Meistens ist es doch so, dass IT-Abteilungen nicht erst im Laufe der letzten Jahre zu den strategisch wichtigen Firmenabteilungen gehören. Und im Zeitalter der Digitalisierung verschärft sich dieser Umstand nochmal deutlich. Dabei stecken aber noch viele kleine und mittlere Unternehmen in diesem Reifeprozess fest, wo eine stetig wachsende IT die Mitarbeiter immer vor neue Herausforderungen stellt.
Ganz oben auf der „Kummerliste“ der Unternehmen beziehungsweise der IT- und Sicherheitsverantwortlichen steht das Thema IT- und Cyber-Sicherheit: Der Schutz vor „Cyber-Angriffen“ aus dem bösen Internet oder dem Schutz vor „RansomWare“, also dem Verschlüsseln von Firmendaten und der sich meist anschließenden Lösegeldforderung.
Bei den meisten IT-Verantwortlichen sollte sich jetzt so etwas wie Gänsehaut entwickeln. Vor allem, wenn sie sich das Szenario im eigenen Unternehmen vorstellen. Und für viele wäre jetzt die Zeit, einen Probelauf einer Rücksicherung der Daten zu starten, um sicherzustellen, ob man für den Ernstfall gerüstet ist.
Wie die beinahe täglichen Nachrichten aus dem Internet und auch Erfahrungen zeigen, sind gar nicht mal so wenige Unternehmen nicht ausreichend davor geschützt. Und oftmals trotz einer personell gut aufgestellten IT-Abteilung. Woran scheitert es?
Wo kommen die Gefahren her?
Natürlich kann man im ersten Moment alles auf das Internet schieben. Denn schließlich handelt man sich aus dem Netz der Netze sämtliche Probleme ein, die man sich vorstellen kann. Die Zeiten, in denen sich Viren über Disketten oder USB-Sticks verbreitet haben, sind vorbei. Heute geht es schneller. Und vor allem bequemer, denn der freundliche Hacker aus der Nachbarschaft sitzt längst irgendwo in weiter Ferne und sieht fern. Oder geht mit dem erpressten Lösegeld einkaufen, während er auf die neuesten Erfolge seines Bot-Netzes wartet.
Da werden Programme eingeschleust, die entweder alle greifbaren Daten verschlüsseln oder Lücken in den Systemen suchen, um sich dort administrative Rechte und somit Zugriff auf andere interne Systeme zu erschleichen. Dem Datendiebstahl ist damit Tür und Tor geöffnet.
Nun wäre es schön, wenn wir einfach ein Gerät, zum Beispiel eine Firewall zwischen dem internen und externen Netzwerk platzieren und damit alle Gefahren abwenden könnten. Das hat vor einigen Jahren bei einigen Unternehmen tatsächlich noch relativ gut funktioniert. Diese haben einfach so gut wie jede Kommunikation nach Außen restriktiv abgeriegelt. Heute ist diese Vorgehensweise jedoch praktisch undenkbar.
Die Rolle der IT-Abteilung
Im Grunde hat eine IT-Abteilung allein schon mit der Bewältigung der alltäglichen Aufgaben und Systembetreuungen genügend zu tun. Allerdings müssen IT-Verantwortliche deutlich mehr Informationen an Vorgesetzte weitergeben als es früher der Fall war. Das „Haben wir…“ oder „Das passt schon…“ reicht heute als Antwort auf eine Anfrage der Geschäftsführung nicht mehr aus.
Denn wenn sich aus datenschutzrechtlichen Gründen ein Problem ergibt, hält der Verantwortliche den Kopf dafür hin. Und das ist in den meisten Fällen der Geschäftsführer des Unternehmens.
Nun ist es bei sehr kleinen Betrieben sicher nicht ganz unüblich, dass der Chef persönlich auch in der Rolle eines IT-Verantwortlichen auftritt. Mit zunehmender Größe verlagern sich aber diese Aufgaben an andere Personen, die sich dann eben um die Aufarbeitung der weiterzugebenden Informationen kümmern müssen.
