommunikation läuft. Er will anhand des Diagramms die übermittelten Informationskomponenten erkennen, den Typ der Quelle, den Typ des Ziels, den Grad oder Modus der Anbindung von Ziel und Quelle an das Unternehmen und die groben internen Instanzen, die mit der Verarbeitung beschäftigt sind. Tauchen dabei Infrastrukturelemente auf, wird der Auditor anschließend versuchen, sie im Netzwerkdiagramm wiederzufinden, und dann nach der angebundenen Security-Infrastruktur Ausschau halten.

Für Auditoren und Analysten

Unternehmensintern dienen Datenfluss-Diagramme nicht nur der Information von IT-Security-Abteilungen, sondern auch der von Business-näheren Instanzen, die etwa die Service-Level-Agreements mit externen Dienstleistern aushandeln. Ein anderer Einsatzzweck liegt vor, wenn ein Security-Vorfall oder „Incident“ auftritt: Ein Data-Flow-Diagramm kann dann schnell Auskunft darüber geben, welche internen und externen Instanzen mit betroffen sind, wenn ein bestimmter Informationstyp möglicherweise kompromittiert ist. Data-Flow-Diagramme sind damit auch notwendige Werkzeuge in Security-Operations-Centern (SOC) und für Security-Analysten.

Eine Konsequenz dieser Aspekte ist, dass Datenflussdiagramme mehr frei eingegebene Informationen aufnehmen müssen als Netzwerkdiagramme und dass höhere Anforderungen an die Lesbarkeit und anschauliche Aufbereitung auch für Nicht-Techniker bestehen. Für den Test bedeutet dies, dass fremde Logos, Bilder und frei konfigurierbare Textfelder eine bedeutende Rolle spielen, während die schnelle Verfügbarkeit von Netzwerkgerätesymbolen weniger wichtig ist.

Man könnte auch sagen: Geeignet ist jedes Programm, dass beliebige Flow-Diagramme mit ihren Kästen, Rauten und Pfeilen zeichnen kann, gleichzeitig einen Katalog an IT-Symbolen zur Verfügung stellt und darüber hinaus über gute Textfunktionen und gute Importfunktionen für Grafiken inklusive Fotos verfügt. Damit kommen neben getesteten Freeware-Programmen auch Word und PowerPoint ins Spiel, die am Arbeitsplatz eher zur Verfügung stehen als das teure und im Gesamtunternehmen selten benötigte Microsoft Visio.

Data-Flow-Diagramm, gezeichnet mit DIA und seiner Gane-and-Sarson-DFD-Bibliothek. Bild: http:// dia-installer.de

Für die Praxis der Erstellung und Pflege wichtig ist der bereits erwähnte Aspekt, dass ein Unternehmen häufig nicht ein einziges Datenflussdiagramm benötigt, sondern potenziell mehrere – etwa für personenbezogene Daten, für Steuerungsdaten von Produktionsmaschinen, für wirtschaftliche Kenndaten und so weiter. Meist ist es die Zahl der Compli-ance-Kontexte, die die Anzahl der benötigten Datenflussdiagramme in einer Organisation bestimmt.

Alle, die plötzlich mit der Anforderung konfrontiert werden, ein Data-Flow-Diagramm zeichnen zu müssen, können sich über einen Aspekt ihrer Tätigkeit möglicherweise freuen: Während die optische Gestaltung von Netzwerkdiagrammen weitgehend standardisiert ist und der Qualitätseindruck, den eine Vorlage erzielen kann, zum Beispiel stark von der Gestaltung der verwendeten Symbole abhängt (es sei denn, ein klassischer Purist schaut auf das Bild und mutmaßt bei moderner 3D-Anmutung gleich Abstriche bei der Detaillierung), hat man bei Datenflussdiagrammen mangels allseits verbreiteter Standards weit größere Freiräume in der Umsetzung.

Qualitätsmaßstab ist, dass das Bild die geforderten Informationen vermittelt – ob nun spartanisch oder mit viel illustrativem Pomp. Dies mag ein wenig helfen, die Scheu vor dem Start mit der ungewohnten Dokumentationsaufgabe zu überwinden.

Die Suche nach brauchbaren Freeware-Kandidaten fördert beinahe dieselbe Liste an Programm zutage, die bereits in der Folge zu Netzwerkdiagrammen auftauchten: Das Grafikmodul „Draw“ aus der Softwaresuite Libre Office, das Programm „DIA“ und die Alternative „yED“. Hinzu kommt diesmal ein kostenlos zugängliches Online-Tool namens „DrawIO“.

