Den Überblick über alle IT-Ressourcen in Ihrem Unternehmen zu behalten, kann schnell überfordernd sein. Dazu gehören Laptop-Computer, Desktop-Computer, Mobiltelefone, Cloud-Services und vieles mehr. Asset-Management versucht mit genau dieser Herausforderung umzugehen. In diesem Blogbeitrag geben wir eine Einführung in das Asset-Management, gefolgt von einer praktischen Anleitung, wie Sie in Ihrem Unternehmen mit Asset-Management beginnen können.
Was ist Asset-Management?
Kurz gesagt ist Asset-Management ein System, das dazu dient, den Überblick darüber zu behalten, welche IT-Assets in Ihrem Unternehmen vorhanden sind. Unter anderem beinhaltet es auch, welche Computer angeschlossen sind, welche Software-Anwendungen darauf installiert sind und welche Cloud-Services genutzt werden. Dadurch lässt sich auch sicherstellen, dass nur genehmigte Dienste und Anwendungen auf den Computern, die den Mitarbeitern*innen vom Unternehmen gestellt werden, genutzt werden. An dieser Stelle ist es wichtig darauf hinzuweisen, dass Asset-Management sich nicht damit beschäftigt, wie Mitarbeiter*innen diese Ressourcen nutzen, sondern nur darum, ob sie angeschlossen sind oder nicht. So wäre es möglich zu sehen, ob ein*e Mitarbeiter*in Word installiert hat, aber nicht, ob er*sie diese Anwendung nutzt. Wenn Sie eher an solch einem System interessiert sind, sollten Sie stattdessen ein Log-Management-System haben.
Wofür braucht man Asset-Management?
Bevor ich erkläre, wie man Asset-Management einführt, werde ich Ihnen erst drei gute Gründe nennen, warum Sie diese Initiative auf Ihre Prioritätenliste setzen sollten:
-
Sie erfordert keine großen Investitionen in Ressourcen, was sie für viele Unternehmen zu einer „niedrig hängenden Frucht“ macht.
-
Mit der Implementierung des IT-Asset-Managements müssen Sie sich keine Sorgen mehr machen, dass einer Ihrer Beschäftigten ungewollt eine nicht genehmigte Software auf einem Firmen-Computer installiert hat.
-
Sie erhalten einen guten Überblick über Ihre IT-Assets, mit dem Sie erfolgreich ein Log-Management-System implementieren können.
Nachdem wir diese guten Gründe diskutiert haben, fahren wir fort und sehen uns die Einführung von Asset-Management an und die Rolle, die ein solches System in Ihrer IT-Sicherheitseinrichtung spielen könnte.
IT Asset-Management vs. Log-Management
Welches Management System sollten Sie haben? Das Log-Management oder doch eher das Asset-Management? Zum Glück müssen Sie sich nicht für eines entscheiden, da sich diese beiden Arten von Systemen sehr gut ergänzen.
Aus unserer Erfahrung mit Log-Management haben wir festgestellt, dass es vom Vorteil ist, das Asset-Management zuerst einzurichten. Hier erfahren Sie nämlich, aus welchen Quellen Sie Daten sammeln können und möchten. Bei der Einführung des Log-Managements ohne das Asset-Management können einige Quellen, aus denen relevante Daten gesammelt und verfolgt werden sollten, leicht übersehen werden. Auf dieselbe Art und Weise kann Log-Management das Asset-Management bereichern, da die Durchführung von Log-Management dabei helfen kann, die verschiedenen Cloud-Dienste zu identifizieren, die als Assets registriert werden sollten.
Was braucht man dafür?
Jetzt wissen wir, dass Asset-Management dabei helfen kann, sowohl Ihre physischen als auch Ihre digitalen IT-Assets im Auge zu behalten. Doch was konkret benötigt man dafür? Kurz gesagt, man braucht nur Zeit. Es gibt verschiedene Systeme für diese Aufgabe, aber das System, das wir in diesem Blogbeitrag besprechen werden und selbst verwenden, kann vollständig kostenlos genutzt werden.
Wie fange ich an?
Bevor Sie mit dem Einrichten des Asset-Managements beginnen, ist es ratsam, sich einen ersten Überblick darüber zu verschaffen, welche Online-Dienste Ihr Unternehmen nutzt, da das System diese nicht automatisch scannen kann.
Danach sollten Sie als ersten Schritt einen Benutzer im System SpiceWorks Inventory, welches wir Ihnen in diesem Blogeintrag empfehlen, erstellen.