Nur einen Überblick zu haben ist nicht alles
Kommen wir zum Kern der Sache. Ein IT-Netzwerk zu betreuen, bedeutet unter anderem auch für die IT- und Datensicherheit zu sorgen. Um für diese Sicherheit sorgen zu können, muss man genau im Detail wissen, welche Geräte und Software im eigenen Netzwerk und auf den Systemen eingesetzt werden, aber auch welche Benutzerrechte im Netzwerk vergeben sind.
Das festzustellen, wird sehr schnell zu einer ziemlich aufwändigen Geschichte. Denn zum einen werden in der Regel verschiedene Tools, Admin-Zugänge und Softwareprodukte zum Einsatz benötigt, zum anderen werden die Ergebnisse kaum in einer zusammenhängenden Auflistung bereitgestellt. Hier ist richtige „Manpower“ gefragt. Ergebnisse aus verschiedensten Exporten in eine übersichtliche Form gebracht, um diese dann per Mail an die richtige Stelle im Unternehmen weiterzuleiten.
Dieser Aufwand, nämlich eine mehr oder weniger komplette Inventarisierung aufzustellen, die eingesetzten Geräte und Software zu bestimmen und auch noch die Veränderungen vom letzten Mal zu berücksichtigen, ist zudem sehr fehleranfällig. Und allzu gerne wird dann auch schon mal die Liste vom letzten Quartal einfach mit einem neuen Datum versehen, denn aus dem Gedächtnis heraus hat sich eh nichts geändert.
Mit Professionalität hat das genau gar nichts zu tun
Ein Kunsthändler hat die Möglichkeit zu schätzen. Je besser dieser Kunsthändler ist und umso mehr Erfahrung er hat, umso besser wird der ermittelte Wert dem Kunstwerk gerecht. Für einen IT-Administrator oder einen IT-Verantwortlichen sind Schätzungen jedoch nicht das Mittel zum Zweck. Sie können zwar abschätzen, dass circa 60 Arbeitsplatzrechner im Unternehmen sind und dass zum Beispiel Windows zum Einsatz kommt, aber die genaue Anzahl, Details zu jedem Gerät wie Alter, Betriebssysteme oder Softwarestände (eingespielte Patches) sind sicher nicht Bestandteil dieser „erhobenen“ Daten. Dabei entscheidet in vielen Fällen der Versionsstand eines Betriebssystems oder Software über Sicherheit oder Gefahr für das IT-Netzwerk.
Ein Schritt in Richtung Professionalität
Grundlegend muss man sagen, dass ohne das Wissen über den exakten Ist-Zustand des IT-Netzwerkes nicht von einer kompletten Professionalität gesprochen werden kann. Auch, wenn viele Aspekte wie Wissensstand, Ausbildung und Technik bereits auf einem sehr hohen Niveau sind. Wird nicht ausreichend dokumentiert, reicht in vielen Fällen schon der Ausfall einer einzelnen zentralen Person, um Probleme nicht mehr in den Griff zu bekommen.
Zunächst einmal muss festgestellt werden, was sich überhaupt alles im IT-Netzwerk befindet. Dabei denken wir nicht nur an die fest verkabelten Geräte (Drucker, Computer, Server, Switches etc.), sondern auch an die Geräte, die sich drahtlos mit dem Netzwerk verbunden haben. Denn heute gibt es in den meisten Unternehmen Geräte, die das W-LAN nutzen.
Sei es das private Smartphone oder das Firmen-Tablet, auch dies muss unbedingt berücksichtigt und mit aufgenommen werden.
Im Grunde ist das eine Art von Inventur, bei der allerdings nicht nur die Anzahl, sondern auch der Zustand (Softwareversion, Firmwareversion etc.) mit aufgenommen werden soll. Und dafür gibt es grundsätzlich zwei Herangehensweisen.