Libre Office Draw

Das Draw-Modul von Libre-Office machte nach der zusätzlichen Installation der Extension „VRT Network Equipment“ bereits für die Anfertigung von Netzwerkdiagrammen eine gute Figur – für die Data-Flow-Charts gilt dasselbe, und zwar auch ohne spezielle Ergänzungen. Allerdings hilft es auch beim Design von Datenflussdiagrammen durchaus, wenn Standardsymbole etwa für Server und Datenbanken zur Verfügung stehen. Im Test kam Libre Office 5.3.7.2 unter Windows 10 zum Einsatz.

Beim Zeichnen von Flow-Diagrammen unterstützen viele der direkt erreichbaren Standardformen und -symbole das Vorhaben, weitere stehen über die „Gallery“ aus dem Ansicht-Menü unter „Diagramme“ zur Verfügung. Importe von Grafikdateien und Fotos fallen leicht, Bearbeitungsfunktionen wie „Zuschneiden“ oder „Umwandeln in Kontur“ sind ebenfalls vorhanden und problemlos einzusetzen. Die Arbeit mit Textfeldern läuft ebenso praxisgerecht wie funktionsreich ab. Dabei profitiert Draw möglicherweise von seiner Einbindung in eine echte Office-Suite.

Typischer „DFD“-Symbolkatalog für Data-Flow-Diagramme. Bild: hellboundbloggers.com

Das Angebot an Linien, Pfeilen und sonstigen Elementen erleichtert die Darstellung unterschiedlichster Kommunikationsbeziehungen zwischen IT-Instanzen. Das Arsenal an Gruppierungsfunktionen und Ausrichtungshilfen ist groß genug, um schnell ordentliche und ansprechende Ergebnisse zu erzielen. Wie beim Netzdiagramm besonders hilfreich ist auch in diesem Kontext die Arbeit mit Zeichnungsebenen. Vor allem die in Data-Flow-Diagrammen tendenziell ausufernden Beschreibungen von Assets lassen sich damit geschickt staffeln, um den Betrachter nicht schon beim ersten Blick auf das Bild visuell zu überfordern.

Die Exportformate von Libre Office Draw sind bereits in Teil 2 dieser Testserie aufgelistet. Wiederum ist allerdings darauf hinzuweisen, dass man sich auf die lange Liste an Vektor- und Bitmap-Importformaten (erreichbar über Einfügen/Bild) nicht verlassen kann. Die Mängel beim EPS-Import wurden bereits in der erwähnten zweiten Serienfolge beschrieben. Ansonsten gilt: Wer Draw installiert hat, kann damit vollwertige Data-Flow-Diagramme anfertigen und muss sich nicht zwangsläufig um Alternativen bemühen.

DIA mit der Gane-and-Sarson-Bibliothek

DIA, das bekannte Diagramm-Tool unter Windows, Linux und MacOS, wird im Web in Admin-Foren ebenfalls häufig als probates Werkzeug für Datenflussdiagramme genannt. Erhältlich ist das Programm unter www.dia-installer.de. Unser Testobjekt war wieder die Version 0.97.2 unter Windows 10.

Auf den ersten Blick scheint das Programm in seiner Werkzeugbox nur wenige, eher „dröge“ wirkende Elemente unter der Kategorie „Flussdiagramm“ zu bieten. Über „Andere Objektbögen“ ist jedoch immerhin der Eintrag „Gane and Sarson“ zu erreichen, der einige wenige weitere, aber für Flussdiagramme nützliche Elemente enthält. Die Ergebnisse allerdings, die mit diesem Arsenal zu erzielen sind, wirken ohne aufwändige Nacharbeit gestalterisch eher spartanisch, was jedoch abhängig von Geschmack und Zielgruppe nicht automatisch ein Nachteil sein muss. Da auch die Arbeit mit Ebenen möglich und der Vorrat an generellen Zeichenwerkzeugen groß ist, stehen auch größeren Projekten ansonsten keine Hindernisse im Weg.

Auch das Web-gestützte Programm DrawIO ist einen Versuch wert – mit Einschränkungen.

Zu erwähnen ist allerdings noch einmal, dass das Aufgreifen von Linienenden oder die Unterscheidung, ob ein Objekt verschoben oder skaliert werden soll, häufig nicht ganz präzise verläuft.

Etwas hakelig ist auch die Funktion zum Einfügen von Bitmaps. Der User klickt im Werkzeugkasten erst auf das Image-Icon, das erst einmal gefunden werden will, und erhält dann im aktuellen Diagramm eine Repräsentation namens „Broken Image“. Erst über deren Eigenschaften lässt sich dann die eigentliche Datei laden – und die Bearbeitungsfunktionen sind anschließend recht beschränkt. Auch die Optionen für den Umgang mit Text sind nicht gerade üppig und bequem ausgefallen, was bei Data-Flow-Grafiken stärker zu Buche schlägt als bei statischen Netzwerkdiagrammen. „Draw“ erscheint in diesem Punkt insgesamt geeigneter.

