IT-Dokumentation - Der Blog

IT-Dokumentation im Rahmen der
KRITIS-Umsetzung

Mo, 1. Oktober 2018

Viele Schritte in Sicherheitsprojekten, wie bei der Umsetzung der KRITIS, sind komplex und sehr zeitaufwändig, wodurch einige Projekte praktisch nie fertig und wieder aufgegeben werden. Durch Softwarelösungen wie Docusnap, mit denen sich IT-Dokumentationen und IT-Analysen weitgehend automatisch erstellen lassen, eröffnen sich jedoch Möglichkeiten, in verschiedenen Schritten massive Erleichterungen zu erhalten und umfangreiche Projekte wie die KRITIS-Umsetzung erfolgreich zu beenden.

Egal mit welchen Standards oder Frameworks Unternehmen in eine Sicherheitsbetrachtung ihrer IT-Infrastruktur starten – über kurz oder lang müssen sie sich mit einer detaillierten Bestandsaufnahme von
IT-Komponenten, IT-Services und -Prozessen auseinander setzen. Heutzutage erschwert die zunehmende Komplexität der IT-Umgebungen und die sehr hohe Rate von Veränderungen diese Aufgabe bis nahe zur Unmöglichkeit. Moderne Techniken wie Virtualisierungen und Cloud-Anwendungen vereinfachen die produktive Einführung von Lösungen, stellen aber die Sicherheit vor völlig neue Herausforderungen. Allerdings sind
IT-Abteilungen in kleinen und mittelständischen Betrieben aufgrund der fehlenden Personalressourcen nur selten in der Lage, die Bestandsaufnahme und Analyse ihrer IT komplett und zeitnah zu übernehmen. Dabei ist es unabhängig, ob Unternehmen einen Topdown-Ansatz wie bei KRITIS – zuerst die businessrelevanten Prozesse definieren und dann feststellen, was benötigt wird – oder einen Buttonup-Ansatz verwenden. Beim Buttonup-Ansatz ermittelt man zuerst alle IT-Komponenten und klärt für jede Komponente, welche Prozesse und
IT-Services davon abhängig sind.

In den letzten Jahren wurden viele Sicherheitskonzepte populär und mit dieser Popularität steigt die Nachfrage nach einer aktuellen IT-Dokumentation – und das branchenübergreifend. Gegenwertige Themen wie die KRITIS zeigen, wie wichtig es ist eine aktuelle IT-Dokumentation an der Hand zu haben.
Dabei sind die wesentlichen Anforderungen an eine IT-Dokumentation seit Jahren jedoch immer die gleichen:

– Vollständigkeit
– Aktualität
– Richtigkeit
– Verständlichkeit
– Wirtschaftlichkeit
– Vergleichbarkeit

Nur durch eine hohe Automatisierung sind umfassende IT-Dokumentationen und IT-Analysen möglich.
Allerdings wird eine hundertprozentige Automatisierung nie möglich sein, da die Thematik so komplex ist, dass zusätzlich immer das Fach-Know-how von IT-Experten benötigt wird. Diese sind wiederum von Werkzeugen wie der Software Docusnap abhängig, um effizient zu arbeiten.

KRITIS – Unterstützung anhand der IT-Inventarisierung von Docusnap

Im Bereich der Inventarisierung von IT-Komponenten bietet Docusnap für viele Standardkomponenten, angefangen von der IT-Infrastruktur mit Routern und Switchen bis hin zu Active Directory Services, Virtualisierungsumgebungen und Applikationsservern die Möglichkeit, die Daten automatisch und regelmäßig zu inventarisieren. Dabei ist keine Installation von Agenten für die IT-Inventarisierung notwendig, was die Lösung unter anderem auch insbesondere für IT-Beratungsfirmen interessant macht. Für Komponenten und Lösungen, die nicht automatisch erfasst werden können, kann Docusnap beliebig erweitert werden, um diese Daten zu ergänzen. Zusätzlich enthält Docusnap viele Import- und Exportmöglichkeiten, um Daten mit anderen Systemen auszutauschen. Generell bietet die Software Docusnap die Funktion, Daten von verschiedenen Inventarisierungen miteinander zu vergleichen. Durch die Automatisierung wird auch sichergestellt, dass keine falschen Daten, zum Beispiel durch manuelle Fehleingaben, erhoben werden. Weiterhin können auch organisatorische Strukturen wie Prozesse, IT-Services, Abteilungen oder auch Standorte erfasst werden.