Dieses System benötigt einen Server, auf dem es laufen kann, den Sie natürlich selbst zur Verfügung stellen können. Wenn Sie dies vermeiden wollen, bietet SpiceWorks eine Cloud-Lösung an, bei der sie sich um die Einrichtung eines Servers kümmern. Falls Sie unterschiedliche Standorte haben, können diese als "Remote Sites" eingerichtet werden, was notwendig ist, um die Scans durchzuführen, auf die wir später in diesem Blogbeitrag noch genauer eingehen werden.
Agenten
Der Agent sollte auf den Assets installiert werden, aber ab dem nächsten Schritt können die Assets außerhalb der Arbeitsumgebung verfolgt werden. Es ist also eine gute Idee, einen Agenten auf mobilen Geräten, wie z.B. Laptops, zu installieren, den Mitarbeiter*innen eventuell mit nach Hause nehmen. Sie können den Agenten einfach von SpiceWorks herunterladen und auf den verschiedenen Assets installieren. Wenn der Agent auf dem Gerät installiert ist, überprüft er die auf dem Laufwerk des Computers installierten Anwendungen und fügt diese Anwendungen dann dem SpiceWorks-System hinzu. Leider gibt es den SpiceWorks-Agenten nur für Windows-Rechner, also müssen Mac- oder Ubuntu-Rechner stattdessen durch Scannen erfasst werden.
Scannen
Scannen funktioniert ganz einfach über das Netzwerk an Ihrem Arbeitsplatz. Dadurch kann es alle Assets abdecken, die den Arbeitsplatz nicht verlassen, und solche, auf denen ein Agent nicht installiert werden kann. Dieser Prozess deckt alle Geräte ab, die nicht über einen Agenten erfasst werden können. Natürlich bedeutet diese Art der Registrierung weniger Verwaltungsaufwand, da nicht auf allen einzelnen Geräten ein Agent installiert werden sollte. Es erfordert jedoch mehr Arbeit, die verschiedenen Geräte korrekt zu identifizieren.
Online-Ressourcen
Die Registrierung von genutzten Online-Assets ist etwas schwieriger als die Registrierung von bereits installierten Anwendungen. Installierte Anwendungen werden automatisch erfasst, indem durch den Agent oder den Scan das Computerlaufwerk überprüft und dadurch alles, was darauf installiert ist, registriert.
Um herauszufinden, auf welche Dienste zugegriffen wird, wird stattdessen der Verlauf des Browsers nach URLs durchsucht, die Sie selbst definieren können. Wenn ich zum Beispiel weiß, dass wir in unserer Organisation Office365 verwenden, kann ich das System bitten, nach den URLs zu suchen, die "Office" enthalten. Danach kann ich sehen, ob die verschiedenen Ressourcen eine solche URL besucht haben. Das bedeutet aber auch, dass es schwer zu erkennen ist, ob die Assets meiner Organisation auf einen Dienst zugreifen, dessen URL ich nicht in SpiceWorks hinterlegt habe. Dies veranschaulicht einen der Vorteile von sowohl Asset-Management als auch Log-Management zu haben.
In diesem Fall können Sie nämlich im Log-Managements-System sehen, dass auf einen nicht registrierten Cloud-Service zugegriffen wurde. Mithilfe des Asset-Managements können Sie dann einsehen, welche Geräte auf diesen Service zugegriffen haben.
Was jetzt?
Wenn Sie alle Assets Ihres Unternehmens und auch die Cloud-Dienste registriert haben, nach denen gesucht werden soll, sollten Sie einen Überblick sowohl über die physischen als auch die digitalen IT-Assets Ihres Unternehmens haben. Ab diesem Zeitpunkt werden Sie, wie bereits erwähnt, einen klaren, transparenten Überblick darüber haben, ob Ihre Kollegen*innen Anwendungen oder Dienste nutzen, die nicht sicherheitsgenehmigt sind. Zukünftig besteht die Wartung des Systems nur noch aus der Installation neuer Agenten auf neuen Assets sowie der Registrierung neuer Cloud-Dienste, die Sie nutzen möchten.
Ich hoffe, dieser Blog hat Asset-Management als eine machbare Aufgabe, die in Ihrer Organisation eingeführt werden kann, darstellen können. Oft kann es in gewisser Weise eine „niedrig-hängende“ Frucht sein, weil der Ressourcenbedarf so gering ist und Sie sich durch die Einrichtung des Systems einen Überblick verschaffen, der ohnehin Teil jeder starken IT-Sicherheitseinrichtung sein sollte.