DrawIO – rein Web-basierend

Eine Neuentdeckung ist das Webgestützte Programm DrawIO, das sich kostenlos unter www.draw.io/ aufrufen und nutzen lässt. Flussdiagramme, Netzwerkdiagramme, Werkzeuge für Grafikimport und Textgestaltung – das Angebot ist beeindruckend und die Symbole wirken frisch und angenehm. Standardmäßig speichert DrawIO seine Dateien als HTML- oder XML-Files, die mit einem direkten Link zum Programm verbunden sind und damit beim Doppelklick auf die Datei immer auch den Web-Editor aufrufen, sofern eine Internetverbindung besteht. Ziel-Speicherort können der lokale Rechner oder diverse Cloud-Dienste sein.

Der Druck funktionierte im Test auf einem Standard-Windows-7-Rechner mit Firefox als Browser nicht, wohl jedoch (zumindest bei Zeichnungen, die auf Vorlagen basierten) der Export als PNG-, JPEG- oder SVG-Datei und im PDF-, VSDX-, HTML- und XML-Format. Bei Dateien, die zuvor als HTML-Link abgespeichert wurden, streikte zuweilen nach einem Neuaufruf die gesamte Exportfunktionalität, oder der Aufruf gelang erst gar nicht.

Zur Serie
Die LANline-Serien zu IT-geeigneten Freeware-Diagramm-Editoren erscheint als Fünfteiler in lockerer Folge. Teil 1 (Ausgabe 4/2018) führt ins Thema ein und erläutert Diagrammtypen und die Testkriterien. Teil 2 (Ausgabe 5/2018) befasst sich mit Editoren für Netzwerkdiagramme, Teil 3 mit Werkzeugen für Datenfluss-Diagramme, Teil 4 mit Tools für Gantt- oder ProjektCharts und Teil 5 mit Mindmap- und Concept-Map-Software.

DrawIO macht Spaß und bietet eine große Funktionenvielfalt, zeigte sich im Test aber einfach noch nicht zuverlässig genug für eine Empfehlung. Außerdem macht die Cloud-gestützte Funktionsweise Kopfzerbrechen: Will man ausgerechnet sicherheitsrelevante Dokumentationen in der „Wolke“ bearbeiten?

Moderner Exot: yED

yEd Graph Editor – zwar nicht Open Source, aber ebenfalls kostenlos – basiert auf einer anderen technischen Grundlage als die bisher getesteten Editoren. Die Software ist ein Java-Programm und benötigt deshalb vorab die Installation einer Java-Runtime-Umgebung.

Das Programm ist prinzipiell auf keine speziellen Diagrammtypen ausgelegt. Eine Besonderheit stellen die integrierten Funktionen zum automatischen Layout etwa von Baum- oder anderen hierarchischen Graphen mit speziellen Anordnungen wie „organisch“ oder „kreisförmig“ dar. yEd kann außerdem Daten etwa aus Excel-Tabellen importieren und in anschauliche grafische Auswertungen umsetzen.

Gewöhnungsbedürftige Logik

Gewöhnliches Zeichnen gelingt jedoch auch, und wiederum findet sich ein vollständiges Repertoire an typischen Vektorzeichenfunktionen – im Gegensatz zu den anderen Programmen aber mit einer strengeren, bisweilen nicht ganz so angenehmen Logik: Man setzt zunächst einen Knoten (etwa das Symbol eines Servers), dann einen zweiten Knoten als Ziel und zieht zwischen den beiden Knoten danach die Linien. Einfach so einen Pfeil zeichnen – das ist mir zumindest im Test erst einmal nicht gelungen. Der „Einrast“-Modus der anderen Programme ist hier also die Standard-Editiermethode.

Unter „Computer-Netzwerk“ im Paletten-Menü findet sich leider nur eine recht magere Auswahl an typischen Netzwerkdiagramm-Symbolen, die sich als „Knoten“ im Bild setzen lassen. Findige Fans des Programms haben jedoch einen einfachen Weg gefunden, die frei verfügbaren Cisco-Symbole in yEd als neue Palette zu importieren, siehe dazu etwa www.3dh.de/diagramme-in-yed-mit-cisco-icons/. Dort findet sich auch eine genaue Anleitung zum Vorgehen.

Dr. Johannes Wiele ist Experte für Security Awareness.