Bereits bei kleineren Netzwerken wird durch die automatisierten Inventarisierungen eine Unmenge an Daten zusammengetragen. Hier beginnt dann die sprichwörtliche Suche nach der Nadel im Heuhaufen:
Um eine möglichst große Transparenz zu schaffen, bietet Docusnap vielfältige Visualisierungen und Diagramme, wie Layer-2- und Layer-3-Netzwerkpläne, Kommunikationspläne usw., die den IT-Experten helfen, die Zusammenhänge in einem Netzwerk besser zu verstehen. Das ist wichtig, um später Auswirkungen bei Sicherheitsvorfällen (Stichwort KRITIS) besser zu bewerten. Auch gibt es weit über zweihundert vorgefertigte Berichte, die eigenständig angepasst werden können und Antworten auf viele Fragen zur IT-Umgebung bieten.

KRITIS – Bewertung von Auswirkungen bei Systemausfällen

Docusnap beinhaltet eine Funktion, mit der es möglich ist, Abhängigkeiten von Prozessen wie der Produktion von bestimmten IT-Services und IT-Komponenten zu dokumentieren. Die Besonderheit hierbei ist, dass eine grafische Auswertung in Form von Strukturdiagrammen möglich ist. So können beispielsweise eine Prozessebene, eine Serviceebene, eine Systemebene und eine Hardwareebene frei definiert werden. Die durch die
IT-Inventarisierung gefundenen Systeme, Softwarelösungen und Hardwarekomponenten, aber auch manuell erfasste Daten, können mit den Prozessen oder Services verknüpft werden. Damit lässt sich grafisch feststellen, welche Auswirkungen der Ausfall einer bestimmten Komponente auf den Betrieb hat. Gerade bei der Umsetzung von KRITIS ist dies ein entscheidender Punkt. Zudem können auch beliebige Parameter wie Kritikalität, Priorisierung, Einstufungen usw. nach Bedarf hinterlegt beziehungsweise frei definiert werden.

Nach der Bestandsaufnahme und der Bewertung müssen für die Minimierung der Risiken Handlungspläne für den Ernstfall wie Notfallhandbücher oder Wiederanlaufpläne für bestimmte Systeme erstellt werden. Für diese Anforderung enthält Docusnap die Funktion, diese Handlungspläne vorlagenbasiert als Dokumente in Docusnap zu erstellen. Dabei besteht wiederum die Möglichkeit, alle Daten aus der Inventarisierung oder manuell gepflegte Daten und die Diagramme mit den Dokumenten zu verknüpfen. Der Vorteil dabei besteht darin, dass bei einer Veränderung auf der Systemseite die Dokumente automatisch auf Wunsch aktualisiert werden können und somit die Aktualität immer gewährleistet ist. Natürlich ist ein regelmäßiger Export in externe Formate wie PDF oder Word möglich, um diese Dokumente für den Fehlerfall auch offline vorhalten zu können.
Wenn über Sicherheit gesprochen wird, wird auch unweigerlich über die Zugriffsberechtigungen von Benutzern auf IT-Ressourcen die Rede sein. Auch in diesem Fall ist man sehr schnell mit einer hohen Komplexität konfrontiert, die flächendeckende manuelle Kontrollen praktisch unmöglich macht. Für diese Anforderung bietet Docusnap eine Berechtigungsanalyse, die für windowskompatible Dateisysteme, Microsoft SharePoint und Microsoft Exchange Zugriffsberechtigungen von Benutzern und Gruppen einfach auswerten kann. Dabei kann aus Sicht einer Ressource wie Personalordner oder aus Sicht eines Benutzers ausgewertet werden, auch in grafischer Form. Durch die Implementierung von zeitlich wiederkehrenden Auswertungen kann auf lange Sicht eine hohe Qualität im Bereich der Zugriffsberechtigungen realisiert werden.

Transparente IT-Dokumentation bei der Umsetzung von KRITIS unerlässlich

Sicherheitsrelevante Projekte, wie zum Beispiel die Umsetzung der KRITIS, werden immer eine hohe Komplexität und einen hohen Arbeitsaufwand bedeuten. Softwareprodukte wie Docusnap können hier aber signifikante Einsparungen an IT-Personalressourcen bringen, da viele Aufgaben komplett automatisiert oder deutlich beschleunigt werden können. Viele Anforderungen lassen sich auch nur mithilfe eines guten Softwarewerkzeuges wirtschaftlich erfüllen. Die IT-Dokumentation insgesamt rückt jedoch immer mehr in den Fokus der
IT-Abteilungen und wird stärker von der Geschäftsführung eingefordert. Allerdings ist es fast in allen Unternehmen immer noch so, dass die IT-Dokumentation zugunsten von operativen Tätigkeiten oft vernachlässigt wird. Die systematische und umfassende IT-Inventarisierung und IT-Dokumentation sind leider in vielen Unternehmen noch nicht fest verankert. Hier muss gerade in Bezug auf KRITIS ein schnelles Umdenken stattfinden.

Schreibe einen Kommentar