Vorgehensweise A
Mit ausreichend Personal und Tools zum Dokumentieren lassen Sie Ihre Kollegen von Arbeitsplatz zu Arbeitsplatz springen, krabbeln unter Tische, notieren sich alle Softwareprodukte und deren installierte Versionen, kontrollieren jeden Drucker im Netzwerk und hoffen, auch alle Switches im Unternehmen mit in die Liste aufgenommen zu haben.
Wenn dann nach einer sehr aufwändigen Reise durch das Unternehmen die Listen fertiggestellt wurden, korrigieren Sie noch den Bestand um die vergessenen W-LAN-Access-Points, den alten Switch in der Buchhaltung unterm Tisch, der provisorisch dort aufgestellt wurde (übrigens Glückwunsch, wenn Sie tatsächlich daran gedacht haben) und sonst noch so das eine oder andere Gerät, das sich nach und nach noch dazu mogelt.
Wer nach dieser Inventur tatsächlich das gute Gefühl hat, professionelle Arbeit geleistet zu haben und der Meinung ist, wirklich alles lückenlos aufgenommen zu haben, den wird in der Regel die Realität schnell einholen. Aber lassen wir den Gedanken einfach mal dabei, dass tatsächlich alles sauber aufgenommen und tadellos manuell dokumentiert wurde. Stellen wir uns doch bei der Gelegenheit die Frage, wie lange diese Daten aktuell bleiben werden.
Computer und Drucker – ja, das bekommt man ja mit, wenn die getauscht werden. Kleinere Unternehmen behalten hier leichter den Überblick als eine Firma mit 100 oder mehr Arbeitsplatzrechnern. Und wie lange bleibt die Software auf diesem Stand? Wurde ein wichtiger Patch von gestern auf heute bereits ausgerollt?
Nur um eines klarzustellen. Das sind keine hypothetischen Gedankenspiele, um jemanden in Angst zu versetzen. Allein Microsoft stellt jedes Jahr mehrere kritische Sicherheits-Patches zur Verfügung, die teils gravierende Lücken in millionenfach bestehenden Systemen schließen. Und andererseits ist es oft unverständlich, dass viele dieser kritischen Patches nicht auf die Systeme in den Unternehmen eingespielt werden können, weil sich dort derart veraltete Versionen auf den Produktivservern befinden, dass die Installation verweigert wird. Professionell? Wohl eher kaum.
Vorgehensweise B
Man verwendet für die gesamte Inventarisierung eine professionelle Lösung. Dabei werden sämtliche Geräte, die mit dem IT-Netzwerk verbunden sind, automatisch in einer Datenbank aufgenommen. Mit dabei werden auch sämtliche Softwareversionen als auch die Firmwareversionen der Hardwaregeräte dokumentiert. Alle gesammelten Daten werden zentral in einer einzigen Datenbank aufgenommen und können von dort aus zu jeder Zeit ausgewertet werden.
Und jetzt stellen wir die professionelle Lösung der vorigen gegenüber. Der Personalaufwand ist nach der Einrichtung praktisch gleich Null (in Zahlen 0, oder auch Zero, Nada, Nichts). Alle Geräte, die aktiv bzw. eingeschaltet sind, werden aufgenommen. Auch der kleine Switch unter dem Tisch in der Entwicklungsabteilung, der mangels Netzwerkdosen dort von einem Mitarbeiter der Abteilung mit (oder ohne) Erlaubnis der IT-Abteilung aufgestellt wurde (ach ja, da war ja doch noch was).
Die Aufnahme all dieser Daten geschieht nicht nur einmal, sondern in regelmäßigen Abständen. Somit werden auch die Geräte mit aufgenommen, die zum Zeitpunkt eines gerade laufenden Scans nicht eingeschaltet waren (Urlaub, Krankenstand, etc.).
Und durch die regelmäßige Ausführung wird auch der Softwarestand in der Datenbank stets aktuell gehalten. Wenn die Software dann auch noch etliche Berichte bereitstellt, die die verschiedensten Auswertungen ermöglichen und zudem auch noch an Ihre Bedürfnisse anpassbar sind, dann sind Sie dem richtigen Weg zur professionellen IT-Abteilung ein großes Stück näher gekommen.