Szenarien, die die Sicherheit der IT-Infrastruktur gefährden, die uns auch in der Praxis des Öfteren begegnen, sind gefährlich und tragen dazu bei, die Evaluation eines Client-Management-Tools bzw. einer IT-Software zu erschweren. Lesen Sie jetzt weiter und erfahren Sie, welche konkreten Punkte dabei eine entscheidende Rolle spielen.
1. IT-Software nach Inventarisierungs-Methoden evaluieren
Die Flexibilität und die Möglichkeiten, die IT-Administratoren durch den Einsatz von Skripten bekommen ist enorm. Ich sehe vor allem hier die Powershell als wohl das mächtigste Skripting-Werkzeug, was die Microsoft-Welt bis dato erlebt hat. Diese Flexibilität birgt aber auch Risiken, wenn der Einsatz von Skripting Technologien zu unbedacht und oftmals zu schnell zum Einsatz kommt. Bei der Auswahl und Bewertung einer geeigneten IT-Software stellen die Inventarisierungs-Methoden, agentenbasiert wie auch agentenlos, einen wichtigen Aspekt dar. Die Inventarisierung- und Erkennungsmechanismen dürfen nicht auf Basis von Skript-Technologien erfolgen, sondern müssen ganz klar in den Inventarisierungs-Mechanismen des Tools selbst liegen und die ermittelten Ergebnisse vor allem in Bezug auf die installierte Software gegen einen validen Software-Erkennungskatalog abgeglichen werden. Hierbei ist zum einen zu prüfen, ob die Qualität sowie die Quantität der agentenlosen wie auch der agentenbasierten Inventarisierung gleich ist. Nur dann sind auch wirklich valide Informationen über die IT-Landschaft zu bewerten. Zum Anderen ist aber nicht nur die Inventarisierungs-Logik selbst zu prüfen, sondern auch die Kommunikationswege der Inventarisierung.
Entscheidende Fragen, die in der Auswahl einer IT-Software, welche aus dem kommerziellen Sektor wie auch verstärkt aus der Freeware Ecke stammen, zu klären sind:
- Erfolgt die Kommunikation zwischen Agenten und der Infrastruktur „offen“ oder wird diese durch eine zertifikatsbasierte Kommunikation geschützt?
- Welche Berechtigungen sind für die Inventarisierung erforderlich?
- Wie kann bei der agentenbasierten Inventarisierung der jeweilige Agent auf den Zielsystemen automatisiert installiert werden kann?
2. Prüfmechanismen einer IT-Software abschätzen
Eine Softwareverteilung, welche durch einen auf dem Zielsystem installierten Agenten ausgeführt wird, benötigt definitiv Prüfmechanismen, für die zu installierenden Softwarepakete. Die Frage, ob ein Softwarepaket am Client auch wirklich das Paket ist, welches vom IT-Administrator beauftragt wurde, darf aufgrund der Bedrohungslage durch Hacker und Wirtschaftsspionage nicht mehr im Raum stehen. Diese Absicherung sollte eine Selbstverständlichkeit für eine IT-Software sein und muss bei der Tool-Evaluierung definitiv beachtet und bei den jeweiligen Herstellern konkret hinterfragt werden. Denn die Technologie, dass Setup-Files für alle Netzwerk-User einsehbar, manipulierbar und ungeprüft installierbar sind, entsprechen nicht mehr dem heutigen „state of the art“, eher dem Status vergangener Zeiten. Unbedachte Berechtigungen auf den jeweiligen Distribution-Verzeichnissen fördern die Kompromittierung von System und Netzwerken, von einfachen „Man-in-the-middle“-Szenarien, wodurch Softwarepaket mit Schadcode versehen werden und ungeprüft vom Agenten auf dem Zielsystem ausgeführt werden, ganz zu Schweigen.
3. Workflowbasierte Software-Verteilung
Vielmehr muss eine ganzheitliche IT-Software neben der infrastrukturellen Absicherung der Kommunikation bei der simplen Ausführung von Installationsbefehlen für Setup- oder MSI-Files, auch Steuerungsmechanismen während des Prozessablaufs der Installation selbst bieten, über die eine sicherheits-orientierte Installation von Applikationen möglich ist. Ein zentrales Thema ist beispielsweise die Überprüfung, ob ein System oder Benutzer in einer bestimmten AD-Sicherheitsgruppe ist oder der einzelne Datensatz des Systems beispielsweise im Asset-Management bestimmte Attribute trägt, wodurch somit automatisiert die Installation beeinflusst bzw. gesteuert werden kann. Das Zauberwort hier lautet workflowbasierte Software-Verteilung. „Setup.exe /s“ oder „msiexec /i“ alleine war gestern, heute wollen IT-Administratoren den Komfort und die sicherheitsorientierten Funktionen von grafisch-workflowbasierter Softwareverteilung ohne komplexen Skripting-Aufwand, vorzugweise auch die Bereitstellung von Patches über die Cloud für PDF-Reader, Browser und ähnlicher Software bis zu branchenspezifischen Applikationen über Managed-Service Angebote der Toolhersteller.
4. Lizenzrechtliche Aspekte bei der Evaluierung einer IT-Software
Automatisierte Softwareverteilung bietet eine enorme Flexibilität getreu dem Motto „Software schnell bereitstellen, dort wo sie benötigt wird, egal ob der Client im lokalen Netzwerk oder lediglich mit dem Internet verbunden ist“. Ein Service, der von Usern als fast selbstverständlich gesehen wird. Dieser ist oft von webbasierten Self-Service-Portalen unterstützt, welche den Usern eine Art Webshop-ähnliche Experience bieten, über die Software im internen App-Portal schnell und einfach angefragt bzw. teilweise auch genehmigungsfrei zu installiert wird. Häufig wird hier aber ein Risiko von IT-Verantwortlichen und IT-Administratoren unterschätzt: Die unbewusste automatisierte Unterlizenzierung. Software wird schneller und unbewusster verteilt als auf dem manuellen Weg à la der Turnschuh-Methode. Deswegen sollte auch bei der Auswahl des jeweiligen Tools der ganzheitliche Ansatz im Fokus der IT-Entscheider stehen, sprich das Zusammenspiel von Software-Deployment und Lizenzmanagement.
Was bedeutet das konkret für die Suche nach einer IT-Software?
Die workflow-basierte Softwareverteilung ist das entscheidende Zünglein an der Waage. Der Automatismus in der Softwareverteilung muss entscheiden können, ob gemäß der vorhandenen Lizenz-Situation eine Installation erfolgen oder ob die Installation aufgrund fehlender Lizenzen nicht durchgeführt werden darf. Idealerweise wird an diesem Prozessschritt automatisiert ein Ticket im IT-Service Management eröffnet, welches einen Beschaffungsprozess für neue Lizenzen der jeweiligen Software auslöst und die Frage nach der lizenzrechtlichen Compliance erst gar nicht im Raum stehen kann.
Man erkennt sehr schnell, welch spannendes und komplexes Thema ein ganzheitliches Clientmanagement bzw. Assetmanagement darstellt und welche vielfältige Themen bei der Auswahl der passenden IT-Software zu beachten sind. Sicherheit, Compliance und eine saubere Prozessdefinition stellen die Basis für modernes IT-Management dar.
Benedikt Gasch
CTO
DeskCenter Solutions AG