Nachdem im ersten Teil des Artikels Umfang und Inhalt einer IT-Dokumentation skizziert wurden, wollen wir uns nun die einzelnen Maßnahmen genauer ansehen.
Welche Inhalte fordert der IT-Grundschutz?
Die Maßnahme „Dokumentation der Systemkonfiguration“ listet einige Inhalte und Themen einer IT-Dokumentation auf. So sind in einem Netzbetrieb die physikalische Netzstruktur und die logische Netzkonfiguration zu dokumentieren. Sie benötigen also eine Dokumentation aller im Netzwerk im Einsatz befindlichen IT-Systeme. Erstellen Sie zu jedem IT-System ein Datenblatt, in dem alle Konfigurationen und Einstellungen des Systems dokumentiert sind. Dazu gehören natürlich auch die installierte Software und die verwendeten Passwörter. Nicht minder aufwendig wird die Dokumentation der logischen Netzstruktur. Welche Datenverbindungen bestehen, welche Netzwerkdienste sind im Einsatz, welche Protokolle finden Anwendung? Haben Sie aber alle diese Punkte analysiert und dokumentiert, dann fällt Ihnen beispielsweise das Monitoring Ihres IT-Netzwerks leichter. Denn es kann und darf nur den dokumentierten Datenverkehr geben. Alles andere wäre nicht autorisiert und müsste sofort eine Meldung generieren. Somit könnten Sie auch ungewollten IT-Systemen und Anwendungen auf die Spur kommen.
Die Maßnahme schreibt auch die Dokumentation der Zugriffsrechte und Dateistrukturen vor. Aber diese werden Sie selbst bei kleineren Netzwerken heute kaum noch manuell führen können. Dazu sind Dateistrukturen viel zu unübersichtlich. Verschachtelungen und Rechtevererbungen bzw. deren Aufbrechung lassen sich ohne Softwareunterstützung kaum lokalisieren. In Docusnap können Sie dazu das Modul der Berechtigungsanalyse verwenden, um diese Dokumentation zu automatisieren. Lesen Sie mehr dazu im Blogartikel „Dateiserver und Zugriffsrechte inventarisieren“.
Ferner gehört natürlich auch die Beschreibung der Datensicherung in die IT-Dokumentation. Hier empfiehlt es sich, die Dokumentation in sich logisch aufzubauen. Erstellen Sie zunächst Ihr Datensicherungskonzept. Dieses wird auch vom Datenschutzbeauftragten für seine Kontrollaufgaben benötigt. Anhand des Konzeptes wird die Datensicherung entsprechend eingerichtet. Bei der Dokumentation der Datensicherung befinden sich die meisten Informationen wohl bereits in der Datensicherungssoftware selbst. Sie müssen aber einen Weg finden, die Informationen ordentlich bereitstellen zu können. Es soll ja schließlich nicht jeder Zugriff auf die Datensicherungssoftware bekommen. Abhängig vom Hersteller der verwendeten Software kann Docusnap auch hier weiterhelfen und die Dokumentation von durchgeführten Sicherungsaufträgen automatisieren.
Mit Docusnap lassen sich auch die Ein- und Ausschaltreihenfolgen der IT-Systeme beim Hoch- bzw. Runterfahren dokumentieren. Hier lassen sich Wiederanlaufpläne in den IT-Beziehungen grafisch darstellen, in IT-Konzepten einbinden und mit Textbeschreibungen dokumentieren. Damit bekommen die IT-Mitarbeiter detaillierte Anleitungen für den Bedarfsfall. Sie werden unabhängiger von der Präsenz einzelner Administratoren.
Verzeichnisdienst und verwendete Rollenkonzepte erfassen
Eine ebenfalls äußerst umfangreiche Aufgabe ist die Dokumentation der eingerichteten Benutzer und Gruppen sowie deren aktuelle Zugriffsberechtigungen. Hier empfiehlt es sich zunächst ein sogenanntes Rollenkonzept zu erstellen. Darin wird beschrieben, welche Mitarbeiter oder Teams standardmäßig Zugriff auf Ordner und Dateien bekommen. Zugriffe und Freigaben beispielsweise am Dateiserver sollten immer nur an Rollen vergeben werden, nicht an einzelne Mitarbeiter. Dies erleichtert den Überblick über die Freigaben zu behalten.
Die Abbildung dieses Rechtekonzept wird sicherlich in einem Verzeichnisdienst umgesetzt. Für die Dokumentation der Rollen kann beispielsweise das Modul der Berechtigungsanalyse vom Dokumentationstool Docusnap verwendet werden. Diese Dokumentation per Hand zu führen, ist wohl genauso ambitioniert wie die Dokumentation von Verzeichnisfreigaben am Dateiserver. Ferner sollte eine laufende Revision der Rollen erfolgen, zumindest auf Ordner und Dateien mit entsprechenden Schutzbedarf.
Dokumentation der täglichen Änderungen ist eine besondere Herausforderung
Die Maßnahme „Dokumentation der Veränderungen an bestehenden Systemen“ fordert die Dokumentation aller Veränderungen an den IT-Systemen. Dies stellt jede IT-Abteilung vor eine besondere Herausforderung. Denn hier gilt es eiserne Disziplin zu bewahren. Werden an Systemen Änderungen durchgeführt, so müssen diese nachvollziehbar dokumentiert werden. Schwierig, denn es wird schnell einmal etwas geändert, anschließend muss gleich wieder etwas anderes gemacht werden. Die Möglichkeit und die benötigte Zeit zum Dokumentieren stehen deshalb oft leider gar nicht zur Verfügung. Abhilfe kann hier die automatische Inventarisierung aller IT-Systeme bringen. Eine andere Möglichkeit ist, gemäß ITIL, für alles einen Change Request oder ein Ticket zu erstellen. Dies ist jedoch mit einem gewissen Aufwand verbunden, aber natürlich erstrebenswert.
Eine automatische Dokumentation könnte wiederum mit Docusnap umgesetzt werden. Eine entsprechende Häufigkeit von Inventarisierungsscans vorausgesetzt, können über den Vergleich der Scans Änderungen relativ leicht ermittelt werden.
Lesen Sie im dritten Beitrag mehr zu den geforderten Maßnahmen aus dem IT-Grundschutzkatalog.